基于攻击路径图的网络攻击意图识别技术研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于攻击路径图的网络攻击意图识别技术研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要: 针对目前网络攻击分析和威胁评估都是建立在静态的网络环境和攻击行为之上的问题,设计了网络攻击意图动态识别系统。研究了基于最小顶点割的攻击意图阻止算法和基于时间自动机的攻击意图动态识别算法,搭建了网络攻击意图动态识别系统的框架并完成了该系统的设计。最后搭建了临时实验网络平台进行实验,实验结果表明,网络攻击意图动态识别系统在测试环境下是正确有效的。
关键词: 意图识别; 威胁评估; 最小顶点割; 攻击路径图; 时间自动机
中图分类号: TN911?34; TM417 文献标识码: A 文章编号: 1004?373X(2016)07?0093?04
Abstract: The current network attack analysis and threat assessment are based on the static network environment and attack behaviour. For this problem, the network attack intention dynamic recognition system was designed. The attack intention preventing algorithm based on minimum vertex cut and attack intention dynamic recognition algorithm based on timed automata are studied. The framework of the network attack intention dynamic recognition system was established, and the system design was accomplished. The system was tested on the constructed temporary experiment network platform. The experimental results show that the network attack intention dynamic recognition system is effective in test environment.
Keywords: intention recognition; threat assessment; minimum vertex cut; attack path graph; timed automata
0 引 言
近年来计算机网络安全事故已经对计算机网络系统造成极大的安全威胁,而传统的网络安全防御技术[1]功能单一,且只能根据设置被动地防御攻击事件,无法识别攻击者的攻击计划并预测攻击者的下一步攻击。在攻击意图识别领域[2],基于规划图分析的意图识别方法[3?4]无法处理复杂问题,基于概率推理的意图识别方法[5?6]在先验概率方面具有一定的局限性。
1 基于最小顶点割的攻击意图阻止算法
采取一定措施,降低发生概率高、危害程度大的攻击意图的实现概率是提高网络安全的重要途径。为使采取的补救措施最少,首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集,然后采用一定措施消除最小顶点割集的这些节点,就可以阻止该攻击意图的实现,从而实现增强网络安全的目的。
1.1 最大两两顶点不相交路径的构造
为简化最大两两顶点不相交路径问题,采用节点拆分(node?splitting)技术将问题转变为构造最大两两边不相交路径问题。将汇节点和源节点外的其他节点拆分为出点和入点,将该出节点的有向边转变为由出点引出的有向边,到该节点的有向边转变为指向该入点的有向边,以一条权值为1的有向边连接出点和入点,节点拆分示意图如图1所示。
从图1可以看出,经过节点(见图1(a))的路径一定会经过节点(见图1(b))的该节点出点和入点之间的边,因此图1中最大两两顶点不相交路径等价于最大两两边不相交路径。从而构造最大两两顶点不相交路径可通过采用标准的最大流算法和网络流技术实现。
如图2所示,按照节点拆分原则及路径转化原则,构造最大两两边不相交算法如下:
(1) 将正在进行攻击的路径图作为一个流网络,把该流网络每条边的容量设为1;
(2) 在当前使用的残留网络中找到所有的增广路径;
(3) 在原来的流网络中添加增广路径,从而构造出新的流网络;
(4) 重复步骤(2),(3),直到找出所有的增广路径;
(5) 删除无流的边,余下的u?v路径就是网络图的最大两两边不相交路径。
1.2 最小顶点割
1.3 基于最小割的攻击意图阻止
为阻止攻击者的入侵,可在攻击路径图中,通过切断通往意图的全部路径来实现网络安全防护的目标,而最经济有效的方法就是移除攻击路径图中的所有最小顶点割集。从前述最小顶点割的算法可以看出,攻击路径图Graph中意图节点v和初始节点[u]共有[{s1,][s3},][{s1,s4},][{s2,s3}]和[{s2,s4}]4个最小顶点割。记[m]个最小顶点割分别为[VERTEX′1,]…,[VERTEX′m,]各个最小顶点割集均有b个顶点元素。由于有向图能够取主机级、安全域级和脆弱性级的攻击路径图,所以vertex可分为代表主机、安全和脆弱性的域节点。设最小割集VERTEX[′i]中的第j个顶点元素为vertexij,去掉节点vertexij的金钱成本、时间成本、人力成本以及关闭服务、主机和安全域造成的损失成本总和是f(vertexij)。
2 攻击意图动态识别算法图
2.1 攻击意图概率计算
脆弱性级攻击路径图中的节点趋向系数需要考虑攻击成功后的收益Gain、攻击的难易程度Difficulty*、攻击的隐蔽程度Stealths三个因素,各因素所占的权值分别用[w1,w2,w3]表示。将攻击者的攻击水平按由低到高分为低、中、高三个等级,其三个系数的相应权值依次为[0.8,0.0,0.2],[0.5,0.3,0.2],[0.2,0.4,0.4]。
3 基于攻击意图分析的威胁评估
3.1 资产价值评估
针对确定网络的安全属性要求,资产的重要性和价值可通过其对完整性、机密性、可用性的敏感程度进行评估,由上述安全属性未达成时所造成的影响后果或者其达成程度来决定资产的价值。
4.1 系统总体框架
根据上述设计算法,攻击意图动态识别系统由数据源模块、接口模块、数据管理和存储模块以及可视化模块四个模块组成。
数据源模块:数据源模块利用各种安全技术收集网络中的安全相关数据 ,主要包括攻击事件信息、系统脆弱性信息、网络环境信息、安全防护策略信息等;
接口模块:接口模块将上层系统与数据源模块之间进行有效隔离,同时对数据完成转换和传输;
数据管理和存储模块:系统中包含数据文件和数据库2个子模块,同时保证了对数据的处理能力和对可视化系统的支持;
可视化模块:系统的输出显示模块,完成原始数据到可视化数据的映射,实现图形颜色分配及图形拓扑算法。
4.2 网络攻击意图动态识别系统的实现
数据源模块、接口模块和数据管理和存储模块功能较为简单,故攻击意图的可视化是系统实现的重点内容,需对可视化模块的实现进行详细设计,本文采用开源可视化工具包prefuse实现可视化模块,具体实现步骤如下:
(1) 数据文件的读取。采用SAX2方式读取可视化数据文件,采用jdom形式读取网络拓扑信息的配置文件;
(2) DataTables到Visual Abstraction数据的映射,实现将普通数据到可视化数据的映射;
(3) 图形绘制。在prefuse.render包中使用NET_labelrenderer类绘制图形的节点,使用NET_edgerenderer类绘制图形的边;
(4) 交互实现。通过自定义类ET_DragControl实现节点的拖动、图形的放大和缩小、图形平移。当类ET_DragControl接收到相应消息后,通过图形重绘事件实现交互效果。
5 系统实验
以上测试表明,本文提出的攻击意图动态识别算法及系统在所搭建的测试环境下是有效的。
6 结 论
本文给出了网络攻击路径图中的最小顶点割的攻击意图阻止算法和基于时间自动机的攻击意图动态识别算法,并在算法的基础上,设计并实现了网络攻击意图动态识别系统,采用图形化的系统数据输出手段,显著地提高了系统的表达能力,便于用户的理解和使用。本文提出的算法和系统仅在搭建的简单网络环境中进行了实验,要实现算法和模型的实用化,还需后续在更复杂的网络中进行充分测试,以便最终实现系统的工程化应用。
参考文献
[1] 张阳,张琛,唐朝京.基于DCA的主动安全防御算法[J].现代电子技术,2015,38(15):53?56.
[2] 冷画屏,吴晓锋,余永权.对抗意图识别技术研究现状及其突破途径[J].电光与控制,2008,15(4):54?58.
[3] BLUM A L, FURST M L. Fast planning through planning graph analysis [J]. Artificial intelligence, 1997, 90(1/2): 281?300.
[4] FIKES R E, NILSSON N J. STRIPS: a new approach to the application of theorem proving to problem solving [J]. Computation intelligence, 1995, 2(3/4): 189?208.
[5] CHARNIAK E, GOLDMAN R. A Bayesian model of plan re?cognition [J]. Artificial intelligence, 1993, 64(1): 53?79.
[6] ALBRECHT D W, ZUKERMAN I, NICHOLSON A E. Baye?sian models for keyhole plan recognition in an adventure game [J]. User modeling and user adapted interaction, 1998, 8(1): 5?47.
[7] SADOWSKY G, DEMPSEY J X, GREENBERG A, et al. Information technology security architecture handbook [M]. Wa?shington DC: World Bank, 1994.