[发明专利]一种指定目标结点集合的K最大概率攻击路径求解方法

说明书

本发明公开了一种指定目标结点集合的K最大概率攻击路径求解方法，该方法能够分别求解指定目标结点集合中各目标结点的K最大概率攻击路径，每个目标结点可以分别设定不同的K的取值，在计算过程中对各结点相应的可用漏洞信息表的访问标记进行设置，仅从所有访问标记为“未访问”的可用漏洞信息表中进行漏洞选取和利用，在求解出攻击目标结点的攻击路径后，会根据情况把该攻击路径上各结点相应的可用漏洞信息表的访问标记设置为“未访问”，从而使各相应可用漏洞信息表中剩余的可用漏洞信息有被选取和利用的机会，在指定目标结点集合和各目标结点需要求解的K最大概率攻击路径数量的情况下，该方法能够有效减少攻击路径求解过程中的计算量。

技术领域

本发明涉及一种网络安全分析方法，特别涉及一种指定目标结点集合的K最大概率攻击路径求解方法。

背景技术

网络安全是企业关注的重要问题，给定一个网络系统，分析系统内部潜在的攻击路径对于了解一个网络的安全状况非常有价值。网络系统中的结点包括服务器、计算机、防火墙、路由器和交换机等网络设备。网络系统中通常存在关键结点，关键结点上运行企业的核心服务或存储着机密数据，是攻击者攻击的重要目标，管理员对这类目标结点的安全状况尤其关注。对于网络中无法直接攻击的目标结点，攻击者会寻找并利用网络中多个中间结点上的漏洞，逐步提升攻击者的访问权限，最终形成攻击目标结点的多步攻击路径。所述中间结点指为达到攻击目标结点的目的而被攻击和利用的网络系统中的结点。在给定各漏洞的可用性概率值的情况下，可以计算出各条攻击路径的漏洞可用性累积概率值。在管理员指定了目标结点集合后，希望快速求解出攻击各目标结点的K最大概率攻击路径，即漏洞可用性累积概率值最大的前K条攻击路径。管理员可以根据各目标结点需要求解的攻击路径数量而为各目标结点分别设定K的不同取值。

现有技术中，如毕坤等人在发明专利《一种求解K最大概率攻击图的网络安全分析方法》(CN 102724210B，2015.02.11，以下简称专利1)中，提出了一种能够求解攻击网络中各结点的概率最大的前K条攻击路径的方法，该方法不需要计算生成完整的攻击图，便能够直接计算出攻击网络中各结点的概率最大的前K条攻击路径；现有技术中，如毕坤等人在发明专利《一种渐进式求解K最大概率攻击路径的方法》(CN 107135221 A，2017.09.05，以下简称专利2)中，提出了一种能够渐进式求解攻击网络中各结点的概率最大的前K条攻击路径的方法，该方法通过设定可用漏洞信息表的访问标记，实现了各结点攻击路径的分轮次的输出，在每一轮次中，各结点都有输出攻击路径的机会，解决了漏洞可用性累积概率值较小的攻击路径所对应的结点可能在很长时间内都无法输出一条攻击路径的问题。上述现有方法也能够输出攻击目标结点集合中各目标结点的K最大概率攻击路径，但上述现有方法都是针对网络中的每一个结点分别计算出K最大概率攻击路径，在目标结点集合中的结点数量少于网络结点总数量的情况下，该方法仍会为不在目标结点集合中的各结点分别计算K最大概率攻击路径，增加了很多不必要的计算，从而增加了计算时间，影响了攻击路径输出的实时性，在目标结点数量远少于网络结点总数量的情况下，该问题将更加严重；另一方面，上述现有方法中各结点的攻击路径的数量K的取值是统一的，如果需要为各目标结点分别求解出不同数量的攻击路径，则根据所有目标结点需要求解的攻击路径数量的最大值设定K的取值，浪费了计算资源，增加了计算时间。因此，在指定目标结点集合和为各目标结点分别设定不同数量攻击路径的情况下，需要设计新的、更高效的K最大概率攻击路径求解方法，减少不必要的计算，从而减少计算时间，提高攻击路径输出的实时性。

发明内容

为了克服上述现有技术存在的缺陷，本发明提供一种指定目标结点集合的K最大概率攻击路径求解方法，在指定目标结点集合和各目标结点需要求解的K最大概率攻击路径的数量、给定网络系统的拓扑结构和访问关系、给定各结点上存在的漏洞的原始信息和攻击者的初始位置信息后，该方法能够高效计算出攻击各目标结点的K最大概率攻击路径，其中各目标结点设定的K取值可以不同，所述漏洞的原始信息包括漏洞编号、漏洞所在结点、漏洞利用的前提条件、漏洞利用的后果信息和漏洞的可用性概率值。