高级搜索

基于属性攻击图的网络动态威胁分析技术研究

杨英杰 冷强 常德显 潘瑞萱 胡浩

引用本文: 杨英杰, 冷强, 常德显, 潘瑞萱, 胡浩. 基于属性攻击图的网络动态威胁分析技术研究[J]. 电子与信息学报, 2019, 41(8): 1838-1846. doi: 10.11999/JEIT181025 shu
Citation:  Yingjie YANG, Qiang LENG, Dexian CHANG, Ruixuan PAN, Hao HU. Research on Network Dynamic Threat Analysis Technology Based on Attribute Attack Graph[J]. Journal of Electronics and Information Technology, 2019, 41(8): 1838-1846. doi: 10.11999/JEIT181025 shu

基于属性攻击图的网络动态威胁分析技术研究

    作者简介: 杨英杰: 男,1971年生,教授,研究方向为信息安全;
    冷强: 男,1993年生,硕士生,研究方向为信息安全风险评估;
    常德显: 男,1977年生,副教授,研究方向为信息安全;
    潘瑞萱: 女,1995年生,硕士生,研究方向为SDN网络协议安全;
    胡浩: 男,1989年生,讲师,研究方向为网络安全态势感知和图像秘密共享
    通讯作者: 冷强,lqsly1993@163.com
  • 基金项目: 国家“863”高技术研究发展计划基金(2015AA016006);国家重点研发计划课题(2016YFF0204003);国家自然科学基金(61471344)

摘要: 该文首先利用属性攻击图理论构建了网络动态威胁分析属性攻击图(DT-AAG)模型,该模型在全面刻画系统漏洞和网络服务导致的威胁转移关系的基础上,结合通用漏洞评分标准(CVSS)和贝叶斯概率转移计算方法设计了威胁转移概率度量算法;其次基于构建的DT-AAG模型,利用威胁与漏洞、服务间的关联关系,设计了动态威胁属性攻击图生成算法(DT-AAG-A),并针对生成的属性攻击图存在的威胁传递环路问题,设计了环路消解机制;最后通过实验验证了该模型和算法的有效性。

English

    1. [1]

      PHILLIPS C and SWILER L P. A graph-based system for network-vulnerability analysis[C]. The 1998 Workshop on New Security Paradigms, Charlottesville, Virginia, USA, 1998; 71–79.

    2. [2]

      SWILER L P, PHILLIPS C, ELLIS D, et al. Computer-attack graph generation tool[C]. DARPA Information Survivability Conference and Exposition II, DISCEX’01, Anaheim, CA, USA, 2001, 2: 307–321.

    3. [3]

      INGOLS K, CHU M, LIPPMANN R, et al. Modeling modern network attacks and countermeasures using attack graphs[C]. 2009 Annual Computer Security Applications Conference, Honolulu, Hawaii, USA, 2009: 117–126.

    4. [4]

      黄永洪, 吴一凡, 杨豪璞, 等. 基于攻击图的APT脆弱节点评估方法[J]. 重庆邮电大学学报(自然科学版), 2017, 29(4): 535–541. doi: 10.3979/j.issn.1673-825X.2017.04.017
      HUANG Yonghong, WU Yifan, YANG Haopu, et al. Graph-based vulnerability assessment for APT attack[J]. Journal of Chongqing University of Posts and Telecommunications (Natural Science Edition), 2017, 29(4): 535–541. doi: 10.3979/j.issn.1673-825X.2017.04.017

    5. [5]

      LEE J, MOON D, KIM I, et al. A semantic approach to improving machine readability of a large-scale attack graph[J]. The Journal of Supercomputing, 2018: 1–18. doi: 10.1007/s11227-018-2394-6

    6. [6]

      胡浩, 刘玉岭, 张红旗, 等. 基于吸收Markov链的网络入侵路径预测方法[J]. 计算机研究与发展, 2018, 55(4): 831–845. doi: 10.7544/issn1000-1239.2018.20170087
      HU Hao, LIU Yuling, ZHANG Hongqi, et al. Route prediction method for network intrusion using absorbing markov Chain[J]. Journal of Computer Research and Development, 2018, 55(4): 831–845. doi: 10.7544/issn1000-1239.2018.20170087

    7. [7]

      HU Hao, LIU Yuling, ZHANG Hongqi, et al. Security metric methods for network multistep attacks using AMC and big data correlation analysis[J]. Security and Communication Networks, 2018, 2018: 57871012. doi: 10.1155/2018/5787102

    8. [8]

      吴迪, 连一峰, 陈恺, 等. 一种基于攻击图的安全威胁识别和分析方法[J]. 计算机学报, 2012, 35(9): 1938–1950. doi: 10.3724/SP.J.1016.2012.01938
      WU Di, LIAN Yifeng, CHEN Kai, et al. A security threats identification and analysis method based on attack graph[J]. Chinese Journal of Computers, 2012, 35(9): 1938–1950. doi: 10.3724/SP.J.1016.2012.01938

    9. [9]

      HOMER J, ZHANG Su, OU Xinming, et al. Aggregating vulnerability metrics in enterprise networks using attack graphs[J]. Journal of Computer Security, 2013, 21(4): 561–597. doi: 10.3233/JCS-130475

    10. [10]

      王会梅, 鲜明, 王国玉. 基于扩展网络攻击图的网络攻击策略生成算法[J]. 电子与信息学报, 2011, 33(12): 3015–3021. doi: 10.3724/SP.J.1146.2011.00414
      WANG Huimei, XIAN Ming, and WANG Guoyu. A network attack decision-making algorithm based on the extended attack graph[J]. Journal of Electronics &Information Technology, 2011, 33(12): 3015–3021. doi: 10.3724/SP.J.1146.2011.00414

    11. [11]

      WANG Huan, CHEN Zhanfang, ZHAO Jianping, et al. A vulnerability assessment method in industrial internet of things based on attack graph and maximum flow[J]. IEEE Access, 2018, 6: 8599–8609. doi: 10.1109/ACCESS.2018.2805690

    12. [12]

      张海霞, 苏璞睿, 冯登国. 基于攻击能力增长的网络安全分析模型[J]. 计算机研究与发展, 2007, 44(12): 2012–2019.
      ZHANG Haixia, SU Purui, and FENG Dengguo. A network security analysis model based on the increase in attack ability[J]. Journal of Computer Research and Development, 2007, 44(12): 2012–2019.

    13. [13]

      SINGH U K, JOSHI C, and GAUD N. Information security assessment by quantifying risk level of network vulnerabilities[J]. International Journal of Computer Applications, 2016, 156(2): 37–44. doi: 10.5120/ijca2016912375

    14. [14]

      胡浩, 叶润国, 张红旗, 等. 面向漏洞生命周期的安全风险度量方法[J]. 软件学报, 2018, 29(5): 1213–1229. doi: 10.13328/j.cnki.jos.005507
      HU Hao, YE Runguo, ZHANG Hongqi, et al. Vulnerability life cycle oriented security risk metric method[J]. Journal of Software, 2018, 29(5): 1213–1229. doi: 10.13328/j.cnki.jos.005507

    15. [15]

      陈锋, 张怡, 苏金树, 等. 攻击图的两种形式化分析[J]. 软件学报, 2010, 21(4): 838–848. doi: 10.3724/SP.J.1001.2010.03584
      CHEN Feng, ZHANG Yi, SU Jinshu, et al. Two formal analyses of attack graphs[J]. Journal of Software, 2010, 21(4): 838–848. doi: 10.3724/SP.J.1001.2010.03584

    16. [16]

      叶子维, 郭渊博, 王宸东, 等. 攻击图技术应用研究综述[J]. 通信学报, 2017, 38(11): 121–132. doi: 10.11959/j.issn.1000-436x.2017213
      YE Ziwei, GUO Yuanbo, WANG Chendong, et al. Survey on application of attack graph technology[J]. Journal on Communications, 2017, 38(11): 121–132. doi: 10.11959/j.issn.1000-436x.2017213

    17. [17]

      CVSS v3.0 specification document[EB/OL]. https://www.first.org/cvss/specification-document, 2018.

    18. [18]

      CVE. Common vulnerabilities and exposures[EB/OL]. http://cve.mitre.org/, 2018.

    19. [19]

      NIST. National vulnerability database[EB/OL]. https://nvd.nist.gov/, 2018.

    1. [1]

      杨英杰, 冷强, 潘瑞萱, 胡浩. 基于属性攻击图的动态威胁跟踪与量化分析技术研究. 电子与信息学报, 2019, 41(9): 2172-2179.

    2. [2]

      黄海, 冯新新, 刘红雨, 厚娇, 赵玉迎, 尹莉莉, 姜久兴. 基于随机加法链的高级加密标准抗侧信道攻击对策. 电子与信息学报, 2019, 41(2): 348-354.

    3. [3]

      杨文哲, 杨宏雷, 王学运, 张升康, 赵环, 杨军, 冯克明. 高精度光纤时间频率一体化传递. 电子与信息学报, 2019, 41(7): 1579-1586.

    4. [4]

      任炯炯, 李航, 陈少真. 减轮Simeck算法的积分攻击. 电子与信息学报, 2019, 41(9): 2156-2163.

    5. [5]

      伊鹏, 谢记超, 张震, 谷允捷, 赵丹. 抗侧信道攻击的服务功能链部署方法. 电子与信息学报, 2019, 41(0): 1-9.

    6. [6]

      陈鸿昶, 吴彦丞, 李邵梅, 高超. 基于行人属性分级识别的行人再识别. 电子与信息学报, 2019, 41(9): 2239-2246.

    7. [7]

      杨磊, 李埔丞, 李慧娟, 方澄. 稳健高效通用SAR稀疏特征增强算法. 电子与信息学报, 2019, 41(0): 1-10.

    8. [8]

      赵建, 高海英, 胡斌. 基于容错学习的属性基加密方案的具体安全性分析. 电子与信息学报, 2019, 41(8): 1779-1786.

    9. [9]

      张玉磊, 刘文静, 刘祥震, 张永洁, 王彩芬. 基于授权的多服务器可搜索密文策略属性基加密方案. 电子与信息学报, 2019, 41(8): 1808-1814.

    10. [10]

      施伟锋, 卓金宝, 兰莹. 一种基于属性空间相似性的模糊聚类算法. 电子与信息学报, 2019, 41(0): 1-7.

    11. [11]

      孙瑾, 王小静, 王尚平, 任利利. 支持属性撤销的可验证多关键词搜索加密方案. 电子与信息学报, 2019, 41(1): 53-60.

    12. [12]

      马华, 党乾龙, 王剑锋, 刘振华. 基于属性加密的高效密文去重和审计方案. 电子与信息学报, 2019, 41(2): 355-361.

    13. [13]

      江明明, 郭宇燕, 余磊, 宋万干, 魏仕民. 有效的标准模型下格上基于身份的代理重加密. 电子与信息学报, 2019, 41(1): 61-66.

    14. [14]

      戴定成, 姚敏立, 贾维敏, 金伟, 张峰干. 多约束稀布矩形平面阵列天线的方向图综合. 电子与信息学报, 2019, 41(1): 107-114.

    15. [15]

      张会红, 陈治文, 汪鹏君. 二叉决策图映射电路的面积和延时优化. 电子与信息学报, 2019, 41(3): 725-731.

    16. [16]

      周洋, 吴佳忆, 陆宇, 殷海兵. 面向三维高效视频编码的深度图错误隐藏. 电子与信息学报, 2019, 41(0): 1-8.

    17. [17]

      潘一苇, 杨司韩, 彭华, 李天昀, 王文雅. 基于矢量图的特定辐射源识别方法. 电子与信息学报, 2019, 41(0): 1-9.

    18. [18]

      丛雯珊, 余岚, 沃江海. 基于粒子群算法的宽带真延时方向图栅瓣抑制方法. 电子与信息学报, 2019, 41(7): 1698-1704.

    19. [19]

      陈鸿昶, 明拓思宇, 刘树新, 高超. 基于整数线性规划重构抽象语义图结构的语义摘要算法. 电子与信息学报, 2019, 41(7): 1674-1681.

    20. [20]

      赵斐, 张文凯, 闫志远, 于泓峰, 刁文辉. 基于多特征图金字塔融合深度网络的遥感图像语义分割. 电子与信息学报, 2019, 41(10): 2525-2531.

  • 图 1  DT-AAG攻击示意图

    图 2  多步攻击威胁转移概率图

    图 3  模式构建图

    图 4  DT-AAG-A过程图

    图 5  实验环境图

    图 6  DT-AAG生成图

    图 7  文献[8]实验图

    表 1  DT-AAG-A生成算法

     输入:DT-AAG-PL
     输出:DT-AAG
     (1) DT-AAG-PL$ \ne \varnothing $; /* DT-AAG-PL数据库不为空 */
     (2) DT-AAG${\rm{ = }}\varnothing $; /* 设置DT-AAG初始值为空 */
     (3) $t,i \in $DT-AAG-PL
     (4) For each $t = [{\rm{I}}{{\rm{D}}_t},{\rm{IPpreCo}}{{\rm{n}}_t},{\rm{IPpostCo}}{{\rm{n}}_t}]$
     (5) DO { /* 任取DT-AAG-PL中一个元素 */
     (6) SearchIDIPpre (DT-AAG-PL) }
     (7) For rest $j \in$DT-AAG-PL DO {
       /* 搜索匹配DT-AAG-PL中剩余元素*/
     (8) SearchIDIPpre (DT-AAG-PL, ${\rm{DT {\tiny{-}} AAG}}$);
       /* 范围为DT-AAG-PL 和${\rm{DT {\tiny{-}} AAG}}$ */ }
     (9)   If DT-AAG-PL$= \varnothing${
       /* 当DT-AAG-PL中所有元素都被移动 */
     (10) Return DT-AAG; }
     (11) SearchIDIPpre (DT-AAG-PL) {
     (12)  If ${\rm{I}}{{\rm{D}}_t} = {\rm{I}}{{\rm{D}}_i}\& \& {\rm{IPpostCo}}{{\rm{n}}_t} = {\rm{IPpostCo}}{{\rm{n}}_i}$;
       /* 根据ID和IP搜索匹配 */
     (13)   {$a = t \to i$; Put a to ${\rm{DT - AAG}}$;}
       /* 将匹配到的元素移到${\rm{DT {\tiny{-}} AAG}}$ */
     (14)  else
     (15)   {$a = t$; Put a to ${\rm{DT {\tiny{-}} AAG}}$;}
       /* 将未匹配的元素移到${\rm{DT {\tiny{-}}AAG}}$中 */ }
    下载: 导出CSV

    表 2  主机与服务器存在的漏洞和协议信息表

    Host/ServerProtocol/VulnerabilityPort
    user180/445
    user2HIDP80
    user3GUN Wget80
    user4NDproxy445
    WebServerIIS80
    FileServerProtocol with user3/Apache80
    DataServerProtocol with user4445
    MainServerProtocol with user2&user3&user480&445
    下载: 导出CSV

    表 3  漏洞信息表

    VulnerabilityExpSco+ImpScoCVE Num.
    HIDP7.0CVE-2018-8169
    GUN Wget8.8CVE-2016-4971
    NDproxy7.2CVE-2013-5065
    IIS7.8CVE-2015-7597
    Apache7.5CVE-2018-8015
    下载: 导出CSV

    表 4  攻击路径和威胁转移概率表

    攻击路径a$ \to $d$ \to $ia$ \to $d$ \to $ja$ \to $d$ \to $ka$ \to $d$ \to $la$ \to $ea$ \to $fa$ \to $gb$ \to $jb$ \to $kb$ \to $lc$ \to $mc$ \to $n
    转移概率0.380.300.490.490.440.340.560.530.880.880.580.58
    下载: 导出CSV

    表 5  关联分析表

    攻击路径攻击成功概率全攻击路径消解环路权限系统业务关系
    文献[8]××
    文献[9]×××
    本文
    下载: 导出CSV
  • 加载中
图(7)表(5)
计量
  • PDF下载量:  23
  • 文章访问数:  635
  • HTML全文浏览量:  351
文章相关
  • 通讯作者:  冷强, lqsly1993@163.com
  • 收稿日期:  2018-11-07
  • 录用日期:  2019-03-25
  • 网络出版日期:  2019-04-22
  • 刊出日期:  2019-08-01
通讯作者: 陈斌, bchen63@163.com
  • 1. 

    沈阳化工大学材料科学与工程学院 沈阳 110142

  1. 本站搜索
  2. 百度学术搜索
  3. 万方数据库搜索
  4. CNKI搜索

/

返回文章