电子学报 ›› 2018, Vol. 46 ›› Issue (12): 3014-3020.DOI: 10.3969/j.issn.0372-2112.2018.12.027

• 学术论文 • 上一篇    下一篇

基于脆弱性变换的网络动态防御有效性分析方法

李立勋1,2, 张斌1,2, 董书琴1,2, 唐慧林1,2   

  1. 1. 信息工程大学, 河南郑州 450001;
    2. 河南省信息安全重点实验室, 河南郑州 450001
  • 收稿日期:2017-11-28 修回日期:2018-01-25 出版日期:2018-12-25
    • 作者简介:
    • 李立勋 男,1994年生于四川都江堰.现为信息工程大学硕士研究生.主要研究方向为网络动态防御.E-mail:lilixun_1994@126.com;张斌 男,1969年生于河南许昌.现为信息工程大学教授、博士生导师.主要研究方向为网络空间安全.E-mail:zhangbin1969@sohu.com;董书琴 男,1990年生于河北邢台.现为信息工程大学博士研究生.主要研究方向网络安全态势感知.E-mail:dongshuqin377@126.com;唐慧林 男,1981年生于安徽枞阳.现为信息工程大学讲师.主要研究方向为网络安全.E-mail:gogowithsnow@126.com
    • 基金资助:
    • 河南省基础与前沿技术研究计划项目 (No.2014302903); 信息保障技术重点实验室开放基金项目 (No.KJ-15-109); 信息工程大学新兴科研方向培育基金 (No.2016604703)

Effectiveness Analysis Approach Based on Vulnerability Mutation for Network Dynamic Defense

LI Li-xun1,2, ZHANG Bin1,2, DONG Shu-qin1,2, TANG Hui-lin1,2   

  1. 1.Information and Engineering University, Zhengzhou, Henan 450001, China;
    2.Key Laboratory of Information Security, Zhengzhou, Henan 450001, China
  • Received:2017-11-28 Revised:2018-01-25 Online:2018-12-25 Published:2018-12-25

摘要: 有效性分析对合理制订最优网络动态防御策略至关重要.首先利用随机抽样模型从脆弱性变换角度给出入侵成功概率计算公式,用于刻画变换空间、变换周期及脆弱性数量对网络入侵过程的影响;然后针对单、多脆弱性变换两种情况,分别给出相应的入侵成功概率极限定理并予以证明,同时给出两种情况下的最优变换空间计算方法;仿真结果表明,增大单条入侵路径上依次攻击的脆弱性数量、减小变换周期可持续提高网络动态防御有效性,而增大变换空间初始可以提升网络动态防御有效性,但是由于入侵成功概率会随变换空间的持续增大而逐渐收敛,在入侵成功概率收敛时,有效性无法持续提高.

关键词: 网络安全, 网络动态防御, 安全策略分析, 入侵成功概率, 动态变换, 脆弱性变换, 随机抽样

Abstract: Effectiveness analysis is critical for making optimal network dynamic defense (NDD) strategies. Firstly, the attack success probability formula is derived by constructing the random sampling model from the perspective of vulnerability mutation, which can depict the influence caused by the mutation space, the mutation period and the number of vulnerabilities on the process of network attack. Then, two limit theorems of attack success probability are given and proved in single and multiple vulnerabilities cases respectively, and the calculating methods of optimal mutation space are given according to the two theorems. The simulation results show that the NDD's effectiveness improves with the mutation period reducing and the number of vulnerability attacked successively on a single attack path growing, meanwhile, although enlarging the mutation space is beneficial to improving the NDD's effectiveness in the beginning, the attack success probability would converge with the persistent enlargement of mutation space, which limits the continuous improvement of NDD's effectiveness.

Key words: cyber security, network dynamic defense, security policy analysis, attack success probability, dynamic mutation, vulnerability mutation, random sampling

中图分类号: