论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　2．3构建动态的贝叶斯攻击图

　　结合入侵检测系统捕获的攻击事件，动态更新每个属相节点的后验概率步骤如算法2所示。

　　算法2DＲA_BAG_generation(SＲABAG，O)

　　输入:用于静态风险评估的贝叶斯攻击图SＲABAG=(S，A，E，Ｒ，T，P)，O为观测到的攻击事件节点集合。

　　输出:用于动态风险评估的贝叶斯攻击图DＲABAG=(S，A，E，Ｒ，T，P，O，Po)。

　　01:初始化攻击图DＲABAG的每个参数为空;

　　02:复制攻击图SＲABAG的每个属性节点、每个攻击节点、每个边、每个关系、LCPD表、先验概率到参数S、A、E、Ｒ、T、P;

　　03:for(eachintrusionevidencenodeOi)

　　04:复制攻击事件节点Oi到参数O;

　　05:for(eachnodeSjinSＲABAG)

　　06:SearchState［Sj］=False;

　　07:endfor(05)

　　08:for(eachnodeSjinSＲABAG)

　　09:if(j=i)

　　10:Po(Sj)=1;

　　11:SearchState［Sj］=True;

　　12:for(eachparentnodeSk∈Pa(Sj));

　　13:while(!SearchState［Sk］)

　　14:使用式(6)计算Po(Sk|Oi)，并复制到参数Po;

　　15:SearchState［Sk］=True;

　　16:endwhile(13)

　　17:Sj=Sk;

　　18:endfor(12)

　　19:endif(09)

　　20:endfor(08)

　　21:DＲA_BAG_generation(SＲABAG，Oi);

　　22:endfor(03)

　　23:returnDＲABAG

　　3、实验验证

　　3．1实验网络场景

　　在给定网络实验环境下，验证所提DＲABAG模型的可行性。

　　该网络包含3个子网络:Internet区域、隔离区域和信任区域。隔离区主要包括1个网络服务器(WebServer，WS)、1个邮件服务器(MailServer，MS)和1个域名服务器(DNSServer，DS)，处于不可信Internet区域和完全可信的信任区域之间，企业一般对外提供的服务在此部署，该区域只能有限的访问信任区域，比如，WS可以通过SQL查询访问信任区域的数据库服务器(DatabaseServer，DBS)。信任区域包括DBS、文件传输服务器(FTPServer，FS)、网关服务器(GatewayServer，GS)以及管理员服务器(AdministrativeServer，AS)，其中，FS主要给WS提供网站相关文件存储服务，DBS主要给MS和WS提供数据库服务。各服务器的网络通信规则通过防火墙系统进行配置。

　　3．2攻击图生成

　　利用OVAL漏洞扫描器获得系统中存在的漏洞信息。采用式(2)计算每个漏洞对应的漏洞利用成功概率。进而将所有漏洞、漏洞的关联关系、网络配置以及网络连通性等信息一同输入到MulVAL工具的input．P文件，最终，以At-116tackGraph．pdf文件可视化展示攻击图。

　　3．3风险计算

　　1)先验概率计算

　　为了避免繁琐，图4中省去了LCPD表，攻击图中各个边上的概率值如表4所示。结合表4中所获得攻击图上每个边的概率值和对应属性状态节点的LCPD表，初始化外部属性节点S1的先验概率P(S1)=0．7，按照2．2节提出的算法1获得每个节点的先验概率。

　　2)后验概率计算

　　使用Snort入侵检测系统捕获各个漏洞利用的攻击行为。当FTP服务器上已检测到攻击事件O2时，按照2．3节提出的所提出的算法2对先验贝叶斯网络进行动态修正。

　　文献只考虑攻击事件的置信度对属性节点一一对应的概率影响，而全面考虑攻击事件的置信度对攻击图的所有属性节点的动态影响，作者给出的后验概率计算方法能更准确地评估风险值。攻击图中每个节点的先验概率和后验概率。通过考虑了入侵检测系统捕获的攻击事件后，每个节点的概率都有明显的提高，可以对网络的安全情况进行更加准确有效的评估。

　　3)最大累积概率攻击路径计算