CN108683654A

CN108683654A - 一种基于零日攻击图的网络脆弱性评估方法

Info

Publication number: CN108683654A
Application number: CN201810431874.0A
Authority: CN
Inventors: 胡昌振; 单纯; 蒋本富; 郭守坤; 赵小林
Original assignee: Beijing Institute of Technology BIT
Current assignee: Beijing Institute of Technology BIT
Priority date: 2018-05-08
Filing date: 2018-05-08
Publication date: 2018-10-19
Anticipated expiration: 2038-05-08
Also published as: CN108683654B

Abstract

本发明公开了一种基于零日攻击图的网络脆弱性评估方法，首先假设网络中主机上所有的服务都包含零日漏洞，通过给定模式的逻辑推理生成零日攻击图，然后基于漏洞扫描技术和CVSS漏洞评分系统量化利用零日漏洞进行攻击所需花费的攻击代价，最后以网络中心性理论分析获得网络中的关键脆弱性；在处理已知漏洞的同时充分考虑网络中所有可能存在未知漏洞，使得评估方法具备对未知漏洞的处理能力，并通过逻辑推理发现潜在的网络脆弱点，评估当前网络的安全性，为进一步网络安全防护提供了参考依据，提升网络的安全性、可靠性和可用性。

Description

一种基于零日攻击图的网络脆弱性评估方法

技术领域

本发明属于网络安全技术领域，具体涉及一种基于零日攻击图的网络脆弱性评估方法。

背景技术

在利用漏洞评估网络脆弱性方法中大多数的研究人员只是分析已知的漏洞能对网络形成的损害去度量网络安全性，这样不考虑未知漏洞的分析方法，缺乏对未知漏洞的预防，一旦出现未知漏洞这些措施就失效了，因此在网络脆弱性评估当中需要引入未知漏洞。

“零日漏洞”又叫零时差攻击，是指被发现后立即被恶意利用的安全漏洞。通俗地讲，即安全补丁与瑕疵曝光的同一日内，相关的恶意程序就出现。这种攻击利用目标缺少防范意识或缺少补丁，从而能够造成巨大破坏。零日漏洞常常被在某一产品或协议中找到安全漏洞的黑客所发现。一旦它们被发现，零日漏洞攻击就会迅速传播，一般通过Internet中继聊天或地下网站传播。LingyuWang等人提出的K零日安全性。他们的方案不是试图推测未知漏洞出现的可能性，而是统计侵占某个网络资产的需要多少个零日漏洞，较大的值意味着更多的安全性，因为在同一时间内有更多未知的漏洞可用，可应用和可利用的可能性将会显着降低。他们正式定义度量方法，分析计算度量的复杂性，为棘手案例设计启发式算法，最后通过案例研究证明将度量应用于现有网络安全实践可能会产生可操作的知识。

现有网络脆弱性评估技术中存在许多不足之处。比如CVSS、CWSS等许多漏洞评分系统可以评估单个网络漏洞严重程度，但单一的漏洞分析不能体现网络攻击的复杂过程，也不能发现潜在的网络威胁。另外，基于贝叶斯网络的评估方法，必须根据专家经验事先制定先验概率表，马尔科夫转移模型中的概率也缺乏选取依据，评估有失客观性。并且大多数的脆弱性分析当中没有考虑零日漏洞问题，不能发现潜在威胁。

发明内容

有鉴于此，本发明的目的是提供一种基于零日攻击图的网络脆弱性评估方法，具有对未知漏洞的处理能力，可以理发现潜在的网络脆弱点。

一种基于零日攻击图的网络脆弱性评估方法，包括如下步骤：

步骤1、确定物理网络的信息，包括：各主机所包含的服务、各主机所包含的权限以及主机之间存在的网络连接关系；

步骤2、生成零日攻击图，具体为：

步骤21、根据步骤1获得的网络信息，将网路中攻击者拥有用户权限的主机存到集合1中；将网络中攻击者不拥有用户权限的主机存到集合2中；

步骤22、在集合1中任意选择一个主机，定义为主机H0；集合2中任意选择一个主机，定义为主机H1；判断主机H0与主机H1之间是否有网络连接，如果没有，主机H0无法对主机H1进行攻击；如果有网络连接，则主机H0上的攻击者就有可能通过主机H1的每个服务上的漏洞实现对主机H1的攻击，则攻击者获得了主机H1的用户权限，则从主机H0经过主机H1的每个服务对主机H1的攻击均形成一条攻击路径；遍历主机H1上所有服务，确定主机H0对主机H1进行攻击的攻击路径；将主机H1从集合2中删除，将其添加到集合1中；

步骤23、再从集合2中任选一个主机，定义为H2；按照步骤22的方法，确定与H2两主机之间的攻击路径；以此类推，按照步骤22的方法遍历集合2中所有主机，确定与H0之间的攻击路径；

步骤24、继续从集合1中任意选取一个主机，依次按照步骤22和23的方法，确定攻击路径；以此类推，直到遍历集合1中所有的主机，则完成了网络中任意两个主机之间的攻击路径的确定，得到零日攻击图G；

步骤3、将所述零日攻击图中各主机作为节点，计算各个节点的介数，根据介数值确定网络中的关键脆弱点。

较佳的，所述步骤3中计算节点介数的具体方法为：

第一步、在零日攻击图G中，针对每一个攻击路径，计算其中一个节点1利用服务的零日漏洞攻击另一个节点2所需的攻击代价，记为条攻击路径的攻击代价；

第二步、确定两节点1和2之间攻击代价最小的路径的数量M；

第三步、针对网络中除节点1和2的任意一个节点x，计算第一步中确定的最小攻击代价路径中包含该节点x的攻击路径的数量N，求得数量N与数量M的比值；按此方法获得节点x在所有网络中任意两节点之间的比值，得到所有比值的和值，即为该节点x的介数。

较佳的，所述第一步中攻击代价的获得方法为：

如果两个节点之间的某个服务存在已知的漏洞，则借鉴CVSS评分系统的指标计算攻击代价Cost()＝C_Av×W_Av+C_Ac×W_Ac+C_Ava×W_Ava；其中，C_Av表示漏洞利用方式的攻击代价评估值，C_Ac表示漏洞攻击复杂度的攻击代价评估值，C_Ava表示脆弱性可利用性的攻击代价评估值；W_Av、W_Ac、W_Ava为各项评估值的权重。

较佳的，第一步中借鉴CVSS评分系统的指标计算攻击代价时，当服务存在多个已知漏洞时，根据威胁程度最高漏洞的C_Av、C_Ac和C_Ava计算攻击代价。

较佳的，所述第一步中攻击代价的获得方法为：如果两个节点之间的服务不存在已知漏洞，则攻击代价Cost()＝1-(CI×W_CI+ρ×W_ρ)；其中，CI为该服务的常用指数，ρ为历史漏洞因子，W_CI、W_ρ分别为服务的常用指数、历史漏洞因子所占权值。

较佳的，W_Av、W_Ac、W_Ava取值分别为0.25、0.25和0.5。

本发明具有如下有益效果：

本发明的一种基于零日攻击图的网络脆弱性评估方法，是一种全面、可靠的网络脆弱性评估方法，首先假设网络中主机上所有的服务都包含零日漏洞，通过给定模式的逻辑推理生成零日攻击图，然后基于漏洞扫描技术和CVSS漏洞评分系统量化利用零日漏洞进行攻击所需花费的攻击代价，最后以网络中心性理论分析获得网络中的关键脆弱性；在处理已知漏洞的同时充分考虑网络中所有可能存在未知漏洞，使得评估方法具备对未知漏洞的处理能力，并通过逻辑推理发现潜在的网络脆弱点，评估当前网络的安全性，为进一步网络安全防护提供了参考依据，提升网络的安全性、可靠性和可用性。

附图说明

图1为本发明的方法流程图；

图2为本发明中建立的零日攻击图的示意图；

图3为主机之间连接及攻击关系图。

具体实施方式

下面结合附图并举实施例，对本发明进行详细描述。

步骤一：获得物理网络的信息，具体为：

我们从站在攻击者的角度来看，把网络中的路由器、交换机、网桥、电脑终端等统称为主机；主机的系统或安装的应用程序称为服务(或应用)；主机的使用者拥有的操作称为权限；服务上被利用的缺陷或错误称为漏洞，分别用H、S、P、V表示。各集合间存在如下的映射关系：

1.确定各主机所包含的服务，即从主机到服务集的映射，表示为：serv(.)＝{<s_http,h_h1>|s_http∈S,h_h1∈H}；

2.确定各主机包含哪些权限，即主机到权限的映射，表示为：priv(.)＝{<p_user,h_h1>|p_user∈P,h_h1∈H}；

3.确定主机之间存在的网络连接关系，即网络连接关系映射，表示为：conn(.)＝{<h_h1,h_h2>|h_h1∈H,h_h2∈H}。

在网络脆弱性评估之前需要搜集各集合的信息，然后利用网络中搜集到各集合间的映射关系生成零日攻击图。

步骤二：零日攻击图的生成，具体为：

通常来说，网络的脆弱性主要由主机上的服务漏洞和用户权限漏洞引起。主机上的每个服务或权限都有可能被攻击者利用，我们不可能提前预知一个服务或权限被如何利用，为了全面的分析攻击者可能的攻击途径，因此假设所有的服务或权限都具有能被攻击者利用的零日漏洞。

攻击者拥有网络中某台主机的用户权限，该主机可以与网络中其他主机通信，按照以下两个主要步骤扩展生成零日攻击图：

步骤22、在集合1中任意选择一个主机，定义为主机H0；集合2中任意选择一个主机，定义为主机H1；如图1和2所示，判断主机H0与主机H1之间是否有网络连接，如果没有，主机H0无法对主机H1进行攻击；如果有网络连接，则主机H0上的攻击者就有可能通过主机H1的每个服务上的漏洞实现对主机H1的攻击，则攻击者获得了主机H1的用户权限，因此，从主机H0经过主机H1的每个服务对主机H1的攻击均可以形成一条攻击路径；遍历主机H1上所有服务，确定主机H0对主机H1进行攻击的攻击路径；将主机H1从集合2中删除，将其添加到集合1中；

步骤23、再从集合2中任选一个主机，按照步骤22的方法，确定两个集合中选择出来的两主机之间的攻击路径；以此类推，按照步骤22的方法遍历集合2中所有主机；

步骤24、继续从集合1中任意选取一个主机，依次按照步骤22和23的方法，确定攻击路径；以此类推，直到遍历集合1中所有的主机，则完成了网络中任意两个主机之间的攻击路径的确定，得到如图2所示的零日攻击图G；

如图3所示，主机H1与主机H2存在网络连接，主机H2与主机H3存在网络连接，而主机H1与主机H3之间没有网络连接。利用模式1中所述方法主机H1上的攻击者利用服务S1的零日漏洞得到主机H2的使用权限，使用此权限利用主机H3上服务S2的零日漏洞攻击存在网络连接的主机H3，使得攻击者得到主机H3的用户权限。通过这样的逻辑推理方式能够发现网络中潜在的脆弱点。

具体的，如图2中，攻击者对主机H0拥有用户权限，零日攻击图G中表示为<p_user,H0>；主机H0和主机H1有网络连接，表示为<H0,H1>；主机H1中具有服务s_Apache,表示为<s_Apache,H1>；满足以上三个条件后，则主机H0通过服务s_Apache对主机H1形成一条攻击路径，主机H1也成为了攻击者具有使用权限的主机，因此，主机H1通过网络连接关系，可以对其它主机进行攻击。同理，主机H1还具有服务s_ssh，因此主机H0通过服务s_ssh对主机H1形成另一条攻击路径。

进一步的，王攻击者拥有主机H1的用户权限P1，P1是主机H1上的低级权限，主机H1上有管理员权限P2，攻击者利用管理员权限P2的零日漏洞提升权限，攻击操作成功后攻击者的到目标主机的管理员权限。

步骤三：网络脆弱性评估方法

生成零日攻击图后，通过计算零日攻击图中零日漏洞攻击节点的介数，即所有最短路径中经过零日漏洞攻击节点的路径的数目占最短路径总数的比例，寻找网络中的主要的脆弱部位，交由专家分析这些零日漏洞节点在整个网络中的作用和影响力，得到网络脆弱性评估的结论。

其中，介数是2001年brandes提出的算法”A faster algorithm forbetweennesscentrality”，在无权图上复杂度为O(mn)O(mn),在有权图上复杂度在O(mn+nlogn)O(mn+nlog n),在网络稀疏的时候，复杂度接近O(n2)。节点介数定义为网络中节点对最短路径中经过节点i的数目占所有最短路径数的比例。其定义为在图G＝(V,E)中，设σst代表从节点s∈V到节点t∈V路径的数目，设σst(V)代表从节点s到节点t的最短路径经过节点v∈V的数目。介数反应节点整个网络中的作用和影响力，是一个重要的全局几何量，具有很强的现实意义。

步骤31、攻击代价指标及计算方法

攻击代价是指网络中某节点利用另外一个主机上某个服务的零日漏洞攻击对其进行攻击的代价。计算零日漏洞攻击节点(网络中各个主机)的介数前需要对零日漏洞攻击节点赋予权值，这里选取攻击代价进行表示。零日漏洞攻击代价的评价指标计算中，需要对零日漏洞进行鉴别：

如果两个节点之间的某个服务存在已知的漏洞，则借鉴CVSS评分系统的部分指标计算，当服务存在多个已知漏洞时选取威胁程度最高漏洞进行计算，具体为：

已知漏洞的攻击代价：Cost()＝C_Av×W_Av+C_Ac×W_Ac+C_Ava×W_Ava，Cost()表示攻击者利用零日漏洞的攻击代价，其值越大，表示攻击者利用该漏洞进行攻击所需的代价越高；W_Av、W_Ac、W_Ava为各项的权重，取值分别为0.25、0.25、0.5，参照上述的已知漏洞攻击成本计算指标，则已知漏洞的攻击成本取值范围为[0,1]之间。

基于CVS从以下几个方面评估利用已知漏洞所需花费的攻击代价，它能够反映出已知漏洞对网络资产破坏、利用的难易程度、潜在危害影响等方面对网络安全可能导致的威胁。各代价计算指标如下所示：

漏洞的利用方式(AV)，根据攻击者与目标之间的物理位置关系可以将已知漏洞的利用方式包划分为包括本地、临近、远程三种，使用C_Av表示漏洞利用方式的攻击代价评估值。

漏洞的攻击复杂度(AC)，主要表现为实现攻击的条件要求以及攻击步骤的复杂程度。复杂度高的漏洞利用可能需要多个攻击步骤才能完成，而且在攻击时所需要具备的条件要求可能也较高，对于攻击者来说进行攻击所付出的代价也就越大，使用C_Ac表示漏洞攻击复杂度的攻击代价评估值。

漏洞可利用性(Ava)，分为四个等级：未验证的、理论上验证的、功能上实现的、完整实现四个等级，使用C_Ava来表示脆弱性可利用性的攻击代价评估值。

但如果某个服务不存在已知漏洞，由于我们不可能提前知晓未知漏洞具体细节，只能从侧面进行分析计算。由漏洞出现的一般规律可知，日常使用广泛、历史漏洞记录多的服务其再次出现漏洞的概率会更大，因此针对这两点专门给出了未知漏洞攻击代价的计算方法。

未知漏洞的攻击代价为：Cost()＝1-(CI×W_CI+ρ×W_ρ)；

CI为该服务的常用指数，ρ为历史漏洞因子，W_CI、W_ρ分别为服务的常用指数、历史漏洞因子所占权值。零日漏洞攻击过程中的攻击成本按照给定的CI、ρ代入计算。W_CI取值范围为[0,1]，W_ρ＝1-W_CI，在计算时可以调整W_CI的值。

服务的常用指数CI是指在信息系统中某服务被使用的情况，反映该服务的出现及使用的频繁程度。服务的常用指数准确来说是使用服务在整个网络中的数量和分布规律描述的，但由于网络规模和信息隔离的造成这些数据收集难度很大，因此一般选用软件的下载量来进行评估服务的常用指数。

服务的历史漏洞因子ρ指的是某服务自投入使用以来历史上出现漏洞的频繁程度，描述服务以往出现漏洞的可能性大小。

得到服务上漏洞攻击代价后，在零日攻击图G中即确定了该服务连接的两个节点之间的其中一个节点利用该漏洞攻击另一个节点所需的代价；如此，就可以得到零日攻击图G中任意两节点之间经由不同服务进行攻击的攻击代价。

步骤32、最小代价攻击路径算法

根据上述我们对节点介数的定义我们知道，要计算节点的介数需要提前获得任意两节点间的最小攻击代价路径数目以及每条攻击路径的路径信息。因此在为零日攻击图中零日漏洞利用计算攻击代价之后，我们的零日攻击图可以表示为有向带权图。零日漏洞的攻击代价表示该边的权值，节点为前置条件和后置条件。而节点间最小代价攻击路径指的是在零日攻击图中两个节点之间攻击者从源节点到目的节点所需花费攻击代价最小的路径。

步骤33、关键脆弱点评估：

最小代价攻击路径计算方法可以得到任意两主机节点间的最小攻击代价路劲信息，进而计算零日攻击图攻击图中零日漏洞攻击节点的介数，得到关键脆弱点，主要算法步骤如下：

第一步，针对任意两个节点1和2，确定两主机节点间的最小攻击代价路径的数量M；

第二步，针对网络中除节点1和2的任意一个节点x，计算第一步中确定的最小攻击代价路径中包含该节点x的最小攻击代价路径的数量N，求得数量N与数量M的比值；获得节点x在所有网络中任意两节点之间的比值，得到所有比值的和值，即为该节点x的介数。

第三步，所有的零日漏洞攻击节点的介数排序，介数较高的零日漏洞攻击节点做为网络关键脆弱点。

介数值较高的零日漏洞攻击节点即为我们寻找的网络中的关键脆弱点，是网络脆弱性的具体体现，它们反映出这些零日漏洞的在网络中的重要位置或攻击威胁较高，是必须重点关注的节点，应当交由专家进行具体定性审计和分析，以此为网络安全防护和安全优化提供有针对性的建议，提升网络的安全性。

综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于零日攻击图的网络脆弱性评估方法，其特征在于，包括如下步骤：

步骤2、生成零日攻击图，具体为：

2.如权利要求1所述的一种基于零日攻击图的网络脆弱性评估方法，其特征在于，所述步骤3中计算节点介数的具体方法为：

第二步、确定两节点1和2之间攻击代价最小的路径的数量M；

3.如权利要求2所述的一种基于零日攻击图的网络脆弱性评估方法，其特征在于，所述第一步中攻击代价的获得方法为：

4.如权利要求3所述的一种基于零日攻击图的网络脆弱性评估方法，其特征在于，第一步中借鉴CVSS评分系统的指标计算攻击代价时，当服务存在多个已知漏洞时，根据威胁程度最高漏洞的C_Av、C_Ac和C_Ava计算攻击代价。

5.如权利要求2所述的一种基于零日攻击图的网络脆弱性评估方法，其特征在于，所述第一步中攻击代价的获得方法为：如果两个节点之间的服务不存在已知漏洞，则攻击代价Cost()＝1-(CI×W_CI+ρ×W_ρ)；其中，CI为该服务的常用指数，ρ为历史漏洞因子，W_CI、W_ρ分别为服务的常用指数、历史漏洞因子所占权值。

6.如权利要求2所述的一种基于零日攻击图的网络脆弱性评估方法，其特征在于，W_Av、W_Ac、W_Ava取值分别为0.25、0.25和0.5。