CN114257423A - 一种基于攻击树的渗透测试综合效果评估方法及系统 - Google Patents

一种基于攻击树的渗透测试综合效果评估方法及系统 Download PDF

Info

Publication number
CN114257423A
CN114257423A CN202111471051.9A CN202111471051A CN114257423A CN 114257423 A CN114257423 A CN 114257423A CN 202111471051 A CN202111471051 A CN 202111471051A CN 114257423 A CN114257423 A CN 114257423A
Authority
CN
China
Prior art keywords
attack
effect
evaluation
comprehensive
tree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111471051.9A
Other languages
English (en)
Inventor
秦富童
刘义
袁学军
刘迎龙
王震
苗泉强
石鹏飞
王鹏
樊永文
吴皓敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Unit 63891 Of Pla
Original Assignee
Unit 63891 Of Pla
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Unit 63891 Of Pla filed Critical Unit 63891 Of Pla
Priority to CN202111471051.9A priority Critical patent/CN114257423A/zh
Publication of CN114257423A publication Critical patent/CN114257423A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种基于攻击树的渗透测试综合效果评估方法,其基于攻击链模型将渗透测试划分为多个攻击阶段,针对每个攻击阶段,建立网络攻击子树,并根据各个攻击阶段之间的关系,将攻击子树组合为一个完整的攻击树;计算各叶子节点的攻击效果;根据攻击树中各节点之间的关系,对整个渗透测试过程的综合效果进行评估;同时,公开一种基于攻击树的渗透测试综合效果评估系统。本发明能够良好地刻画攻击的全过程,使得渗透测试效果的评估不仅仅关注最终的攻击效果,更能反映攻击各个阶段的特性,对评估网络系统的安全性更加具有指导意义。

Description

一种基于攻击树的渗透测试综合效果评估方法及系统
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种基于攻击树的渗透测试综合效果评估方法及系统。
背景技术
随着网络和信息技术的不断发展,计算机网络在人们工作和生活的各个领域发挥的作用越来越重要。伴随着网络的发展,也产生了各式各样的网络安全问题。了解掌握网络面临的各种安全威胁,防范和消除这些威胁,确保网络安全已经成了各领域关注的重点。渗透测试通过运用相关的技术方法和一些专业工具模拟真实的网络攻击,探测目标系统的安全漏洞、脆弱点,以此评估网络系统的安全性。对渗透测试进行综合效果评估,即是对网络攻击进行效果评估,通过具体的网络攻击建模手段,将网络系统在遭受外界网络攻击时的损伤程度给出定性、定量或者定性定量相结合的评估结果,以此度量系统的安全性。
当前,国内对网络攻击效果评估技术的研究工作主要是基于指标体系提出评估模型。这些评估方法对网络攻击行为自身的复杂度与攻击的有效性之间的关联关系研究不足,注重攻击结果多于攻击过程,忽略了过程的决策性。针对网络系统的渗透测试,具有渗透测试预案已知、测试环境可控、评估指标数据易获取等特点。针对网络系统渗透测试的效果评估更加注重攻击过程以及攻击自身的有效性。
发明内容
为了克服上述现有技术存在的不足,本发明的目的是提供一种基于攻击树的渗透测试综合效果评估方法及系统。
为实现上述发明目的,本发明采用如下技术方案:
一种基于攻击树的渗透测试综合效果评估方法,其包括以下步骤:
步骤S1、基于攻击链模型将渗透测试划分为多个攻击阶段,针对每个攻击阶段,建立网络攻击子树,并根据各个攻击阶段之间的关系,将攻击子树组合为一个完整的攻击树;
步骤S2、基于递归层次分析法的渗透测试效果综合量化评估:计算各叶子节点的攻击效果;根据攻击树中各节点之间的关系,对整个渗透测试过程的综合效果进行评估。
进一步地,上述的步骤S1,其包括以下步骤:
S1.1、基于攻击树的渗透测试任务建模:将最终攻击目的作为攻击树的根节点,网络渗透攻击的各个阶段分别建立攻击树,作为整个网络渗透攻击任务攻击树的子节点;算法步骤如下:
S1.11、根据网络攻击机理和经典攻击链模型,将网络渗透攻击划分为N个阶段,1≤N≤7;
S1.12、针对各个阶段的攻击目标,依据网络渗透攻击任务预案枚举出攻击事件,确定攻击事件之间的“与”、“或”、“顺序与”关系,建立各阶段的攻击子树;
S1.13、根据网络渗透攻击任务各阶段攻击子树间的顺序关系,以及各阶段攻击子目标和整体攻击目标的关系,合并各阶段攻击子树,构建网络渗透攻击任务整体的攻击树。
进一步地,上述的步骤S2,其包括以下步骤:
S2.1、选择合适的指标体系和评估方法,计算攻击树中各叶子节点的攻击效果值;
S2.2、根据攻击树节点深度和节点之间关系,从低到高依次计算各节点的攻击效果值;算法如下:
假设两个子节点的攻击效果分别为R1和R2,根据节点间的关系,按照如下的计算方法得到父节点的综合攻击效果R;
(1)、若两个子节点之间为“与”关系,则父节点的综合攻击效果R为各子节点攻击效果之积的均方根值,即
Figure BDA0003392232330000031
(2)、若两个子节点之间为“或”关系,则父节点的综合攻击效果R为各子节点中攻击效果的最大值,即
R=R1VR2
(3)、若两个子节点之间为“顺序与”关系,当子节点执行顺序无误时,父节点的综合攻击效果R为各子节点攻击效果之积的均方根值;当子节点执行顺序有误时,父节点的综合攻击效果R为0,即
Figure BDA0003392232330000032
S2.3、根据步骤S2.2计算所得的攻击树根节点的攻击效果值,即为网络渗透测试任务的综合效果评估结果。
一种基于攻击树的渗透测试综合效果评估系统,其包括配置管理分模块、攻击建模分模块、评估指标体系库、效果评估模型库、综合效果评估分模块和数据处理分模块;
所述配置管理分模块,用于对评估指标的更新、效果评估模型的更新及参数配置和评估结果描述的配置进行管理;
所述攻击建模分模块,用于根据攻击任务采用向导式方法为网络攻击效果评估分系统建立攻击模型;
所述评估指标体系库,用于存储各类网络攻击效果评估指标体系,可根据需要对指标体系进行修改完善;
所述效果评估模型库,用于存储各类网络攻击效果评估模型和综合效果评估模型,可根据需求对效果评估模型进行修改完善;
所述综合效果评估分模块,用于根据建模结果,从攻击评估指标库选择符合该攻击类型所属后果的相关指标,并根据指标定性定量特征,从效果评估模型库选择合适的评估模型,生成层次化攻击效果评估报告;
所述数据处理分模块,用于进行攻击数据的预处理和存储。
由于采用如上所述的技术方案,本发明具有如下优越性:
本发明基于攻击树的渗透测试综合效果评估方法,其采用向导式方法,指导用户将复杂的渗透测试过程根据攻击阶段建模为不同的攻击子树,并根据各攻击子树之间的关系建立完整的渗透测试任务攻击树。对渗透测试效果进行评估,即是对攻击树进行评估,具体的可以首先对不同攻击子树的攻击效果进行评估,然后依据攻击子树之间的关系,按照递归层次分析法进行综合评估;能够良好地刻画攻击的全过程,使得渗透测试效果的评估不仅仅关注最终的攻击效果,更能反映攻击各个阶段的特性,对评估网络系统的安全性更加具有指导意义。
本发明基于攻击树的渗透测试综合效果评估系统,其能够根据攻击子树的攻击类型选择适合的评估指标和评估方法模型,使得系统具有较强的灵活性和扩展性;能够对各攻击子树进行评估,充分反映渗透测试各阶段目标系统的被攻击情况,使得目标系统建设者能够更加准确的了解系统的安全细节,对评估目标系统的网络安全更加具有指导意义。
附图说明
图1是本发明基于攻击树的渗透测试综合效果评估方法的流程图;
图2是图1中的攻击树模型一实施例的结构图;
图3是图1中的攻击树模型中的节点表示的示意图;
图4是本发明基于攻击树的渗透测试综合效果评估方法实施例之一网络拓扑结构图;
图5是图4中的攻击树建模步骤的目标侦查阶段的攻击子树结构图;
图6是图4中的攻击树建模步骤的命令和控制阶段的攻击子树结构图;
图7是图4中的攻击树建模步骤的行动阶段的攻击子树结构图;
图8是图4中的攻击树建模步骤的渗透测试任务的攻击树结构图。
具体实施方式
下面结合附图和实施例对本发明的技术方案作进一步详细说明。
如图1所示,一种基于攻击树的渗透测试综合效果评估方法,其步骤为:基于预设的渗透测试任务执行相应的网络渗透攻击并获取到攻击数据,得到原始的攻击结果指标数据;由于网络渗透攻击是分阶段进行的,在攻击树模型中表现为不同阶段的攻击子树;因此,需要对攻击子树对应的指标数据进行提取,利用主观赋权与客观赋权相结合的方法对各个指标的权重赋值,并根据指标类型选择相应的评估模型,包括灰色关联评估模型、逼近理想解评估模型以及模糊综合评估模型,通过评估模型获得攻击子树节点的评估结果;通过判断子树之间的与/或关系,结合各个子树的评估结果进行综合的量化评估,最终得到整棵攻击树的综合效能评估结果。
上述的基于攻击树的渗透测试综合效果评估方法,其包括以下具体步骤:
步骤S1、基于攻击树的渗透测试任务建模
在渗透测试过程中,为了达到最终的攻击目的,一个完整的渗透攻击过程总是由许多相对独立的组成元素所构成的。每一个攻击的组成元素有其明确的攻击目标,一个渗透攻击过程的成功取决于各个攻击元素的效果。
因此,本发明依据经典攻击链模型,将网络渗透攻击过程划分成目标侦查、武器化、交付、漏洞利用、安装、命令和控制、以及行动七个阶段。
具体算法步骤如下:
S1.11、根据网络攻击机理和经典攻击链模型,将网络渗透攻击划分为N个阶段,1≤N≤7;
S1.12、针对各个阶段的攻击目标,依据网络渗透攻击任务预案枚举出攻击事件,确定攻击事件之间的“与”、“或”、“顺序与”关系,建立各阶段的攻击子树;
S1.13、根据网络渗透攻击任务各阶段攻击子树间的顺序关系,以及各阶段攻击子目标和整体攻击目标的关系,合并各阶段攻击子树,构建网络渗透攻击任务整体的攻击树。
攻击树模型是为了针对系统的威胁和攻击进行建模而设计的一种模型,攻击树可以结构化地表现出网络攻击的特征并很好地刻画攻击任务的全过程。每一网络攻击都沿着攻击树上的某一路径逐步演化和发展,至成功结束个或者被迫终止。在网络渗透攻击中,将网络渗透攻击的相关属性和攻击树模型的要素对应起来,即可设计出攻击树模型。具体对应关系如表1所示。
表1网络攻击和攻击树模型的要素对应表
网络渗透攻击要素 攻击树模型要素
攻击目标 根节点
初始攻击事件 叶节点
攻击子目标 内部节点
攻击事件 内部节点
攻击事件的转换 边(子节点到父节点)
通过将网络攻击的各要素映射到攻击树模型,能够建立基于攻击树的网络渗透攻击模型,如图2所示。
1、攻击目标
攻击目标是指网络渗透攻击要达到的效果,攻击者在达到攻击目标后可能会造成不良影响,例如信息窃取、恶意篡改数据、设备或系统瘫痪等。在一个网络攻击场景中可存在多个攻击目标,在本发明中,将最终攻击目标称为攻击目标,中间的攻击目标称为攻击子目标。
2、攻击事件
攻击事件是指在一定时间范围内主机或网络中发生的特定攻击行为。
3、攻击事件的转换
A攻击事件转换到B攻击事件的条件是:
1)、攻击者已完成A攻击事件;
2)、若A为或节点,条件满足;若A为顺序与节点,攻击者还需完成与A配对的其它顺序与节点攻击事件。
4、节点
节点表示攻击事件或攻击子目标,攻击树的边是由子节点指向父节点的有向边,表示攻击事件(或子目标)的转换,由于在攻击树中,所有的边均是从子节点指向父节点,为简化分析,本发明在后续攻击树的图形表示中未添加方向箭头。
攻击树是以攻击目标为中心进行建模的,且节点之间存在不同的逻辑关系。在攻击树模型中,使用树状结构描述系统受到的网络攻击,根节点是攻击目标,达到目标的不同方法则用叶节点表示,非叶节点表示攻击的各子目标,包括“与”、“或”、“顺序与”三种类型,如图3所示,分别表示要达到攻击目标所需要满足的子目标之间的逻辑关系。
“与”节点所表示的目标的条件是其相关的子节点对应的子目标都要满足,“或”节点则是满足任意一个子目标即可,“顺序与”为“真”的条件是其子结点必须都为“真”,并且子结点为“真”满足特定的先后顺序。
步骤S2、基于递归层次分析法的渗透测试效果综合量化评估
一次完整的网络渗透测试,一般均由多个攻击阶段组成,如何将多个攻击阶段的攻击效果进行综合以反映整个网络渗透测试任务的攻击效果,即是网络渗透测试综合效果评估的最终目的。
由攻击树建模方法得知,攻击树的根节点代表攻击的最终目标,子节点表示实现该目标的子目标,层层细化,从叶节点到根节点的路径表示实现对目标进行攻击的一个完整渗透攻击过程。在实际应用中,子目标之间通常存在严格的顺序约束关系,攻击树中包含“与”、“或”、“顺序与”三种节点关系。“与”表示节点代表的手段和方法要同时完成才可以实现父节点,“或”表示只要完成其中一个子节点就可以实现父节点,“顺序与”表示节点必须按照顺序依次完成才能实现父节点目标。
为充分体现网络渗透测试过程的决策性,依据攻击树节点关系设计网络渗透攻击效果的综合量化评估方法,具体计算步骤如下:
S2.1、选择合适的指标体系和评估方法,计算攻击树中各叶子节点的攻击效果值;
S2.2、根据攻击树节点深度和节点之间关系,从低到高依次计算各节点的攻击效果值;具体算法如下:
以R表示目标网络被攻击后的破坏程度,破坏程度越大,攻击效果越好;
假设两个子节点的攻击效果分别为R1和R2,根据节点间的关系,按照如下的计算方法得到父节点的综合攻击效果R;
(1)、若两个子节点之间为“与”关系,则父节点的综合攻击效果R为各子节点攻击效果之积的均方根值,即
Figure BDA0003392232330000081
(2)、若两个子节点之间为“或”关系,则父节点的综合攻击效果R为各子节点中攻击效果的最大值,即
R=R1VR2
(3)、若两个子节点之间为“顺序与”关系,当子节点执行顺序无误时,父节点的综合攻击效果R为各子节点攻击效果之积的均方根值;当子节点执行顺序有误时,父节点的综合攻击效果R为0,即
Figure BDA0003392232330000082
S2.3、根据步骤S2.2计算所得的攻击树根节点的攻击效果值,即为网络渗透测试任务的综合效果评估结果。
一种基于攻击树的渗透测试综合效果评估系统,其包括配置管理分模块、攻击建模分模块、评估指标体系库、效果评估模型库、综合效果评估分模块和数据处理分模块;
所述配置管理分模块,用于对评估指标的更新、效果评估模型的更新及参数配置和评估结果描述的配置进行管理;
所述攻击建模分模块,用于根据攻击任务采用向导式方法为网络攻击效果评估分系统建立攻击模型;
所述评估指标体系库,用于存储各类网络攻击效果评估指标体系,可根据需要对指标体系进行修改完善;
所述效果评估模型库,用于存储各类网络攻击效果评估模型和综合效果评估模型,可根据需求对效果评估模型进行修改完善;
所述综合效果评估分模块,用于根据建模结果,从攻击评估指标库选择符合该攻击类型所属后果的相关指标,并根据指标定性定量特征,从效果评估模型库选择合适的评估模型,生成层次化攻击效果评估报告;
所述数据处理分模块,用于进行攻击数据的预处理和存储。
上述的基于攻击树的渗透测试综合效果评估系统,其首先根据网络渗透攻击任务信息进行攻击建模,生成攻击树模型;然后配置管理分模块根据攻击树模型匹配相应的攻击效果评估指标体系和效果评估模型;在获取攻击结果数据后,通过数据处理分模块将结果数据录入,并规范化为指标体系相应指标数值,最终由综合效果评估分模块根据评估指标、评估模型和攻击模型计算得出网络攻击综合效果,并按照预定设置生成评估报告。
下面以典型DDoS阻瘫渗透测试攻击任务为例对本发明基于攻击树的渗透测试综合效果评估方法进行详细说明。
(1)、渗透测试攻击预案
渗透测试人员首先扫描目标网络中的活动主机,搜寻每个活动主机的授权用户和开放的服务;然后,利用相关服务的漏洞或破解ssh服务的用户密码,远程登录至傀儡主机,在傀儡主机上执行攻击命令;最后,分别尝试采用SYN-Flooding攻击、ICMP包攻击和UDP包攻击等直接DDoS攻击,采用TCPSYN包攻击和Smurf攻击等反射DDoS攻击,对目标主机发起DDoS攻击。具体实验网络拓扑结构如图4所示。
(2)、渗透测试任务攻击树建模
根据经典攻击链模型和渗透测试攻击预案,将渗透测试任务划分为三个阶段,分别是目标侦查、命令和控制、以及行动。
渗透测试任务在目标侦查阶段的攻击子目标是发现目标主机和傀儡主机,并对目标主机和傀儡主机进行勘查,主要包括三个攻击事件:搜寻活动主机、搜寻授权用户、搜寻开放的服务,三个攻击事件之间是“或”关系。此阶段的攻击子树如图5所示。
渗透测试任务在命令和控制阶段的攻击子目标是控制傀儡主机,利用傀儡主机的资源对目标主机发起攻击,主要包括两个攻击事件:远程登录至傀儡主机、执行攻击命令。两个事件之间是“顺序与”关系,首先登录至傀儡主机,然后才能执行攻击命令。此阶段的攻击子树如图6所示。
渗透测试任务在行动阶段的攻击子目标是进行DDoS攻击,通过在傀儡主机上执行不同的攻击命令,实现不同方式的DDoS攻击,主要包括“直接DDoS攻击”和“反射DDoS攻击”两个攻击场景。“直接DDoS攻击”攻击场景下包括SYN-Flooding攻击、ICMP包攻击和UDP包攻击三个攻击事件,各攻击事件之间是“或”关系。“反射DDoS攻击”攻击场景下包括TCP SYN包攻击和Smurf攻击两个攻击事件,各攻击事件之间是“或”关系。此阶段的攻击子树如图7所示。
最后,根据渗透测试任务各阶段攻击子树间的顺序关系,以及各阶段的攻击子目标和整体攻击目标的关系,合并各阶段攻击子树,构建DDoS攻击整体的攻击树,如图8所示。
(3)、渗透测试任务综合效果评估
采用基于递归层次分析法的攻击效果综合量化评估方法,对渗透测试任务综合效果进行评估,具体实施步骤如下:
S3.1、计算攻击树中各叶子节点的攻击效果值,表2所示内容为图8所示攻击树中各叶子节点的攻击效果值。对于各叶子节点的攻击效果评估值计算方法,为已成熟的现有技术,故在此不再赘述。
表2攻击树各叶子节点攻击效果评估值
攻击树叶子节点 攻击效果评估值
搜寻活动主机 0.40961
搜寻授权用户 0.40305
搜寻已开放服务 0.40259
远程登录至傀儡主机 0.41778
SYN-Flooding攻击 0.41691
ICMP包攻击 0.42469
UDP包攻击 0.41164
TCP SYN包攻击 0.42469
Smurf攻击 0.42756
Smurf攻击 0.42756
S3.2、根据攻击树节点深度和节点之间关系,从低到高依次计算各节点的攻击效果值,具体算法如下:
S3.21、“SYN-Flooding攻击”、“ICMP包攻击”和“UDP包攻击”子节点之间为“或”关系,则“直接DDoS攻击”节点的综合攻击效果R为各子节点中评估结果量化值的最大值,即“直接DDoS攻击”节点的综合量化评估结果数值为0.42469;
S3.22、“TCP SYN包攻击”和“Smurf攻击”子节点之间为“或”关系,则“反射DDoS攻击”节点的综合攻击效果R为各子节点中评估结果量化值的最大值,即“反射DDoS攻击”节点的综合量化评估结果数值为0.42756;
S3.23、“直接DDoS攻击”和“反射DDoS攻击”子节点之间为“或”关系,则“执行攻击命令”节点的综合攻击效果R为各子节点中评估结果量化值的最大值,即“执行攻击命令”节点的综合量化评估结果数值为0.42756;
S3.24、“搜寻活动主机”、“搜寻授权用户”和“搜寻已开放服务”子节点之间为“或”关系,则“主机勘查”节点的综合攻击效果R为各子节点中评估结果量化值的最大值,即“主机勘查”节点的综合量化评估结果数值为0.40961;
S3.25、“远程登录至傀儡主机”和“执行攻击命令”子节点之间为“顺序与”关系,则“控制傀儡主机”节点的综合攻击效果R为各子节点综合评估结果之积的均方根值,即“控制傀儡主机”节点的综合量化评估结果数值为0.42264;
S3.26、“主机勘查”和“控制傀儡主机”子节点之间为“顺序与”关系,则“DDoS攻击”节点的综合攻击效果R为各子节点综合评估结果之积的均方根值,即“DDoS攻击”节点的综合量化评估结果数值为0.41607。
S3.3、结合上述各评估步骤或知,该渗透测试任务的综合量化评估结果数值为0.41607。
以上所述仅为本发明的较佳实施例,而非对本发明的限制,在不脱离本发明的精神和范围的情况下,凡依本发明申请专利范围所作的均等变化与修饰,皆应属本发明的专利保护范围之内。

Claims (4)

1.一种基于攻击树的渗透测试综合效果评估方法,其特征是:其包括以下步骤:
步骤S1、基于攻击链模型将渗透测试划分为多个攻击阶段,针对每个攻击阶段,建立网络攻击子树,并根据各个攻击阶段之间的关系,将攻击子树组合为一个完整的攻击树;
步骤S2、基于递归层次分析法的渗透测试效果综合量化评估:计算各叶子节点的攻击效果;根据攻击树中各节点之间的关系,对整个渗透测试过程的综合效果进行评估。
2.根据权利要求1所述的基于攻击树的渗透测试综合效果评估方法,其特征是:其步骤S1包括以下步骤:
S1.1、基于攻击树的渗透测试任务建模:将最终攻击目的作为攻击树的根节点,网络渗透攻击的各个阶段分别建立攻击树,作为整个网络渗透攻击任务攻击树的子节点;算法步骤如下:
S1.11、根据网络攻击机理和经典攻击链模型,将网络渗透攻击划分为N个阶段,1≤N≤7;
S1.12、针对各个阶段的攻击目标,依据网络渗透攻击任务预案枚举出攻击事件,确定攻击事件之间的“与”、“或”、“顺序与”关系,建立各阶段的攻击子树;
S1.13、根据网络渗透攻击任务各阶段攻击子树间的顺序关系,以及各阶段攻击子目标和整体攻击目标的关系,合并各阶段攻击子树,构建网络渗透攻击任务整体的攻击树。
3.根据权利要求1所述的基于攻击树的渗透测试综合效果评估方法,其特征是:其步骤S2包括以下步骤:
S2.1、选择合适的指标体系和评估方法,计算攻击树中各叶子节点的攻击效果值;
S2.2、根据攻击树节点深度和节点之间关系,从低到高依次计算各节点的攻击效果值;算法如下:
假设两个子节点的攻击效果分别为R1和R2,根据节点间的关系,按照如下的计算方法得到父节点的综合攻击效果R;
(1)、若两个子节点之间为“与”关系,则父节点的综合攻击效果R为各子节点攻击效果之积的均方根值,即
Figure FDA0003392232320000021
(2)、若两个子节点之间为“或”关系,则父节点的综合攻击效果R为各子节点中攻击效果的最大值,即
R=R1∨R2
(3)、若两个子节点之间为“顺序与”关系,当子节点执行顺序无误时,父节点的综合攻击效果R为各子节点攻击效果之积的均方根值;当子节点执行顺序有误时,父节点的综合攻击效果R为0,即
Figure FDA0003392232320000022
S2.3、根据步骤S2.2计算所得的攻击树根节点的攻击效果值,即为网络渗透测试任务的综合效果评估结果。
4.一种基于攻击树的渗透测试综合效果评估系统,其特征是:其包括配置管理分模块、攻击建模分模块、评估指标体系库、效果评估模型库、综合效果评估分模块和数据处理分模块;
所述配置管理分模块,用于对评估指标的更新、效果评估模型的更新及参数配置和评估结果描述的配置进行管理;
所述攻击建模分模块,用于根据攻击任务采用向导式方法为网络攻击效果评估分系统建立攻击模型;
所述评估指标体系库,用于存储各类网络攻击效果评估指标体系,可根据需要对指标体系进行修改完善;
所述效果评估模型库,用于存储各类网络攻击效果评估模型和综合效果评估模型,可根据需求对效果评估模型进行修改完善;
所述综合效果评估分模块,用于根据建模结果,从攻击评估指标库选择符合该攻击类型所属后果的相关指标,并根据指标定性定量特征,从效果评估模型库选择合适的评估模型,生成层次化攻击效果评估报告;
所述数据处理分模块,用于进行攻击数据的预处理和存储。
CN202111471051.9A 2021-12-03 2021-12-03 一种基于攻击树的渗透测试综合效果评估方法及系统 Pending CN114257423A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111471051.9A CN114257423A (zh) 2021-12-03 2021-12-03 一种基于攻击树的渗透测试综合效果评估方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111471051.9A CN114257423A (zh) 2021-12-03 2021-12-03 一种基于攻击树的渗透测试综合效果评估方法及系统

Publications (1)

Publication Number Publication Date
CN114257423A true CN114257423A (zh) 2022-03-29

Family

ID=80793916

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111471051.9A Pending CN114257423A (zh) 2021-12-03 2021-12-03 一种基于攻击树的渗透测试综合效果评估方法及系统

Country Status (1)

Country Link
CN (1) CN114257423A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115811550A (zh) * 2022-12-19 2023-03-17 深信服科技股份有限公司 攻击信息呈现方法、装置、平台及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170171230A1 (en) * 2015-12-09 2017-06-15 Checkpoint Software Technologies Ltd. Method and system for detecting and remediating polymorphic attacks across an enterprise
CN109117637A (zh) * 2018-07-03 2019-01-01 北京航空航天大学 基于攻击树的智能网联车辆信息安全事件发生概率评估方法与系统
CN112039914A (zh) * 2020-09-07 2020-12-04 中国人民解放军63880部队 一种网络攻击链效率建模方法
US20210092153A1 (en) * 2018-02-05 2021-03-25 Chongqing University Of Posts And Telecommunications Ddos attack detection and mitigation method for industrial sdn network
US20210234883A1 (en) * 2020-01-28 2021-07-29 International Business Machines Corporation Combinatorial test design for optimizing parameter list testing

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170171230A1 (en) * 2015-12-09 2017-06-15 Checkpoint Software Technologies Ltd. Method and system for detecting and remediating polymorphic attacks across an enterprise
US20210092153A1 (en) * 2018-02-05 2021-03-25 Chongqing University Of Posts And Telecommunications Ddos attack detection and mitigation method for industrial sdn network
CN109117637A (zh) * 2018-07-03 2019-01-01 北京航空航天大学 基于攻击树的智能网联车辆信息安全事件发生概率评估方法与系统
US20210234883A1 (en) * 2020-01-28 2021-07-29 International Business Machines Corporation Combinatorial test design for optimizing parameter list testing
CN112039914A (zh) * 2020-09-07 2020-12-04 中国人民解放军63880部队 一种网络攻击链效率建模方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
卢继军,黄刘生,吴树峰: "基于攻击树的网络攻击建模方法", 计算机工程与应用, no. 27, pages 160 - 163 *
王赛娥等: "一种基于攻击树的4G网络安全风险评估方法", 《计算机工程 》, no. 3, pages 139 - 146 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115811550A (zh) * 2022-12-19 2023-03-17 深信服科技股份有限公司 攻击信息呈现方法、装置、平台及存储介质
CN115811550B (zh) * 2022-12-19 2024-05-28 深信服科技股份有限公司 攻击信息呈现方法、装置、平台及存储介质

Similar Documents

Publication Publication Date Title
CN105871882B (zh) 基于网络节点脆弱性和攻击信息的网络安全风险分析方法
Navarro et al. A systematic survey on multi-step attack detection
CN107241226B (zh) 基于工控私有协议的模糊测试方法
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
CN108259498B (zh) 一种基于人工蜂群优化的bp算法的入侵检测方法及其系统
CN111565205A (zh) 网络攻击识别方法、装置、计算机设备和存储介质
CN101494535A (zh) 基于隐马尔可夫模型的网络入侵场景构建方法
CN110896386B (zh) 识别安全威胁的方法、装置、存储介质、处理器和终端
CN112491860A (zh) 一种面向工业控制网络的协同入侵检测方法
CN111641634A (zh) 一种基于蜜网的工业控制网络主动防御系统及其方法
CN111049827A (zh) 一种网络系统安全防护方法、装置及其相关设备
Zhao Network intrusion detection system model based on data mining
CN111709022A (zh) 基于ap聚类与因果关系的混合报警关联方法
CN114499982A (zh) 蜜网动态配置策略生成方法、配置方法及存储介质
CN114257423A (zh) 一种基于攻击树的渗透测试综合效果评估方法及系统
CN116684182A (zh) 一种基于异常流量识别的信息拦截方法及系统
CN108494772A (zh) 模型优化、网络入侵检测方法及装置和计算机存储介质
CN115883213A (zh) 基于连续时间动态异质图神经网络的apt检测方法及系统
CN116582349A (zh) 基于网络攻击图的攻击路径预测模型生成方法及装置
Tao et al. A hybrid alarm association method based on AP clustering and causality
CN110995747A (zh) 一种分布式存储安全性分析方法
Qin et al. Frequent episode rules for intrusive anomaly detection with internet datamining
Luo et al. A fictitious play‐based response strategy for multistage intrusion defense systems
Bertino et al. Securing dbms: characterizing and detecting query floods
Sen et al. On holistic multi-step cyberattack detection via a graph-based correlation approach

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination