[发明专利]一种基于吸收马尔科夫链的渗透路径确定方法及系统

说明书

本发明涉及一种基于吸收马尔科夫链的渗透路径确定方法及系统。该方法包括获取目标网络的拓扑结构以及环境信息；根据拓扑结构以及环境信息建立目标网络的攻击图；利用基于漏洞生命周期的状态转移概率归一化度量算法将攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵；基于漏洞生命周期的状态转移概率归一化度量算法以漏洞生命周期作为计算因子，以攻击图作为输入，以基于吸收马尔科夫链的状态转移概率矩阵为输出；根据攻击图和状态转移概率矩阵确定攻击成功概率最高的攻击路径，并将攻击成功概率最高的攻击路径作为渗透路径。本发明考虑到真实网络拓扑环境中漏洞的时效性，能够使攻击路径的选择更加合理且符合实际网络拓扑环境。

技术领域

本发明涉及网络安全攻防领域，特别是涉及一种基于吸收马尔科夫链的渗透路径确定方法及系统。

背景技术

在对真实的网络环境进行渗透时，实验人员需要从网络某一节点开始，多次利用漏洞来获取网络中节点的权限。随着网络环境的复杂化，0day漏洞的挖掘以及攻防技术的不断革新，需要一种能够节省开销、不影响网络正常运行并且能够有效感知网络中潜在的渗透路径的方法。攻击图技术通过将网络拓扑环境中所有的节点及路径图形化，针对目标网络构建攻击图，展现目标环境中到目标节点攻击路径，一方面便于分析从初始节点到目标节点潜在的攻击路径，对路径上的关键节点进行漏洞修复，达到保护重要节点的目的；另一方面可以在网络攻防时实时检测攻击方的攻击路径或为防御方提供防御对策，为双方提供攻防指导。

吸收马尔科夫链是至少具有一个吸收状态并且从图中任意状态都可以到达吸收状态的马尔科夫链。由于吸收马尔科夫链的无后效性符合攻击渗透攻击图中，节点状态转移仅与其相邻状态有关的特点，并且攻击图中目标状态可以看作为终止状态，符合吸收马尔科夫链的必须具备吸收态的特性。因此，可以将攻击图映射为吸收马尔科夫链，用于分析攻击图中的随机状态转移概率问题。

但是，目前对攻击路径发生概率和节点被攻陷概率的计算研究大多基于贝叶斯网络进行，现有基于攻击图的攻击路径预测方法未考虑漏洞生命周期的因素，对于状态转移发生时考虑不周全，状态转移概率计算方式不完备，进而，无法确定更加合理且符合实际网络拓扑环境的攻击路径。

发明内容

本发明的目的是提供一种基于吸收马尔科夫链的渗透路径确定方法及系统，考虑到真实网络拓扑环境中漏洞的时效性，能够使攻击路径更加合理且符合实际网络拓扑环境。

为实现上述目的，本发明提供了如下方案：

一种基于吸收马尔科夫链的渗透路径确定方法，包括：

获取目标网络的拓扑结构以及环境信息；所述环境信息包括：主机信息以及漏洞名称；

根据所述拓扑结构以及所述环境信息建立所述目标网络的攻击图；

利用基于漏洞生命周期的状态转移概率归一化度量算法将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵；所述基于漏洞生命周期的状态转移概率归一化度量算法以漏洞生命周期作为计算因子，以攻击图作为输入，以基于吸收马尔科夫链的状态转移概率矩阵为输出；

根据所述攻击图和所述基于吸收马尔科夫链的状态转移概率矩阵确定攻击成功概率最高的攻击路径，并将攻击成功概率最高的攻击路径作为渗透路径。

可选地，所述根据所述拓扑结构以及所述环境信息建立所述目标网络的攻击图，具体包括：

根据所述拓扑结构以及所述环境信息，利用Mulval攻击图生成工具，建立目标网络的攻击图。

可选地，所述利用基于漏洞生命周期的状态转移概率归一化度量算法将所述攻击图映射为基于吸收马尔科夫链的状态转移概率矩阵，具体包括：

从所述攻击图的状态节点集合S中随机选择一个未遍历的状态节点S_i；