基于攻击路径图的网络攻击意图识别技术研究.docVIP

基于攻击路径图的网络攻击意图识别技术研究 　　摘 要： 针对目前网络攻击分析和威胁评估都是建立在静态的网络环境和攻击行为之上的问题，设计了网络攻击意图动态识别系统。研究了基于最小顶点割的攻击意图阻止算法和基于时间自动机的攻击意图动态识别算法，搭建了网络攻击意图动态识别系统的框架并完成了该系统的设计。最后搭建了临时实验网络平台进行实验，实验结果表明，网络攻击意图动态识别系统在测试环境下是正确有效的。 　　关键词： 意图识别； 威胁评估； 最小顶点割； 攻击路径图； 时间自动机 　　中图分类号： TN911?34； TM417 文献标识码： A 文章编号： 1004?373X（2016）07?0093?04 　　Abstract： The current network attack analysis and threat assessment are based on the static network environment and attack behaviour. For this problem， the network attack intention dynamic recognition system was designed. The attack intention preventing algorithm based on minimum vertex cut and attack intention dynamic recognition algorithm based on timed automata are studied. The framework of the network attack intention dynamic recognition system was established， and the system design was accomplished. The system was tested on the constructed temporary experiment network platform. The experimental results show that the network attack intention dynamic recognition system is effective in test environment. 　　Keywords： intention recognition； threat assessment； minimum vertex cut； attack path graph； timed automata 　　0 引 言 　　近年来计算机网络安全事故已经对计算机网络系统造成极大的安全威胁，而传统的网络安全防御技术[1]功能单一，且只能根据设置被动地防御攻击事件，无法识别攻击者的攻击计划并预测攻击者的下一步攻击。在攻击意图识别领域[2]，基于规划图分析的意图识别方法[3?4]无法处理复杂问题，基于概率推理的意图识别方法[5?6]在先验概率方面具有一定的局限性。 　　1 基于最小顶点割的攻击意图阻止算法 　　采取一定措施，降低发生概率高、危害程度大的攻击意图的实现概率是提高网络安全的重要途径。为使采取的补救措施最少，首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集，然后采用一定措施消除最小顶点割集的这些节点，就可以阻止该攻击意图的实现，从而实现增强网络安全的目的。 　　1.1 最大两两顶点不相交路径的构造 　　为简化最大两两顶点不相交路径问题，采用节点拆分（node?splitting）技术将问题转变为构造最大两两边不相交路径问题。将汇节点和源节点外的其他节点拆分为出点和入点，将该出节点的有向边转变为由出点引出的有向边，到该节点的有向边转变为指向该入点的有向边，以一条权值为1的有向边连接出点和入点，节点拆分示意图如图1所示。 　　从图1可以看出，经过节点（见图1（a））的路径一定会经过节点（见图1（b））的该节点出点和入点之间的边，因此图1中最大两两顶点不相交路径等价于最大两两边不相交路径。从而构造最大两两顶点不相交路径可通过采用标准的最大流算法和网络流技术实现。 　　如图2所示，按照节点拆分原则及路径转化原则，构造最大两两边不相交算法如下： 　　（1） 将正在进行攻击的路径图作为一个流网络，把该流网络每条边的容量设为1； 　　（2） 在当前使用的残留网络中找到所有的增广路径； 　　（3） 在原来的流网络中添加增广路径，从而构造出新的流网络； 　　（4） 重复步骤（2），（3），直到找出所有的增广路径； 　　（5） 删除无流的边，余下的u?v路径就是网络图的最大两