CN113094717A - 效果评估方法、装置、电子设备及可读存储介质 - Google Patents
效果评估方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN113094717A CN113094717A CN202110634660.5A CN202110634660A CN113094717A CN 113094717 A CN113094717 A CN 113094717A CN 202110634660 A CN202110634660 A CN 202110634660A CN 113094717 A CN113094717 A CN 113094717A
- Authority
- CN
- China
- Prior art keywords
- authority
- database
- service
- attack
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供一种效果评估方法、装置、电子设备及可读存储介质,方法包括:获取权限提升攻击程序进行本次权限提升攻击时所产生的靶机数据;根据靶机数据,确定本次权限提升攻击达到的系统权限以及本次权限提升攻击达到的目标服务的服务权限;根据系统权限确定本次权限提升攻击的系统权限提升效果,根据服务权限确定本次权限提升攻击的服务权限提升效果;基于系统权限提升效果和服务权限提升效果确定本次权限提升攻击的效果。本申请实施例的方案实现了从系统和服务两个不同维度对于权限提升攻击程序的攻击效果,使得评估结果更为合理、可信,从而为安全防御体系的构建、以及系统的安全性检测提供了合理可靠的参考信息。
Description
技术领域
本申请涉及权限提升攻击技术领域,具体而言,涉及一种效果评估方法、装置、电子设备及可读存储介质。
背景技术
互联网在为当下生活和工作提供便利的同时,也带来了不同的安全隐患,网络世界中时时刻刻都发生着不同的网络攻击,威胁着每一个用户的安全。
基于权限提升的攻击(即权限提升攻击),是一种利用系统漏洞非法提升系统中相关程序运行权限的攻击方式。该攻击利用系统中的权限提升漏洞,可以将相关程序的运行权限从普通用户权限非法提升到更高级别的权限,从而可以施行诸如窃取隐私、恶意扣费、远程控制等恶意行为。
而为了更好地抵御基于权限提升的攻击,全面了解和评估基于权限提升的攻击所产生的效果是抵御攻击的关键因素。对于攻击效果的评估,可以帮助构建更为精准到位的安全防御体系,且也可以用于检测目前系统对于该种攻击的抵御能力,利于检验系统的安全性。
发明内容
本申请实施例的目的在于提供一种效果评估方法、装置、电子设备及可读存储介质,用以实现对于权限提升攻击的攻击效果的合理评估。
本申请实施例提供了一种效果评估方法,包括:获取权限提升攻击程序进行本次权限提升攻击时所产生的靶机数据;所述靶机数据包括本次权限提升攻击后,所能获取到的靶机中目标服务的数据;根据所述靶机数据,确定本次权限提升攻击达到的系统权限以及本次权限提升攻击达到的目标服务的服务权限;根据所述系统权限确定本次权限提升攻击的系统权限提升效果,根据所述服务权限确定本次权限提升攻击的服务权限提升效果;基于所述系统权限提升效果和所述服务权限提升效果确定本次权限提升攻击的效果。
在上述实现过程中,通过对权限提升攻击程序在本次权限提升攻击过程中所产生的靶机数据进行处理,从而基于靶机数据确定本次权限提升攻击达到的系统权限以及本次权限提升攻击达到的目标服务的服务权限,进而分别根据系统权限确定本次权限提升攻击的系统权限提升效果,根据服务权限确定本次权限提升攻击的服务权限提升效果,最终基于系统权限提升效果和服务权限提升效果确定本次权限提升攻击的效果。本申请实施例的方案实现了从系统和服务两个不同维度对于权限提升攻击程序的攻击效果,使得评估结果更为合理、可信,从而为安全防御体系的构建、以及系统的安全性检测提供了合理可靠的参考信息。
进一步地,所述靶机数据还包括本次权限提升攻击过程中产生的系统日志记录;根据所述靶机数据,确定本次权限提升攻击达到的系统权限包括:查找所述系统日志记录,确定本次权限提升攻击的登录账户;根据所述登录账户,确定本次权限提升攻击达到的系统权限。
在实际应用中,系统的权限可以通过登录账户确定出来。在上述实现过程中,通过查找系统日志记录,从而可以快速准确地确定出本次权限提升攻击达到的系统权限,实现简单,且查找效率和准确率均很高。
进一步地,根据所述系统权限确定本次权限提升攻击的系统权限提升效果,包括:根据所述系统权限,确定预设的各系统权限指标的指标值;所述系统权限指标包括系统普通用户权限和系统root权限;根据各系统权限指标对应的权重,对各所述系统权限指标的指标值进行加权求和,得到所述系统权限提升效果的评价值。
经研究发现,在实际应用中,对于系统而言,权限提升攻击通常是将用户的系统权限提升至系统普通用户权限,或者提升至系统root权限。在上述实现过程中,通过预先设定系统权限指标包括系统普通用户权限和系统root权限,并为各系统权限指标对应的权重,从而可以实现对于系统权限提升效果的合理评价。
进一步地,根据所述服务权限确定本次权限提升攻击的服务权限提升效果,包括:按照各所述目标服务的服务权限确定各所述目标服务的权限提升度;根据各所述目标服务的权重,对各所述目标服务的权限提升度进行加权求和,得到所述服务权限提升效果的评价值。
应理解,在实际应用过程中,对于不同服务进行权限提升攻击所造成的影响和损失往往是不同的。在上述实现过程中,通过对各目标服务设定相应的权重,从而合理地综合考虑了各目标服务的权限提升度,从而使得对于服务权限提升效果的评价得以更为合理、客观、可信。
进一步地,所述目标服务包括数据库服务;按照各所述目标服务的服务权限确定各所述目标服务的权限提升度,包括:根据本次权限提升攻击在所述数据库服务中达到的服务权限,确定预设的各数据库权限指标的指标值;所述数据库权限指标包括表征数据库普通用户权限的第一数据库权限指标和表征数据库root权限的第二数据库权限指标;根据各数据库权限指标对应的权重,对各所述数据库权限指标的指标值进行加权求和,得到所述数据库服务的权限提升度。
经研究发现,在实际应用中,对于数据库而言,权限提升攻击通常是将用户的数据库权限提升至数据库普通用户权限,或者提升至数据库root权限。在上述实现过程中,通过预先设定数据库权限指标包括表征数据库普通用户权限的第一数据库权限指标和表征数据库root权限的第二数据库权限指标,并为各数据库权限指标对应的权重,从而可以实现对于数据库服务的权限提升效果的合理评价。
进一步地,所述目标服务的数据包括:本次权限提升攻击后,所能获取到的数据库数据;根据所述靶机数据,确定本次权限提升攻击达到的目标服务的服务权限包括:判断所述数据库数据中是否具有数据库用户列表;若具有数据库用户列表,确定所述数据库服务的服务权限为数据库root权限;若不具有数据库用户列表,判断所述数据库数据中是否具有数据库列表;若具有数据库列表,确定所述数据库服务的服务权限为数据库普通用户权限。
在实际应用过程中,若具有了数据库root权限,则可以获取到包括数据库用户列表、数据库列表在内的数据信息,而数据库普通用户权限则只能获取到数据库列表。为此,在上述实现过程中,通过判断数据库数据中是否具有数据库用户列表以及是否具有数据库列表,从而快速实现了对于本次权限提升攻击达到的数据库服务器的服务权限的确定。
进一步地,所述方法还包括:获取本次权限提升攻击的环境中,所述数据库服务所具有的标准数据库列表和标准数据库用户列表;根据本次权限提升攻击在所述数据库服务中达到的服务权限,确定预设的各数据库权限指标的指标值包括:若本次权限提升攻击在所述数据库服务中达到的服务权限为数据库root权限,确定所述第一数据库权限指标的指标值为表征所述第一数据库权限指标与所述服务权限不匹配的指标值,并根据所述数据库用户列表与所述标准数据库用户列表的一致性比例,确定所述第二数据库权限指标的指标值;若本次权限提升攻击在所述数据库服务中达到的服务权限为数据库普通用户权限,确定所述第二数据库权限指标的指标值为表征所述第二数据库权限指标与所述服务权限不匹配的指标值,并根据所述数据库列表与所述标准数据库列表的一致性比例,确定所述第一数据库权限指标的指标值。
本申请实施例还提供了一种效果评估装置,包括:获取模块、处理模块和效果确定模块;所述获取模块,用于获取权限提升攻击程序进行本次权限提升攻击时所产生的靶机数据;所述靶机数据包括本次权限提升攻击后,所能获取到的靶机中目标服务的数据;所述处理模块,用于根据所述靶机数据,确定本次权限提升攻击达到的系统权限以及本次权限提升攻击达到的目标服务的服务权限;并根据所述系统权限确定本次权限提升攻击的系统权限提升效果,根据所述服务权限确定本次权限提升攻击的服务权限提升效果;所述效果确定模块,用于基于所述系统权限提升效果和所述服务权限提升效果确定本次权限提升攻击的效果。
本申请实施例还提供了一种电子设备,包括处理器、存储器及通信总线;所述通信总线用于实现处理器和存储器之间的连接通信;所述处理器用于执行存储器中存储的一个或者多个程序,以实现上述任一种的效果评估方法。
本申请实施例中还提供了一种可读存储介质,所述可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述任一种的效果评估方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种效果评估方法的流程示意图;
图2为本申请实施例提供的一种评估体系的示意图;
图3为本申请实施例提供的一种具体的权限提升攻击的评估体系的示意图;
图4为本申请实施例提供的一种效果评估装置的结构示意图;
图5为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一:
为了实现对于权限提升攻击的攻击效果的合理评估,在本申请实施例中提供了一种针对权限提升攻击的效果评估方法。
可以参见图1所示,图1为本申请实施例中提供的一种效果评估方法的流程示意图,包括:
S101:获取权限提升攻击程序进行本次权限提升攻击时所产生的靶机数据。
需要说明的是,在本申请实施例中,靶机数据也可以包括权限提升攻击程序在本次权限提升攻击结束后,靶机中基于本次权限提升攻击所达到的相关权限所能获取到的结果数据。在本申请实施例中,结果数据中可以包括本次权限提升攻击后,靶机中所能获取到的目标服务的数据。比如,对于目标服务包括数据库服务器时,结果数据可以包括在经过本次权限提升攻击后的数据库权限下,所能获取到的数据库中的数据,例如数据库列表等数据。
此外,靶机数据也可以包括权限提升攻击程序在本次权限提升攻击的过程中靶机中所产生的过程数据。比如,对于目标服务包括数据库服务器时,结果数据可以包括在经过本次权限提升攻击后的数据库权限下,所能获取到的数据库中的数据,例如数据库列表等数据。
应理解,在本申请实施例中,具体所需获取的数据类型可以由工程师根据实际评估需要进行设定。
还需要说明的是,本申请实施例中执行本效果评估方法的执行主体可以是权限提升攻击的靶机,也可以是权限提升攻击的发起设备,还可以是可获取到相关靶机数据的第三方设备,在本申请实施例中不做限制。
S102:根据靶机数据确定本次权限提升攻击达到的系统权限。
在本申请实施例的一种可行实施方式中,可以获取本次权限提升攻击过程中产生的系统日志记录,进而查找该系统日志记录,确定本次权限提升攻击的登录账户,从而基于查找到的登录账户所具有的系统权限,确定出本次权限提升攻击达到的系统权限。
应理解,为了提高对于登录账户的查找可靠性,在本申请实施例中,可以将系统日志记录中相关登录账户的登录时间,与本次权限提升攻击所持续的时间段进行比对,从而确定出登录时间在本次权限提升攻击所持续的时间段内的登录账户。
需要说明的是,上述可行实施方式仅是本申请实施例中,所能够采用的一种可确定出本次权限提升攻击达到的系统权限的方式,不应认为本申请实施例中仅可采用该方式实现。事实上,只要能够根据靶机数据实现对于本次权限提升攻击达到的系统权限的确定的方式,均可被本申请实施例所采用。例如,还可以通过获取本次权限提升攻击完成后,对于靶机系统所能进行的操作信息,来确定本次权限提升攻击达到的系统权限。
S103:根据靶机数据,确定本次权限提升攻击达到的目标服务的服务权限。
在本申请实施例中,目标服务是指权限提升攻击程序所可能攻击的服务,其可以由工程师进行设定。在本申请实施例中,目标服务可以为一个,也可以为多个。
在本申请实施例中,对于目标服务,可以根据本次权限提升攻击后,所能获取到的靶机中各目标服务的数据,来实现对于本次权限提升攻击达到的各目标服务的服务权限的确定。
比如,对于数据库服务,在实际应用中,若具有了数据库root权限,则可以获取到包括数据库用户列表、数据库列表(即数据库中用于记录库内数据的列表)在内的数据信息,而数据库普通用户权限则只能获取到数据库列表。为此,在本申请实施例中,获取的靶机数据中可以包括本次权限提升攻击完成后,在最新的数据库权限下所能获取到的数据库数据。
此后,可以判断数据库数据中是否具有数据库用户列表。若具有数据库用户列表,确定本次权限提升攻击达到的数据库服务的服务权限为数据库root权限。
若不具有数据库用户列表,则判断数据库数据中是否具有数据库列表。此时若具有数据库列表,则可以确定本次权限提升攻击达到的数据库服务的服务权限为数据库普通用户权限。
此时,若也不具有数据库列表,则可以认为本次权限提升攻击中,对于数据库攻击失败。此时可以确定本次权限提升攻击达到的数据库服务的服务权限为空。
需要说明的是,所谓数据库root权限,也被称之为数据库根权限,该权限下数据库服务中的所有对象和数据均可被操作和调用。
还需要说明的是,上例中是以数据库服务为例进行的说明,对于其他的目标服务,同样可以通过获取在最新的服务权限下,各目标服务所能获取到的数据,按照各目标服务在不同权限下所能获取到的数据的不同,实现对于本次权限提升攻击达到的各目标服务的服务权限的确定。
需要注意的是,在本申请实施例中,步骤S102和步骤S103之间没有严格的时序限制。也即步骤S102可以在步骤S103之前执行,也可以在步骤S103之后执行,甚至步骤S102和步骤S103也可以同时执行。
S104:根据系统权限确定本次权限提升攻击的系统权限提升效果,根据服务权限确定本次权限提升攻击的服务权限提升效果。
在本申请实施例中,可以构建如图2所示的评估体系,预先为系统权限设定“系统普通用户权限”和“系统root权限”这两个系统权限指标。需要说明的是,所谓系统root权限,也被称之为系统根权限,该权限下数系统中的所有对象和数据均可被操作和调用。
在根据系统权限确定本次权限提升攻击的系统权限提升效果时,即可以先根据确定出的本次权限提升攻击达到的系统权限,来为两个系统权限指标赋值,得到对于本次限提升攻击的两个系统权限指标的指标值。再根据各系统权限指标对应的权重,对各系统权限指标的指标值进行加权求和,得到系统权限提升效果的评价值。
示例性的,在本申请实施例中,可以设置在确定出的本次权限提升攻击达到的系统权限为系统普通用户权限时,将“系统普通用户权限”这一系统权限指标的指标值配置为1,将“系统root权限”这一系统权限指标的指标值配置为0;在确定出的本次权限提升攻击达到的系统权限为系统root权限时,将“系统普通用户权限”这一系统权限指标的指标值配置为0,将“系统root权限”这一系统权限指标的指标值配置为1。
需要说明的是,在本申请实施例中,各系统权限指标的权重可以采用已有的各类权重值生成方法(例如专家打分法等方法)来实现,在本申请实施例中不做限制。
对于服务权限提升效果的确定,可以参见图2所示,可以先按照各目标服务的服务权限确定各目标服务的权限提升度,然后根据各目标服务的权重,对各目标服务的权限提升度进行加权求和,得到服务权限提升效果的评价值。
而为了确定各目标服务的权限提升度,与参见图2所示,可以预先为各目标服务设定相应的服务权限指标,并为各服务权限指标设置相应的权重,从而通过加权求和等方式确定出各目标服务的权限提升度。
需要说明的是,在本申请实施例中,各目标服务的服务权限指标可以是各目标服务所具有的不同权限。比如对于数据库服务而言,可以设定其具有的服务权限指标为“数据库普通用户权限”和“数据库root权限”。
此时,可以将确定出的各目标服务的服务权限,分别与各目标服务的服务权限指标进行匹配,通过将匹配的服务权限指标的指标值设置为1,不匹配的服务权限指标的指标值设置为0的方式,实现对于各目标服务的服务权限指标的指标值的设置。
比如对于数据库服务而言,设定其具有的服务权限指标为“数据库普通用户权限”和“数据库root权限”两个服务权限指标。若本次权限提升攻击在数据库服务中达到的服务权限为数据库root权限,则可以设置“数据库普通用户权限”这一服务权限指标的指标值为0,设置“数据库root权限”这一服务权限指标的指标值为1;若本次权限提升攻击在数据库服务中达到的服务权限为数据库普通用户权限,则可以设置“数据库普通用户权限”这一服务权限指标的指标值为1,设置“数据库root权限”这一服务权限指标的指标值为0。此后,只需根据各数据库权限指标对应的权重,对两个数据库权限指标的指标值进行加权求和,即可得到数据库服务的权限提升度。
需要理解的是,以上采用“0”和“1”进行指标值的设置的方式,仅是本申请实施例中所示例的一种可行的实施方式。在实际应用过程中,其也可以采用其他数值,或者采用其他方式实现对于相关服务权限指标的指标值设置,只要指标值能够反映出服务权限指标是否与本次权限提升攻击达到的服务权限匹配即可。
比如,在上例中,为了实现对于数据库服务的相关服务权限指标的指标值的合理确定,还可以获取本次权限提升攻击的环境中,数据库服务所具有的标准数据库列表和标准数据库用户列表。从而可以在本次权限提升攻击在数据库服务中达到的服务权限为数据库root权限时,设置“数据库普通用户权限”这一服务权限指标的指标值为0,设置“数据库root权限”这一服务权限指标的指标值为数据库用户列表与标准数据库用户列表的一致性比例;在本次权限提升攻击在数据库服务中达到的服务权限为数据库普通用户权限时,设置“数据库普通用户权限”这一服务权限指标的指标值为数据库列表与所述标准数据库列表的一致性比例,设置“数据库root权限”这一服务权限指标的指标值为0。进而根据各数据库权限指标对应的权重,对两个数据库权限指标的指标值进行加权求和,即得到了数据库服务的权限提升度。
需要注意的是,在本申请实施例中,各服务权限指标的权重,以及各目标服务的权重,可以采用已有的各类权重值生成方法(例如专家打分法等方法)来实现,在本申请实施例中不做限制。
S105:基于系统权限提升效果和服务权限提升效果确定本次权限提升攻击的效果。
在本申请实施例中,可以预先设定系统权限提升效果和服务权限提升效果分别对应的权重,从而通过对系统权限提升效果和服务权限提升效果进行加权求和等方式得到本次权限提升攻击的整体效果评价值。
当然,在本申请实施例中,也可以不设定系统权限提升效果和服务权限提升效果分别对应的权重,而直接对系统权限提升效果和服务权限提升效果进行求和等处理,得到本次权限提升攻击的整体效果评价值。具体是否需要设定权重,可以由工程师根据实际需要进行确定。
进而基于本次权限提升攻击的整体效果评价值,通过与预设的标准评价值相比对等方式实现对于本次权限提升攻击的效果的评估。
应理解,本申请实施例中可以采用各种已知或未知的评估方法实现对于权限提升攻击的效果的评估,并不限于上述先计算得到本次权限提升攻击的整体效果评价值,然后将整体效果评价值与预设的标准评价值相比对的方式实现效果评估。
需要说明的是,本申请实施例所提供的方案可以应用于各类系统的电子设备中,例如可以应用于Linux系统中。
本申请实施例所提供的效果评估方法,通过对权限提升攻击程序在本次权限提升攻击过程中所产生的靶机数据进行处理,从而基于靶机数据确定本次权限提升攻击达到的系统权限以及本次权限提升攻击达到的目标服务的服务权限,进而分别根据系统权限确定本次权限提升攻击的系统权限提升效果,根据服务权限确定本次权限提升攻击的服务权限提升效果,最终基于系统权限提升效果和服务权限提升效果确定本次权限提升攻击的效果。本申请实施例的方案实现了从系统和服务两个不同维度对于权限提升攻击程序的攻击效果,使得评估结果更为合理、可信,从而为安全防御体系的构建、以及系统的安全性检测提供了合理可靠的参考信息。
实施例二:
本实施例在实施例一的基础上,以一种应用于Linux系统中的具体的权限提升攻击评估体系以及使用该权限提升攻击评估体系进行权限提升攻击的效果评估的过程为例,为本申请做进一步示例说明。
本实施例中权限提升攻击评估体系可以参见图3所示。
在针对权限提升攻击程序的一次权限提升攻击过程,进行效果评估时,首先按照图3所示,获取靶机日志目录下保存的本次权限提升攻击过程中产生的系统日志记录,并获取本次权限提升攻击后,所能获取到的数据库数据(包括数据库列表和数据库用户列表(如果权限允许)),以及本次权限提升攻击的环境中,数据库服务所具有的标准数据库列表和标准数据库用户列表。
然后,查找系统日志记录,确定本次权限提升攻击的登录账户,并根据登录账户,确定本次权限提升攻击达到的系统权限。
在本次权限提升攻击达到的系统权限为系统普通用户权限时,确定系统权限指标“系统普通用户权限”的指标值S11为1,确定系统权限指标“系统root权限”的指标值S12为0。
在本次权限提升攻击达到的系统权限为系统root权限时,确定系统权限指标“系统普通用户权限”的指标值S11为0,确定系统权限指标“系统root权限”的指标值S12为1。
调用预先配置好的系统权限指标“系统普通用户权限”对应的权重W11和系统权限指标“系统root权限”对应的权重W12,按照公式S11×W11+ S12×W12得到系统权限提升度S1。根据系统权限提升度S1,按照公式S系统=S1,得到系统权限提升效果S系统。
判断本次权限提升攻击后,所能获取到的数据库数据中,是否具有数据库用户列表。
若具有数据库用户列表,确定本次权限提升攻击达到的数据库服务的服务权限为数据库root权限。
若不具有数据库用户列表,判断数据库数据中是否具有数据库列表。
若具有数据库列表,确定本次权限提升攻击达到的数据库服务的服务权限为数据库普通用户权限。
在本次权限提升攻击在数据库服务中达到的服务权限为数据库root权限时,确定服务权限指标“数据库普通用户权限”的指标值S21为0,确定服务权限指标“数据库root权限”的指标值S22为“数据库用户列表与标准数据库用户列表的一致性比例(即数据库用户列表与标准数据库用户列表的交集,占标准数据库用户列表的比例)”。
在本次权限提升攻击在数据库服务中达到的服务权限为数据库普通用户权限时,确定服务权限指标“数据库普通用户权限”的指标值S21为“数据库列表与标准数据库列表的一致性比例(即数据库列表与标准数据库列表的交集,占标准数据库列表的比例)”,确定服务权限指标“数据库root权限”的指标值S22为0。
调用预先配置好的服务权限指标“数据库普通用户权限”对应的权重W21和服务权限指标“数据库root权限”对应的权重W22,按照公式S21×W21+ S22×W22得到数据库权限提升度S2。根据数据库权限提升度S2,按照公式S服务=S2,得到服务权限提升效果S服务。
计算S=S系统+ S服务的值,得到本次权限提升攻击的整体效果评价值S。
在本申请实施例中,S值越大,则本次权限提升攻击的效果越好,S值越小,则本次权限提升攻击的效果越差。
在本申请实施例中,可以采用下述方式实现对于各权重的确定。
首先,构建权重矩阵如下表所示:
对象1 | 对象2 | |
对象1 | 1 | 1/3 |
对象2 | 3 | 1 |
表中对象1和对象2表征需要分配权重的对象,比如可以是两个系统权限指标,也可以是两个数据库权限指标。表中的数字表征表中对象i对于对象j的权重。比如对于表中的元素,其表征对象i相对于对象j的权重。表中的权重值为本实施例所示例的一种值,在实际应用过程中,表中的值可由专家打分得到。
对于上表而言,即得到归一化后的矩阵:
1/4 | 1/4 |
3/4 | 3/4 |
以上仅为本实施例所提供的一种可行的权重分配方式,但不作为限制。
本实施例的上述方案,整个评估过程从系统和数据库服务两个不同维度对权限提升攻击效果进行了综合分析,评估结果合理、可信,为安全防御体系的构建、以及系统的安全性检测提供了合理可靠的参考信息。
实施例三:
基于同一发明构思,本申请实施例中还提供了一种效果评估装置100。请参阅图4所示,图4示出了采用图1所示的方法的效果评估装置,应理解,装置100具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。装置100包括至少一个能以软件或固件的形式存储于存储器中或固化在装置100的操作系统中的软件功能模块。具体地:
参见图4所示,装置100包括:获取模块101、处理模块102和效果确定模块103。其中:
所述获取模块101,用于获取权限提升攻击程序进行本次权限提升攻击时所产生的靶机数据;所述靶机数据包括本次权限提升攻击后,所能获取到的靶机中目标服务的数据;
所述处理模块102,用于根据所述靶机数据,确定本次权限提升攻击达到的系统权限以及本次权限提升攻击达到的目标服务的服务权限;并根据所述系统权限确定本次权限提升攻击的系统权限提升效果,根据所述服务权限确定本次权限提升攻击的服务权限提升效果;
所述效果确定模块103,用于基于所述系统权限提升效果和所述服务权限提升效果确定本次权限提升攻击的效果。
在本申请实施例中,所述靶机数据还包括本次权限提升攻击过程中产生的系统日志记录;所述处理模块102具体用于,查找所述系统日志记录,确定本次权限提升攻击的登录账户;根据所述登录账户,确定本次权限提升攻击达到的系统权限。
在本申请实施例中,所述处理模块102具体用于,根据所述系统权限,确定预设的各系统权限指标的指标值,并根据各系统权限指标对应的权重,对各所述系统权限指标的指标值进行加权求和,得到所述系统权限提升效果的评价值。所述系统权限指标包括系统普通用户权限和系统root权限。
在本申请实施例的一种可行实施方式中,所述处理模块102具体用于,按照各所述目标服务的服务权限确定各所述目标服务的权限提升度,根据各所述目标服务的权重,对各所述目标服务的权限提升度进行加权求和,得到所述服务权限提升效果的评价值。
在上述可行实施方式的一种可行示例中,所述目标服务包括数据库服务;所述处理模块102具体用于,根据本次权限提升攻击在所述数据库服务中达到的服务权限,确定预设的各数据库权限指标的指标值,根据各数据库权限指标对应的权重,对各所述数据库权限指标的指标值进行加权求和,得到所述数据库服务的权限提升度。所述数据库权限指标包括表征数据库普通用户权限的第一数据库权限指标和表征数据库root权限的第二数据库权限指标。
在上述可行示例中,所述目标服务的数据包括:本次权限提升攻击后,所能获取到的数据库数据;所述处理模块102具体用于,判断所述数据库数据中是否具有数据库用户列表,若具有数据库用户列表,确定所述数据库服务的服务权限为数据库root权限;若不具有数据库用户列表,判断所述数据库数据中是否具有数据库列表,若具有数据库列表,确定所述数据库服务的服务权限为数据库普通用户权限。
在上述可行示例中,所述获取模块101还用于,获取本次权限提升攻击的环境中,所述数据库服务所具有的标准数据库列表和标准数据库用户列表。所述处理模块102具体用于,若本次权限提升攻击在所述数据库服务中达到的服务权限为数据库root权限,确定所述第一数据库权限指标的指标值为表征所述第一数据库权限指标与所述服务权限不匹配的指标值,并根据所述数据库用户列表与所述标准数据库用户列表的一致性比例,确定所述第二数据库权限指标的指标值;若本次权限提升攻击在所述数据库服务中达到的服务权限为数据库普通用户权限,确定所述第二数据库权限指标的指标值为表征所述第二数据库权限指标与所述服务权限不匹配的指标值,并根据所述数据库列表与所述标准数据库列表的一致性比例,确定所述第一数据库权限指标的指标值。
需要理解的是,出于描述简洁的考量,部分实施例一中描述过的内容在本实施例中不再赘述。
还需要理解的是,装置100的功能可以利用一个或多个具有处理功能的芯片或单片机实现。
实施例四:
本实施例提供了一种电子设备,参见图5所示,其包括处理器501、存储器502以及通信总线503。其中:
通信总线503用于实现处理器501和存储器502之间的连接通信。
处理器501用于执行存储器502中存储的一个或多个程序,以实现上述实施例一中的效果评估方法。
可以理解,图5所示的结构仅为示意,电子设备还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。
本实施例还提供了一种可读存储介质,如软盘、光盘、硬盘、闪存、U盘、SD(SecureDigital Memory Card,安全数码卡)卡、MMC(Multimedia Card,多媒体卡)卡等,在该可读存储介质中存储有实现上述各个步骤的一个或者多个程序,这一个或者多个程序可被一个或者多个处理器执行,以实现上述实施例一和/或实施例二中业务分配设备所执行的效果评估方法的各步骤,或实现上述实施例一和/或实施例二中处理节点所执行的效果评估方法的各步骤。在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
在本文中,多个是指两个或两个以上。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种效果评估方法,其特征在于,包括:
获取权限提升攻击程序进行本次权限提升攻击时所产生的靶机数据;所述靶机数据包括本次权限提升攻击后,所能获取到的靶机中目标服务的数据;
根据所述靶机数据,确定本次权限提升攻击达到的系统权限以及本次权限提升攻击达到的目标服务的服务权限;
根据所述系统权限确定本次权限提升攻击的系统权限提升效果,根据所述服务权限确定本次权限提升攻击的服务权限提升效果;
基于所述系统权限提升效果和所述服务权限提升效果确定本次权限提升攻击的效果。
2.如权利要求1所述的效果评估方法,其特征在于,所述靶机数据还包括本次权限提升攻击过程中产生的系统日志记录;
根据所述靶机数据确定本次权限提升攻击达到的系统权限包括:
查找所述系统日志记录,确定本次权限提升攻击的登录账户;
根据所述登录账户,确定本次权限提升攻击达到的系统权限。
3.如权利要求1所述的效果评估方法,其特征在于,根据所述系统权限确定本次权限提升攻击的系统权限提升效果,包括:
根据所述系统权限,确定预设的各系统权限指标的指标值;所述系统权限指标包括系统普通用户权限和系统root权限;
根据各系统权限指标对应的权重,对各所述系统权限指标的指标值进行加权求和,得到所述系统权限提升效果的评价值。
4.如权利要求1-3任一项所述的效果评估方法,其特征在于,根据所述服务权限确定本次权限提升攻击的服务权限提升效果,包括:
按照各所述目标服务的服务权限确定各所述目标服务的权限提升度;
根据各所述目标服务的权重,对各所述目标服务的权限提升度进行加权求和,得到所述服务权限提升效果的评价值。
5.如权利要求4所述的效果评估方法,其特征在于,所述目标服务包括数据库服务;
按照各所述目标服务的服务权限确定各所述目标服务的权限提升度,包括:
根据本次权限提升攻击在所述数据库服务中达到的服务权限,确定预设的各数据库权限指标的指标值;所述数据库权限指标包括表征数据库普通用户权限的第一数据库权限指标和表征数据库root权限的第二数据库权限指标;
根据各数据库权限指标对应的权重,对各所述数据库权限指标的指标值进行加权求和,得到所述数据库服务的权限提升度。
6.如权利要求5所述的效果评估方法,其特征在于,所述目标服务的数据包括:本次权限提升攻击后,所能获取到的数据库数据;
根据所述靶机数据,确定本次权限提升攻击达到的目标服务的服务权限包括:
判断所述数据库数据中是否具有数据库用户列表;
若具有数据库用户列表,确定所述数据库服务的服务权限为数据库root权限;
若不具有数据库用户列表,判断所述数据库数据中是否具有数据库列表;
若具有数据库列表,确定所述数据库服务的服务权限为数据库普通用户权限。
7.如权利要求5所述的效果评估方法,其特征在于,所述方法还包括:
获取本次权限提升攻击的环境中,所述数据库服务所具有的标准数据库列表和标准数据库用户列表;
根据本次权限提升攻击在所述数据库服务中达到的服务权限,确定预设的各数据库权限指标的指标值包括:
若本次权限提升攻击在所述数据库服务中达到的服务权限为数据库root权限,确定所述第一数据库权限指标的指标值为表征所述第一数据库权限指标与所述服务权限不匹配的指标值,并根据所述数据库用户列表与所述标准数据库用户列表的一致性比例,确定所述第二数据库权限指标的指标值;
若本次权限提升攻击在所述数据库服务中达到的服务权限为数据库普通用户权限,确定所述第二数据库权限指标的指标值为表征所述第二数据库权限指标与所述服务权限不匹配的指标值,并根据所述数据库列表与所述标准数据库列表的一致性比例,确定所述第一数据库权限指标的指标值。
8.一种效果评估装置,其特征在于,包括:获取模块、处理模块和效果确定模块;
所述获取模块,用于获取权限提升攻击程序进行本次权限提升攻击时所产生的靶机数据;所述靶机数据包括本次权限提升攻击后,所能获取到的靶机中目标服务的数据;
所述处理模块,用于根据所述靶机数据,确定本次权限提升攻击达到的系统权限以及本次权限提升攻击达到的目标服务的服务权限;并根据所述系统权限确定本次权限提升攻击的系统权限提升效果,根据所述服务权限确定本次权限提升攻击的服务权限提升效果;
所述效果确定模块,用于基于所述系统权限提升效果和所述服务权限提升效果确定本次权限提升攻击的效果。
9.一种电子设备,其特征在于,包括:处理器、存储器及通信总线;
所述通信总线用于实现处理器和存储器之间的连接通信;
所述处理器用于执行存储器中存储的一个或者多个程序,以实现如权利要求1至7任一项所述的效果评估方法。
10.一种可读存储介质,其特征在于,所述可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至7任一项所述的效果评估方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110634660.5A CN113094717B (zh) | 2021-06-08 | 2021-06-08 | 效果评估方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110634660.5A CN113094717B (zh) | 2021-06-08 | 2021-06-08 | 效果评估方法、装置、电子设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113094717A true CN113094717A (zh) | 2021-07-09 |
CN113094717B CN113094717B (zh) | 2021-09-21 |
Family
ID=76664455
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110634660.5A Active CN113094717B (zh) | 2021-06-08 | 2021-06-08 | 效果评估方法、装置、电子设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113094717B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090271863A1 (en) * | 2006-01-30 | 2009-10-29 | Sudhakar Govindavajhala | Identifying unauthorized privilege escalations |
CN102137115A (zh) * | 2011-04-22 | 2011-07-27 | 南京邮电大学 | 通信网恶意代码攻击效果评估方法 |
CN105119874A (zh) * | 2015-06-17 | 2015-12-02 | 广东电网有限责任公司信息中心 | 一种信息安全防护体系有效性评价的方法 |
CN109583056A (zh) * | 2018-11-16 | 2019-04-05 | 中国科学院信息工程研究所 | 一种基于仿真平台的网络攻防工具效能评估方法及系统 |
CN112217650A (zh) * | 2019-07-09 | 2021-01-12 | 北京邮电大学 | 网络阻塞攻击效果评估方法、装置及存储介质 |
CN112818352A (zh) * | 2021-02-22 | 2021-05-18 | 北京安华金和科技有限公司 | 数据库的检测方法及装置、存储介质及电子装置 |
-
2021
- 2021-06-08 CN CN202110634660.5A patent/CN113094717B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090271863A1 (en) * | 2006-01-30 | 2009-10-29 | Sudhakar Govindavajhala | Identifying unauthorized privilege escalations |
CN102137115A (zh) * | 2011-04-22 | 2011-07-27 | 南京邮电大学 | 通信网恶意代码攻击效果评估方法 |
CN105119874A (zh) * | 2015-06-17 | 2015-12-02 | 广东电网有限责任公司信息中心 | 一种信息安全防护体系有效性评价的方法 |
CN109583056A (zh) * | 2018-11-16 | 2019-04-05 | 中国科学院信息工程研究所 | 一种基于仿真平台的网络攻防工具效能评估方法及系统 |
CN112217650A (zh) * | 2019-07-09 | 2021-01-12 | 北京邮电大学 | 网络阻塞攻击效果评估方法、装置及存储介质 |
CN112818352A (zh) * | 2021-02-22 | 2021-05-18 | 北京安华金和科技有限公司 | 数据库的检测方法及装置、存储介质及电子装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113094717B (zh) | 2021-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109327439B (zh) | 业务请求数据的风险识别方法、装置、存储介质及设备 | |
US20230315863A1 (en) | Asset scoring method and apparatus, computer device, and storage medium | |
US8813229B2 (en) | Apparatus, system, and method for preventing infection by malicious code | |
CN114598504B (zh) | 一种风险评估方法、装置、电子设备及可读存储介质 | |
CN110532461B (zh) | 信息平台推送方法、装置、计算机设备及存储介质 | |
US10511974B2 (en) | System and method of identifying potentially dangerous devices during the interaction of a user with banking services | |
CN109815702B (zh) | 软件行为的安全检测方法、装置及设备 | |
CN112784281A (zh) | 一种工业互联网的安全评估方法、装置、设备及存储介质 | |
CN111931047A (zh) | 基于人工智能的黑产账号检测方法及相关装置 | |
CN114915475A (zh) | 攻击路径的确定方法、装置、设备及存储介质 | |
CN112528295B (zh) | 工业控制系统的漏洞修复方法及装置 | |
CN111783099B (zh) | 一种设备安全分析方法、装置及设备 | |
CN113094717B (zh) | 效果评估方法、装置、电子设备及可读存储介质 | |
CN116595554B (zh) | 基于多维度实现政务数据安全性分析方法及装置 | |
CN110442466B (zh) | 防止请求重复访问方法、装置、计算机设备及存储介质 | |
CN115913756A (zh) | 一种基于已知漏洞条目的网络设备漏洞验证方法 | |
CN115412358A (zh) | 网络安全风险评估方法、装置、电子设备及存储介质 | |
CN113094696A (zh) | 口令破解的效果评估方法、装置、电子设备及存储介质 | |
CN114925365A (zh) | 一种文件处理方法、装置、电子设备及存储介质 | |
CN111967043B (zh) | 确定数据相似度的方法、装置、电子设备及存储介质 | |
CN115086022B (zh) | 一种调整安全评估指标体系的方法及装置 | |
CN112764974B (zh) | 信息资产在线管理方法及系统 | |
US11249750B2 (en) | Implementing a distributed register to verify the stability of an application server environment for software development and testing | |
CN117034210B (zh) | 一种事件画像的生成方法、装置、存储介质及电子设备 | |
CN118153059A (zh) | 一种数据库安全审计方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |