1.一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,其特征在于,该方法包括以下步骤:
(1)利用通用漏洞评分系统cvss来对网络内部存在的漏洞进行威胁分析,确定网络拓扑、节点连通性后,遍历诱饵节点和真实资源节点的状态属性,构建贝叶斯攻击图;
(2)攻击图中诱饵节点与真实资源节点具有一一对应的关系,将防御方案中涉及的诱饵节点进行一致性验证;
(3)依据欺骗方案的隐蔽性分析结果,综合网络攻防对抗信息更新攻击图,从攻击图中提取攻击路径,将受诱饵节点保护的核心节点的威胁得分占攻击路径整体威胁得分的比重作为防御效能的量化指标。
2.根据权利要求1所述的一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,其特征在于,所述步骤(1)中,通过威胁分析得出漏洞成功利用概率:ps=av*ac*au,其中,av是反映漏洞利用方式的量化指标,ac为访问复杂度,au为攻击者需身份验证次数的度量标准。
3.根据权利要求1或2所述的一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,其特征在于,所述步骤(1)中,真实资源节点和诱饵节点的状态属性包括0和1,其中,0表示该节点此时并未被入侵,1表示攻击者已成功入侵该节点,在初始状态下的攻击图模型中,所有真实资源节点和诱饵节点的状态属性起初都为0。
4.根据权利要求3所述的一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,其特征在于,所述步骤(2)中,攻击图中诱饵节点与真实资源节点具有一一对应的关系,将防御方案中涉及的诱饵节点进行一致性验证方法如下:
(1)针对攻击者的不同攻击类型以及攻击目标,可以将欺骗一致性分为网络特征、设备指纹和文件属性这三个类别,其中,由traceroute的网络探测结果可知,节点的网络特征包括ip地址、跳数、传输路径这些参数;根据nmap、nessus扫描工具对节点的识别结果,节点的设备指纹参数包括应用系统版本及位数、开放端口及其关联的服务、系统漏洞;节点文件属性包括文件权限、文件大小、所有者;
(2)计算得到诱饵节点与其对应的真实节点下各参数之间的相似度,再结合各参数所占权重,得到节点的一致性验证结果cvr;将方案涉及节点的一致性验证结果加权相乘作为本次防御方案的隐蔽性量化值cqv,其中节点权重由自身访问热度占整体网络的比重确定。
5.根据权利要求4所述的一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,其特征在于,节点的一致性验证结果cvr为:
6.根据权利要求1所述的一种基于动态贝叶斯攻击图的网络欺骗效能评估方法,其特征在于,所述步骤(3)中,依据欺骗方案的隐蔽性分析结果,综合网络攻防对抗信息更新攻击图,从攻击图中提取攻击路径,将受诱饵节点保护的核心节点的威胁得分占攻击路径整体威胁得分的比重作为防御效能的量化指标,具体方法如下:
(3.1)针对本阶段的攻防情况,制定下一阶段的防御方案来部署新的诱饵节点,并利用步骤(2)中诱饵节点的一致性验证结果来更新攻击图,倘若cvr超过阈值α,则进入步骤(3.2),否则直接进入步骤(3.4);
(3.2)采用节点替换的方法对攻击图进行更新,利用隐蔽性分析结果cqv,若cqv大于0.5,则利用广度优先搜索算法查找诱饵节点所对应的真实资源节点,将真实资源节点替换成该诱饵节点,并进入步骤(3.3);否则直接进入步骤(3.4);
(3.3)监控到本阶段为止防御者所部署的全部诱饵节点,总计m个,当诱饵节点di上报预警信息时,表明攻击者已经利用了该节点di,此时需将di的状态属性变更为1;
(3.4)根据对网络内n个真实资源节点的监控反馈,倘若攻击者成功入侵其中的sj,则将真实资源节点sj的状态属性变更为1;
(3.5)提取该阶段攻击者的攻击路径attackpath:在上一阶段attackpath的基础上,将该阶段下攻击图中状态属性变更为1的节点有序加入attackpath中,并利用对攻击图威胁分析得出的漏洞利用成功概率,推测出攻击者下一阶段的入侵目标;
(3.6)将attackpath中的攻击威胁量化:impact(v)=10.41*(1-(1-c)(1-i)(1-a)),其中,c、i、a分别是cvss对漏洞v关于机密性、完整性和可用性的威胁影响得分度量标准,其依据每个漏洞的威胁性给出各漏洞具体的值;
(3.7)将attackpath中受诱饵节点保护的真实资产占整个攻击路径的比重作为防御效能的量化指标:
(3.8)重复步骤(3.1)-(3.7),直至攻击者停止本次攻击,即攻击图达到最终状态;
(3.9)将所有节点状态属性置为0,重新开始新的攻击威胁监听。