復(fù)雜攻擊網(wǎng)絡(luò)的概率可控性*

李　艷，黃光球，曹黎俠,2，張　斌

1.西安建筑科技大學(xué) 管理學(xué)院，西安 710055

2.西安工業(yè)大學(xué) 理學(xué)院，西安 710032

復(fù)雜攻擊網(wǎng)絡(luò)的概率可控性*

李艷1+，黃光球1，曹黎俠1,2，張斌1

1.西安建筑科技大學(xué) 管理學(xué)院，西安 710055

2.西安工業(yè)大學(xué) 理學(xué)院，西安 710032

計(jì)算機(jī)網(wǎng)絡(luò)是當(dāng)前規(guī)模最大，應(yīng)用最廣泛的復(fù)雜網(wǎng)絡(luò)之一，如何提升網(wǎng)絡(luò)安全評(píng)價(jià)的精準(zhǔn)性，并推動(dòng)其在大規(guī)模網(wǎng)絡(luò)下的實(shí)用性是當(dāng)前的研究熱點(diǎn)。詳細(xì)總結(jié)了攻擊模型和脆弱性風(fēng)險(xiǎn)評(píng)估等方面的研究現(xiàn)狀和進(jìn)展，針對(duì)目前攻擊圖模型描述的粗粒度和局限性問題，細(xì)化攻擊圖節(jié)點(diǎn)至部件級(jí)，以有向加權(quán)圖的直觀形式刻畫攻擊步驟中部件之間的交互過程；同時(shí)通過嚴(yán)密的理論推演，得出了復(fù)雜攻擊網(wǎng)絡(luò)完全概率可控或者部分概率可控的準(zhǔn)則條件，并論證了概率可控性與傳統(tǒng)結(jié)構(gòu)可控性的關(guān)系；分析結(jié)果及實(shí)例驗(yàn)證表明，若網(wǎng)絡(luò)中存在著有效防御的節(jié)點(diǎn)，復(fù)雜網(wǎng)絡(luò)仍可在遭受攻擊破壞的情形下提供正常的服務(wù)功能，同時(shí)給出了防御節(jié)點(diǎn)選擇及控制網(wǎng)絡(luò)的具體方法。

攻擊圖；概率可控；復(fù)雜網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；脆弱性分析

1　引言

在信息革命的背景下，寬帶網(wǎng)絡(luò)已經(jīng)成為國(guó)家經(jīng)濟(jì)社會(huì)發(fā)展的戰(zhàn)略性公共基礎(chǔ)設(shè)施，互聯(lián)網(wǎng)應(yīng)用的普及，使當(dāng)前世界的運(yùn)轉(zhuǎn)方式發(fā)生了根本性的改變，但各類網(wǎng)絡(luò)安全事件也開始頻見報(bào)端。2013年6月“棱鏡計(jì)劃”的曝光使信息安全從經(jīng)濟(jì)利益驅(qū)動(dòng)上升到了國(guó)家安全層面，我國(guó)網(wǎng)絡(luò)整體防御國(guó)家級(jí)有組織攻擊風(fēng)險(xiǎn)的能力仍較為薄弱[1]。如何防止有組織的惡意網(wǎng)絡(luò)攻擊行為成為安全領(lǐng)域的研究熱點(diǎn)，也與核問題一起成為新世紀(jì)亟待解決的難題。

網(wǎng)絡(luò)安全問題在受到關(guān)注之初，人們的研究熱點(diǎn)是面對(duì)破壞如何建立一個(gè)絕對(duì)安全的系統(tǒng)，減少設(shè)計(jì)上的漏洞來保證系統(tǒng)的保密性、完整性及可用性等要求，這可以視為網(wǎng)絡(luò)安全研究的第一階段。但人們很快意識(shí)到，在實(shí)際操作中這是不可能的[2]。面向惡意入侵一定存在的現(xiàn)實(shí)，人們開始思考構(gòu)建一個(gè)安全輔助系統(tǒng)（例如IDS系統(tǒng)），目標(biāo)是當(dāng)入侵發(fā)生時(shí)能實(shí)時(shí)地檢測(cè)到，并采取相應(yīng)的措施，自1980年Anderson[3]的技術(shù)報(bào)告提出以來，入侵檢測(cè)有了很大的發(fā)展，其研究大體上可以分為異常檢測(cè)和誤用檢測(cè)兩類[4]。入侵檢測(cè)模型最早由Dorothy Denning提出[5]，目前的發(fā)展仍是在此基礎(chǔ)上的細(xì)化，這可以視為網(wǎng)絡(luò)安全研究的第二階段。入侵檢測(cè)技術(shù)已有很多成熟的應(yīng)用，但其原則上只能對(duì)基礎(chǔ)攻擊進(jìn)行檢測(cè)，對(duì)繞墻隱秘攻擊、多步復(fù)合攻擊等無能為力，網(wǎng)絡(luò)攻擊日益嚴(yán)重的形勢(shì)下，入侵檢測(cè)系統(tǒng)很難保證實(shí)時(shí)檢測(cè)并報(bào)警。因此研究的關(guān)注重點(diǎn)從被動(dòng)的防御轉(zhuǎn)到主動(dòng)分析上來。脆弱性風(fēng)險(xiǎn)評(píng)估模型[6]、態(tài)勢(shì)感知[7]等概念的提出標(biāo)志著第三階段的開始，其由黑客技術(shù)發(fā)展而來，意圖是在網(wǎng)絡(luò)攻擊發(fā)生之前進(jìn)行整體化安全評(píng)價(jià)，制定防御策略或保證網(wǎng)絡(luò)遭受破壞的情形下仍能提供預(yù)定的服務(wù)功能。

安全性主動(dòng)評(píng)價(jià)模型是目前的研究熱點(diǎn)，也是充滿前景的研究方向。其主要分為模型構(gòu)建和分析方法構(gòu)建兩個(gè)步驟。模型構(gòu)建的過程將網(wǎng)絡(luò)中和風(fēng)險(xiǎn)評(píng)估相關(guān)的各要素進(jìn)行抽象并以形式化的語言表達(dá)，目前的工作主要圍繞著攻擊圖模型[8]展開。分析方法構(gòu)建主要包含定性分析和定量分析兩種，定性分析的關(guān)注點(diǎn)是脆弱性邏輯關(guān)聯(lián)問題，即通過對(duì)攻擊場(chǎng)景的可視化分析得出所有可能攻擊路徑的過程[9]；定量分析一般在模型構(gòu)建過程中同時(shí)對(duì)一些因素進(jìn)行量化，通過數(shù)字化的計(jì)算方法表述網(wǎng)絡(luò)的安全形勢(shì)[10]。但目前的模型都還是在小規(guī)模網(wǎng)絡(luò)上的實(shí)驗(yàn)行為，在刻畫攻擊意圖和大規(guī)模系統(tǒng)應(yīng)用等環(huán)節(jié)很難滿足結(jié)構(gòu)復(fù)雜網(wǎng)絡(luò)的要求，因此與動(dòng)態(tài)網(wǎng)絡(luò)[11]、控制理論[12]等復(fù)雜性科學(xué)相結(jié)合，定然會(huì)對(duì)此領(lǐng)域的實(shí)際應(yīng)用起到極大的促進(jìn)作用。

本文以部件攻擊圖為基礎(chǔ)，提出了一種針對(duì)復(fù)雜攻擊網(wǎng)絡(luò)概率可控性的分析框架。主要貢獻(xiàn)有：（1）細(xì)化并提升了攻擊圖模型的描述能力；（2）得出了復(fù)雜網(wǎng)絡(luò)概率可控的準(zhǔn)則條件，論證了概率可控性與傳統(tǒng)結(jié)構(gòu)可控性的關(guān)系；（3）證明了有限防御下，網(wǎng)絡(luò)即可具備抗攻擊能力。

2　形式化建模

2.1攻擊網(wǎng)絡(luò)

定義1本文將網(wǎng)絡(luò)系統(tǒng)中的獨(dú)立計(jì)算設(shè)備稱為網(wǎng)絡(luò)節(jié)點(diǎn)，記為v；將網(wǎng)絡(luò)節(jié)點(diǎn)上提供的應(yīng)用程序、操作系統(tǒng)、服務(wù)等稱為網(wǎng)絡(luò)主體，記為C;Cvs=(v,s)表示網(wǎng)絡(luò)節(jié)點(diǎn)v上提供一個(gè)網(wǎng)絡(luò)主體s;Aα:C→2α表示網(wǎng)絡(luò)主體C所擁有的屬性列表，α為網(wǎng)絡(luò)主體的所有屬性的集合（同時(shí)包括正常屬性和脆弱屬性）。

定義2連接關(guān)系代表某一個(gè)網(wǎng)絡(luò)主體對(duì)另一個(gè)網(wǎng)絡(luò)主體具有訪問連接關(guān)系。E=(Cxi,Cyj,l)為一個(gè)有向加權(quán)鏈路，表示網(wǎng)絡(luò)節(jié)點(diǎn)x上網(wǎng)絡(luò)主體i在網(wǎng)絡(luò)節(jié)點(diǎn)y的網(wǎng)絡(luò)主體j上擁有關(guān)系l。

定義3攻擊網(wǎng)絡(luò)可以被簡(jiǎn)化為一個(gè)有向加權(quán)圖G(C,E),|C|=n代表n個(gè)網(wǎng)絡(luò)主體的集合，E是有向鏈路的集合，其上的權(quán)值w表示由于訪問連接關(guān)系的存在，網(wǎng)絡(luò)主體i對(duì)網(wǎng)絡(luò)主體j的風(fēng)險(xiǎn)收益大小。

這樣在攻擊網(wǎng)絡(luò)中，攻擊者進(jìn)行攻擊的過程可以理解為其透過一個(gè)或者多個(gè)網(wǎng)絡(luò)主體節(jié)點(diǎn)，逐步擴(kuò)大影響范圍以獲得收益的過程。假設(shè)θ為網(wǎng)絡(luò)主體節(jié)點(diǎn)C對(duì)攻擊者的攻擊影響的態(tài)度值，則θt={θ1(t), θ2(t),…,θn(t)}是網(wǎng)絡(luò)主體節(jié)點(diǎn)態(tài)度值矢量，θi(t)∈[-1,+1]表示網(wǎng)絡(luò)主體節(jié)點(diǎn)i在時(shí)刻t受到攻擊影響的大小，正值表示會(huì)受到攻擊，值越大表示受到攻擊的可能性越大（+1表示完全可控，例如具有Root權(quán)限等），負(fù)值表示由于存在防御措施等，節(jié)點(diǎn)不易受到攻擊（-1表示完全不可控，例如攻擊路徑不可達(dá)等）。

2.2轉(zhuǎn)移矩陣

傳統(tǒng)的攻擊圖模型中，一般是遵從最大概率的原則[10]，即默認(rèn)攻擊者在攻擊過程中總是會(huì)理性地選擇幾率最大的路徑，但是實(shí)際攻擊過程中一定存在著多次的滲透和試探過程，這些過程不一定都是從成功概率最大的路徑出發(fā)的，而且不僅僅來自于脆弱性，正?；蛘呤跈?quán)的連接關(guān)系也存在影響力。因此本文將節(jié)點(diǎn)i受攻擊影響的變化定義為作用在i上的所有影響的總和。

這樣在t+1時(shí)刻：

DeGroot模型[12-13]可以對(duì)信息傳遞、共識(shí)達(dá)成等網(wǎng)絡(luò)交互過程進(jìn)行刻畫，本文所提的變化過程亦可用DeGroot模型中的規(guī)則來做相似描述。矩陣?是一個(gè)隨機(jī)矩陣，也可以看作是一步轉(zhuǎn)移概率矩陣。據(jù)馬爾可夫鏈的極限定理可以推論得知[13]，若攻擊網(wǎng)絡(luò)強(qiáng)連通且非周期，網(wǎng)絡(luò)中各節(jié)點(diǎn)針對(duì)攻擊影響將會(huì)收斂至一確定值。

3　概率可控性

在攻擊網(wǎng)絡(luò)中，每一個(gè)網(wǎng)絡(luò)主體節(jié)點(diǎn)對(duì)攻擊影響都有一個(gè)初始值，隨著攻擊者攻擊動(dòng)作的發(fā)生，鄰居節(jié)點(diǎn)間的相互作用，時(shí)間的推移，每個(gè)節(jié)點(diǎn)的態(tài)度值會(huì)發(fā)生改變。簡(jiǎn)言之，攻擊者希望通過對(duì)一些節(jié)點(diǎn)進(jìn)行攻擊控制，進(jìn)而達(dá)到期望的攻擊狀態(tài)。本文遵從刻畫網(wǎng)絡(luò)控制特性的慣例[12]，將發(fā)起攻擊的節(jié)點(diǎn)稱為源節(jié)點(diǎn)（本文只考慮一個(gè)攻擊者，即一個(gè)源節(jié)點(diǎn)的情況，若存在多個(gè)攻擊者則合并為一個(gè)處理），將源節(jié)點(diǎn)直接訪問的節(jié)點(diǎn)稱為驅(qū)動(dòng)節(jié)點(diǎn)。

3.1完全概率可控

如果攻擊網(wǎng)絡(luò)中的所有節(jié)點(diǎn)對(duì)攻擊影響的態(tài)度值都收斂至與源節(jié)點(diǎn)的攻擊目標(biāo)態(tài)度值相同，則稱該攻擊網(wǎng)絡(luò)完全概率可控。

定理1在一個(gè)攻擊網(wǎng)絡(luò)G(C,E)中，D?C是驅(qū)動(dòng)節(jié)點(diǎn)的集合，該攻擊網(wǎng)絡(luò)完全概率可控的條件是：?i∈CD,?j∈D,j→i的有向路徑存在。

對(duì)于定理1直觀的理解是，如果存在源節(jié)點(diǎn)不可訪問的網(wǎng)絡(luò)主體，則這些節(jié)點(diǎn)不會(huì)受到攻擊的影響，從攻擊者的角度看，該攻擊網(wǎng)絡(luò)不可控，這與攻擊圖中對(duì)于攻擊可達(dá)性的定義[8-10]是一致的。下面給出理論證明。

證明 根據(jù)完全概率可控的概念，源節(jié)點(diǎn)到集合D中的每一個(gè)節(jié)點(diǎn) j都存在著有向邊，若?i∈CD，?j∈D,j→i的有向路徑存在，則源節(jié)點(diǎn)可以到達(dá)攻擊網(wǎng)絡(luò)中的任一網(wǎng)絡(luò)主體，因此只需證明轉(zhuǎn)移概率矩陣?收斂即可。

對(duì)于轉(zhuǎn)移概率矩陣?，其是一個(gè)基于馬爾可夫鏈的一步轉(zhuǎn)移概率矩陣，源節(jié)點(diǎn)到任意節(jié)點(diǎn)都存在著訪問路徑，則馬爾可夫鏈中每個(gè)節(jié)點(diǎn)都一定存在著一條到源節(jié)點(diǎn)的有向路徑，即該馬爾可夫鏈?zhǔn)且粋€(gè)吸收鏈（任意狀態(tài)S到源節(jié)點(diǎn)的概率Pn>0），經(jīng)過有限步驟后節(jié)點(diǎn)的狀態(tài)值一定會(huì)與源節(jié)點(diǎn)相同。 □

在圖1所示的示例圖中，（a）為一個(gè)簡(jiǎn)要攻擊網(wǎng)絡(luò)的示例，Eve為源節(jié)點(diǎn)（攻擊節(jié)點(diǎn)），（b）為其一步轉(zhuǎn)移概率矩陣?的馬爾可夫鏈。在圖（a）中從源節(jié)點(diǎn)到其他任一網(wǎng)絡(luò)主體節(jié)點(diǎn)都至少存在著一條路徑，在對(duì)應(yīng)的Markov鏈中就一定存在著其他節(jié)點(diǎn)至源節(jié)點(diǎn)Eve的有向路徑，即，每一個(gè)暫態(tài)都會(huì)收斂至與源節(jié)點(diǎn)相同。若在圖2（a）中源節(jié)點(diǎn)選擇節(jié)點(diǎn)E作為驅(qū)動(dòng)節(jié)點(diǎn)，因?yàn)楣?jié)點(diǎn)E不可到達(dá)節(jié)點(diǎn)F和G，其對(duì)應(yīng)的Markov鏈可以分為{Eve}、{A,B,C, D,E}、{G}3個(gè)狀態(tài)，其中{A,B,C,D,E}為暫態(tài)，有限步驟之后將會(huì)以一定的概率到達(dá){Eve}或{G}，因此在E為驅(qū)動(dòng)節(jié)點(diǎn)的前提下不能完全概率可控。

在強(qiáng)連通的狀態(tài)下，攻擊網(wǎng)絡(luò)G中的任一網(wǎng)絡(luò)主體節(jié)點(diǎn)到其他節(jié)點(diǎn)都存在有向路徑，因此根據(jù)定理1推論得知，選擇任一節(jié)點(diǎn)作為驅(qū)動(dòng)節(jié)點(diǎn)即可達(dá)到完全概率可控。

如果攻擊網(wǎng)絡(luò)為弱連通的，其可以被分為有限個(gè)閉集（本文所提的閉集均指最小閉集[14]）加非閉集內(nèi)節(jié)點(diǎn)的集合。例如圖2（a）所示的攻擊網(wǎng)絡(luò)，（b）為其對(duì)應(yīng)的Markov鏈，則其中的節(jié)點(diǎn)可以分為兩個(gè)閉集CS1={B},CS2={E,F,G}及不在閉集中的節(jié)點(diǎn){A,C, D}。根據(jù)閉集的定義[14]可知，若每個(gè)閉集內(nèi)的節(jié)點(diǎn)均可被源節(jié)點(diǎn)訪問，其所對(duì)應(yīng)的馬爾可夫鏈中也一定存在著由閉集到達(dá)源節(jié)點(diǎn)的有向路徑。因此對(duì)于弱連通攻擊網(wǎng)絡(luò)，需要在每一個(gè)閉集內(nèi)任選一個(gè)驅(qū)動(dòng)節(jié)點(diǎn)，才能達(dá)到完全影響可控的目的。例如在圖2（b）中存在兩個(gè)閉集，則需在兩個(gè)閉集內(nèi)選擇驅(qū)動(dòng)節(jié)點(diǎn)B和E。

推論1強(qiáng)連通攻擊網(wǎng)絡(luò)達(dá)到完全概率可控的最小驅(qū)動(dòng)節(jié)點(diǎn)數(shù)為1，弱連通網(wǎng)絡(luò)達(dá)到完全概率可控的最小驅(qū)動(dòng)節(jié)點(diǎn)數(shù)為k，其中k為網(wǎng)絡(luò)最小閉集的數(shù)量。

Fig.1　An example of attack network and its Markov chain圖1　攻擊網(wǎng)絡(luò)及其馬爾可夫鏈

Fig.2　An example of weakly connected attack network圖2　弱連通攻擊網(wǎng)絡(luò)示例

理想狀態(tài)下，如果基礎(chǔ)物理網(wǎng)絡(luò)是連通的，攻擊者的初始能量可以任意小，在有限步驟后即可達(dá)到預(yù)期攻擊目的。但如果選擇的驅(qū)動(dòng)節(jié)點(diǎn)影響力較大，則攻擊的過程會(huì)更加的順利，體現(xiàn)在本文所提的攻擊網(wǎng)絡(luò)模型中既是網(wǎng)絡(luò)整體的收斂速度會(huì)更快，在后續(xù)的例子中會(huì)對(duì)此有所驗(yàn)證。

3.2部分概率可控

在完全概率可控下，假設(shè)攻擊網(wǎng)絡(luò)中的每一個(gè)節(jié)點(diǎn)均可受到源節(jié)點(diǎn)（攻擊節(jié)點(diǎn)）的直接影響，但這在現(xiàn)實(shí)的計(jì)算機(jī)網(wǎng)絡(luò)中是不可能的，由于訪問權(quán)限的限制，防御措施的實(shí)施，物理鏈路的斷開等一定會(huì)有阻止攻擊者達(dá)到攻擊目的的手段或者措施，本節(jié)將對(duì)此狀況下攻擊網(wǎng)絡(luò)的可控性進(jìn)行討論。

在攻擊網(wǎng)絡(luò)的定義中，使用負(fù)值來表示某一部件節(jié)點(diǎn)不易受到攻擊，使用負(fù)值的大小來表示不易受到攻擊的程度。假設(shè)閾值δ(δ<0)為攻擊不可控的下線，即若某一節(jié)點(diǎn)的態(tài)勢(shì)值θi<δ，則認(rèn)為該節(jié)點(diǎn)是不可控的（從攻擊者的角度是不可被攻擊）；若某一節(jié)點(diǎn)的態(tài)勢(shì)值θi>δ，經(jīng)過演化后態(tài)勢(shì)值為正，則認(rèn)為該節(jié)點(diǎn)是可控的；若所有θi>δ的節(jié)點(diǎn)演化后態(tài)勢(shì)值為正，則認(rèn)為整個(gè)網(wǎng)絡(luò)部分概率可控。

定義5在一個(gè)攻擊網(wǎng)絡(luò)G(C,E)中，D?C是驅(qū)動(dòng)節(jié)點(diǎn)的集合，源節(jié)點(diǎn)的初始態(tài)度值為正，集合U? CD,，經(jīng)過有限步演化后，則稱該攻擊網(wǎng)絡(luò)部分概率可控。

仍以圖2中的弱連通攻擊網(wǎng)絡(luò)為例，假設(shè)節(jié)點(diǎn)B為不可控節(jié)點(diǎn)，閉集{E,F,G}中節(jié)點(diǎn)E為可控節(jié)點(diǎn)，此閉集內(nèi)的所有節(jié)點(diǎn)都將會(huì)收斂。按照此分類，閉集可以再細(xì)分為免疫閉集{B}（immune closed set）和可控閉集{E,F,G}（control closed set），再加上不在閉集中的節(jié)點(diǎn){A,C,D}（not in closed set），這樣轉(zhuǎn)移概率隨機(jī)矩陣可以簡(jiǎn)化為。其中為免疫閉集節(jié)點(diǎn)的轉(zhuǎn)移矩陣，其代表著不受攻擊源節(jié)點(diǎn)控制的節(jié)點(diǎn)的影響；為不在閉集中的節(jié)點(diǎn)的轉(zhuǎn)移矩陣，其代表著節(jié)點(diǎn)間的相互影響；為可控閉集節(jié)點(diǎn)的轉(zhuǎn)移矩陣，其代表直接受到攻擊源節(jié)點(diǎn)對(duì)其他節(jié)點(diǎn)的影響力。顯然要想達(dá)到定義5中描述的部分概率可控，需要中節(jié)點(diǎn)的攻擊影響力大于中節(jié)點(diǎn)的防御影響力。

在圖2中假設(shè)B為免疫節(jié)點(diǎn)，E為可控節(jié)點(diǎn)，則由不在閉集中節(jié)點(diǎn)集{A,C,D,F,G}組成的亞隨機(jī)矩陣如下列計(jì)算結(jié)果中的所示，其中B1={1,3,5}, B2={2,4}。從計(jì)算結(jié)果中T表示的有向鄰接圖可以看出，B2中的任何節(jié)點(diǎn)均可以達(dá)到B1中的節(jié)點(diǎn)，因此當(dāng)k→∞時(shí)，，這里對(duì)進(jìn)行重復(fù)計(jì)算也可以得到類似的結(jié)果。

同樣在圖2中假設(shè)D為免疫節(jié)點(diǎn)，E為可控節(jié)點(diǎn)，則由不在閉集中節(jié)點(diǎn)集{A,B,C,F,G}組成的亞隨機(jī)矩陣如下列結(jié)果中的所示，其中B1={3,5}, B2={1,2,4}。從結(jié)果中T表示的有向鄰接圖可以看出，B2中的節(jié)點(diǎn)2不可以達(dá)到B1中的節(jié)點(diǎn)，當(dāng)k→∞時(shí)，的值如下所示，不會(huì)收斂到0。

根據(jù)收斂性證明，在正常狀態(tài)下，攻擊網(wǎng)絡(luò)的隨機(jī)矩陣都會(huì)收斂至一個(gè)穩(wěn)定狀態(tài)，因?yàn)椋沂莾绲鹊?，則：

在攻擊網(wǎng)絡(luò)中，不同節(jié)點(diǎn)對(duì)攻擊擴(kuò)散的效果不同，定理2的證明過程不僅給出了一個(gè)網(wǎng)絡(luò)是否可以部分概率可控的充分條件，也對(duì)攻擊者直接的攻擊節(jié)點(diǎn)（驅(qū)動(dòng)節(jié)點(diǎn)）的選擇提供了一些方法：通過隨機(jī)矩陣?和初始態(tài)度值θ的重復(fù)計(jì)算獲取各個(gè)節(jié)點(diǎn)的權(quán)重，當(dāng)時(shí)選擇針對(duì)以一定概率免疫節(jié)點(diǎn)的連接節(jié)點(diǎn)作為驅(qū)動(dòng)節(jié)點(diǎn)；為了攻擊效果更好，應(yīng)該選擇概率免疫節(jié)點(diǎn)鄰接節(jié)點(diǎn)中權(quán)重較大的節(jié)點(diǎn)；如果網(wǎng)絡(luò)中和概率免疫節(jié)點(diǎn)直接相連的節(jié)點(diǎn)有多個(gè)，則選擇出度較大的節(jié)點(diǎn)。

3.3與結(jié)構(gòu)可控性的比較

結(jié)構(gòu)可控性和本文所提基于復(fù)雜攻擊網(wǎng)絡(luò)的概率可控性，都是希望對(duì)控制器（源節(jié)點(diǎn)）通過驅(qū)動(dòng)節(jié)點(diǎn)進(jìn)行網(wǎng)絡(luò)演化的過程及控制演化過程所需的條件進(jìn)行討論，但結(jié)構(gòu)可控性更多的關(guān)注點(diǎn)是理論上的可控條件而非具體的方法或者措施，攻擊者在攻擊過程中會(huì)根據(jù)攻擊進(jìn)展?fàn)顩r調(diào)整攻擊目標(biāo)和手段。因此本文模型的關(guān)注點(diǎn)更多是演化的結(jié)果是否會(huì)造成損失及在損失程度上的態(tài)度趨勢(shì)，并不需要攻擊網(wǎng)絡(luò)到達(dá)任意狀態(tài)。

在結(jié)構(gòu)可控性中，復(fù)雜網(wǎng)絡(luò)的可控性條件是控制矩陣滿秩（rank(C)=n），而在本文中達(dá)到完全概率可控或者部分概率可控的條件是，可以得知如果一個(gè)網(wǎng)絡(luò)是結(jié)構(gòu)可控的，則本文所提的模型一定成立，但反之不亦然，可以說本文所提模型是結(jié)構(gòu)可控性在網(wǎng)絡(luò)攻防過程中的一個(gè)特例應(yīng)用。

4　實(shí)驗(yàn)與分析

4.1模擬實(shí)驗(yàn)

為驗(yàn)證本文所提模型和分析方法的正確性，首先按照攻擊圖分析的傳統(tǒng)做法構(gòu)建一個(gè)典型的Web信息系統(tǒng)示例，拓?fù)浣Y(jié)構(gòu)如圖3所示。實(shí)驗(yàn)所用的環(huán)境是Intel i5-2430M@2.40 GHz處理器，4 GB內(nèi)存，操作系統(tǒng)環(huán)境為Windows7，算法通過C#實(shí)現(xiàn)。

Fig.3　Topological map for experimental network圖3　實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D

在圖3中，實(shí)驗(yàn)網(wǎng)絡(luò)內(nèi)共有4臺(tái)服務(wù)器，10.10.0.10為Web服務(wù)器，Windows操作系統(tǒng)，通過IIS、Apache、Ftp這3個(gè)網(wǎng)絡(luò)主體對(duì)外提供服務(wù)，外網(wǎng)的用戶通過外網(wǎng)防火墻可以對(duì)其進(jìn)行訪問；10.10.0.11為數(shù)據(jù)庫服務(wù)器，Windows操作系統(tǒng)，存在SQL Server和RPC兩個(gè)網(wǎng)絡(luò)主體；10.10.0.12為郵件服務(wù)器，Windows操作系統(tǒng)，提供Email和Rshd服務(wù)；10.10.0.13為文件服務(wù)器，Linux操作系統(tǒng)，提供Telneted和Ftp服務(wù)。

根據(jù)預(yù)先設(shè)定的網(wǎng)絡(luò)安全規(guī)則，外網(wǎng)用戶可以訪問位于Web服務(wù)器上的IIS和Apache服務(wù)；10服務(wù)器可以遠(yuǎn)程到數(shù)據(jù)庫服務(wù)器和郵件服務(wù)器上，Apache組件可以訪問位于12上的Email服務(wù)；IIS可以訪問11上的SQL Server數(shù)據(jù)庫；10上的Ftp服務(wù)可以和文件服務(wù)器上的Ftp組件進(jìn)行交互；位于數(shù)據(jù)庫服務(wù)器上的RPC和位于郵件服務(wù)器上的Rshd可以遠(yuǎn)程訪問Linux服務(wù)器上的Telneted組件。

假設(shè)主體IIS上存在著Null.htw漏洞，攻擊者可以獲取所在主機(jī)的Root權(quán)限；Apache上存在著遠(yuǎn)程命令注入漏洞；Email上存在著Outlook URI漏洞；10和13上的Ftp組件都存在著FTP目錄遍歷漏洞；RPC上存在著RPC請(qǐng)求緩沖區(qū)溢出漏洞，Rshd主體允許用戶以Root身份執(zhí)行遠(yuǎn)程shell命令，Telneted主體存在著輸入驗(yàn)證錯(cuò)誤，可以使訪問者獲得遠(yuǎn)程管理員權(quán)限。

本示例參照文獻(xiàn)[17]中攻防策略及其量化的結(jié)果，并以此作為攻擊網(wǎng)絡(luò)中鏈路收益的大小，由此可得實(shí)驗(yàn)攻擊網(wǎng)絡(luò)的圖形化描述如圖4（a）所示，根據(jù)定義4的計(jì)算方法可得實(shí)驗(yàn)攻擊網(wǎng)絡(luò)的Markov鏈如圖4（b）所示。在圖4（b）中，除去攻擊節(jié)點(diǎn)（源節(jié)點(diǎn)）Eve外，可以看到存在兩個(gè)最小閉集{10-IIS}和{10-Apache}，根據(jù)推論1可知達(dá)到完全概率可控的驅(qū)動(dòng)節(jié)點(diǎn)的數(shù)目等于最小閉集的數(shù)目，因此Eve選擇10-IIS和10-Apache作為驅(qū)動(dòng)節(jié)點(diǎn)即可以完全控制整個(gè)網(wǎng)絡(luò)（定理1）。

在完全概率可控的狀態(tài)下，網(wǎng)絡(luò)中的各個(gè)節(jié)點(diǎn)的影響力不同，計(jì)算各個(gè)節(jié)點(diǎn)影響力的方法之一是求得轉(zhuǎn)移矩陣的極限，也可以直接將初始影響向量與轉(zhuǎn)移矩陣?連續(xù)相乘獲得，計(jì)算過程如下矩陣所示。

Fig.4　Graphical results for experimental network圖4　實(shí)驗(yàn)攻擊網(wǎng)絡(luò)圖形化結(jié)果

由計(jì)算結(jié)果可知，10-IIS、11-Windows和10-Windows這3個(gè)節(jié)點(diǎn)的影響權(quán)值較大，根據(jù)圖4（a）所示的攻擊圖直觀來看，在自Eve至11-SQL或者13-File的攻擊路徑共有15條，其中13條會(huì)經(jīng)過這3個(gè)節(jié)點(diǎn)。圖5展示的是不同狀態(tài)下攻擊網(wǎng)絡(luò)的收斂速度。圖5（a）是無攻擊情況下，由于網(wǎng)絡(luò)主體之間的相互影響導(dǎo)致的網(wǎng)絡(luò)收斂過程。圖5（b）和圖5（c）分別是選擇10-IIS和10-Apache作為驅(qū)動(dòng)節(jié)點(diǎn)時(shí)，網(wǎng)絡(luò)收斂所需的輪數(shù)。自結(jié)果可以看出驅(qū)動(dòng)節(jié)點(diǎn)的影響力越大，網(wǎng)絡(luò)的收斂速度越快，攻擊者越容易達(dá)到控制整個(gè)網(wǎng)絡(luò)的目的。在早期的攻擊圖分析中[8-9]，針對(duì)10-IIS和10-Apache的攻擊路徑會(huì)被同等對(duì)待，但從本文的分析看，由10-IIS發(fā)起的攻擊危害程度更大，理性的防御者首先應(yīng)以此作為防御著眼點(diǎn)采取防御措施。

Fig.5　Convergence rate of experimental network under different conditions圖5　不同狀態(tài)下攻擊網(wǎng)絡(luò)的收斂速度

在上述完全概率可控分析中，沒有考慮攻擊難度、防御措施等的影響，即認(rèn)為攻擊者的影響可以直接在節(jié)點(diǎn)間進(jìn)行傳遞，但實(shí)際情況定然遠(yuǎn)非如此。已有的模型中通過攻擊成功概率[10]、攻防博弈[17]、關(guān)聯(lián)分析[18-19]等方法進(jìn)行刻畫，大都對(duì)攻擊圖進(jìn)行去環(huán)處理后得出每一攻擊序列的危害程度或者一些關(guān)鍵節(jié)點(diǎn)的重要度排序等，對(duì)防御節(jié)點(diǎn)的選擇尤其是防御后的效果鮮有分析和討論。針對(duì)每一個(gè)漏洞都進(jìn)行防御的成本將是無法承受的，因此本文的關(guān)注點(diǎn)是在有限防御下網(wǎng)絡(luò)的安全狀態(tài)。

在圖3所示的模擬示例中，防御措施主要分為5類：（1）針對(duì)10-IIS、10-Windows防御；（2）針對(duì)10-Apache防御；（3）針對(duì)11-Windows防御；（4）針對(duì)12-Windows防御；（5）針對(duì)13-Linux防御。假設(shè)在防御狀態(tài)下攻擊者的影響態(tài)勢(shì)為0（即閾值δ=-1），則根據(jù)定理2可得到不同防御措施下部分概率可控的計(jì)算結(jié)果（如表1所示），根據(jù)計(jì)算結(jié)果只有針對(duì)10-IIS、10-Windows的防御可以阻止攻擊者達(dá)到部分概率可控的目的。從圖4（a）所示攻擊網(wǎng)絡(luò)的圖形化結(jié)果也可以直觀地看到，若攻擊者不能影響到10-IIS、10-Windows兩個(gè)節(jié)點(diǎn)，則大部分攻擊路徑都會(huì)中斷。從表1中的結(jié)果還可以看出，針對(duì)10-Apache的防御不能起到預(yù)想的效果，這與經(jīng)典攻擊圖分析模型所得結(jié)論有所不同[8-9]，根本原因在于針對(duì)10-Apache的防御影響會(huì)遠(yuǎn)遠(yuǎn)小于攻擊者針對(duì)10-IIS的攻擊影響。綜上所知，針對(duì)圖3中的實(shí)驗(yàn)網(wǎng)絡(luò)最優(yōu)的防御策略是只針對(duì)10-IIS的Null.htw漏洞進(jìn)行修復(fù)，其他部件節(jié)點(diǎn)只需正常更新補(bǔ)丁，保證訪問策略正確即可。

Table 1　Calculation results of partial probability control under different defense measures表1　不同防御措施下部分概率可控計(jì)算結(jié)果

4.2仿真實(shí)驗(yàn)

4.1節(jié)通過一個(gè)模擬的實(shí)驗(yàn)對(duì)本文所提方法進(jìn)行了正確性驗(yàn)證。入侵檢測(cè)是在攻擊發(fā)生后對(duì)攻擊過程進(jìn)行復(fù)現(xiàn)，獲取攻擊證據(jù)鏈的過程，而攻擊模型研究相反是在攻擊發(fā)生之前對(duì)攻擊過程進(jìn)行分析，這樣對(duì)入侵檢測(cè)的數(shù)據(jù)集進(jìn)行攻擊模型檢測(cè)在一定程度上可以對(duì)模型效果進(jìn)行檢驗(yàn)。這樣的做法在攻擊圖模型文獻(xiàn)中還未見到，本文對(duì)此進(jìn)行了嘗試。

在本節(jié)的仿真實(shí)驗(yàn)中，使用MIT Lincoln實(shí)驗(yàn)室的LLDOS1.0數(shù)據(jù)集，此數(shù)據(jù)集中由6臺(tái)主機(jī)組成了DMZ區(qū)域。在本實(shí)驗(yàn)中用到的4臺(tái)主機(jī)分別為: 131.84.1.31（Web服務(wù)器）、172.16.115.20（Solaris）、172.16.115.50（Solaris）、172.16.115.10（Solaris）。由脆弱性所導(dǎo)致的攻擊收益取值如表2所示，網(wǎng)絡(luò)中主機(jī)的脆弱性信息如表3所示。

根據(jù)表3中的取值，通過漏洞掃描工具Snort2.4.3即可構(gòu)建如圖6（a）所示的攻擊網(wǎng)絡(luò)。攻擊者自202.77.162.213發(fā)起攻擊（源節(jié)點(diǎn)），驅(qū)動(dòng)節(jié)點(diǎn)為存在配置錯(cuò)誤的ICMP節(jié)點(diǎn)，根據(jù)完全概率可控的條件（定理1）可知，圖6（a）所示的攻擊網(wǎng)絡(luò)是完全概率可控的，這與DARPA數(shù)據(jù)集可以被攻擊的事實(shí)是一致的。

得出網(wǎng)絡(luò)存在安全威脅只是第一步，關(guān)鍵是如何確定部分防御節(jié)點(diǎn)來保證網(wǎng)絡(luò)具備提供關(guān)鍵任務(wù)的能力。圖6（b）為圖6（a）所對(duì)應(yīng)的Markov鏈，根據(jù)Markov鏈可以輕易地生成轉(zhuǎn)移矩陣，將轉(zhuǎn)移矩陣與初始態(tài)度向量反復(fù)相乘即可得到各個(gè)節(jié)點(diǎn)的最終影響力，如圖7所示（節(jié)點(diǎn)的排列順序?yàn)閳D6（a）中先自上向下后自左至右）。從計(jì)算結(jié)果來看，主機(jī)172.16.115.20上的20-Sadmind和20-RshRoot節(jié)點(diǎn)的影響力較大。根據(jù)定理1的推論和定理2的證明，攻擊者要想快速達(dá)到攻擊目的（攻擊的單調(diào)性假設(shè)[6]），定然會(huì)選擇此作為攻擊重點(diǎn)。反之防御者作為防御方的防御重點(diǎn)也定然如此。這樣問題就變?yōu)椋横槍?duì)20-Sadmind或20-RshRoot節(jié)點(diǎn)的防御效果能否達(dá)到安全目標(biāo)?假設(shè)態(tài)勢(shì)閾值δ=-0.5（即只準(zhǔn)許外來訪問者具有一般用戶的訪問權(quán)限），對(duì)定理2中部分概率可控的充分條件進(jìn)行計(jì)算。通過計(jì)算結(jié)果（計(jì)算過程和4.1節(jié)相類似，此處略）可知，針對(duì)20-Sadmind或20-RshRoot的防御措施滿足 δ<-0.5的條件時(shí)，，即驅(qū)動(dòng)節(jié)點(diǎn)的影響力小于防御節(jié)點(diǎn)的影響力，因此防御者只需針對(duì)20-Sadmind或20-RshRoot進(jìn)行補(bǔ)丁修復(fù)保證攻擊者不能獲得一般用戶以上的訪問權(quán)限即可達(dá)到防御目標(biāo)。對(duì)于ICMP、SunRpc、INFO等攻擊者收益很小的漏洞可以不必過分關(guān)注。

Table 2　Attack gains under different attack levels表2　不同攻擊級(jí)別的攻擊收益

Table 3　Vulnerability information list of each host表3　各主機(jī)脆弱性信息列表

Fig.6　Simulation results for DARPAdata set圖6　DARPA數(shù)據(jù)集仿真結(jié)果

Fig.7　Effect of each node in DARPAdata set圖7　DARPA數(shù)據(jù)集中各節(jié)點(diǎn)影響力

目前針對(duì)網(wǎng)絡(luò)攻擊模型的所有研究中并沒有給出一個(gè)通用的數(shù)據(jù)集或測(cè)試模型來供不同模型間進(jìn)行橫向比較，幾乎每篇文章都會(huì)像4.1節(jié)的示例一樣說明模型或分析方法的有效性。和早期的攻擊圖模型[8-9]比起來，本文模型的構(gòu)建過程可以隨著漏洞掃描工具同時(shí)完成，無需再單獨(dú)編寫算法來完成攻擊前件集、后件集等的轉(zhuǎn)換過程。同時(shí)本文攻擊圖中的各個(gè)節(jié)點(diǎn)是網(wǎng)絡(luò)中的部件主體，依托于權(quán)限關(guān)系和連接關(guān)系進(jìn)行的網(wǎng)絡(luò)抽象，和文獻(xiàn)[9，18-19]等比較起來顯然更加簡(jiǎn)潔和清晰，沒有歧義性，無需對(duì)圖中的各要素進(jìn)行單獨(dú)說明。文獻(xiàn)[10]等模型分析結(jié)果是針對(duì)狀態(tài)構(gòu)建的，雖然也都明確提出了攻擊圖的簡(jiǎn)化算法，但是對(duì)于大規(guī)模的網(wǎng)絡(luò)安全分析一定會(huì)存在著狀態(tài)空間爆炸的風(fēng)險(xiǎn)。本文模型基于網(wǎng)絡(luò)主體之間的邏輯因果關(guān)系，無論是模型的生成還是模型的計(jì)算和分析過程都是多項(xiàng)式時(shí)間的（時(shí)間復(fù)雜度為O(n2)），因此更加適用于大規(guī)模網(wǎng)絡(luò)的擴(kuò)散分析。更重要的是本文模型在得出網(wǎng)絡(luò)是否安全的同時(shí)會(huì)給出防御的重點(diǎn)，部分概率可控的充分條件可以對(duì)某一防御措施能否滿足安全策略給出理論和準(zhǔn)確的解答。

5　總結(jié)

本文首先明確了使用隨機(jī)模型進(jìn)行網(wǎng)絡(luò)安全分析將是此領(lǐng)域的主流方向。借鑒復(fù)雜網(wǎng)絡(luò)可控性的概念，將傳統(tǒng)攻擊圖描述的粒度細(xì)化到部件主體級(jí)，使用有向加權(quán)圖來表示攻擊者的權(quán)限擴(kuò)散過程，并給出了攻擊網(wǎng)絡(luò)和轉(zhuǎn)移矩陣的完整性定義，在此基礎(chǔ)上得出了完全概率可控或者部分概率可控的準(zhǔn)則條件，論證了概率可控性與傳統(tǒng)結(jié)構(gòu)可控性的關(guān)系。通過模擬實(shí)驗(yàn)和仿真實(shí)驗(yàn)給出了模型使用的基本過程，結(jié)論分析表明本文模型可在多項(xiàng)式的時(shí)間復(fù)雜度內(nèi)對(duì)大規(guī)模的網(wǎng)絡(luò)安全狀況進(jìn)行分析，提供了防御節(jié)點(diǎn)的有效選擇辦法，并給出了防御策略有效性的驗(yàn)證辦法。

本文使用典型網(wǎng)絡(luò)結(jié)構(gòu)對(duì)模型方法進(jìn)行了驗(yàn)證，但在網(wǎng)絡(luò)攻擊模型上還沒有類如入侵檢測(cè)數(shù)據(jù)集的標(biāo)準(zhǔn)案例，在此方面顯然存在著很大的不足。此外本文所用到的攻擊收益等量化結(jié)果大部分都是基于專家經(jīng)驗(yàn)給出的，因此構(gòu)建適合于大規(guī)模網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估分析的數(shù)據(jù)集及針對(duì)攻擊屬性的客觀量化將是下一步的重要研究方向。

[1]“China Information Almanac”editorial board.China information almanac 2014[M].Beijing:Electronic Industry Publishing,2015.

[2]Miller B P,Koski D,Lee C P,et al.A re-examination of the reliability of UNIX utilities and services[R].Department of Computer Sciences,University of Wisconsin,1995.

[3]Anderson J P.Computer security threat monitoring and sur-veillance,79F26400[R].Fort Washington,Pennsylvania: James PAnderson Company,1980.

[4]Li Zhoujun,Zhang Junxian,Liao Xiangke,et al.Survey of software vulnerability detection techniques[J].Chinese Journal of Computers,2015,38(4):717-731.

[5]Srnaha S E.Haystack:an intrusion detection system[C]// Proceedings of the 4th Aerospace Computer Security Applications Conference,Orlando,Dec 12-16,1988.Piscataway, USA:IEEE,1988:37-44.

[6]Lin Chuang,Wang Yang,Li Quanlin.Stochastic modeling and evaluation for network security[J].Chinese Journal of Computers,2005,28(12):1943-1956.

[7]Bass T,Gruber D.A glimpse into the future of ID[EB/OL]. [2016-01-06].http://www.usenix.org/publications/login/1999-9/features/future.html.

[8]Phillips C,Swiler L P.A graph-based system for network vulnerability analysis[C]//Proceedings of the 1998 Workshop on New Security Paradigms,Charlottsville,USA,Sep 22-25,1998.New York:ACM,1998:71-79.

[9]Ritchey R,Ammann P.Using model checking to analyze network vulnerabilities[C]//Proceedings of the 2000 IEEE Symposium on Security and Privacy,Berkeley,USA,May 14-17,2000.Piscataway,USA:IEEE,2000:156-165.

[10]Chen Xiaojun,Fang Binxing,Tan Qingfeng,et al.Inferring attack intent of malicious insider based on probabilistic attack graph model[J].Chinese Journal of Computers,2014, 37(1):62-72.

[11]Gao Lin,Yang Jianye,Qin Guimin.Methods for pattern mining in dynamic networks and applications[J].Journal of Software,2013,24(9):2042-2061.

[12]Hou Lvlin,Lao Songyang,Xiao Yandong,et al.Recent progress in controllability of complex network[J].Acta Physica Sinica,2015,64(18):188901-188901.

[13]DeGroot M H.Reaching a consensus[J].Journal of the American StatisticalAssociation,1974,69(346):118-121.

[14]Golub B,Jackson M O.Native learning in social networks: convergence,influence and wisdom of crowds[J].Coalition Theory Network,2010,2(1):112-149.

[15]Jackson M O.Social and economic network[M].Princeton: Princeton University Press,2008.

[16]Liu Y Y,Slotine J J,Barabasi A L.Controllability of complex networks[J].Nature,2011,473(3):167-173.

[17]Jiang Wei,Fang Binxing,Tian Zhihong,et al.Evaluating network security and optimal active defense based on attackdefense game model[J].Chinese Journal of Computers,2009, 32(4):817-827.

[18]Liu Weixin,Zeng Kangfeng,Wu Bin,et al.Alert processing based on attack graph and multi-source analyzing[J].Journal of Communications,2015,36(9):135-144.

[19]Zhang Yongzheng,Fang Binxing,Chi Yue,et al.Risk propagation model for assessing network information systems[J]. Journal of Software,2007,18(1):137-145.

附中文參考文獻(xiàn):

[1]《中國(guó)信息化年鑒》編委會(huì).中國(guó)信息化年鑒2014[M].北京:電子工業(yè)出版,2015.

[4]李舟軍,張俊賢,廖湘科,等.軟件安全漏洞檢測(cè)技術(shù)[J].計(jì)算機(jī)學(xué)報(bào),2015,38(4):717-731.

[6]林闖,汪洋,李泉林.網(wǎng)絡(luò)安全的隨機(jī)模型方法與評(píng)價(jià)技術(shù)[J].計(jì)算機(jī)學(xué)報(bào),2005,28(12):1943-1956.

[10]陳小軍,方濱興,譚慶豐,等.基于概率攻擊圖的內(nèi)部攻擊意圖推斷算法研究[J].計(jì)算機(jī)學(xué)報(bào),2014,37(1):62-72.

[11]高琳,楊建業(yè),覃桂敏.動(dòng)態(tài)網(wǎng)絡(luò)模式挖掘方法及其應(yīng)用[J].軟件學(xué)報(bào),2013,24(9):2042-2061.

[12]侯綠林,老松楊,肖延?xùn)|,等.復(fù)雜網(wǎng)絡(luò)可控性研究現(xiàn)狀綜述[J].物理學(xué)報(bào),2015,64(18):188901-188901.

[17]姜偉,方濱興,田志宏,等.基于攻防博弈模型的網(wǎng)絡(luò)安全測(cè)評(píng)和最優(yōu)主動(dòng)防御[J].計(jì)算機(jī)學(xué)報(bào),2009,32(4):817-827.

[18]劉威歆,鄭康鋒,武斌,等.基于攻擊圖的多源告警關(guān)聯(lián)分析方法[J].通信學(xué)報(bào),2015,36(9):135-144.

[19]張永錚,方濱興,遲悅,等.用于評(píng)估網(wǎng)絡(luò)信息系統(tǒng)的風(fēng)險(xiǎn)傳播模型[J].軟件學(xué)報(bào),2007,18(1):137-145.

LI Yan was born in 1984.He is a Ph.D.candidate at School of Management,Xi’an University of Architecture and Technology,and the member of CCF.His research interests include information countermeasure,network security and system engineering,etc.

李艷（1984—），男，蒙古族，河北承德人，西安建筑科技大學(xué)博士研究生，CCF會(huì)員，主要研究領(lǐng)域?yàn)樾畔?duì)抗，網(wǎng)絡(luò)安全，系統(tǒng)工程等。

HUANG Guangqiu was born in 1964.He received the Ph.D.degree in complex system modeling from Xi’an University of Architecture and Technology in 1995.Now he is a professor and Ph.D.supervisor at Xi’an University of Architecture and Technology.His research interests include network security,complex system modeling and system engineering,etc.

黃光球（1964—），男，湖南桃源人，1995年于西安建筑科技大學(xué)獲得博士學(xué)位，現(xiàn)為西安建筑科技大學(xué)教授、博士生導(dǎo)師，主要研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全，復(fù)雜系統(tǒng)建模，系統(tǒng)工程等。

CAO Lixia was born in 1971.She is a Ph.D.candidate at Xi?an University of Architecture and Technology,and associate professor at Xi?an Technological University.Her research interests include rough set,complex network, operation research and cybernetics,management decision analysis and game theory,etc.

曹黎俠（1971—），女，陜西西安人，西安建筑科技大學(xué)博士研究生，西安理工大學(xué)副教授，主要研究領(lǐng)域?yàn)榇植诩?，?fù)雜網(wǎng)絡(luò)，運(yùn)籌學(xué)與控制論，管理決策分析，博弈論等。

ZHANG Bin was born in 1984.He is a Ph.D.candidate at Xi?an University of Architecture and Technology.His research interests include network security and system engineering,etc.

張斌（1984—），男，陜西渭南人，西安建筑科技大學(xué)博士研究生，主要研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全，系統(tǒng)工程等。

Probability Controllability of Complex Network viaAttack?

LI Yan1+,HUANG Guangqiu1,CAO Lixia1,2,ZHANG Bin1
1.School of Management,Xi’an University ofArchitecture and Technology,Xi’an 710055,China
2.College of Science,Xi’an Technological University,Xi’an 710032,China

E-mail:sy_liyan137@126.com

Computer network is one of the largest and most widely used complex networks,how to improve the accuracy of network security evaluation and promote its practical applicability in large scale networks is the current research hotspot.This paper summarizes the research status and progress in attack model and vulnerability risk assessment.After that,this paper provides a new model which refines the attack graph node to component level and describes the interaction process between the components in the attack step in the form of a directed weighted graph to improve coarse grain size and limitations of the current attack graph.At the same time,through rigorous theoretical deduction,this paper comes out the standard condition of controllability or partial probability controllability for complex attack network,and proves the relationship between the probability controllability and the traditional controllability. The analysis results and the examples show that,if valid defense existed,the complex networks can still provide normal service function in the case of attack and damage.Besides,this paper gives out the concrete method for control-ling network and defense node selection.

attack graph;probability controllability;complex network;network security;vulnerability analysis

2016-02,Accepted 2016-04.

10.3778/j.issn.1673-9418.1603031

A

TP393.08；TP309.5

*The Science and Technology Research and Development Plan of Shaanxi Province under Grant No.2013K1117(陜西省科學(xué)技術(shù)研究發(fā)展計(jì)劃項(xiàng)目);the Special Funds Project for the Construction of Key Disciplines of Shaanxi Province under Grant No.E08001 (陜西省重點(diǎn)學(xué)科建設(shè)專項(xiàng)資金項(xiàng)目);the Science and Technology Project of Shaanxi Provincial Education Department under Grant No.12JK0789(陜西省教育廳科技計(jì)劃項(xiàng)目).

CNKI網(wǎng)絡(luò)優(yōu)先出版:2016-04-19,http://www.cnki.net/kcms/detail/11.5602.TP.20160419.1143.002.html

LI Yan,HUANG Guangqiu,CAO Lixia,et al.Probability controllability of complex network via attack.Journal of Frontiers of Computer Science and Technology,2016,10(10)：1407-1419.