CN102447695B - 一种识别业务系统中关键攻击路径的方法 - Google Patents
一种识别业务系统中关键攻击路径的方法 Download PDFInfo
- Publication number
- CN102447695B CN102447695B CN201110359347.1A CN201110359347A CN102447695B CN 102447695 B CN102447695 B CN 102447695B CN 201110359347 A CN201110359347 A CN 201110359347A CN 102447695 B CN102447695 B CN 102447695B
- Authority
- CN
- China
- Prior art keywords
- fragility
- attack
- utilizes
- assailant
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种识别业务系统中关键攻击路径的方法,属于网络信息安全技术领域。本方法为:1)综合业务系统数据流、系统脆弱性、安全威胁和安全措施各要素,创建业务系统的攻击模型;2)对所建攻击模型进行分析,并基于模型分析结果构建包含所有攻击路径的脆弱性利用图;3)将脆弱性利用图转换为标准有向图,采用最短路径方法对标准有向图进行分析,识别出攻击者能到达各目标的关键攻击路径。本发明具有比传统攻击图更好的可扩展性,同时能有效降低关键攻击路径识别的计算复杂度。
Description
技术领域
本发明属于网络信息安全技术领域,具体涉及一种识别业务系统中关键攻击路径的方法。
背景技术
信息系统承载着组织重要业务功能,为保障信息系统安全性,组织往往会在系统中应用各种安全措施。同时,业务系统不可避免的存在脆弱性,这些脆弱性可能被攻击者利用,使得攻击者控制业务系统中关键节点成为可能,从而对业务系统的连续性以及业务系统中数据的保密性、完整性和可用性造成危害。业务系统中所实施的各种安全措施应该不但能够实现业务系统所规划的安全功能,也应该能够成功抵御攻击者针对业务系统中脆弱性的利用攻击,或者降低攻击者利用脆弱性的后果。
识别业务系统中存在的攻击路径是实现网络安全管理的重要途径。但在一个日益复杂、分布式和异构网络环境中,要识别攻击者攻击业务系统的所有攻击路径存在以下挑战:1)业务系统中的各个脆弱性并不是孤立的,这些脆弱性可能被攻击者关联起来,从而实现更为复杂的针对业务系统的网络攻击;2)业务系统中所实施的安全措施和脆弱性利用攻击之间并不存在简单的映射关系,考虑安全措施对脆弱性利用攻击的效果时需要综合考虑业务系统中所有安全措施的协同情况。
攻击图是一种近年来业界广泛应用的脆弱性利用分析方法。它从攻击者角度出发,基于系统网络配置和脆弱性信息,分析脆弱性利用之间的依赖关系,找出所有可能的攻击路径,以便管理员采取必要措施抵御安全威胁,降低安全风险。按攻击图中节点和边表示的含义不同,可以将攻击图分为状态攻击图和因果关系图。状态攻击图中的节点表示目标网络和攻击者的全局状态,有向边表示单一攻击行为引起的状态转换。状态攻击图由于存在状态空间爆炸问题,不适用于大规模系统的安全性分析;因果关系图中,节点表示系统条件(属性)和原子攻击,有向边表示节点间的因果关系。因果关系图克服了状态攻击图的状态组合爆炸问题,具有更好的可扩展性,能用于大规模网络安全性分析。目前的攻击图大都属于因果关系图。但所采用的攻击图生成方法通常无法综合考虑业务系统所实施的各种具体安全措施对脆弱性利用的影响。实际脆弱性利用攻击过程中,攻击者能力的获取与系统的安全措施、脆弱性和业务流密切相关。以往攻击图生成只是孤立地分析这些要素,缺乏统一分析要素间相互作用的攻击模型,致使分析结果无法有效为实际安全管理活动提供指导。此外,以自定义算法实现攻击模型分析和攻击图生成的方式,与充分利用已有成熟模型分析工具的方式相比,算法自身的验证和实现过程都比较复杂。
实际的网络管理环境中,出于系统可用性、修补成本和技术限制等原因,在识别了业务系统中的攻击路径后,往往不可能对所有攻击路径进行修补,因此,如果能够识别出攻击图中抵达某个攻击目标的关键攻击路径并对其进行抵制,则可以在有限投入情况下达到很好的安全防御效果。但现有关键攻击路径识别方法复杂度非常高,不适合大规模攻击图中的攻击路径识别,或者在识别关键攻击路径时需要预设大量的参数,导致关键攻击路径识别方法在实际场景中不可用。
发明内容
针对上述问题,本发明的目的在于提供一种适用大规模网络的可识别业务系统中关键攻击路径的方法和系统,以方便对业务系统中存在的安全风险进行识别,将安全风险控制在可接受范围之内。根据以上目的,本发明所述的识别业务系统关键攻击路径的方法包括以下步骤:
A)综合业务系统数据流、系统脆弱性、安全威胁和安全措施各要素创建业务系统的攻击模型;
B)根据所创建的具体的攻击模型,采用相应的攻击模型分析方法进行分析,即可得到模型分析结果;基于模型分析结果构建包含所有攻击路径的脆弱性利用图;
C)将脆弱性利用图转换为标准有向图,所述标准有向图中任意节点对之间最多只有一条有向边,采用最短路径方法对标准有向图进行分析,识别出能到达各目标的关键攻击路径。
优选地,所述识别业务系统关键攻击路径方法的步骤A中,攻击模型建模采用颜色Petri网实现。也可以采用其它技术,比如逻辑规则,创建业务系统的攻击模型。
优选地,所述的基于颜色Petri网的攻击模型建模步骤,采用自顶向下的层次建模方法,具体步骤为:
A1)采用颜色Petri网为各业务终端创建颜色Petri网模块;
A2)采用颜色Petri网为各种网络安全措施进行建模,得到各种安全措施的颜色Petri网模块;
A3)根据业务系统数据流和包含业务终端、网络设备和安全措施的业务系统网络拓扑结构创建业务系统颜色Petri模型;
A4)利用所创建的业务终端颜色Petri网模块对业务系统颜色Petri网模型中的各业务终端进行替换,利用创建的安全措施颜色Petri网模块替换业务系统颜色Petri网模型中的安全措施,利用所创建的网络设备颜色petri网替换业务系统颜色Petri网模型中各网络设备,得到基于颜色Petri网的业务系统攻击模型。
优选地,所述识别业务系统中关键攻击路径的方法的步骤A1中基于颜色Petri网为各业务终端创建颜色Petri网模块的步骤中,包括将实现了安全威胁要素建模的威胁代理模块集成到业务终端颜色Petri网模块的步骤,所述威胁代理模拟攻击者控制了业务终端后可能发起的针对该业务终端的自身的脆弱性以及远程终端的脆弱性进行利用的攻击企图,所述远程终端为业务系统中除该业务终端以外的其它业务终端。
优选地,所述识别业务系统中关键攻击路径的方法,将先前建立的代表业务系统脆弱性要素的脆弱性利用模块集成到业务终端颜色Petri网模型的步骤,所述脆弱性利用模块模拟威胁代理模块所发出的攻击报文在抵达包含脆弱性利用模块的业务终端后对所述终端的脆弱性利用行为。如果该业务终端上有漏洞,则该终端上的脆弱性利用模块就会模拟对该脆弱性的利用攻击;如果没有漏洞,则该脆弱性利用模块将不能被激活。
优选地,所述识别业务系统中关键攻击路径的方法,步骤B中基于颜色Petri网的攻击模型分析过程,具体为采用标准颜色Petri网工具对攻击模型进行仿真执行,仿真过程中所发生的所有脆弱性利用动作保存在融合库所SEL中,所述的所有脆弱性利用动作即为攻击模型分析结果。
优选地,所述识别业务系统关键攻击路径的方法,步骤B中所构建的脆弱性利用图为一种攻击图,攻击图中各节点表示攻击者在某终端上可能获取的权限级别,有向边表示攻击者为获取末端点对应终端权限级别所实施的一次脆弱性利用动作,所述的脆弱性利用图构建过程具体步骤为:
B1)生成一个空的脆弱性利用图G,并将代表攻击者初始攻击权限的初始节点ss加入到G的顶点集合V中,所述攻击者初始权限是指攻击者开始攻击前在自己所控制的终端上所拥有的root权限;
B2)根据融合库所SEL中记录的成功的脆弱性利用动作构造脆弱性利用图G。
优选地,所述识别业务系统中关键攻击路径方法,步骤B2中根据融合库所SEL记录的脆弱性利用动作构造脆弱性利用图G的过程,具体步骤为:
B2.1)依次读取SEL中的脆弱性利用动作a,如果读取成功,则执行步骤B2.2,否则执行步骤B2.7;
B2.2)将脆弱性利用动作a分解为st,dt,spr,dpr,vid,pr,rr,其中,st为源主机标识、dt为目标主机标识、spr为源主机最小权限、dpr为目标主机最小权限,vid为脆弱性利用标识,pr为脆弱性利用成功率,rr为脆弱性利用后所获得的攻击者权限;所述spr和dpr可以取值为0(NONE)、1(USER)和2(ROOT);
B2.3)创建以二元组<st,spr>为值的首节点sv和以二元组<dt,dpr>为值的末节点dv,并加入到G中;
B2.4)基于首节点sv和末节点dv构造有向边e,以该脆弱性利用动作相对应的脆弱性编号vid和利用成功率pr的二元组<vid,pr>标记向边e;
B2.5)如果攻击者发起本次攻击a时在源节点st上须具有的最小权限spr值为1(USER),则在图G中创建以<st,2>为值的顶点tv以及创建一条从tv到dv的有向边e2,并以<vid,pr>对标记有向边e2;
B2.6)从融合库所SEL中删除动作a,跳到步骤B2.1继续执行;
B2.7)返回所构造的脆弱性利用图G。
优选地,所述识别业务系统中关键攻击路径的方法,步骤C采用最短路径算法识别出到达预先定义的目标节点集合中各目标的关键攻击路径,具体步骤为:
C1)对脆弱性利用图中任意有序顶点对(v,w)之间等价有向边进行归并,保留攻击利用成功率pr值最大的有向边,得到标准有向图;
C2)采用最短路径方法,求取标准有向图中从初始攻击节点到目标节点集合中各目标的最短路径,所述最短路径为从初始节点到目标节点的攻击成功率最大的攻击路径;
C3)删除标准有向图中不属于任一最短路径的有向边和节点,最后得到从初始节点到各目标节点的关键攻击路径。
优选地,所述识别业务系统关键攻击路径的方法,步骤C2中,采用Dijkstra最短路径算法来识别关键攻击路径。
与现有技术相比,本发明的技术方案优势为:
本发明所述方法采用颜色Petri网实现对业务系统攻击模型的建模,颜色Petri网同时具备控制流和数据流描述能力,也支持层次化设计方法,不仅易于实现系统业务、脆弱性、攻击和安全措施等要素的统一建模,还可以实现对业务系统中各要素的互作用分析,最终能得到所有可能成功穿透系统安全措施的脆弱性利用攻击数据。由本发明所述脆弱性利用图生成方法生成的脆弱性利用图为一种特殊类型的攻击图,其节点表示攻击者在某终端(主机)上可能获取的权限级别,有向边表示攻击者为获取末端点对应终端权限级别所应实施的一次脆弱性利用动作。与传统攻击图不同,脆弱性利用图中一对有序节点之间可能存在多条有向边,这表示攻击者在获得首节点对应终端权限级别后,任意选取从该首节点发出的一条有向边就能够获得末节点对应终端相应权限级别。从攻击者所获得的攻击能力角度看,有序节点对之间的多条有向边是等价的,因此,在分析攻击者获取指定攻击目标的关键攻击路径时,可以将等价的有向边进行归进而简化攻击图,从而使得脆弱性利用图中的节点数量和有向边数量随主机规模呈线性增长,具有比传统攻击图更好的可扩展性。同时,基于各脆弱性利用攻击的攻击成功率信息,可以将脆弱性利用图转化为标准有向图,从而可以利用图论中的最短路径算法计算攻击者抵达攻击目标的关键攻击路径,这样能有效降低关键攻击路径识别的计算复杂度。
附图说明
图1为本发明所述识别业务系统中关键攻击路径的流程图;
图2为基本业务终端的颜色Petri网模块;
图3为威胁代理模块的颜色Petri网模块;
图4为脆弱性利用模块的颜色Petri网模块;
图5为扩展业务终端的颜色Petri网模块;
图6为基于攻击模型仿真结果构建脆弱性利用图流程图;
图7为附图6中第二步具体流程图;
图8为基于脆弱性利用图的关键攻击路径识别流程;
图9为实施例1的业务系统的网络拓扑结构图;
图10为实施例1所构建业务系统攻击模型的顶层颜色Petri网模型;
图11为实施例1所对应的业务系统脆弱性利用图;
图12为实施例1所对应的业务系统关键攻击路径图。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
附图1为本发明所述识别业务系统中关键攻击路径方法的具体工作步骤:
1)综合分析业务系统中的数据流、系统脆弱性、安全威胁和安全措施各要素,并基于这四个要素对业务系统进行攻击模型建模;
2)对第一步创建的攻击模型进行分析,并基于攻击模型分析结果构建可描述业务系统中所有攻击路径的脆弱性利用图;
3)将脆弱性利用图转换为标准有向图,并采用最短路径算法识别出抵达各攻击目标的关键攻击路径。
由于各种原因,业务系统中不可避免的存在各种脆弱性。构建业务系统攻击模型时,需要首先获取业务系统各业务终端上的所有脆弱性信息。业务系统中各业务终端所包含的脆弱性信息可以利用工具对系统中各业务终端进行漏洞扫描获得。本发明所述的漏洞扫描工具包括两类:1)远程漏洞扫描工具,该类漏洞扫描工具一般运行在专门的主机上(COPS、ISS和Nessus等),对远程业务终端进行漏洞扫描,从而获得远程业务终端上的可能被远程利用的各种脆弱性信息;2)本地漏洞扫描工具,该类型漏洞扫描工具一般运行在被扫描业务终端上,对业务终端上的本地脆弱性进行扫描,从而发现各种本地权限提升漏洞。
本发明所述方法同时支持对远程利用和本地利用的脆弱性的分析,因此,需要结合使用本地漏洞扫描和远程漏洞扫描工具来发现各业务终端上的远程和本地脆弱性。
Petri网是一种形式化建模分析工具,拥有严格数学理论基础,能够对分布式系统进行图形化模拟,适用于描述动态系统结构和并发行为。颜色Petri网(ColoredPetri-Net,缩写为CPN)是一种高级Petri网,它结合了Petri网和高级程序语言优点,同时具备控制流和数据流描述能力,并具有更强的模型分析能力,便于描述和分析复杂的系统业务流。因此,本发明选用颜色Petri网作为业务系统攻击模型建模和分析工具。在颜色Petri网中,矩形框代表变迁(Transition),变迁一般用来描述系统中的局部系统行为,椭圆代表库所(Place),库所一般用来描述系统中的变迁发生时的前提条件或属性,或者变迁发生后的状态。
本发明所述攻击模型建模采用自顶向下的层次建模方法实现,具体步骤为:A1)采用颜色Petri网为各业务终端创建颜色Petri网模块;A2)采用颜色Petri网为各种网络安全措施进行建模,得到各种安全措施的颜色Petri网模块;A3)根据业务系统数据流和包含业务终端、网络设备和网络安全措施的业务系统网络拓扑结构创建业务系统颜色Petri网模型;A4)利用所创建的业务终端颜色Petri网模块对业务系统颜色Petri网模型中的各业务终端进行替换,利用所创建的安全措施颜色Petri网模型替换业务系统颜色Petri网中的各网络安全设备,利用所创建的网络设备的颜色Petri网模块替换业务系统颜色Petri网模型中的网络设备,得到基于颜色Petri网的业务系统攻击模型。按照上述方法所创建的业务系统攻击模型综合考虑了业务系统中数据流、安全威胁、脆弱性和安全措施各安全要素,实现攻击者能力分析过程中各安全要素之间影响的分析,从而获取业务系统中所有可能的攻击路径。
在实际网络环境中,系统业务数据流和攻击流报文格式相同,二者区别在于报文载荷内容:前者为正常的业务访问数据,后者为脆弱性利用攻击数据。因此,本发明所述攻击模型统一应用颜色集Message抽象表示,由业务终端产生、发送以及在各终业务端间交互的数据流和攻击流,颜色集Message定义为六元组<sn,dn,st,mt,tt,pt>,其中各颜色域定义描述如下:
sn,dn,分别标识发送方和接收方的终端,如PC、工作站等;
st,应用的服务类型,如HTTP、FTP、MAIL、SSH等;
mt,消息类型,可取值为REQ(请求数据流)和RSP(响应数据流);
tt,编码状态,EF为未经数据加密等数据形式转换处理的数据(或攻击)流,TR表示经转换处理的数据(或攻击)流。
pt,载荷类型,取值为0时,表示该数据流是正常业务数据流;取值非0时,则表示当前数据流为攻击流,且对应的pt值等于该攻击流所利用的脆弱性标识vid。
这里为业务终端所创建的颜色Petri网模块具有通用性,可以描述业务系统中的任何业务终端。同时,通过与后面将要介绍的威胁代理和脆弱性利用模块集成,到业务终端模块中,可以描述业务系统所具有脆弱性的业务终端以及在攻击过程中业务终端的脆弱性利用过程。本发明将只收发正常业务消息的业务终端称为基本终端,将集成了威胁代理和脆弱性利用模块的基本终端称为扩展终端。
如附图2所示,基本终端颜色Petri网模块对业务系统终端接收和发送消息的行为进行建模。其中,名为RcvPrgMessage的变迁是根据业务终端应用配置情况从网络上接收进入业务终端的消息,能被基本终端正确接收的消息要求满足如下两个条件:1)所述消息的目标地址为本业务终端;2)如果所述消息为请求类型消息,则要求在本终端上运行了所述消息类型对应的服务端程序,如果所述消息为响应型消息,要求在本终端上运行了所述消息类型对应的客户端程序。所有正确接收的消息存储在名为ReceivedDataMsg的库所中。所述业务终端所有需要发送的消息存储在名为DataMsgforSent的库所中,变迁名为SendReqMessage和SendRspMessage的变迁分别实现基本终端上请求类型和响应类型消息的发送行为,基本业务终端中对于请求类型消息的发送不设限制条件,表示请求类型的消息可以随时发出,对于响应类型消息的发送条件为:只有在本终端名为ReceivedDataMsg的库所中接收到了本响应消息所对应的请求报文后才能发送。
对于集成了威胁代理和脆弱性利用模块的扩展终端的建模在后面叙述。
攻击者通过利用系统脆弱性来非法获取业务资源访问权限。本发明在构建攻击模型时依据攻击者能力的三个假设:1)攻击者能获取业务系统中各业务终端上的脆弱性、网络拓扑等可利用的系统信息;2)攻击者掌握相关脆弱性的攻击利用方法;3)攻击者是贪婪的,会基于已有攻击资源扩大攻击影响,破坏安全目标。攻击者成功利用业务终端Oi(i∈N)上脆弱性v的前提条件包括:1)v必须在Oi上存在;2)攻击者能从所控制的攻击源访问到Oi目标终端,即存在从攻击源到目标终端之间的访问通路;3)攻击者在源和目标终端上所拥有的当前攻击权限应该满足v被成功利用所须具备的最小权限要求。攻击者成功利用脆弱性v结果表现为攻击者获得可对Oi施加影响的能力:直接影响是对Oi安全属性的破坏;间接影响是攻击者在Oi上获取的用户权限。
本发明所述的攻击模型建模需要实现威胁建模和脆弱性利用建模。所述的威胁建模和脆弱性利用建模在业务终端建模过程中实现。本发明将业务终端上可被攻击者用来生成攻击流的模块称为威胁代理模块,其目的是模拟攻击者侵占该终端后可能发起的针对其它主机的脆弱性利用攻击。业务终端上的威胁代理模块有两种状态:休眠状态和激活状态,当该业务终端未被攻击者控制时,该业务终端上的威胁代理处于休眠状态;当该业务终端被攻击者控制时,该业务终端上的威胁代理处于激活状态。因此,业务终端上的威胁代理能否被激活取决于攻击者在业务终端上所获取的攻击权限。由于业务系统中的各业务终端中都包含威胁代理模块,并且可能存在多个业务终端中的威胁代理处于激活状态,因此本发明所述攻击模型建模方法可实现协同攻击场景建模。
附图3本发明所述的威胁代理颜色Petri网模块,其中名为HostVuls的库所存储了与各业务终端相关的脆弱性信息,其所对应的颜色集为HOSTVULS=<dn,vid,pg>,其中,dn为业务终端标识,vid表示业务终端dn上存在的脆弱性标识,pg表示该脆弱性所依附的应用名称;名为VulProperty的库所存储了与各脆弱性相关的利用条件、脆弱性利用所产生的影响等信息,其所对应颜色集为VULPROPERTY=<vid,pg,mt,vt,or,dr,rr>,其中vid为脆弱性标识,pg为该脆弱性所对应的应用程序名称,mt为该脆弱性利用消息的消息类型,可以取值为REQ(请求类型消息)和RSP(响应类型消息);vt为该脆弱性利用的类型,分为本地脆弱性利用(LOCAL)和远程脆弱性利用(REMOTE);or为攻击者成功利用该脆弱性在源主机所必须具有的最小权限;dr为攻击者成功利用该脆弱性在目标主机所必须具有的最小权限;rr为脆弱性利用攻击成功后攻击者所获得的攻击者权限。名为AttackerCapability的融合库所记录了脆弱性利用攻击过程中攻击者在各业务终端上所获取的攻击权限,其颜色集为ATKHOSTPRIV=<sn,spr>,其中sn为业务终端标识,spr为攻击者在该业务终端上所取得的攻击权限;名为ConstructAttackPKT的变迁根据其哨函数定义的脆弱性利用条件,尝试为每个满足利用条件的系统脆弱性生成攻击流;名为ConstructedAttackPKTs的库所记录了威胁代理被激活后所生成的所有攻击流,目的在于防止同一个变迁绑定(TransitionBinding)在名为ConstructAttackPKT的变迁上被多次触发,使得所创建的颜色Petri网模型的各库所有界,因而所对应的状态图状态数有限。名为LocalAtkMsg和RemoteAtkMsg的库所分别为脆弱性利用攻击流的本地和远程输出接口,其颜色集都为MESSAGE。
附图4为脆弱性利用颜色Petri网模块。名为VulnerabilityExploit的变迁模拟发生在该终端上的脆弱性利用行为,它的哨函数(guard)定义了成功的脆弱性利用的前提条件。当脆弱性利用成功时,攻击者所获得的攻击能力会通过名为VulnerabilityExploit的变迁更新融合库所AttackerCapability体现出来。从变迁VulnerabilityExploit到融合库所AttackerCapability输出弧上的弧表达式定义为“ifrr>dprthen1`(dn,rr)else1`(dn,dpr)”,它表示,只有本次脆弱性利用攻击所获得的攻击者权限rr大于脆弱性利用前的攻击者权限dpr时才更新融合库所AttackerCapability,从而确保攻击过程中攻击者的能力是增长的。
脆弱性利用模块中的名为AtkMsgs的库所存放为业务终端从网络上所接收到的攻击包,其颜色集为MESSAGE;名为FixedHostVuls的融合库所存储了各业务终端上所修复的脆弱性列表,其颜色集为HOSTFIXEDVULSIDS=<dn,vid>,其中dn为业务终端标识,vid为该业务终端上所修复的脆弱性。
脆弱性利用模块的融合库所SuccessExploitList(简称SEL)记录了攻击者所有成功的脆弱性利用行为,它是本发明所述脆弱性利用图构建方法的输入。融合库所SEL中的每个成功执行的脆弱性利用动作a由七元组<sn,dn,spr,dpr,vid,pr,rr>表示,其中:
●sn和dn分别表示a发起的源和目标节点;
●spr和dpr为攻击者发起本次a时在源和目标节点上须具有的最小权限;
●vid为a所利用的脆弱性编号;
●pr表示a利用脆弱性的成功率;
●rr为本次实施a成功后攻击者获得的目标节点权限。
本发明所述方法采用自顶向下的层次设计方法把脆弱性利用和威胁代理模块集成到基本终端颜色Petri网模块中,从而得到扩展终端颜色Petri网模块。附图5为集成了脆弱性利用和威胁代理模块的扩展终端颜色Petri网模块。扩展终端颜色Petri网模块中名为ThreatAgent的置换变迁通过两个输出库所(DataMsgForSent和ReceivedDataMsg)实现与基本终端的集成,该业务终端上的威胁代理ThreatAgent将被激活,它产生远程或本地攻击流,前者直接注入到业务终端中的DataMsgForSent库所,之后通过通信网络抵达攻击目标,模拟远程脆弱性利用;本地攻击流直接注入ReceivedDataMsg库所,由本地终端上的脆弱性利用模块接收,实现本地脆弱性利用攻击的模拟。扩展终端颜色Petri网模块中,名为VulnerabilityExploit的置换变迁通过名为ReceivedDataMsg的库所实现与扩展终端的集成,它从库所ReceivedDataMsg中接收攻击流,实现脆弱性利用的模拟;一旦攻击者获得扩展终端上的攻击权限,该业务终端上的威胁代理ThreatAgent将被激活。
本发明所述攻击模型建模过程包括对业务系统中各种安全措施组件的建模。安全措施组件建模包括通信子网、过滤和转换等安全功能组件的建模。在实施本发明所述攻击模型建模过程中,采用公开文献《一种基于角色访问控制安全机制的形式化评估方法》中完全类似的各种安全功能组件。该公开参考文献的具体信息为:R.Laborde,B.Nasser,F.Grasset,F.Barrere,A.Benzekri,AFormalApproachfortheEvaluationofNetworksSecurityMechanismsBasedonRBACPocilies。ElectronicNotesinTheoreticalComputeScience121(2005)117-142。本领域技术人员通过对上述公开参考文献的阅读完全可以实现这些安全组件的建模。
对于当前业务系统中的各种常见安全设备,都可以通过上述几种安全功能组件组合而成。比如,对于部署在边界上的VPN安全设备,完全可以通过转换和过滤安全功能组件串行组合实现。因此,基于本节所描述的安全措施组件,可以将业务系统中任意网络安全设备转换为由上述颜色Petri网组件组成的颜色Petri网模型,从而能够实现对业务系统的攻击模型建模。
依据上述方法所创建的针对业务系统的攻击模型,可以采用标准的颜色Petri网工具来进行仿真,仿真过程中生成的所有利用脆弱性动作以列表形式保存在融合库所SEL中。可以证明,对由上述方法所构建的颜色Petri网攻击模型的仿真在有限步内必定进入死状态,此时,融合库所AttackerCapability记录了攻击者所获得的最大攻击能力,融合库所SuccessExploitList记录了所有成功的脆弱性利用攻击结果。因此,可以基于融合库所SuccessExploitList的Token值来构建脆弱性利用图。
本发明所述方法基于融合库所SuccessExploitList的Token值来构建脆弱性利用图。脆弱性利用图可显式刻画系统所有可能的攻击路径,明确节点与攻击者获取用户权限的对应关系,便于识别业务系统中所有的可能攻击路径和关键攻击路径。本发明所述脆弱性利用图为一个有向图G={V,E,A,L,s},各元素含义分别为:V是顶点集合,每个顶点由主机标识和攻击者权限级别二元组<h,p>表示,p可取值为1(USER)或2(ROOT);E是有向边e的集合,有向边e表示攻击者的单次脆弱性利用,它由二元组(vid,pr),vid∈VID,pr∈[0,1]表示,其中,vid表示被利用的脆弱性编号,所有的脆弱性利用集合以VID表示;pr表示所述脆弱性的利用成功率;A为攻击者执行的脆弱性利用动作集合,其中每个元素a由所利用脆弱性的编号和利用成功率二元组<vid,pr>表示;L是从E到A的映射函数,记为L:E→A,用于标识e相关的脆弱性利用动作;s∈V为攻击者的初始攻击节点,所述攻击者初始攻击节点为攻击者开始攻击前在自己所完全控制的终端上所拥有的root权限。
在脆弱性利用图G中,任一有序点对(v,w)间可能存在多条等价有向边e,这说明攻击者获得节点v对应用户权限级别后,任选一条有向边e就可获得节点w对应的用户权限级别。为便于描述,对G中任一有向边e的起点和终点分别记为e.s和e.d,相应地,被利用的脆弱性编号为e.vid,其利用成功率为e.pr。
基于融合库所SEL记录的攻击模型仿真结果构建脆弱性利用图的流程如附图6所示。所述的脆弱性利用图生成方法包括如下步骤:
步骤1)生成一个空的脆弱性利用图G,并将代表攻击者初始权限的初始节点ss加入到G的顶点集合V中,所述攻击者初始权限是指攻击者开始攻击前在自己所完全控制的终端上所拥有的root权限;
步骤2)根据SEL融合库所中记录的脆弱性成功利用动作列表构造脆弱性利用图G。
脆弱性利用图生成方法中的步骤2的具体步骤如附图7,具体为:
1)依次读取SEL中的脆弱性利用动作a,如果成功则执行步骤2,否则执行步骤7;
2)将脆弱性利用动作a分解为st,dt,spr,dpr,vid,pr,rr,其中,st为源主机标识、dt为目标主机标识、spr为源主机最小权限、dpr为目标主机最小权限,vid为脆弱性利用标识,pr为脆弱性利用成功率,rr为脆弱性利用后所获得的攻击者权限;
3)创建值为<st,spr>的首节点sv和值为<dt,dpr>的末节点dv,并sv和dv加入到G中;
4)基于首节点sv和末节点dv构造有向边e,以该脆弱性利用动作相应的脆弱性编号vid和利用成功率pr的二元组<vid,pr>标记有向边e;
5)如果攻击者发起本次攻击a时在源节点st上须具有的最小权限spr值为1(USER),则在图G中创建以<st,2>为值的顶点tv以及创建一条从tv到dv的边e2,并以
<vid,pr>标记e2;
6)从融合库所SEL中删除动作a,跳到步骤1继续执行;
7)返回所构造的脆弱性利用图G。
利用附图6中的脆弱性利用图生成方法生成脆弱性利用图G后,就可以识别出破坏业务系统安全需求的所有关键攻击路径。在脆弱性利用图G中,攻击路径是G中的一个有向边序列e0,e1,e2,...en-1,其中,有向边e0的初始节点表示攻击者的初始控制节点,ei.d=ei+1.s,O≤i≤n-2且最后一条有向边en-1的终止节点为破坏了业务系统安全需求的攻击状态节点。
为了从脆弱性利用图G中识别出所有目标节点的关键攻击路径,本发明所述方法将脆弱性利用图转换为标准有向图,再利用标准有向图中的最短路径算法识别出所有的关键攻击路径。在识别关键攻击路径时,需要预先定义每个脆弱性的利用成功率。脆弱性利用成功率是用来衡量攻击者成功利用该脆弱性的难易程度的一种度量,记为pr,pr∈[0,1],pr值越大,则表示所述脆弱性越容易被利用。脆弱性利用成功率受多种因素的影响,包括:脆弱性信息、攻击方法和攻击工具。并且这些要素的公布详细程度也影响脆弱性利用成功率。本发明所述方法中,pr值是一个由预先定义的经验值,该值可以从国际上通用的通用漏洞评分系统(CVSS)中定义的脆弱性利用难度值得到。
在定义了每个脆弱性的脆弱性利用成功率后,就可以定义计算攻击路径的利用成功率。在脆弱性利用图G中,某一长度为n的攻击路径L=(e0,e1,e2,...en-1),ei,=(vidi,pri),0≤i≤n-1的利用成功率Pr定义为记为L.Pr。
在定义了攻击路径利用成功率之后,可以定义关键攻击路径。在脆弱性利用图G中,从初始节点st到目标节点dt之间存在n条攻击路径l1,l2,...ln,各攻击路径的利用成功率分别为Pr1,Pr2,...Prn,则取Pr值最大的那条路径为从st到dt的关键攻击路径,记为
关键攻击路径识别
当针对某一目标存在多条攻击路径时,攻击者往往会选择攻击利用成功率最大的攻击路径。同理,在脆弱性利用图中,当攻击者从初始节点到目标节点存在多条攻击路径时,决定该目标节点安全性的应该是具有最大利用成功率的攻击路径,即关键攻击路径。
本发明所述基于脆弱性利用图的关键攻击路径识别流程如附图8所示,其具体步骤为:
步骤1)对脆弱性利用图中任意有序顶点对(v,w)之间等价有向边进行归并,保留攻击成功率最大的有向边,得到标准有向图;
步骤2)采用最短路径方法,求取标准有向图中从初始攻击节点到目标节点集合中各目标Oi的最短路径,所述最短路径为从初始节点到目标节点的攻击成功率最大的攻击路径;
步骤3)删除标准有向图中不属于任一最短路径的有向边和节点,最后得到从初始节点到各目标节点的关键攻击路径。
在本发明中,步骤2)中所采用的最短路径算法为Dijkstra最短路径方法。当然,本发明也不排除可以采用用其它公知的最短路径计算方法。
实施例1
本实施例所参照的WEB应用业务系统实验环境如附图9所示,配置了如下安全策略:部署在网络信任域边界处的防火墙将网络分成了互联网、内网和DMZ区三个安全域。DMZ区部署的WEB服务器为用户提供WEB服务。内网的内部用户不允许与外网直接连接,防止外部蠕虫病毒等攻击直接进入内网传播,保证WEB服务器对外提供服务。各安全域之间的访问控制策略如下:1)只允许互联网用户访问DMZ区H2上的IISWEB服务和H3上的DNS域名服务;2)DMZ区的H2允许访问H3上的Sendmail服务和内网H4上的MYSQL服务;3)禁止H2和H3直接访问内网中的管理主机H5;4)H5允许直接访问DMZ的H2和H3,及内网的H4。各应用终端的软件配置和脆弱性信息见表1。
表1WEB系统应用终端软件配置及脆弱性信息
首先,采用附图1中描述的攻击模型构建流程构造此WEB系统的攻击模型,即根据系统中业务终端、网络拓扑以及安全措施部署情况,构建业务系统颜色Petri网模型,然后使用预先构建好的业务终端颜色Petri网模块、安全措施颜色Petri网模块和网络设备颜色Petri网模块替换业务系统颜色Petri网模型中的相应对象,得到如附图10所示的基于颜色Petri网的攻击模型。如附图10所示,置换变迁Host0被置换为扩展终端颜色Petri网模块以实现对攻击者所控制主机的建模;置换变迁Host1、Host2、Host3、Host4和Host5分别被置换为扩展终端颜色Petri网模块以实现对业务系统中H1、H2、H3、H4和H5主机终端的建模;置换变迁Internet、EdgeRouter、DMZ和PrivateNetwork被置换为公开文献《一种基于角色访问控制安全机制的形式化评估方法》中的通信子网组件颜色Petri网模块以实现对互联网、整个WEB系统边界、DMZ和内部通信网络的建模;置换变迁TF1和TF2被置换为公开文献《一种基于角色访问控制安全机制的形式化评估方法》中的编码组件转换颜色Petri网模块,以分别实现VPN端点的加解密功能;置换变迁EFW1、EFW2和FW3被置换为公开文献《一种基于角色访问控制安全机制的形式化评估方法》中的过滤组件颜色Petri网模块,以分别实现边界防火墙、DMZ防火墙和内网防火墙的建模,并依据安全策略分别配置相应过滤规则。经过上述的置换后,就得到业务系统所对应的基于颜色Petri网的攻击模型。为使得附图较为简洁,附图10中的个置换变迁被直接相连,在真实的颜色Petri网模型中,这是不允许的,附图中表示他们需要库所来实现两个置换变迁的对接。
利用标准的颜色Petri网工具仿真攻击模型,仿真过程在有限步内结束。仿真结束后,融合库所AttackerCapabilities(攻击者能力)中记录了攻击者脆弱性利用后在各应用终端上最终所获取的用户权限级别,其Mark值为:
Mark(AttackerCapabilities)=1`(H2,2)++1`(H3,2)++1`(H4,2)++1`(H5,2)
此Web系统的攻击模型仿真结束后,融合库所SEL的Token为:
1`[(H0,H2,1,0,1,70,2),(H0,H3,1,0,2,60,2),(H2,H3,1,0,2,60,2),(H2,H3,1,0,5,70,2),
(H2,H5,2,0,6,30,1),(H3,H3,1,0,5,70,2),(H2,H4,1,0,7,70,1),(H3,H5,2,0,3,20,2),
(H5,H4,1,0,7,70,1),(H4,H4,1,1,4,80,2),(H4,H3,1,0,2,60,2),(H3,H2,1,0,1,70,2),
(H4,H3,1,0,5,70,1),(H5,H2,1,0,1,70,2),(H5,H3,1,0,2,60,2),
(H5,H3,1,0,5,70,2),(H4,H2,1,0,1,70,2)]。
融合库所SEL记录了攻击过程中所发生的所有脆弱性利用攻击,每个脆弱性利用攻击对应该库所所表示的攻击动作列表中的一条记录,每条攻击记录包括源主机标识、目标主机标识、源主机最小攻击权限、目标主机最小攻击权限、脆弱性利用编号、脆弱性利用成功率和脆弱性利用成功后在目标主机上所获得的攻击权限。脆弱性利用成功率为一个浮点数,但标准的CPNTools工具并不支持浮点数运算,因此这里将脆弱性利用成功率被放大了100倍。
应用本发明所述脆弱性利用图生成方法构造的脆弱性利用图如附图11所示。从图中可以看出,位于H0的攻击者可首先利用H2上IIS服务器编号为1的缓冲区溢出漏洞,获得H2的超级用户权限;然后以H2为攻击跳板,利用H4上编号为7的脆弱性,获取其普通用户权限;再利用H4编号为4的本地权限提升脆弱性获取H4的超级用户权限,从而获得对WEB系统中数据库对象的完全控制,破坏系统安全属性。
然后,本发明所述的关键攻击路径识别方法对图11中的脆弱性利用图进行处理,得到如附图12所示的包含从初始节点到各目标节点的关键攻击路径的有向图。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明的权利要求的保护范围。
Claims (7)
1.一种识别业务系统中关键攻击路径的方法,其步骤为:
1)综合业务系统数据流、系统脆弱性、安全威胁和安全措施各要素,创建业务系统的攻击模型;其中,采用颜色Petri网创建所述业务系统的攻击模型,其方法为:
A1)采用颜色Petri网为各业务终端创建颜色Petri网模块,即业务终端模块;
A2)采用颜色Petri网为业务系统中各种网络安全措施进行建模,得到各种安全措施的颜色Petri网模块;
A3)根据业务系统数据流和包含业务终端、网络设备、网络安全措施的业务系统网络拓扑结构创建业务系统颜色Petri网模型;
A4)利用所创建的业务终端颜色Petri网模块对业务系统颜色Petri网模型中的各业务终端进行替换,利用创建的安全措施颜色Petri网模块替换业务系统颜色Petri网模型中的网络安全设备,利用创建的网络设备颜色petri网模块替换业务系统颜色Petri网模型中各网络设备,得到基于颜色Petri网的业务系统攻击模型;
2)对所建攻击模型进行分析,即采用标准颜色Petri网工具对所建攻击模型进行仿真执行,仿真过程中所发生的所有脆弱性利用动作保存在融合库所SEL中,并基于模型分析结果构建包含所有攻击路径的脆弱性利用图;其中,所述脆弱性利用图的建立方法为:
B1)生成一个空的脆弱性利用图G,并将代表攻击者初始攻击权限的初始节点ss加入到G的顶点集合V中,所述攻击者初始权限是指攻击者开始攻击前在自己所控制的终端上所拥有的root权限;
B2)根据所述模型分析结果中的脆弱性利用动作构造脆弱性利用图G;
3)将脆弱性利用图转换为标准有向图,采用最短路径方法对标准有向图进行分析,识别出攻击者能到达各目标的关键攻击路径。
2.如权利要求1所述的方法,其特征在于所述业务终端模块中包含一威胁代理模块;所述威胁代理模块用于模拟攻击者控制业务终端后可能发起的针对该终端自身脆弱性以及远程终端脆弱性进行利用的攻击企图。
3.如权利要求2所述的方法,其特征在于所述业务终端模块中还包含一脆弱性利用模块;所述脆弱性利用模块用于模拟所述威胁代理模块所发出的攻击报文在抵达该业务终端后对该业务终端的脆弱性利用行为。
4.如权利要求1所述的方法,其特征在于所述步骤B2)的实现方法为:依次读取所述模型分析结果中的脆弱性利用动作;对于每一读取的动作,进行步骤B2.1)~B2.4),得到所述脆弱性利用图G;
B2.1)将当前动作分解为st、dt、spr、dpr、vid、pr、rr;其中,st为源主机标识,dt为目标主机标识,spr为源主机最小权限,dpr为目标主机最小权限,vid为脆弱性利用标识,pr为脆弱性利用成功率,rr为脆弱性利用后所获得的攻击者权限;
B2.2)创建以二元组<st,spr>为值的首节点sv和以二元组<dt,dpr>为值的末节点dv,并加入到G中;
B2.3)基于首节点sv和末节点dv构造一有向边e,并以二元组<vid,pr>标记有向边e;
B2.4)根据攻击者发起本次攻击动作时在源节点st上须具有的最小权限spr值,在图G中创建一顶点tv,并创建一条从tv到dv的有向边e2,并以<vid,pr>标记该有向边e2。
5.如权利要求4所述的方法,其特征在于将所述脆弱性利用图转换为标准有向图,识别出攻击者能到达各目标的关键攻击路径的方法为:
C1)对所述脆弱性利用图中任意有序顶点对(v,w)之间等价有向边进行归并,保留攻击利用成功率pr值最大的有向边,得到标准有向图;
C2)采用最短路径方法,求取标准有向图中攻击者从初始攻击节点到各目标攻击节点的最短路径;
C3)删除标准有向图中不属于任一最短路径的有向边和节点,最后得到从初始节点到各目标节点的关键攻击路径。
6.如权利要求5所述的方法,其特征在于所述最短路径为从初始节点到目标节点的攻击成功率最大的攻击路径。
7.如权利要求1或5所述的方法,其特征在于采用Dijkstra最短路径算法来识别所述关键攻击路径。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110359347.1A CN102447695B (zh) | 2011-11-14 | 2011-11-14 | 一种识别业务系统中关键攻击路径的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110359347.1A CN102447695B (zh) | 2011-11-14 | 2011-11-14 | 一种识别业务系统中关键攻击路径的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102447695A CN102447695A (zh) | 2012-05-09 |
CN102447695B true CN102447695B (zh) | 2015-12-09 |
Family
ID=46009784
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110359347.1A Expired - Fee Related CN102447695B (zh) | 2011-11-14 | 2011-11-14 | 一种识别业务系统中关键攻击路径的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102447695B (zh) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10216938B2 (en) * | 2014-12-05 | 2019-02-26 | T-Mobile Usa, Inc. | Recombinant threat modeling |
US10574675B2 (en) | 2014-12-05 | 2020-02-25 | T-Mobile Usa, Inc. | Similarity search for discovering multiple vector attacks |
CN104796303B (zh) * | 2015-04-24 | 2018-08-03 | 清华大学 | 一种生成动态数据流的方法及系统 |
CN106709613B (zh) * | 2015-07-16 | 2020-11-27 | 中国科学院信息工程研究所 | 一种适用于工业控制系统的风险评估方法 |
CN107645483B (zh) * | 2016-07-22 | 2021-03-19 | 创新先进技术有限公司 | 风险识别方法、风险识别装置、云风险识别装置及系统 |
CN106789190B (zh) * | 2016-12-05 | 2020-03-06 | 国网河南省电力公司信息通信公司 | 一种电力通信网脆弱性评估及路由优化方法 |
CN108629474B (zh) * | 2017-03-24 | 2021-11-12 | 北京航天计量测试技术研究所 | 基于攻击图模型的流程安全评估方法 |
CN107979589B (zh) * | 2017-10-27 | 2020-12-25 | 杭州安恒信息技术股份有限公司 | 攻击路线展示方法、装置及设备 |
CN110046194A (zh) * | 2019-03-19 | 2019-07-23 | 阿里巴巴集团控股有限公司 | 一种扩展节点关系图的方法、装置和电子设备 |
CN110138788B (zh) * | 2019-05-20 | 2020-07-10 | 北京理工大学 | 一种基于深度指标的脆弱性攻击代价定量评估方法 |
CN110572409B (zh) * | 2019-09-16 | 2021-10-12 | 国家计算机网络与信息安全管理中心 | 工业互联网的安全风险预测方法、装置、设备及存储介质 |
CN111062038B (zh) * | 2019-11-23 | 2022-06-24 | 同济大学 | 一种基于状态空间的智能合约形式化验证系统及方法 |
CN111222159B (zh) * | 2019-12-30 | 2022-07-05 | 中国电子科技集团公司第三十研究所 | 基于图计算技术的云平台数据泄漏路径识别方法 |
CN112015373B (zh) * | 2020-07-28 | 2022-02-11 | 华东师范大学 | 一种基于形式化方法的内生安全应用软件形式建模方法 |
CN112598211A (zh) * | 2020-10-30 | 2021-04-02 | 天津大学 | 基于一致性的分布式电网经济调度注入攻击缓解方法 |
CN113596037B (zh) * | 2021-07-31 | 2023-04-14 | 广州广电研究院有限公司 | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 |
CN114338075B (zh) * | 2021-11-10 | 2024-03-12 | 国网浙江省电力有限公司金华供电公司 | 基于广泛嗅探的攻击对象防御方法 |
CN114362990B (zh) * | 2021-11-12 | 2023-08-29 | 安天科技集团股份有限公司 | 一种攻击路径确定方法、装置、电子设备及可读存储介质 |
CN115061434B (zh) * | 2022-06-01 | 2024-09-06 | 哈尔滨工业大学(威海) | 一种面向大规模工控场景的攻击路径并行规划系统及方法 |
CN115499169A (zh) * | 2022-08-22 | 2022-12-20 | 西安电子科技大学 | 一种基于因果图的多阶段攻击过程重构方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1477811A (zh) * | 2003-07-11 | 2004-02-25 | 北京邮电大学 | 一种网络入侵行为和正常行为的形式化描述方法 |
CN101047542A (zh) * | 2006-03-31 | 2007-10-03 | 中国科学院软件研究所 | 大规模网络安全性分析的方法 |
CN101075917B (zh) * | 2007-07-16 | 2010-08-25 | 华为技术有限公司 | 一种预测网络攻击行为的方法及装置 |
CN101222317A (zh) * | 2007-11-29 | 2008-07-16 | 哈尔滨工程大学 | 一种深度优先的攻击图生成方法 |
CN101420442B (zh) * | 2008-12-11 | 2012-05-16 | 北京航空航天大学 | 基于博弈理论的网络安全风险评估系统 |
-
2011
- 2011-11-14 CN CN201110359347.1A patent/CN102447695B/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN102447695A (zh) | 2012-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102447695B (zh) | 一种识别业务系统中关键攻击路径的方法 | |
KR100448262B1 (ko) | 네트워크 보안 시뮬레이션 시스템 | |
Wu et al. | A hierarchical security framework for defending against sophisticated attacks on wireless sensor networks in smart cities | |
CN105871885B (zh) | 一种网络渗透测试方法 | |
Oppenheimer | Top-down network design | |
Rak et al. | ESSecA: An automated expert system for threat modelling and penetration testing for IoT ecosystems | |
Martins et al. | Towards a systematic threat modeling approach for cyber-physical systems | |
Guttman et al. | Rigorous automated network security management | |
CN102638458B (zh) | 识别脆弱性利用安全威胁并确定相关攻击路径的方法 | |
CN109565500A (zh) | 按需安全性架构 | |
Rahman et al. | A noninvasive threat analyzer for advanced metering infrastructure in smart grid | |
Marchetto et al. | Formally verified latency-aware vnf placement in industrial internet of things | |
Amro et al. | Cyber risk management for autonomous passenger ships using threat-informed defense-in-depth | |
Rahman et al. | A formal framework for network security design synthesis | |
Laborde et al. | A formal approach for the evaluation of network security mechanisms based on RBAC policies | |
Ooi et al. | Intent-driven secure system design: Methodology and implementation | |
CN112398857B (zh) | 防火墙测试方法、装置、计算机设备和存储介质 | |
Acosta et al. | Augmenting attack graphs to represent data link and network layer vulnerabilities | |
Boussard et al. | A process for generating concrete architectures | |
US7971244B1 (en) | Method of determining network penetration | |
You et al. | OpenFlow security threat detection and defense services | |
Hong | Scalable and adaptable security modelling and analysis. | |
Alsaleh et al. | Objective metrics for firewall security: A holistic view | |
Bretting et al. | Vehicle Control Unit Security using Open Source AUTOSAR | |
Priscilla | Top-Down Network Design |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151209 Termination date: 20191114 |
|
CF01 | Termination of patent right due to non-payment of annual fee |