一种基于动态贝叶斯攻击图的网络欺骗效能评估方法与流程

本发明属于网络空间安全领域，尤其涉及一种基于动态贝叶斯攻击图的网络欺骗效能评估方法。

背景技术：

网络空间欺骗是由蜜罐演进而来的一种防御机制，它并非着眼于攻击行为特征而是攻击者本身，通过干扰攻击者的认知以促使攻击者采取有利于防御方的行动。由于攻击者一般需要依靠网络探测得到的信息来确定下一步的攻击行为，网络空间欺骗防御技术可以为攻击者伪造一份虚假数据或者一个虚假环境，来保护网络内部重要资产，并记录和分析其攻击活动以得到更多关于攻击者的信息。网络空间欺骗防御技术并不尝试构建一个没有漏洞的系统，也不去刻意阻止具体的攻击行为，而是通过混淆的方法隐藏系统的外部特征，使系统展现给攻击者的是一个有限甚至完全隐蔽或者错误的攻击面，降低暴露给攻击者并被利用的资源，导致攻击复杂度和攻击者代价增长。

尽管网络空间欺骗防御技术近年来得到了广泛的关注，并提出了多种欺骗防御机制，但为了建立系统化的网络空间欺骗防御体系，如何建立有效的评估模型来对欺骗防御的效能进行分析评估仍是一大问题。目前，国内外现有的研究大多只是针对自身所提防御方法的定性评估，且局限于单一防御层次(例如网络层、系统层、应用层等)，缺乏统一的、形成体系的欺骗防御效能评估方法。

技术实现要素：

发明目的：针对现有技术的不足，本发明提出一种基于动态贝叶斯攻击图的网络欺骗效能评估方法，

技术方案：为实现本发明的目的，本发明所采用的技术方案是：一种基于动态贝叶斯攻击图的网络欺骗效能评估方法，该方法包括以下步骤：

(1)在评估针对一次完整攻击的网络欺骗防御效能之前，首先要对目标网络进行攻击图建模。利用通用漏洞评分系统cvss来对网络内部存在的漏洞进行威胁分析，确定好网络拓扑、节点连通性后，遍历诱饵节点和真实资源节点的状态属性，利用开源工具mulval实现贝叶斯攻击图的构建；

(2)许多诸如诱饵、虚假信息等基于欺骗的防御手段，它们的效用取决于攻击者无法认知到它们的存在。为了使攻击者无法从探测到的信息对所处环境产生怀疑，通常需要依据网络欺骗的一致性进行隐蔽性分析。由于诱饵节点与真实资源节点具有一一对应的关系，因此要将防御方案中涉及的诱饵节点进行一致性验证，确保攻击者通过traceroute、nmap、nessus这些工具获取到的关于诱饵节点和真实资源节点在网络特征、设备指纹方面的信息一致，并使攻击者无法质疑从诱饵节点中获取到的预设核心文件。

(3)依据欺骗方案的隐蔽性分析结果，综合网络攻防对抗信息更新攻击图。从攻击图中提取攻击路径，将受诱饵节点保护的核心节点的威胁得分占攻击路径整体威胁得分的比重作为防御效能的量化指标。

进一步，所述步骤(1)中，通过威胁分析得出漏洞成功利用概率：ps＝av*ac*au，其中，av是反映漏洞利用方式的量化指标，包含本地、临近网络、远程三种，即攻击者攻击主机的距离越远，漏洞得分就越高；ac为访问复杂度，有低中高之分，所需的复杂度越低，漏洞得分越高；au为攻击者需身份验证次数的度量标准，分为none、single、multiple三种，所需的身份验证次数越少，漏洞得分越高。

进一步，所述步骤(1)中，真实资源节点和诱饵节点的状态属性包括0和1，其中0表示该节点此时并未被入侵，1表示攻击者已成功入侵该节点。在初始状态下的攻击图模型中，所有真实资源节点和诱饵节点的状态属性起初都为0。

进一步，所述步骤(2)中，所述防御方案的隐蔽性分析方法为：对方案中涉及节点进行一致性验证，验证方法如下：针对攻击者的不同攻击类型以及攻击目标，可以将欺骗一致性分为网络特征、设备指纹和文件属性这三个类别。其中，由traceroute的网络探测结果可知，节点的网络特征包括ip地址、跳数、传输路径这些参数；根据nmap、nessus等扫描工具对节点的识别结果，节点的设备指纹参数包括应用系统版本及位数、开放端口及其关联的服务、系统漏洞；节点内文件属性包括文件权限、文件大小、所有者。利用利文斯顿距离、jaccard系数等相似度计算方法得到诱饵节点与其对应的真实节点下各参数之间的相似度，再结合各参数所占权重，得到节点的一致性验证结果cvr；将方案涉及节点的一致性验证结果加权相乘作为本次防御方案的隐蔽性量化值cqv，其中节点权重由自身访问热度占整体网络的比重确定。

进一步，所述步骤(2)中，节点的一致性验证结果cvr为：其中，描述节点信息的各参数实质上是一组键值对，将各参数的单个值看作一个元素，ni、ej、fk分别表示网络特征、设备指纹、文件属性各自包含的元素，sim()为各参数中元素的相似度计算结果；s表示节点内开放端口数量和服务总数，m表示存在漏洞的数量，l表示预设核心文件的份数；将各类别所有元素的总数的倒数作为各元素的权重，即网络特征、设备指纹和文件属性中各元素权重分别为各类别按照自身拥有的元素数量占节点元素总量的比例作为自身的权重，即网络特征、设备指纹和文件属性三大类别的权重wn、we、wf分别为

进一步，所述步骤(3)中，依据欺骗方案的隐蔽性分析结果，综合网络攻防对抗信息更新攻击图。从攻击图中提取攻击路径，将受诱饵节点保护的真实资产占整个攻击路径的比重作为防御效能的量化指标，具体方法如下：

(3.1)针对本阶段的攻防情况，防御者需制定下一阶段的防御方案来部署新的诱饵节点，并利用步骤(2)中诱饵节点的一致性验证结果来更新攻击图，倘若cvr超过阈值α，则进入步骤(3.2)，否则直接进入步骤(3.4)；

(3.2)采用节点替换的方法对攻击图进行更新，利用隐蔽性分析结果cqv：若cqv大于0.5，则利用广度优先搜索算法查找诱饵节点所对应的真实资源节点，将真实资源节点替换成该诱饵节点，并进入步骤(3.3)；否则直接进入步骤(3.4)；

(3.3)监控到本阶段为止防御者所部署的全部诱饵节点，总计m个，当诱饵节点di上报预警信息时，表明攻击者已经利用了该节点di，此时需将di的状态属性变更为1；

(3.4)根据对网络内n个真实资源节点的监控反馈，倘若攻击者成功入侵其中的sj，则将真实资源节点sj的状态属性变更为1；

(3.5)提取该阶段攻击者的攻击路径attackpath：在上一阶段attackpath的基础上，将该阶段下攻击图中状态属性变更为1的节点有序加入attackpath中，并利用对攻击图威胁分析得出的漏洞利用成功概率，推测出攻击者下一阶段的入侵目标，以便防御者制定相应的防御方案；

(3.6)将attackpath中的攻击威胁量化：impact(v)＝10.41*(1-(1-c)(1-i)(1-a))，其中，c、i、a分别是cvss对漏洞v关于机密性、完整性和可用性的威胁影响得分度量标准，会依据每个漏洞的威胁性给出各漏洞具体的值；

(3.7)将attackpath中受诱饵节点保护的真实资产占整个攻击路径的比重作为防御效能的量化指标：其中，impact为真实资源节点sj中漏洞vjk或诱饵节点di中漏洞vik的威胁影响得分，1≤j≤n，1≤i≤m；k表示节点中的第k个漏洞，1≤k≤m；weight为各节点权重，由自身访问热度占整体网络总热度的比重确定；

(3.8)重复步骤(3.1)-(3.7)，直至攻击者停止本次攻击，即攻击图达到最终状态；

(3.9)将所有节点状态属性置为0，重新开始新的攻击威胁监听。

有益效果：与现有技术相比，本发明的技术方案具有以下有益技术效果：

(1)由于国内外现有研究大多局限于自身所提防御方案，针对某一具体的网络欺骗技术来提出对应的评估指标，很难应用到其他场景，因此本发明提出一种基于动态贝叶斯攻击图的网络欺骗效能评估方法。该方法不局限于具体的欺骗防御手段，只考虑防御手段实施后所产生的影响以及结果，能够较好地适用于各种网络欺骗防御场景下；

(2)本方法根据目标网络当前态势构建贝叶斯攻击图模型，利用各节点的监控信息判定自身状态属性是否改变，即是否遭受攻击者入侵。针对防御者的欺骗防御方案，采用主动探测的方式对其进行隐蔽性分析，确保攻击者不会因为不一致的扫描结果而产生怀疑，保证欺骗方案的可用性。通过提取攻击图中状态属性变化的资源节点构成攻击路径，将受诱饵节点保护的真实资源节点占整个攻击路径的比重作为本次欺骗方案的防御效能。实验表明本方法在各种防御场景下都能够有效地评估防御方案效能，并为制定合理可行的防御方案提供依据。

附图说明

图1为本发明方法架构示意图；

图2为本发明攻击图更新流程图；

图3为网络欺骗防御效能评估流程图。

具体实施方式

下面结合实施实例和说明书附图对本发明作进一步的说明。

步骤一：在对网络欺骗进行评估之前，首先要对目标网络进行攻击图建模。

利用通用漏洞评分系统cvss来对网络内部存在的漏洞进行威胁分析；

例如，依照漏洞成功利用概率的计算公式，漏洞编号为cve-2009-0180的成功利用概率为：ps＝0.5，其中，该漏洞利用方式av为network，访问复杂度ac为low，无需攻击者身份验证，即au为none。

确定好网络拓扑、节点连通性等要素后，遍历完整的节点状态和攻击路径，实现贝叶斯攻击图的构建。

步骤二：将防御方案中涉及的节点进行一致性验证，确保攻击者只能做出和之前一致的观察；

针对攻击者的不同攻击类型以及攻击目标，可以将欺骗一致性大体分为网络特征、设备指纹和文件属性这三个类别，其中，根据traceroute、nmap、nessus等常见工具的扫描结果和文件固有属性，网络特征主要包括ip地址、跳数、传输路径等，设备指纹主要包括应用系统版本及位数、开放端口及其关联的服务、系统漏洞等，文件属性主要包括文件权限、文件大小、所有者等信息。利用利文斯顿距离、jaccard系数等相似度计算方法得到方案实施前后各参数之间的相似度，再结合各参数所占权重，得到节点的一致性验证结果cvr。

例如，在一小型实验网络中，某邮件服务器的ip地址为192.168.0.100，内部有编号为cve-2009-0180的漏洞。在该邮件服务器上安装kippo蜜罐监听远程通信，保证跳数、传输路径等网络特征参数不变，并利用脚本将蜜罐配置与真实系统保持一致，因此该邮件服务器的cvr可达0.99。

步骤三：将方案涉及节点的一致性验证结果加权相乘作为本次防御方案的隐蔽性量化值cqv，其中节点权重由自身访问热度占整体网络的比重确定。

在针对上述实验网络的防御方案中，包含有web服务器、文件服务器、邮件服务器和图形工作站。本实例利用低交互蜜罐进行诱饵部署，通过可编辑的配置文件使得各节点cvr可达0.99，则整体方案的隐蔽性cqv为96.06％。

步骤四：攻击图更新；

根据步骤三中对欺骗方案的隐蔽性分析结果，整体方案的cqv为96.06％，因此可以更新攻击图中所有在方案中涉及的节点。采用节点替换的方法对攻击图模型简化，根据步骤三中各诱饵节点的一致性验证结果cvr，则将资源节点si替换为对用的诱饵节点di；综合网络攻防对抗信息，当诱饵节点di上报预警信息时，表明攻击者已经利用了防御者部署的诱饵节点di，此时di＝1；与此同时，根据真实资源节点sj的监控反馈，倘若攻击者成功入侵，则将sj的状态属性变更为1。

步骤五：从攻击图中提取攻击路径，将受诱饵节点保护的真实资产占整个攻击路径的比重作为防御效能的量化指标；

(1)提取该时刻攻击者的攻击路径attackpath，在上一时刻attackpath的基础上，将攻击图中状态属性变更为1的节点有序加入attackpath中；

(2)将attackpath中的攻击威胁量化：impact(v)＝10.41*(1-(1-c)(1-i)(1-a))，其中，c、i、a分别是cvss中对机密性、完整性和可用性的威胁影响得分度量标准；

(3)将attackpath中受诱饵节点保护的真实资产占整个攻击路径的比重作为防御效能的量化指标：其中，impact为真实资源节点和诱饵节点的威胁影响得分，weight为各节点权重；

(4)重复步骤三-五，直至攻击者停止本次攻击，即攻击图达到最终状态；

(5)将所有节点状态属性置为0，重新开始新的攻击威胁监听。

例如，攻击路径attackpath为internet→webserver→mailserver→fileserver→workstation，这些路径中各节点的攻击威胁分别为1.0、6.4、6.4、4.9、10.0。根据上述步骤的分析，最终状态下的欺骗方案防御效能为86.8％。

步骤六：在一次攻击监测完成后，将所有节点状态属性置为0，重新开始新的攻击威胁监听。

上述实施例仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和等同替换，这些对本发明权利要求进行改进和等同替换后的技术方案，均落入本发明的保护范围。