网络动态防御中主机安全威胁分析与量化方法

199 浏览量更新于2024-08-29 收藏 620KB PDF 举报

"该文章是《网络与信息安全学报》2018年4月刊发表的研究，由李立勋、张斌和董书琴共同撰写。研究关注网络动态防御体系下主机安全威胁的分析方法，特别强调了动态变化如何增加主机脆弱性的不确定性。文章提出了一种新的分析框架，旨在量化这种不确定性并计算入侵者的入侵成功概率。" 网络动态防御是一种新兴的安全策略，其核心思想是通过不断变化网络环境来使攻击者难以找到稳定的目标。然而，这种动态性也带来了新的挑战，即如何评估在不断变动的环境中主机的安全状态。文章首先应用随机抽样模型来量化网络动态防御中的变换周期和变换空间对主机脆弱性的影响。这一步涉及将CVSS（通用漏洞评分系统）与动态环境相结合，以估算攻击者针对单一脆弱性的成功入侵概率。接着，作者解决了一个关键问题，即如何在存在多个脆弱性的环境中避免入侵路径搜索过程中的自环。他们引入了节点访问队列，并提出了一个改进的递归深度优先搜索算法，以有效地寻找可能的入侵路径。这种方法有助于避免重复检查已访问的节点，从而提高效率。在计算多脆弱性、多入侵路径条件下的主机安全威胁度时，研究团队使用了之前得到的单个脆弱性入侵成功概率。通过对所有可能路径的威胁度进行整合，他们可以综合评估整个系统的安全性。最后，通过在实际的网络动态防御环境中进行实验，验证了所提方法的实用性和准确性。实验结果证明了该方法在理解和管理动态环境下的主机安全威胁方面具有显著价值。关键词涉及的领域包括网络安全、网络动态防御、主机安全威胁分析、入侵成功概率以及入侵者权限转移图，这些都突显了研究的深度和专业性。文章的贡献在于提供了一种定量分析动态防御体系下主机安全威胁的有效工具，对于网络安全领域的理论研究和实践应用具有重要意义。

2018 年 4 月 Chinese Journal of Network and Information Security April 2018

2018031-1

第 4 卷第 4 期网络与信息安全学报 Vol.4

No.4

网络动态防御体系下主机安全威胁分析方法

李立勋

1,2

，张斌

1,2

，董书琴

1,2

（1. 信息工程大学，河南郑州 450001；

2. 河南省信息安全重点实验室，河南郑州 450001）

摘要：分析网络动态防御体系下的主机安全威胁必须考虑动态变换给主机脆弱性造成的不确定性。为此，

首先，利用随机抽样模型对网络动态防御变换周期和变换空间给主机脆弱性造成的不确定性进行量化，并结

合通用漏洞评分系统 CVSS (common vulnerability scoring system)计算入侵者针对单个脆弱性的入侵成功概

率；其次，为避免多脆弱性情况下的入侵路径搜索过程出现自环，引入节点访问队列并提出改进的递归深度

优先入侵路径搜索算法；然后基于求得的脆弱性入侵成功概率计算多脆弱性多入侵路径情况下的主机安全威

胁度；最后，在典型网络动态防御环境中进行实验，验证了方法的可用性和有效性。

关键词：网络安全；网络动态防御；主机安全威胁分析；入侵成功概率；入侵者权限转移图

中图分类号：TP393

文献标识码：A

doi: 10.11959/j.issn.2096-109x.2018031

Host security threat analysis approach for

network dynamic defense

LI Lixun

1,2

, ZHANG Bin

1,2

, DONG Shuqin

1,2

1. Information Engineering University, Zhengzhou 450001, China

2. Henan Province Information Security Key Laboratory, Zhengzhou 450001, China

Abstract: Calculating the host security threat in network dynamic defense (NDD) situation has to consider the vul-

nerabilities’ uncertainty because of dynamic mutation. Firstly, the vulnerabilities’ uncertainty caused by the mutation

space and the mutation period was calculated by random sampling model, and combined with the CVSS, the attack

success probability formula of single vulnerability was derived. Secondly, to avoid self-loop during the path search-

ing process in multiple vulnerabilities situation, an improved recursive depth first algorithm which combined with

node visited queue was proposed. Then, the host security threat was calculated based on attack success probability in

the situation of multiple vulnerabilities and paths. Finally, approach’s availability and effectiveness were verified by

an experiment conducted in a typical NDD situation.

Key words: cyber security, network dynamic defense, host security threat analysis, attack success probability, at-

tacker privilege transfer graph

收稿日期：2018-03-02；修回日期：2018-03-28

通信作者：李立勋，lilixun_1994@126.com

基金项目：河南省基础与前沿技术研究计划基金资助项目（No. 2014302903）；信息保障技术重点实验室开放基金资助

项目（No. KJ-15-109）；信息工程大学新兴科研方向培育基金资助项目（No. 2016604703）

Foundation Items: The Foundation and Frontier Technology Research Project of Henan Province (No. 2014302903), Infor-

mation Protection Technology Key Laboratory Open Fund Project (No. KJ-15-109), New Research Direction Cultivation Fun

of Information Engineering University(No. 2016604703)

下载后可阅读完整内容，剩余7页未读，立即下载

weixin_38611388

粉丝: 10
资源: 971

网络动态防御中主机安全威胁分析与量化方法

电力资产主机安全合规大数据分析方法.pdf

网络安全威胁态势评估与分析技术研究

主机威胁和终端安全有什么区别

红蓝攻防:构建实战化网络安全防御体系pdf

主动防御和动态防御区别

奇安信 红蓝攻防构建实战化网络安全防御体系 pdf

网络安全防御体系的升级

基于深度学习的网络安全防御立题依据

谈谈防火墙和入侵防御系统如何在网络安全中发挥作用？

最新资源

奇安信红蓝攻防构建实战化网络安全防御体系 pdf