CN103366120A - 基于脚本的漏洞攻击图生成方法 - Google Patents
基于脚本的漏洞攻击图生成方法 Download PDFInfo
- Publication number
- CN103366120A CN103366120A CN201210102992XA CN201210102992A CN103366120A CN 103366120 A CN103366120 A CN 103366120A CN 201210102992X A CN201210102992X A CN 201210102992XA CN 201210102992 A CN201210102992 A CN 201210102992A CN 103366120 A CN103366120 A CN 103366120A
- Authority
- CN
- China
- Prior art keywords
- leak
- attack
- script
- correlation
- key word
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种基于脚本的漏洞攻击图产生方法,属于计算机信息安全技术领域,其步骤包括:生成攻击脚本、提取关键字、计算漏洞信息与关键字的相关度、生成候选漏洞集合以及在候选漏洞中进行排列组合得到攻击图。本发明的优点有:将不明确采用文字描述的漏洞信息明确化,便于计算机系统对漏洞记录数据进行智能化处理;区别于基于普通的关键字匹配的查询,本发明利用TF-IDF算法定量的衡量漏洞与脚本的相关程度,有效的排除漏洞库中的干扰信息,大大降低了攻击图的复杂程度。本发明能挖掘出漏洞数据之间暗含的模式和规律,为漏洞数据的进一步应用提供基础。
Description
技术领域
本发明涉及一种基于脚本的漏洞攻击图生成方法,属于计算机信息安全技术领域。
背景技术
随着电脑和互联网技术的不断发展,网络已经成为人们日常生产和生活中不可或缺的部分,但是与此同时,这些信息技术在提供便利的共享资源的同时也带来了各种各样的安全风险。因此,信息安全已经成为了维护国家和社会繁荣稳定的极为关注的焦点。随着当今安全技术的不断发展和完善,利用单个的漏洞已经基本无法实现对信息网络的成功入侵,现在的漏洞攻击往往是利用多个主机,多种服务,多类操作系统中存在的漏洞进行排列组合,每一个漏洞实现某一特定目标,这样一步一步的达成入侵目的。相比以往的漏洞攻击,这种方式有明确的攻击目标,破坏力相当大,而且,由于涉及多个漏洞,所以修补也会相应困难,一旦爆发,极有可能造成严重的后果,比如之前的“震网”病毒,席卷了全球工业界,被称为世界上首个网络“超级武器”。如果能够及早发现这些可能被利用的漏洞攻击组合,那就能起到很好的预防作用,降低病毒攻击造成的损失,甚至提前阻止病毒的爆发。
发明内容
本发明的目的在于,提出了一种基于脚本的攻击图产生的方法,将不明确采用文字描述的漏洞信息明确化,便于计算机系统对漏洞记录数据进行智能化处理;它是从攻击脚本中提取关键字,然后利用文本挖掘技术在漏洞库中进行检索,匹配出与攻击脚本相关度最高的几个漏洞,再经过排列组合形成攻击图。
本发明的技术方案是:
一种基于脚本的漏洞攻击图生成方法,包括下述步骤:
A、生成攻击脚本:提出一个描述攻击路径的攻击脚本;
B、提取关键字:根据攻击脚本提取一定数量的关键字;
C、计算漏洞信息与关键字的相关度:计算漏洞库 中的每一条漏洞记录数据d与关键字t之间的TF-IDF权值;
进一步的技术方案是:
所述的基于脚本的漏洞攻击图生成方法,其步骤A生成攻击脚本包括下述步骤:
A1、扫描系统:用扫描工具对系统进行扫描,收集攻击目标的信息,发现所有可以利用的薄弱环节;
A2、确立攻击目标:对系统的弱点进行整理,确立攻击目标;
A3、编写攻击脚本:综合己扫描到的所有信息,编写攻击脚本,确定攻击路径。
所述的基于脚本的漏洞攻击图生成方法,其步骤C计算漏洞信息与关键字的相关度包括下述步骤:
C1、文本描述字段取值向量化处理:将漏洞描述字段取值表示成对应关键字的高纬空间的文本向量,计算对应关键字的TF-IDF权值;
C2、计算相关度:根据C1步骤的TF-IDF权值求和计算漏洞与关键字的相关度;
C3、将漏洞根据相关度排序。
所述的基于脚本的漏洞攻击图生成方法,其高纬空间的文本向量上的TF-IDF按如下公式进行计算:
所述的基于脚本的漏洞攻击图生成方法,其步骤D计算漏洞对关键字集合的相关度,是一个文档d对一个关键字集Q的相关度,按下式确定:
根据计算出的相关度对漏洞排序,相关度较高的漏洞排在前列。
本发明的优点主要有:
1.现有信息漏洞记录数据的文字描述字段取值为非结构化数据,不同的数据来源其描述格式和用词不同,计算机无法自动完成对文字描述字段的自动理解。本发明依据关键字对文字描述字段取值进行数值向量化处理,将不明确的文字描述明确化,便于计算机系统对漏洞记录数据的智能化处理。
2.目前常规的搜索漏洞库都是利用一些关键字在漏洞描述进行搜索中来定位漏洞,但是在普通的搜索中,由于用于搜索定位的关键字数目有限,而且一般的算法只是进行文字的匹配,这样往往会造成生成的漏洞候选集多而不精,严重稀释数据,使得搜索结果不明显,这样生成的攻击图存在状态爆炸的问题也即攻击图的规模过于庞大,没有能起到提前预防漏洞攻击的作用。
3.本发明方法在应用中可以不断扩展和调整。除了可以根据漏洞描述字段的内容与关键字进行相关度的计算和排序外,还可以考虑其他一些重要指标,最后综合计算相关度的权值。例如:漏洞的危害等级有高、中、低之分,可以根据危害等级赋予一定大小的权值。还可以根据补丁发布的情况对漏洞加权,比如有的漏洞虽然被发现了,但对应的补丁还没有放出,这样的漏洞危害更大,可以赋予更高的权值。综合这些多种因素和TF-IDF度量一起计算相关度,最后根据计算的相关度排序就可以找出比较契合攻击脚本同时危害程度也比较高的漏洞。
附图说明
图1为本发明的流程图;
图2为图1 A步骤的处理流程图;
图3为图1 B步骤对攻击脚本提取关键字的一个实施例示意图;
图4为图1 C步骤的处理流程图;
图5为图1 E步骤生成的攻击图结果的一个实施例示意图。
具体实施方式
结合附图和实施例对本发明作进一步说明如下。
如图1所示,是一种基于脚本的漏洞攻击图生成方法的一个实施例,包括下述步骤:
A、生成攻击脚本:提出一个描述攻击路径的攻击脚本,攻击图的产生过程起始于该A步骤,生成漏洞攻击脚本;
B、提取关键字:根据攻击脚本提取一定数量的关键字;该关键字能够确实标识攻击脚本的内容,并且有能力将攻击脚本与其他文本相区分,个数不能太多,但是关键字的内容可以远远比传统查询的几个关键字要丰富;
如图2所示,是图1步骤A生成攻击脚本一个实施例:
A1、扫描系统:用扫描工具对系统进行扫描,收集攻击目标的信息,发现所有可以利用的薄弱环节;
A2、确立攻击目标:对系统的弱点进行整理,确立攻击目标;
A3、编写攻击脚本:综合己扫描到的所有信息,编写攻击脚本,确定攻击路径。
如图3所示,是图1 B步骤所选中的漏洞记录属性字段的一个实施例示意图。攻击脚本B1中包括了一个漏洞攻击点的描述B2,根据此描述在关键字B3中可以生成一个对应的关键字集合B4。
如图4所示,是图1步骤C计算漏洞信息与关键字的相关度的一个实施例:
C1、文本描述字段取值向量化处理:将漏洞描述字段取值表示成对应关键字的高纬空间的文本向量,计算对应关键字的TF-IDF权值;
C2、计算相关度:根据C1步骤的TF-IDF权值求和计算漏洞与关键字的相关度;
C3、将漏洞根据相关度排序。
所述的高纬空间的文本向量上的TF-IDF按如下公式进行计算:
所述的基于脚本的漏洞攻击图生成方法,其步骤D计算漏洞对关键字集合的相关度,是一个文档d对一个关键字集Q的相关度,按下式确定:
根据计算出的相关度对漏洞排序,相关度较高的漏洞排在前列。
图5为图1 E步骤的一个实施例示意图。把生成的候选漏洞集合排列组合即可得到最后的漏洞攻击图(攻击图可能不只一个)。图示为一个内部网络,图中:1为ink漏洞,2为打印服务漏洞,3为RPC漏洞。
本发明权利要求保护范围不限于上述实施例。
Claims (5)
2.按照权利要求1所述的基于脚本的漏洞攻击图生成方法,其特征在于,步骤A生成攻击脚本包括下述步骤:
A1、扫描系统:用扫描工具对系统进行扫描,收集攻击目标的信息,发现所有可以利用的薄弱环节;
A2、确立攻击目标:对系统的弱点进行整理,确立攻击目标;
A3、编写攻击脚本:综合己扫描到的所有信息,编写攻击脚本,确定攻击路径。
3.按照权利要求1所述的基于脚本的漏洞攻击图生成方法,其特征在于,步骤C计算漏洞信息与关键字的相关度包括下述步骤:
C1、文本描述字段取值向量化处理:将漏洞描述字段取值表示成对应关键字的高纬空间的文本向量,计算对应关键字的TF-IDF权值;
C2、计算相关度:根据C1步骤的TF-IDF权值求和计算漏洞与关键字的相关度;
C3、将漏洞根据相关度排序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210102992XA CN103366120A (zh) | 2012-04-10 | 2012-04-10 | 基于脚本的漏洞攻击图生成方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210102992XA CN103366120A (zh) | 2012-04-10 | 2012-04-10 | 基于脚本的漏洞攻击图生成方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103366120A true CN103366120A (zh) | 2013-10-23 |
Family
ID=49367439
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210102992XA Pending CN103366120A (zh) | 2012-04-10 | 2012-04-10 | 基于脚本的漏洞攻击图生成方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103366120A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105825130A (zh) * | 2015-01-07 | 2016-08-03 | 中国移动通信集团设计院有限公司 | 一种信息安全预警方法及装置 |
CN105871885A (zh) * | 2016-05-11 | 2016-08-17 | 南京航空航天大学 | 一种网络渗透测试方法 |
CN108683654A (zh) * | 2018-05-08 | 2018-10-19 | 北京理工大学 | 一种基于零日攻击图的网络脆弱性评估方法 |
CN110417751A (zh) * | 2019-07-10 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 一种网络安全预警方法、装置和存储介质 |
CN110929264A (zh) * | 2019-11-21 | 2020-03-27 | 中国工商银行股份有限公司 | 漏洞检测方法、装置、电子设备及可读存储介质 |
CN111914259A (zh) * | 2019-05-09 | 2020-11-10 | 阿里巴巴集团控股有限公司 | 数据处理方法及计算设备 |
CN112751831A (zh) * | 2020-12-17 | 2021-05-04 | 中国汽车技术研究中心有限公司 | 汽车漏洞分级及处理方法、装置、设备和可读存储介质 |
CN113330723A (zh) * | 2019-01-28 | 2021-08-31 | 国际商业机器公司 | 混合计算环境中的补丁管理 |
CN113792296A (zh) * | 2021-08-24 | 2021-12-14 | 中国电子科技集团公司第三十研究所 | 一种基于聚类的漏洞组合方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080098479A1 (en) * | 2006-10-23 | 2008-04-24 | O'rourke Paul F | Methods of simulating vulnerability |
CN101282332A (zh) * | 2008-05-22 | 2008-10-08 | 上海交通大学 | 面向网络安全告警关联的攻击图生成系统 |
CN101853277A (zh) * | 2010-05-14 | 2010-10-06 | 南京信息工程大学 | 一种基于分类和关联分析的漏洞数据挖掘方法 |
CN102098306A (zh) * | 2011-01-27 | 2011-06-15 | 北京信安天元科技有限公司 | 基于关联矩阵的网络攻击路径分析方法 |
-
2012
- 2012-04-10 CN CN201210102992XA patent/CN103366120A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080098479A1 (en) * | 2006-10-23 | 2008-04-24 | O'rourke Paul F | Methods of simulating vulnerability |
CN101282332A (zh) * | 2008-05-22 | 2008-10-08 | 上海交通大学 | 面向网络安全告警关联的攻击图生成系统 |
CN101853277A (zh) * | 2010-05-14 | 2010-10-06 | 南京信息工程大学 | 一种基于分类和关联分析的漏洞数据挖掘方法 |
CN102098306A (zh) * | 2011-01-27 | 2011-06-15 | 北京信安天元科技有限公司 | 基于关联矩阵的网络攻击路径分析方法 |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105825130A (zh) * | 2015-01-07 | 2016-08-03 | 中国移动通信集团设计院有限公司 | 一种信息安全预警方法及装置 |
CN105825130B (zh) * | 2015-01-07 | 2019-02-26 | 中国移动通信集团设计院有限公司 | 一种信息安全预警方法及装置 |
CN105871885A (zh) * | 2016-05-11 | 2016-08-17 | 南京航空航天大学 | 一种网络渗透测试方法 |
CN105871885B (zh) * | 2016-05-11 | 2019-06-25 | 南京航空航天大学 | 一种网络渗透测试方法 |
CN108683654A (zh) * | 2018-05-08 | 2018-10-19 | 北京理工大学 | 一种基于零日攻击图的网络脆弱性评估方法 |
CN113330723B (zh) * | 2019-01-28 | 2023-06-27 | 国际商业机器公司 | 混合计算环境中的补丁管理 |
CN113330723A (zh) * | 2019-01-28 | 2021-08-31 | 国际商业机器公司 | 混合计算环境中的补丁管理 |
CN111914259A (zh) * | 2019-05-09 | 2020-11-10 | 阿里巴巴集团控股有限公司 | 数据处理方法及计算设备 |
CN110417751B (zh) * | 2019-07-10 | 2021-07-02 | 腾讯科技(深圳)有限公司 | 一种网络安全预警方法、装置和存储介质 |
CN110417751A (zh) * | 2019-07-10 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 一种网络安全预警方法、装置和存储介质 |
CN110929264A (zh) * | 2019-11-21 | 2020-03-27 | 中国工商银行股份有限公司 | 漏洞检测方法、装置、电子设备及可读存储介质 |
CN112751831A (zh) * | 2020-12-17 | 2021-05-04 | 中国汽车技术研究中心有限公司 | 汽车漏洞分级及处理方法、装置、设备和可读存储介质 |
CN113792296A (zh) * | 2021-08-24 | 2021-12-14 | 中国电子科技集团公司第三十研究所 | 一种基于聚类的漏洞组合方法及系统 |
CN113792296B (zh) * | 2021-08-24 | 2023-05-30 | 中国电子科技集团公司第三十研究所 | 一种基于聚类的漏洞组合方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103366120A (zh) | 基于脚本的漏洞攻击图生成方法 | |
CN102779249B (zh) | 恶意程序检测方法及扫描引擎 | |
CN107391598B (zh) | 一种威胁情报自动生成方法及系统 | |
CN103559235B (zh) | 一种在线社交网络恶意网页检测识别方法 | |
CN112165462A (zh) | 基于画像的攻击预测方法、装置、电子设备及存储介质 | |
CN103544436A (zh) | 一种钓鱼网站鉴别系统和方法 | |
CN107066262A (zh) | 源代码文件克隆邻接表合并检测方法 | |
CN111581355A (zh) | 威胁情报的主题检测方法、装置和计算机存储介质 | |
CN106844640A (zh) | 一种网页数据分析处理方法 | |
CN103324745A (zh) | 基于贝叶斯模型的文本垃圾识别方法和系统 | |
CN107368592B (zh) | 一种用于网络安全报告的文本特征模型建模方法及装置 | |
CN103679012A (zh) | 一种可移植可执行文件的聚类方法和装置 | |
CN103324886B (zh) | 一种网络攻击检测中指纹库的提取方法和系统 | |
CN109492219A (zh) | 一种基于特征分类和情感语义分析的诈骗网站识别方法 | |
CN104123501A (zh) | 一种基于多鉴定器集合的病毒在线检测方法 | |
CN103902619A (zh) | 一种网络舆情监控方法及系统 | |
Gonzalez et al. | Authorship attribution of android apps | |
CN111190873B (zh) | 一种用于云原生系统日志训练的日志模式提取方法及系统 | |
Chen et al. | Intrusion detection system based on immune algorithm and support vector machine in wireless sensor network | |
CN104881446A (zh) | 搜索方法及装置 | |
CN103136212A (zh) | 一种类别新词的挖掘方法及装置 | |
CN105808602B (zh) | 一种垃圾信息的检测方法及装置 | |
Zhang et al. | A hot spot clustering method based on improved kmeans algorithm | |
CN104331396A (zh) | 一种智能识别广告的方法 | |
Martín et al. | Clonespot: Fast detection of android repackages |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20131023 |