基于吸收Markov鏈的網(wǎng)絡(luò)入侵路徑預(yù)測(cè)方法

胡 浩 劉玉嶺 張紅旗 楊英杰 葉潤(rùn)國(guó)

1(解放軍信息工程大學(xué) 鄭州 450001) 2(中國(guó)科學(xué)院軟件研究所可信計(jì)算與信息保障實(shí)驗(yàn)室 北京 100190) 3(河南省信息安全重點(diǎn)實(shí)驗(yàn)室 鄭州 450001) 4 (中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院 北京 100007) (wjjhh_908@163.com)

網(wǎng)絡(luò)入侵是指攻擊者利用目標(biāo)網(wǎng)絡(luò)中的一些漏洞，通過(guò)實(shí)施蓄意的多步驟攻擊行為來(lái)達(dá)到最終的攻擊目的，使得網(wǎng)絡(luò)安全領(lǐng)域面臨嚴(yán)峻的考驗(yàn)與挑戰(zhàn)[1-3].如臭名昭著的Zeus僵尸網(wǎng)絡(luò)[2]實(shí)施掃描探測(cè)、溢出攻擊、感染目標(biāo)主機(jī)、病毒傳播和竊取用戶信息這5個(gè)步驟使國(guó)家、企業(yè)和個(gè)人遭受了無(wú)法挽回的經(jīng)濟(jì)損失.日益泛濫的蠕蟲(chóng)攻擊[3]也屬多步攻擊范疇，防護(hù)基于多步攻擊的網(wǎng)絡(luò)入侵刻不容緩.入侵路徑預(yù)測(cè)旨在通過(guò)分析網(wǎng)絡(luò)節(jié)點(diǎn)的脆弱性關(guān)系，從攻擊者角度出發(fā)，分析可能的攻擊路徑，預(yù)測(cè)潛在的攻擊行為，挖掘關(guān)鍵威脅節(jié)點(diǎn)，為網(wǎng)絡(luò)安全主動(dòng)防御提供重要依據(jù)，受到國(guó)內(nèi)外學(xué)者的廣泛關(guān)注[4-20].

早期研究主要圍繞設(shè)計(jì)隨機(jī)模型來(lái)描述多步攻擊狀態(tài)變遷過(guò)程，進(jìn)而利用概率論及數(shù)學(xué)推理的相關(guān)知識(shí)來(lái)預(yù)測(cè)可能的狀態(tài)轉(zhuǎn)移情形.Yu等人[4]利用隱彩色Petri網(wǎng)區(qū)分不同攻擊行為節(jié)點(diǎn)，對(duì)告警進(jìn)行關(guān)聯(lián)，能夠預(yù)測(cè)潛在的攻擊路徑.呂慧穎等人[5]構(gòu)造了威脅狀態(tài)轉(zhuǎn)移圖來(lái)分析威脅事件的時(shí)空關(guān)聯(lián)，實(shí)時(shí)識(shí)別威脅狀態(tài)，并預(yù)測(cè)攻擊路徑.考慮到不同攻擊步驟間存在因果關(guān)聯(lián)，王碩等人[6]將單步攻擊間的轉(zhuǎn)移概率表示為因果知識(shí)，設(shè)計(jì)了因果知識(shí)網(wǎng)絡(luò)描述網(wǎng)絡(luò)入侵過(guò)程，并利用Dijkstra算法預(yù)測(cè)不同能力的攻擊者在入侵路徑選擇上的差異性.劉玉嶺等人[7]融合攻擊方、防護(hù)方和網(wǎng)絡(luò)環(huán)境信息，通過(guò)時(shí)空維度分析，預(yù)測(cè)了基于攻擊威脅的網(wǎng)絡(luò)安全態(tài)勢(shì)的變化趨勢(shì)，輔助攻擊意圖識(shí)別和路徑預(yù)測(cè)的研究.

近年來(lái)，攻擊圖(attack graph, AG)[8-22]作為一種基于圖論的脆弱性評(píng)估模型，已成為研究多步攻擊的主流方法，它從攻擊者的角度出發(fā)，在綜合分析多種網(wǎng)絡(luò)配置和脆弱性信息的基礎(chǔ)上，枚舉所有可能的攻擊路徑，從而幫助防御者直觀地理解目標(biāo)網(wǎng)絡(luò)內(nèi)各個(gè)脆弱性之間的關(guān)系，以及由此產(chǎn)生的潛在威脅.目前研究者已開(kāi)發(fā)多種攻擊圖自動(dòng)生成工具(如MulVAL，TVA，NetSPA等[8])，興起了攻擊圖研究的新一輪熱潮.

Kerem[8]綜述了攻擊圖的研究現(xiàn)狀，指出攻擊圖的可達(dá)性分析和路徑研究是攻擊圖研究的重點(diǎn)之一.Sheyner等人[9]最早將概率論與攻擊圖相結(jié)合，基于Markov決策過(guò)程，利用條件轉(zhuǎn)移概率分析非確定性節(jié)點(diǎn)，指出攻擊者傾向于選擇最有利于實(shí)現(xiàn)攻擊目標(biāo)的路徑完成狀態(tài)轉(zhuǎn)移.Sarraute等人[10]改進(jìn)了Floyd-Warshall算法來(lái)預(yù)測(cè)最短攻擊路徑.Abraham等人[11]通過(guò)分析漏洞生命周期，預(yù)測(cè)了路徑長(zhǎng)度隨時(shí)間的變化規(guī)律.針對(duì)攻擊發(fā)生的不確定性問(wèn)題，劉強(qiáng)等人[12]引入不確定攻擊圖，利用最佳漏洞利用鏈，衡量最有可能的攻擊路徑.陳小軍等人[13]在攻擊圖模型中引入轉(zhuǎn)移概率表，利用觀測(cè)事件推理單步攻擊的不確定性，通過(guò)累積概率預(yù)測(cè)最有可能的攻擊路徑.Zhu等人[14]利用聚類(lèi)告警關(guān)聯(lián)分析，借鑒神經(jīng)網(wǎng)絡(luò)技術(shù)構(gòu)建完整攻擊場(chǎng)景，挖掘潛在的攻擊策略.相關(guān)研究還包括路徑數(shù)量評(píng)估[15]、路徑長(zhǎng)度的中位值分析[16]、平均路徑長(zhǎng)度度量[17]、最短耗時(shí)路徑預(yù)測(cè)[18].在實(shí)際應(yīng)用方面，Dai等人[19]分析了如何利用攻擊圖中的最大風(fēng)險(xiǎn)流路徑來(lái)預(yù)測(cè)潛在威脅.通過(guò)阻斷最大可能攻擊路徑，Nayot等人[20]設(shè)計(jì)了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的動(dòng)態(tài)評(píng)估方法.

梳理以上研究成果發(fā)現(xiàn)，盡管現(xiàn)有研究很多，但主要圍繞理想攻擊場(chǎng)景下的路徑預(yù)測(cè)展開(kāi)研究，默認(rèn)每次漏洞利用都能成功實(shí)施，包括了最大可能攻擊路徑、成功概率和路徑數(shù)量等，然而理想的最大可能攻擊路徑不一定是攻擊者采用的攻擊路徑，需對(duì)攻擊路徑的概率分布、原子攻擊次數(shù)和節(jié)點(diǎn)威脅度等進(jìn)行全面感知分析，更全面地輔助安全管理員決策.

針對(duì)此問(wèn)題，本文將吸收Markov鏈 (absorbing Markov chain, AMC)引入到攻擊圖研究領(lǐng)域，由于AMC中狀態(tài)轉(zhuǎn)移具有無(wú)后效性和吸收性質(zhì)，符合網(wǎng)絡(luò)攻擊的隨機(jī)性和目標(biāo)狀態(tài)節(jié)點(diǎn)的可達(dá)性特點(diǎn)，提出基于吸收Markov鏈的攻擊路徑預(yù)測(cè)方法.首先證明完整攻擊圖可以映射到吸收Markov鏈，然后基于通用漏洞評(píng)分標(biāo)準(zhǔn)(common vulnerability scoring system, CVSS)[21]提出狀態(tài)轉(zhuǎn)移概率度量方法，分析并構(gòu)造狀態(tài)轉(zhuǎn)移概率矩陣，在此基礎(chǔ)上設(shè)計(jì)2種預(yù)測(cè)算法，計(jì)算節(jié)點(diǎn)訪問(wèn)次數(shù)期望值和攻擊路徑長(zhǎng)度期望值，最后通過(guò)實(shí)驗(yàn)驗(yàn)證本文方法的有效性.

本文的主要貢獻(xiàn)：1)預(yù)測(cè)不同攻擊狀態(tài)節(jié)點(diǎn)訪問(wèn)次數(shù)的期望值，并對(duì)節(jié)點(diǎn)的威脅進(jìn)行排序；2)分析不同長(zhǎng)度攻擊路徑的概率分布，并計(jì)算路徑長(zhǎng)度的期望值.前者可用于指導(dǎo)網(wǎng)絡(luò)安全管理員實(shí)施脆弱性修復(fù)的優(yōu)先順序;后者利于掌握攻擊者利用不同路徑入侵的可能性，并預(yù)測(cè)完成攻擊目標(biāo)所需攻擊步驟的數(shù)量.

1 基于吸收Markov鏈的攻擊圖

吸收Markov鏈適用于隨機(jī)模型的狀態(tài)轉(zhuǎn)移預(yù)測(cè)問(wèn)題，基本思想是將攻擊圖映射到吸收Markov鏈，建立基于吸收Markov鏈的攻擊圖模型.一方面Markov鏈的無(wú)后效性符合攻擊狀態(tài)轉(zhuǎn)移僅與相鄰狀態(tài)有關(guān)的特點(diǎn)；另一方面，網(wǎng)絡(luò)攻擊至少存在一種終止?fàn)顟B(tài)，與吸收Markov鏈的吸收態(tài)相符.

1.1 預(yù)備知識(shí)

為方便描述，文中主要符號(hào)及表達(dá)式的含義如表1所示：

Table 1 Symbols and Their Descriptions in This Paper表1 本文主要符號(hào)及其描述

定義1. 原子攻擊a.指攻擊者在網(wǎng)絡(luò)中實(shí)施的單個(gè)攻擊動(dòng)作，其可能是對(duì)主機(jī)服務(wù)的掃描或?qū)χ鳈C(jī)漏洞的1次利用，每個(gè)原子攻擊動(dòng)作觸發(fā)攻擊者轉(zhuǎn)移到1個(gè)攻擊狀態(tài)S，原子攻擊發(fā)生的概率為p(a).

定義2. 攻擊路徑AR.指攻擊者從初始狀態(tài)節(jié)點(diǎn)到目標(biāo)狀態(tài)節(jié)點(diǎn)有向邊的集合，攻擊路徑AR=S1→S2→…→Sn.

定義3. 攻擊路徑長(zhǎng)度RL.指攻擊路徑中包含的邊的數(shù)量，即RL=n-1.

定義4. 攻擊成功概率p(AR).指攻擊路徑中所有狀態(tài)轉(zhuǎn)移都成功的概率p(AR)=p(a1)×p(a2)×…×p(aRL).

定義5. 攻擊路徑期望長(zhǎng)度EARL.指攻擊者為實(shí)現(xiàn)攻擊目標(biāo)所實(shí)施的攻擊步驟的數(shù)學(xué)期望值.

定義6. 狀態(tài)訪問(wèn)期望次數(shù).指實(shí)現(xiàn)攻擊目標(biāo)過(guò)程中，某個(gè)狀態(tài)節(jié)點(diǎn)訪問(wèn)次數(shù)的數(shù)學(xué)期望值.

定義7. 狀態(tài)節(jié)點(diǎn)威脅排序.指不同狀態(tài)節(jié)點(diǎn)對(duì)實(shí)現(xiàn)攻擊目標(biāo)的貢獻(xiàn)排序，節(jié)點(diǎn)排序越靠前，表明該節(jié)點(diǎn)的威脅越大.

關(guān)于上述定義的3點(diǎn)補(bǔ)充說(shuō)明：

2) 在定義6中，理想情況下每次狀態(tài)轉(zhuǎn)移都能成功(對(duì)應(yīng)原子攻擊成功實(shí)施)，而實(shí)際情況下，由于攻擊者對(duì)網(wǎng)絡(luò)結(jié)構(gòu)不熟悉，原子攻擊存在概率，若攻擊狀態(tài)轉(zhuǎn)移失敗，看作是對(duì)原狀態(tài)的重復(fù)訪問(wèn)，在存在狀態(tài)重復(fù)轉(zhuǎn)移的情況下，求解EARL存在困難性.

3) 在定義7中，對(duì)于攻擊者而言，漏洞利用越頻繁的節(jié)點(diǎn)對(duì)于實(shí)現(xiàn)攻擊的貢獻(xiàn)值越高，因而對(duì)網(wǎng)絡(luò)安全的威脅越大.本文利用定義6中不同狀態(tài)節(jié)點(diǎn)訪問(wèn)次數(shù)期望值的高低對(duì)節(jié)點(diǎn)威脅進(jìn)行排序.

1.2 攻擊圖的概念

攻擊圖是對(duì)多步攻擊行為關(guān)聯(lián)建模的有效方法，從攻擊者角度出發(fā)，描述了攻擊狀態(tài)轉(zhuǎn)移過(guò)程，是一個(gè)有向圖，如圖1所示:

Fig. 1 Model of attack graph圖1 攻擊圖模型

定義8. 攻擊圖AG.使用一個(gè)四元組AG=(S,A,E,Δ)來(lái)表示，其中，S表示狀態(tài)節(jié)點(diǎn)集合，A表示原子攻擊節(jié)點(diǎn)集合，E表示為狀態(tài)節(jié)點(diǎn)間的有向邊集合，Δ表示狀態(tài)轉(zhuǎn)移概率集合.

1)S={Si|i=1,2,…,n}表示n個(gè)不同狀態(tài)節(jié)點(diǎn)構(gòu)成的集合；

2)E?S×S，?ei,j∈E，ei,j表示連接節(jié)點(diǎn)Si和Sj的邊，其中Si表示ei,j的起始狀態(tài)節(jié)點(diǎn)，Sj表示ei,j的目的狀態(tài)節(jié)點(diǎn)，實(shí)現(xiàn)狀態(tài)轉(zhuǎn)移ei,j依賴(lài)的原子攻擊為a；

3) ?Δ(ei,j)∈Δ，Δ(ei,j)表示攻擊者由狀態(tài)Si轉(zhuǎn)到狀態(tài)Sj的概率p(Sj|Si)，且Δ(ei,j)等于原子攻擊a的發(fā)生概率p(a).

利用脆弱性掃描工具如Nessus，Retina[22]對(duì)網(wǎng)絡(luò)進(jìn)行漏洞掃描，依據(jù)部署網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)與采集到的脆弱性集，結(jié)合攻擊圖自動(dòng)生成工具M(jìn)ulVAL[23]構(gòu)建攻擊圖，避免了手動(dòng)構(gòu)建的復(fù)雜性，是目前的主流構(gòu)造方法.

1.3 吸收Markov鏈的相關(guān)定義

定義9. Markov鏈MC[24].對(duì)于一個(gè)離散的包含有限狀態(tài)的隨機(jī)序列集合X={x1,x2,…,xn}，如果每個(gè)狀態(tài)值僅與前一個(gè)相鄰的狀態(tài)值有關(guān)，而與再之前的狀態(tài)無(wú)關(guān)，稱(chēng)為Markov鏈.

p(xi|xi-1,xi-2,…,x1)=p(xi|xi-1).

定義10. 狀態(tài)轉(zhuǎn)移概率矩陣P.將Markov鏈中的狀態(tài)轉(zhuǎn)移概率用鄰接矩陣P表示，其中pi,j表示狀態(tài)xi→xj的概率，若xi→xj不可達(dá)，令pi,j=0，矩陣P滿足

其中,0≤pi,j≤1(1≤i,j≤n).

定義11. 初始狀態(tài).表示攻擊者的出發(fā)狀態(tài)，該狀態(tài)節(jié)點(diǎn)只有流出邊，沒(méi)有流入邊.

定義12. 吸收狀態(tài).表示攻擊者的目標(biāo)狀態(tài)，該狀態(tài)節(jié)點(diǎn)只有流入邊，沒(méi)有流出邊.

定義13. 過(guò)渡狀態(tài).狀態(tài)序列中，除去吸收狀態(tài)的其他狀態(tài)稱(chēng)為過(guò)渡狀態(tài).

定義14. 吸收Markov鏈AMC[24].含有吸收狀態(tài)的Markov鏈稱(chēng)為吸收Markov鏈，對(duì)應(yīng)狀態(tài)轉(zhuǎn)移概率矩陣表示為

其中，Q是t×t的矩陣，表示過(guò)渡狀態(tài)間的轉(zhuǎn)移概率；0是r×t的零矩陣；R是t×r的非零矩陣，表示過(guò)渡狀態(tài)到吸收狀態(tài)的轉(zhuǎn)移概率；I是r×r的單位矩陣；所有狀態(tài)數(shù)量n=t+r.

1.4 攻擊圖到吸收Markov鏈的映射

本節(jié)給出攻擊圖中狀態(tài)轉(zhuǎn)移概率的歸一化處理算法，并生成狀態(tài)轉(zhuǎn)移概率矩陣，在此基礎(chǔ)上證明完整的攻擊圖可以映射到吸收Markov鏈.

命題1. 1個(gè)完整的攻擊圖中至少包含1個(gè)吸收狀態(tài).

證明. 由于攻擊圖描述了網(wǎng)絡(luò)的脆弱性利用關(guān)系，通過(guò)基于脆弱性利用的多步關(guān)聯(lián)，攻擊者最終將達(dá)到穩(wěn)定的終止?fàn)顟B(tài)，因此攻擊圖的終止?fàn)顟B(tài)即吸收狀態(tài)，且至少包含1個(gè)吸收狀態(tài).

證畢.

攻擊圖邊值歸一化處理的具體算法步驟如下：

算法1. 狀態(tài)轉(zhuǎn)移概率歸一化算法.

輸入：攻擊圖AG=(S,A,E,Δ)；

輸出：吸收Markov鏈AMC的狀態(tài)轉(zhuǎn)移概率矩陣P.

步驟1. 令i,j=1，G=S，其中i和j分別表示矩陣P的第i行和第j列；

步驟2. 令k=1，k表示節(jié)點(diǎn)Si的第k條流出邊的編號(hào)；

步驟4. 對(duì)于節(jié)點(diǎn)Si∈S，從節(jié)點(diǎn)集合G中隨機(jī)選取1個(gè)節(jié)點(diǎn)Sj，令G={G-Sj}；

步驟6. 令j=j+1，若j≤n，則轉(zhuǎn)至步驟4，否則該步驟結(jié)束，令j=1，k=1，G=S；

按序賦值給矩陣P中第i行位置(i,j1),(i,j2),…,(i,jk)上的元素值pi,j1,pi,j2,…,pi,jk，該步驟結(jié)束；

步驟8. 令i=i+1，若i≤n，則轉(zhuǎn)至步驟1，對(duì)于每個(gè)狀態(tài)節(jié)點(diǎn)Si，重復(fù)步驟4～6，完成節(jié)點(diǎn)Si流出邊的概率值歸一化處理，并生成矩陣P的第i行；若i>n，則該步驟結(jié)束；

步驟9. 輸出狀態(tài)轉(zhuǎn)移概率矩陣P，算法結(jié)束.

命題2. 1個(gè)完整的攻擊圖可以映射為1個(gè)吸收Markov鏈，若以下2個(gè)條件成立:

1) 對(duì)于任意狀態(tài)節(jié)點(diǎn)Si滿足定義10，即該節(jié)點(diǎn)的所有流出邊的概率之和等于1；

2) 至少包含1個(gè)吸收狀態(tài)節(jié)點(diǎn).

證明. 1)利用算法1，得到任意節(jié)點(diǎn)Si滿足：

2) 由命題1可知條件2)滿足.

綜上，命題2成立.

證畢.

圖1攻擊圖對(duì)應(yīng)的Markov鏈的狀態(tài)轉(zhuǎn)移概率矩陣如下：

Fig. 2 Exploitability scoring standard of CVSS圖2 CVSS的漏洞可利用性評(píng)分標(biāo)準(zhǔn)

2 攻擊路徑預(yù)測(cè)

在第1節(jié)的基礎(chǔ)上，本節(jié)首先給出一種通用的基于CVSS的轉(zhuǎn)移概率度量方法，然后分析節(jié)點(diǎn)訪問(wèn)次數(shù)的期望值，最后計(jì)算攻擊路徑長(zhǎng)度的期望值.

2.1 基于CVSS的轉(zhuǎn)移概率度量

CVSS由美國(guó)國(guó)家基礎(chǔ)建設(shè)咨詢(xún)委員會(huì)發(fā)布，是漏洞評(píng)估的行業(yè)公開(kāi)標(biāo)準(zhǔn)，其制定的漏洞可利用性評(píng)分準(zhǔn)則(如圖2所示)全面衡量了漏洞的利用難度，通過(guò)查詢(xún)美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)(national vulner-ability database, NVD)[25]可以得到具體值.本文利用攻擊難度來(lái)度量狀態(tài)轉(zhuǎn)移概率，給出一種基于CVSS的轉(zhuǎn)移概率度量方法，以增強(qiáng)研究的通用性.

由圖2可知，CVSS給出原子攻擊a依賴(lài)漏洞的可利用性得分score(a)=20×AV×AC×AU，且0

設(shè)攻擊圖AG中狀態(tài)轉(zhuǎn)移邊e的概率值與依賴(lài)原子攻擊a的可利用性得分score(a)成正比，即Δ(e)=f×score(a)，其中f是比例系數(shù).對(duì)于任意節(jié)點(diǎn)Si的流出邊ei,j1,ei,j2,…,ei,jk，利用算法1標(biāo)準(zhǔn)化處理后的轉(zhuǎn)移概率為

2.2 節(jié)點(diǎn)訪問(wèn)次數(shù)的期望值預(yù)測(cè)

本節(jié)首先給出吸收Markov鏈中狀態(tài)轉(zhuǎn)移滿足的若干引理，其中引理1給出n步攻擊后的AMC的狀態(tài)轉(zhuǎn)移概率矩陣，引理2證明經(jīng)過(guò)n(n→∞)步后，過(guò)渡狀態(tài)間的轉(zhuǎn)移概率為0，在此基礎(chǔ)上結(jié)合概率論，定理1得到狀態(tài)節(jié)點(diǎn)訪問(wèn)次數(shù)的期望值求解矩陣，最后給出節(jié)點(diǎn)訪問(wèn)次數(shù)期望值計(jì)算流程.

證明. 利用數(shù)學(xué)歸納法進(jìn)行證明：

1) 當(dāng)m=2時(shí)，由下式可知結(jié)論成立

2) 假設(shè)當(dāng)m=m-1時(shí)結(jié)論成立，即:

則滿足:

因此假設(shè)成立，由1)2)可知引理1成立.

證畢.

引理2. 攻擊者從任意非吸收狀態(tài)出發(fā)，最終都會(huì)到達(dá)吸收狀態(tài)，即經(jīng)過(guò)m(m→∞)步后，過(guò)渡狀態(tài)間的期望轉(zhuǎn)移概率為0，滿足:

證畢.

定理1. 攻擊者從過(guò)渡狀態(tài)Si出發(fā)，在吸收前訪問(wèn)過(guò)渡狀態(tài)Sj的次數(shù)期望值用Ni,j表示，其中1≤i,j≤t，設(shè)N為大小為t×t的矩陣，將Ni,j賦值給矩陣N中位置(i,j)元素，稱(chēng)N為攻擊次數(shù)期望值矩陣，則N=(I-Q)-1.

證明. 1) 攻擊者從節(jié)點(diǎn)Si出發(fā)，分別經(jīng)過(guò)m=0,1,2,3,…步，訪問(wèn)節(jié)點(diǎn)Sj的次數(shù)期望值總和

綜合1)2)可知，定理1成立.

證畢.

基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和漏洞掃描信息，利用自動(dòng)生成工具M(jìn)ulVAL生成攻擊圖AG，通過(guò)查詢(xún)NVD數(shù)據(jù)庫(kù)得到漏洞可利用性得分，在此基礎(chǔ)上給出節(jié)點(diǎn)訪問(wèn)次數(shù)的期望值預(yù)測(cè)步驟如下:

方法1. 節(jié)點(diǎn)訪問(wèn)次數(shù)的期望值預(yù)測(cè)方法.

輸入：攻擊圖AG、所有漏洞的可利用性得分score(a)；

輸出：以狀態(tài)節(jié)點(diǎn)Si為初始節(jié)點(diǎn)，在吸收前轉(zhuǎn)移到節(jié)點(diǎn)S1,S2,…,St的期望次數(shù)Ni,1,Ni,2,…,Ni,t，以及節(jié)點(diǎn)威脅排序.

步驟1. 依據(jù)算法1，利用2.1節(jié)轉(zhuǎn)移概率度量方法，結(jié)合AG的漏洞可利用性得分生成AMC的n×n的狀態(tài)轉(zhuǎn)移概率矩陣P，其中矩陣P的第i行向量的位置(i,j1),(i,j2),…,(i,jk)上的元素值為

其余位置的元素值為0；

步驟2. 由矩陣P構(gòu)造t×t的過(guò)渡狀態(tài)間的轉(zhuǎn)移概率矩陣Q；

步驟3. 計(jì)算t×t期望值矩陣N=(I-Q)-1，輸出行向量(Ni,1,Ni,2,…,Ni,t)；

步驟4. 依據(jù)(Ni,1,Ni,2,…,Ni,t)中元素值大小對(duì)節(jié)點(diǎn)S1,S2,…,St的威脅進(jìn)行排序，步驟結(jié)束.

下面以圖3攻擊圖為例，簡(jiǎn)要說(shuō)明方法流程.

The value next to the arrow line means the transition probability from one state to another.Fig. 3 Example of attack graph圖3 攻擊圖實(shí)例

為簡(jiǎn)化說(shuō)明，圖3中狀態(tài)轉(zhuǎn)移概率值已歸一化處理，過(guò)渡狀態(tài)為S1,S2,S3，吸收狀態(tài)為S4，得到狀態(tài)轉(zhuǎn)移概率矩陣Q和P，并計(jì)算期望值矩陣N.

由N的第1行可知，從初始狀態(tài)S1出發(fā)，訪問(wèn)節(jié)點(diǎn)S2,S3次數(shù)的期望值為87，57，此時(shí)節(jié)點(diǎn)的威脅排序?yàn)镾2>S3.

2.3 攻擊路徑長(zhǎng)度的期望值預(yù)測(cè)

本節(jié)在2.2節(jié)的基礎(chǔ)上，首先給出求解攻擊路徑長(zhǎng)度的期望值向量的推論，在此基礎(chǔ)上分析路徑長(zhǎng)度的期望值計(jì)算過(guò)程.

推論1. 攻擊者從節(jié)點(diǎn)Si(1≤i≤t)出發(fā)，吸收前轉(zhuǎn)移總次數(shù)的期望值(期望路徑長(zhǎng)度)用Ti表示，設(shè)T是大小為t×1的矩陣，C是大小為t×1的單位矩陣，將Ti賦值給T位置(i,1)的元素，稱(chēng)T為期望路徑長(zhǎng)度矩陣，則T=N·C.

證明. 由定理1可知，對(duì)于任意節(jié)點(diǎn)Si，在吸收前轉(zhuǎn)移到節(jié)點(diǎn)S1,S2,…,St的次數(shù)分別為Ni,1,Ni,2,…,Ni,t，則從節(jié)點(diǎn)Si出發(fā)的期望攻擊路徑長(zhǎng)度Ti=Ni,1+Ni,2+…+Ni,t，因此T=(Ti)=(Ni,1+Ni,2+…+Ni,t)=N·C.

結(jié)合拓?fù)浞治龊吐┒磼呙?，利用工具M(jìn)ulVAL生成攻擊圖，查詢(xún)NVD數(shù)據(jù)庫(kù)得到漏洞信息，并設(shè)計(jì)攻擊路徑長(zhǎng)度的期望值預(yù)測(cè)方法如下:

方法2. 攻擊路徑長(zhǎng)度的期望值預(yù)測(cè)方法.

輸入：攻擊圖AG、所有漏洞的可利用性得分score(a)；

輸出：狀態(tài)節(jié)點(diǎn)Si作為初始節(jié)點(diǎn)，攻擊路徑長(zhǎng)度的期望值Ti.

步驟1. 結(jié)合算法1和方法1，構(gòu)造AMC的n×n狀態(tài)轉(zhuǎn)移概率矩陣P，位置(i,j1),(i,j2),…,(i,jk)值為

第i行其余元素值為0；

步驟2. 構(gòu)造AMC的過(guò)渡狀態(tài)間的轉(zhuǎn)移概率矩陣Q，大小為t×t；

步驟3. 計(jì)算t×t的訪問(wèn)次數(shù)期望值矩陣N=(I-Q)-1；

步驟4. 令C=(1,1,…,1)T，大小為t×1，計(jì)算t×1的路徑長(zhǎng)度期望值向量T=N·C，輸出節(jié)點(diǎn)Si出發(fā)的路徑長(zhǎng)度的期望值EARL(Si)=Ti，步驟結(jié)束.

計(jì)算復(fù)雜度分析如下：

1) 算法執(zhí)行包含矩陣求逆、矩陣相加和矩陣相乘過(guò)程，其中矩陣相乘的時(shí)間復(fù)雜度最高，當(dāng)2個(gè)n×n矩陣相乘時(shí)，包含2n3次乘法運(yùn)算，因此時(shí)間復(fù)雜度的階數(shù)為O(n3).

2) 算法需要維護(hù)n×n矩陣P、t×t矩陣Q、t×t矩陣N、t×1矩陣T和C，因此存儲(chǔ)復(fù)雜度為O(n2).

綜上，算法復(fù)雜度符合多項(xiàng)式時(shí)間級(jí)別，在當(dāng)前計(jì)算環(huán)境下能夠執(zhí)行實(shí)時(shí)運(yùn)算.

對(duì)于圖3的攻擊圖，

則從節(jié)點(diǎn)S1,S2,S3出發(fā)的攻擊路徑長(zhǎng)度的期望值為207，127，157.

結(jié)合引理2及定理1，

結(jié)合定義14，[Ν·R]i,j表示攻擊者由過(guò)渡狀態(tài)Si轉(zhuǎn)移到吸收狀態(tài)Sj的概率.計(jì)算

驗(yàn)證任何過(guò)渡狀態(tài)最終都會(huì)以概率1轉(zhuǎn)移到吸收狀態(tài).

3 實(shí)驗(yàn)與分析

為了驗(yàn)證本文方法的有效性和適用性，我們?cè)O(shè)計(jì)了2個(gè)實(shí)驗(yàn)對(duì)該方法進(jìn)行了測(cè)試分析.其中實(shí)驗(yàn)1參照文獻(xiàn)[6]搭建了一個(gè)小型模擬攻防環(huán)境；實(shí)驗(yàn)2選用林肯實(shí)驗(yàn)室提供的經(jīng)典DARPA2000標(biāo)準(zhǔn)測(cè)試集[26]，分析DDOS攻擊場(chǎng)景下的實(shí)驗(yàn)結(jié)果.最后給出本方法與現(xiàn)有方法的綜合對(duì)比分析.

Fig. 4 Experimental network topology圖4 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

3.1 實(shí)驗(yàn)1

為驗(yàn)證本文方法的有效性，搭建了一個(gè)實(shí)際網(wǎng)絡(luò)來(lái)進(jìn)行測(cè)試.實(shí)驗(yàn)拓?fù)淙鐖D4所示，網(wǎng)絡(luò)中包括防火墻、入侵檢測(cè)系統(tǒng)Snort IDS、2臺(tái)主機(jī)以及3臺(tái)服務(wù)器.防火墻預(yù)先設(shè)置策略將網(wǎng)絡(luò)分為2個(gè)子網(wǎng)，使得服務(wù)器H1，H2分布在DMZ Zone，服務(wù)器H3，H4，H5分布在Trusted Zone.防火墻1禁止外部主機(jī)訪問(wèn)Trusted Zone中的服務(wù)器，僅可以利用HTTP協(xié)議(80端口)與DMZ Zone內(nèi)的主機(jī)H1和H2進(jìn)行通信.防火墻2允許DMZ Zone內(nèi)的主機(jī)和Trusted Zone中的服務(wù)器進(jìn)行通信，且Trusted Zone內(nèi)的服務(wù)器僅可以被動(dòng)接收服務(wù)請(qǐng)求.依據(jù)攻擊發(fā)起的初始位置，攻擊分為內(nèi)部和外部攻擊2種.

3.1.1 實(shí)驗(yàn)環(huán)境信息

利用脆弱性掃描工具Nessus對(duì)各網(wǎng)段進(jìn)行掃描，并通過(guò)查詢(xún)NVD得到各主機(jī)包含的漏洞信息如表2所示：

Table 2 Host Configuration and Vulnerability Information in Network表2 網(wǎng)絡(luò)主機(jī)配置及漏洞信息

依據(jù)部署網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)與采集的脆弱性集，利用工具M(jìn)ulVAL生成攻擊圖如圖5所示，不同狀態(tài)間轉(zhuǎn)移依賴(lài)的漏洞已標(biāo)注，到節(jié)點(diǎn)自身的狀態(tài)轉(zhuǎn)移邊用虛線標(biāo)出，邊值標(biāo)注為狀態(tài)轉(zhuǎn)移的可利用性得分，共有7種不同的攻擊狀態(tài)，S1表示外部攻擊者的初始狀態(tài)，各狀態(tài)信息描述如表3所示:

The value next to the arrow line means the exploitability score of vulnerability. Fig. 5 Attack graph of experimental network圖5 實(shí)驗(yàn)網(wǎng)絡(luò)攻擊圖

No.DescriptionNo.DescriptionS1RemoteAttackerS5(H3,Root)S2(H1,Root)S6(H4,User)S3(H2,Root)S7(H5,Root)S4(H3,User)

3.1.2 計(jì)算過(guò)程描述

步驟1. 基于CVSS的轉(zhuǎn)移概率度量.

利用2.1節(jié)狀態(tài)轉(zhuǎn)移概率歸一化方法，生成吸收Markov鏈的狀態(tài)轉(zhuǎn)移概率表,如表4所示，對(duì)應(yīng)吸收Markov鏈攻擊圖如圖6所示.

Table 4 Probability Table of State Transition表4 狀態(tài)轉(zhuǎn)移概率表

Fig. 6 Absorbing Markov chain attack graph圖6 吸收Markov鏈攻擊圖

步驟2. 節(jié)點(diǎn)訪問(wèn)次數(shù)的期望值預(yù)測(cè).

理想情況下，若入侵場(chǎng)景中的每次漏洞利用都成功實(shí)施，所有可能的11條入侵路徑及其概率分布如表5所示，其中最短路徑長(zhǎng)度為3，最長(zhǎng)路徑長(zhǎng)度為5，路徑長(zhǎng)度的中位值為4，理想路徑長(zhǎng)度的平均值為(4+4+5+3+4+4+5+3+3+3+4)11=3.818.最大可能攻擊路徑為S1→S3→S6→S7，累積成功概率為0.444×0.391×0.5=0.087，該攻擊過(guò)程描述如下：為獲得服務(wù)器H5的root權(quán)限，攻擊者首先對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行IPsweep地址掃描，搜尋有效主機(jī)，發(fā)現(xiàn)有效主機(jī)H2，通過(guò)端口掃描，發(fā)現(xiàn)其通信端口為80，利用postgresql服務(wù)上的漏洞CVE 2014-0063，獲得root權(quán)限；隨后攻擊者利用bmc服務(wù)上的漏洞CVE 2013-4782獲得服務(wù)器H4的用戶權(quán)限；進(jìn)一步以服務(wù)器H4為跳板，利用radius服務(wù)上的漏洞CVE 2014-1878獲得服務(wù)器H5的root權(quán)限，實(shí)現(xiàn)攻擊目標(biāo).

Table5LengthandProbabilityDistributionofIdealAttackRoute

表5 理想攻擊路徑長(zhǎng)度及其概率分布

在實(shí)際情況下，若單步攻擊的某次漏洞利用不成功，則狀態(tài)轉(zhuǎn)移失敗，看作到自身狀態(tài)的1次轉(zhuǎn)移，路徑長(zhǎng)度加1，因而實(shí)際的攻擊路徑長(zhǎng)度往往高于理論的攻擊路徑長(zhǎng)度，下面利用本文方法分析實(shí)際網(wǎng)絡(luò)環(huán)境中的路徑預(yù)測(cè)信息.

由圖6得到狀態(tài)轉(zhuǎn)移概率矩陣P和Q，結(jié)合方法1和方法2計(jì)算期望矩陣N和T如下所示:

期望值矩陣N的不同行代表從不同初始狀態(tài)出發(fā)訪問(wèn)各節(jié)點(diǎn)次數(shù)的期望值分布，如圖7所示.若節(jié)點(diǎn)訪問(wèn)次數(shù)越高，表明該節(jié)點(diǎn)的威脅程度越大，不同節(jié)點(diǎn)的訪問(wèn)次數(shù)分布不均勻，表明各節(jié)點(diǎn)的威脅程度差別較大.例如外部攻擊者從狀態(tài)S1出發(fā)，訪問(wèn)節(jié)點(diǎn)S2,S3,S4,S5,S6的次數(shù)分別為0.741,1.087,0.584,0.628,1.610，此時(shí)節(jié)點(diǎn)威脅排序?yàn)镾6>S3>S2>S5>S4，因此在漏洞修復(fù)時(shí)應(yīng)首先考慮狀態(tài)S6(H4上的漏洞CVE 2013-4782).

Fig. 7 Distribution of expected number of visits to different state nodes圖7 不同狀態(tài)節(jié)點(diǎn)訪問(wèn)次數(shù)的期望值分布

步驟3. 攻擊路徑長(zhǎng)度的期望值預(yù)測(cè).

結(jié)合圖6,由矩陣T可知，從不同節(jié)點(diǎn)S1,S2,S3,S4,S5,S6出發(fā)，到達(dá)攻擊目標(biāo)S7的期望路徑長(zhǎng)度分布如圖8所示，例如初始狀態(tài)為S1時(shí)的期望攻擊路徑長(zhǎng)度為5.65，表示攻擊者平均需要實(shí)施5.65次原子攻擊才能實(shí)現(xiàn)攻擊目標(biāo).通過(guò)實(shí)時(shí)檢測(cè)攻擊發(fā)生的位置，確定攻擊者的狀態(tài)，可以預(yù)測(cè)后續(xù)攻擊的期望路徑長(zhǎng)度，對(duì)于安全管理員實(shí)時(shí)掌握當(dāng)前的攻擊狀況、制定安全防護(hù)措施具有重要意義.

Fig. 8 Expected attack route length starting from different initial state nodes圖8 從不同狀態(tài)節(jié)點(diǎn)出發(fā)的期望攻擊路徑長(zhǎng)度

3.1.3 測(cè)試結(jié)果分析

借鑒文獻(xiàn)[6]的實(shí)驗(yàn)方法，從課題依托信息安全重點(diǎn)實(shí)驗(yàn)室中隨機(jī)挑選100名學(xué)員作為攻擊者，分別在部署環(huán)境(如圖4所示)中進(jìn)行攻擊測(cè)試實(shí)驗(yàn)，攻擊者的初始狀態(tài)為S1，公開(kāi)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及漏洞信息，既定攻擊目標(biāo)為S7，實(shí)驗(yàn)時(shí)間為2 h.通過(guò)實(shí)時(shí)采集網(wǎng)絡(luò)中運(yùn)行的防火墻、Snort IDS和主機(jī)日志的告警信息，進(jìn)一步利用自動(dòng)化工具ArCSight[27]分析告警信息，得到100條攻擊序列，由于4名攻擊者未在規(guī)定時(shí)間內(nèi)完成攻擊目標(biāo)，剔除未成功的4條攻擊序列后，統(tǒng)計(jì)長(zhǎng)度為3～17的路徑數(shù)量分別為17，14，13，12，11，9，6，3，3，2，2，1，1，0，0.

Table 6 Probability Distribution of Attack Route Length by Our Method表6 本文攻擊路徑長(zhǎng)度的概率分布

從圖9可以看出：

1) 長(zhǎng)度為3的路徑出現(xiàn)概率最大，與本文理論預(yù)測(cè)結(jié)果一致，同時(shí)概率值隨著路徑長(zhǎng)度的增大而不斷減小，理論值表明當(dāng)路徑長(zhǎng)度不斷增大時(shí)出現(xiàn)概率逐漸趨于0，驗(yàn)證了本文方法的有效性.

2) 實(shí)驗(yàn)包含100名攻擊者，采集到100個(gè)樣本，受攻擊者自身因素(知識(shí)水平、攻擊技能、攻擊經(jīng)驗(yàn)等)的影響，不同路徑長(zhǎng)度出現(xiàn)概率的測(cè)試值與理論值不完全相等，但從整體上看，路徑長(zhǎng)度概率分布的測(cè)試結(jié)果與理論結(jié)果的變化趨勢(shì)基本一致，符合預(yù)期結(jié)果.

3.2 實(shí)驗(yàn)2

Fig. 10 Attack graph of LLDOS1.0 scenario圖10 LLDOS1.0場(chǎng)景的攻擊圖

本節(jié)以林肯實(shí)驗(yàn)室提供的DARPA2000數(shù)據(jù)集中LLDOS1.0攻擊場(chǎng)景作為實(shí)驗(yàn)對(duì)象，文獻(xiàn)[14]通過(guò)基于聚類(lèi)的告警關(guān)聯(lián)分析，挖掘了該數(shù)據(jù)集包含的完整攻擊場(chǎng)景，如圖10所示，受到廣泛認(rèn)可，并給出如下?tīng)顟B(tài)轉(zhuǎn)移概率，本文借鑒該攻擊場(chǎng)景進(jìn)行實(shí)驗(yàn)分析：

Δ(e2,5)=0.15,
Δ(e2,3)=0.28,
Δ(e3,5)=0.1,
Δ(e1,2)=0.29,
Δ(e2,2)=0.2,
Δ(e2,4)=0.28,
Δ(e4,2)=0.18,
Δ(e4,3)=0.42,
Δ(e4,5)=0.15,
Δ(e5,5)=1,
Δ(e1,4)=0.33,
Δ(e4,4)=0.18.

利用算法1構(gòu)造吸收Markov鏈的轉(zhuǎn)移矩陣P，進(jìn)一步利用算法2和算法3計(jì)算矩陣N和T：

吸收狀態(tài)節(jié)點(diǎn)為S5，Ni,j表示狀態(tài)Si出發(fā)，在到達(dá)目標(biāo)狀態(tài)之前訪問(wèn)狀態(tài)Sj的次數(shù)，例如從初始狀態(tài)節(jié)點(diǎn)S1出發(fā)，到達(dá)節(jié)點(diǎn)S2,S3,S4的次數(shù)分別為0.84，5.38，0.98，此時(shí)過(guò)渡狀態(tài)節(jié)點(diǎn)威脅排序?yàn)镾3>S4>S2，應(yīng)首先修復(fù)狀態(tài)S3的漏洞.由矩陣T可知，從不同節(jié)點(diǎn)S1，S2，S3，S4出發(fā)，到達(dá)目標(biāo)節(jié)點(diǎn)的期望攻擊路徑長(zhǎng)度分別為8.198，7.2，7.692，7.197，結(jié)果表明從節(jié)點(diǎn)S1出發(fā)的攻擊者，到達(dá)目標(biāo)狀態(tài)節(jié)點(diǎn)所實(shí)施漏洞攻擊的平均次數(shù)最多.

表7給出了LLDOS1.0攻擊場(chǎng)景中理想度量方法和實(shí)際度量方法的結(jié)果比較，在理想情況下，由于不存在重復(fù)狀態(tài)轉(zhuǎn)移行為，統(tǒng)計(jì)得到可能路徑數(shù)量為8，最短路徑長(zhǎng)度為2，路徑長(zhǎng)度類(lèi)型有2，3，4，所有路徑長(zhǎng)度的中位值及平均值都是3，攻擊意圖的累積成功概率為0.14.

相反，在實(shí)際情況下，實(shí)現(xiàn)攻擊意圖的期望概率為1，最長(zhǎng)和最短期望路徑長(zhǎng)度分別為8.198和7.197，前者表明平均需要實(shí)施8.198次漏洞攻擊才能實(shí)現(xiàn)目標(biāo)，后者表明所需要的最少漏洞攻擊次數(shù)為7.197，該結(jié)果顯然大于理想路徑長(zhǎng)度值，與預(yù)期相符.因此，利用本文度量方法可以科學(xué)評(píng)估攻擊者當(dāng)前狀態(tài)，并準(zhǔn)確預(yù)測(cè)后續(xù)攻擊行為.

表7 Structural Metrics of LLDOS1.0 Attack Scenario表7 LLDOS1.0攻擊場(chǎng)景的結(jié)構(gòu)化度量

3.3 方案綜合對(duì)比

本文與典型相關(guān)研究的特點(diǎn)比較如表8所示，從表8中可以看出，多數(shù)文獻(xiàn)均有研究最大可能攻擊路徑及其概率值.針對(duì)理想攻擊場(chǎng)景(每次漏洞利用都成功)，本文和文獻(xiàn)[6,10,16-17]進(jìn)一步分析了最短路徑，除此之外，本文和文獻(xiàn)[6,15-17]能夠度量理想攻擊路徑的數(shù)量，其中文獻(xiàn)[16-17]和本文又分析了理想路徑長(zhǎng)度的平均值，且本文和文獻(xiàn)[16]進(jìn)一步討論了理想路徑長(zhǎng)度的中位值.

Table 8 Comparison of Features Among Our Method and Others表8 本文與典型方法的特點(diǎn)比較

特別地，針對(duì)實(shí)際網(wǎng)絡(luò)環(huán)境(單步攻擊實(shí)現(xiàn)依賴(lài)多次漏洞利用)，本文重點(diǎn)研究了期望路徑長(zhǎng)度及其概率分布，并給出了狀態(tài)節(jié)點(diǎn)訪問(wèn)次數(shù)的期望值預(yù)測(cè)方法，用于分析節(jié)點(diǎn)的威脅排序，更加準(zhǔn)確全面地預(yù)測(cè)攻擊路徑信息，輔助安全管理員決策，為實(shí)際網(wǎng)絡(luò)環(huán)境中應(yīng)對(duì)網(wǎng)絡(luò)多步攻擊威脅提供更多指導(dǎo).

4 結(jié)束語(yǔ)

由于網(wǎng)絡(luò)入侵者的攻擊狀態(tài)轉(zhuǎn)移過(guò)程復(fù)雜，因此攻擊路徑預(yù)測(cè)對(duì)于安全管理員直觀地了解攻擊過(guò)程具有重要意義.考慮到現(xiàn)有方法主要圍繞理想攻擊路徑展開(kāi)研究，本文將攻擊圖映射為吸收Markov鏈，給出了基于通用漏洞評(píng)分標(biāo)準(zhǔn)的轉(zhuǎn)移概率量化方法，在此基礎(chǔ)上著重研究了實(shí)際網(wǎng)絡(luò)環(huán)境中不同狀態(tài)節(jié)點(diǎn)的期望訪問(wèn)次數(shù)，用于分析節(jié)點(diǎn)的威脅排序，并計(jì)算期望攻擊路徑長(zhǎng)度及其概率分布，輔助安全管理員全面分析不同攻擊路徑的發(fā)生概率，掌握攻擊者可能實(shí)施的原子攻擊次數(shù)，并預(yù)先制定安全防護(hù)措施，為防御網(wǎng)絡(luò)入侵提供指導(dǎo).

如何結(jié)合網(wǎng)絡(luò)中采集的告警序列，客觀地衡量狀態(tài)轉(zhuǎn)移概率，預(yù)測(cè)攻擊路徑長(zhǎng)度的期望值，并依據(jù)實(shí)時(shí)觀察結(jié)果動(dòng)態(tài)修正后續(xù)路徑長(zhǎng)度的期望值，提高復(fù)雜攻擊場(chǎng)景中預(yù)測(cè)的準(zhǔn)確性和適用性是下一步研究的主要工作.

[1]Zhang Huanguo, Han Wenbao, Lai Xuejia, et al. Survey on cyberspace security[J]. Scientia Sinica Informationis, 2016, 46(2): 125-164 (in Chinese)(張煥國(guó), 韓文報(bào), 來(lái)學(xué)嘉, 等. 網(wǎng)絡(luò)空間安全綜述[J]. 中國(guó)科學(xué): 信息科學(xué), 2016, 46(2): 125-164)

[2]Jiang Jian, Zhuge Jianwei, Duan Haixin, et al. Research on botnet mechanisms and defenses[J]. Journal of Software, 2012, 23(1): 82-96 (in Chinese)(江健, 諸葛建偉, 段海新, 等. 僵尸網(wǎng)絡(luò)機(jī)理與防御技術(shù)[J]. 軟件學(xué)報(bào), 2012, 23(1): 82-96)

[3]Liu Yuling, Feng Dengguo, Wu Lihui, et al. Performance evaluation of worm attack and defense strategies based on static Bayesian game[J]. Journal of Software, 2012, 23(3): 712-723 (in Chinese)(劉玉嶺, 馮登國(guó), 吳麗輝, 等. 基于靜態(tài)貝葉斯博弈的蠕蟲(chóng)攻防策略績(jī)效評(píng)估[J]. 軟件學(xué)報(bào), 2012, 23(3): 712-723)

[4]Yu Dong, Frincke D. Improving the quality of alerts and predicting intruder’s next goal with hidden colored Petri-net[J]. Computer Networks, 2007, 51(3):632-654

[5]Lü Huiying, Peng Wu, Wang Ruimei, et al. A real-time network threat recognition and assessment method based on association analysis of time and space[J]. Journal of Computer Research and Development, 2014, 51(5): 1039-1049 (in Chinese)(呂慧穎, 彭武, 王瑞梅, 等. 基于時(shí)空關(guān)聯(lián)分析的網(wǎng)絡(luò)實(shí)時(shí)威脅識(shí)別與評(píng)估[J]. 計(jì)算機(jī)研究與發(fā)展, 2014, 51(5): 1039-1049)

[6]Wang Shuo, Tang Guangming, Kou Guang, et al. Attack route prediction method based on causal knowledge[J]. Journal on Communications, 2016, 37(10): 188-198 (in Chinese)(王碩, 湯光明, 寇廣, 等. 基于因果知識(shí)網(wǎng)絡(luò)的攻擊路徑預(yù)測(cè)方法[J]. 通信學(xué)報(bào), 2016, 37(10): 188-198)

[7]Liu Yuling, Feng Dengguo, Lian Yifeng, et al. Network situation prediction method based on spatial-time dimension analysis[J]. Journal of Computer Research and Development, 2014, 51(8): 1681-1694 (in Chinese)(劉玉嶺, 馮登國(guó), 連一峰, 等. 基于時(shí)空維度分析的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法[J]. 計(jì)算機(jī)研究與發(fā)展, 2014, 51(8): 1681-1694)

[8]Kerem K. A taxonomy for attack graph generation and usage in network security[J]. Journal of Information Security and Applications, 2016, 29(C): 27-56

[9]Sheyner O, Haines J, Jha S, et al. Automated generation and analysis of attack graphs[C]Proc of the 2002 IEEE Symp on Security and Privacy. Piscatawary, NJ: IEEE, 2002: 273-284

[10]Sarraute C, Richarte G, Lucángeli O J. An algorithm to find optimal attack routes in nondeterministic scenarios[C]Proc of the 4th Int ACM Workshop on Security and Artificial Intelligence. New York :ACM, 2011: 71-80

[11]Abraham S, Nair S. A predictive framework for cyber security analytics using attack graphs[J]. International Journal of Computer Networks & Communications, 2015, 7(1): 1-17

[12]Liu Qiang, Yin Jianping, Cai Zhiping, et al. Uncertain-graph based method for network vulnerability analysis[J]. Journal of Software, 2011, 22(6): 1398-1412 (in Chinese)(劉強(qiáng), 殷建平, 蔡志平, 等. 基于不確定圖的網(wǎng)絡(luò)漏洞分析方法[J]. 軟件學(xué)報(bào), 2011, 22(6): 1398-1412)

[13]Chen Xiaojun, Fang Binxing, Tan Qingfeng. Inferring attack intent of malicious insider based on probabilistic attack graph model[J]. Chinese Journal of Computers, 2014, 37(1): 62-72 (in Chinese)(陳小軍, 方濱興, 譚慶豐. 基于概率攻擊圖的內(nèi)部攻擊意圖推斷算法研究[J]. 計(jì)算機(jī)學(xué)報(bào), 2014, 37(1): 62-72)

[14]Zhu Bin, Ghorbani A A. Alert correlation for extracting attack strategies[J]. International Journal of Network Security, 2006, 3(3): 244-258

[15]Ortalo R, Deswarte Y, Kaaniche M. Experimenting with quantitative evaluation tools for monitoring operational security[J]. IEEE Trans on Software Engineering, 1999, 25(5): 633-50

[16]Idika N, Bhargava B. Extending attack graph-based security metrics and aggregating their application[J]. IEEE Trans on Dependable & Secure Computing, 2012, 9(1):75-85

[17]Li Wei, Vaughn R B. Cluster security research involving the modeling of network exploitations using exploitation graphs[C]Proc of the 6th IEEE Int Symp on CLUSTER Computing and the Grid. Piscatawary, NJ: IEEE, 2006: 26-26

[18]Lucangeli J, Sarraute C, Richarte G. Attack planning in the real world [JOL]. Computer Science, 2013[2017-06-17]. http:sciencewise.infoarticles1306.4044

[19]Dai Fangfang, Hu Ying, Zheng Kangfeng, et al. Exploring risk flow attack graph for security risk assessment[J]. IET Information Security, 2015, 9(6): 344-353

[20]Nayot P, Rinku D, Indrajit R. Dynamic security risk management using Bayesian attack graphs[J]. IEEE Trans on Dependable & Secure Computing, 2012, 9(1): 61-74

[21]Schiffman M. Common vulnerability scoring system (CVSS)[EBOL]. [2017-06-17]. https:www.first.orgcvss

[22]Tenable N. Nessus vulnerability scanner[EBOL]. [2017-06-17]. http:www.tenable.comproductsnessus-home

[23]Ou Xinming, Govindavajhala S, Appel A W. MulVAL: A logic-based network security analyzer[C]Proc of the 14th USENIX Security Symp. Berkeley, CA: USENIX Association, 2005: 8-8

[24]Dimitri P, Bertsekas J N. Introduction to probability[EBOL]. [2017-06-17]. http:www.sciencedirect.comsciencebook9780128000410

[25]NIST. National vulnerability database[DBOL]. [2017-06-17]. https:nvd.nist.gov

[26]MIT Lincoln Laboratory. 2000 DARPA intrusion detection scenario specific data sets[EBOL]. [2017-06-17]. http:www.ll.mit.eduidevaldata2000data.html

[27]Hewlett-Packard. ArcSight ESM enterprise security manager[OL]. [2017-06-17]. https:saas.hpe.comen-ussoftwaresiem-security-information-event-management

HuHao, born in 1989. PhD candidate. His main research interests include network security assessment and visual cryptography.

LiuYuling, born in 1982. PhD. Associate professor. His main research interests include network and system security assessment and network security situation awareness.

ZhangHongqi, born in 1962. PhD, professor. His main research interests include network security and classification protection.

YangYingjie, born in 1971. PhD, professor. His main research interests include security management and situation awareness.

YeRunguo, born in 1976. PhD. Engineer. His main research interest is the big data security.