復雜攻擊網絡的概率可控性*

李　艷，黃光球，曹黎俠,2，張　斌

1.西安建筑科技大學 管理學院，西安 710055

2.西安工業大學 理學院，西安 710032

復雜攻擊網絡的概率可控性*

李艷1+，黃光球1，曹黎俠1,2，張斌1

1.西安建筑科技大學 管理學院，西安 710055

2.西安工業大學 理學院，西安 710032

計算機網絡是當前規模最大，應用最廣泛的復雜網絡之一，如何提升網絡安全評價的精準性，并推動其在大規模網絡下的實用性是當前的研究熱點。詳細總結了攻擊模型和脆弱性風險評估等方面的研究現狀和進展，針對目前攻擊圖模型描述的粗粒度和局限性問題，細化攻擊圖節點至部件級，以有向加權圖的直觀形式刻畫攻擊步驟中部件之間的交互過程；同時通過嚴密的理論推演，得出了復雜攻擊網絡完全概率可控或者部分概率可控的準則條件，并論證了概率可控性與傳統結構可控性的關系；分析結果及實例驗證表明，若網絡中存在著有效防御的節點，復雜網絡仍可在遭受攻擊破壞的情形下提供正常的服務功能，同時給出了防御節點選擇及控制網絡的具體方法。

攻擊圖；概率可控；復雜網絡；網絡安全；脆弱性分析

1　引言

在信息革命的背景下，寬帶網絡已經成為國家經濟社會發展的戰略性公共基礎設施，互聯網應用的普及，使當前世界的運轉方式發生了根本性的改變，但各類網絡安全事件也開始頻見報端。2013年6月“棱鏡計劃”的曝光使信息安全從經濟利益驅動上升到了國家安全層面，我國網絡整體防御國家級有組織攻擊風險的能力仍較為薄弱[1]。如何防止有組織的惡意網絡攻擊行為成為安全領域的研究熱點，也與核問題一起成為新世紀亟待解決的難題。

網絡安全問題在受到關注之初，人們的研究熱點是面對破壞如何建立一個絕對安全的系統，減少設計上的漏洞來保證系統的保密性、完整性及可用性等要求，這可以視為網絡安全研究的第一階段。但人們很快意識到，在實際操作中這是不可能的[2]。面向惡意入侵一定存在的現實，人們開始思考構建一個安全輔助系統（例如IDS系統），目標是當入侵發生時能實時地檢測到，并采取相應的措施，自1980年Anderson[3]的技術報告提出以來，入侵檢測有了很大的發展，其研究大體上可以分為異常檢測和誤用檢測兩類[4]。入侵檢測模型最早由Dorothy Denning提出[5]，目前的發展仍是在此基礎上的細化，這可以視為網絡安全研究的第二階段。入侵檢測技術已有很多成熟的應用，但其原則上只能對基礎攻擊進行檢測，對繞墻隱秘攻擊、多步復合攻擊等無能為力，網絡攻擊日益嚴重的形勢下，入侵檢測系統很難保證實時檢測并報警。因此研究的關注重點從被動的防御轉到主動分析上來。脆弱性風險評估模型[6]、態勢感知[7]等概念的提出標志著第三階段的開始，其由黑客技術發展而來，意圖是在網絡攻擊發生之前進行整體化安全評價，制定防御策略或保證網絡遭受破壞的情形下仍能提供預定的服務功能。

安全性主動評價模型是目前的研究熱點，也是充滿前景的研究方向。其主要分為模型構建和分析方法構建兩個步驟。模型構建的過程將網絡中和風險評估相關的各要素進行抽象并以形式化的語言表達，目前的工作主要圍繞著攻擊圖模型[8]展開。分析方法構建主要包含定性分析和定量分析兩種，定性分析的關注點是脆弱性邏輯關聯問題，即通過對攻擊場景的可視化分析得出所有可能攻擊路徑的過程[9]；定量分析一般在模型構建過程中同時對一些因素進行量化，通過數字化的計算方法表述網絡的安全形勢[10]。但目前的模型都還是在小規模網絡上的實驗行為，在刻畫攻擊意圖和大規模系統應用等環節很難滿足結構復雜網絡的要求，因此與動態網絡[11]、控制理論[12]等復雜性科學相結合，定然會對此領域的實際應用起到極大的促進作用。

本文以部件攻擊圖為基礎，提出了一種針對復雜攻擊網絡概率可控性的分析框架。主要貢獻有：（1）細化并提升了攻擊圖模型的描述能力；（2）得出了復雜網絡概率可控的準則條件，論證了概率可控性與傳統結構可控性的關系；（3）證明了有限防御下，網絡即可具備抗攻擊能力。

2　形式化建模

2.1攻擊網絡

定義1本文將網絡系統中的獨立計算設備稱為網絡節點，記為v；將網絡節點上提供的應用程序、操作系統、服務等稱為網絡主體，記為C;Cvs=(v,s)表示網絡節點v上提供一個網絡主體s;Aα:C→2α表示網絡主體C所擁有的屬性列表，α為網絡主體的所有屬性的集合（同時包括正常屬性和脆弱屬性）。

定義2連接關系代表某一個網絡主體對另一個網絡主體具有訪問連接關系。E=(Cxi,Cyj,l)為一個有向加權鏈路，表示網絡節點x上網絡主體i在網絡節點y的網絡主體j上擁有關系l。

定義3攻擊網絡可以被簡化為一個有向加權圖G(C,E),|C|=n代表n個網絡主體的集合，E是有向鏈路的集合，其上的權值w表示由于訪問連接關系的存在，網絡主體i對網絡主體j的風險收益大小。

這樣在攻擊網絡中，攻擊者進行攻擊的過程可以理解為其透過一個或者多個網絡主體節點，逐步擴大影響范圍以獲得收益的過程。假設θ為網絡主體節點C對攻擊者的攻擊影響的態度值，則θt={θ1(t), θ2(t),…,θn(t)}是網絡主體節點態度值矢量，θi(t)∈[-1,+1]表示網絡主體節點i在時刻t受到攻擊影響的大小，正值表示會受到攻擊，值越大表示受到攻擊的可能性越大（+1表示完全可控，例如具有Root權限等），負值表示由于存在防御措施等，節點不易受到攻擊（-1表示完全不可控，例如攻擊路徑不可達等）。

2.2轉移矩陣

傳統的攻擊圖模型中，一般是遵從最大概率的原則[10]，即默認攻擊者在攻擊過程中總是會理性地選擇幾率最大的路徑，但是實際攻擊過程中一定存在著多次的滲透和試探過程，這些過程不一定都是從成功概率最大的路徑出發的，而且不僅僅來自于脆弱性，正?；蛘呤跈嗟倪B接關系也存在影響力。因此本文將節點i受攻擊影響的變化定義為作用在i上的所有影響的總和。

這樣在t+1時刻：

DeGroot模型[12-13]可以對信息傳遞、共識達成等網絡交互過程進行刻畫，本文所提的變化過程亦可用DeGroot模型中的規則來做相似描述。矩陣?是一個隨機矩陣，也可以看作是一步轉移概率矩陣。據馬爾可夫鏈的極限定理可以推論得知[13]，若攻擊網絡強連通且非周期，網絡中各節點針對攻擊影響將會收斂至一確定值。

3　概率可控性

在攻擊網絡中，每一個網絡主體節點對攻擊影響都有一個初始值，隨著攻擊者攻擊動作的發生，鄰居節點間的相互作用，時間的推移，每個節點的態度值會發生改變。簡言之，攻擊者希望通過對一些節點進行攻擊控制，進而達到期望的攻擊狀態。本文遵從刻畫網絡控制特性的慣例[12]，將發起攻擊的節點稱為源節點（本文只考慮一個攻擊者，即一個源節點的情況，若存在多個攻擊者則合并為一個處理），將源節點直接訪問的節點稱為驅動節點。

3.1完全概率可控

如果攻擊網絡中的所有節點對攻擊影響的態度值都收斂至與源節點的攻擊目標態度值相同，則稱該攻擊網絡完全概率可控。

定理1在一個攻擊網絡G(C,E)中，D?C是驅動節點的集合，該攻擊網絡完全概率可控的條件是：?i∈CD,?j∈D,j→i的有向路徑存在。

對于定理1直觀的理解是，如果存在源節點不可訪問的網絡主體，則這些節點不會受到攻擊的影響，從攻擊者的角度看，該攻擊網絡不可控，這與攻擊圖中對于攻擊可達性的定義[8-10]是一致的。下面給出理論證明。

證明 根據完全概率可控的概念，源節點到集合D中的每一個節點 j都存在著有向邊，若?i∈CD，?j∈D,j→i的有向路徑存在，則源節點可以到達攻擊網絡中的任一網絡主體，因此只需證明轉移概率矩陣?收斂即可。

對于轉移概率矩陣?，其是一個基于馬爾可夫鏈的一步轉移概率矩陣，源節點到任意節點都存在著訪問路徑，則馬爾可夫鏈中每個節點都一定存在著一條到源節點的有向路徑，即該馬爾可夫鏈是一個吸收鏈（任意狀態S到源節點的概率Pn>0），經過有限步驟后節點的狀態值一定會與源節點相同。 □

在圖1所示的示例圖中，（a）為一個簡要攻擊網絡的示例，Eve為源節點（攻擊節點），（b）為其一步轉移概率矩陣?的馬爾可夫鏈。在圖（a）中從源節點到其他任一網絡主體節點都至少存在著一條路徑，在對應的Markov鏈中就一定存在著其他節點至源節點Eve的有向路徑，即，每一個暫態都會收斂至與源節點相同。若在圖2（a）中源節點選擇節點E作為驅動節點，因為節點E不可到達節點F和G，其對應的Markov鏈可以分為{Eve}、{A,B,C, D,E}、{G}3個狀態，其中{A,B,C,D,E}為暫態，有限步驟之后將會以一定的概率到達{Eve}或{G}，因此在E為驅動節點的前提下不能完全概率可控。

在強連通的狀態下，攻擊網絡G中的任一網絡主體節點到其他節點都存在有向路徑，因此根據定理1推論得知，選擇任一節點作為驅動節點即可達到完全概率可控。

如果攻擊網絡為弱連通的，其可以被分為有限個閉集（本文所提的閉集均指最小閉集[14]）加非閉集內節點的集合。例如圖2（a）所示的攻擊網絡，（b）為其對應的Markov鏈，則其中的節點可以分為兩個閉集CS1={B},CS2={E,F,G}及不在閉集中的節點{A,C, D}。根據閉集的定義[14]可知，若每個閉集內的節點均可被源節點訪問，其所對應的馬爾可夫鏈中也一定存在著由閉集到達源節點的有向路徑。因此對于弱連通攻擊網絡，需要在每一個閉集內任選一個驅動節點，才能達到完全影響可控的目的。例如在圖2（b）中存在兩個閉集，則需在兩個閉集內選擇驅動節點B和E。

推論1強連通攻擊網絡達到完全概率可控的最小驅動節點數為1，弱連通網絡達到完全概率可控的最小驅動節點數為k，其中k為網絡最小閉集的數量。

Fig.1　An example of attack network and its Markov chain圖1　攻擊網絡及其馬爾可夫鏈

Fig.2　An example of weakly connected attack network圖2　弱連通攻擊網絡示例

理想狀態下，如果基礎物理網絡是連通的，攻擊者的初始能量可以任意小，在有限步驟后即可達到預期攻擊目的。但如果選擇的驅動節點影響力較大，則攻擊的過程會更加的順利，體現在本文所提的攻擊網絡模型中既是網絡整體的收斂速度會更快，在后續的例子中會對此有所驗證。

3.2部分概率可控

在完全概率可控下，假設攻擊網絡中的每一個節點均可受到源節點（攻擊節點）的直接影響，但這在現實的計算機網絡中是不可能的，由于訪問權限的限制，防御措施的實施，物理鏈路的斷開等一定會有阻止攻擊者達到攻擊目的的手段或者措施，本節將對此狀況下攻擊網絡的可控性進行討論。

在攻擊網絡的定義中，使用負值來表示某一部件節點不易受到攻擊，使用負值的大小來表示不易受到攻擊的程度。假設閾值δ(δ<0)為攻擊不可控的下線，即若某一節點的態勢值θi<δ，則認為該節點是不可控的（從攻擊者的角度是不可被攻擊）；若某一節點的態勢值θi>δ，經過演化后態勢值為正，則認為該節點是可控的；若所有θi>δ的節點演化后態勢值為正，則認為整個網絡部分概率可控。

定義5在一個攻擊網絡G(C,E)中，D?C是驅動節點的集合，源節點的初始態度值為正，集合U? CD,，經過有限步演化后，則稱該攻擊網絡部分概率可控。

仍以圖2中的弱連通攻擊網絡為例，假設節點B為不可控節點，閉集{E,F,G}中節點E為可控節點，此閉集內的所有節點都將會收斂。按照此分類，閉集可以再細分為免疫閉集{B}（immune closed set）和可控閉集{E,F,G}（control closed set），再加上不在閉集中的節點{A,C,D}（not in closed set），這樣轉移概率隨機矩陣可以簡化為。其中為免疫閉集節點的轉移矩陣，其代表著不受攻擊源節點控制的節點的影響；為不在閉集中的節點的轉移矩陣，其代表著節點間的相互影響；為可控閉集節點的轉移矩陣，其代表直接受到攻擊源節點對其他節點的影響力。顯然要想達到定義5中描述的部分概率可控，需要中節點的攻擊影響力大于中節點的防御影響力。

在圖2中假設B為免疫節點，E為可控節點，則由不在閉集中節點集{A,C,D,F,G}組成的亞隨機矩陣如下列計算結果中的所示，其中B1={1,3,5}, B2={2,4}。從計算結果中T表示的有向鄰接圖可以看出，B2中的任何節點均可以達到B1中的節點，因此當k→∞時，，這里對進行重復計算也可以得到類似的結果。

同樣在圖2中假設D為免疫節點，E為可控節點，則由不在閉集中節點集{A,B,C,F,G}組成的亞隨機矩陣如下列結果中的所示，其中B1={3,5}, B2={1,2,4}。從結果中T表示的有向鄰接圖可以看出，B2中的節點2不可以達到B1中的節點，當k→∞時，的值如下所示，不會收斂到0。

根據收斂性證明，在正常狀態下，攻擊網絡的隨機矩陣都會收斂至一個穩定狀態，因為，且是冪等的，則：

在攻擊網絡中，不同節點對攻擊擴散的效果不同，定理2的證明過程不僅給出了一個網絡是否可以部分概率可控的充分條件，也對攻擊者直接的攻擊節點（驅動節點）的選擇提供了一些方法：通過隨機矩陣?和初始態度值θ的重復計算獲取各個節點的權重，當時選擇針對以一定概率免疫節點的連接節點作為驅動節點；為了攻擊效果更好，應該選擇概率免疫節點鄰接節點中權重較大的節點；如果網絡中和概率免疫節點直接相連的節點有多個，則選擇出度較大的節點。

3.3與結構可控性的比較

結構可控性和本文所提基于復雜攻擊網絡的概率可控性，都是希望對控制器（源節點）通過驅動節點進行網絡演化的過程及控制演化過程所需的條件進行討論，但結構可控性更多的關注點是理論上的可控條件而非具體的方法或者措施，攻擊者在攻擊過程中會根據攻擊進展狀況調整攻擊目標和手段。因此本文模型的關注點更多是演化的結果是否會造成損失及在損失程度上的態度趨勢，并不需要攻擊網絡到達任意狀態。

在結構可控性中，復雜網絡的可控性條件是控制矩陣滿秩（rank(C)=n），而在本文中達到完全概率可控或者部分概率可控的條件是，可以得知如果一個網絡是結構可控的，則本文所提的模型一定成立，但反之不亦然，可以說本文所提模型是結構可控性在網絡攻防過程中的一個特例應用。

4　實驗與分析

4.1模擬實驗

為驗證本文所提模型和分析方法的正確性，首先按照攻擊圖分析的傳統做法構建一個典型的Web信息系統示例，拓撲結構如圖3所示。實驗所用的環境是Intel i5-2430M@2.40 GHz處理器，4 GB內存，操作系統環境為Windows7，算法通過C#實現。

Fig.3　Topological map for experimental network圖3　實驗網絡拓撲圖

在圖3中，實驗網絡內共有4臺服務器，10.10.0.10為Web服務器，Windows操作系統，通過IIS、Apache、Ftp這3個網絡主體對外提供服務，外網的用戶通過外網防火墻可以對其進行訪問；10.10.0.11為數據庫服務器，Windows操作系統，存在SQL Server和RPC兩個網絡主體；10.10.0.12為郵件服務器，Windows操作系統，提供Email和Rshd服務；10.10.0.13為文件服務器，Linux操作系統，提供Telneted和Ftp服務。

根據預先設定的網絡安全規則，外網用戶可以訪問位于Web服務器上的IIS和Apache服務；10服務器可以遠程到數據庫服務器和郵件服務器上，Apache組件可以訪問位于12上的Email服務；IIS可以訪問11上的SQL Server數據庫；10上的Ftp服務可以和文件服務器上的Ftp組件進行交互；位于數據庫服務器上的RPC和位于郵件服務器上的Rshd可以遠程訪問Linux服務器上的Telneted組件。

假設主體IIS上存在著Null.htw漏洞，攻擊者可以獲取所在主機的Root權限；Apache上存在著遠程命令注入漏洞；Email上存在著Outlook URI漏洞；10和13上的Ftp組件都存在著FTP目錄遍歷漏洞；RPC上存在著RPC請求緩沖區溢出漏洞，Rshd主體允許用戶以Root身份執行遠程shell命令，Telneted主體存在著輸入驗證錯誤，可以使訪問者獲得遠程管理員權限。

本示例參照文獻[17]中攻防策略及其量化的結果，并以此作為攻擊網絡中鏈路收益的大小，由此可得實驗攻擊網絡的圖形化描述如圖4（a）所示，根據定義4的計算方法可得實驗攻擊網絡的Markov鏈如圖4（b）所示。在圖4（b）中，除去攻擊節點（源節點）Eve外，可以看到存在兩個最小閉集{10-IIS}和{10-Apache}，根據推論1可知達到完全概率可控的驅動節點的數目等于最小閉集的數目，因此Eve選擇10-IIS和10-Apache作為驅動節點即可以完全控制整個網絡（定理1）。

在完全概率可控的狀態下，網絡中的各個節點的影響力不同，計算各個節點影響力的方法之一是求得轉移矩陣的極限，也可以直接將初始影響向量與轉移矩陣?連續相乘獲得，計算過程如下矩陣所示。

Fig.4　Graphical results for experimental network圖4　實驗攻擊網絡圖形化結果

由計算結果可知，10-IIS、11-Windows和10-Windows這3個節點的影響權值較大，根據圖4（a）所示的攻擊圖直觀來看，在自Eve至11-SQL或者13-File的攻擊路徑共有15條，其中13條會經過這3個節點。圖5展示的是不同狀態下攻擊網絡的收斂速度。圖5（a）是無攻擊情況下，由于網絡主體之間的相互影響導致的網絡收斂過程。圖5（b）和圖5（c）分別是選擇10-IIS和10-Apache作為驅動節點時，網絡收斂所需的輪數。自結果可以看出驅動節點的影響力越大，網絡的收斂速度越快，攻擊者越容易達到控制整個網絡的目的。在早期的攻擊圖分析中[8-9]，針對10-IIS和10-Apache的攻擊路徑會被同等對待，但從本文的分析看，由10-IIS發起的攻擊危害程度更大，理性的防御者首先應以此作為防御著眼點采取防御措施。

Fig.5　Convergence rate of experimental network under different conditions圖5　不同狀態下攻擊網絡的收斂速度

在上述完全概率可控分析中，沒有考慮攻擊難度、防御措施等的影響，即認為攻擊者的影響可以直接在節點間進行傳遞，但實際情況定然遠非如此。已有的模型中通過攻擊成功概率[10]、攻防博弈[17]、關聯分析[18-19]等方法進行刻畫，大都對攻擊圖進行去環處理后得出每一攻擊序列的危害程度或者一些關鍵節點的重要度排序等，對防御節點的選擇尤其是防御后的效果鮮有分析和討論。針對每一個漏洞都進行防御的成本將是無法承受的，因此本文的關注點是在有限防御下網絡的安全狀態。

在圖3所示的模擬示例中，防御措施主要分為5類：（1）針對10-IIS、10-Windows防御；（2）針對10-Apache防御；（3）針對11-Windows防御；（4）針對12-Windows防御；（5）針對13-Linux防御。假設在防御狀態下攻擊者的影響態勢為0（即閾值δ=-1），則根據定理2可得到不同防御措施下部分概率可控的計算結果（如表1所示），根據計算結果只有針對10-IIS、10-Windows的防御可以阻止攻擊者達到部分概率可控的目的。從圖4（a）所示攻擊網絡的圖形化結果也可以直觀地看到，若攻擊者不能影響到10-IIS、10-Windows兩個節點，則大部分攻擊路徑都會中斷。從表1中的結果還可以看出，針對10-Apache的防御不能起到預想的效果，這與經典攻擊圖分析模型所得結論有所不同[8-9]，根本原因在于針對10-Apache的防御影響會遠遠小于攻擊者針對10-IIS的攻擊影響。綜上所知，針對圖3中的實驗網絡最優的防御策略是只針對10-IIS的Null.htw漏洞進行修復，其他部件節點只需正常更新補丁，保證訪問策略正確即可。

Table 1　Calculation results of partial probability control under different defense measures表1　不同防御措施下部分概率可控計算結果

4.2仿真實驗

4.1節通過一個模擬的實驗對本文所提方法進行了正確性驗證。入侵檢測是在攻擊發生后對攻擊過程進行復現，獲取攻擊證據鏈的過程，而攻擊模型研究相反是在攻擊發生之前對攻擊過程進行分析，這樣對入侵檢測的數據集進行攻擊模型檢測在一定程度上可以對模型效果進行檢驗。這樣的做法在攻擊圖模型文獻中還未見到，本文對此進行了嘗試。

在本節的仿真實驗中，使用MIT Lincoln實驗室的LLDOS1.0數據集，此數據集中由6臺主機組成了DMZ區域。在本實驗中用到的4臺主機分別為: 131.84.1.31（Web服務器）、172.16.115.20（Solaris）、172.16.115.50（Solaris）、172.16.115.10（Solaris）。由脆弱性所導致的攻擊收益取值如表2所示，網絡中主機的脆弱性信息如表3所示。

根據表3中的取值，通過漏洞掃描工具Snort2.4.3即可構建如圖6（a）所示的攻擊網絡。攻擊者自202.77.162.213發起攻擊（源節點），驅動節點為存在配置錯誤的ICMP節點，根據完全概率可控的條件（定理1）可知，圖6（a）所示的攻擊網絡是完全概率可控的，這與DARPA數據集可以被攻擊的事實是一致的。

得出網絡存在安全威脅只是第一步，關鍵是如何確定部分防御節點來保證網絡具備提供關鍵任務的能力。圖6（b）為圖6（a）所對應的Markov鏈，根據Markov鏈可以輕易地生成轉移矩陣，將轉移矩陣與初始態度向量反復相乘即可得到各個節點的最終影響力，如圖7所示（節點的排列順序為圖6（a）中先自上向下后自左至右）。從計算結果來看，主機172.16.115.20上的20-Sadmind和20-RshRoot節點的影響力較大。根據定理1的推論和定理2的證明，攻擊者要想快速達到攻擊目的（攻擊的單調性假設[6]），定然會選擇此作為攻擊重點。反之防御者作為防御方的防御重點也定然如此。這樣問題就變為：針對20-Sadmind或20-RshRoot節點的防御效果能否達到安全目標?假設態勢閾值δ=-0.5（即只準許外來訪問者具有一般用戶的訪問權限），對定理2中部分概率可控的充分條件進行計算。通過計算結果（計算過程和4.1節相類似，此處略）可知，針對20-Sadmind或20-RshRoot的防御措施滿足 δ<-0.5的條件時，，即驅動節點的影響力小于防御節點的影響力，因此防御者只需針對20-Sadmind或20-RshRoot進行補丁修復保證攻擊者不能獲得一般用戶以上的訪問權限即可達到防御目標。對于ICMP、SunRpc、INFO等攻擊者收益很小的漏洞可以不必過分關注。

Table 2　Attack gains under different attack levels表2　不同攻擊級別的攻擊收益

Table 3　Vulnerability information list of each host表3　各主機脆弱性信息列表

Fig.6　Simulation results for DARPAdata set圖6　DARPA數據集仿真結果

Fig.7　Effect of each node in DARPAdata set圖7　DARPA數據集中各節點影響力

目前針對網絡攻擊模型的所有研究中并沒有給出一個通用的數據集或測試模型來供不同模型間進行橫向比較，幾乎每篇文章都會像4.1節的示例一樣說明模型或分析方法的有效性。和早期的攻擊圖模型[8-9]比起來，本文模型的構建過程可以隨著漏洞掃描工具同時完成，無需再單獨編寫算法來完成攻擊前件集、后件集等的轉換過程。同時本文攻擊圖中的各個節點是網絡中的部件主體，依托于權限關系和連接關系進行的網絡抽象，和文獻[9，18-19]等比較起來顯然更加簡潔和清晰，沒有歧義性，無需對圖中的各要素進行單獨說明。文獻[10]等模型分析結果是針對狀態構建的，雖然也都明確提出了攻擊圖的簡化算法，但是對于大規模的網絡安全分析一定會存在著狀態空間爆炸的風險。本文模型基于網絡主體之間的邏輯因果關系，無論是模型的生成還是模型的計算和分析過程都是多項式時間的（時間復雜度為O(n2)），因此更加適用于大規模網絡的擴散分析。更重要的是本文模型在得出網絡是否安全的同時會給出防御的重點，部分概率可控的充分條件可以對某一防御措施能否滿足安全策略給出理論和準確的解答。

5　總結

本文首先明確了使用隨機模型進行網絡安全分析將是此領域的主流方向。借鑒復雜網絡可控性的概念，將傳統攻擊圖描述的粒度細化到部件主體級，使用有向加權圖來表示攻擊者的權限擴散過程，并給出了攻擊網絡和轉移矩陣的完整性定義，在此基礎上得出了完全概率可控或者部分概率可控的準則條件，論證了概率可控性與傳統結構可控性的關系。通過模擬實驗和仿真實驗給出了模型使用的基本過程，結論分析表明本文模型可在多項式的時間復雜度內對大規模的網絡安全狀況進行分析，提供了防御節點的有效選擇辦法，并給出了防御策略有效性的驗證辦法。

本文使用典型網絡結構對模型方法進行了驗證，但在網絡攻擊模型上還沒有類如入侵檢測數據集的標準案例，在此方面顯然存在著很大的不足。此外本文所用到的攻擊收益等量化結果大部分都是基于專家經驗給出的，因此構建適合于大規模網絡風險評估分析的數據集及針對攻擊屬性的客觀量化將是下一步的重要研究方向。

[1]“China Information Almanac”editorial board.China information almanac 2014[M].Beijing:Electronic Industry Publishing,2015.

[2]Miller B P,Koski D,Lee C P,et al.A re-examination of the reliability of UNIX utilities and services[R].Department of Computer Sciences,University of Wisconsin,1995.

[3]Anderson J P.Computer security threat monitoring and sur-veillance,79F26400[R].Fort Washington,Pennsylvania: James PAnderson Company,1980.

[4]Li Zhoujun,Zhang Junxian,Liao Xiangke,et al.Survey of software vulnerability detection techniques[J].Chinese Journal of Computers,2015,38(4):717-731.

[5]Srnaha S E.Haystack:an intrusion detection system[C]// Proceedings of the 4th Aerospace Computer Security Applications Conference,Orlando,Dec 12-16,1988.Piscataway, USA:IEEE,1988:37-44.

[6]Lin Chuang,Wang Yang,Li Quanlin.Stochastic modeling and evaluation for network security[J].Chinese Journal of Computers,2005,28(12):1943-1956.

[7]Bass T,Gruber D.A glimpse into the future of ID[EB/OL]. [2016-01-06].http://www.usenix.org/publications/login/1999-9/features/future.html.

[8]Phillips C,Swiler L P.A graph-based system for network vulnerability analysis[C]//Proceedings of the 1998 Workshop on New Security Paradigms,Charlottsville,USA,Sep 22-25,1998.New York:ACM,1998:71-79.

[9]Ritchey R,Ammann P.Using model checking to analyze network vulnerabilities[C]//Proceedings of the 2000 IEEE Symposium on Security and Privacy,Berkeley,USA,May 14-17,2000.Piscataway,USA:IEEE,2000:156-165.

[10]Chen Xiaojun,Fang Binxing,Tan Qingfeng,et al.Inferring attack intent of malicious insider based on probabilistic attack graph model[J].Chinese Journal of Computers,2014, 37(1):62-72.

[11]Gao Lin,Yang Jianye,Qin Guimin.Methods for pattern mining in dynamic networks and applications[J].Journal of Software,2013,24(9):2042-2061.

[12]Hou Lvlin,Lao Songyang,Xiao Yandong,et al.Recent progress in controllability of complex network[J].Acta Physica Sinica,2015,64(18):188901-188901.

[13]DeGroot M H.Reaching a consensus[J].Journal of the American StatisticalAssociation,1974,69(346):118-121.

[14]Golub B,Jackson M O.Native learning in social networks: convergence,influence and wisdom of crowds[J].Coalition Theory Network,2010,2(1):112-149.

[15]Jackson M O.Social and economic network[M].Princeton: Princeton University Press,2008.

[16]Liu Y Y,Slotine J J,Barabasi A L.Controllability of complex networks[J].Nature,2011,473(3):167-173.

[17]Jiang Wei,Fang Binxing,Tian Zhihong,et al.Evaluating network security and optimal active defense based on attackdefense game model[J].Chinese Journal of Computers,2009, 32(4):817-827.

[18]Liu Weixin,Zeng Kangfeng,Wu Bin,et al.Alert processing based on attack graph and multi-source analyzing[J].Journal of Communications,2015,36(9):135-144.

[19]Zhang Yongzheng,Fang Binxing,Chi Yue,et al.Risk propagation model for assessing network information systems[J]. Journal of Software,2007,18(1):137-145.

附中文參考文獻:

[1]《中國信息化年鑒》編委會.中國信息化年鑒2014[M].北京:電子工業出版,2015.

[4]李舟軍,張俊賢,廖湘科,等.軟件安全漏洞檢測技術[J].計算機學報,2015,38(4):717-731.

[6]林闖,汪洋,李泉林.網絡安全的隨機模型方法與評價技術[J].計算機學報,2005,28(12):1943-1956.

[10]陳小軍,方濱興,譚慶豐,等.基于概率攻擊圖的內部攻擊意圖推斷算法研究[J].計算機學報,2014,37(1):62-72.

[11]高琳,楊建業,覃桂敏.動態網絡模式挖掘方法及其應用[J].軟件學報,2013,24(9):2042-2061.

[12]侯綠林,老松楊,肖延東,等.復雜網絡可控性研究現狀綜述[J].物理學報,2015,64(18):188901-188901.

[17]姜偉,方濱興,田志宏,等.基于攻防博弈模型的網絡安全測評和最優主動防御[J].計算機學報,2009,32(4):817-827.

[18]劉威歆,鄭康鋒,武斌,等.基于攻擊圖的多源告警關聯分析方法[J].通信學報,2015,36(9):135-144.

[19]張永錚,方濱興,遲悅,等.用于評估網絡信息系統的風險傳播模型[J].軟件學報,2007,18(1):137-145.

LI Yan was born in 1984.He is a Ph.D.candidate at School of Management,Xi’an University of Architecture and Technology,and the member of CCF.His research interests include information countermeasure,network security and system engineering,etc.

李艷（1984—），男，蒙古族，河北承德人，西安建筑科技大學博士研究生，CCF會員，主要研究領域為信息對抗，網絡安全，系統工程等。

HUANG Guangqiu was born in 1964.He received the Ph.D.degree in complex system modeling from Xi’an University of Architecture and Technology in 1995.Now he is a professor and Ph.D.supervisor at Xi’an University of Architecture and Technology.His research interests include network security,complex system modeling and system engineering,etc.

黃光球（1964—），男，湖南桃源人，1995年于西安建筑科技大學獲得博士學位，現為西安建筑科技大學教授、博士生導師，主要研究領域為網絡安全，復雜系統建模，系統工程等。

CAO Lixia was born in 1971.She is a Ph.D.candidate at Xi?an University of Architecture and Technology,and associate professor at Xi?an Technological University.Her research interests include rough set,complex network, operation research and cybernetics,management decision analysis and game theory,etc.

曹黎俠（1971—），女，陜西西安人，西安建筑科技大學博士研究生，西安理工大學副教授，主要研究領域為粗糙集，復雜網絡，運籌學與控制論，管理決策分析，博弈論等。

ZHANG Bin was born in 1984.He is a Ph.D.candidate at Xi?an University of Architecture and Technology.His research interests include network security and system engineering,etc.

張斌（1984—），男，陜西渭南人，西安建筑科技大學博士研究生，主要研究領域為網絡安全，系統工程等。

Probability Controllability of Complex Network viaAttack?

LI Yan1+,HUANG Guangqiu1,CAO Lixia1,2,ZHANG Bin1
1.School of Management,Xi’an University ofArchitecture and Technology,Xi’an 710055,China
2.College of Science,Xi’an Technological University,Xi’an 710032,China

E-mail:sy_liyan137@126.com

Computer network is one of the largest and most widely used complex networks,how to improve the accuracy of network security evaluation and promote its practical applicability in large scale networks is the current research hotspot.This paper summarizes the research status and progress in attack model and vulnerability risk assessment.After that,this paper provides a new model which refines the attack graph node to component level and describes the interaction process between the components in the attack step in the form of a directed weighted graph to improve coarse grain size and limitations of the current attack graph.At the same time,through rigorous theoretical deduction,this paper comes out the standard condition of controllability or partial probability controllability for complex attack network,and proves the relationship between the probability controllability and the traditional controllability. The analysis results and the examples show that,if valid defense existed,the complex networks can still provide normal service function in the case of attack and damage.Besides,this paper gives out the concrete method for control-ling network and defense node selection.

attack graph;probability controllability;complex network;network security;vulnerability analysis

2016-02,Accepted 2016-04.

10.3778/j.issn.1673-9418.1603031

A

TP393.08；TP309.5

*The Science and Technology Research and Development Plan of Shaanxi Province under Grant No.2013K1117(陜西省科學技術研究發展計劃項目);the Special Funds Project for the Construction of Key Disciplines of Shaanxi Province under Grant No.E08001 (陜西省重點學科建設專項資金項目);the Science and Technology Project of Shaanxi Provincial Education Department under Grant No.12JK0789(陜西省教育廳科技計劃項目).

CNKI網絡優先出版:2016-04-19,http://www.cnki.net/kcms/detail/11.5602.TP.20160419.1143.002.html

LI Yan,HUANG Guangqiu,CAO Lixia,et al.Probability controllability of complex network via attack.Journal of Frontiers of Computer Science and Technology,2016,10(10)：1407-1419.