基于貝葉斯攻擊圖的網(wǎng)絡(luò)脆弱性評(píng)估方法研究.pdf

1、隨著信息化建設(shè)的加快推進(jìn)，網(wǎng)絡(luò)信息系統(tǒng)的安全性顯得愈加重要。當(dāng)前網(wǎng)絡(luò)安全面臨的主要威脅是攻擊的高級(jí)化、持續(xù)化及目標(biāo)明確化，傳統(tǒng)被動(dòng)的安全防護(hù)手段已經(jīng)無法有效應(yīng)對(duì)。脆弱性評(píng)估技術(shù)則通過以攻擊者的視角，發(fā)現(xiàn)網(wǎng)絡(luò)潛在的安全隱患，發(fā)掘高級(jí)持續(xù)攻擊中各個(gè)攻擊步驟的隱含關(guān)系，分析網(wǎng)絡(luò)系統(tǒng)存在的脆弱性用以指導(dǎo)網(wǎng)絡(luò)安全防護(hù)。
　　本文在現(xiàn)有基于攻擊圖的脆弱性評(píng)估方法基礎(chǔ)上，擴(kuò)展網(wǎng)絡(luò)安全要素模型，添加不確定性要素到攻擊圖中，用貝葉斯網(wǎng)絡(luò)分析方法分析

2、攻擊圖。設(shè)計(jì)實(shí)現(xiàn)了攻擊圖攻擊概率計(jì)算算法，貝葉斯攻擊圖生成算法和基于貝葉斯攻擊圖的 Gibbs推理算法，最終實(shí)現(xiàn)攻擊圖攻擊概率的計(jì)算并進(jìn)一步采用攻擊圖拆分加權(quán)的方法分析目標(biāo)網(wǎng)絡(luò)的脆弱性。本文主要工作包括：
　　首先深入分析各種攻擊模式和網(wǎng)絡(luò)安全要素模型對(duì)脆弱性評(píng)估的影響，對(duì)網(wǎng)絡(luò)安全要素模型進(jìn)行層次劃分和逐層次的細(xì)致化模型表述，在網(wǎng)絡(luò)安全要素模型基礎(chǔ)上考慮攻擊概率計(jì)算缺乏對(duì)攻擊不確定性、時(shí)間以及環(huán)境的因素，擴(kuò)展貝葉斯攻擊圖模型，建立

3、面向智能規(guī)劃的攻擊圖生成方法，作為后續(xù)智能規(guī)劃生成攻擊圖的前提輸入。
　　其次，提出了將攻擊圖和通用脆弱性評(píng)估框架（CVSS）相結(jié)合的攻擊概率計(jì)算方法，將攻擊者能力、脆弱性利用難度等因素綜合考慮最終生成攻擊概率。通過將 CVSS參數(shù)向量和攻擊圖實(shí)際分析的攻擊流程相結(jié)合，動(dòng)態(tài)的調(diào)整貝葉斯攻擊圖的先驗(yàn)概率參數(shù)，實(shí)現(xiàn)了一個(gè)客觀、考慮實(shí)際網(wǎng)絡(luò)場(chǎng)景的攻擊圖概率選取方法，為針對(duì)網(wǎng)絡(luò)具體目標(biāo)進(jìn)行攻擊概率計(jì)算提供依據(jù)。
　　再次，設(shè)計(jì)并實(shí)現(xiàn)

4、了針對(duì)貝葉斯攻擊圖的Gibbs采樣近似推理方法，有效降低概率計(jì)算的復(fù)雜性。在貝葉斯攻擊圖概率選取的過程中動(dòng)態(tài)調(diào)整參數(shù)并將攻擊概率反饋給攻擊圖的概率計(jì)算中，最終達(dá)到馬爾可夫平衡，從而得出綜合考慮多個(gè)網(wǎng)絡(luò)安全參數(shù)和不確定性因素的攻擊概率值。
　　最后提出了基于累積攻擊概率脆弱性評(píng)估和基于拆分加權(quán)攻擊圖的原子攻擊分析算法。以攻擊概率值量化評(píng)估最大攻擊概率路徑，并在貝葉斯攻擊圖基礎(chǔ)上拆分加權(quán)，創(chuàng)新性地提出了攻擊拆分加權(quán)的方法，通過利用之前