基于马尔科夫链的网络入侵路径研究_徐明伟.pdf

第 34 卷第 2 期陇 东 学 院 学 报Vol34No22023 年 3 月Journal of Longdong UniversityMar 2023文章编号:1674-1730(2023)02-0044-06收稿日期:2021-11-04基金项目:安徽省重点基金项目(2017jyxm0891)作者简介:徐明伟(1981)，男，安徽芜湖人，讲师，主要从事计算机应用技术研究。基于马尔科夫链的网络入侵路径研究徐明伟，汤孝云(合肥滨湖职业技术学院，安徽 合肥 230601)摘要:网络化时代网络安全备受关注，对网络入侵路径的研究有助于指导网络安全防御。在对网络攻击图和吸收马尔科夫链分析的基础上构建了两者之间的映射关系，同时提出了一种新的非吸收节点指向自身的状态转移概率计算方法，得到了网络入侵路径分析模型。将搭建的网络入侵路径分析模型应用于网络环境中，结果表明，该模型可以有效地计算网络节点威胁度排序以及网络入侵长度期望值，这对网络安全管理员采取更为有效的安全防御措施具有一定的参考价值。关键词:吸收马尔科夫链;网络攻击;状态转移概率中图分类号:TP393 8文献标识码:Aesearch on Network Intrusion Path Based on Markov ChainXU Ming-wei，TANG Xiao-yun(Hefei Binhu Vocational Technical College，Hefei 230601，Anhui)Abstract:In the era of network，network security has attracted much attention The research on network intrusionpath is helpful to guide network security defense Based on the analysis of network attack graph and AbsorbingMarkov chain，this paper constructs the mapping relationship between them，puts forward a new calculation methodof state transition probability of non absorbing nodes pointing to themselves，and obtains the network intrusion pathanalysis model The network intrusion path analysis model is applied to the network environment The results showthat the model can effectively calculate the threat ranking of network nodes and the expected length of network intru-sion，which has a certain reference value for network security administrators to take more effective security defensemeasuresKey words:absorbing Markov chain;Network attack;state transition probability计算机网络技术的快速发展对促进国民经济的快速发展发挥着至关重要的作用，而频频出现的网络攻击事件对网络安全，乃至国家安全都产生了巨大的威胁1。互联网的公开性导致网络攻击者的攻击成本大大降低，各种新型的网络攻击工具，如互联网上的木马、蠕虫、勒索软件等，使得网络安全备受关注。如在俄罗斯和乌克兰的战争中，美国对俄罗斯政府网络实施网络恶意供给，这使得俄罗斯的官方网站访问速度变慢;一些网络攻击者攻击银行网络非法获取信息，给银行造成重大的经济损失;一些大学生攻击学校的教务系统网络对成绩进行篡改，直接影响了校园网络安全和正常化教学管理，产生了严重的负面影响。网络攻击是恶意的网络攻击者利用网络中存在的漏洞来逐步实现对网络的非法入侵，最终达到目标节点并获取所需信息的行为2。互联网快速发展时代背景下，网络安全面临严峻的挑战。通过对网络入侵路径的分析，找出网络中脆弱性之间存在的内在关系，有效地挖掘网络中的关键威胁节点，从而找出潜在的网络入侵路径3。网络入侵路径的分析是从网络攻击者的角第 2 期徐明伟，等:基于马尔科夫链的网络入侵路径研究度去进行入侵路径的分析，这有助于指导网络安全防御。张凯针对采用吸收马尔科夫链进行网络入侵路径分析时存在对状态转移概率计算考虑不全面的问题，进而提出一种基于改进状态转移概率计算方法的吸收马尔科夫链模型，即在计算状态转移概率时考虑非吸收节点状态转移存在失败的可能性，这使得得到的状态转移概率更加符合实际情况;将提出的基于改进状态转移概率计算方法的吸收马尔科夫链模型应用于网络入侵路径分析中，结果表明所提出的方法更加符合网络攻击的实际，能够更为准确地反映网络入侵路径的安全等级4。杨湧针对现有网络入侵路径预测精度低、漏报率高等问题，提出了混合多层结构化网络入侵路径预测方法，并将其应用于真实数据集 DBLP 中，结果表明提出的方法能够及时诊断混合多层结构化网络中的异常，从而达到有效避免网络受到异常攻击的目的5。胡浩将网络完整攻击图映射为吸收马尔科夫链，提出了基于吸收马尔科夫链的多步攻击路径预测方法，该方法可以对不同长度攻击路径的概率分布进行量化，从而为应对网络攻击提供安全防护指导6。本文拟对吸收马尔科夫链网络入侵路径分析中存在的状态转移概率计算不科学进行分析，提出基于马尔科夫链的网络入侵路径分析方法，使得分析的结果更加符合网络攻击的实际情况。1网络入侵路径相关理论1 1网络攻击图网络在给国民的生活带来便利的同时网络安全备受关注，网络中的恶意攻击者可以对网络中存在的漏洞实施攻击达到非法入侵网络的效果，通过非法入侵网络来获取恶意攻击者所需要的各种信息。确保网络安全至关重要，对网络入侵路径的分析就是从网络恶意攻击者的角度出发来分析在网络中的脆弱环节，对关键威胁节点进行挖掘，从而找出可能的网络入侵路径，这对网络管理人员实施网络安全防御提供了重要的依据。目前对网络入侵路径分析提出了许多的模型，如攻击树模型、攻击图模型、贝叶斯网络模型、马尔科夫链模型等等，其中网络攻击图(attack graph，AG)是一种对网络多步攻击行为进行关联建模的常用方法，通过攻击图来更好地表达网络攻击状态转移的过程。图 1 给出了网络攻击图模型7。网络攻击图可以使用一个四元组来表示，即AG=(S，E，V，A)，其中:图 1网络攻击图模型S 为状态节点集合，包括起始状态节点集合 SI、过渡状态节点集合 ST、目标状态节点集合 SG，即S=SI ST SG;E 为由一个状态指向另一个状态的边集合，集合中的每一个元素对应一个状态转移，即 E=eij|i，j=1，2，n，eij为由状态 Si转移到状态 Sj;V 为 可 以 利 用 的 所 有 漏 洞 集 合，用 符 号EXP(vi)表示漏洞 vi的可利用得分，即 V=vi|i=1，2，m;A 为原子攻击的集合，集合中的每一个元素为原子攻击，为对漏洞的一次利用，即 A=ai|i=1，2，m。原子攻击对漏洞的成功利用均对应一个状态转移。网络漏洞可利用评分的度量查阅漏洞评估领域公开的标准通用漏洞评分系统(Common Vulnerabil-ity Scoring System，CVSS)，CVSS 是行业公开标准，用来对网络漏洞的严重程度进行科学化、准确化评估，从而确定所需要应对的紧急度与重要度。CVSS包含网络漏洞可利用性评分细则，具体如表 1所示8。表 1网络漏洞可利用性评分准则基本度量度量值数值攻击途径(AV)局部(L)0395相邻网络(A)0646网络(N)10攻击复杂度(AC)高(H)035中(M)061低(L)071认证(Au)多个(M)045单个(S)056无(N)0704根据表 1 可以对网络攻击漏洞利用的难度进行科学全面评估，具体的数值可以通过美国国家漏洞库来获得。对于不同的网络漏洞需要采取的网络防御措施是不同的，通过对网络漏洞严重程度的对比，从而帮助网络防御人员确定处理不同网络漏洞的优先级。网络漏洞的得分在 0 10 分之间，其中网络54陇 东 学 院 学 报第 34 卷漏洞得分为 7 10 之间，那么说明网络漏洞比较严重，需要马上进行修补;网络漏洞得分在 4 6 9 之间，那么说明网络漏洞属于中级漏洞，采取一般性网络防御措施就可以;网络漏洞得分在 0 3 9 之间，那么说明网络漏洞属于低级漏洞，可以暂时给予关注。结合不同指标的取值就可以得到网络漏洞的可利用得分 EXP，即EXP=20 AV AC Au(1)1 2吸收马尔科夫链时间与状态都是离散的马尔科夫过程称之为马尔科夫链9，其是概率论与数理统计中具有马尔科夫性质且存在于离散指数集和状态空间内的随机过程。对于马尔科夫链的定义可以借助于转移矩阵和转移图，即除了马尔可夫性之外，可能具有不可约束性、常返性、周期性、遍历性。如果在一个马尔科夫链的状态空间中只包含一个连通类，那么马尔科夫链是不可约束的，否则马尔可夫链就是可约束的。对于具有不可约束性的马尔科夫链而言，其在演变的过程中随机变量能够在任意状态之间进行转移。所谓马尔科夫链的常返性就是当马尔科夫链到达一个状态之后，在进行演变的过程中能够反复回到该状态;如果马尔科夫链在到达一个状态之后，演变的过程中无法反复回到该状态，那么称马尔科夫链具有瞬变性。所谓马尔科夫链的周期性就是指在演变的过程中，马尔科夫链能够按照大于 1 的周期常返这一状态。如果马尔科夫链的一个状态是正常返和非周期的，那么就称马尔科夫链的该状态具备遍历性。设马尔科夫链从状态 Si转移到状态 Sj的概率为 Pij，如果概率 Pij和状态 Si之前所处的状态无关，之和当前所处的状态 Si有关，那么称之为无后效性，同时称概率 Pij为状态转移概率，所有的状态概率 Pij构成状态转移概率矩阵 P。所谓吸收马尔科夫链是指在一个马尔科夫链中至少含有一个吸收状态，同时从任何一个状态出发均可以最终到达吸收状态10。设吸收马尔科夫链包含 r 个吸收状态、t 个非吸收状态，所有的状态为n，那么n=r+t(2)将吸收状态的行与列放置于状态转移概率矩阵P 的右下方，那么状态转移概率矩阵 P 为11 P=QOI(3)式中:Q 为非吸收状态之间的状态转移概率矩阵，大小为 t t;为非吸收状态到吸收状态之间的状态转移概率矩阵，大小为 t r;O 为 0 矩阵，大小为 r t;I 为单位矩阵，大小为 r r。1 3网络入侵路径分析伴随着互联网技术的快速发展，网络用户的人数也在持续增加，网络安全备受关注。不法分子利用网络漏洞实施网络入侵非法获取信息，给网络使用者造成了比较大的经济损失。网络入侵形式多种多样，这使得网络防御面临巨大的挑战。网络入侵路径分析是目前最为常见、最为有效的网络安全防御技术，通过网络入侵路径的分析可以及时准确有效地发现网络中的异常，避免网络受到异常攻击。网络攻击图中，当前状态 Si向下一个状态 Sj转移之与当前状态 Si是否满足漏洞利用有关，与之前的状态没有关系。从这个角度上来讲，可以将网络攻击图中的状态节点看作马尔科夫链的状态空间，原子攻击的成功率看作状态转移概率，从而实现网络攻击图到吸收马尔科夫链之间的映射，利用吸收马尔科夫链对网络入侵路径进行分析 12。在网络攻击图中对网络脆弱性的利用关系进行了描述，由于网络脆弱性的利用之间有多步关联的关系，因此网络攻击最终也将达到稳定的状态，即吸收状态，那么在一个完整的网络攻击图中至少包含一个吸收状态。理想情况下，网络攻击者实施的原子攻击每次都可以成功，