CN101282332B - 面向网络安全告警关联的攻击图生成系统 - Google Patents
面向网络安全告警关联的攻击图生成系统 Download PDFInfo
- Publication number
- CN101282332B CN101282332B CN2008100378240A CN200810037824A CN101282332B CN 101282332 B CN101282332 B CN 101282332B CN 2008100378240 A CN2008100378240 A CN 2008100378240A CN 200810037824 A CN200810037824 A CN 200810037824A CN 101282332 B CN101282332 B CN 101282332B
- Authority
- CN
- China
- Prior art keywords
- module
- network
- attack
- action
- assailant
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种计算机网络安全技术领域的面向网络安全告警关联的攻击图生成系统,本发明中,网络初始配置信息模块接收用户输入的网络拓扑结构、网关过滤规则,OVAL漏洞扫描报告收集模块收集网络中所有设备的漏洞,网络连通性分析模块将任意两个设备之间的连通性传输给攻击图生成模块;数据结构建立模块针对网络中攻击者状态、设备状态、植入漏洞行为、原子攻击动作、系统状态,分别建立一类数据进行描述;知识库负责存储网络拓扑结构、网关过滤规则、漏洞,供攻击图生成模块调用;攻击图生成模块调用知识库中的信息,生成网络攻击图,并将生成的攻击图传输给攻击图显示模块可视化地显示给用户;本发明系统工作复杂度为O(N5),易于工程实现。
Description
技术领域
本发明涉及一种计算机网络安全技术领域的系统,具体是一种面向网络安全告警关联的攻击图生成系统。
背景技术
随着计算机网络结构的日益复杂,安全管理员需要应对越来越多异构安全设备产生的告警。告警关联技术通过对关联知识的形式化描述,将庞杂无序的网络告警流转换为结构化、易于理解的攻击场景,协助管理员获取有价值的安全态势信息。网络攻击图能够简洁、完备地记录渗透步骤间的依存关系,被认为是关联知识的理想载体。然而,传统的网络攻击图生成方法存在计算复杂度高,无法包含所有潜在的网络攻击路径等问题,从而不适合大规模环境网络安全告警关联的需求。
经对现有技术文献的检索发现,Ritchey学者在2000年IEEE Symposium onSecurity and Privacy(国际电气电子工程协会主办的安全与隐私会议)发表题为Using Model Checking to Analyze Network Vulnerabilities(使用模型检测分析网络漏洞)学术论文,该文中提出使用模型检测(Model Checking)法生成网络攻击图,该方法考虑了诸如主机漏洞、访问权限、渗透方法、网络连通性等安全因素,利用已有的通用模型检测工具找出违反网络安全目标的反例。然而,该方法对攻击模型作了过度简化。此外,状态爆炸问题致使其在分析大规模网络环境时尤其显得力不从心。
经进一步检索发现,为降低复杂度,美国专利号为7194769,专利名称为:NetSPA,A Network Security Planning Architecture(网络安全规划架构),该专利提出了一种攻击路径分析方法,通过单调性假设(即单次攻击的后果不会干扰其它攻击的发生)对状态空间进行合并。这些改进措施对于解决脆弱性评估是完全可行的。然而从告警关联角度,合并的代价是部分潜在攻击路径的丢失,致其无法完备地包含告警关联需要的全部知识。
发明内容
本发明针对上述现有技术的不足,提出一种面向网络安全告警关联的攻击图生成系统,利用反向指针记录所有潜在的攻击路径,并在攻击图生成过程中考虑安全要素的动态变化。
本发明是通过以下技术方案实现的,本发明包括:网络初始配置信息模块、OVAL漏洞扫描报告收集模块、知识库、网络连通性分析模块、数据结构建立模块、攻击图生成模块和攻击图显示模块,其中:
网络初始配置信息模块接收用户输入的网络拓扑结构、网关过滤规则等,并存储到知识库中;
OVAL(开放漏洞评估语言)漏洞扫描报告收集模块由基于开放漏洞评估语言的扫描引擎,收集网络中所有设备的漏洞,并将收集到的漏洞传输到知识库;
网络连通性分析模块读取知识库中的网络拓扑以及网关过滤规则,并将任意两个设备之间的连通性传输给攻击图生成模块;
数据结构建立模块针对网络中攻击者状态、设备状态、植入漏洞行为、原子攻击动作、系统状态等,分别建立一类数据进行描述;
知识库负责存储网络拓扑结构、网关过滤规则、漏洞,供攻击图生成模块调用;
攻击图生成模块调用知识库中存储的信息,并利用数据结构建立模块建立的数据,根据攻击动作对象在演化中是否被应用,分别分配动作对象和状态对象之间的反向指针或正向指针,生成网络攻击图,并将生成的网络攻击图传输给攻击图显示模块;
攻击图显示模块负责将攻击图生成模块生成的网络攻击图可视化地显示给用户。
所述数据结构建立模块,其建立七类数据:Attacker(攻击者)、Device(设备)、VulImplant(漏洞植入)、Exploit(原子攻击)、AddAllPass(全通规则添加)、Item(属性元素)与Mark(标记),其中,Attacker与Device类表征网络安全状态,VulImplant、Exploit与AddAllPass类表征上述状态下可能发生的动作,Item与Mark表征属性元素及其标记。
所述数据结构建立模块,其建立的数据类具体如下:
数据类Attacker表征攻击者状态,包括:攻击者权限集Cap、知识集Ck,集合元素均为Item对象;
数据类Device表征主机、网关等设备状态,包括:设备信任关系集Ctr、设备漏洞集Cvul、设备过滤规则集Cfltr(若设备代表网关),集合元素均为Item对象;
数据类VulImplant表征攻击者向目标设备植入漏洞的行为,VulImplant对象应用于攻击者或目标设备的任意组合,通过Prereq表征植入条件,植入条件包含攻击者在目标设备上的特定权限项及两者间的网络连通性,当Prereq满足植入条件时,漏洞标识Vul被加入目标设备的设备漏洞集Cvul,并将Conseq指示的新信任关系项加入目标设备的设备信任关系集Ctr中;
数据类Exploit表征原子攻击动作,Exploit对象应用于攻击者、源设备或目标设备的所有组合,通过Prereq表征攻击条件,攻击条件包含攻击者知识项、攻击者对源设备及目标设备上的权限项及其两两之间网络连通性,当Prereq满足攻击条件时,Conseq指示的新权限项加入目标设备的设备信任关系集Ctr,Conseq指示的新知识项加入攻击者的知识集Ck;
数据类AddAllPass表征攻击者向目标设备添加全通规则动作,其成员变量Prereq表征规则添加条件,规则添加条件一般是攻击者在目标设备上的权限及两者间连通性;
数据类Item表征状态对象具有的属性元素,包括:权限、知识、漏洞等,通过变量Type指示属性元素类型,Value指示元素值,Cm是该元素绑定的Mark对象集;
数据类Mark指示Item对象是哪一个动作对象产生的,通过Value指示产生Item对象的源动作对象,Fresh指示Mark对象是否是新生成的。
所述数据类Item,其对象分为两类,一类是初始状态下的Item对象,另一类是状态演化过程中产生的Item对象,初始状态下,所有Item对象的标记集合Cm均包含唯一的标记mark0={x0(null,null,null),true},表示Item对象产生于初始Exploit对象x0(null,null,null),且是新生成的。
所述攻击图生成模块,包括:动作对象池模块、状态对象池模块、权限传播模块、动作评估与应用模块、反向标记模块、攻击图构建模块、目标检测模块、目标定义模块和终止条件检测模块,其中:
动作对象池模块包含攻击者可能发起的动作集合,并供动作评估与应用模块调用;
状态对象池模块包含系统设备和网络状态,状态对象池模块中的状态对象不断演化直至终止条件被满足;
权限传播模块获取状态对象池模块中的系统设备和网络状态,根据设备间的信任关系重新整理攻击者权限,重新整理攻击者权限的过程反复进行,直至攻击者权限不再扩大为止;
动作评估与应用模块在演化初态下对动作对象池模块中所有原子攻击、漏洞植入、规则添加等动作对进行评估与应用,如动作对象前件得到满足,则根据前件标记情况决定动作对象在本轮演化中是否被应用,并将处理的结果传输给攻击图构建模块;
反向标记模块将演化初态下所有Item对象标记集中的标记设置为Fresh等于false,而后根据本轮应用的动作对象产生新的标记,并置Fresh等于ture,将其加入相应的新Item对象的标记集合中;
攻击图构建模块根据动作评估与应用模块的结果构建攻击图片段,生成状态图形节点类记录本轮演化后的状态,对于在本轮演化前未被应用而在本轮演化中被应用的动作对象,生成动作图形节点类记录该对象,分配从前一轮状态图形节点指向当前动作图形节点以及从当前动作图形节点指向本轮状态图形节点的正向指针;对于已被应用但近一轮前件重新满足的动作对象,找出记录该对象的已有图形节点,分配从前一轮状态图形节点指向已有图形节点的反向指针;
目标定义模块定义攻击目标所需满足的条件;
目标检测模块检测经过演化后状态是否满足目标定义模块所定义的攻击目标,如果某个攻击目标得到满足,生成目标图形节点类,并分配从本轮状态节点指向目标图形节点的指针;
终止条件检测模块检测演化是否应当终止,当某一轮演化中没有新的动作被应用,表明网络状态已达到收敛,演化过程即可终止。
本发明工作时,网络初始配置信息模块接收用户输入的网络拓扑结构、网关过滤规则,OVAL漏洞扫描报告收集模块收集网络中所有设备的漏洞,网络连通性分析模块将任意两个设备之间的连通性传输给攻击图生成模块;数据结构建立模块针对网络中攻击者状态、设备状态、植入漏洞行为、原子攻击动作、系统状态,分别建立一类数据进行描述;知识库负责存储网络拓扑结构、网关过滤规则、漏洞,供攻击图生成模块调用;攻击图生成模块调用知识库中存储的信息,并利用数据结构建立模块建立的数据,根据攻击动作对象在演化中是否被应用,分别分配动作对象和状态对象之间的反向指针或正向指针,生成网络攻击图,并将生成的网络攻击图,并将生成的攻击图传输给攻击图显示模块可视化地显示给用户;
与现有技术相比,本发明具有如下有益效果:本发明提出的攻击图生成系统采用面向对象形式,算法复杂度为O(N5),易于工程实现,而且利用反向指针记录所有潜在的攻击路径的方法,可完备地包含报警关联所需的知识。
附图说明
图1为本发明的系统结构框图;
图2为本发明的攻击图生成模块的结构框图;
图3为本发明的实施例中所生成的网络攻击图。
具体实施方式
下面结合附图对本发明的实施例作详细说明:本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
如图1所示,本实施例包括:网络初始配置信息模块、OVAL漏洞扫描报告收集模块、知识库、网络连通性分析模块、数据结构建立模块、攻击图生成模块和攻击图显示模块,其中:
网络初始配置信息模块接收用户输入的网络拓扑结构、网关过滤规则等,并存储到知识库中;
OVAL漏洞扫描报告收集模块由基于开放漏洞评估语言的扫描引擎,收集网络中所有设备的漏洞,并将收集到的漏洞传输到知识库;
网络连通性分析模块读取知识库中的网络拓扑以及网关过滤规则,并将任意两个设备之间的连通性传输给攻击图生成模块;
数据结构建立模块针对网络中攻击者状态、设备状态、植入漏洞行为、原子攻击动作、系统状态等,分别建立一类数据进行描述;
知识库负责存储网络拓扑结构、网关过滤规则、漏洞,供攻击图生成模块调用;
攻击图生成模块调用知识库中存储的信息,并利用数据结构建立模块建立的数据,根据攻击动作对象在演化中是否被应用,分配动作对象和状态对象之间的反向指针或正向指针,生成网络攻击图,并将生成的网络攻击图传输给攻击图显示模块;
攻击图显示模块负责将攻击图生成模块生成的网络攻击图可视化地显示给用户。
所述数据结构建立模块,其建立了七类数据:Attacker(攻击者)、Device(设备)、VulImplant(漏洞植入)、Exploit(原子攻击)、AddAllPass(全通规则添加)、Item(属性元素)与Mark(标记),其中,Attacker与Device类表征网络安全状态,VulImplant、Exploit与AddAllPass类表征上述状态下可能发生的动作,Item与Mark表征属性元素及其标记,其建立的数据类具体如下:
数据类Attacker表征攻击者状态,包括:攻击者权限集Cap、知识集Ck,集合元素均为Item对象,建立数据类Attacker的具体形式为:class Attacker{Set Cap;Set Ck};
数据类Device表征主机、网关等设备状态,包括:设备信任关系集Ctr、设备漏洞集Cvul、设备过滤规则集Cfltr(若设备代表网关),集合元素均为Item对象,建立数据类Device的具体形式为:class Device{Set Ctr;Set Cvul;SetCfltr};
数据类VulImplant表征攻击者向目标设备植入漏洞的行为,VulImplant对象应用于攻击者或目标设备的任意组合,通过Prereq表征植入条件,植入条件包含攻击者在目标设备上的特定权限项及两者间的网络连通性,当Prereq满足植入条件时,漏洞标识Vul被加入目标设备的设备漏洞集Cvul,并将Conseq指示的新信任关系项加入目标设备的设备信任关系集Ctr中,建立数据类VulImplant的具体形式为:class VulImplant{String Prereq;String Vul;StringConseq};
数据类Exploit表征原子攻击动作,Exploit对象应用于攻击者、源设备或目标设备的所有组合,通过Prereq表征攻击条件,攻击条件包含攻击者知识项、攻击者对源设备及目标设备上的权限项及其两两之间网络连通性,当Prereq满足攻击条件时,Conseq指示的新权限项加入目标设备的设备信任关系集Ctr,Conseq指示的新知识项加入攻击者的知识集Ck,建立数据类Exploit的具体形式为:class Exploit{String Prereq;String Conseq};
数据类AddAllPass表征攻击者向目标设备添加全通规则动作,其成员变量Prereq表征规则添加条件,规则添加条件一般是攻击者在目标设备上的权限及两者间连通性,建立数据类AddAllPassclass的具体形式为:AddAllPass{String Prereq};
数据类Item表征状态对象具有的属性元素,包括:权限、知识、漏洞等,通过变量Type指示属性元素类型,Value指示元素值,Cm是该元素绑定的Mark对象集,建立数据类Item的具体形式为:class Item{int Type;String Value;Set Cm};
数据类Mark指示Item对象是哪一个动作对象产生的,通过Value指示产生Item对象的源动作对象,Fresh指示Mark对象是否是新生成的,建立数据类Mark的具体形式为:class Mark{String Value,boolean Fresh}。
所述数据类Item,其对象分为两类,一类是初始状态下的Item对象,另一类是状态演化过程中产生的Item对象,初始状态下,所有Item对象的标记集合Cm均包含唯一的标记mark0={x0(null,null,null),true},表示Item对象产生于初始Exploit对象x0(null,null,null),且是新生成的。
如图2所示,所述攻击图生成模块,包括:动作对象池模块、状态对象池模块、权限传播模块、动作评估与应用模块、反向标记模块、攻击图构建模块、目标检测模块、目标定义模块和终止条件检测模块,其中:
动作对象池模块包含攻击者可能发起的动作集合,并供动作评估与应用模块调用;
状态对象池模块包含系统设备和网络状态,状态对象池模块中的状态对象不断演化直至终止条件被满足。
权限传播模块获取状态对象池模块中的系统设备和网络状态,根据设备间的信任关系重新整理攻击者权限,重新整理攻击者权限的过程反复进行,直至攻击者权限不再扩大为止;
动作评估与应用模块在演化初态下对动作对象池模块中所有原子攻击、漏洞植入、规则添加等动作对进行评估与应用,假如动作对象前件得到满足,则根据前件标记情况决定动作对象在本轮演化中是否被应用:
①对象所有前件属性元素Item的标记集Cm都不包含Fresh=true的标记,表明对象所有前件项在本轮演化前就已得到满足,对象必定在之前演化中就被应用过,因而本轮演化不再被应用;
②对象至少存在一个前件属性元素Item的标记集Cm含有Fresh=true的标记,且该标记是Cm中的唯一标记,则表明动作对象前件中有本轮演化前从未得到满足的属性元素,即对象在本轮演化前未被应用过,因而本轮中应被应用;
③对象至少存在一个前件属性元素Item的标记集Cm中含有用Fresh=true的标记,且所有Fresh=ture的标记都不是Cm中的唯一标记,则表明对象之前虽已被应用,但最近一轮演化中发生的攻击使得对象前件重又得到满足,即存在另一条攻击路径导向该动作对象,该对象虽不再被应用,图形构建时将分配一个从本轮演化初态指向该对象的反向指针以记录新路径;
反向标记模块将演化初态下所有Item对象标记集中的标记设置为Fresh等于false,而后根据本轮应用的动作对象产生新的标记,并置Fresh等于ture,将其加入相应的新Item对象的标记集合中;
攻击图构建模块根据动作评估与应用模块的结果构建攻击图片段,生成状态图形节点类StateVertex实例staten以记录本轮演化后的状态,设本轮为第n轮演化,而后对于动作评估与应用模块输出结果中符合第②种情形的动作对象,生成动作图形节点类ActionVertex实例ak(设已有k-1个对象被应用)记录该对象,最后分配从staten-1指向ak以及从ak指向staten的正向指针;对于动作评估与应用模块输出结果中符合第③种情形的动作对象,找出记录该对象的已有图形节点aold,分配从staten-1指向aold的反向指针;
目标定义模块定义攻击目标所需满足的条件;
目标检测模块检测经过演化后状态是否满足目标定义模块所定义的攻击目标,如果某个攻击目标得到满足,生成目标图形节点类GoalVertex实例gk并分配从staten指向gk的指针;
终止条件检测模块检测演化是否应当终止,当某一轮演化中没有新的动作被应用,表明网络状态已达到收敛,演化过程即可终止。
本实施例工作时,网络初始配置信息模块接收用户输入的网络拓扑结构、网关过滤规则,OVAL漏洞扫描报告收集模块收集网络中所有设备的漏洞,网络连通性分析模块将任意两个设备之间的连通性传输给攻击图生成模块;数据结构建立模块针对网络中攻击者状态、设备状态、植入漏洞行为、原子攻击动作、系统状态,分别建立一类数据进行描述;知识库负责存储网络拓扑结构、网关过滤规则、漏洞,供攻击图生成模块调用;攻击图生成模块调用知识库中存储的信息,并利用数据结构建立模块建立的数据,根据攻击动作对象在演化中是否被应用,分别分配动作对象和状态对象之间的反向指针或正向指针,生成网络攻击图,并将生成的网络攻击图,并将生成的攻击图传输给攻击图显示模块可视化地显示给用户;
如图3所示,为网络攻击图表示模块显示出的攻击图,图中,圆形表示状态节点,矩形表示动作节点,三角形表示目标节点,实线表示前向指针,虚线表示反向指针,其中,state0、state1、…、stateN均表示状态节点,a1、a2、…aN均表示动作节点,g1、gM均表示目标节点集合。
本实施例采用面向对象形式,算法复杂度为O(N5),易于工程实现,而且利用反向指针记录所有潜在的攻击路径的方法,可完备地包含报警关联所需的知识。
Claims (5)
1.一种面向网络安全告警关联的攻击图生成系统,包括:网络初始配置信息模块、开放漏洞评估语言漏洞扫描报告收集模块、知识库,其特征在于,还包括:网络连通性分析模块、数据结构建立模块、攻击图生成模块和攻击图显示模块,其中:
网络初始配置信息模块接收用户输入的网络拓扑结构、网关过滤规则,并存储到知识库中;
开放漏洞评估语言漏洞扫描报告收集模块由基于开放漏洞评估语言的扫描引擎,收集网络中所有设备的漏洞,并将收集到的漏洞传输到知识库;
网络连通性分析模块读取知识库中的网络拓扑以及网关过滤规则,并将任意两个设备之间的连通性传输给攻击图生成模块;
数据结构建立模块针对网络中攻击者状态、设备状态、植入漏洞行为、原子攻击动作、系统状态,分别建立一类数据进行描述;
知识库负责存储网络拓扑结构、网关过滤规则、漏洞,供攻击图生成模块调用;
攻击图生成模块调用知识库中存储的信息,并利用数据结构建立模块建立的数据,根据攻击动作对象在演化中是否被应用,分别分配动作对象和状态对象之间的反向指针或正向指针,生成网络攻击图,并将生成的网络攻击图传输给攻击图显示模块;
攻击图显示模块负责将攻击图生成模块生成的网络攻击图可视化地显示给用户。
2.根据权利要求1所述的面向网络安全告警关联的攻击图生成系统,其特征是,所述数据结构建立模块,其建立七类数据:攻击者Attacker、设备Device、漏洞植入VulImplant、原子攻击Exploit、全通规则添加AddAllPass、属性元素Item 与标记Mark,其中,Attacker与Device类表征网络安全状态,VulImplant、Exploit与AddAllPass类表征上述状态下可能发生的动作,Item与Mark表征属性元素及其标记。
3.根据权利要求2所述的面向网络安全告警关联的攻击图生成系统,其特征是,所述数据结构建立模块,其建立的数据类具体如下:
数据类Attacker表征攻击者状态,包括:攻击者权限集Cap、知识集Ck,集合元素均为Item对象;
数据类Device表征主机、网关设备的状态,包括:设备信任关系集Ctr、设备漏洞集Cvul、设备过滤规则集Cfltr,集合元素均为Item对象;
数据类VulImplant表征攻击者向目标设备植入漏洞的行为,VulImplant对象应用于攻击者或目标设备的任意组合,通过Prereq表征植入条件,植入条件包含攻击者在目标设备上的特定权限项及两者间的网络连通性,当Prereq满足植入条件时,漏洞标识Vul被加入目标设备的设备漏洞集Cvul,并将Conseq指示的新信任关系项加入目标设备的设备信任关系集Ctr中;
数据类Exploit表征原子攻击动作,Exploit对象应用于攻击者、源设备或目标设备的所有组合,通过Prereq表征攻击条件,攻击条件包含攻击者知识项、攻击者对源设备及目标设备上的权限项及其两两之间网络连通性,当Prereq满足攻击条件时,Conseq指示的新权限项加入目标设备的设备信任关系集Ctr,Conseq指示的新知识项加入攻击者的知识集Ck;
数据类AddAllPass表征攻击者向目标设备添加全通规则动作,其成员变量Prereq表征规则添加条件,规则添加条件一般是攻击者在目标设备上的权限及两者间连通性;
数据类Item表征状态对象具有的属性元素,包括:权限、知识、漏洞,通过变量Type指示属性元素类型,Value指示元素值,Cm是该元素绑定的Mark对象集;
数据类Mark指示Item对象是哪一个动作对象产生的,通过Value指示产生Item对象的源动作对象,Fresh指示Mark对象是否是新生成的。
4.根据权利要求3所述的面向网络安全告警关联的攻击图生成系统,其特征是,所述数据类Item,其对象分为两类,一类是初始状态下的Item对象,另一类是状态演化过程中产生的Item对象,初始状态下,所有Item对象的标记集合Cm均包含唯一的标记mark0={x0(null,null,null),true},表示Item对象产生于初始Exploit对象x0(null,null,null),且是新生成的。
5.根据权利要求1所述的面向网络安全告警关联的攻击图生成系统,其特征是,所述攻击图生成模块,包括:动作对象池模块、状态对象池模块、权限传播模块、动作评估与应用模块、反向标记模块、攻击图构建模块、目标检测模块、目标定义模块和终止条件检测模块,其中:
动作对象池模块包含攻击者可能发起的动作集合,并供动作评估与应用模块调用;
状态对象池模块包含系统设备和网络状态,状态对象池模块中的状态对象不断演化直至终止条件被满足;
权限传播模块获取状态对象池模块中的系统设备和网络状态,根据设备间的信任关系重新整理攻击者权限,重新整理攻击者权限的过程反复进行,直至攻击者权限不再扩大为止;
动作评估与应用模块接收网络连通性分析模块输入的设备间的连通性,在演化初态下对动作对象池模块中所有原子攻击、漏洞植入、规则添加动作对进行评估与应用,如动作对象前件得到满足,则根据前件标记情况决定动作对象在本轮演化中是否被应用,并将处理的结果传输给攻击图构建模块;
反向标记模块将演化初态下所有Item对象标记集中的标记设置为Fresh等于false,而后根据本轮应用的动作对象产生新的标记,并置Fresh等于true,将其加入相应的新Item对象的标记集合中;
攻击图构建模块根据动作评估与应用模块的结果构建攻击图片段,生成状态图形节点类记录本轮演化后的状态,对于在本轮演化前未被应用而在本轮演化中被应用的动作对象,生成动作图形节点类记录该对象,分配从前一轮状态图形节点指向当前动作图形节点以及从当前动作图形节点指向本轮状态图形节点的正向指针;对于已被应用但近一轮前件重新满足的动作对象,找出记录该对象的已有图形节点,分配从前一轮状态图形节点指向已有图形节点的反向指针;
目标定义模块定义攻击目标所需满足的条件;
目标检测模块检测经过演化后状态是否满足目标定义模块所定义的攻击目标,如果某个攻击目标得到满足,生成目标图形节点类,并分配从本轮状态节点指向目标图形节点的指针;
终止条件检测模块检测演化是否应当终止,当某一轮演化中没有新的动作被应用,表明网络状态已达到收敛,演化过程即可终止。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100378240A CN101282332B (zh) | 2008-05-22 | 2008-05-22 | 面向网络安全告警关联的攻击图生成系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100378240A CN101282332B (zh) | 2008-05-22 | 2008-05-22 | 面向网络安全告警关联的攻击图生成系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101282332A CN101282332A (zh) | 2008-10-08 |
| CN101282332B true CN101282332B (zh) | 2011-05-11 |
Family
ID=40014609
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100378240A Expired - Fee Related CN101282332B (zh) | 2008-05-22 | 2008-05-22 | 面向网络安全告警关联的攻击图生成系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101282332B (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101699815B (zh) * | 2009-10-30 | 2012-08-15 | 华南师范大学 | 一种网络攻击自动执行/展现的系统及方法 |
| US9230067B2 (en) | 2010-12-21 | 2016-01-05 | Antaios (Beijing) Information Technology Co., Ltd. | Method for normalizing a computer system |
| CN102413012B (zh) * | 2011-11-21 | 2014-06-18 | 上海交通大学 | 计算机网络连通性自动分析系统 |
| CN103366120A (zh) * | 2012-04-10 | 2013-10-23 | 中国信息安全测评中心 | 基于脚本的漏洞攻击图生成方法 |
| CN104348652A (zh) * | 2013-08-06 | 2015-02-11 | 南京理工大学常熟研究院有限公司 | 基于关联分析的系统安全评估方法和装置 |
| CN107038161B (zh) * | 2015-07-13 | 2021-03-26 | 阿里巴巴集团控股有限公司 | 一种用于过滤数据的设备及方法 |
| CN106338975B (zh) * | 2016-09-21 | 2018-12-04 | 浙江中控技术股份有限公司 | 一种报警归并方法及报警归并系统 |
| CN106921653B (zh) * | 2017-01-25 | 2022-03-18 | 全球能源互联网研究院 | 一种针对网络脆弱性的加固策略生成方法 |
| CN107040552A (zh) * | 2017-06-13 | 2017-08-11 | 上海斗象信息科技有限公司 | 网络攻击路径预测方法 |
| CN109194693B (zh) * | 2018-10-30 | 2021-04-27 | 福州大学 | 一种网络攻击模式图的生成方法 |
| CN110533754A (zh) * | 2019-08-26 | 2019-12-03 | 哈尔滨工业大学(威海) | 基于大规模工控网络的交互式攻击图展示系统及展示方法 |
| CN111787007B (zh) * | 2020-06-30 | 2022-09-16 | 北京天融信网络安全技术有限公司 | 信息处理方法、装置、电子设备及存储介质 |
| CN111651773B (zh) * | 2020-08-05 | 2020-11-06 | 成都无糖信息技术有限公司 | 一种二进制安全漏洞自动化挖掘方法 |
| CN112202764B (zh) * | 2020-09-28 | 2023-05-19 | 中远海运科技股份有限公司 | 网络攻击链路可视化系统、方法和服务器 |
| CN112256791A (zh) * | 2020-10-27 | 2021-01-22 | 北京微步在线科技有限公司 | 一种网络攻击事件的展示方法及存储介质 |
| CN113094715B (zh) * | 2021-04-20 | 2023-08-04 | 国家计算机网络与信息安全管理中心 | 一种基于知识图谱的网络安全动态预警系统 |
| CN113810406B (zh) * | 2021-09-15 | 2023-04-07 | 浙江工业大学 | 一种基于动态防御图与强化学习的网络空间安全防御方法 |
| CN114039876A (zh) * | 2021-11-10 | 2022-02-11 | 安天科技集团股份有限公司 | 一种网络攻击信息展示方法、装置、电子设备及存储介质 |
| CN115396169B (zh) * | 2022-08-18 | 2024-06-25 | 上海交通大学 | 基于ttp的多步骤攻击检测与场景还原的方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007143226A2 (en) * | 2006-06-09 | 2007-12-13 | Massachusetts Institute Of Technology | Generating a multiple-prerequisite attack graph |
| CN101162993A (zh) * | 2007-11-29 | 2008-04-16 | 哈尔滨工程大学 | 一种网络风险分析方法 |
-
2008
- 2008-05-22 CN CN2008100378240A patent/CN101282332B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007143226A2 (en) * | 2006-06-09 | 2007-12-13 | Massachusetts Institute Of Technology | Generating a multiple-prerequisite attack graph |
| CN101162993A (zh) * | 2007-11-29 | 2008-04-16 | 哈尔滨工程大学 | 一种网络风险分析方法 |
Non-Patent Citations (2)
| Title |
|---|
| 崔建清.基于攻击图的网络安全分析方法研究.《信息安全与通信保密》.2008,44-46. * |
| 张继业.基于攻击图的渗透测试模型设计.《计算机安全》.2005,10-13. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101282332A (zh) | 2008-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101282332B (zh) | 面向网络安全告警关联的攻击图生成系统 | |
| Liu et al. | Review on cyber-physical systems | |
| EP3152869B1 (en) | Real-time model of states of monitored devices | |
| Thouti et al. | Investigation on identify the multiple issues in IoT devices using Convolutional Neural Network | |
| Wu et al. | An adaptive multilevel indexing method for disaster service discovery | |
| Sun et al. | Network security technology of intelligent information terminal based on mobile internet of things | |
| CN109769002A (zh) | 一种基于区块链技术的分布式协同物联网异常检测方法 | |
| Zhang | Global behavior of a computer virus propagation model on multilayer networks | |
| Gillies et al. | Probabilistic approaches to estimating the quality of information in military sensor networks | |
| Zhang et al. | Building network attack graph for alert causal correlation | |
| Alrimawi et al. | Software engineering challenges for investigating cyber-physical incidents | |
| Sadineni et al. | Ready-iot: A novel forensic readiness model for internet of things | |
| Farea et al. | Detections of iot attacks via machine learning-based approaches with cooja | |
| Sen et al. | On holistic multi-step cyberattack detection via a graph-based correlation approach | |
| Yan et al. | A Novel OBDD‐Based Reliability Evaluation Algorithm for Wireless Sensor Networks on the Multicast Model | |
| Sumit | A Review of Intelligent Transportation Systems in Existing Framework using IoT | |
| Dowling et al. | Data-centric framework for adaptive smart city honeynets | |
| Ali et al. | Probabilistic model checking for AMI intrusion detection | |
| Dibaei et al. | TSIS: a trust-based scheme for increasing security in wireless sensor networks | |
| Radivilova et al. | Statistical and Signature Analysis Methods of Intrusion Detection | |
| Khiabani et al. | Leveraging remote attestation to enhance the unified trust model for wsns | |
| Kalnoor et al. | Minimizing energy consumption for intrusion detection model in wireless sensor network | |
| CN112637142B (zh) | 基于电力网络环境下的安全威胁追溯方法及系统 | |
| Sadotra et al. | Intrusion Detection in Networks Security: A New Proposed Min-Min Algorithm. | |
| Jung et al. | Dealing with uncertainty in context-aware mobile applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110511 Termination date: 20150522 |
|
| EXPY | Termination of patent right or utility model |