超级会员免费看
网络配置整体安全性度量:基于攻击图的方法
1. 引言
在网络安全领域,准确度量网络配置的整体安全性至关重要。我们将介绍一种基于攻击图的攻击抵抗度量方法,该方法能有效评估网络在面对攻击时的抵抗能力。
2. 基于攻击图定义安全度量的框架
2.1 攻击图模型
采用拓扑漏洞分析工具中的攻击图模型,它避免了早期基于修改模型检查方法可能面临的组合爆炸问题。此模型假设攻击者不会放弃已获得的能力,攻击图记录漏洞利用之间的依赖关系,而非所有攻击路径。
攻击图是有向图,顶点分为漏洞利用(exploits)和安全条件(security conditions)。漏洞利用是攻击者利用现有漏洞的行动,用谓词表示,如 v(hs, hm, hd) 表示从源主机 hs 通过中间主机 hm 对目标主机 hd 的漏洞 v 进行利用。安全条件是与某些漏洞利用相关的系统或网络属性,也用谓词表示,如 c(hs, hd) 表示涉及源主机 hs 和目标主机 hd 的安全相关条件。
攻击图中的有向边连接漏洞利用和安全条件,从条件到漏洞利用的边表示“require”关系,即漏洞利用执行前条件必须满足;从漏洞利用到条件的边表示“imply”关系,即执行漏洞利用会满足该条件。
| 元素 | 定义 | 表示示例 |
|---|---|---|
| 漏洞利用 | 攻击者利用漏洞的行动 | v(hs, hm, hd) |
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
