[发明专利]一种指定目标结点集合的K最大概率攻击路径的渐进式求解方法

说明书

本发明公开了一种指定目标结点集合的K最大概率攻击路径的渐进式求解方法，在指定目标结点集合后，该方法能够分轮次求解攻击目标结点集合中各目标结点的K最大概率攻击路径，每个目标结点可以分别设定不同的K的取值，在每轮次中，各目标结点均有机会计算并输出攻击路径。该方法在计算过程中对各结点相应的可用漏洞信息表的访问标记进行设置，仅从所有访问标记为“未访问”的可用漏洞信息表中进行漏洞选取和利用，并对目标结点进行标记，在待求解结点集合中的所有目标结点都被标记后，才会重置相应可用漏洞信息表的访问标记，从而实现了攻击路径分轮次输出的目标，该方法能够有效减少攻击路径求解过程中的计算量。

技术领域

本发明涉及一种网络安全分析方法，特别涉及一种指定目标结点集合的K最大概率攻击路径的渐进式求解方法。

背景技术

网络安全是企业关注的重要问题，给定一个网络系统，分析系统内部潜在的攻击路径对于了解一个网络的安全状况非常有价值。网络系统中的结点包括服务器、计算机、防火墙、路由器和交换机等网络设备。网络系统中通常存在关键结点，关键结点上运行企业的核心服务或存储着机密数据，是攻击者攻击的重要目标，管理员对这类目标结点的安全状况尤其关注。对于网络中无法直接攻击的目标结点，攻击者会寻找并利用网络中多个中间结点上的漏洞，逐步提升攻击者的访问权限，最终形成攻击目标结点的多步攻击路径。所述中间结点指为达到攻击目标结点的目的而被攻击和利用的网络系统中的结点。在给定各漏洞的可用性概率值的情况下，可以计算出各条攻击路径的漏洞可用性累积概率值。在管理员指定了目标结点集合后，希望快速求解出攻击各目标结点的K最大概率攻击路径，即漏洞可用性累积概率值最大的前K条攻击路径。管理员可以根据各目标结点需要求解的攻击路径数量而为各目标结点分别设定K的不同取值。在考虑攻击路径输出实时性的同时，也需要考虑各目标结点输出攻击路径的均衡性，使漏洞可用性累积概率值较小的攻击路径所对应的目标结点也有较快输出攻击路径的机会。

现有技术中，如毕坤等人在发明专利《一种渐进式求解K最大概率攻击路径的方法》(CN 107135221 A，2017.09.05，以下简称专利1)中，提出了一种能够渐进式求解攻击网络中各结点的概率最大的前K条攻击路径的方法，该方法通过设定可用漏洞信息表的访问标记，实现了各结点攻击路径的分轮次的输出，在每一轮次中，各结点都有输出攻击路径的机会，解决了漏洞可用性累积概率值较小的攻击路径所对应的结点可能在很长时间内都无法输出一条攻击路径的问题，该方法也能够分轮次输出攻击目标结点集合中各目标结点的K最大概率攻击路径，但该方法是针对网络中的每一个结点分别计算出K最大概率攻击路径，在目标结点集合中的结点数量少于网络结点总数量的情况下，该方法仍会为不在目标结点集合中的各结点分别计算K最大概率攻击路径，增加了很多不必要的计算，从而增加了计算时间，影响了攻击路径输出的实时性，在目标结点数量远少于网络结点总数量的情况下，该问题将更加严重；另一方面，该方法是分轮次输出攻击各结点的攻击路径，各结点输出攻击路径的数量K的取值是统一的，如果需要为各目标结点分别求解出不同数量的攻击路径，则根据所有目标结点需要求解的攻击路径数量的最大值设定K的取值，浪费了计算资源，增加了计算时间。

现有技术中，如毕坤等人在发明专利《一种求解K最大概率攻击图的网络安全分析方法》(CN 102724210 B，2015.02.11，以下简称专利2)中，提出了一种能够求解攻击网络中各结点的概率最大的前K条攻击路径的方法，该方法不需要计算生成完整的攻击图，便能够直接计算出攻击网络中各结点的概率最大的前K条攻击路径，但该方法也是针对网络中的每一个结点分别计算出K最大概率攻击路径，无法利用指定目标结点集合的信息有效减少计算量，也无法实现攻击路径分轮次输出。

因此，在指定目标结点集合和为各目标结点分别设定不同数量攻击路径的情况下，需要设计新的、更高效的K最大概率攻击路径求解方法，在保证各目标结点输出攻击路径的均衡性基础上，减少不必要的计算，从而减少计算时间，提高攻击路径输出的实时性。

发明内容