团树传播算法在贝叶斯网络攻击图中概率计算剖析.docVIP

团树传播算法在贝叶斯网络攻击图中概率计算剖析 　　摘 要：攻击图模型中对属性节点的状态评估主要是通过计算该节点置信度进而分析节点的威胁状态。当前运用贝叶斯攻击图评估整体网络安全性，在计算贝叶斯攻击图先验概率以及结合入侵检测系统计算后验概率方面，存在属性节点增加，贝叶斯网的计算复杂度呈指数级增长的问题。针对计算复杂度问题，提出了一种将贝叶斯网络攻击图转化成团树的方法，降低了计算过程中的时间复杂度。实验结果表明，采用该方法使计算节点的置信度、时间复杂度得到一定程度降低。 　　关键词：贝叶斯网络；攻击图；团树传播；风险评估 　　DOIDOI：10.11907/rjdk.171323 　　中图分类号：TP309 　　文献标识码：A 文章编号：1672-7800（2017）007-0174-04 　　0 引言 　　云计算、虚拟化等技术的发展使人们可以便捷地、随需应变地从可配置资源共享池中获取计算、存储、网络等资源，在便利的同时也带来了网络规模越来越大、主机应用数量呈指数级增长等问题。网络攻击牵一发而动全身，网络管理人员需要实时了解网络的运行状态、服务器的安全性等。网络安全的态势预测可以帮助系统管理员更好地理解网络安全态势，为采取防护策略提供参考，有效降低网络安全风险。本文使用基于攻击图（Attack Graph）模型的方法评估网络安全态势，构建贝叶斯网络攻击图（Bayesian Attack Graph），推理方法采用团树（Clique Tree）方法。团树传播算法可应用在局域网中每个机器的威胁指数分析等方面，对相应主机采取升级系统、安装补丁等防护措施。 　　1 相关工作 　　攻击图技术研究方向主要包括：目标模型构建、攻击图构建以及攻击图分析。在目标模型构建方面，从目标网络和攻击者建模两个角度来构建目标模型， Sheyne[1]在前人的基础上深入分析后，提出了经典的五元组来描述目标网络。Ou等[1-2]提出一种使用逻辑推理分析网络的脆弱性，并基于该方法提供了生成攻击图的工具（Multi-host， multistage vulnerability analysis， MulVAL），为攻击图分析提供了基础。Xie等[3]使用贝叶斯网络对攻击发生的不确定性进行建模，但是没有引入攻击事件的后验概率。在攻击图分析方面，Homer等[4]提出借助漏洞的指标量化网络整体安全性。张瑜等[5]通过使用危险理论的APT多步攻击实时响应模型，解决了不依据变量实时改变攻击图模型的问题。高妮等[6]结合入侵检测系统检测到的实时攻击事件，运用贝叶斯推理方法对单步攻击行为的后验概率进行动态更新，实现对目标网络整体安全性评估。 　　上述攻击图分析方法，能够很完整地表示出所有的攻击路径，但是无法定量描述某个节点被攻击者获得的概率以及多个攻击之间的因果关系等。基于贝叶斯网络攻击图的方法在进行概率推理时无法解决大规模网络中后验概率计算的NP问题。本文使用团树传播算法对贝叶斯网络攻击进行精确推断，能够很好地改善后验概率计算存在的问题。 　　2 贝叶斯网络攻击图 　　大部分攻击都是利用一系列脆弱性漏洞的组合来攻破系统。攻击图是一种用于建立系统脆弱信息和攻击者用来获得一定目的的所有可能攻击序列的一般化表示方法。使用攻击图可以发现潜在的脆弱性信息进而评估网络的安全性，通过分析脆弱性之间的依赖关系和内部网络配置来分析多个有序原子攻击组合，描述网络系统中可能存在的攻?袈肪丁１匆端雇?络攻击图[7]可以解决不确定性问题，如攻击之间相互的因果关系以及被攻击利用成功的概率等，而攻击图只能表示存在攻击却无法描述节点的威胁程度。 　　贝叶斯网络攻击图模型主要描述了资源属性状态、攻击行为及相互因果关系。资源属性、原子攻击和局部条件概率定义如下： 　　定义1（资源属性）：属性描述一个资源（S）被攻击者获取的状态，其中状态的取值符合伯努利随机二值变量。 　　资源属性状态取值为S=0或者S=1。其中1表示资源被攻击者占据，Pr（S）表示资源状态为1的概率，相反的0表示资源未被占据，Pr（S）表示资源状态为0的概率。 　　定义2（原子攻击a）：定义原子攻击a：Spre?Spost→[0，1]，其中，Spre，Spost∈S且满足以下条件：①Spre≠Spost；②给定Spre = 1且Spost=1，状态从Spre成功加入Spost的概率P（Spre，Spost）0； 　　③不存在S1，S2，…，Sj∈S-{Spre，Spost}，满足P（Spre，S1）0，P（S1，S2）0，…，P（Sj-1，Sj）0且P（Sj，Spost）0。 　　定义3（贝叶斯网络攻击图）：贝叶斯网络攻击图定义为一个有向无环图BAG=（S，τ，A，ε，Lc），其中：①S=Ninternl∪