CN103366120A - 基于脚本的漏洞攻击图生成方法 - Google Patents

基于脚本的漏洞攻击图生成方法 Download PDF

Info

Publication number
CN103366120A
CN103366120A CN201210102992XA CN201210102992A CN103366120A CN 103366120 A CN103366120 A CN 103366120A CN 201210102992X A CN201210102992X A CN 201210102992XA CN 201210102992 A CN201210102992 A CN 201210102992A CN 103366120 A CN103366120 A CN 103366120A
Authority
CN
China
Prior art keywords
leak
attack
script
correlation
key word
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201210102992XA
Other languages
English (en)
Inventor
吴世忠
赵向辉
刘晖
易锦
刘彦钊
张磊
刘林
吴润浦
李娟�
彭涛
韩波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
JETWAY INFORMATION SECURITY INDUSTRY Co Ltd
China Information Technology Security Evaluation Center
Original Assignee
JETWAY INFORMATION SECURITY INDUSTRY Co Ltd
China Information Technology Security Evaluation Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by JETWAY INFORMATION SECURITY INDUSTRY Co Ltd, China Information Technology Security Evaluation Center filed Critical JETWAY INFORMATION SECURITY INDUSTRY Co Ltd
Priority to CN201210102992XA priority Critical patent/CN103366120A/zh
Publication of CN103366120A publication Critical patent/CN103366120A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及一种基于脚本的漏洞攻击图产生方法,属于计算机信息安全技术领域,其步骤包括:生成攻击脚本、提取关键字、计算漏洞信息与关键字的相关度、生成候选漏洞集合以及在候选漏洞中进行排列组合得到攻击图。本发明的优点有:将不明确采用文字描述的漏洞信息明确化,便于计算机系统对漏洞记录数据进行智能化处理;区别于基于普通的关键字匹配的查询,本发明利用TF-IDF算法定量的衡量漏洞与脚本的相关程度,有效的排除漏洞库中的干扰信息,大大降低了攻击图的复杂程度。本发明能挖掘出漏洞数据之间暗含的模式和规律,为漏洞数据的进一步应用提供基础。

Description

基于脚本的漏洞攻击图生成方法
技术领域
本发明涉及一种基于脚本的漏洞攻击图生成方法,属于计算机信息安全技术领域。
背景技术
随着电脑和互联网技术的不断发展,网络已经成为人们日常生产和生活中不可或缺的部分,但是与此同时,这些信息技术在提供便利的共享资源的同时也带来了各种各样的安全风险。因此,信息安全已经成为了维护国家和社会繁荣稳定的极为关注的焦点。随着当今安全技术的不断发展和完善,利用单个的漏洞已经基本无法实现对信息网络的成功入侵,现在的漏洞攻击往往是利用多个主机,多种服务,多类操作系统中存在的漏洞进行排列组合,每一个漏洞实现某一特定目标,这样一步一步的达成入侵目的。相比以往的漏洞攻击,这种方式有明确的攻击目标,破坏力相当大,而且,由于涉及多个漏洞,所以修补也会相应困难,一旦爆发,极有可能造成严重的后果,比如之前的“震网”病毒,席卷了全球工业界,被称为世界上首个网络“超级武器”。如果能够及早发现这些可能被利用的漏洞攻击组合,那就能起到很好的预防作用,降低病毒攻击造成的损失,甚至提前阻止病毒的爆发。
发明内容
本发明的目的在于,提出了一种基于脚本的攻击图产生的方法,将不明确采用文字描述的漏洞信息明确化,便于计算机系统对漏洞记录数据进行智能化处理;它是从攻击脚本中提取关键字,然后利用文本挖掘技术在漏洞库中进行检索,匹配出与攻击脚本相关度最高的几个漏洞,再经过排列组合形成攻击图。
本发明的技术方案是:
一种基于脚本的漏洞攻击图生成方法,包括下述步骤:
A、生成攻击脚本:提出一个描述攻击路径的攻击脚本;
B、提取关键字:根据攻击脚本提取一定数量的关键字;
C、计算漏洞信息与关键字的相关度:计算漏洞库                                               中的每一条漏洞记录数据d与关键字t之间的TF-IDF权值;
D、生成候选漏洞集合:根据TF-IDF权值计算漏洞与关键字集合
Figure 330996DEST_PATH_IMAGE002
的相关度,结果为
Figure DEST_PATH_IMAGE003
E、排列组合得到攻击图:依据
Figure 267859DEST_PATH_IMAGE003
从大到小的顺序,对集合R中的漏洞记录数据进行重新排列,前
Figure 489893DEST_PATH_IMAGE004
条记录即为相关度较高的漏洞,进入候选漏洞集合,其中
Figure 338638DEST_PATH_IMAGE004
的大小根据实际应用设定具体值。
进一步的技术方案是:
所述的基于脚本的漏洞攻击图生成方法,其步骤A生成攻击脚本包括下述步骤:
A1、扫描系统:用扫描工具对系统进行扫描,收集攻击目标的信息,发现所有可以利用的薄弱环节;
A2、确立攻击目标:对系统的弱点进行整理,确立攻击目标;
A3、编写攻击脚本:综合己扫描到的所有信息,编写攻击脚本,确定攻击路径。
所述的基于脚本的漏洞攻击图生成方法,其步骤C计算漏洞信息与关键字的相关度包括下述步骤:
C1、文本描述字段取值向量化处理:将漏洞描述字段取值表示成对应关键字的高纬空间的文本向量,计算对应关键字的TF-IDF权值;
C2、计算相关度:根据C1步骤的TF-IDF权值求和计算漏洞与关键字的相关度;
C3、将漏洞根据相关度排序。
所述的基于脚本的漏洞攻击图生成方法,其高纬空间的文本向量上的TF-IDF按如下公式进行计算:
其中
Figure 242003DEST_PATH_IMAGE006
表示文档d中所有术语的个数, 
Figure DEST_PATH_IMAGE007
表示文档d中关键字t出现的次数;
Figure 812135DEST_PATH_IMAGE008
其中d是文档的集合,
Figure DEST_PATH_IMAGE009
是包含术语t的文档的集合;在完整的向量空间模型中,将TF和IDF组合在一起形成TF-IDF权值: 
   
Figure 939491DEST_PATH_IMAGE010
所述的基于脚本的漏洞攻击图生成方法,其步骤D计算漏洞对关键字集合的相关度,是一个文档d对一个关键字集Q的相关度,按下式确定:
根据计算出的相关度对漏洞排序,相关度较高的漏洞排在前列。
本发明的优点主要有:
1.现有信息漏洞记录数据的文字描述字段取值为非结构化数据,不同的数据来源其描述格式和用词不同,计算机无法自动完成对文字描述字段的自动理解。本发明依据关键字对文字描述字段取值进行数值向量化处理,将不明确的文字描述明确化,便于计算机系统对漏洞记录数据的智能化处理。
2.目前常规的搜索漏洞库都是利用一些关键字在漏洞描述进行搜索中来定位漏洞,但是在普通的搜索中,由于用于搜索定位的关键字数目有限,而且一般的算法只是进行文字的匹配,这样往往会造成生成的漏洞候选集多而不精,严重稀释数据,使得搜索结果不明显,这样生成的攻击图存在状态爆炸的问题也即攻击图的规模过于庞大,没有能起到提前预防漏洞攻击的作用。
3.本发明方法在应用中可以不断扩展和调整。除了可以根据漏洞描述字段的内容与关键字进行相关度的计算和排序外,还可以考虑其他一些重要指标,最后综合计算相关度的权值。例如:漏洞的危害等级有高、中、低之分,可以根据危害等级赋予一定大小的权值。还可以根据补丁发布的情况对漏洞加权,比如有的漏洞虽然被发现了,但对应的补丁还没有放出,这样的漏洞危害更大,可以赋予更高的权值。综合这些多种因素和TF-IDF度量一起计算相关度,最后根据计算的相关度排序就可以找出比较契合攻击脚本同时危害程度也比较高的漏洞。
附图说明
图1为本发明的流程图;
图2为图1 A步骤的处理流程图;
图3为图1 B步骤对攻击脚本提取关键字的一个实施例示意图;
图4为图1 C步骤的处理流程图;
图5为图1 E步骤生成的攻击图结果的一个实施例示意图。
具体实施方式
结合附图和实施例对本发明作进一步说明如下。
如图1所示,是一种基于脚本的漏洞攻击图生成方法的一个实施例,包括下述步骤:
A、生成攻击脚本:提出一个描述攻击路径的攻击脚本,攻击图的产生过程起始于该A步骤,生成漏洞攻击脚本;
B、提取关键字:根据攻击脚本提取一定数量的关键字;该关键字能够确实标识攻击脚本的内容,并且有能力将攻击脚本与其他文本相区分,个数不能太多,但是关键字的内容可以远远比传统查询的几个关键字要丰富;
C、计算漏洞信息与关键字的相关度:计算漏洞库
Figure 714680DEST_PATH_IMAGE001
中的每一条漏洞记录数据d与关键字t之间的TF-IDF权值;
D、生成候选漏洞集合:根据TF-IDF权值计算漏洞与关键字集合
Figure 717009DEST_PATH_IMAGE002
的相关度,结果为
E、排列组合得到攻击图:依据
Figure 254618DEST_PATH_IMAGE003
从大到小的顺序,对集合R中的漏洞记录数据进行重新排列,前
Figure 579420DEST_PATH_IMAGE004
条记录即为相关度较高的漏洞,进入候选漏洞集合,其中
Figure 388369DEST_PATH_IMAGE004
的大小根据实际应用设定具体值。
如图2所示,是图1步骤A生成攻击脚本一个实施例:
A1、扫描系统:用扫描工具对系统进行扫描,收集攻击目标的信息,发现所有可以利用的薄弱环节;
A2、确立攻击目标:对系统的弱点进行整理,确立攻击目标;
A3、编写攻击脚本:综合己扫描到的所有信息,编写攻击脚本,确定攻击路径。
如图3所示,是图1 B步骤所选中的漏洞记录属性字段的一个实施例示意图。攻击脚本B1中包括了一个漏洞攻击点的描述B2,根据此描述在关键字B3中可以生成一个对应的关键字集合B4。
如图4所示,是图1步骤C计算漏洞信息与关键字的相关度的一个实施例:
C1、文本描述字段取值向量化处理:将漏洞描述字段取值表示成对应关键字的高纬空间的文本向量,计算对应关键字的TF-IDF权值;
C2、计算相关度:根据C1步骤的TF-IDF权值求和计算漏洞与关键字的相关度;
C3、将漏洞根据相关度排序。
所述的高纬空间的文本向量上的TF-IDF按如下公式进行计算:
Figure 216648DEST_PATH_IMAGE005
其中
Figure 951386DEST_PATH_IMAGE006
表示文档d中所有术语的个数,
Figure 497905DEST_PATH_IMAGE007
表示文档d中关键字t出现的次数;
Figure 107615DEST_PATH_IMAGE008
其中d是文档的集合, 
Figure 55980DEST_PATH_IMAGE009
是包含术语t的文档的集合;在完整的向量空间模型中,将TF和IDF组合在一起形成TF-IDF权值: 
 
Figure 961619DEST_PATH_IMAGE010
   。
所述的基于脚本的漏洞攻击图生成方法,其步骤D计算漏洞对关键字集合的相关度,是一个文档d对一个关键字集Q的相关度,按下式确定:
Figure 434582DEST_PATH_IMAGE011
根据计算出的相关度对漏洞排序,相关度较高的漏洞排在前列。
图5为图1 E步骤的一个实施例示意图。把生成的候选漏洞集合排列组合即可得到最后的漏洞攻击图(攻击图可能不只一个)。图示为一个内部网络,图中:1为ink漏洞,2为打印服务漏洞,3为RPC漏洞。
 
本发明权利要求保护范围不限于上述实施例。

Claims (5)

1.一种基于脚本的漏洞攻击图生成方法,其特征在于,包括下述步骤:
A、生成攻击脚本:提出一个描述攻击路径的攻击脚本;
B、提取关键字:根据攻击脚本提取一定数量的关键字;
C、计算漏洞信息与关键字的相关度:计算漏洞库                                                
Figure 7301DEST_PATH_IMAGE001
中的每一条漏洞记录数据d与关键字t之间的TF-IDF权值;
D、生成候选漏洞集合:根据TF-IDF权值计算漏洞与关键字集合
Figure 934805DEST_PATH_IMAGE002
的相关度,结果为
Figure 135980DEST_PATH_IMAGE003
E、排列组合得到攻击图:依据
Figure 271471DEST_PATH_IMAGE003
从大到小的顺序,对集合R中的漏洞记录数据进行重新排列,前
Figure 583503DEST_PATH_IMAGE004
条记录即为相关度较高的漏洞,进入候选漏洞集合,其中
Figure 631094DEST_PATH_IMAGE005
的大小根据实际应用设定具体值。
2.按照权利要求1所述的基于脚本的漏洞攻击图生成方法,其特征在于,步骤A生成攻击脚本包括下述步骤:
A1、扫描系统:用扫描工具对系统进行扫描,收集攻击目标的信息,发现所有可以利用的薄弱环节;
A2、确立攻击目标:对系统的弱点进行整理,确立攻击目标;
A3、编写攻击脚本:综合己扫描到的所有信息,编写攻击脚本,确定攻击路径。
3.按照权利要求1所述的基于脚本的漏洞攻击图生成方法,其特征在于,步骤C计算漏洞信息与关键字的相关度包括下述步骤:
C1、文本描述字段取值向量化处理:将漏洞描述字段取值表示成对应关键字的高纬空间的文本向量,计算对应关键字的TF-IDF权值;
C2、计算相关度:根据C1步骤的TF-IDF权值求和计算漏洞与关键字的相关度;
C3、将漏洞根据相关度排序。
4.按照权利要求3所述的基于脚本的漏洞攻击图生成方法,其特征在于,高纬空间的文本向量上的TF-IDF按如下公式进行计算:
Figure 3169DEST_PATH_IMAGE006
 
其中
Figure 637675DEST_PATH_IMAGE007
表示文档d中所有术语的个数,
Figure 753399DEST_PATH_IMAGE008
表示文档d中关键字t出现的次数;
Figure 655496DEST_PATH_IMAGE009
其中d是文档的集合,是包含术语t的文档的集合;在完整的向量空间模型中,将TF和IDF组合在一起形成TF-IDF权值: 
    。
5.按照权利要求1所述的基于脚本的漏洞攻击图生成方法,其特征在于,步骤D计算漏洞对关键字集合的相关度,是一个文档d对一个关键字集Q的相关度,按下式确定:
Figure 974110DEST_PATH_IMAGE012
根据计算出的相关度对漏洞排序,相关度较高的漏洞排在前列。
CN201210102992XA 2012-04-10 2012-04-10 基于脚本的漏洞攻击图生成方法 Pending CN103366120A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210102992XA CN103366120A (zh) 2012-04-10 2012-04-10 基于脚本的漏洞攻击图生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210102992XA CN103366120A (zh) 2012-04-10 2012-04-10 基于脚本的漏洞攻击图生成方法

Publications (1)

Publication Number Publication Date
CN103366120A true CN103366120A (zh) 2013-10-23

Family

ID=49367439

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210102992XA Pending CN103366120A (zh) 2012-04-10 2012-04-10 基于脚本的漏洞攻击图生成方法

Country Status (1)

Country Link
CN (1) CN103366120A (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105825130A (zh) * 2015-01-07 2016-08-03 中国移动通信集团设计院有限公司 一种信息安全预警方法及装置
CN105871885A (zh) * 2016-05-11 2016-08-17 南京航空航天大学 一种网络渗透测试方法
CN108683654A (zh) * 2018-05-08 2018-10-19 北京理工大学 一种基于零日攻击图的网络脆弱性评估方法
CN110417751A (zh) * 2019-07-10 2019-11-05 腾讯科技(深圳)有限公司 一种网络安全预警方法、装置和存储介质
CN110929264A (zh) * 2019-11-21 2020-03-27 中国工商银行股份有限公司 漏洞检测方法、装置、电子设备及可读存储介质
CN111914259A (zh) * 2019-05-09 2020-11-10 阿里巴巴集团控股有限公司 数据处理方法及计算设备
CN112751831A (zh) * 2020-12-17 2021-05-04 中国汽车技术研究中心有限公司 汽车漏洞分级及处理方法、装置、设备和可读存储介质
CN113330723A (zh) * 2019-01-28 2021-08-31 国际商业机器公司 混合计算环境中的补丁管理
CN113792296A (zh) * 2021-08-24 2021-12-14 中国电子科技集团公司第三十研究所 一种基于聚类的漏洞组合方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080098479A1 (en) * 2006-10-23 2008-04-24 O'rourke Paul F Methods of simulating vulnerability
CN101282332A (zh) * 2008-05-22 2008-10-08 上海交通大学 面向网络安全告警关联的攻击图生成系统
CN101853277A (zh) * 2010-05-14 2010-10-06 南京信息工程大学 一种基于分类和关联分析的漏洞数据挖掘方法
CN102098306A (zh) * 2011-01-27 2011-06-15 北京信安天元科技有限公司 基于关联矩阵的网络攻击路径分析方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080098479A1 (en) * 2006-10-23 2008-04-24 O'rourke Paul F Methods of simulating vulnerability
CN101282332A (zh) * 2008-05-22 2008-10-08 上海交通大学 面向网络安全告警关联的攻击图生成系统
CN101853277A (zh) * 2010-05-14 2010-10-06 南京信息工程大学 一种基于分类和关联分析的漏洞数据挖掘方法
CN102098306A (zh) * 2011-01-27 2011-06-15 北京信安天元科技有限公司 基于关联矩阵的网络攻击路径分析方法

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105825130A (zh) * 2015-01-07 2016-08-03 中国移动通信集团设计院有限公司 一种信息安全预警方法及装置
CN105825130B (zh) * 2015-01-07 2019-02-26 中国移动通信集团设计院有限公司 一种信息安全预警方法及装置
CN105871885A (zh) * 2016-05-11 2016-08-17 南京航空航天大学 一种网络渗透测试方法
CN105871885B (zh) * 2016-05-11 2019-06-25 南京航空航天大学 一种网络渗透测试方法
CN108683654A (zh) * 2018-05-08 2018-10-19 北京理工大学 一种基于零日攻击图的网络脆弱性评估方法
CN113330723B (zh) * 2019-01-28 2023-06-27 国际商业机器公司 混合计算环境中的补丁管理
CN113330723A (zh) * 2019-01-28 2021-08-31 国际商业机器公司 混合计算环境中的补丁管理
CN111914259A (zh) * 2019-05-09 2020-11-10 阿里巴巴集团控股有限公司 数据处理方法及计算设备
CN110417751B (zh) * 2019-07-10 2021-07-02 腾讯科技(深圳)有限公司 一种网络安全预警方法、装置和存储介质
CN110417751A (zh) * 2019-07-10 2019-11-05 腾讯科技(深圳)有限公司 一种网络安全预警方法、装置和存储介质
CN110929264A (zh) * 2019-11-21 2020-03-27 中国工商银行股份有限公司 漏洞检测方法、装置、电子设备及可读存储介质
CN112751831A (zh) * 2020-12-17 2021-05-04 中国汽车技术研究中心有限公司 汽车漏洞分级及处理方法、装置、设备和可读存储介质
CN113792296A (zh) * 2021-08-24 2021-12-14 中国电子科技集团公司第三十研究所 一种基于聚类的漏洞组合方法及系统
CN113792296B (zh) * 2021-08-24 2023-05-30 中国电子科技集团公司第三十研究所 一种基于聚类的漏洞组合方法及系统

Similar Documents

Publication Publication Date Title
CN103366120A (zh) 基于脚本的漏洞攻击图生成方法
CN102779249B (zh) 恶意程序检测方法及扫描引擎
CN107391598B (zh) 一种威胁情报自动生成方法及系统
CN103559235B (zh) 一种在线社交网络恶意网页检测识别方法
CN112165462A (zh) 基于画像的攻击预测方法、装置、电子设备及存储介质
CN103544436A (zh) 一种钓鱼网站鉴别系统和方法
CN107066262A (zh) 源代码文件克隆邻接表合并检测方法
CN111581355A (zh) 威胁情报的主题检测方法、装置和计算机存储介质
CN106844640A (zh) 一种网页数据分析处理方法
CN103324745A (zh) 基于贝叶斯模型的文本垃圾识别方法和系统
CN107368592B (zh) 一种用于网络安全报告的文本特征模型建模方法及装置
CN103679012A (zh) 一种可移植可执行文件的聚类方法和装置
CN103324886B (zh) 一种网络攻击检测中指纹库的提取方法和系统
CN109492219A (zh) 一种基于特征分类和情感语义分析的诈骗网站识别方法
CN104123501A (zh) 一种基于多鉴定器集合的病毒在线检测方法
CN103902619A (zh) 一种网络舆情监控方法及系统
Gonzalez et al. Authorship attribution of android apps
CN111190873B (zh) 一种用于云原生系统日志训练的日志模式提取方法及系统
Chen et al. Intrusion detection system based on immune algorithm and support vector machine in wireless sensor network
CN104881446A (zh) 搜索方法及装置
CN103136212A (zh) 一种类别新词的挖掘方法及装置
CN105808602B (zh) 一种垃圾信息的检测方法及装置
Zhang et al. A hot spot clustering method based on improved kmeans algorithm
CN104331396A (zh) 一种智能识别广告的方法
Martín et al. Clonespot: Fast detection of android repackages

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20131023