本發明涉及網絡信息安全，旨在提供一種基于攻擊圖的攻擊行為檢測和防護方法。該種基于攻擊圖的攻擊行為檢測和防護方法包括步驟：收集網絡環境的拓撲圖；掃描器掃描出網絡環境中主機的各個漏洞，獲取NVD數據庫中各個漏洞的Attack Complexity屬性值ei；根據拓撲圖和漏洞信息生成攻擊圖；攻擊行為檢測和防護。本發明提高了檢測和防護的準確度，降低了網絡入侵報警系統對業務的影響。本發明使用鄰接表存儲攻擊圖，方便了后續遍歷，減少了存儲的空間。

技術領域

本發明是關于網絡信息安全領域，特別涉及一種基于攻擊圖的攻擊行為檢測和防護 方法。

背景技術

目前國內入侵檢測系統(IDS)檢測的手段多是對網絡封包進行特征串比較，如果某 個網絡包符合了某個特征串，則判定為攻擊。然而，這種檢測方式是建立在已發生入 侵攻擊行為網絡封包的特征匹配的基礎之上，對已知的攻擊行為有一定的檢測能力， 但是誤報漏報嚴重。

攻擊圖是研究人員綜合攻擊、漏洞、目標、主機和網絡連接關系等因素，為發現網絡中復雜的攻擊路徑或者引起系統狀態變遷的滲透序列而提出的一種描述網絡安全狀 態的表示方法。攻擊圖可用來表示在攻擊者試圖入侵計算機網絡時，能否從初始狀態到 達目的狀態。攻擊者可以利用已經取得權限的主機作為跳板再次發起攻擊，直到達到最 終的攻擊目的。一個完整的攻擊圖可以表示所有可能達到目的的操作序列。

現有一種基于攻擊圖的入侵響應方式：根據入侵檢測和響應的參考模型即IRAG模型，先就入侵檢測和響應提出三種代價：操作代價、響應代價和損失代價，并在考慮這三種代價基礎上選擇應對措施；任何攻擊都是具有特定的目的，利用攻擊者在各安全尺度上 的偏好來定義攻擊者的類型，并以此來描述攻擊者的攻擊目的；建立兩個信息集：攻擊者 的信息集和系統的信息集；攻擊者的信息集包含的信息主要來自于攻擊者的踩點、嗅 探、掃描以及根據系統的響應信息，而系統的信息集包含的信息則來自于系統內包括 IDS、防火墻、主機等各組件的報警、日志信息；參與方的行動空間：系統在進行響應 時，實際上會根據攻擊類型的不同，確定一個響應集。但是該種基于攻擊圖的入侵響應方 式，可操作性不強，需要采集的信息過多。

因此，提供一種更為方便的基于攻擊圖的攻擊行為檢測方法，前景看好。

發明內容

本發明的主要目的在于克服現有技術中的不足，提供一種更為準確的基于攻擊圖的 攻擊行為檢測和防護方法。為解決上述技術問題，本發明的解決方案是：

提供一種基于攻擊圖的攻擊行為檢測和防護方法，用于防止目標網絡受到來自攻擊 者的攻擊，所述基于攻擊圖的攻擊行為檢測和防護方法具體包括下述步驟：

(1)收集網絡環境的拓撲圖；網絡環境是指目標網絡的網絡環境，包括目標網絡中的防火墻、路由器和服務器(不包括連入目標網絡的用戶工作機)；

(2)掃描器(Nessus脆弱點掃描器)掃描出網絡環境中主機(主機即指網絡環境 中的服務器)的各個漏洞，獲取NVD數據庫中各個漏洞的Attack Complexity(攻擊復 雜性)屬性值ei；

(3)根據拓撲圖和漏洞信息生成攻擊圖，攻擊圖的點表示目標網絡和攻擊者的狀態，其中，目標網絡和攻擊者的初始狀態為Network，后續狀態是代表從哪個主機通過 什么漏洞攻擊到哪個主機；攻擊圖的有向邊表示攻擊者的行為，有向邊的權值表示攻擊 者行為的危險度，有向邊的權值取值如下：

(4)攻擊行為檢測和防護：