一种基于攻击路径图的多阶段攻击场景动态构建方法

本发明涉及网络安全，尤其是涉及一种基于攻击路径图的多阶段攻击场景动态构建方法。

背景技术：

1、对于攻击场景构建方法的研究，前人已经做了大量的工作。一部分工作通过将专业领域知识转化为规则，基于经验的场景构建方法采用规则匹配算法还原网络攻击过程，全面重构攻击场景。

2、由于网络中存在多种可能的漏洞和攻击方式，因此攻击者可以选择多条不同的路径来达成攻击目标。这使得攻击路径图的更新需要考虑更多的可能性和场景。现代网络攻击往往采用多步骤、多宿主的方式，逐步渗透进整个网络。这种攻击方式使得攻击路径图变得异常复杂，难以全面捕捉和表示。

3、因此，提出一种能够全面表示多阶段攻击场景动态变化的方法，在保护网络安全方面是很有必要的。

技术实现思路

1、本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种基于攻击路径图的多阶段攻击场景动态构建方法。

2、本发明的目的可以通过以下技术方案来实现：

3、一种基于攻击路径图的多阶段攻击场景动态构建方法，包括以下步骤：

4、s1：获取报警信息并过滤误报警，得到构建参数；

5、s2：基于构建参数生成攻击路径图；

6、s3：设置更新周期，在每个周期开始时，获取攻击路径图变化因素；

7、s4：根据攻击路径图变化因素，使用对应的攻击路径图更新方法更新攻击路径图；

8、s5：遍历更新后的攻击路径图，生成最终的受害节点集；

9、s6：根据受害节点集的相关攻击前置路径集合，计算当前攻击发生时前置攻击路径发生的概率，比较相关前置攻击路径的条件概率大小，将最大值添加至攻击链集合中，直到全部相关前置攻击路径均加入攻击链集合；

10、s7：根据攻击链集合生成一组与攻击路径图相对应的攻击链，即多阶段攻击场景。

11、进一步地，攻击路径图变化因素包括网络结构改变、主机信息改变以及新攻击生成造成的攻击路径图变化。

12、进一步地，当网络结构改变时，对应的攻击路径图更新方法包括以下步骤：

13、检查网络节点的变化，判断是否添加或删除网络节点；添加网络节点时，根据该节点的报警信息，创建新的攻击路径；删除网络节点时，同时删除所有从该节点发出的路径。

14、进一步地，当主机信息改变时，对应的攻击路径图更新方法包括以下步骤：

15、获取发生主机信息改变的节点，计算从该节点开始的攻击路径的内部概率以及相关后续路径的攻击路径的内部概率。

16、进一步地，当新攻击生成时，对应的攻击路径图更新方法包括以下步骤：

17、基于新攻击的攻击前置路径和内部概率，生成新攻击的概率，并更新从新攻击的目标节点到受害节点的所有攻击路径的概率。

18、进一步地，当前攻击发生的概率的表达式为：

19、

20、式中，aj∈pra(ei,k)为前置攻击；n为ei,k的前置攻击路径数量；p(ei,k)为攻击内在概率。

21、进一步地，受害节点为被攻击概率大于等于50％的节点。

22、进一步地，报警信息包括报警密度、报警周期、报警目的地数量和报警源数量。

23、进一步地，构建参数包括漏洞得分、攻击成本、攻击收益以及报警真实率。

24、进一步地，攻击路径图通过二进制元组<op,ei,k>表示，其中op＝{i,d}表示操作类型，op＝i表示添加操作，op＝d表示删除操作；ei,j表示攻击路径图中与操作相关的攻击路径op。

25、与现有技术相比，本发明具有以下有益效果：

26、1)本发明设计了一种基于攻击路径图的攻击链生成算法，周期性对系统受攻击状态进行检测，基于攻击路径图变化因素，还原网络中的多阶段攻击路径，以此生成攻击链，并重构攻击场景，通过攻击路径图描述了多阶段网络攻击的影响过程，计算当前攻击发生时前置攻击路径发生的概率，从而构建攻击链集合，体现了多阶段攻击过程间的关联性，实现了攻击场景的动态构建。

27、2)本发明通过网络结构改变、主机信息改变、新攻击生成三个主要方面，全面考虑了多步骤攻击的影响因素，设计了一种基于网络变化因素的攻击场景动态更新算法，实现网络结构的更新。

28、3)本发明可以实现攻击场景的直观表示以及攻击场景的动态更新，突出攻击可能的发展方向。

技术特征：

1.一种基于攻击路径图的多阶段攻击场景动态构建方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于攻击路径图的多阶段攻击场景动态构建方法，其特征在于，所述攻击路径图变化因素包括网络结构改变、主机信息改变以及新攻击生成造成的攻击路径图变化。

3.根据权利要求2所述的基于攻击路径图的多阶段攻击场景动态构建方法，其特征在于，当网络结构改变时，对应的攻击路径图更新方法包括以下步骤：

4.根据权利要求2所述的基于攻击路径图的多阶段攻击场景动态构建方法，其特征在于，当主机信息改变时，对应的攻击路径图更新方法包括以下步骤：

5.根据权利要求2所述的基于攻击路径图的多阶段攻击场景动态构建方法，其特征在于，当新攻击生成时，对应的攻击路径图更新方法包括以下步骤：

6.根据权利要求1所述的基于攻击路径图的多阶段攻击场景动态构建方法，其特征在于，所述当前攻击发生的概率的表达式为：

7.根据权利要求1所述的基于攻击路径图的多阶段攻击场景动态构建方法，其特征在于，所述受害节点为被攻击概率大于等于50％的节点。

8.根据权利要求1所述的基于攻击路径图的多阶段攻击场景动态构建方法，其特征在于，所述报警信息包括报警密度、报警周期、报警目的地数量和报警源数量。

9.根据权利要求1所述的基于攻击路径图的多阶段攻击场景动态构建方法，其特征在于，所述构建参数包括漏洞得分、攻击成本、攻击收益以及报警真实率。

10.根据权利要求1所述的基于攻击路径图的多阶段攻击场景动态构建方法，其特征在于，所述攻击路径图通过二进制元组<op,ei,k>表示，其中op＝{i,d}表示操作类型，op＝i表示添加操作，op＝d表示删除操作；ei,j表示攻击路径图中与操作相关的攻击路径op。

技术总结本发明涉及一种基于攻击路径图的多阶段攻击场景动态构建方法，包括以下步骤：获取报警信息并过滤误报警，得到构建参数；基于构建参数生成攻击路径图；设置更新周期，在每个周期开始时，获取攻击路径图变化因素；根据攻击路径图变化因素，使用对应的攻击路径图更新方法更新攻击路径图；遍历攻击路径图，生成受害节点集；根据受害节点集的相关攻击前置路径集合，计算当前攻击发生时前置攻击路径发生的概率，逐步将相关前置路径添加至攻击链集合中，直到全部相关前置攻击路径均加入攻击链集合；根据攻击链集合生成一组与攻击路径图相对应的攻击链，即多阶段攻击场景。与现有技术相比，本发明具有路径关联性强、分析全面等优点。技术研发人员：温蜜,何思颖,李秀民,李玮玮,李婧,魏敏捷受保护的技术使用者：上海电力大学技术研发日：技术公布日：2024/10/17