论文部分内容阅读
当前,网络空间安全形势越来越严峻,网络攻击技术呈现综合化、隐蔽化和智能化的发展趋势。为了有效识别潜在的网络安全威胁、评估网络安全风险,人们采用攻击图技术对受保护网络进行脆弱性分析,为构建网络安全防护体系、采取适当的网络安全防护措施提供重要的参考依据。但随着受保护网络规模越来越大,现有攻击图算法低效的缺点难以支撑对复杂网络进行动态脆弱性分析的需求。本文针对复杂网络攻击图动态构建技术进行了深入研究,主要完成如下工作:针对高效构建复杂网络攻击图的需求,提出了一种基于逆向搜索的完全攻击图并行构建算法。为了提高计算效率,首先,基于一种脆弱性利用假设,采用并行计算手段,在计算网络脆弱性间的关联关系时,不用保存攻击者状态信息,只关心各脆弱性节点间存在的关联关系;其次,各计算节点并行计算子任务时,不需要进行数据通信和保持数据库一致性,减去了通信开销。在此基础上,还提出了一种基于DFS(Depth-first Search)的攻击路径搜索算法,为针对性发现关键威胁节点提供了依据。针对攻击图并行计算的子任务划分不均衡、并行计算方法中攻击图融合带来的额外计算时间开销的问题,采用了基于多层k路超图剖分的方法对并行子任务进行划分,保证了并行子任务划分的负载均衡,并在此基础上,提高了子任务内节点关联程度,减少了攻击图融合带来的额外时间开销。针对攻击图动态构建方法研究的不足,在基于逆向搜索的完全攻击图构建算法的基础上,提出了一种有效的攻击图动态构建算法。采用攻击图动态构建阈值的计算方法,较准确地控制攻击图动态的构建时机,提高了网络脆弱性分析效率,较好地支撑了持续监测的网络安全能力。设计实现了相应的原型系统,通过实验测试,表明提出的复杂网络攻击图动态构建技术的有效性。