一种利用依赖关系图测量网络安全性的分析框架.docx

一种利用依赖关系图测量网络安全性的分析框架姓名：闫靓 学号4031531890 专业：计算机软件与理论摘要：攻击图是一种对多阶段、多关联的计算机网络攻击进行建模的常用工具。攻击图已被广泛用于测量网络安全风险。这类工作的主要部分就是使用基于主机或基于状态的攻击图。这些攻击图模型既不会有太多的限制也不会消耗太多资源。此外，这类工作中的一个重要部分就是使用的“成功利用网络的概率”作为安全度量。这种方法实现要求“能够成功利用个体的利用”。寻找这种可能性在本质上是很困难的。这项工作利用依赖关系图，这是一种空间有效的攻击图模型。它也包括了一种额外的花费，这种花费就是寻找个体利用的花费，并定义了一个安全度量“成功利用网络的最小花费”。这类问题的计算被证明是NP问题。提出了一种改进的深度优先分支定界算法用于计算这类问题。这项工作还规定其时间是线性的、可计算，“成功利用网络的预期花费”作为安全度量，并假设了一个随机的攻击模型和不相关的攻击图。关键字：网络安全，攻击图，利用依赖图，风险量化一．引言攻击图是一种多阶段的、多关联的计算机网络攻击建模工具。在检测隐藏的多阶段的攻击路径上，攻击图有很大的潜在用途，能够对安全风险获得有更深入的了解。在最近已被发表的许多工作[ 1 ]-[ 8 ]，使用攻击图来测量和分析网络安全。攻击图模型可以大致分为三类：基于主机的攻击图[ 9 ] - [ 13 ]，基于状态的攻击图[ 11 ] - [ 14 ]，和利用依赖图[ 1 ] - [ 3 ]，[ 15 ]。基于主机和基于状态的攻击图的大部分的安全度量工作已经完成，[ 9 ]，[ 14 ]，[ 16 ]，[ 17 ]。，利用依赖图的安全度量的工作主要取决于“成功利用网络的概率”[ 1 ]，[ 3 ]，[ 15 ]。基于主机和基于状态的攻击图受到一些基本的限制。基于主机的攻击图只能建模当攻击者从旧主机访问一个新的主机。许多利用被执行在状态中，并可能与其他潜在利用分享这些状态。这些状态不能有效地使用基于主机的攻击图表示。此外，许多家庭的攻击，如本地特权提升，中间人攻击等，不能用基于主机的攻击图有效地表示。基于状态的攻击图用图中的每一个顶点来表示网络的全部状态。因此，他们具有指数的空间复杂度。如果一个网络的状态可以用n个布尔情况进行编码，那么相应的基于状态的攻击图有2n个顶点。使用“成功利用网络的概率”作为安全度量是来自一个固有的问题。这种方法需要首先知道“成功利用单个的利用的概率”。这些概率几乎是不可能获得的，因为结果取决于许多因素，这些因素几乎是不可能的进行枚举或评估。这使得作者在[ 2 ]使用普遍的攻击指标通用利用评分系统或CVSS [ 18 ]，[ 19 ]来产生0到1之间的值，代替实际概率。这项工作试图提出一个安全度量的分析框架，通过以上讨论是可行的。这篇文章的主要贡献如下：将“利用依赖图”的概念扩展成“普通攻击图，并另外还有传统约束执行单调性和消除基本定义中允许可能的违规行为。提出一个理论框架，该框架用利用花费测量网络安全，并将其作为一个额外的属性。寻找“最小成本利用网络”并证明问题是NP问题。提出一个完整的优化深度优先的分支定界算法，使用多项式空间，找到一个最小成本的利用序列。提出一个线性时间算法来估计的“利用网络的预期成本”，提供一个随机攻击和一个不相关的攻击图。本文的其余部分分为四个部分。第二节正式定义攻击图，并介绍了“普通攻击图”的概念。第三节对“利用网络的最小成本”的问题进行计算，并证明它是NP问题。该部分还提出了一个深度优先的分支定界算法并利用网络找到一个“最小成本的利用序列”。第四部分提出了一种线性时间算法来估计的“利网络的预期成本”并提供一个在不相关的攻击图随机进行攻击的攻击者。第五部分总结了论文并提出未来研究方向。二．攻击图攻击图表示一个网络并且利用可以表示为图中元素。这项工作使用攻击图的依赖模型[ 1 ] [ 3 ]，[ 15 ]。在这个模型中，网络的状态用布尔条件编码。图中的顶点有两种类型，表示安全条件和连接它们的利用[ 1 ]，[ 3 ]，[ 20 ]，[ 21 ]，[ 15 ]。每一个利用都需要一定的安全条件来实现。使得在另一个不相交的安全条件集上执行成为可能。从攻击者的角度来看，安全条件表示已经获得的特权或可以通过执行攻击获得的特权。在本文中利用术语开发是相当松散的。攻击网络可能在大多数情况下，使用系统和服务的常规方式，如访问远程系统的。对于攻击图术语的目的，这项工作使用的术语意味着由攻击者执行的原子动作。定义定义1.给定一组有限的攻击E，一组有限的条件C，一个已获得的关系R?C×E，并暗示关系I?E×C，攻击图的定义为G（E∪C，R∪I）[ 21 ]。因此，攻击图是一个有向的双向图。如果（C，E）∈R或（E、C）∈I，条件C是利用