專利名稱:一種計(jì)算機(jī)網(wǎng)絡(luò)入侵定位系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域,尤其涉及一種計(jì)算機(jī)網(wǎng)絡(luò)入侵定位系統(tǒng)和方法。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的普及和發(fā)展,計(jì)算機(jī)系統(tǒng)所面臨的安全威脅也日益嚴(yán)重, 黑客攻擊的方法也無所不用,從發(fā)送單個(gè)報(bào)文就可以導(dǎo)致系統(tǒng)崩潰,到網(wǎng)絡(luò) 上廣泛提供的、下載運(yùn)行即可發(fā)起分布式拒絕服務(wù)攻擊的攻擊腳本。在對(duì)遠(yuǎn) 程計(jì)算機(jī)或網(wǎng)絡(luò)進(jìn)行攻擊時(shí),攻擊者為了不暴露自己的真實(shí)地址,常常使用偽造的IP地址,或使用Internet中存在安全漏洞和提供代理服務(wù)的計(jì)算機(jī)作 為"跳板",對(duì)目標(biāo)主機(jī)或網(wǎng)絡(luò)發(fā)動(dòng)攻擊。從被攻擊的機(jī)器上,只能看到中間 主機(jī)的地址,而無法獲得攻擊者發(fā)起攻擊的源主機(jī)的地址,從而使攻擊源難 以定位,更不能有效地追蹤。因而攻擊源定位在網(wǎng)絡(luò)主動(dòng)防御體系中占有重 要的角色,是攻擊反擊、網(wǎng)絡(luò)取證的關(guān)鍵環(huán)節(jié),也為事后的法律仲裁提供重 要的證據(jù)。所謂攻擊定位(或攻擊源的定位)就是當(dāng)攻擊行為正在進(jìn)行或結(jié)束之后, 根據(jù)現(xiàn)有的所能獲得的信息來確定攻擊者的位置。按照準(zhǔn)確度的逐漸提高, 可分為定位到發(fā)起攻擊的網(wǎng)絡(luò)、主機(jī)、進(jìn)程、用戶。現(xiàn)有的攻擊定位方法,不是要涉及對(duì)現(xiàn)有協(xié)議的修改,就是要求網(wǎng)絡(luò)路 徑上的所有路由器進(jìn)行協(xié)同工作;不僅這些要求難于完全實(shí)現(xiàn),而且要消耗 大量的資源,效率低下。所有這些不足,都限制了對(duì)攻擊定位的實(shí)施。本發(fā) 明將提出一種攻擊定位的輔助性方法,將該方法與其它方法結(jié)合使用時(shí),將 極大地提高對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行定位的效率。本發(fā)明從全局視點(diǎn)出發(fā),根據(jù)網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn),提出了一個(gè)基于安全依 賴關(guān)系的攻擊定位和追蹤方法,以克服網(wǎng)絡(luò)攻擊定位困難,取證復(fù)雜,證據(jù) 易失等難題,為攻擊行為的調(diào)査取證提供輔助工具。4為說明本發(fā)明的內(nèi)容,先介紹與本發(fā)明有關(guān)的背景知識(shí)。 定義1:網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系。如果一個(gè)攻擊者在成功入侵網(wǎng)絡(luò)節(jié) 點(diǎn)A之后,利用節(jié)點(diǎn)A對(duì)節(jié)點(diǎn)B的某種關(guān)系(如遠(yuǎn)程登錄等),從而繼續(xù)攻擊節(jié)點(diǎn)B,那么,我們就稱節(jié)點(diǎn)B對(duì)節(jié)點(diǎn)A具有安全依賴關(guān)系,用£^來表 示。定義2:網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴網(wǎng)絡(luò)。由網(wǎng)絡(luò)節(jié)點(diǎn)及其發(fā)生入侵的先驗(yàn)概 率、節(jié)點(diǎn)間的安全依賴關(guān)系以及該安全依賴關(guān)系可被黑客利用成功進(jìn)行攻擊 的概率組成的網(wǎng)絡(luò),我們稱之為網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴網(wǎng)絡(luò)。如圖1所示的安全依賴網(wǎng)絡(luò)。其中B,, B2以及X,—X6是網(wǎng)絡(luò)節(jié)點(diǎn), 它們之間的箭頭表示它們之間存在的安全依賴關(guān)系,箭頭的方向由被依賴節(jié) 點(diǎn)指向依賴節(jié)點(diǎn)(亦即攻擊方向)。圖中的孤立點(diǎn)(如X》,則表示該節(jié)點(diǎn)的安 全性不依賴于其它節(jié)點(diǎn)(為簡(jiǎn)明起見,略去節(jié)點(diǎn)的先驗(yàn)概率和安全依賴關(guān)系可 以被黑客利用成功進(jìn)行攻擊的概率)。網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴網(wǎng)絡(luò)可以用手工預(yù) 先建立。定義3:攻擊路徑。當(dāng)一個(gè)發(fā)生攻擊時(shí),從攻擊者最先發(fā)起攻擊的節(jié)點(diǎn) 到檢測(cè)節(jié)點(diǎn)之間按安全依賴安全所連接的一條路徑稱為一個(gè)"攻擊路徑"。在圖1所示的安全依賴網(wǎng)絡(luò)中,如果節(jié)點(diǎn)Xs是檢測(cè)節(jié)點(diǎn),則B,—X,— Xs即構(gòu)成一條攻擊路徑。從一個(gè)節(jié)點(diǎn)到檢測(cè)節(jié)點(diǎn)的攻擊可能不唯一,攻擊者可以根據(jù)情況選擇使用。為了能利用節(jié)點(diǎn)之間的安全依賴關(guān)系進(jìn)行攻擊定位,我們需要將安全依 賴關(guān)系網(wǎng)絡(luò)轉(zhuǎn)化成安全依賴樹,然后再設(shè)法確定攻擊路徑和攻擊源。定義4:安全依賴樹。 一棵安全依賴樹是滿足下列條件的有向樹1、 樹的根節(jié)點(diǎn)是檢測(cè)節(jié)點(diǎn)。2、 每一個(gè)節(jié)點(diǎn)的直接子節(jié)點(diǎn)是安全依賴網(wǎng)絡(luò)中該節(jié)點(diǎn)所直接依賴的節(jié)點(diǎn)。圖2是圖1所示的安全依賴網(wǎng)中節(jié)點(diǎn)X5的安全依賴樹。對(duì)于安全依賴樹 的葉節(jié)點(diǎn),我們也稱其為邊界節(jié)點(diǎn)。在圖2的安全依賴樹中,邊界節(jié)點(diǎn)有兩 個(gè)B,和B2。從圖中可以看出,每個(gè)葉節(jié)點(diǎn)到根節(jié)點(diǎn)的路徑,都是一個(gè)攻擊 路徑。為了保證網(wǎng)絡(luò)安全,通常會(huì)在主要的節(jié)點(diǎn)(如大型網(wǎng)絡(luò)的路由節(jié)點(diǎn))上布置入侵檢測(cè)系統(tǒng),這些節(jié)點(diǎn)稱為是監(jiān)控節(jié)點(diǎn)。 一般情況下,黑客攻擊并不 首先發(fā)生在這些監(jiān)控節(jié)點(diǎn)上,而是先在某些葉結(jié)點(diǎn)上發(fā)生,通過一段時(shí)間的 傳播,才會(huì)在監(jiān)控節(jié)點(diǎn)上產(chǎn)生異常,本發(fā)明主要解決在當(dāng)一個(gè)監(jiān)控節(jié)點(diǎn)發(fā)現(xiàn) 異常(有攻擊發(fā)生)時(shí),如何定位攻擊發(fā)生的最初位置的問題。發(fā)明內(nèi)容為了解決上述的技術(shù)問題,提供了一種計(jì)算機(jī)網(wǎng)絡(luò)入侵定位系統(tǒng)和方法, 其目的在于,解決在當(dāng)一個(gè)監(jiān)控節(jié)點(diǎn)發(fā)現(xiàn)異常(有攻擊發(fā)生)時(shí),如何定位 攻擊發(fā)生的最初位置的問題。本發(fā)明提供了一種計(jì)算機(jī)網(wǎng)絡(luò)入侵定位方法,包括歩驟1,獲取現(xiàn)有的網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系網(wǎng)絡(luò),該網(wǎng)絡(luò)節(jié)點(diǎn)的安全 依賴關(guān)系網(wǎng)絡(luò)包含各節(jié)點(diǎn)發(fā)生入侵的先驗(yàn)概率以及相鄰節(jié)點(diǎn)間安全依賴關(guān)系 可被黑客利用成功進(jìn)行攻擊的概率;步驟2,獲取監(jiān)控節(jié)點(diǎn)信息;步驟3,依據(jù)網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系網(wǎng)絡(luò)建立以監(jiān)控節(jié)點(diǎn)為根節(jié)點(diǎn)的 安全依賴樹,并確定安全依賴樹的葉節(jié)點(diǎn);步驟4,依據(jù)安全依賴樹中相鄰節(jié)點(diǎn)間安全依賴關(guān)系可被黑客利用成功 進(jìn)行攻擊的概率以及葉節(jié)點(diǎn)發(fā)生入侵的先驗(yàn)概率計(jì)算安全依賴樹中葉節(jié)點(diǎn)的 入侵因子,從而確定入侵起始節(jié)點(diǎn)的信息。歩驟3中還包括確定安全依賴樹的子節(jié)點(diǎn)。步驟4中,根據(jù)公式"(Xl) 二 P(^)0尸(^,^,O^》計(jì)算一個(gè)葉節(jié)點(diǎn)X: 相應(yīng)于一個(gè)攻擊路徑R的入侵因子; "其中Xi到監(jiān)控節(jié)點(diǎn)Y的攻擊路徑是R: Xl—X2—…一Xn—Y, n為自然數(shù); Xi與Xw的安全依賴關(guān)系為&&, i二l,2,…,n—l; P(^^)為Xn與Y的安 全依賴關(guān)系^^可被黑客利用成功進(jìn)行攻擊的概率;P(^,,^)是安全依賴關(guān) 系^^,+,可被黑客利用成功進(jìn)行攻擊的概率;P(XJ為葉節(jié)點(diǎn)l發(fā)生入侵的先 驗(yàn)概率;"(XJ為葉節(jié)點(diǎn)Xi相應(yīng)于攻擊路徑R的入侵因子。步驟4中,依據(jù)一個(gè)節(jié)點(diǎn)相應(yīng)于不同攻擊路徑的入侵因子的最大者,確 定該節(jié)點(diǎn)的入侵因子,并依據(jù)入侵因子最大的葉節(jié)點(diǎn)確定入侵起始節(jié)點(diǎn)的信 息。還包括步驟5,輸出入侵起始節(jié)點(diǎn)的信息。入侵起始節(jié)點(diǎn)的信息包括入侵起始節(jié)點(diǎn)識(shí)別號(hào)和入侵路徑,監(jiān)控節(jié)點(diǎn)信 息包括監(jiān)控節(jié)點(diǎn)識(shí)別號(hào)。本發(fā)明提供了一種計(jì)算機(jī)網(wǎng)絡(luò)入侵定位方法的計(jì)算機(jī)網(wǎng)絡(luò)入侵定位系 統(tǒng),包括網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系網(wǎng)絡(luò)獲取裝置,用于獲取現(xiàn)有的網(wǎng)絡(luò)節(jié)點(diǎn)間的 安全依賴關(guān)系網(wǎng)絡(luò),該網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系網(wǎng)絡(luò)包含各節(jié)點(diǎn)發(fā)生入侵的 先驗(yàn)概率以及相鄰節(jié)點(diǎn)間安全依賴關(guān)系可被黑客利用成功進(jìn)行攻擊的概率;監(jiān)控節(jié)點(diǎn)獲取裝置,用于獲取監(jiān)控節(jié)點(diǎn)信息;入侵定位裝置,分別與網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系網(wǎng)絡(luò)獲取裝置和監(jiān)控節(jié) 點(diǎn)獲取裝置連接,用于建立以監(jiān)控節(jié)點(diǎn)為根的安全依賴樹,確定安全依賴樹 的葉節(jié)點(diǎn),依據(jù)安全依賴樹中相鄰節(jié)點(diǎn)間安全依賴關(guān)系可被黑客利用成功進(jìn) 行攻擊的概率及各葉節(jié)點(diǎn)發(fā)生入侵的先驗(yàn)概率計(jì)算各葉節(jié)點(diǎn)的入侵因子,確 定入侵起始節(jié)點(diǎn)的信息。入侵定位裝置包括安全依賴樹解析裝置,用于構(gòu)造以監(jiān)控節(jié)點(diǎn)為根節(jié)點(diǎn)的安全依賴樹;入侵起始定位裝置,用于根據(jù)相鄰節(jié)點(diǎn)安全依賴關(guān)系可被黑客利用成功 進(jìn)行攻擊的概率及各葉節(jié)點(diǎn)發(fā)生入侵的先驗(yàn)概率計(jì)算安全依賴樹各葉節(jié)點(diǎn)的 入侵因子,并確定入侵起始節(jié)點(diǎn)的信息。本發(fā)明將網(wǎng)絡(luò)節(jié)點(diǎn)之間的關(guān)聯(lián)機(jī)制引入到入侵定位過程中,建立監(jiān)控點(diǎn) 與入侵點(diǎn)的之間的聯(lián)系,從而可以快速地定位入侵地點(diǎn),能夠克服網(wǎng)絡(luò)攻擊 定位困難、取證復(fù)雜、證據(jù)易失等問題,為入侵行為的調(diào)査取證提供輔助工具。
圖1是實(shí)際安全依賴關(guān)系絡(luò)狀示意圖; 圖2是Xs節(jié)點(diǎn)安全依賴樹示意圖;圖3是本發(fā)明提供的計(jì)算機(jī)網(wǎng)絡(luò)入侵定位系統(tǒng)示意圖; 圖4是入侵定位裝置結(jié)構(gòu)示意圖;圖5是本發(fā)明提供的計(jì)算機(jī)網(wǎng)絡(luò)入侵定位方法流程圖;圖6是建立安全依賴樹流程圖;圖7是本發(fā)明提供的另一計(jì)算機(jī)網(wǎng)絡(luò)入侵定位方法實(shí)施例。
具體實(shí)施方式
本發(fā)明提供了一種計(jì)算機(jī)網(wǎng)絡(luò)入侵定位系統(tǒng)300,可以離線布署,也可 以放置監(jiān)控節(jié)點(diǎn),如圖3所示,該系統(tǒng)300包括以下裝置網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系網(wǎng)絡(luò)獲取裝置301,獲取現(xiàn)有的網(wǎng)絡(luò)節(jié)點(diǎn)的安 全依賴關(guān)系網(wǎng)絡(luò);監(jiān)控節(jié)點(diǎn)獲取裝置302,獲取由現(xiàn)有的異常檢測(cè)系統(tǒng)提供的發(fā)現(xiàn)異?,F(xiàn) 象的節(jié)點(diǎn)ID;和監(jiān)控節(jié)點(diǎn)獲取裝置302連接的入侵定位裝置303,獲取網(wǎng)絡(luò)節(jié)點(diǎn)的安 全依賴關(guān)系網(wǎng)絡(luò)中的節(jié)點(diǎn)之間的安全依賴關(guān)系,各葉節(jié)點(diǎn)入侵發(fā)生的先驗(yàn)概 率,各安全依賴關(guān)系可被黑客利用成功進(jìn)行攻擊的概率,以及發(fā)生異?,F(xiàn)象 的節(jié)點(diǎn)ID,定位一次入侵的起始節(jié)點(diǎn)和攻擊路徑。與入侵定位裝置303連接的輸出裝置304,輸出入侵的起始節(jié)點(diǎn)的ID號(hào), 以及入侵路徑。入侵定位裝置303結(jié)構(gòu)如圖4所示,包括以下部件安全依賴樹解析裝置401,用于構(gòu)造以監(jiān)控節(jié)點(diǎn)為根的安全依賴樹,構(gòu) 造方法如圖6所示;與安全依賴樹解析裝置401連接的入侵起始定位裝置402,該裝置用于 根據(jù)生成的安全依賴樹,計(jì)算各個(gè)葉節(jié)點(diǎn)的入侵因子,并以此確定入侵起始 節(jié)點(diǎn)ID和入侵路徑。本發(fā)明提供的入侵定位系統(tǒng)實(shí)現(xiàn)定位入侵的起始點(diǎn)和入侵路徑的過程為設(shè)葉節(jié)點(diǎn)Xjij節(jié)點(diǎn)Y的一條攻擊路徑是R: X,—X2—…一Xn—Y ,相鄰 節(jié)點(diǎn)X,與Xi+1的安全依賴關(guān)系為(i-l,2,…,;i一l),安全依賴關(guān)系 ^,^可被黑客利用成功進(jìn)行攻擊的概率用P(&^)表示;L與Y的安全依 賴關(guān)系為其概率用P(^^)表示。設(shè)葉節(jié)點(diǎn)X,發(fā)生入侵的先驗(yàn)概率為 P(X》。則當(dāng)節(jié)點(diǎn)Y的發(fā)生入侵時(shí),葉節(jié)點(diǎn)Xt相應(yīng)于攻擊路徑R的入侵因子 if( X》的計(jì)算方法為<formula>formula see original document page 9</formula>(1)如果一個(gè)葉節(jié)違有兩條以上的通向檢測(cè)節(jié)點(diǎn)的攻擊路徑,則分別計(jì)算其 在各個(gè)路徑的上入侵因子,取不同路徑上的入侵因子的最大者作為該葉節(jié)點(diǎn) 的入侵因子。在所有可疑的葉節(jié)點(diǎn)中,入侵因子最大者即為入侵的起始節(jié)點(diǎn), 其相應(yīng)的攻擊路徑即為入侵路徑?;趫D3所示的入侵定位系統(tǒng),本發(fā)明提供的計(jì)算機(jī)網(wǎng)絡(luò)入侵定位方法 如圖5所示,包括以下歩驟步驟501:獲取現(xiàn)有的網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系網(wǎng)絡(luò);步驟502:對(duì)于某個(gè)檢測(cè)到入侵的節(jié)點(diǎn),即監(jiān)控節(jié)點(diǎn),建立以該節(jié)點(diǎn)為 根的一棵安全依賴樹。建立安全依賴樹的方法如圖6所示,參見發(fā)明專利申 請(qǐng)"一種基于安全依賴關(guān)系的風(fēng)險(xiǎn)評(píng)估方法和系統(tǒng)"(申請(qǐng)?zhí)?00810101526. 3):步驟601,以監(jiān)控節(jié)點(diǎn)為安全依賴樹的起始根節(jié)點(diǎn),添加到安全依賴樹中;步驟602,對(duì)于安全依賴樹的每一個(gè)新增節(jié)點(diǎn),將其所有直接依賴的節(jié) 點(diǎn)作為其直接子節(jié)點(diǎn)添加到安全依賴樹中;歩驟603,判斷歩驟602中的新增節(jié)點(diǎn)已經(jīng)是否包含該節(jié)點(diǎn)的某一子樹 的根節(jié)點(diǎn)(即與子樹的根節(jié)點(diǎn)的ID號(hào)相同,導(dǎo)致環(huán)路出現(xiàn)),如果是,則將該 新增節(jié)點(diǎn)刪除604,否則執(zhí)行歩驟602。重復(fù)以上的步驟602和步驟603,直到依賴樹不再生長(zhǎng)為止,最后形成 一個(gè)沒有環(huán)路的安全依賴樹。步驟503:按公式(1)的方法計(jì)算各葉節(jié)點(diǎn)的入侵因子,在各葉節(jié)點(diǎn)中, 選取入侵因子最大的葉節(jié)點(diǎn)。步驟504:輸出其對(duì)應(yīng)的攻擊路徑。本發(fā)明提供的另一實(shí)施例如圖7所示,包括步驟701:獲取現(xiàn)有的網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系網(wǎng)絡(luò);步驟702:對(duì)于某個(gè)檢測(cè)到入侵的節(jié)點(diǎn),即監(jiān)控節(jié)點(diǎn),建立以該節(jié)點(diǎn)為 根的一棵安全依賴樹,建立安全依賴樹的方法如圖6所示;步驟703,獲取所建立的安全依賴樹中各安全依賴關(guān)系可被黑客利用成 功進(jìn)行攻擊的概率及葉節(jié)點(diǎn)發(fā)生入侵的先驗(yàn)概率;步驟704:按公式(l)的方法計(jì)算各葉節(jié)點(diǎn)的入侵因子,在各葉節(jié)點(diǎn)中, 選取入侵因子最大的葉節(jié)點(diǎn)。步驟705:輸出其對(duì)應(yīng)的攻擊路徑。 入侵起始定位裝置402的實(shí)施步驟如下假設(shè)一個(gè)網(wǎng)絡(luò)中具有圖l所示的安全依賴關(guān)系,包含節(jié)點(diǎn)B^ B2、 X'-Xe。 節(jié)點(diǎn)B,和B2是兩個(gè)可能被直接攻擊的葉節(jié)點(diǎn)。如果黑客在這兩個(gè)節(jié)點(diǎn)發(fā)起攻 擊,則將按圖所示的方向?qū)ζ渌?jié)點(diǎn)的安全狀態(tài)施加影響。如果在節(jié)點(diǎn)Xs處 檢測(cè)了到攻擊,則按以節(jié)點(diǎn)X5為根的安全依賴樹如圖2所示。以下面的歩驟確定攻擊發(fā)生的位置和路徑如果在節(jié)點(diǎn)Bj卩B2發(fā)起入侵的先驗(yàn)概率(可以根據(jù)經(jīng)驗(yàn)或長(zhǎng)期監(jiān)測(cè)來設(shè) 定)分別是P(A)二0.01, P(^)二0.5。假如各節(jié)點(diǎn)之間的安全依賴關(guān)系可被黑客利用成功進(jìn)行攻擊的概率(可以由人工根據(jù)經(jīng)驗(yàn)設(shè)定)如下P(。=0.01, PUJ二0.05; P"2,3) =0. 45, P(£Xi,5) =0. 06; PUv5)=0. 06, PUJ-O. 1;PUv5)=0.4, P(W=0.4; 則根據(jù)公式(l)依次計(jì)算節(jié)點(diǎn)B和B2的入侵因子P(A)P(、)P(^) =0. 01X0. 01X0. 06二6X10一6 F,/(壓)二 P(壓)P(五&A)PU義2,5)二0.5X0.05X0.06二1.5X10一3 &2 (壓)二 P(壓)P) P (£^) P () 二O. 5X 0. 45 X 0. 4X0. 4= 3. 6 X10一2根據(jù)以上計(jì)算可以確定入侵因子的最大值為3.6X1(T2,所以入侵的起始 節(jié)點(diǎn)為B2,入侵路徑是B2 —X3 —X6—X5。本領(lǐng)域的技術(shù)人員在不脫離權(quán)利要求書確定的本發(fā)明的精神和范圍的條 件下,還可以對(duì)以上內(nèi)容進(jìn)行各種各樣的修改。因此本發(fā)明的范圍并不僅限 于以上的說明,而是由權(quán)利要求書的范圍來確定的。
權(quán)利要求
1.一種計(jì)算機(jī)網(wǎng)絡(luò)入侵定位方法,其特征在于,包括步驟1,獲取現(xiàn)有的網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系網(wǎng)絡(luò),該網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系網(wǎng)絡(luò)包含各節(jié)點(diǎn)發(fā)生入侵的先驗(yàn)概率以及相鄰節(jié)點(diǎn)間安全依賴關(guān)系可被黑客利用成功進(jìn)行攻擊的概率;步驟2,獲取監(jiān)控節(jié)點(diǎn)信息;步驟3,依據(jù)網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系網(wǎng)絡(luò)建立以監(jiān)控節(jié)點(diǎn)為根節(jié)點(diǎn)的安全依賴樹,并確定安全依賴樹的葉節(jié)點(diǎn);步驟4,依據(jù)安全依賴樹中相鄰節(jié)點(diǎn)間安全依賴關(guān)系可被黑客利用成功進(jìn)行攻擊的概率以及葉節(jié)點(diǎn)發(fā)生入侵的先驗(yàn)概率計(jì)算安全依賴樹中葉節(jié)點(diǎn)的入侵因子,從而確定入侵起始節(jié)點(diǎn)的信息。
2. 如權(quán)利要求1所述的計(jì)算機(jī)網(wǎng)絡(luò)入侵定位方法,其特征在于,步驟3 中還包括確定安全依賴樹的子節(jié)點(diǎn)。
3. 如權(quán)利要求l所述的計(jì)算機(jī)網(wǎng)絡(luò)入侵定位方法,其特征在于,步驟4中,根據(jù)公式^ (x》^尸(x,)f[/^,、^)m)計(jì)算一個(gè)葉節(jié)點(diǎn)X,相應(yīng)于一個(gè)攻擊路徑R的入侵因子; "其中X,到監(jiān)控節(jié)點(diǎn)Y的攻擊路徑是R: X,—X2—…一Xn—Y, n為自然數(shù); X,與X,w的安全依賴關(guān)系為i二l,2,…,/7—1; P(E",)為Xn與Y的安 全依賴關(guān)系i^,可被黑客利用成功進(jìn)行攻擊的概率;P(&,&)是安全依賴關(guān) 系^^可被黑客利用成功進(jìn)行攻擊的概率;P(X,)為葉節(jié)點(diǎn)X,發(fā)生入侵的先 驗(yàn)概率;^ (X0為葉節(jié)點(diǎn)Xi相應(yīng)于攻擊路徑R的入侵因子。
4. 如權(quán)利要求3所述的計(jì)算機(jī)網(wǎng)絡(luò)入侵定位方法,其特征在于,步驟4 中,依據(jù)一個(gè)節(jié)點(diǎn)相應(yīng)于不同攻擊路徑的入侵因子的最大者,確定該節(jié)點(diǎn)的 入侵因子,并依據(jù)入侵因子最大的葉節(jié)點(diǎn)確定入侵起始節(jié)點(diǎn)的信息。
5. 如權(quán)利要求l、 2、 3或4所述的計(jì)算機(jī)網(wǎng)絡(luò)入侵定位方法,其特征在 于,還包括步驟5,輸出入侵起始節(jié)點(diǎn)的信息。
6. 如權(quán)利要求5所述的計(jì)算機(jī)網(wǎng)絡(luò)入侵定位方法,其特征在于,入侵起 始節(jié)點(diǎn)的信息包括入侵起始節(jié)點(diǎn)識(shí)別號(hào)和入侵路徑,監(jiān)控節(jié)點(diǎn)信息包括監(jiān)控 節(jié)點(diǎn)識(shí)別號(hào)。2
7. —種用于如權(quán)利要求l、 2、 3或4所述的計(jì)算機(jī)網(wǎng)絡(luò)入侵定位方法的 計(jì)算機(jī)網(wǎng)絡(luò)入侵定位系統(tǒng),其特征在于,包括網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系網(wǎng)絡(luò)獲取裝置,用于獲取現(xiàn)有的網(wǎng)絡(luò)節(jié)點(diǎn)間的 安全依賴關(guān)系網(wǎng)絡(luò),該網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系網(wǎng)絡(luò)包含各節(jié)點(diǎn)發(fā)生入侵的 先驗(yàn)概率以及相鄰節(jié)點(diǎn)間安全依賴關(guān)系可被黑客利用成功進(jìn)行攻擊的概率;監(jiān)控節(jié)點(diǎn)獲取裝置,用于獲取監(jiān)控節(jié)點(diǎn)信息;入侵定位裝置,分別與網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系網(wǎng)絡(luò)獲取裝置和監(jiān)控節(jié) 點(diǎn)獲取裝置連接,用于建立以監(jiān)控節(jié)點(diǎn)為根的安全依賴樹,確定安全依賴樹 的葉節(jié)點(diǎn),依據(jù)安全依賴樹中相鄰節(jié)點(diǎn)間安全依賴關(guān)系可被黑客利用成功進(jìn) 行攻擊的概率及各葉節(jié)點(diǎn)發(fā)生入侵的先驗(yàn)概率計(jì)算各葉節(jié)點(diǎn)的入侵因子,確 定入侵起始節(jié)點(diǎn)的信息。
8. 如權(quán)利要求7所述的計(jì)算機(jī)網(wǎng)絡(luò)入侵定位系統(tǒng),其特征在于,入侵定 位裝置包括安全依賴樹解析裝置,用于構(gòu)造以監(jiān)控節(jié)點(diǎn)為根節(jié)點(diǎn)的安全依賴樹; 入侵起始定位裝置,用于根據(jù)相鄰節(jié)點(diǎn)安全依賴關(guān)系可被黑客利用成功進(jìn)行攻擊的概率及各葉節(jié)點(diǎn)發(fā)生入侵的先驗(yàn)概率計(jì)算安全依賴樹各葉節(jié)點(diǎn)的入侵因子,并確定入侵起始節(jié)點(diǎn)的信息。
全文摘要
本發(fā)明涉及一種計(jì)算機(jī)網(wǎng)絡(luò)入侵定位系統(tǒng)和方法。該方法包括獲取現(xiàn)有的網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系網(wǎng)絡(luò),該網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系網(wǎng)絡(luò)包含各節(jié)點(diǎn)發(fā)生入侵的先驗(yàn)概率以及相鄰節(jié)點(diǎn)間安全依賴關(guān)系可被黑客利用成功進(jìn)行攻擊的概率;獲取監(jiān)控節(jié)點(diǎn)信息;依據(jù)網(wǎng)絡(luò)節(jié)點(diǎn)的安全依賴關(guān)系建立以監(jiān)控節(jié)點(diǎn)為根節(jié)點(diǎn)的安全依賴樹,并確定安全依賴樹的葉節(jié)點(diǎn);依據(jù)安全依賴樹中相鄰節(jié)點(diǎn)間安全依賴關(guān)系可被黑客利用成功進(jìn)行攻擊的概率以及葉節(jié)點(diǎn)發(fā)生入侵的先驗(yàn)概率計(jì)算安全依賴樹中葉節(jié)點(diǎn)的入侵因子,從而確定入侵起始節(jié)點(diǎn)的信息。本發(fā)明可以快速地定位入侵地點(diǎn)。
文檔編號(hào)H04L29/06GK101262373SQ20081010441
公開日2008年9月10日 申請(qǐng)日期2008年4月18日 優(yōu)先權(quán)日2008年4月18日
發(fā)明者葉潤(rùn)國, 牛妍萍, 胡振宇 申請(qǐng)人:北京啟明星辰信息技術(shù)股份有限公司