CN106453403B - 一种基于攻击链的漏洞整改顺序确定方法及系统 - Google Patents

一种基于攻击链的漏洞整改顺序确定方法及系统 Download PDF

Info

Publication number
CN106453403B
CN106453403B CN201611042624.5A CN201611042624A CN106453403B CN 106453403 B CN106453403 B CN 106453403B CN 201611042624 A CN201611042624 A CN 201611042624A CN 106453403 B CN106453403 B CN 106453403B
Authority
CN
China
Prior art keywords
loophole
host
coefficient
attack
determines
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611042624.5A
Other languages
English (en)
Other versions
CN106453403A (zh
Inventor
刘安
王栋
陈连栋
王婵
卢晓梅
李静
程杰
玄佳兴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Information and Telecommunication Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Information and Telecommunication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Information and Telecommunication Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201611042624.5A priority Critical patent/CN106453403B/zh
Publication of CN106453403A publication Critical patent/CN106453403A/zh
Application granted granted Critical
Publication of CN106453403B publication Critical patent/CN106453403B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于攻击链的漏洞整改顺序确定方法及系统,包括:根据访问性连通结构的攻击链信息,确定与每个主机对应的间接损失系数;利用每个主机的间接损失系数及每个主机的直接损失系数,确定每个主机的总损失系数;根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分及漏洞整改顺序;可见,通过结合信息网络的攻击链信息对不同的漏洞进行评分,可依据漏洞本身的危害性与拓扑结构推算漏洞和主机的危害性评分,从而在人力有限的状况下区分出最急需修复的漏洞与主机,避免运维人员过度关注几乎不可能被利用的内网高危漏洞,却忽视了更加危险的外网高危漏洞。

Description

一种基于攻击链的漏洞整改顺序确定方法及系统
技术领域
本发明涉及信息网络漏洞整改技术领域,更具体地说,涉及一种基于攻击链的漏洞整改顺序确定方法及系统。
背景技术
目前,传统的静态漏洞评分体系是孤立的,基于单主机的,不依赖于网络结构、资产价值等其它信息进行评估。通常只评价紧急、高危、中危、低危等级别,且传统的静态漏洞评分体系仅局限于对单一主机的静态评价,不能依据网络拓扑计算漏洞的危害性。然而在组织内部信息网络中,深层内网的数据往往价值较高,一旦泄露损失巨大,另一方面,经过多次防火墙过滤后,黑客渗透到内网的概率又会降低,从而降低了损失期望。例如:如果内网主机与互联网主机进行了逻辑强隔离,即使内网主机有较多传统意义上的高危漏洞,也不会有很大的风险。而在互联网上的网关主机即使有中危级别的漏洞,由于网关一旦被攻破后将使内部网络大量主机暴露在网关跳板下,即使仅仅是传统意义上的中危漏洞也需要迅速修复。
因此,如何对漏洞进行评估,确定信息网络中最急需解决的漏洞,使运维人员优先整改能迅速提升网络整体安全的漏洞,是本领域技术人员需要解决的。
发明内容
本发明的目的在于提供一种基于攻击链的漏洞整改顺序确定方法及系统,以实现对漏洞进行评估,确定信息网络中最急需解决的漏洞,使运维人员优先整改能迅速提升网络整体安全的漏洞。
为实现上述目的,本发明实施例提供了如下技术方案:
一种基于攻击链的漏洞整改顺序确定方法,包括:
获取信息网络的访问性连通结构,所述访问性连通结构包括各个主机之间访问顺序的攻击链信息;
根据所述攻击链信息,确定与每个主机对应的间接损失系数;
利用每个主机的间接损失系数及每个主机的直接损失系数,确定每个主机的总损失系数;
根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分,所述最终评分与漏洞的危害程度成正比;
根据每个漏洞的最终评分确定漏洞的整改顺序。
其中,所述获取信息网络的访问性连通结构之后,还包括:
根据所述攻击链信息确定每个主机的目标主机;
利用每个主机攻击至对应目标主机的预期得手概率确定每个主机至对应目标主机的攻击路径长度信息;
根据每个主机至对应目标主机的攻击路径长度信息,确定信息网络的拓扑排序,并根据所述拓扑排序确定总损失系数的确定顺序。
其中,根据所述访问性连通结构携带的攻击链信息,确定与每个主机对应的间接损失系数包括:
根据攻击链信息确定每个主机的目标主机;
利用每个主机攻击至对应目标主机的预期得手概率,以及每个主机对应的目标主机的直接损失系数,确定每个主机的间接损失系数。
其中,所述根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分,包括:
将每个漏洞所对应的主机的总损失系数与每个漏洞的权重系数的乘积,作为每个漏洞对应的最终评分。
其中,根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分之后,还包括:
根据每个漏洞对应的最终评分确定每个漏洞的危险程度,并根据每个漏洞的危险程度确定漏洞的整改顺序。
一种基于攻击链的漏洞整改顺序确定系统,包括:
访问性连通结构获取模块,用于获取信息网络的访问性连通结构,所述访问性连通结构包括各个主机之间访问顺序的攻击链信息;
间接损失系数确定模块,用于根据所述攻击链信息,确定与每个主机对应的间接损失系数;
总损失系数确定模块,用于利用每个主机的间接损失系数及每个主机的直接损失系数,确定每个主机的总损失系数;
漏洞评分确定模块,用于根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分,所述最终评分与漏洞的危害程度成正比;
整改顺序确定模块,用于根据每个漏洞的最终评分确定漏洞的整改顺序。
其中,本方案还包括:
目标主机确定模块,用于在所述获取信息网络的访问性连通结构之后,根据所述攻击链信息确定每个主机的目标主机;
攻击路径长度信息确定模块,用于利用每个主机攻击至对应目标主机的预期得手概率确定每个主机至对应目标主机的攻击路径长度信息;
总损失系数顺序确定模块,用于根据每个主机至对应目标主机的攻击路径长度信息,确定信息网络的拓扑排序,以使所述总损失系数确定模块根据所述拓扑排序确定总损失系数。
其中,所述间接损失系数确定模块包括:
目标主机确定单元,用于根据攻击链信息确定每个主机的目标主机;
间接损失系数确定单元,用于利用每个主机攻击至对应目标主机的预期得手概率,以及每个主机对应的目标主机的直接损失系数,确定每个主机的间接损失系数。
其中,所述漏洞评分确定模块将每个漏洞所对应的主机的总损失系数与每个漏洞的权重系数的乘积,作为每个漏洞对应的最终评分。
其中,本方案还包括:
危险程度确定模块,用于在所述漏洞评分确定模块根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分之后,根据每个漏洞对应的最终评分确定每个漏洞的危险程度;
所述整改顺序确定模块根据每个漏洞的危险程度确定漏洞的整改顺序。
通过以上方案可知,本发明实施例提供的一种基于攻击链的漏洞整改顺序确定方法及系统,包括:获取信息网络的访问性连通结构,所述访问性连通结构包括各个主机之间访问顺序的攻击链信息;根据所述攻击链信息,确定与每个主机对应的间接损失系数;利用每个主机的间接损失系数及每个主机的直接损失系数,确定每个主机的总损失系数;根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分,所述最终评分与漏洞的危害程度成正比;根据每个漏洞的最终评分确定漏洞的整改顺序;
可见,在本实施例中,通过结合信息网络的攻击链信息对不同的漏洞进行评分,可依据漏洞本身的危害性与拓扑结构推算漏洞和主机的危害性评分,从而在人力有限的状况下区分出最急需修复的漏洞与主机,避免运维人员过度关注几乎不可能被利用的内网高危漏洞,却忽视了更加危险的外网高危漏洞。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种基于攻击链的漏洞整改顺序确定方法流程示意图;
图2为本发明实施例公开的企业网路拓扑结构示意图;
图3为本发明实施例公开的一种基于攻击链的漏洞整改顺序确定系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种基于攻击链的漏洞整改顺序确定方法及系统,以实现对漏洞进行评估,确定信息网络中最急需解决的漏洞,使运维人员优先整改能迅速提升网络整体安全的漏洞。
参见图1,本发明实施例提供的一种基于攻击链的漏洞整改顺序确定方法,包括:
S101、获取信息网络的访问性连通结构,所述访问性连通结构包括各个主机之间访问顺序的攻击链信息;
具体的,参见图2,在本实施例中,首先需要定义信息网络的访问性连通结构,这里的访问性连通结构为包括攻击链信息的有向的拓扑图。
需要说明的是,黑客能直接访问的主机有限,通常是公网服务器主机,一般运行了HTTP、FTP等服务。参见图2,首先将黑客定义为起始点S,依照主机间的访问关系,如果A能主动访问B,则定义有向边A—>B。网络中可能存在若干主机外加端口防火墙、隔离装置等组成网络,因而最终可以定义出一张如图2所述的访问性连通结构图,在此以图2为例对本方案进行说明。图2是典型的企业网络拓扑结构,边上的数字为通过生命周期评价法,或者其他评价法计算出的攻击预期得手概率,需要说明的是,若黑客从主机S访问主机D的路径为S—>B—>D,则S—>B—>D这条路径就是主机S访问主机D的攻击链。
其中,所述获取信息网络的访问性连通结构之后,还包括:
根据所述攻击链信息确定每个主机的目标主机;
利用每个主机攻击至对应目标主机的预期得手概率确定每个主机至对应目标主机的攻击路径长度信息;
根据每个主机至对应目标主机的攻击路径长度信息,确定信息网络的拓扑排序,并根据所述拓扑排序确定总损失系数的确定顺序。
具体的,由于黑客攻击一般遵循先易后难得原则,因此在本实施例中攻击路径长度L=1-预期得手概率,需要说明的是,攻击路径长度也可以套用其它公式,只要能根据攻击路径的长度反应出黑客攻击得手的难易度即可;随后采用最短路径算法计算黑客S到每台主机的攻击路径,并获取拓扑排序。
例如参见图2,各主机的攻击链与攻击链路径长度为:
S-A(0.2)
S-B(0.3)
S-A-C(0.3)
S-B-D(0.4)
S-A-C-E(0.8)
S-A-C-F(1)
S-A-C-F-G(1)
S-A-C-F-H(1.8)
S-A-C-F-H-J(2)
拓扑排序结果为:JHGFECADBS。需要说明的是,拓扑排序结果为依据上述攻击链反推的拓扑排序,在本实施例中只列举出其中一种拓扑排序,但排序结果不影响后面的流程。
S102、根据所述攻击链信息,确定与每个主机对应的间接损失系数;
其中,根据所述访问性连通结构携带的攻击链信息,确定与每个主机对应的间接损失系数包括:
根据攻击链信息确定每个主机的目标主机;
利用每个主机攻击至对应目标主机的预期得手概率,以及每个主机对应的目标主机的直接损失系数,确定每个主机的间接损失系数。
具体的,图2中每个主机的直接损失参见表1,在本实施例中,损失系数以每个主机被攻陷后的损失为依据,但是在实际运用中,也可以通过其它方法评估每个主机的预期损失。
表1
主机 损失(万元)
A 100
B 10
C 50
D 50
E 200
F 200
G 1000
H 0
J 3000
S103、利用每个主机的间接损失系数及每个主机的直接损失系数,确定每个主机的总损失系数;
具体的,总损失系数可以通过制定的规则求取,在本实施例中提供的总损失系数确定规则为:
其中,Vx为该节点总损失,Dx为该节点直接损失,为该节点间接损失,pi为x节点攻陷i节点的概率,即x节点的总损失为该节点的直接损失加上该节点所有最短路子节点的间接损失的和,间接损失为直接损失与攻陷概率的乘积,依照上述确定规则,及上文确定的拓扑排序,依次确定每个主机的总损失系数,参见表2:
表2
主机 直接损失 计算公式 总损失(主机评分)
J 3000 3000
H 0 0+0.8*3000 2400
G 1000 1000
F 200 200+0.2H+1G 1680
E 200 200+0.2*G 400
C 50 50+0.5E+0.3F+0.8D 260
A 100 100+0.9C 688.6
D 50 50+0.5E+0.1G 250
B 10 10+0.9D 55
S 0.8A+0.7B 589.38
从表2可以看出,最紧急的是保密区的漏洞;保密区漏洞评分高的主要原因是直接损失高,虽然黑客很难通过间接攻击的方式攻陷保密区,但依然存在间谍直接渗透到保密区进行攻击的可能。因而保密主机J的漏洞最急于修复。例如:若主机J上存放的是国家军事情报,那么,即使黑客几乎不可能渗透到这里,也必须立即修复。
并且通过表2也可以看出,主机E的直接损失大于主机A,但A主机修复的优先级要大于E,这是因为当主机A成为跳板时,可以渗透到许多其它主机,从而形成较高的间接损失,及时修复主机A的漏洞可以迅速的将潜在损失降低;其中,跳板为黑客已经攻陷的主机;尽管信息网络中的防火墙会阻挡未被授权外部的访问;但为了业务系统正常运行,防火墙通常会放行网络中特定主机的访问;不妨设防火墙会放行特定主机A到内网主机B的访问,并拦截黑客S到内网主机B的访问。此时,黑客可以先利用漏洞攻破主机A,然后从A上发动向深层内网主机B的渗透,由于防火墙不会拦截A到B的渗透,因而黑客可以从S利用主机A间接访问B,从而形成攻击链S-A-B。此时A的作用就是跳板。
S104、根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分,所述最终评分与漏洞的危害程度成正比;
其中,所述根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分,包括:
将每个漏洞所对应的主机的总损失系数与每个漏洞的权重系数的乘积,作为每个漏洞对应的最终评分。
需要说明的是,若主机存在多个漏洞时,可以根据每个漏洞的权重系数确定每个漏洞的最终评分,并在,在本方案中通过总损失系数与权重系数乘积的形式反映漏洞的最终评分,但是也可以构造其它公式区分漏洞的优先级。
例如:主机A存在两个高危漏洞。漏洞M为2004年发现的,漏洞N为刚刚发现1个月,则通过评价技术可以得出漏洞M比漏洞N危害性更大的结论,因为发现的久远意味着被更多的人知道、工具更全面。因此设漏洞M评分为10,漏洞N评分为0.5,在这里也可以说漏洞M的权重系数10,漏洞N的权重系数为0.5。那么漏洞M的最终评分为10*688.6=6886,漏洞N最终评分为0.5*688.6=344.3;假设主机J的漏洞P为刚刚发现的高危漏洞,生命周期评分为0.2,则漏洞P的最终评分为0.2*3000=600;这里的评价技术可以为生命周期技术。
S105、根据每个漏洞的最终评分确定漏洞的整改顺序。
可以理解的是,在本方案中的最终评分是根据漏洞所在的主机的损失计算的,因此,最终评分越高则代表漏洞造成的影响越大,越需要首先更改;例如上文中的:M的最终评分为6886,漏洞N最终评分为344.3,漏洞P的最终评分为600,那么由于最终评分:M>P>N,所以整改顺序应当是A主机的漏洞M、J主机的漏洞P、A主机的漏洞N。
基于上述技术方案,根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分之后,还包括:
根据每个漏洞对应的最终评分确定每个漏洞的危险程度,并根据每个漏洞的危险程度确定漏洞的整改顺序。
需要说明的是,在本方案中求出每个漏洞的最终评分后,可以根据评分确定漏洞对应的危险程度,根据不同漏洞的危险程度确定最终的整改顺序。
下面对本发明实施例提供的漏洞整改顺序确定系统进行介绍,下文描述的漏洞整改顺序确定系统与上文描述的漏洞整改顺序确定方法可以相互参照。
参见图3,本发明实施例提供的一种基于攻击链的漏洞整改顺序确定系统,包括:
访问性连通结构获取模块100,用于获取信息网络的访问性连通结构,所述访问性连通结构包括各个主机之间访问顺序的攻击链信息;
间接损失系数确定模块200,用于根据所述攻击链信息,确定与每个主机对应的间接损失系数;
总损失系数确定模块300,用于利用每个主机的间接损失系数及每个主机的直接损失系数,确定每个主机的总损失系数;
漏洞评分确定模块400,用于根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分,所述最终评分与漏洞的危害程度成正比;
整改顺序确定模块500,用于根据每个漏洞的最终评分确定漏洞的整改顺序。
基于上述技术方案,本方案还包括:
目标主机确定模块,用于在所述获取信息网络的访问性连通结构之后,根据所述攻击链信息确定每个主机的目标主机;
攻击路径长度信息确定模块,用于利用每个主机攻击至对应目标主机的预期得手概率确定每个主机至对应目标主机的攻击路径长度信息;
总损失系数顺序确定模块,用于根据每个主机至对应目标主机的攻击路径长度信息,确定信息网络的拓扑排序,以使所述总损失系数确定模块根据所述拓扑排序确定总损失系数。
基于上述技术方案,所述间接损失系数确定模块包括:
目标主机确定单元,用于根据攻击链信息确定每个主机的目标主机;
间接损失系数确定单元,用于利用每个主机攻击至对应目标主机的预期得手概率,以及每个主机对应的目标主机的直接损失系数,确定每个主机的间接损失系数。
基于上述技术方案,所述漏洞评分确定模块将每个漏洞所对应的主机的总损失系数与每个漏洞的权重系数的乘积,作为每个漏洞对应的最终评分。
基于上述技术方案,本方案还包括:
危险程度确定模块,用于在所述漏洞评分确定模块根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分之后,根据每个漏洞对应的最终评分确定每个漏洞的危险程度;
所述整改顺序确定模块根据每个漏洞的危险程度确定漏洞的整改顺序。
本发明实施例提供的一种基于攻击链的漏洞整改顺序确定方法及系统,包括:获取信息网络的访问性连通结构,所述访问性连通结构包括各个主机之间访问顺序的攻击链信息;根据所述攻击链信息,确定与每个主机对应的间接损失系数;利用每个主机的间接损失系数及每个主机的直接损失系数,确定每个主机的总损失系数;根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分,所述最终评分与漏洞的危害程度成正比;根据每个漏洞的最终评分确定漏洞的整改顺序;
可见,在本实施例中,通过结合信息网络的攻击链信息对不同的漏洞进行评分,可依据漏洞本身的危害性与拓扑结构推算漏洞和主机的危害性评分,从而在人力有限的状况下区分出最急需修复的漏洞与主机,避免运维人员过度关注几乎不可能被利用的内网高危漏洞,却忽视了更加危险的外网高危漏洞。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (4)

1.一种基于攻击链的漏洞整改顺序确定方法,其特征在于,包括:
获取信息网络的访问性连通结构,所述访问性连通结构包括各个主机之间访问顺序的攻击链信息;
根据所述攻击链信息,确定与每个主机对应的间接损失系数;
利用每个主机的间接损失系数及每个主机的直接损失系数,确定每个主机的总损失系数;
根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分,所述最终评分与漏洞的危害程度成正比;
根据每个漏洞的最终评分确定漏洞的整改顺序;
其中,根据所述访问性连通结构携带的攻击链信息,确定与每个主机对应的间接损失系数包括:
根据攻击链信息确定每个主机的目标主机;
利用每个主机攻击至对应目标主机的预期得手概率,以及每个主机对应的目标主机的直接损失系数,确定每个主机的间接损失系数;
根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分之后,还包括:
根据每个漏洞对应的最终评分确定每个漏洞的危险程度,并根据每个漏洞的危险程度确定漏洞的整改顺序;
其中,所述获取信息网络的访问性连通结构之后,还包括:
根据所述攻击链信息确定每个主机的目标主机;
利用每个主机攻击至对应目标主机的预期得手概率确定每个主机至对应目标主机的攻击路径长度信息;
根据每个主机至对应目标主机的攻击路径长度信息,确定信息网络的拓扑排序,并根据所述拓扑排序确定总损失系数的确定顺序。
2.根据权利要求1所述的漏洞整改顺序确定方法,其特征在于,所述根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分,包括:
将每个漏洞所对应的主机的总损失系数与每个漏洞的权重系数的乘积,作为每个漏洞对应的最终评分。
3.一种基于攻击链的漏洞整改顺序确定系统,其特征在于,包括:
访问性连通结构获取模块,用于获取信息网络的访问性连通结构,所述访问性连通结构包括各个主机之间访问顺序的攻击链信息;
间接损失系数确定模块,用于根据所述攻击链信息,确定与每个主机对应的间接损失系数;
总损失系数确定模块,用于利用每个主机的间接损失系数及每个主机的直接损失系数,确定每个主机的总损失系数;
漏洞评分确定模块,用于根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分,所述最终评分与漏洞的危害程度成正比;
整改顺序确定模块,用于根据每个漏洞的最终评分确定漏洞的整改顺序;
其中,所述间接损失系数确定模块包括:
目标主机确定单元,用于根据攻击链信息确定每个主机的目标主机;
间接损失系数确定单元,用于利用每个主机攻击至对应目标主机的预期得手概率,以及每个主机对应的目标主机的直接损失系数,确定每个主机的间接损失系数;
危险程度确定模块,用于在所述漏洞评分确定模块根据每个漏洞所对应的主机的总损失系数及每个漏洞的权重系数,确定每个漏洞对应的最终评分之后,根据每个漏洞对应的最终评分确定每个漏洞的危险程度;
所述整改顺序确定模块根据每个漏洞的危险程度确定漏洞的整改顺序;
目标主机确定模块,用于在所述获取信息网络的访问性连通结构之后,根据所述攻击链信息确定每个主机的目标主机;
攻击路径长度信息确定模块,用于利用每个主机攻击至对应目标主机的预期得手概率确定每个主机至对应目标主机的攻击路径长度信息;
总损失系数顺序确定模块,用于根据每个主机至对应目标主机的攻击路径长度信息,确定信息网络的拓扑排序,以使所述总损失系数确定模块根据所述拓扑排序确定总损失系数。
4.根据权利要求3所述的漏洞整改顺序确定系统,其特征在于,
所述漏洞评分确定模块将每个漏洞所对应的主机的总损失系数与每个漏洞的权重系数的乘积,作为每个漏洞对应的最终评分。
CN201611042624.5A 2016-11-21 2016-11-21 一种基于攻击链的漏洞整改顺序确定方法及系统 Active CN106453403B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611042624.5A CN106453403B (zh) 2016-11-21 2016-11-21 一种基于攻击链的漏洞整改顺序确定方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611042624.5A CN106453403B (zh) 2016-11-21 2016-11-21 一种基于攻击链的漏洞整改顺序确定方法及系统

Publications (2)

Publication Number Publication Date
CN106453403A CN106453403A (zh) 2017-02-22
CN106453403B true CN106453403B (zh) 2019-10-01

Family

ID=58218233

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611042624.5A Active CN106453403B (zh) 2016-11-21 2016-11-21 一种基于攻击链的漏洞整改顺序确定方法及系统

Country Status (1)

Country Link
CN (1) CN106453403B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107135221B (zh) * 2017-05-10 2020-05-05 上海海事大学 一种渐进式求解k最大概率攻击路径的方法
CN109977673B (zh) * 2017-12-27 2021-07-16 航天信息股份有限公司 一种基于web网站系统安全的漏洞修复方法及系统
CN111666573A (zh) * 2020-06-04 2020-09-15 杭州安恒信息技术股份有限公司 网站系统漏洞等级评估的方法、装置和计算机设备
CN111800427B (zh) * 2020-07-08 2022-04-29 华北电力科学研究院有限责任公司 一种物联网设备评估方法、装置及系统
CN113139191B (zh) * 2021-03-25 2022-07-26 国网浙江省电力有限公司衢州供电公司 一种漏洞处置修复优先级的统计方法
CN113591092B (zh) * 2021-06-22 2023-05-09 中国电子科技集团公司第三十研究所 一种基于漏洞组合的攻击链构建方法
CN115242507A (zh) * 2022-07-22 2022-10-25 四川启睿克科技有限公司 一种基于设定参数最值的攻击图生成系统及方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101162993A (zh) * 2007-11-29 2008-04-16 哈尔滨工程大学 一种网络风险分析方法
CN101695033A (zh) * 2009-09-25 2010-04-14 上海交通大学 基于权限提升的网络脆弱性分析系统
CN102170431A (zh) * 2011-03-25 2011-08-31 中国电子科技集团公司第三十研究所 一种主机风险评估方法和装置
CN105871885A (zh) * 2016-05-11 2016-08-17 南京航空航天大学 一种网络渗透测试方法
CN105991521A (zh) * 2015-01-30 2016-10-05 阿里巴巴集团控股有限公司 网络风险评估方法和装置
CN105991638A (zh) * 2015-07-08 2016-10-05 北京匡恩网络科技有限责任公司 一种网络攻击路径分析与生成方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101162993A (zh) * 2007-11-29 2008-04-16 哈尔滨工程大学 一种网络风险分析方法
CN101695033A (zh) * 2009-09-25 2010-04-14 上海交通大学 基于权限提升的网络脆弱性分析系统
CN102170431A (zh) * 2011-03-25 2011-08-31 中国电子科技集团公司第三十研究所 一种主机风险评估方法和装置
CN105991521A (zh) * 2015-01-30 2016-10-05 阿里巴巴集团控股有限公司 网络风险评估方法和装置
CN105991638A (zh) * 2015-07-08 2016-10-05 北京匡恩网络科技有限责任公司 一种网络攻击路径分析与生成方法及系统
CN105871885A (zh) * 2016-05-11 2016-08-17 南京航空航天大学 一种网络渗透测试方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"基于博弈模型和风险矩阵的漏洞风险分析方法";张恒巍等;《计算机工程与设计》;20160616;1421-1427 *

Also Published As

Publication number Publication date
CN106453403A (zh) 2017-02-22

Similar Documents

Publication Publication Date Title
CN106453403B (zh) 一种基于攻击链的漏洞整改顺序确定方法及系统
CN106790186B (zh) 基于多源异常事件关联分析的多步攻击检测方法
US10616268B2 (en) Anomaly detection method for the virtual machines in a cloud system
CN107659543B (zh) 面向云平台apt攻击的防护方法
CN108683682A (zh) 一种基于软件定义网络的DDoS攻击检测及防御方法和系统
CN108616534A (zh) 一种基于区块链防护物联网设备DDoS攻击的方法及系统
CN107679716B (zh) 考虑通信脆弱度的互联电网连锁故障风险评估与告警方法
CN106453438B (zh) 一种网络攻击的识别方法及装置
CN110868425A (zh) 一种采用黑白名单进行分析的工控信息安全监控系统
CN106209861B (zh) 一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法及装置
CN106685984A (zh) 一种基于数据包捕获技术的网络威胁分析系统及方法
CN106131027A (zh) 一种基于软件定义网络的网络异常流量检测防御系统
CN103607391B (zh) 一种基于K‑means的SQL注入攻击检测方法
CN103401843B (zh) 云安全模拟检测方法及系统
CN107908645B (zh) 一种基于渗流分析的在线社交平台谣言传播的免疫方法
CN109818970A (zh) 一种数据处理方法及装置
CN109413016A (zh) 一种基于规则的报文检测方法和装置
CN105119874A (zh) 一种信息安全防护体系有效性评价的方法
CN109257393A (zh) 基于机器学习的xss攻击防御方法及装置
CN108574668A (zh) 一种基于机器学习的DDoS攻击流量峰值预测方法
JP2015222471A (ja) 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム
CN103595734A (zh) 基于用户关联结构划分的在线社交网络快速修复方法
CN111654487A (zh) 一种基于旁路网络全流量与行为特征dga域名识别方法
CN107623691A (zh) 一种基于反向传播神经网络算法的DDoS攻击检测系统及方法
Berrar Random forests for the detection of click fraud in online mobile advertising

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant