CN106453403A

CN106453403A - 一种基于攻击链的漏洞整改顺序确定方法及系统

Info

Publication number: CN106453403A
Application number: CN201611042624.5A
Authority: CN
Inventors: 刘安; 王栋; 陈连栋; 王婵; 卢晓梅; 李静; 程杰; 玄佳兴
Original assignee: State Grid Corp of China SGCC; State Grid Information and Telecommunication Co Ltd
Current assignee: State Grid Corp of China SGCC; State Grid Information and Telecommunication Co Ltd
Priority date: 2016-11-21
Filing date: 2016-11-21
Publication date: 2017-02-22
Anticipated expiration: 2036-11-21
Also published as: CN106453403B

Abstract

本发明公开了一种基于攻击链的漏洞整改顺序确定方法及系统，包括：根据访问性连通结构的攻击链信息，确定与每个主机对应的间接损失系数；利用每个主机的间接损失系数及每个主机的直接损失系数，确定每个主机的总损失系数；根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数，确定每个漏洞对应的最终评分及漏洞整改顺序；可见，通过结合信息网络的攻击链信息对不同的漏洞进行评分，可依据漏洞本身的危害性与拓扑结构推算漏洞和主机的危害性评分，从而在人力有限的状况下区分出最急需修复的漏洞与主机，避免运维人员过度关注几乎不可能被利用的内网高危漏洞，却忽视了更加危险的外网高危漏洞。

Description

一种基于攻击链的漏洞整改顺序确定方法及系统

技术领域

本发明涉及信息网络漏洞整改技术领域，更具体地说，涉及一种基于攻击链的漏洞整改顺序确定方法及系统。

背景技术

目前，传统的静态漏洞评分体系是孤立的，基于单主机的，不依赖于网络结构、资产价值等其它信息进行评估。通常只评价紧急、高危、中危、低危等级别，且传统的静态漏洞评分体系仅局限于对单一主机的静态评价，不能依据网络拓扑计算漏洞的危害性。然而在组织内部信息网络中，深层内网的数据往往价值较高，一旦泄露损失巨大，另一方面，经过多次防火墙过滤后，黑客渗透到内网的概率又会降低，从而降低了损失期望。例如：如果内网主机与互联网主机进行了逻辑强隔离，即使内网主机有较多传统意义上的高危漏洞，也不会有很大的风险。而在互联网上的网关主机即使有中危级别的漏洞，由于网关一旦被攻破后将使内部网络大量主机暴露在网关跳板下，即使仅仅是传统意义上的中危漏洞也需要迅速修复。

因此，如何对漏洞进行评估，确定信息网络中最急需解决的漏洞，使运维人员优先整改能迅速提升网络整体安全的漏洞，是本领域技术人员需要解决的。

发明内容

本发明的目的在于提供一种基于攻击链的漏洞整改顺序确定方法及系统，以实现对漏洞进行评估，确定信息网络中最急需解决的漏洞，使运维人员优先整改能迅速提升网络整体安全的漏洞。

为实现上述目的，本发明实施例提供了如下技术方案：

一种基于攻击链的漏洞整改顺序确定方法，包括：

获取信息网络的访问性连通结构，所述访问性连通结构包括各个主机之间访问顺序的攻击链信息；

根据所述攻击链信息，确定与每个主机对应的间接损失系数；

利用每个主机的间接损失系数及每个主机的直接损失系数，确定每个主机的总损失系数；

根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数，确定每个漏洞对应的最终评分，所述最终评分与漏洞的危害程度成正比；

根据每个漏洞的最终评分确定漏洞的整改顺序。

其中，所述获取信息网络的访问性连通结构之后，还包括：

根据所述攻击链信息确定每个主机的目标主机；

利用每个主机攻击至对应目标主机的预期得手概率确定每个主机至对应目标主机的攻击路径长度信息；

根据每个主机至对应目标主机的攻击路径长度信息，确定信息网络的拓扑排序，并根据所述拓扑排序确定总损失系数的确定顺序。

其中，根据所述访问性连通结构携带的攻击链信息，确定与每个主机对应的间接损失系数包括：

根据攻击链信息确定每个主机的目标主机；

利用每个主机攻击至对应目标主机的预期得手概率，以及每个主机对应的目标主机的直接损失系数，确定每个主机的间接损失系数。

其中，所述根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数，确定每个漏洞对应的最终评分，包括：

将每个漏洞所对应的主机的总损失系数与每个漏洞的权重系数的乘积，作为每个漏洞对应的最终评分。

其中，根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数，确定每个漏洞对应的最终评分之后，还包括：

根据每个漏洞对应的最终评分确定每个漏洞的危险程度，并根据每个漏洞的危险程度确定漏洞的整改顺序。

一种基于攻击链的漏洞整改顺序确定系统，包括：

访问性连通结构获取模块，用于获取信息网络的访问性连通结构，所述访问性连通结构包括各个主机之间访问顺序的攻击链信息；

间接损失系数确定模块，用于根据所述攻击链信息，确定与每个主机对应的间接损失系数；

总损失系数确定模块，用于利用每个主机的间接损失系数及每个主机的直接损失系数，确定每个主机的总损失系数；

漏洞评分确定模块，用于根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数，确定每个漏洞对应的最终评分，所述最终评分与漏洞的危害程度成正比；

整改顺序确定模块，用于根据每个漏洞的最终评分确定漏洞的整改顺序。

其中，本方案还包括：

目标主机确定模块，用于在所述获取信息网络的访问性连通结构之后，根据所述攻击链信息确定每个主机的目标主机；

攻击路径长度信息确定模块，用于利用每个主机攻击至对应目标主机的预期得手概率确定每个主机至对应目标主机的攻击路径长度信息；

总损失系数顺序确定模块，用于根据每个主机至对应目标主机的攻击路径长度信息，确定信息网络的拓扑排序，以使所述总损失系数确定模块根据所述拓扑排序确定总损失系数。

其中，所述间接损失系数确定模块包括：

目标主机确定单元，用于根据攻击链信息确定每个主机的目标主机；

间接损失系数确定单元，用于利用每个主机攻击至对应目标主机的预期得手概率，以及每个主机对应的目标主机的直接损失系数，确定每个主机的间接损失系数。

其中，所述漏洞评分确定模块将每个漏洞所对应的主机的总损失系数与每个漏洞的权重系数的乘积，作为每个漏洞对应的最终评分。

其中，本方案还包括：

危险程度确定模块，用于在所述漏洞评分确定模块根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数，确定每个漏洞对应的最终评分之后，根据每个漏洞对应的最终评分确定每个漏洞的危险程度；

所述整改顺序确定模块根据每个漏洞的危险程度确定漏洞的整改顺序。

通过以上方案可知，本发明实施例提供的一种基于攻击链的漏洞整改顺序确定方法及系统，包括：获取信息网络的访问性连通结构，所述访问性连通结构包括各个主机之间访问顺序的攻击链信息；根据所述攻击链信息，确定与每个主机对应的间接损失系数；利用每个主机的间接损失系数及每个主机的直接损失系数，确定每个主机的总损失系数；根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数，确定每个漏洞对应的最终评分，所述最终评分与漏洞的危害程度成正比；根据每个漏洞的最终评分确定漏洞的整改顺序；

可见，在本实施例中，通过结合信息网络的攻击链信息对不同的漏洞进行评分，可依据漏洞本身的危害性与拓扑结构推算漏洞和主机的危害性评分，从而在人力有限的状况下区分出最急需修复的漏洞与主机，避免运维人员过度关注几乎不可能被利用的内网高危漏洞，却忽视了更加危险的外网高危漏洞。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例公开的一种基于攻击链的漏洞整改顺序确定方法流程示意图；

图2为本发明实施例公开的企业网路拓扑结构示意图；

图3为本发明实施例公开的一种基于攻击链的漏洞整改顺序确定系统结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种基于攻击链的漏洞整改顺序确定方法及系统，以实现对漏洞进行评估，确定信息网络中最急需解决的漏洞，使运维人员优先整改能迅速提升网络整体安全的漏洞。

参见图1，本发明实施例提供的一种基于攻击链的漏洞整改顺序确定方法，包括：

S101、获取信息网络的访问性连通结构，所述访问性连通结构包括各个主机之间访问顺序的攻击链信息；

具体的，参见图2，在本实施例中，首先需要定义信息网络的访问性连通结构，这里的访问性连通结构为包括攻击链信息的有向的拓扑图。

需要说明的是，黑客能直接访问的主机有限，通常是公网服务器主机，一般运行了HTTP、FTP等服务。参见图2，首先将黑客定义为起始点S，依照主机间的访问关系，如果A能主动访问B，则定义有向边A—>B。网络中可能存在若干主机外加端口防火墙、隔离装置等组成网络，因而最终可以定义出一张如图2所述的访问性连通结构图，在此以图2为例对本方案进行说明。图2是典型的企业网络拓扑结构，边上的数字为通过生命周期评价法，或者其他评价法计算出的攻击预期得手概率，需要说明的是，若黑客从主机S访问主机D的路径为S—>B—>D，则S—>B—>D这条路径就是主机S访问主机D的攻击链。

其中，所述获取信息网络的访问性连通结构之后，还包括：

根据所述攻击链信息确定每个主机的目标主机；

具体的，由于黑客攻击一般遵循先易后难得原则，因此在本实施例中攻击路径长度L＝1-预期得手概率，需要说明的是，攻击路径长度也可以套用其它公式，只要能根据攻击路径的长度反应出黑客攻击得手的难易度即可；随后采用最短路径算法计算黑客S到每台主机的攻击路径，并获取拓扑排序。

例如参见图2，各主机的攻击链与攻击链路径长度为：

S-A(0.2)

S-B(0.3)

S-A-C(0.3)

S-B-D(0.4)

S-A-C-E(0.8)

S-A-C-F(1)

S-A-C-F-G(1)

S-A-C-F-H(1.8)

S-A-C-F-H-J(2)

拓扑排序结果为：JHGFECADBS。需要说明的是，拓扑排序结果为依据上述攻击链反推的拓扑排序，在本实施例中只列举出其中一种拓扑排序，但排序结果不影响后面的流程。

S102、根据所述攻击链信息，确定与每个主机对应的间接损失系数；

根据攻击链信息确定每个主机的目标主机；

具体的，图2中每个主机的直接损失参见表1，在本实施例中，损失系数以每个主机被攻陷后的损失为依据，但是在实际运用中，也可以通过其它方法评估每个主机的预期损失。

表1

主机	损失(万元)
		A	100
B	10
		C	50
D	50
		E	200
F	200
		G	1000
H	0
		J	3000

S103、利用每个主机的间接损失系数及每个主机的直接损失系数，确定每个主机的总损失系数；

具体的，总损失系数可以通过制定的规则求取，在本实施例中提供的总损失系数确定规则为：

其中，Vx为该节点总损失，Dx为该节点直接损失，为该节点间接损失，pi为x节点攻陷i节点的概率，即x节点的总损失为该节点的直接损失加上该节点所有最短路子节点的间接损失的和，间接损失为直接损失与攻陷概率的乘积，依照上述确定规则，及上文确定的拓扑排序，依次确定每个主机的总损失系数，参见表2：

表2

主机	直接损失	计算公式	总损失(主机评分)
				J	3000		3000
H	0	0+0.8*3000	2400
				G	1000		1000
F	200	200+0.2H+1G	1680
				E	200	200+0.2*G	400
C	50	50+0.5E+0.3F+0.8D	260
				A	100	100+0.9C	688.6
D	50	50+0.5E+0.1G	250
				B	10	10+0.9D	55
S		0.8A+0.7B	589.38

从表2可以看出，最紧急的是保密区的漏洞；保密区漏洞评分高的主要原因是直接损失高，虽然黑客很难通过间接攻击的方式攻陷保密区，但依然存在间谍直接渗透到保密区进行攻击的可能。因而保密主机J的漏洞最急于修复。例如：若主机J上存放的是国家军事情报，那么，即使黑客几乎不可能渗透到这里，也必须立即修复。

并且通过表2也可以看出，主机E的直接损失大于主机A，但A主机修复的优先级要大于E，这是因为当主机A成为跳板时，可以渗透到许多其它主机，从而形成较高的间接损失，及时修复主机A的漏洞可以迅速的将潜在损失降低；其中，跳板为黑客已经攻陷的主机；尽管信息网络中的防火墙会阻挡未被授权外部的访问；但为了业务系统正常运行，防火墙通常会放行网络中特定主机的访问；不妨设防火墙会放行特定主机A到内网主机B的访问，并拦截黑客S到内网主机B的访问。此时，黑客可以先利用漏洞攻破主机A，然后从A上发动向深层内网主机B的渗透，由于防火墙不会拦截A到B的渗透，因而黑客可以从S利用主机A间接访问B，从而形成攻击链S-A-B。此时A的作用就是跳板。

S104、根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数，确定每个漏洞对应的最终评分，所述最终评分与漏洞的危害程度成正比；

需要说明的是，若主机存在多个漏洞时，可以根据每个漏洞的权重系数确定每个漏洞的最终评分，并在，在本方案中通过总损失系数与权重系数乘积的形式反映漏洞的最终评分，但是也可以构造其它公式区分漏洞的优先级。

例如：主机A存在两个高危漏洞。漏洞M为2004年发现的，漏洞N为刚刚发现1个月，则通过评价技术可以得出漏洞M比漏洞N危害性更大的结论，因为发现的久远意味着被更多的人知道、工具更全面。因此设漏洞M评分为10，漏洞N评分为0.5，在这里也可以说漏洞M的权重系数10，漏洞N的权重系数为0.5。那么漏洞M的最终评分为10*688.6＝6886，漏洞N最终评分为0.5*688.6＝344.3；假设主机J的漏洞P为刚刚发现的高危漏洞，生命周期评分为0.2，则漏洞P的最终评分为0.2*3000＝600；这里的评价技术可以为生命周期技术。

S105、根据每个漏洞的最终评分确定漏洞的整改顺序。

可以理解的是，在本方案中的最终评分是根据漏洞所在的主机的损失计算的，因此，最终评分越高则代表漏洞造成的影响越大，越需要首先更改；例如上文中的：M的最终评分为6886，漏洞N最终评分为344.3，漏洞P的最终评分为600，那么由于最终评分：M>P>N，所以整改顺序应当是A主机的漏洞M、J主机的漏洞P、A主机的漏洞N。

基于上述技术方案，根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数，确定每个漏洞对应的最终评分之后，还包括：

需要说明的是，在本方案中求出每个漏洞的最终评分后，可以根据评分确定漏洞对应的危险程度，根据不同漏洞的危险程度确定最终的整改顺序。

下面对本发明实施例提供的漏洞整改顺序确定系统进行介绍，下文描述的漏洞整改顺序确定系统与上文描述的漏洞整改顺序确定方法可以相互参照。

参见图3，本发明实施例提供的一种基于攻击链的漏洞整改顺序确定系统，包括：

访问性连通结构获取模块100，用于获取信息网络的访问性连通结构，所述访问性连通结构包括各个主机之间访问顺序的攻击链信息；

间接损失系数确定模块200，用于根据所述攻击链信息，确定与每个主机对应的间接损失系数；

总损失系数确定模块300，用于利用每个主机的间接损失系数及每个主机的直接损失系数，确定每个主机的总损失系数；

漏洞评分确定模块400，用于根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数，确定每个漏洞对应的最终评分，所述最终评分与漏洞的危害程度成正比；

整改顺序确定模块500，用于根据每个漏洞的最终评分确定漏洞的整改顺序。

基于上述技术方案，本方案还包括：

基于上述技术方案，所述间接损失系数确定模块包括：

基于上述技术方案，所述漏洞评分确定模块将每个漏洞所对应的主机的总损失系数与每个漏洞的权重系数的乘积，作为每个漏洞对应的最终评分。

基于上述技术方案，本方案还包括：

本发明实施例提供的一种基于攻击链的漏洞整改顺序确定方法及系统，包括：获取信息网络的访问性连通结构，所述访问性连通结构包括各个主机之间访问顺序的攻击链信息；根据所述攻击链信息，确定与每个主机对应的间接损失系数；利用每个主机的间接损失系数及每个主机的直接损失系数，确定每个主机的总损失系数；根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数，确定每个漏洞对应的最终评分，所述最终评分与漏洞的危害程度成正比；根据每个漏洞的最终评分确定漏洞的整改顺序；

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种基于攻击链的漏洞整改顺序确定方法，其特征在于，包括：

根据每个漏洞的最终评分确定漏洞的整改顺序。

2.根据权利要求1所述的漏洞整改顺序确定方法，其特征在于，所述获取信息网络的访问性连通结构之后，还包括：

根据所述攻击链信息确定每个主机的目标主机；

3.根据权利要求1所述的漏洞整改顺序确定方法，其特征在于，根据所述访问性连通结构携带的攻击链信息，确定与每个主机对应的间接损失系数包括：

根据攻击链信息确定每个主机的目标主机；

4.根据权利要求3所述的漏洞整改顺序确定方法，其特征在于，所述根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数，确定每个漏洞对应的最终评分，包括：

5.根据权利要求1-4中任意一项所述的漏洞整改顺序确定方法，其特征在于，根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数，确定每个漏洞对应的最终评分之后，还包括：

6.一种基于攻击链的漏洞整改顺序确定系统，其特征在于，包括：

7.根据权利要求6所述的漏洞整改顺序确定系统，其特征在于，还包括：

8.根据权利要求6所述的漏洞整改顺序确定系统，其特征在于，所述间接损失系数确定模块包括：

9.根据权利要求8所述的漏洞整改顺序确定系统，其特征在于，

所述漏洞评分确定模块将每个漏洞所对应的主机的总损失系数与每个漏洞的权重系数的乘积，作为每个漏洞对应的最终评分。

10.根据权利要求6-9中任意一项所述的漏洞整改顺序确定系统，其特征在于，还包括：