[发明专利]一种针对网络脆弱性的加固策略生成方法

说明书

本发明涉及一种针对网络脆弱性的加固策略生成方法包括：首先构建初始属性节点集合和原子攻击节点集合；所述原子攻击节点集合中包括后果属性节点；建立包含两类安全属性节点的属性攻击图并映射为二部图；删除二部图中所有后果属性节点；识别删除后果属性节点后二部图中初始属性节点集合的节点与边，并利用GREEDY‑SET‑COVER算法获取最小支配集。本方案适用于规模较大的网络，网络管理员只需关注初始属性节点集合中的部分节点即可实现对网络的高效加固。

技术领域

本发明涉及一种策略生成方法，具体涉及一种针对网络脆弱性的加固策略生成方法。

背景技术

随着泛在网络、移动互联网等网络信息化技术不断发展，网络规模不断扩大的同时，网络安全事件频发，计算机网络的漏洞数量和严重级别都呈现明显的增长态势。其中，可用于实施远程网络攻击的漏洞占据了新增漏洞的绝大部分，这为对网络进行逐层渗透和复杂多步攻击提供了必要条件。基于此，提出一种基于支配集理论的网络加固方法。

对于规模较大的网络而言，使用属性攻击图进行脆弱性分析是比采用状态攻击图更好的方式，可以有效解决状态爆炸问题。

发明内容

为了实现上述目的，本方法采用属性攻击图对网络进行建模分析，并提出一种基于初始属性节点集合构成的支配集，从而确定网络加固策略的方法，更适应对规模较大的网络进行加固。针对规模较大的网络，借鉴图论中支配集的思想，将属性攻击图映射为有向二部图，采用贪心算法求解初始属性节点的最小支配集，所得到的最小支配集MDS，可以帮助网络人员选取合理的网络加固策略。

本发明的目的是采用下述技术方案实现的：

一种针对网络脆弱性的加固策略生成方法，所述方法包括下述步骤：

1)构建初始属性节点集合和原子攻击节点集合；所述原子攻击节点集合中包括后果属性节点；

2)确定包含两类节点的属性攻击图，并将属性攻击图映射为二部图；

3)删除二部图中所有后果属性节点；

4)识别删除后果属性节点后，二部图中初始属性节点集合的节点与边，并利用GREEDY-SET-COVER算法获取最小支配集。

优选的，所述步骤1)中，构建初始属性节点集合包括：令为属性攻击图G的初始属性节点集合，u∈Pre为初始属性节点，则初始属性节点u的入边集I(u)＝{w：(w，u)∈E}，又

初始属性节点的入度id(u)＝0，

初始属性节点的出边集为O(u)＝{v：(u，v)∈E}，任意初始属性节点u∈Pre，则初始属性节点的出度为od(u)≥1，

其中，w为前提边，E为有向边集合。

优选的，所述步骤1)中，构建原子攻击节点集合包括：令为属性攻击图G中原子攻击节点构成的有限集合A＝{a₁，a₂，a₃，...，a_m}，则原子攻击a_i的入边集为I(a_i)＝{w：(w，a_i)∈E}；

其中，w为前提边，a_i的原子攻击入度

生成后果属性节点，即原子攻击的出度

优选的，所述步骤2)确定包含两类节点的属性攻击图包括：定义原子攻击节点集合为A，属性节点集合C，前提边集合为后果边集合为确定属性攻击图G(A∪C，R_r∪R_i)；

其中，(A∪C)为属性节点集合，R_r∪R_i为边集合。