基于不確定攻擊圖的攻擊路徑的網絡安全分析

李永虎

（西寧金智電子有限公司 青海 西寧 810000）

1 引言

隨著互聯網和網絡服務的快速發展，我國信息化程度也越來越高，根據我國互聯網信息中心統計報告表明，截止到2016年6月，我國網民人數已經達到7.1億[1]。在網絡化程度越來越高的今天，網絡帶給我們極大便利的同時，也不可避免存在較大的安全問題。根據我國國家應急中心的數據統計發現，2015年存在10.5萬個木馬病毒和僵尸網絡控制端，它們對我國的近2000萬臺主機進行了控制，嚴重影響了我國網絡安全[2]。網絡漏洞讓我們儲存在電腦上的資料變得極為危險，容易讓重要信息出現泄漏情況，因而對網絡漏洞進行分析是非常重要的。

2 關于網絡漏洞研究

在對網絡進行漏洞分析就要對網絡攻擊建模，而組合型的網絡攻擊建模是研究的重點和難點。當前，關于網絡攻擊建模研究多是對網絡漏洞進行相關歸類。對于組合型網絡攻擊建模方式主要包括攻擊圖法、攻擊網法以及攻擊樹法[3]。攻擊圖是對攻擊者進行攻擊全過程所有路徑的描述方法，它使攻擊過程得以模擬呈現，有利于防御者對攻擊進行有效防御。一些學者已經采用攻擊圖法分析網絡漏洞，有對采用特權圖分析網絡攻擊鏈接，也有在模型檢測的基礎上獲得攻擊圖。然而，攻擊圖的確定存在一定的不足，主要表現在實時網絡描述的不足。盡管模型檢測法為攻擊圖的生成有著極大的便利，但是它主要是從攻擊者來搜索目標主機。這種方法與本文研究不相適用，本文主要是提出一個建立在不確定圖從目標主機出發的方法，它主要是將目標主機納進目標集，之后對網絡中攻擊目標集中的主機進行搜索，并依次遞進，最后找出攻擊者。

3 相關概念分析

檢測漏洞有較多的方法，多是在檢測主機或網絡狀態或主機。在網絡基礎上的檢測是對端口進行掃描和攻擊嘗試發現存在的漏洞，這種方法屬于破壞性搜索；在主機基礎上的檢測是檢測用戶權限或系統配置，這種方法屬于非破壞性搜索[4]。本次主要是對基于主機檢測方法的研究。本文研究是在兩個假設的基礎上，其一，前提為單調性假設，它主要是在漏洞攻擊過程中，如果前提條件得到滿足，它就是有效的，并不會受到其他條件影響而發生變化，同時攻擊也一定會成功，其效果也會與預期一般。其二，攻擊并不是建立在網絡攻擊的基礎上，而是建立在主機攻擊的基礎上，其攻擊是將主機作為中心。所以，每臺主機都是獨立存在的，具有自身獨特的屬性，并非網絡中主機屬性。主機屬性有主機系統配置、用戶權限、可信關系、連通性、運行軟件以及相關服務[5]。對網絡漏洞進行分析重點在于生成攻擊圖，而生成攻擊圖的過程中包括幾個具有相應聯系的相關概念，其中有不確定圖、不確定攻擊圖以及攻擊路徑等。不確定攻擊圖是在攻擊圖和不確定圖結合的基礎上進行定義，而不確定圖能夠模擬實時網絡，以建立網絡不確定函數對漏洞攻擊不確定度進行計算。

4 不確定攻擊圖的生成和復雜性分析

對主機漏洞進行不確定網絡脆弱性分析的重點在于不確定攻擊圖的生成。主機漏洞不確定攻擊圖生成：先要將主機納入到目標主機集，之后判斷當前主機的漏洞和其相連主機的關系，哪一主機成功攻擊當前主機就將該主機記錄在當前主機上層，若該主機為攻擊者，算法完成，若不是則繼續重復上面步驟，直到找到真正攻擊者。

在一般情況下，攻擊圖獲得的攻擊路徑不可能只有一條，尤其是網絡具有較多節點的情況。因而，防御者可以從攻擊圖中獲得的所有路徑中找尋攻擊者具最大可能實施的攻擊路徑，進而得到重要的主機漏洞以及關鍵的路徑[6]。簡單說來就是在所有路徑中找到最為可靠地路徑。所以，在對基于不確定攻擊圖研究攻擊路徑的相關研究有著非常重要實際意義和理論意義。根據上面生成的攻擊圖可以發現，可以獲得較多攻擊目標主機和一定攻擊者處于相同層次的其他攻擊者，因而具有非常多的攻擊路徑，同時在擴大網絡規模后其表現更為明顯。因而，需要在攻擊圖中找到目標主機到特定攻擊者的所有攻擊路徑，同時也需要對每條路徑的可靠性進行驗證。

5 結語

隨著網絡規模的擴大，網絡漏洞分析也存在著較大的困難。為了保障網絡安全，對網絡漏洞進行有效分析，本文主要對一種新的攻擊圖方法進行了相關的研究。基于不確定攻擊圖的分析方法主要在進行了兩方面的優化，其一，主要是從目標主機對攻擊者進行溯源，有效避免了從攻擊者角度搜索浪費大量時間；其二，對搜索策略進行了相應的改進，有效避免重復搜索加入攻擊路徑主機。

[1]Yang T C,Fang M,Shao Q F.A Distributed Network Risk Assessment Method Based on Attack Graph[J].Computer Science,2013,244(2):2335-2342.

[2]方明,徐開勇,楊天池,等.基于攻擊圖的分布式網絡風險評估方法[J].計算機科學,2013,40(02)：139-144.

[3]Nguyen H H,Palani K,Nicol D M.An Approach to Incorporating Uncertainty in Network Security Analysis[C]//Hot Topics in Science of Security:Symposium and Bootcamp. 2017:74-84.

[4]劉強,殷建平,蔡志平,等.基于不確定圖的網絡漏洞分析方法[J].軟件學報,2011,22(06):1398-1412.

[5]曾賽文,文中華,戴良偉,等.基于不確定攻擊圖的攻擊路徑的網絡安全分析[J].計算機科學,2017,44(s1)：351-355.

[6]吳迪,連一峰,陳愷,等.一種基于攻擊圖的安全威脅識別和分析方法[J].計算機學報,2012,35(09)：1938-1950.