[0001] 本公开涉及计算机网络信息安全技术领域，尤其涉及一种基于时间概率攻击图的病毒攻击防御方法。

[0002] 随着网络攻防对抗的日益加剧，针对重要工作部门、科研单位等重要企业级网络的高级持续性威胁(Advanced Persistent Threat，APT)攻击也逐渐增加。但考虑时间、成本和管控水平差异等因素，难以修补所有可能被攻击方利用的漏洞或后门做到万无一失。合理地定性定量评估网络的安全性能，能为网络风险可管可控提供理论支持，为防御技术的部署提供参考，对于保障网络空间安全有着重要的理论与实践意义。

[0003] 相关技术中，针对漏洞攻击的研究主要采用将已知漏洞攻防过程量化并通过量化结果进行风险评估从而进行有效防控。这类研究能够从漏洞复杂性和可用性等角度对漏洞进行评估，能够很好的反映漏洞可能造成的风险。然而，攻击过程中，漏洞的利用往往不是孤立的，不同网络和不同攻击模式下，漏洞利用次序和难度也不相同，同一漏洞可能造成的危害也不相同。因此，有必要改善上述相关技术方案中存在的一个或者多个问题，以提升持续性和阶段性攻击下平台动态防御的效率。

[0004] 需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

[0034] 现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。

[0035] 此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

[0036] 本示例实施方式中首先提供了一种基于时间概率攻击图的病毒攻击防御方法，参考图1中所示，该方法可以包括以下步骤：

[0037] 步骤S101：构建时间概率攻击模型；

[0038] 步骤S102：根据时间概率攻击图获取潜在的攻击路径，并计算各所述攻击路径的最大攻击成功概率；

[0039] 步骤S103：计算各所述攻击路径的防御收益结果；

[0040] 步骤S104：结合各所述攻击路径的所述最大攻击成功概率以及所述防御收益结果，分析评估网络安全态势，并部署防御系统定期扫描检测攻击行为。

[0041] 本公开的实施例中，考虑漏洞利用时间和扫描时间对网络攻防对抗的影响，构建时间概率攻击模型，通过时间概率攻击图制定了攻击路径的最大攻击成功概率算法，并结合攻击路径的防御收益结果，分析评估了网络安全态势，进而增加了防御系统部署的准确性。

[0042] 下面，将对本示例实施方式中的上述方法的各个步骤进行更详细的说明。

[0043] 在步骤S101中，概率攻击模型是一种将网络攻击具象化的建模方法，能够形象地表示攻击者在攻击过程中的漏洞利用次序，并且有利于防御方发现潜在的攻击路径以便实施针对性防御。网络攻防不仅仅是漏洞的利用和修补，还是时间上的博弈，单一的成功概率无法有效体现这种时间上的竞争。例如，对于对攻击方而言，攻击过程中漏洞利用和提权往往需要一定时间，不同攻击者往往在攻击手法、熟练程度以及经验水平上有所差异。对防御方而言，往往会部署漏洞扫描系统或入侵检测系统，定期检测病毒文件或攻击行为。因此，结合时间因素构建时间概率攻击模型。

[0044] 在本实施例中，该时间概率攻击模型为5元组模型G＝{S,A,P,T,tA}。其中：

[0045] S＝{Si|i＝1,2,N}，为该时间概率攻击模型中节点的集合，用于表示相应位置存在的漏洞、权限和资源，攻击者成功利用相应漏洞后可控制对应的系统资源并获取更高权限，N为攻击图中节点的数量；

[0046] A＝{Ai,j|i,j＝1,2,…,N∧i≠j}，为该时间概率攻击模型中的有向边，用于表示攻击者的一次原子攻击，Ai,j表示攻击者在成功利用漏洞Si的基础上针对漏洞Sj发起的攻击；

[0047] P＝{pi,j|Ai,j∈A}，pi,j表示攻击者发起一次Ai,j攻击的成功概率；

[0048] T用于表示防御方在针对漏洞Si或其所在位置部署的漏洞扫描系统的扫描周期，一旦防御方在相应位置扫描到攻击行为(攻击方正在攻击该漏洞或者已经攻击成功)，则攻击方攻击失败；

[0049] 为发起一次Ai,j攻击的耗时。

[0050] 具体的，可参照图2，图2为一个概率攻击图，其中共包含10个节点，S1和S2为初始状态，攻击者可以从这两个节点处发起攻击，S9和S10为目标节点，攻击者的最终目标即为获取相应节点位置的资源，其余节点为攻击者从起始状态到目标节点过程中可利用的漏洞。该事件概率攻击途中，有向边表示攻击者发起的攻击，边的权值为发起一次攻击的成功概率和耗时，攻击者想要获取目标节点位置的控制权限或者资源，必须从初始节点开始，逐级利用相应漏洞获取权限，将从任意节点开始到目标节点的一组节点序列称为攻击路径并定义如下：

[0051] 攻击路径 其中k1,k2,…,km为时间‑概率攻击图中的节点编号，且满足

[0052] 在步骤S102中，根据时间概率攻击图获取潜在的攻击路径。构建时间概率攻击图并发现其中的攻击路径有助于分析网络潜在威胁，评估安全态势。例如，在图2所示的时间概率攻击图中，共包含如表1所示的4条可用攻击路径。

[0053] 表1可能的攻击路径

[0054]

[0055]

[0056] 在网络攻防过程中，攻击者可以对同一漏洞发起多次攻击，直至成功，但是由于漏洞扫描系统或入侵检测系统的周期性检测，使得攻击者无法无限发起攻击，一旦被发现就会被打断。以下，考虑攻击者利用时间和系统扫描时间，计算时间概率攻击图中的攻击路径成功概率。

[0057] 攻击者对目标主机实施攻击的过程中，往往针对同一个节点资源进行多次攻击。攻击者每发起一次Ai,j攻击消耗的攻击时间 单次攻击成功概率为pi,j，设攻击者发起攻击的次数为ji,j，则攻击者通过ci,j次攻击后成功的概率为：

[0058]

[0059] 在防御方未部署任何防御系统的条件下，在沿路径 攻击的过程中，所消耗时间 为

[0060]

[0061] 当防御方部署防御系统时，攻击者针对某一条攻击路径上所有节点进行攻击并成功后，如果攻击期间未被防御方部署的防御系统扫描到，可认为攻击者此次攻击行为实施成功；如果攻击完成之前被防御方扫描到，则可认为攻击者的攻击行为将会被安全系统捕获，攻击行动失败。假设攻击路径中 之后的攻击均可被检测到，则从攻击者掌握 位置的权限开始，必须在下一次防御方扫描前完成攻击。在攻击方沿该路径的最大成功概率为：

[0062]

[0063] 在步骤S103中，当攻击者沿特定路径攻击成功后，攻击者即可获得其需要的目标资源，窃取或破坏网络中的重要信息甚至直接影响关键设备的运行，为了保障网络信息安全和正常运转，防御方往往会根据攻击路径进行布防，以下采用防御授予衡量一个网络的安全状况，防御收益越高代表网络安全状况越好。

[0064] 引入防御回报(Defense Reward,DR)、防御成本(Defense Cost,DC)和防御收益(Defense Profit,DP)。防御回报表示针对某一攻击策略采取防御策略后防御者的回报情况，防御成本表示采用某一防御策略进行防御所耗费的代价，防御收益是防御回报减去防御成本所得到的结果。三者关系可表述为：

[0065] DP＝DR‑DC                                      (4)

[0066] 通过部署防御系统定期扫描检测攻击行为可对网络进行保护，具体表现为降低特定攻击路径的攻击成功概率，一般而言路径攻击成功概率越低，保护效果越好。

[0067] 在步骤S104中，部署防御系统对某条路径防御成功后的防御收益可按表2所示量化。

[0068] 表2防御回报量化表

[0069]

[0070] 防御方针对某一攻击路径进行布防，所耗费的成本因布防节点在攻击路径中的位置不同而不同。防御方在攻击路径中的初始节点处进行防御所耗费的成本最高，在越接近目标节点防御成本越低，中间节点依次递减，其到目标节点的最小距离越小，防御成本越低。令防御成本为在[20,40]之间，初始节点的防御回报为90，目标节点的防御回报为10，中间的节点等差分布。根据各攻击路径上的最大攻击成功概率以及防御收益结果，针对性的部署防御系统，定期扫描检测攻击行为。

[0071] 以图2所示的时间概率攻击图为例，进行了仿真实验，(1)模拟了实际攻击情况下时间概率的实际值，验证了时间概率的正确性，分析原子攻击耗时对攻击成功率的影响；(2)对比了不同节点处部署防御系统时的防御收益，分析防御系统部署位置和扫描周期对网络安全的影响。

[0072] 图2所示时间概率攻击图存在表1所示的多条可能的攻击路径。根据CVSS(Common Vulnerability Scoring System，通用漏洞评分系统)评估准则，可得原子攻击成功概率，如表3所示。

[0073] 表3原子攻击成功概率表

[0074]

[0075] 假设防御方在S1和S2部署了防御系统，安全系统扫描周期T＝100，给出每一原子攻击的攻击时间，如表4所示。

[0076] 表4原子攻击时间

[0077]

[0078] 以攻击路径2为例，其中可能的攻击情况如表5所示，经计算，其最大成功概率(攻击方正好在一次扫描结束后发起攻击)为

[0079]

[0080] 表5攻击路径2攻击情况表

[0081]

[0082] 在所有路径上，通过蒙特卡洛方法模拟攻击和扫描过程，每条路径上模拟100000次攻击，统计攻击成功次数。图3所示为沿路径2攻击成功的次数随总攻击次数的变化趋势，显然，随着攻击次数的增长，攻击成功频率逐渐接近式(5)所计算的结果。同理可得其他路径的攻击成功概率和成功频率，结果如表6所示，理论值与实际值能够很好的吻合。结合时间概率攻击图及表6结果，对比不同路径权值，路径1上原子攻击单次攻击耗时最短，可在有限时间内发起多次攻击，但其单次成功概率较低，沿该路径的攻击成功率较低；路径2上的原子攻击单次攻击成功率高，但是其单次攻击耗时较长，限定时间内可发动的攻击次数较少，成功概率也相对较低；路径3路径最长，攻击成功概率也最低；路径4中原子攻击单次成功概率和和单次攻击耗时均较高，因此该路径成功概率较高。综上，时间概率攻击图中，沿任意路径的攻击成功概率主要受相应原子攻击的单次攻击时间、单次攻击成功概率和路径长度的影响，一般说来，单次攻击时间越短，单次攻击成功概率越高、路径越短，相应路径攻击成功概率越高。单次攻击成功概率越高，成功所需次数的期望值也越低；单次攻击耗时越短，有限时间内可发起的攻击次数也越多。因此单次成功概率越高，攻击耗时越短，攻击时间约充足，攻击成功率越高。

[0083] 表6攻击路径成功攻击概率表

[0084]

[0085] 通过仿真实验对比分析在图3所示攻击图的不同位置部署防御系统及不同扫描周期时网络的防御收益，分析防御系统部署位置及扫描周期对网络安全状况的影响。

[0086] 设扫描周期为100，在不同节点部署防御系统时的不同路径上的期望防御收益如表7所示。分析表7可知，不同路径的最佳防御系统部署位置也不完全相同，其中，在路径1、2、3和5上部署在起始节点位置时，防御收益最高。这是由于将防御系统部署在路径起始位置时，攻击者从一开始就可以被检测到，在限定时间内需要完成的攻击步骤也最多，对路径攻击成功概率的降低效果最显著，因此部署在该位置效果较好。在路径4上部署在节点S5时防御收益最高，在该位置部署防御系统时，在路径4上的攻击成功概率为0.2415，尽管相比于部署在路径初始位置时的成功概率有大幅提升，但根据表2，该路径仍然被判定为一条相对安全的路径，防御回报较高，而且相对起始节点防御成本较低，因此在该点部署可能获得讲稿防御收益。在S6、S7和S8等节点部署防御系统时，防御收益普遍不高，原因在于这些节点距离目标节点过近，在一个扫描周期内，攻击者只需完成一个原子攻击，因此防御效果较差，但由于其部署成本较低，整体损失也较小。在S1、S2和S4等节点部署防御系统时，能提升多条路径的防御收益。结合图2所示时间概率攻击图分析可知，在网络的枢纽位置(多条攻击路径交汇的地方，如S1、S2和S4)不是防御系统，可提升较多路径的防御收益，效果较好。

[0087] 表7攻击路径上的防御收益

[0088]

[0089] 以在部署防御系统，分析不同扫描时间时对路径1和路径2的防御收益，结果如图4所示，仿真结果表明，时间概率攻击图在其攻击路径上的防御收益与防御系统的扫描周期有关，一般来说，扫描周期越长，攻击方可用时间越长，防御收益也越小网络安全状况越差；扫描周期越短，攻击方可用时间越短，防御收益越高，网络安全状况越好。

[0090] 综上，本公开提供的一种基于时间概率攻击图的病毒攻击防御方法，考虑漏洞利用时间和扫描时间对网络攻防对抗的影响，构建时间概率攻击模型，通过时间概率攻击图制定了攻击路径的最大攻击成功概率算法，并结合攻击路径的防御收益结果，分析评估了网络安全态势，使得防御系统的部署位置可根据需要保护的路径和节点进行针对性布防，进而增加了防御系统部署的准确性。

[0091] 网络中防御系统的部署位置和扫描周期是影响网络安全状况的重要因素。扫描周期越短，相关路径的防御收益越高，网络安全状况越好。而防御系统的部署位置则需要考虑需要保护的路径和节点进行针对性部署。

[0092] 本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由所附的权利要求指出。