CN103366120A

CN103366120A - 基于脚本的漏洞攻击图生成方法

Info

Publication number: CN103366120A
Application number: CN201210102992XA
Authority: CN
Inventors: 吴世忠; 赵向辉; 刘晖; 易锦; 刘彦钊; 张磊; 刘林; 吴润浦; 李娟�; 彭涛; 韩波
Original assignee: JETWAY INFORMATION SECURITY INDUSTRY Co Ltd; China Information Technology Security Evaluation Center
Current assignee: JETWAY INFORMATION SECURITY INDUSTRY Co Ltd; China Information Technology Security Evaluation Center
Priority date: 2012-04-10
Filing date: 2012-04-10
Publication date: 2013-10-23

Abstract

本发明涉及一种基于脚本的漏洞攻击图产生方法，属于计算机信息安全技术领域，其步骤包括：生成攻击脚本、提取关键字、计算漏洞信息与关键字的相关度、生成候选漏洞集合以及在候选漏洞中进行排列组合得到攻击图。本发明的优点有：将不明确采用文字描述的漏洞信息明确化，便于计算机系统对漏洞记录数据进行智能化处理；区别于基于普通的关键字匹配的查询，本发明利用TF-IDF算法定量的衡量漏洞与脚本的相关程度，有效的排除漏洞库中的干扰信息，大大降低了攻击图的复杂程度。本发明能挖掘出漏洞数据之间暗含的模式和规律，为漏洞数据的进一步应用提供基础。

Description

基于脚本的漏洞攻击图生成方法

技术领域

本发明涉及一种基于脚本的漏洞攻击图生成方法，属于计算机信息安全技术领域。

背景技术

随着电脑和互联网技术的不断发展，网络已经成为人们日常生产和生活中不可或缺的部分，但是与此同时，这些信息技术在提供便利的共享资源的同时也带来了各种各样的安全风险。因此，信息安全已经成为了维护国家和社会繁荣稳定的极为关注的焦点。随着当今安全技术的不断发展和完善，利用单个的漏洞已经基本无法实现对信息网络的成功入侵，现在的漏洞攻击往往是利用多个主机，多种服务，多类操作系统中存在的漏洞进行排列组合，每一个漏洞实现某一特定目标，这样一步一步的达成入侵目的。相比以往的漏洞攻击，这种方式有明确的攻击目标，破坏力相当大，而且，由于涉及多个漏洞，所以修补也会相应困难，一旦爆发，极有可能造成严重的后果，比如之前的“震网”病毒，席卷了全球工业界，被称为世界上首个网络“超级武器”。如果能够及早发现这些可能被利用的漏洞攻击组合，那就能起到很好的预防作用，降低病毒攻击造成的损失，甚至提前阻止病毒的爆发。

发明内容

本发明的目的在于，提出了一种基于脚本的攻击图产生的方法，将不明确采用文字描述的漏洞信息明确化，便于计算机系统对漏洞记录数据进行智能化处理；它是从攻击脚本中提取关键字，然后利用文本挖掘技术在漏洞库中进行检索，匹配出与攻击脚本相关度最高的几个漏洞，再经过排列组合形成攻击图。

本发明的技术方案是：

一种基于脚本的漏洞攻击图生成方法，包括下述步骤：

A、生成攻击脚本：提出一个描述攻击路径的攻击脚本；

B、提取关键字：根据攻击脚本提取一定数量的关键字；

C、计算漏洞信息与关键字的相关度：计算漏洞库中的每一条漏洞记录数据d与关键字t之间的TF-IDF权值；

D、生成候选漏洞集合：根据TF-IDF权值计算漏洞与关键字集合

的相关度，结果为

；

E、排列组合得到攻击图：依据

从大到小的顺序，对集合R中的漏洞记录数据进行重新排列，前

条记录即为相关度较高的漏洞，进入候选漏洞集合，其中

的大小根据实际应用设定具体值。

进一步的技术方案是：

所述的基于脚本的漏洞攻击图生成方法，其步骤A生成攻击脚本包括下述步骤：

A1、扫描系统：用扫描工具对系统进行扫描，收集攻击目标的信息，发现所有可以利用的薄弱环节；

A2、确立攻击目标：对系统的弱点进行整理，确立攻击目标；

A3、编写攻击脚本：综合己扫描到的所有信息，编写攻击脚本，确定攻击路径。

所述的基于脚本的漏洞攻击图生成方法，其步骤C计算漏洞信息与关键字的相关度包括下述步骤：

C1、文本描述字段取值向量化处理：将漏洞描述字段取值表示成对应关键字的高纬空间的文本向量，计算对应关键字的TF-IDF权值；

C2、计算相关度：根据C1步骤的TF-IDF权值求和计算漏洞与关键字的相关度；

C3、将漏洞根据相关度排序。

所述的基于脚本的漏洞攻击图生成方法，其高纬空间的文本向量上的TF-IDF按如下公式进行计算：

其中

表示文档d中所有术语的个数，

表示文档d中关键字t出现的次数；

其中d是文档的集合，

是包含术语t的文档的集合；在完整的向量空间模型中，将TF和IDF组合在一起形成TF-IDF权值：

。

所述的基于脚本的漏洞攻击图生成方法，其步骤D计算漏洞对关键字集合的相关度，是一个文档d对一个关键字集Q的相关度，按下式确定：

根据计算出的相关度对漏洞排序，相关度较高的漏洞排在前列。

本发明的优点主要有：

1．现有信息漏洞记录数据的文字描述字段取值为非结构化数据，不同的数据来源其描述格式和用词不同，计算机无法自动完成对文字描述字段的自动理解。本发明依据关键字对文字描述字段取值进行数值向量化处理，将不明确的文字描述明确化，便于计算机系统对漏洞记录数据的智能化处理。

2．目前常规的搜索漏洞库都是利用一些关键字在漏洞描述进行搜索中来定位漏洞，但是在普通的搜索中，由于用于搜索定位的关键字数目有限，而且一般的算法只是进行文字的匹配，这样往往会造成生成的漏洞候选集多而不精，严重稀释数据，使得搜索结果不明显，这样生成的攻击图存在状态爆炸的问题也即攻击图的规模过于庞大，没有能起到提前预防漏洞攻击的作用。

3．本发明方法在应用中可以不断扩展和调整。除了可以根据漏洞描述字段的内容与关键字进行相关度的计算和排序外，还可以考虑其他一些重要指标，最后综合计算相关度的权值。例如：漏洞的危害等级有高、中、低之分，可以根据危害等级赋予一定大小的权值。还可以根据补丁发布的情况对漏洞加权，比如有的漏洞虽然被发现了，但对应的补丁还没有放出，这样的漏洞危害更大，可以赋予更高的权值。综合这些多种因素和TF-IDF度量一起计算相关度，最后根据计算的相关度排序就可以找出比较契合攻击脚本同时危害程度也比较高的漏洞。

附图说明

图1为本发明的流程图；

图2为图1 A步骤的处理流程图；

图3为图1 B步骤对攻击脚本提取关键字的一个实施例示意图；

图4为图1 C步骤的处理流程图；

图5为图1 E步骤生成的攻击图结果的一个实施例示意图。

具体实施方式

结合附图和实施例对本发明作进一步说明如下。

如图1所示，是一种基于脚本的漏洞攻击图生成方法的一个实施例，包括下述步骤：

A、生成攻击脚本：提出一个描述攻击路径的攻击脚本，攻击图的产生过程起始于该A步骤，生成漏洞攻击脚本；

B、提取关键字：根据攻击脚本提取一定数量的关键字；该关键字能够确实标识攻击脚本的内容，并且有能力将攻击脚本与其他文本相区分，个数不能太多，但是关键字的内容可以远远比传统查询的几个关键字要丰富；

C、计算漏洞信息与关键字的相关度：计算漏洞库

中的每一条漏洞记录数据d与关键字t之间的TF-IDF权值；

D、生成候选漏洞集合：根据TF-IDF权值计算漏洞与关键字集合

的相关度，结果为；

E、排列组合得到攻击图：依据

条记录即为相关度较高的漏洞，进入候选漏洞集合，其中

的大小根据实际应用设定具体值。

如图2所示，是图1步骤A生成攻击脚本一个实施例：

如图3所示，是图1 B步骤所选中的漏洞记录属性字段的一个实施例示意图。攻击脚本B1中包括了一个漏洞攻击点的描述B2，根据此描述在关键字B3中可以生成一个对应的关键字集合B4。

如图4所示，是图1步骤C计算漏洞信息与关键字的相关度的一个实施例：

C3、将漏洞根据相关度排序。

所述的高纬空间的文本向量上的TF-IDF按如下公式进行计算：

其中

表示文档d中所有术语的个数，

表示文档d中关键字t出现的次数；

其中d是文档的集合，

。

图5为图1 E步骤的一个实施例示意图。把生成的候选漏洞集合排列组合即可得到最后的漏洞攻击图（攻击图可能不只一个）。图示为一个内部网络，图中：1为ink漏洞，2为打印服务漏洞，3为RPC漏洞。

本发明权利要求保护范围不限于上述实施例。