一种基于马尔科夫链模拟的网络安全分析方法
【专利摘要】本发明公开了一种基于马尔科夫链模拟的网络安全分析方法,包括以下步骤:输入所需分析网络的网络拓扑图,给出网络拓扑图中连接的转移概率矩阵M;任意给定一个初始概率向量r(0);根据当前网络结点状态r(t)和概率转移矩阵M计算下一时刻网络状态r(t+1):=Mr(t);重复上一步骤,直到满足停止条件|r(t+1)?r(t)|<ε;得到平稳概率分布其中为网络结点i被攻破的概率,其反映了此结点的安全性;其中n为网络结点数量。
【专利说明】
-种基于马尔科夫链模拟的网络安全分析方法
技术领域
[0001] 本发明设及网络安全领域,尤其设及一种基于马尔科夫链模拟的网络安全分析方 法。
【背景技术】
[0002] 随着网络在日常生产及生活中的大量应用,网络安全问题日益凸显并对网络用户 造成很大的困扰。尤其是在例如工业控制领域运样的特殊应用领域中,随着工业控制自动 化进程的深入,工业控制网络与外部互联网或企业办公网络的信息交互日趋频繁,使得工 业控制网络不断面临着来自外部互联网的恶意攻击和内部人员的误操作等威胁。因为早期 工控设备使用环境相对封闭,所W工业控制系统在开发时往往更重视功能的实现,而缺少 对工控网络自身安全的关注,运也导致工业控制系统中存在不可避免的安全缺陷。
[0003] 分布式的网络安全保护构架能够满足不同形态和规模的工控网络,同时也能够适 应工控网络结构和规模的变化,系统的灵活性可W得到充分的体现。分布式网络安全保护 系统在关键位置上设置安全保护设备,从而实现整个工控网络的安全。
[0004] 在复杂的网络环境下,网络的设计是影响安全性的重要因素。如何设计相对安全 的网络是急需解决的问题。传统的专家评审方式主观性强,成本高,流程长,在大规模复杂 网络部署中,不具备实际的可操作性。因此,需要一种更便捷可靠地对网络安全状况进行分 析的方法,W便应用于大规模复杂网络的设计中对网络安全进行全面、客观的评估。
【发明内容】
[0005] 为解决现有技术中存在的问题,本发明提出了一种基于马尔科夫链模拟的网络安 全性分析方法。
[0006] 本发明利用马尔科夫链对网络攻击进行建模,通过对网络攻击过程进行模拟,得 到一个收敛的平稳概率向量,此概率向量的数值大小反映了在足够长时间和多种攻击情况 下网络各结点的易遭受入侵破坏的危险性。
[0007] 对于一个包含n个结点的网络,将每个结点被攻击的概率记为P (i attacked)= Tl, i = 1,…,n。在通常的网络攻击过程中,当攻击者或病毒(可能来自当前网络外部或 内部)侵入了一个网络结点后,其会对与当前已占领网络结点逻辑连通的其它结点进行扫 描,继而尝试进攻下一网络结点,然后在下一网络结点上再重复进行扫描和侵入的过程。因 此,一个结点i被侵入的概率不但与结点i自身安全性有关而且与同其逻辑连通的其它结 点有关。
[000引假设从已攻占结点i出发,攻占与之逻辑连通的结点j的概率为IP (j I attacked I i attacked) = niji,i G N(j),其中N(j)为所有与结点j逻辑连通的相邻结点所构成的集合, 则结点j被攻破的概率满足下式:
[000引
W
[0010] 其中,m,i也称作为转移概率,它反映了攻击者基于当前侵占结点对下一结点进行 入侵的难度。由于攻击方式具有不确定性,存在大量未公开的攻击方式,因此我们不考虑攻 击的确凿证据及方法。转移概率m,i可由结点的类型、系统、漏桐数量W及其它网络的特征 来灵活决定。
[0011] 公式(1)所对应的向量形式为
[001引
似
[001引其中r = h,…,rjT为结点被攻破概率向量,M=虹iiLx。为概率转移矩阵。对 于规模较小的网络,r可从(2)式直接解出。对于大规模复杂网络,直接求解(2)式极为困 难,本发明提出一种迭代的算法对其进行求解:
[0014] 初始化:rW
[001 引 迭代:r("I):= Mr W
[001引停止条件:|r(t")-r(t)| <E,其中W = 为给定阔值。
[0017] 此方法也可看作是对网络攻攻击过程的一个马尔科夫链模拟,即下一时刻网络的 状态依赖于当前时刻网络状态和网络内连接的性质(即转移概率)。整个算法的迭代过程 可看作是对网络攻击或病毒传播过程的一个模拟。当算法收敛时,我们得到一个平稳概率 向量r%此向量满足(2)式,其数值大小反映了每个网络结点潜在遭受入侵破坏的危险性。 通常情况下,特别是大规模的网络拓扑的连通图都是不可约的(irre化Cible)并且非周期 的(aperiodic),马尔科夫链相关理论(Perron-Frobenius theorem)保证了本发明所述模 拟方法的收敛性及收敛的唯一性。
[001引根据上述内容,本发明所采用的技术方案如下:
[0019] 一种基于马尔科夫链模拟的网络安全性分析方法,包括W下步骤:
[0020] 步骤一:输入所需分析网络的网络拓扑图,给出拓扑图中连接的转移概率矩阵M ;
[0021] 步骤二:任意给定一个初始概率向量rW;
[0022] 步骤S :根据当前网络结点状态rW和概率转移矩阵M计算下一时刻网络状态 r("i):=Mr (口;
[002引步骤四:重复步骤三直到满足停止条件-rW I <G ;
[0024] 步骤五:得到平稳概率分而
痒中?f为网络结点i遭 受入侵破坏的概率,其反映了此结点的安全性。其中n为网络结点数量。
[00巧]进一步地,网络结点包括用户设备、保护设备W及连接设备。
[0026] 进一步地,概率转移矩阵M可根据每个用户设备的配置信息W及保护设备的配 置,有针对性地进行设定。
[0027] 本发明所产生的有益效果在于:
[0028] 本发明基于网络拓扑,每个设备结点的信息W及保护设备的配置,灵活有针对性 地设定连通设备间的攻击转移概率,通过特定的算法全面的客观的评估每个设备结点容易 遭受入侵破坏的可能性。进而发现潜在的易遭受破坏的对象W及需要加强保护的对象。对 比现有专家评估网络安全性的方法,本发明具有全面、客观、便于在大规模复杂网络中应用 等优点。
【附图说明】
[0029] 图I为使用本发明的基于马尔科夫链模拟的网络安全分析方法的网络结构的连 接拓扑图。
[0030] 附图标记:
[00引]1-9:用户设备1-9;
[003引 F1-F3:防火墙;
[0033] R1-R3 :路由器。
【具体实施方式】
[0034] W下W-个常见的工业网络结构为例对本发明进行详细阐述,应当注意的是,下 列实施仅用于对本发明进行说明而非作为对本发明的限制。本发明的基于马尔科夫链模拟 的网络结点安全性分析方法除了可W应用在工业网络中,还可W用于任何其它的分布式网 络。
[0035] 如图1所示的网络连接拓扑图,用户设备1、2和3通过路由器Rl和防火墙Fl与 公共网络连接,用户设备4、5和6通过路由器R2经过防火墙F2与路由器Rl相连,用户设 备7、8和9通过路由器R3与防火墙F3与路由器R2相连。每个用户设备的配置如表1所 示:
[0036]
[0037]
[003引表1用户设备配^ ' '
[0039] 根据图1的网络拓扑图和表1的用户设备配置,从设备j侵入设备i的难度由W 下公式幹m?
[0040]
[00川其中D。代表从设备j侵入设备i的难度,B 1是设备i的漏桐数量,W。表示从设备 j到设备i所要经过的防火墙数量。然后对矩阵D=巧的每一列进行归一化,得到概 率转移伊随M=「m..1 .邮
[0042] (4)
[0043] 应当注意的是,W上给出的概率矩阵计算方法只是一种方式,实际应用中概率转 移矩阵可根据具体的网络特性和设置配情况灵活的给出。本实施所对应的概率转移矩阵如 表2所示:
[0044] LUU4。」 巧Z顺平巧巧巧件
[0046] 假设进攻或病毒最初侵占的是用户设备1,初始概率向量设为r。= [1,0,…,0] T, 由W上的概率转移矩阵和前述的具体方案,模拟的最终结果为[0. 101,0. 134,0. 130, 0. 094,0. 104,0. 089,0. 092,0. 122,0. 13引T。由所得结果可知,遭到破坏可能性最高的前S 个用户设备分别是用户设备9、用户设备2和用户设备3。值得注意的是,用户设备9虽然 处在比较深的层次(有=层防火墙保护),但其却最有可能成为遭到破坏的对象,所W应加 W额外的保护。整个网络中相对最安全的用户设备是用户设备6,其遭到破坏的可能性为用 户设备9的60%左右。
[0047] W上所述实施例仅表达了本发明的实施方式,其描述较为具体和详细,但并不能 因此而理解为对本发明专利的限制。应该指出的是,对于本领域的普通技术人员来说,在不 脱离本发明构思的前提下,还可W做出若干变形和改进,运些都属于本发明的保护范围。因 此,本发明专利的保护范围应W所附权利要求为准。
【主权项】
1. 一种基于马尔科夫链模拟的网络安全分析方法,其特征在于,包括W下步骤: 步骤一:输入所需分析网络的网络拓扑图,给出网络拓扑图中连接的转移概率矩阵Μ ; 步骤二:任意给定一个初始概率向量rW; 步骤S :根据当前网络结点状态rW和概率转移矩阵Μ计算下一时刻网络状态= Mr"; 步骤四:重复步骤三直到满足停止条件|rb">-rW| <e ; 步骤五:得到平稳概率分布r* -的:,…,嗦]-r躬'巧,其中?1:为网络结点i被攻破 的概率,其反映了此结点的安全性;其中η为网络结点数量。2. 如权利要求1所述的基于马尔科夫链模拟的网络安全分析方法,其特征在于,所述 网络结点包括用户设备、保护设备W及连接设备。3. 如权利要求2所述的基于马尔科夫链模拟的网络安全分析方法,其特征在于,所述 概率转移矩阵Μ可根据每个用户设备的配置信息W及保护设备的配置,有针对性地进行设 定。
【文档编号】H04L12/24GK105939319SQ201510830920
【公开日】2016年9月14日
【申请日】2015年11月25日
【发明人】孙易安
【申请人】北京匡恩网络科技有限责任公司