【摘要】：隨著現(xiàn)代社會對網(wǎng)絡系統(tǒng)依賴程度的日益增強,網(wǎng)絡安全問題受到普遍關注。網(wǎng)絡安全度量是指在理解網(wǎng)絡環(huán)境的基礎之上,建立合適指標體系和度量方法,評估網(wǎng)絡的安全性。本文采用攻擊圖這種網(wǎng)絡脆弱性分析技術,在對目標網(wǎng)絡和攻擊者建模的基礎之上,根據(jù)兩者之間的相互關系生成攻擊圖模型,分析不同的攻擊路徑。借鑒CVSS對單一漏洞的量化指標,以及節(jié)點間概率轉換關系,提出攻擊伸縮性機理。結合CVSS指標和攻擊圖,計算攻擊伸縮性數(shù)值,并以此作為網(wǎng)絡安全度量的方法,最后總結了當前網(wǎng)絡安全度量的發(fā)展現(xiàn)狀以及面臨的挑戰(zhàn)。
【圖文】：

趙松等:基于攻擊圖的網(wǎng)絡安全度量研究55漏洞規(guī)格、系統(tǒng)訪問等級、節(jié)點拓撲和可達信息。網(wǎng)絡系統(tǒng)中另一重要角色是網(wǎng)絡連接模型,由網(wǎng)絡拓撲和可達性組成,這一部分包含網(wǎng)絡訪問的安全策略,節(jié)點防御策略。從實用性出發(fā),好的指標具有一致性,容易度量,有特定的上下文環(huán)境和測量單位[1]。目前常用的有CAPEC[23]通用攻擊模式,CVSS漏洞評分標準等。CVSS是很有潛力的工具,而人們對其具體內容知之甚少,被美國國家漏洞庫NVD等主流漏洞數(shù)據(jù)庫采用,作為漏洞評分標準。文獻[14,21]使用貝葉斯網(wǎng)絡建模網(wǎng)絡系統(tǒng)中潛在的攻擊路徑,基于攻擊者的背景知識和攻擊機制,開發(fā)算法計算攻擊路徑的最優(yōu)子集。建立貝葉斯攻擊圖,評估風險,其中的指標以及轉移概率是參考CVSS值。信息安全中攻防對抗的本質可以抽象為攻防雙方的策略依存性[22],防御者所采取的防御策略是否有效,不只取決于自身行為,還取決于攻擊者和防御系統(tǒng)的策略,所以可以結合博弈論與攻擊圖,研究攻防矛盾及其最優(yōu)防御決策等信息安全攻防對抗難題。網(wǎng)絡往往會遭到0day漏洞的攻擊,文獻[25]中提出一種計算需要多少個0day漏洞才能破壞網(wǎng)絡的方法,需要越多的漏洞才能破壞,則網(wǎng)絡更安全。文獻研究[27,30,32]基于攻擊圖做風險評估與安全度量,分別提出計算網(wǎng)絡可達性,攻擊者能力,網(wǎng)絡規(guī)模,拓撲等分析方法。基于攻擊圖的研究分為網(wǎng)絡可達性分析,構建攻擊模板,攻擊圖構建,攻擊圖核心算法,以及使用攻擊圖量化評估網(wǎng)絡安全。攻擊圖生成方法已經(jīng)相對成熟,但攻擊模板的構建一直以來沒有很好的解決。攻擊圖分析方面,主要有?

,pri是訪問權限。連接關系中包含著防火墻規(guī)則,NAT地址轉換。連接類型包括域內、域間和跨域。網(wǎng)絡系統(tǒng)中,不同域之間很難相互探測到,從攻擊者角度出發(fā),跨域傳播難度會很大�？缬蝾愋偷倪呍趯嶋H中是通過不同路由路徑傳播的。圖網(wǎng)絡模型,節(jié)點和邊都有相應的屬性。例如一臺主機抽象為圖中的一個節(jié)點,則主機網(wǎng)絡地址,在網(wǎng)絡中的位置信息,開放的服務信息,與周圍主機節(jié)點連接情況,這些基本信息作為圖中邊和節(jié)點的屬性。抽象出節(jié)點和邊的情況,可以了解網(wǎng)絡系統(tǒng)配置情況。如圖2所示,一個簡單網(wǎng)絡拓撲圖模型,表示網(wǎng)絡中邊的連接關系和節(jié)點的屬性值。其中節(jié)點A具有屬性v,邊e1具有屬性e,這樣就建立網(wǎng)絡系統(tǒng)到圖模型的轉換關系,以標準的模型反應了當前的網(wǎng)絡狀態(tài)。這個圖網(wǎng)絡模型,能告訴管理員,網(wǎng)絡的具體情況,分析屬于同一局域網(wǎng)的節(jié)點,也能清楚的看出存在漏洞的節(jié)點。圖2網(wǎng)絡拓撲圖模型Figure2NetworkTopologyGraphModel3.3攻擊模板在攻防的對抗中,攻擊者的主要突破口是網(wǎng)絡中的脆弱點,因此針對網(wǎng)絡中脆弱點的利用以及其造成影響是本節(jié)一個重點。本節(jié)的主要的內容是使用前提集和后果集構建網(wǎng)絡攻擊模板。攻防信息不對稱,網(wǎng)絡防御方能得到網(wǎng)絡系統(tǒng)的信息,預測攻擊可能的發(fā)生點,對于攻擊者的能力無從得知。攻擊者能通過掃描,監(jiān)聽收集等方式獲得目標網(wǎng)絡的信息,對于網(wǎng)絡內部情況很難獲取,大部分只能是逐步的滲透測試,不斷發(fā)現(xiàn)網(wǎng)絡結構。其中前提集(Procondition)是一個狀態(tài),表示攻擊發(fā)生必要的系統(tǒng)環(huán)境,如果結果為真,則表示當前當前安全態(tài)勢下,攻擊可以發(fā)生,反之則不能發(fā)生。后果?

【參考文獻】

相關期刊論文 前6條

1 方研;殷肖川;李景志;;基于貝葉斯攻擊圖的網(wǎng)絡安全量化評估研究[J];計算機應用研究;2013年09期

2 陳鋒;毛捍東;張維明;雷長海;;攻擊圖技術研究進展[J];計算機科學;2011年11期

3 張玉清;吳舒平;劉奇旭;梁芳芳;;國家安全漏洞庫的設計與實現(xiàn)[J];通信學報;2011年06期

4 陳鋒;張怡;蘇金樹;韓文報;;攻擊圖的兩種形式化分析[J];軟件學報;2010年04期

5 姜偉;方濱興;田志宏;張宏莉;;基于攻防博弈模型的網(wǎng)絡安全測評和最優(yōu)主動防御[J];計算機學報;2009年04期

6 陳秀真;鄭慶華;管曉宏;林晨光;;層次化網(wǎng)絡安全威脅態(tài)勢量化評估方法[J];軟件學報;2006年04期

【共引文獻】

相關期刊論文 前10條

1 魏彬;張敏情;;基于集成學習算法的網(wǎng)絡安全防御模型研究[J];武警工程大學學報;2017年04期

2 ZHANG Hengwei;YU Dingkun;WANG Jindong;HAN Jihong;WANG Na;;Security Defence Policy Selection Method Using the Incomplete Information Game Model[J];中國通信;2015年S2期

3 楊盛明;;工業(yè)控制系統(tǒng)漏洞庫設計與實現(xiàn)[J];電子質量;2015年12期

4 吳鵬;皇甫濤;;基于APT攻擊鏈的網(wǎng)絡安全態(tài)勢感知[J];電信工程技術與標準化;2015年12期

5 朱建明;王秦;;基于博弈論的網(wǎng)絡空間安全若干問題分析[J];網(wǎng)絡與信息安全學報;2015年01期

6 劉小虎;張明清;張玉臣;孔紅山;;DDoS主動防御系統(tǒng)防御能力量化仿真研究[J];信息工程大學學報;2015年06期

7 YU Yang;XIA Chunhe;LI Shiying;LI Zhong;;Trust Type Based Trust Bootstrapping Model of Computer Network Collaborative Defense[J];中國通信;2015年12期

8 姜旭煒;文志誠;鄧勇杰;;基于綜合加權的層次化網(wǎng)絡安全態(tài)勢評估方法[J];微型機與應用;2015年21期

9 溫濤;張玉清;劉奇旭;楊剛;;UVDA:自動化融合異構安全漏洞庫框架的設計與實現(xiàn)[J];通信學報;2015年10期

10 余洋;夏春和;王星河;;基于云模型的防御代理信任評估模型[J];計算機研究與發(fā)展;2015年10期

【二級參考文獻】

相關期刊論文 前10條

1 葉云;徐錫山;賈焰;齊治昌;;基于攻擊圖的網(wǎng)絡安全概率計算方法[J];計算機學報;2010年10期

2 陳鋒;張怡;蘇金樹;韓文報;;攻擊圖的兩種形式化分析[J];軟件學報;2010年04期

3 張璽;黃曙光;夏陽;宋舜宏;;一種基于攻擊圖的漏洞風險評估方法[J];計算機應用研究;2010年01期

4 陳鋒;蘇金樹;韓文報;;一種基于智能規(guī)劃的攻擊圖快速構建方法[J];解放軍理工大學學報(自然科學版);2008年05期

5 石進;郭山清;陸音;謝立;;一種基于攻擊圖的入侵響應方法[J];軟件學報;2008年10期

6 劉宇;張玉清;;基于網(wǎng)絡可生存性的網(wǎng)站保護系統(tǒng)[J];計算機工程;2008年19期

7 張海霞;蘇璞睿;馮登國;;基于攻擊能力增長的網(wǎng)絡安全分析模型[J];計算機研究與發(fā)展;2007年12期

8 張永錚;方濱興;遲悅;云曉春;;用于評估網(wǎng)絡信息系統(tǒng)的風險傳播模型[J];軟件學報;2007年01期

9 馮萍慧;連一峰;戴英俠;李聞;張穎君;;面向網(wǎng)絡系統(tǒng)的脆弱性利用成本估算模型[J];計算機學報;2006年08期

10 馮萍慧;連一峰;戴英俠;鮑旭華;;基于可靠性理論的分布式系統(tǒng)脆弱性模型[J];軟件學報;2006年07期

【相似文獻】

相關期刊論文 前10條

1 趙松;吳晨思;謝衛(wèi)強;賈紫藝;王鶴;張玉清;;基于攻擊圖的網(wǎng)絡安全度量研究[J];信息安全學報;2019年01期

2 胡浩;劉玉嶺;張玉臣;張紅旗;;基于攻擊圖的網(wǎng)絡安全度量研究綜述[J];網(wǎng)絡與信息安全學報;2018年09期

3 柳俊;;淺談高校網(wǎng)絡安全工作[J];科技資訊;2018年31期

4 崔光耀;;2018網(wǎng)絡安全五大看點[J];中國信息安全;2019年01期

5 董鐘鼎;;網(wǎng)絡安全實戰(zhàn)演練中的攻與防[J];中國信息安全;2019年01期

6 ;組織網(wǎng)絡安全演習 提升網(wǎng)絡防御能力[J];中國信息安全;2019年01期

7 林輝玉;;六策略捍衛(wèi)網(wǎng)絡安全[J];網(wǎng)絡安全和信息化;2016年07期

8 王耀東;;計算機網(wǎng)絡安全策略分析[J];計算機產品與流通;2018年12期

9 孫會峰;;2018網(wǎng)絡安全產業(yè)發(fā)展報告[J];信息安全研究;2019年02期

10 王曉光;;建設“六位一體”的網(wǎng)絡安全生態(tài)圈[J];信息安全研究;2019年02期

相關會議論文 前10條

1 楊皓冬;;保護計算機網(wǎng)絡安全初探[A];國家教師科研專項基金科研成果2018（一）[C];2018年

2 梁俊華;;網(wǎng)絡安全防范技術研究[A];中國新聞技術工作者聯(lián)合會2017年學術年會論文集（學術論文篇）[C];2017年

3 黃文斌;;計算機網(wǎng)絡及網(wǎng)絡安全[A];“決策論壇——決策科學化與民主化學術研討會”論文集（下）[C];2017年

4 房博超;;計算機網(wǎng)絡安全問題及對策[A];天津市電子工業(yè)協(xié)會2017年年會論文集[C];2017年

5 張楠楠;;計算機網(wǎng)絡安全與防護[A];第三十一屆中國（天津）2017’IT、網(wǎng)絡、信息技術、電子、儀器儀表創(chuàng)新學術會議論文集[C];2017年

6 陳廣生;;計算機網(wǎng)絡安全教學改革策略研究[A];第三屆世紀之星創(chuàng)新教育論壇論文集[C];2016年

7 王敏;;計算機網(wǎng)絡安全的策略[A];2015第一屆世紀之星創(chuàng)新教育論壇論文集[C];2015年

8 楊增強;戴昌裕;;淺議網(wǎng)絡安全技術與策略[A];2008年中國高校通信類院系學術研討會論文集（下冊）[C];2009年

9 秦仲學;;影響網(wǎng)絡安全的因素分析及安全策略淺論[A];第十三屆全國計算機安全技術交流會論文集[C];1998年

10 李書旺;;單調系統(tǒng)的網(wǎng)絡安全[A];第三次全國計算機安全技術交流會論文集[C];1988年

相關重要報紙文章 前10條

1 畢舸;網(wǎng)絡安全需強化風控與責任監(jiān)管[N];中國縣域經(jīng)濟報;2016年

2 本報記者 盛利;網(wǎng)絡強國須把網(wǎng)絡安全核心技術掌握在自己手中[N];科技日報;2019年

3 杜昊 張胤;上海管局查處網(wǎng)絡安全違規(guī)案件[N];人民郵電;2019年

4 上海對外經(jīng)貿大學 張繼紅 顧郡雯;越南《網(wǎng)絡安全法》的特點[N];人民法院報;2019年

5 記者 張麗嫻;市委網(wǎng)絡安全和信息化委員會召開第一次會議[N];丹東日報;2019年

6 證券日報兩會報道組 曹衛(wèi)新 徐天曉;5G等新一輪技術革命將至 360集團周鴻yN：成立國家級網(wǎng)絡安全大腦[N];證券日報;2019年

7 本報記者 張英;網(wǎng)絡安全筑屏障[N];人民郵電;2019年

8 本報記者 崔呂萍;以網(wǎng)絡安全保國家安全 以信息化推動現(xiàn)代化[N];人民政協(xié)報;2018年

9 本報記者 陳麗梅;勒索病毒敲響網(wǎng)絡安全警鐘[N];通信信息報;2018年

10 賈慶森;行業(yè)協(xié)同創(chuàng)新掘金網(wǎng)絡安全藍海[N];東莞日報;2018年

相關博士學位論文 前10條

1 趙超;云環(huán)境下網(wǎng)絡安全監(jiān)控架構及保障方法研究[D];哈爾濱工程大學;2017年

2 夏正友;主動網(wǎng)絡安全結構模型及其相關技術研究[D];復旦大學;2004年

3 張亞平;基于分布智能代理的自保護系統(tǒng)研究[D];天津大學;2005年

4 高翔;網(wǎng)絡安全檢測關鍵技術研究[D];西北工業(yè)大學;2004年

5 萬國根;面向內容的網(wǎng)絡安全監(jiān)控模型及其關鍵技術研究[D];電子科技大學;2005年

6 李偉明;網(wǎng)絡安全語言關鍵技術的研究[D];華中科技大學;2006年

7 田大新;網(wǎng)絡安全中若干問題的研究[D];吉林大學;2007年

8 蕭海東;網(wǎng)絡安全態(tài)勢評估與趨勢感知的分析研究[D];上海交通大學;2007年

9 張建鋒;網(wǎng)絡安全態(tài)勢評估若干關鍵技術研究[D];國防科學技術大學;2013年

10 牛峗;單通道10Gbps在線網(wǎng)絡安全處理器設計研究與實現(xiàn)[D];清華大學;2014年

相關碩士學位論文 前10條

1 武趙俊;基于SDN的網(wǎng)絡安全方法的研究與實現(xiàn)[D];江蘇科技大學;2018年

2 孟紫為;習近平網(wǎng)絡安全思想研究[D];湖南師范大學;2018年

3 袁珊婷;網(wǎng)絡安全保險及網(wǎng)絡安全風險感知影響因素實證研究[D];湖南大學;2018年

4 劉冠君;政府事業(yè)單位信息化網(wǎng)絡安全的實現(xiàn)[D];大連交通大學;2016年

5 楊明遠;基于多源數(shù)據(jù)分析的網(wǎng)絡安全整體態(tài)勢與實時態(tài)勢評估技術研究[D];浙江大學;2018年

6 徐文濤;基于網(wǎng)絡安全大數(shù)據(jù)靶標系統(tǒng)的研究與構建[D];戰(zhàn)略支援部隊信息工程大學;2018年

7 曾麗嬌;基于攻防演化博弈的網(wǎng)絡安全態(tài)勢研究[D];西安電子科技大學;2018年

8 朱立民;智能汽車網(wǎng)絡安全若干關鍵技術研究[D];湖南大學;2017年

9 鄭濤;基于網(wǎng)絡安全的事件管理技術研究與應用[D];東北石油大學;2012年

10 周連秀;奧巴馬政府時期的中美網(wǎng)絡安全關系[D];南京大學;2018年

，

本文編號：2708008