[发明专利]一种状态攻防图模型的网络安全攻击防御方法

权利要求书

1.一种状态攻防图模型的网络安全攻击防御方法，其特征在于包括以下步骤：

第一步，根据网络拓扑中所有主机节点的连通性构建可达矩阵；

第二步，利用脆弱点扫描工具Nessus、ISS和SARA，对网络中的各主机节点进行扫描，得到各主机节点的脆弱点集合；

第三步，根据各主机节点的脆弱点集合和各脆弱点的利用规则构建状态攻防图；

第四步，结合安全脆弱点评估系统CVSS，计算状态攻防图中各原子攻击的成功概率和危害指数；

第五步，计算状态攻防图中所有攻击路径的成功概率和危害指数；

第六步，针对每个网络安全状态，得出最易到达该状态的攻击路径和到达该状态时危害指数最大的攻击路径；

第七步，针对上述两种攻击路径，结合脆弱点防控措施，制定防御策略。

2. 根据权利要求1所述的状态攻防图模型的网络安全攻击防御方法，其特征在于：所述的第三步中，状态攻防图SADG为一个状态转换系统图，                                               ，其中，是图中的状态节点集，表示网络安全状态；是图中边集，表示网络安全状态的变迁关系，每条边代表一个原子攻击；是网络初始状态，是攻击者目标状态集合；所述的状态节点用二元组表示，其中是该网络安全状态下安全要素发生变化的主机节点名称，是到达该状态节点时攻击者获得主机上的权限；所述的状态变迁用5元组表示；其中是状态变迁编号，是该原子攻击所利用的脆弱点编号，r是原子攻击成功发生后造成的危害，p是原子攻击成功发生的概率，d是防御原子攻击发生的防御措施。

3. 根据权利要求1所述的状态攻防图模型的网络安全攻击防御方法，其特征在于：所述的第四步中，所述的原子攻击，其利用一个脆弱点所发起的攻击，结合CVSS，其成功概率采用脆弱点的信度和其被利用的难易程度来表示，即：

；

所述的危害指数由机密性危害指数、完整性危害指数和可用性指数来表示，即：

。

4. 根据权利要求1所述的状态攻防图模型的网络安全攻击防御方法，其特征在于：所述的第五步中，攻击路径用三元组表示，其中是发起攻击的主机节点名称，是遭受攻击的主机节点名称，是此次攻击的攻击序列，，其中“”是该序列的起始标识符，“”是该序列的结束标示符，，是原子攻击，是的直接前驱，是的直接后继。

5. 根据权利要求1所述的状态攻防图模型的网络安全攻击防御方法，其特征在于：所述的第三步中，状态攻防图的构建算法步骤如下：

第一步，算法输入网络拓扑可达矩阵RM、各主机节点的脆弱点集合VS、各脆弱点的利用规则IB和网络初始安全状态s₀；

第二步，将网络初始安全状态节点s₀加入状态队列中，标记为“未遍历”，state_queue = { s₀}；

第三步，如果状态队列还有未遍历的状态节点，获取未遍历的状态节点，从可达矩阵RM中获取该状态节点对应主机可到达的主机节点集合reachable_hostids，将该状态节点标记为“已遍历”，转第四步；否则，转第九步；

第四步，针对第三步得到的主机节点集合reachable_hostids，若reachable_hostids中有未遍历的主机节点，转第五步；否则，转第三步；

第五步，在reachable_hostids集合中，获取下一个未遍历的主机节点，得到该主机节点的脆弱点集合vuls；如果vuls中还有未遍历的脆弱点，转第六步；否则，转第四步；

第六步，在vuls集合中，获取下一个未被遍历的脆弱点vul，若脆弱点被利用的条件满足，且利用后的网络状态不在状态队列中，转第七步；若脆弱点被利用的条件满足但利用后的网络状态已存在状态队列中，转第八步；

第七步，就生成一个新的状态节点，并生成一个当前状态节点到新状态节点的状态变迁，同时将新状态节点加入状态队列中，并标记为“未遍历”，转第六步；

第八步，则只生成一个从当前状态节点到旧状态节点的一个变迁，转第六步；

第九步，根据状态变迁关系构建一个完整的状态攻防图，结束。