【摘要】：隨著現(xiàn)代社會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)依賴程度的日益增強(qiáng),網(wǎng)絡(luò)安全問題受到普遍關(guān)注。網(wǎng)絡(luò)安全度量是指在理解網(wǎng)絡(luò)環(huán)境的基礎(chǔ)之上,建立合適指標(biāo)體系和度量方法,評(píng)估網(wǎng)絡(luò)的安全性。本文采用攻擊圖這種網(wǎng)絡(luò)脆弱性分析技術(shù),在對(duì)目標(biāo)網(wǎng)絡(luò)和攻擊者建模的基礎(chǔ)之上,根據(jù)兩者之間的相互關(guān)系生成攻擊圖模型,分析不同的攻擊路徑。借鑒CVSS對(duì)單一漏洞的量化指標(biāo),以及節(jié)點(diǎn)間概率轉(zhuǎn)換關(guān)系,提出攻擊伸縮性機(jī)理。結(jié)合CVSS指標(biāo)和攻擊圖,計(jì)算攻擊伸縮性數(shù)值,并以此作為網(wǎng)絡(luò)安全度量的方法,最后總結(jié)了當(dāng)前網(wǎng)絡(luò)安全度量的發(fā)展現(xiàn)狀以及面臨的挑戰(zhàn)。
【圖文】：

趙松等:基于攻擊圖的網(wǎng)絡(luò)安全度量研究55漏洞規(guī)格、系統(tǒng)訪問等級(jí)、節(jié)點(diǎn)拓?fù)浜涂蛇_(dá)信息。網(wǎng)絡(luò)系統(tǒng)中另一重要角色是網(wǎng)絡(luò)連接模型,由網(wǎng)絡(luò)拓?fù)浜涂蛇_(dá)性組成,這一部分包含網(wǎng)絡(luò)訪問的安全策略,節(jié)點(diǎn)防御策略。從實(shí)用性出發(fā),好的指標(biāo)具有一致性,容易度量,有特定的上下文環(huán)境和測(cè)量單位[1]。目前常用的有CAPEC[23]通用攻擊模式,CVSS漏洞評(píng)分標(biāo)準(zhǔn)等。CVSS是很有潛力的工具,而人們對(duì)其具體內(nèi)容知之甚少,被美國(guó)國(guó)家漏洞庫(kù)NVD等主流漏洞數(shù)據(jù)庫(kù)采用,作為漏洞評(píng)分標(biāo)準(zhǔn)。文獻(xiàn)[14,21]使用貝葉斯網(wǎng)絡(luò)建模網(wǎng)絡(luò)系統(tǒng)中潛在的攻擊路徑,基于攻擊者的背景知識(shí)和攻擊機(jī)制,開發(fā)算法計(jì)算攻擊路徑的最優(yōu)子集。建立貝葉斯攻擊圖,評(píng)估風(fēng)險(xiǎn),其中的指標(biāo)以及轉(zhuǎn)移概率是參考CVSS值。信息安全中攻防對(duì)抗的本質(zhì)可以抽象為攻防雙方的策略依存性[22],防御者所采取的防御策略是否有效,不只取決于自身行為,還取決于攻擊者和防御系統(tǒng)的策略,所以可以結(jié)合博弈論與攻擊圖,研究攻防矛盾及其最優(yōu)防御決策等信息安全攻防對(duì)抗難題。網(wǎng)絡(luò)往往會(huì)遭到0day漏洞的攻擊,文獻(xiàn)[25]中提出一種計(jì)算需要多少個(gè)0day漏洞才能破壞網(wǎng)絡(luò)的方法,需要越多的漏洞才能破壞,則網(wǎng)絡(luò)更安全。文獻(xiàn)研究[27,30,32]基于攻擊圖做風(fēng)險(xiǎn)評(píng)估與安全度量,分別提出計(jì)算網(wǎng)絡(luò)可達(dá)性,攻擊者能力,網(wǎng)絡(luò)規(guī)模,拓?fù)涞确治龇椒��；诠魣D的研究分為網(wǎng)絡(luò)可達(dá)性分析,構(gòu)建攻擊模板,攻擊圖構(gòu)建,攻擊圖核心算法,以及使用攻擊圖量化評(píng)估網(wǎng)絡(luò)安全。攻擊圖生成方法已經(jīng)相對(duì)成熟,但攻擊模板的構(gòu)建一直以來沒有很好的解決。攻擊圖分析方面,主要有?

,pri是訪問權(quán)限。連接關(guān)系中包含著防火墻規(guī)則,NAT地址轉(zhuǎn)換。連接類型包括域內(nèi)、域間和跨域。網(wǎng)絡(luò)系統(tǒng)中,不同域之間很難相互探測(cè)到,從攻擊者角度出發(fā),跨域傳播難度會(huì)很大�？缬蝾愋偷倪呍趯�(shí)際中是通過不同路由路徑傳播的。圖網(wǎng)絡(luò)模型,節(jié)點(diǎn)和邊都有相應(yīng)的屬性。例如一臺(tái)主機(jī)抽象為圖中的一個(gè)節(jié)點(diǎn),則主機(jī)網(wǎng)絡(luò)地址,在網(wǎng)絡(luò)中的位置信息,開放的服務(wù)信息,與周圍主機(jī)節(jié)點(diǎn)連接情況,這些基本信息作為圖中邊和節(jié)點(diǎn)的屬性。抽象出節(jié)點(diǎn)和邊的情況,可以了解網(wǎng)絡(luò)系統(tǒng)配置情況。如圖2所示,一個(gè)簡(jiǎn)單網(wǎng)絡(luò)拓?fù)鋱D模型,表示網(wǎng)絡(luò)中邊的連接關(guān)系和節(jié)點(diǎn)的屬性值。其中節(jié)點(diǎn)A具有屬性v,邊e1具有屬性e,這樣就建立網(wǎng)絡(luò)系統(tǒng)到圖模型的轉(zhuǎn)換關(guān)系,以標(biāo)準(zhǔn)的模型反應(yīng)了當(dāng)前的網(wǎng)絡(luò)狀態(tài)。這個(gè)圖網(wǎng)絡(luò)模型,能告訴管理員,網(wǎng)絡(luò)的具體情況,分析屬于同一局域網(wǎng)的節(jié)點(diǎn),也能清楚的看出存在漏洞的節(jié)點(diǎn)。圖2網(wǎng)絡(luò)拓?fù)鋱D模型Figure2NetworkTopologyGraphModel3.3攻擊模板在攻防的對(duì)抗中,攻擊者的主要突破口是網(wǎng)絡(luò)中的脆弱點(diǎn),因此針對(duì)網(wǎng)絡(luò)中脆弱點(diǎn)的利用以及其造成影響是本節(jié)一個(gè)重點(diǎn)。本節(jié)的主要的內(nèi)容是使用前提集和后果集構(gòu)建網(wǎng)絡(luò)攻擊模板。攻防信息不對(duì)稱,網(wǎng)絡(luò)防御方能得到網(wǎng)絡(luò)系統(tǒng)的信息,預(yù)測(cè)攻擊可能的發(fā)生點(diǎn),對(duì)于攻擊者的能力無從得知。攻擊者能通過掃描,監(jiān)聽收集等方式獲得目標(biāo)網(wǎng)絡(luò)的信息,對(duì)于網(wǎng)絡(luò)內(nèi)部情況很難獲取,大部分只能是逐步的滲透測(cè)試,不斷發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)。其中前提集(Procondition)是一個(gè)狀態(tài),表示攻擊發(fā)生必要的系統(tǒng)環(huán)境,如果結(jié)果為真,則表示當(dāng)前當(dāng)前安全態(tài)勢(shì)下,攻擊可以發(fā)生,反之則不能發(fā)生。后果?

【參考文獻(xiàn)】

相關(guān)期刊論文 前6條

1 方研;殷肖川;李景志;;基于貝葉斯攻擊圖的網(wǎng)絡(luò)安全量化評(píng)估研究[J];計(jì)算機(jī)應(yīng)用研究;2013年09期

2 陳鋒;毛捍東;張維明;雷長(zhǎng)海;;攻擊圖技術(shù)研究進(jìn)展[J];計(jì)算機(jī)科學(xué);2011年11期

3 張玉清;吳舒平;劉奇旭;梁芳芳;;國(guó)家安全漏洞庫(kù)的設(shè)計(jì)與實(shí)現(xiàn)[J];通信學(xué)報(bào);2011年06期

4 陳鋒;張怡;蘇金樹;韓文報(bào);;攻擊圖的兩種形式化分析[J];軟件學(xué)報(bào);2010年04期

5 姜偉;方濱興;田志宏;張宏莉;;基于攻防博弈模型的網(wǎng)絡(luò)安全測(cè)評(píng)和最優(yōu)主動(dòng)防御[J];計(jì)算機(jī)學(xué)報(bào);2009年04期

6 陳秀真;鄭慶華;管曉宏;林晨光;;層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法[J];軟件學(xué)報(bào);2006年04期

【共引文獻(xiàn)】

相關(guān)期刊論文 前10條

1 魏彬;張敏情;;基于集成學(xué)習(xí)算法的網(wǎng)絡(luò)安全防御模型研究[J];武警工程大學(xué)學(xué)報(bào);2017年04期

2 ZHANG Hengwei;YU Dingkun;WANG Jindong;HAN Jihong;WANG Na;;Security Defence Policy Selection Method Using the Incomplete Information Game Model[J];中國(guó)通信;2015年S2期

3 楊盛明;;工業(yè)控制系統(tǒng)漏洞庫(kù)設(shè)計(jì)與實(shí)現(xiàn)[J];電子質(zhì)量;2015年12期

4 吳鵬;皇甫濤;;基于APT攻擊鏈的網(wǎng)絡(luò)安全態(tài)勢(shì)感知[J];電信工程技術(shù)與標(biāo)準(zhǔn)化;2015年12期

5 朱建明;王秦;;基于博弈論的網(wǎng)絡(luò)空間安全若干問題分析[J];網(wǎng)絡(luò)與信息安全學(xué)報(bào);2015年01期

6 劉小虎;張明清;張玉臣;孔紅山;;DDoS主動(dòng)防御系統(tǒng)防御能力量化仿真研究[J];信息工程大學(xué)學(xué)報(bào);2015年06期

7 YU Yang;XIA Chunhe;LI Shiying;LI Zhong;;Trust Type Based Trust Bootstrapping Model of Computer Network Collaborative Defense[J];中國(guó)通信;2015年12期

8 姜旭煒;文志誠(chéng);鄧勇杰;;基于綜合加權(quán)的層次化網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法[J];微型機(jī)與應(yīng)用;2015年21期

9 溫濤;張玉清;劉奇旭;楊剛;;UVDA:自動(dòng)化融合異構(gòu)安全漏洞庫(kù)框架的設(shè)計(jì)與實(shí)現(xiàn)[J];通信學(xué)報(bào);2015年10期

10 余洋;夏春和;王星河;;基于云模型的防御代理信任評(píng)估模型[J];計(jì)算機(jī)研究與發(fā)展;2015年10期

【二級(jí)參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 葉云;徐錫山;賈焰;齊治昌;;基于攻擊圖的網(wǎng)絡(luò)安全概率計(jì)算方法[J];計(jì)算機(jī)學(xué)報(bào);2010年10期

2 陳鋒;張怡;蘇金樹;韓文報(bào);;攻擊圖的兩種形式化分析[J];軟件學(xué)報(bào);2010年04期

3 張璽;黃曙光;夏陽;宋舜宏;;一種基于攻擊圖的漏洞風(fēng)險(xiǎn)評(píng)估方法[J];計(jì)算機(jī)應(yīng)用研究;2010年01期

4 陳鋒;蘇金樹;韓文報(bào);;一種基于智能規(guī)劃的攻擊圖快速構(gòu)建方法[J];解放軍理工大學(xué)學(xué)報(bào)(自然科學(xué)版);2008年05期

5 石進(jìn);郭山清;陸音;謝立;;一種基于攻擊圖的入侵響應(yīng)方法[J];軟件學(xué)報(bào);2008年10期

6 劉宇;張玉清;;基于網(wǎng)絡(luò)可生存性的網(wǎng)站保護(hù)系統(tǒng)[J];計(jì)算機(jī)工程;2008年19期

7 張海霞;蘇璞睿;馮登國(guó);;基于攻擊能力增長(zhǎng)的網(wǎng)絡(luò)安全分析模型[J];計(jì)算機(jī)研究與發(fā)展;2007年12期

8 張永錚;方濱興;遲悅;云曉春;;用于評(píng)估網(wǎng)絡(luò)信息系統(tǒng)的風(fēng)險(xiǎn)傳播模型[J];軟件學(xué)報(bào);2007年01期

9 馮萍慧;連一峰;戴英俠;李聞;張穎君;;面向網(wǎng)絡(luò)系統(tǒng)的脆弱性利用成本估算模型[J];計(jì)算機(jī)學(xué)報(bào);2006年08期

10 馮萍慧;連一峰;戴英俠;鮑旭華;;基于可靠性理論的分布式系統(tǒng)脆弱性模型[J];軟件學(xué)報(bào);2006年07期

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 趙松;吳晨思;謝衛(wèi)強(qiáng);賈紫藝;王鶴;張玉清;;基于攻擊圖的網(wǎng)絡(luò)安全度量研究[J];信息安全學(xué)報(bào);2019年01期

2 胡浩;劉玉嶺;張玉臣;張紅旗;;基于攻擊圖的網(wǎng)絡(luò)安全度量研究綜述[J];網(wǎng)絡(luò)與信息安全學(xué)報(bào);2018年09期

3 柳俊;;淺談高校網(wǎng)絡(luò)安全工作[J];科技資訊;2018年31期

4 崔光耀;;2018網(wǎng)絡(luò)安全五大看點(diǎn)[J];中國(guó)信息安全;2019年01期

5 董鐘鼎;;網(wǎng)絡(luò)安全實(shí)戰(zhàn)演練中的攻與防[J];中國(guó)信息安全;2019年01期

6 ;組織網(wǎng)絡(luò)安全演習(xí) 提升網(wǎng)絡(luò)防御能力[J];中國(guó)信息安全;2019年01期

7 林輝玉;;六策略捍衛(wèi)網(wǎng)絡(luò)安全[J];網(wǎng)絡(luò)安全和信息化;2016年07期

8 王耀東;;計(jì)算機(jī)網(wǎng)絡(luò)安全策略分析[J];計(jì)算機(jī)產(chǎn)品與流通;2018年12期

9 孫會(huì)峰;;2018網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展報(bào)告[J];信息安全研究;2019年02期

10 王曉光;;建設(shè)“六位一體”的網(wǎng)絡(luò)安全生態(tài)圈[J];信息安全研究;2019年02期

相關(guān)會(huì)議論文 前10條

1 楊皓冬;;保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全初探[A];國(guó)家教師科研專項(xiàng)基金科研成果2018（一）[C];2018年

2 梁俊華;;網(wǎng)絡(luò)安全防范技術(shù)研究[A];中國(guó)新聞技術(shù)工作者聯(lián)合會(huì)2017年學(xué)術(shù)年會(huì)論文集（學(xué)術(shù)論文篇）[C];2017年

3 黃文斌;;計(jì)算機(jī)網(wǎng)絡(luò)及網(wǎng)絡(luò)安全[A];“決策論壇——決策科學(xué)化與民主化學(xué)術(shù)研討會(huì)”論文集（下）[C];2017年

4 房博超;;計(jì)算機(jī)網(wǎng)絡(luò)安全問題及對(duì)策[A];天津市電子工業(yè)協(xié)會(huì)2017年年會(huì)論文集[C];2017年

5 張楠楠;;計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)[A];第三十一屆中國(guó)（天津）2017’IT、網(wǎng)絡(luò)、信息技術(shù)、電子、儀器儀表創(chuàng)新學(xué)術(shù)會(huì)議論文集[C];2017年

6 陳廣生;;計(jì)算機(jī)網(wǎng)絡(luò)安全教學(xué)改革策略研究[A];第三屆世紀(jì)之星創(chuàng)新教育論壇論文集[C];2016年

7 王敏;;計(jì)算機(jī)網(wǎng)絡(luò)安全的策略[A];2015第一屆世紀(jì)之星創(chuàng)新教育論壇論文集[C];2015年

8 楊增強(qiáng);戴昌裕;;淺議網(wǎng)絡(luò)安全技術(shù)與策略[A];2008年中國(guó)高校通信類院系學(xué)術(shù)研討會(huì)論文集（下冊(cè)）[C];2009年

9 秦仲學(xué);;影響網(wǎng)絡(luò)安全的因素分析及安全策略淺論[A];第十三屆全國(guó)計(jì)算機(jī)安全技術(shù)交流會(huì)論文集[C];1998年

10 李書旺;;單調(diào)系統(tǒng)的網(wǎng)絡(luò)安全[A];第三次全國(guó)計(jì)算機(jī)安全技術(shù)交流會(huì)論文集[C];1988年

相關(guān)重要報(bào)紙文章 前10條

1 畢舸;網(wǎng)絡(luò)安全需強(qiáng)化風(fēng)控與責(zé)任監(jiān)管[N];中國(guó)縣域經(jīng)濟(jì)報(bào);2016年

2 本報(bào)記者 盛利;網(wǎng)絡(luò)強(qiáng)國(guó)須把網(wǎng)絡(luò)安全核心技術(shù)掌握在自己手中[N];科技日?qǐng)?bào);2019年

3 杜昊 張胤;上海管局查處網(wǎng)絡(luò)安全違規(guī)案件[N];人民郵電;2019年

4 上海對(duì)外經(jīng)貿(mào)大學(xué) 張繼紅 顧郡雯;越南《網(wǎng)絡(luò)安全法》的特點(diǎn)[N];人民法院報(bào);2019年

5 記者 張麗嫻;市委網(wǎng)絡(luò)安全和信息化委員會(huì)召開第一次會(huì)議[N];丹東日?qǐng)?bào);2019年

6 證券日?qǐng)?bào)兩會(huì)報(bào)道組 曹衛(wèi)新 徐天曉;5G等新一輪技術(shù)革命將至 360集團(tuán)周鴻yN：成立國(guó)家級(jí)網(wǎng)絡(luò)安全大腦[N];證券日?qǐng)?bào);2019年

7 本報(bào)記者 張英;網(wǎng)絡(luò)安全筑屏障[N];人民郵電;2019年

8 本報(bào)記者 崔呂萍;以網(wǎng)絡(luò)安全保國(guó)家安全 以信息化推動(dòng)現(xiàn)代化[N];人民政協(xié)報(bào);2018年

9 本報(bào)記者 陳麗梅;勒索病毒敲響網(wǎng)絡(luò)安全警鐘[N];通信信息報(bào);2018年

10 賈慶森;行業(yè)協(xié)同創(chuàng)新掘金網(wǎng)絡(luò)安全藍(lán)海[N];東莞日?qǐng)?bào);2018年

相關(guān)博士學(xué)位論文 前10條

1 趙超;云環(huán)境下網(wǎng)絡(luò)安全監(jiān)控架構(gòu)及保障方法研究[D];哈爾濱工程大學(xué);2017年

2 夏正友;主動(dòng)網(wǎng)絡(luò)安全結(jié)構(gòu)模型及其相關(guān)技術(shù)研究[D];復(fù)旦大學(xué);2004年

3 張亞平;基于分布智能代理的自保護(hù)系統(tǒng)研究[D];天津大學(xué);2005年

4 高翔;網(wǎng)絡(luò)安全檢測(cè)關(guān)鍵技術(shù)研究[D];西北工業(yè)大學(xué);2004年

5 萬國(guó)根;面向內(nèi)容的網(wǎng)絡(luò)安全監(jiān)控模型及其關(guān)鍵技術(shù)研究[D];電子科技大學(xué);2005年

6 李偉明;網(wǎng)絡(luò)安全語言關(guān)鍵技術(shù)的研究[D];華中科技大學(xué);2006年

7 田大新;網(wǎng)絡(luò)安全中若干問題的研究[D];吉林大學(xué);2007年

8 蕭海東;網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與趨勢(shì)感知的分析研究[D];上海交通大學(xué);2007年

9 張建鋒;網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估若干關(guān)鍵技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2013年

10 牛峗;單通道10Gbps在線網(wǎng)絡(luò)安全處理器設(shè)計(jì)研究與實(shí)現(xiàn)[D];清華大學(xué);2014年

相關(guān)碩士學(xué)位論文 前10條

1 武趙俊;基于SDN的網(wǎng)絡(luò)安全方法的研究與實(shí)現(xiàn)[D];江蘇科技大學(xué);2018年

2 孟紫為;習(xí)近平網(wǎng)絡(luò)安全思想研究[D];湖南師范大學(xué);2018年

3 袁珊婷;網(wǎng)絡(luò)安全保險(xiǎn)及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)感知影響因素實(shí)證研究[D];湖南大學(xué);2018年

4 劉冠君;政府事業(yè)單位信息化網(wǎng)絡(luò)安全的實(shí)現(xiàn)[D];大連交通大學(xué);2016年

5 楊明遠(yuǎn);基于多源數(shù)據(jù)分析的網(wǎng)絡(luò)安全整體態(tài)勢(shì)與實(shí)時(shí)態(tài)勢(shì)評(píng)估技術(shù)研究[D];浙江大學(xué);2018年

6 徐文濤;基于網(wǎng)絡(luò)安全大數(shù)據(jù)靶標(biāo)系統(tǒng)的研究與構(gòu)建[D];戰(zhàn)略支援部隊(duì)信息工程大學(xué);2018年

7 曾麗嬌;基于攻防演化博弈的網(wǎng)絡(luò)安全態(tài)勢(shì)研究[D];西安電子科技大學(xué);2018年

8 朱立民;智能汽車網(wǎng)絡(luò)安全若干關(guān)鍵技術(shù)研究[D];湖南大學(xué);2017年

9 鄭濤;基于網(wǎng)絡(luò)安全的事件管理技術(shù)研究與應(yīng)用[D];東北石油大學(xué);2012年

10 周連秀;奧巴馬政府時(shí)期的中美網(wǎng)絡(luò)安全關(guān)系[D];南京大學(xué);2018年

，

本文編號(hào)：2708008