CN114363903A - 基于本体规则的核心网安全渗透测试方法、系统及设备 - Google Patents
基于本体规则的核心网安全渗透测试方法、系统及设备 Download PDFInfo
- Publication number
- CN114363903A CN114363903A CN202210009030.3A CN202210009030A CN114363903A CN 114363903 A CN114363903 A CN 114363903A CN 202210009030 A CN202210009030 A CN 202210009030A CN 114363903 A CN114363903 A CN 114363903A
- Authority
- CN
- China
- Prior art keywords
- security
- ontology
- core network
- attack
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012360 testing method Methods 0.000 title claims abstract description 88
- 230000035515 penetration Effects 0.000 title claims abstract description 85
- 238000000034 method Methods 0.000 claims abstract description 94
- 238000001514 detection method Methods 0.000 claims abstract description 82
- 230000008569 process Effects 0.000 claims abstract description 56
- 230000007123 defense Effects 0.000 claims abstract description 32
- 238000010276 construction Methods 0.000 claims abstract description 13
- 230000006399 behavior Effects 0.000 claims description 24
- 238000004891 communication Methods 0.000 claims description 11
- 230000000694 effects Effects 0.000 claims description 9
- 150000001875 compounds Chemical class 0.000 claims description 8
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 4
- 238000004519 manufacturing process Methods 0.000 claims description 4
- 230000008595 infiltration Effects 0.000 abstract description 5
- 238000001764 infiltration Methods 0.000 abstract description 5
- 238000013523 data management Methods 0.000 description 20
- 238000003860 storage Methods 0.000 description 13
- 238000007726 management method Methods 0.000 description 10
- 238000004458 analytical method Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 8
- 238000013461 design Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 230000008901 benefit Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 238000012795 verification Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 239000000243 solution Substances 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 4
- 238000011160 research Methods 0.000 description 4
- 238000004088 simulation Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 231100000572 poisoning Toxicity 0.000 description 3
- 230000000607 poisoning effect Effects 0.000 description 3
- 230000011664 signaling Effects 0.000 description 3
- 239000012085 test solution Substances 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 241001463014 Chazara briseis Species 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 230000033772 system development Effects 0.000 description 2
- 238000010998 test method Methods 0.000 description 2
- 241001397173 Kali <angiosperm> Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000003416 augmentation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000013077 scoring method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于5G网络安全技术领域,公开了一种基于本体规则的核心网安全渗透测试方法、系统及设备。本发明的方法包括:构造体现核心网语义的模型;针对特定攻击构造安全检测规则;将所述安全检测规则和领域模型放入推理机,推理出在服务执行过程中可能出现的漏洞、攻击链和/或相应的防御链;执行渗透测试。本发明针对目前缺乏体现核心网语义的渗透测试系统的现状,采用基于本体的表示方法,建立核心网的本体模型;并根据语义模型为关键网元构造安全检测规则,实现漏洞和攻击链的发现;根据攻击链的发现结果完成防御链构造。
Description
技术领域
本发明属于5G网络安全技术领域,具体涉及一种基于本体规则的核心网安全渗透测试方法、系统及设备。
背景技术
目前国际标准化组织3GPP定义的5G安全需求主要适用于三种应用场景,即增强移动宽带(eMBB,Enhanced Mobile Broadband)、海量机器类通信(mMTC,massive MachineType Communication)、以及超可靠低时延通信(uRLLC,ultra-Reliable Low LatencyCommunication)。除了承载传统的语音和数据业务,大量垂直行业应用,诸如物联网、车联网、远程数据服务、虚拟现实、现实增强应用等也将通过5G网络得以实现和普及。为提高系统的灵活性和效率,并降低成本,5G网络架构将引入新的IT技术,如虚拟化和软件定义网络(SDN,Software Defined Network)/网络功能虚拟化(NFV,NetworkFunctionVirtualization)。
在传统通信网络中,系统中功能网元的保护很大程度上依赖于对物理设备的安全隔离。但SDN与NFV技术的应用,使得部分功能网元以虚拟功能网元的形式部署在云化的基础设施上。在这种情况下,5G网络系统的安全需求面临着更大的挑战,主要体现在SDN与NFV技术在解耦设备的控制面和数据面,为基于多厂家通用IT硬件平台建立新型的设备信任关系创造了有利条件,但是也给安全方面带来很多问题。首先是传统封闭管理模式下的安全边界和保障模式都在发生深刻变化,业务的开放性、用户的自定义和资源的可视化应用给云平台的安全可信带来前所未有的挑战;其次,计算、存储及网络资源共享化,会引入虚拟机安全、虚拟化软件安全、数据安全等问题;最后,部署集中化,通用硬件会导致病毒在集中部署区域迅速传播,硬件漏洞更容易被攻击者发现和利用。
为此,需要针对5G网络结构及其安全需求进行分析,探索实现5G体系结构内生安全的方法。特别是在网元软件化、设备虚拟化、控制集中化的情况下,将软件工程领域中已成熟的软件安全保障方法,例如基于本体规则的形式化建模与形式化验证方法应用于5G网络安全分析与安全攻防领域,是一种另辟蹊径的安全问题解决方案。
根据中国移动研究院与国家电网、华为、腾讯等单位联合发布的《网络切片分级白皮书》中关于5G网络切片安全能力的需求描述,为支持不同业务的端到端安全保护,需要灵活的安全架构,提供多层次的切片安全保障,当垂直行业用户有特定的安全需求时,可向运营商定制不同等级安全保护的网络切片。差异化安全能力包括以下三部分:
1、管理安全能力:包括安全态势可视能力和安全服务能力。需要提供用户面/信令面/管理面的安全监控可视化及用户行为可追溯,并且要求根据用户的分级需求提供差异化安全服务。
2、协议安全能力:包括接入鉴权、信令面及数据面保护、隐私保护以及SBA安全。要求支持灵活的二次鉴权,终端和gNB之间、终端和AMF之间提供对信令的强制完整性保护和可选的加密保护,对用户数据可选的加密保护和可选的完整性保护。使用临时用户识别(5G-GUTI或5G-TMSI)替代国际移动用户识别号(SUPI)进行保护,为解决UE初始接入消息用户信息泄露的风险,可使用增强空口隐私保护,即SUPI加密(SUCI)机制。5GC功能模块间可通过NRF发现及授权服务,可选使用HTTPS保护传递信息安全并通过TLS双向身份认证防止假冒NF接入网络,实现SBA架构下的安全能力。
3、设备资源安全能力:使用IPSec安全传输实现接入网与核心网之间N2/N3接口、UPF与企业云的N6接口、以及基站间Xn接口的传输安全,防止传输网络的数据泄密和非法篡改攻击。在切片内NF与外网设备间,部署虚拟防火墙或物理防火墙,保护切片内网与外网的安全。企业也可以选择部署智能防火墙,智能分析并识别N4和OM消息。
该白皮书提出的5G网络切片安全能力及切片分级建议分别如图1和图2所示。
根据上述描述可以看出,5G安全能力需求呈现出多元化与差异化的特点,在安全风险评估、攻击溯源与发现、安全验证等方面都提出了新的和更高的需求。同时,5G安全能力需求也面临着多方面的考验,突出的有以下两方面:
1、管理安全方面,针对5G安全的领域模型与可信性需求设计。
2、协议安全与设备安全方面,现有协议安全技术及协议的逻辑安全性在5G网络中的验证。
在管理安全方面,中国专利申请(申请号CN201710149619.2)公开了一种5G网络安全风险评估方法,包括:识别网络中的资产,评估资产在机密性、完整性、可用性、多方可信任性和可审计性方面的属性值,所述网络为5G网络;识别网络中的脆弱点,评估脆弱点对机密性、完整性、可用性、多方可信任性和可审计性方面的影响值;根据评估得到的属性值和影响值,计算网络遭攻击者攻击后的损失值;计算网络中脆弱点被攻击的概率;根据计算得到的网络遭攻击者攻击后的损失值和脆弱点被攻击的概率,计算网络的安全风险值。但上述方法是基于抽象的描述,分别使用机密性、完整性、可用性、多方可信任性等抽象属性及博弈论、Delphi专家打分法等分析方法对5G网络的安全风险进行评估;以及使用数据流规则匹配和行为识别的方法对5G网络中的用户行为进行安全审计。缺乏对核心网的网元进行具体且统一的领域模型构造和输出,特别是将安全/可信性需求融入后的领域模型构造,从而不易应用在网元互操作的具体安全特性验证上。
中国专利申请(申请号CN202011263887.5)公开了一种面向5G应用的数据安全监测系统,实现对核心网传输协议和应用协议还原;同时,以数据访问为切入点,建立数据安全风险监测自学习模型,利用模型对用户画像、操作行为、数据资源进而分析异常行为,同时根据标签化的用户画像管理,进行特征标识提取,并判断网络参与者是否偏离操作行为与内容,实现多5G数据安全场景下的异常行为识别。但该方法的自学习模型过于抽象,对于该模型的工作原理,只提到了“采用大数据平台提供的分布式计算能力、基础算法库、机器学习、深度学习等基础能力平台结合实际的业务来建立相关的业务模型”。对于该模型的学习过程并没有具体的描述。同时,该监测系统只提到“根据用户画像管理进行特征标识提取,判断网络参与者是否偏离操作行为与内容”,也缺乏根据领域模型的建立和训练发现具体的网元服务互操作流程中隐含漏洞,并在此基础上建立防御预警机制的内容。
在协议安全与设备安全方面,随着SDN与NFV技术成为5G网络设计和实现的主流技术,网元的设计、实现和部署呈现出服务化、软件化、虚拟化的特点。从而协议安全问题也更多的转化为网元(服务)的逻辑安全+应用协议安全问题。在这个领域,现有技术基本上集中于网元间鉴权机制的增强和隔离机制的设计上,缺乏对专网用户共享核心网情况下网元服务,特别是服务的安全性质需求进行统一的、形式化的描述,从而难以针对核心网部署灵活性的特点,适应不同类别的专网需求,快速构造出可重用的通用安全需求验证方案。
在互联网安全领域,通过使用渗透测试系统(例如安装在虚拟机上的kali Linux系统)对目标系统进行渗透测试已经成为通用的安全防护手段。渗透测试系统集成有多种不同类别的漏洞发现工具,用于针对不同类别的目标系统进行漏洞分析、模拟攻击和防御实验。例如针对https构造的中间人攻击、针对鉴权机制的加密算法破解攻击、以及针对无线网络设备的攻击等。但在渗透测试领域,攻防实验通常是集中针对某一类别的漏洞,缺乏整体的、形式化的漏洞发现和预测机制。也没有建立统一的漏洞攻防规则库,导致渗透测试的输出成果往往依赖于渗透测试工程师及其团队的个人经验和先验知识。这与实现系统内生安全的目标是相违背的。
而核心网可以被看作是一种具有特定功能和满足特定安全需求的互联网,不同网元被赋予不同的权重,在安全能力需求中担当不同的角色。因而互联网渗透测试中构造的攻击,在核心网中根据攻击对象(网元)的不同和攻击内容(数据)的不同,也需要具有不同的权重。
在软件工程领域,随着Web Services技术的发展,基于本体论的领域工程(DomainEngineering)作为一种使领域知识可重用的系统化方法在近年来得到了广泛应用。领域工程以领域知识库为输出,目的在于构造可重用的领域核心资产,并使得这些资产在应用系统开发中进行重用;与之相对应,应用工程(Application Engineering)包括所有通过重用领域中的核心资产而进行的应用系统开发活动。通过上述构造和重用,实现了以低成本快速交付某一领域中的新应用系统。目前,使用基于本体规则描述实现Internet环境下软件服务质量的验证方法得到了广泛应用。而核心网网元的运行环境具有与之类似的开放、异构、统一标准、参与实体复杂的特性,因此上述方法也适用于核心网网元的安全检测。
发明内容
本发明目的是:针对现有技术的不足,提供一种基于本体规则的安全渗透测试方法和系统,能够使用领域知识库对核心网进行语义建模,分析特定网元可能遇到的威胁和攻击手段,并通过安全检测规则自动发现网元运行中存在的逻辑漏洞和攻击链,构造相应的防御链,完成针对网元的渗透测试和安全等级审计。
具体地说,本发明是采用以下技术方案实现的。
一方面,本发明提供一种基于本体规则的核心网安全渗透测试方法,包括:
构造体现核心网语义的模型:将核心网的网元作为建模对象,分别构造该网元的领域模型;所述领域模型包括实体本体、操作本体和情境本体,所述实体本体包括所有的核心网网元,定义为角色;所述操作本体由过程、服务和目标三部分组成;其中,所述过程为网元中不可再分的操作,一组过程的集合构成所述服务;所述服务是网元中具有特定语义的功能组件,服务的集合构成操作本体;所述目标是所述服务完成后所达到的效果,通过安全检测规则来判定;所述情境本体用于对所述实体本体和操作本体运行的上下文环境进行建模,通过对象属性限定网元之间的服务调用关系;
构造安全检测规则并进行推理:针对特定攻击构造安全检测规则,判断指定角色提供的服务在执行过程中是否能达到目标;将所述安全检测规则和领域模型放入推理机,推理出在所述服务执行过程中可能出现的漏洞、攻击链和/或相应的防御链;
执行渗透测试:根据所述推理出的漏洞和攻击链执行渗透测试。
进一步地,所述情境本体通过用对象属性限定网元之间的服务调用关系包括:
当第一网元定义的操作A需要调用第二网元提供的服务B中的过程1时,定义对象属性中所述服务1的使用者是操作A,而被使用者是第二网元提供的服务B中的过程1。
进一步地,所述构造安全检测规则并进行推理包括:
分析针对网元之间通信协议的常见攻击类型,得到针对网元的原子攻击,通过对所述实体本体、实体操作、对象属性和安全检测规则的定义,以原子攻击为输入,利用推理机推理出复合攻击。
进一步地,所述构造体现核心网语义的领域模型的建模语言为OWL-S语言,所述安全检测规则的描述语言为SWRL语言。
进一步地,所述安全检测规则包括攻击规则和防御规则;所述攻击规则为用于分析攻击行为的安全检测规则,所述防御规则为用于分析防御行为的安全检测规则。
进一步地,所述基于本体规则的核心网安全渗透测试方法,还包括在所述构造体现核心网语义的领域模型的过程中,将安全渗透测试中构造的领域模型的权重转化为对应的操作本体的语义,具体方法包括:
1)构造基于核心网运行流程的情境本体;
2)构造攻击行为的情境本体;
3)设计符合所述SWRL语言语法规范的产生式规则,将安全检测中的安全等级以不同语义呈现。
另一方面,本发明提供一种基于本体规则的核心网安全渗透测试系统,以实现上述基于本体规则的安全渗透测试方法,包括领域建模子系统、安全检测规则子系统和渗透测试子系统;其中,
所述领域建模子系统完成安全渗透测试中体现核心网语义的领域模型的构造,从而完成对攻击者、攻击手段、攻击技术、破坏目标以及破环后果的知识构造;
所述安全检测规则子系统,通过分析领域模型,建立安全检测规则并发现漏洞和攻击链;
所述渗透测试子系统,在安全检测规则的指导下,利用渗透测试集成环境执行攻击,完成安全渗透测试。
进一步地,所述领域建模子系统还包括用户接口,用于定制符合特定需求的领域模型。
再一方面,本发明还提供一种基于本体规则的核心网安全渗透测试设备,所述设备包括存储器和处理;所述存储器存储有实现基于本体规则的核心网安全渗透测试方法的计算机程序,所述处理器执行所述计算机程序,以实现上述方法的步骤。
本发明的基于本体规则的核心网安全渗透测试方法、系统及设备的有益效果如下:
与针对互联网设备设计的渗透测试系统相比,本发明的基于本体规则的核心网安全渗透测试方法,首先通过构造统一的形式化领域模型反映核心网,作为一种特殊互联网的语义,主要是网元之间服务链的语义;之后通过构造安全检测规则实现针对特定攻击链的语义描述,最后通过推理机实现攻击链的自动发现和渗透测试分析报告。
通过设计面向核心网语义描述的领域知识库,完成针对核心网的语义描述和威胁建模。该领域知识库包括领域本体和领域模型。根据核心网的运行语义,领域本体包括实体本体与操作本体,领域模型包括角色、过程、服务和目标四部分,用于分析核心网中具有不同安全等级的重要资产(网元),以及可能出现的针对网元的威胁和攻击手段,输出可能对目标网元进行破坏的攻击者以及攻击者们可能使用的攻击方法。
通过编写基于领域知识库的安全检测规则并进行推理,自动分析和发现网元运行过程中存在的逻辑漏洞和攻击链,并构造相应的防御链。
本发明在上述设计的基础上,通过针对关键网元的渗透测试子系统,分别执行攻击链和防御链,完成渗透测试,并根据渗透测试结果判断该网元在不同场景下所具备的安全等级,输出针对核心网的渗透测试解决方案,实现网元内生安全。
附图说明
图1是5G网络切片安全能力要求示意图。
图2是5G网络切片分级建议流程图。
图3是核心网体系结构。
图4是本实施例的核心网安全渗透测试系统体系结构示意图。
图5是本实施例的AMF操作本体定义示意图。
图6是本实施例的Nudm_SDM_Info情境模型描述示意图。
图7是图6中左侧对象属性所在节点树窗口。
图8是图6中右下方对象属性描述窗口。
图9是本实施例的UDM-UDR体系结构示意图。
图10是本实施例的数据篡改攻击的对象关系定义示意图。
图11是图10中左侧对象属性所在节点树窗口。
图12是图10中右下方对象属性描述窗口。
图13是本实施例的非法访问攻击的对象关系定义示意图。
图14是图13中左侧对象属性所在节点树窗口。
图15是图13中右下方对象属性描述窗口。
图16是本实施例的网元UDM的服务Nudm_SDM_Subscribe调用网元UDR的Nudr_DM_Subscribe服务的过程中,针对非法访问攻击构造的安全检测规则及推理结果示意窗口。
图17是图16中左侧推理结果窗口。
图18是图16中右侧安全检测规则窗口。
图19是本实施例的网元UDM的服务Nudm_SDM_Get调用网元UDR的Nudr_DM_Query服务的过程中,攻击行为的安全检测规则及推理结果示意窗口。
图20是图19中左侧推理结果窗口。
图21是图19中右侧安全检测规则窗口。
具体实施方式
本发明的设计思路是将渗透测试与领域工程两种方法结合起来。首先,基于本体规则描述实现对核心网网元的服务的领域建模;输出结果为描述核心网网元的领域知识库。之后,在领域知识库的基础上,以针对网元的渗透测试作为研究对象,通过构造安全检测规则和推理,将渗透测试的语义转化为新的领域知识,发现网元运行和交互流程中的逻辑漏洞,从而验证网元服务在逻辑层面,即软件设计层面是否满足给定的安全需求。将上述验证结果输出为针对核心网的渗透测试解决方案,实现网元内生安全。
本发明的重点是构造针对核心网的自动化渗透测试系统,包括体现核心网语义的领域模型,以及体现攻击与防御行为语义的安全检测规则。领域模型包括实体本体、操作本体和情境本体。实体本体包括所有的网元,即角色;描述了领域中的实体概念及其之间的关联和约束;操作本体则由服务、过程和目标三部分组成;定义了领域中的功能概念及其之间的关联关系约束。其中,服务是网元中具有特定语义的功能组件,服务的集合构成操作本体;过程是操作本体模型的基本单元,为网元中不可再分的操作,一组过程的集合构成服务;目标是该服务完成后所达到的效果。领域模型包括角色、目标、过程和服务四部分,用于领域本体的详细刻画。安全检测规则(Rule)和对象关系(Objects Relationship)用于关联领域本体与领域模型,判断指定角色(网元的实体本体)提供的服务(网元的操作本体)在执行中(过程)是否能达到安全等级(目标)。服务和过程在领域模型中直接定义,目标通过产生式形式的安全检测规则来判定。
因此,本发明所要解决的问题包括以下两部分:
1)选择合适的描述语言,实现核心网网元的领域模型的构造,通过分析安全检测规则推理出网元运行流程中隐含的漏洞及攻击链,同时构造相应的防御链。
2)选择核心网中某一个或几个典型网元的运行场景进行分析。首先分析其服务的调用/被调用流程,之后增加攻击者、防御者角色,以及攻击操作/防御操作;通过对预置的安全攻击操作这一特殊本体的分析,设计出安全检测规则;之后将上述检测规则放入推理机,自动推理出攻击链与防御链;以防御链为领域模型,输出预测和检测攻击的解决方案。
根据3GPP Release16的定义,核心网是由IP网络承载、由多个网元组成的开放式系统,它负责用户设备(UE)、接入网(RAN)与数据网络(DN)之间的接入与移动性管理、会话管理、用户信息管理与鉴权、策略管理、统一数据管理等功能;它支持网元的分布式部署,并采用HTTP/2(IETF RFC7540)、https作为网元间的通信协议和服务调用协议。这使得核心网具有与Internet环境下Web Services相类似的运行环境,包括开放性、动态性、协同性和灵活性。
核心网的体系结构如图3所示。其中,AMF、SMF、UPF、AUSF、UDM、UDR(图3中未示出)和NRF是核心网中的核心功能,它们负责以安全方式建立会话、转发用户数据、为移动终端提供数据连接和网络存储。这些网元在任何核心网的部署中都必须被包含。对于核心网的设计者而言,要验证上述网元的安全性,首先要建立统一的网元实体和操作形式化模型;之后通过增加对象关系(Objects Relationship)描述,即攻击者/攻击行为、防御者/防御行为的形式化描述,完善上述模型;最后通过设计安全检测规则及加载推理机,实现安全检测规则的学习并产生新的安全检测知识。以推理产生的安全检测知识作为领域模型,对实现了不同层次安全检测功能的网元赋予不同的安全等级。要完成上述的形式化建模与验证,需要采用可以方便、灵活的描述各种客体(网元与服务)及其关系,并能将所要描述的信息语义化表述出来的建模语言。同时该语言对本体的构造和描述需要符合分布式运行的特点。此处的本体指核心网的网元及其行为。
据此,本发明中,选择OWL-S语言作为构造核心网领域模型的建模语言,选择SWRL语言作为安全检测规则描述语言。SWRL语言在OWL-S语言的基础上通过增加规则描述,在兼容OWL-S语法和语义的同时增强知识表达能力,将SWRL语言与推理机结合,可以有效发现本体(网元服务/攻击操作/防御操作)之间隐含的语义关联。
本发明采用OWL-S语言建立如前所述的核心网领域模型;之后选择关键网元UDM/UDR为实体本体研究对象,以UDM的SDM(Subcriber DataManagement)服务和UDR的DM(DataManagement)服务为操作本体研究对象,完成针对攻击行为的安全检测规则设计,并通过推理输出预测与检测攻击的领域知识库。根据领域知识库和安全检测规则,可以对指定网元进行渗透测试,根据测试结果赋予网元不同的安全等级。
下面结合实施例并参照附图对本发明作进一步详细描述。
实施例1:
本发明的一个实施例,为一种基于本体规则的核心网安全渗透测试方法。基于本体规则的核心网安全渗透测试系统的体系结构如图4所示,由三个子系统构成,分别是领域建模子系统、安全检测规则子系统和渗透测试子系统。其中,
领域建模子系统,包括领域模型构造子系统,用于完成核心网安全渗透测试中体现核心网语义的领域模型的构造,从而完成对攻击者、攻击手段、攻击技术、破坏目标以及破环后果的知识构造。领域建模子系统还提供用户接口,对基于本体规则的安全渗透测试系统进行操作。进一步的,用户还可以通过用户接口定制符合特定需求的领域模型。
安全检测规则子系统,通过分析领域模型,建立安全检测规则并发现漏洞和攻击链。安全检测规则子系统,包括安全检测规则编写、推理机加载和攻击链构造三部分功能。
渗透测试子系统,在上述两个子系统的基础上,在安全检测规则的指导下,利用渗透测试集成环境执行攻击,以完成对关键网元的渗透测试,并输出渗透测试报告,给出针对攻击链的防御链建议。图4中的“模拟UE/模拟RAN”和“模拟核心网”是执行渗透测试的测试床,它们是领域模型建模的分析对象,也是领域模型指导的渗透测试运行时的执行对象。
本发明的基于本体规则的核心网安全渗透测试方法,具体包括:
一、构造体现核心网语义的领域模型的过程:
首先针对具体的网元进行分析,将核心网的网元作为建模对象,分别构造该网元的领域模型,领域模型包括实体本体、操作本体和情境本体。实体本体包括所有的网元,即角色。操作本体则由服务、过程和目标三部分组成。其中,过程为网元中不可再分的操作,一组过程的集合构成服务;服务是网元中具有特定语义的功能组件,服务的集合构成操作本体;目标是该服务完成后所达到的效果。服务和过程在领域模型中直接定义,目标通过安全检测规则来判定。
以AMF网元为例,其操作本体如图5所示。其中:AMF对外提供的服务,包括Namf_Communication、Namf_EventExposure、Namf_NT和Namf_Location四部分。过程则为这些服务所调用的具体操作。过程是操作本体模型的基本单元。
为了建立构造体现核心网语义的模型,除了对实体本体和操作本体建模外,还需要对本体运行的上下文环境(Context)建模,即构造情境本体。在本发明中,情境本体通过用对象属性(Object properties)限定网元之间的服务调用关系,如图6-图8所示。情境本体通过用对象属性限定网元之间的服务调用关系包括:当第一网元定义的操作A需要调用第二网元提供的服务B中的过程1时,定义对象属性中所述服务1的使用者是操作A,而被使用者是第二网元提供的服务B中的过程1。以AMF与UDM之间的服务调用关系为例,当AMF定义的操作NAMF_Operation需要调用UDM提供的服务NUDM_Service中的过程Nudm_SDM_Info时,服务的使用者是NAMF_Operation,而被使用者是UDM提供的服务NUDM_Service中的过程Nudm_SDM_Info,如图8所示,Domain表示对象属性中服务的使用者(NAMF_Operation),Ranges表示对象属性中服务的被使用者(Nudm_SDM_Info)。因此Nudm_SDM_Info运行的情境本体可以用图6-图8所示的对象属性来表示。
优选的,在另一个实施例中,在构造体现核心网语义的领域模型的过程中,可以将安全渗透测试中构造的领域模型的权重转化为对应的操作本体的语义,具体方法包括:
1)构造基于核心网运行流程(例如,UE注册/去注册流程)的情境本体,以objectrelationship定义的形式展现;
2)构造攻击行为的情境本体,如attack_datapoisoning表示数据欺骗攻击;
3)设计符合安全检测规则描述语言语法规范的产生式规则,例如符合SWRL语法规范的产生式规则,将安全检测过程中的安全等级以不同语义呈现。例如,
规则1:
Https_Service(?x)^Nudm_SDM_Get(?x)^Nudr_DM_Query(?y)^using_calculatemd5(?x,?x_md5)^using_calculatemd5(?y,?y_md5)^differentFrom(?x_md5,?y_md5)->IsUnSafety(?x,?y)
表示当Nudm_SDM_Get调用Nudr_DM_Query服务时,需要检查两端签约数据的md5值,如果Nudm_SDM_Get获得的签约数据md5值与Nudr_DM_Query提供的签约数据md5值不同,则说明Nudm_SDM_Get服务的执行过程受到攻击,处于不安全状态。
规则2:
Http_Get(?x)^Nudr_DM_Query(?x)^Http_Poisoning(?x)^Nudm_SDM_Get(?x)^attack_datatamper(?x,?y)^attack_datareplay(?x,?y)->ISNudm_sdm_get_datatamper(?x,?y)^IsUnSafety(?x,?y)
则表示当Nudm_SDM_Get服务调用Http_Get操作,向Nudr_DM_Query查询数据时,如果发生Http_Poisoning、datatamper(数据篡改)和datareplay(数据欺骗)攻击,则说明该服务的执行过程处于不安全状态。
二、构造安全检测规则并进行推理的过程:
分析针对网元之间通信协议的常见攻击类型,得到针对网元的基本攻击类型,通过对所述实体本体、实体操作、对象属性和安全检测规则的定义,将所述基本攻击类型利用推理机推理出复合攻击。
安全检测规则包括攻击规则和防御规则;攻击规则为用于分析攻击行为的安全检测规则,防御规则为用于分析防御行为的安全检测规则。
本发明选择UDM-UDR之间的服务链作为攻击行为分析对象,根据已知的原子攻击(atomic attack)建立攻击行为分析的安全检测规则,并利用推理机推理出复合攻击(compose attack)的安全检测规则。例如:
UDM-UDR的体系结构,如图9所示。
UDM-UDR之间的一个服务链包含7个并行的过程,描述如下:
过程1:UDM using Nudr_DM_Create,将新的数据记录存储到UDR中;
过程2:UDM using Nudr_DM_Delete,删除UDR中的数据记录;
过程3:UDM using Nudr_DM_Update,更新UDR中的数据记录;
过程4:Nudm_SDM_Get use Nudr_DM_Query,获取UDR中存储的数据;
过程5:Nudm_SDM_Subscribe use Nudr_DM_Subscribe,订阅签约数据更新通知;此服务由网元AMF、SMF调用;
过程6:Nudm_SDM_UnSubscribe use Nudr_DM_UnSubscribe,取消订阅签约数据更新通知,此服务由网元AMF、SMF调用;
过程7:Nudr_DM_Notifyuse Nudm_SDM_Notification,UDR通过UDM向已获取过签约数据的网元通知签约数据更新;
Nudm_SDM服务中还有一个过程未被上述服务链覆盖,即Nudm_SDM_Info。该过程由AMF调用,向UDM报告与UE交互的签约数据管理状态信息。
根据3GPPTS29.504的规范,UDM-UDR之间的通信协议为HTTP/2。UDM网元使用httpput过程和http get过程获取UDR端的数据,即上述服务链使用HTTP/2通信协议传输。3GPP同时规定了UDM-UDR之间的通信过程可选用TLS协议进行加密,即通过https协议实现数据的加密传输。在3GPP TS29.504最后一部分“安全”中规定:任何API(NF)应该经过OAuth2_Protocol协议(IETFRFC6749)授权,才能使用Nudr_DataRepository(UDR提供的服务)。具体表现为:一个网元(NF)在访问UDR提供的服务之前,需要先获得位于NRF的授权服务器授予token。
然而,上述关于UDR服务安全性的规定,只限制了NF在使用服务Nudr_DataRepository之前的授权过程。对当UDR与UDM实行分布式部署时,通过HTTP/2协议传输的签约数据是否会受到来自IP网络入侵者的攻击以及怎样防御该种类型的攻击,并没有做出明确的限定。
根据对HTTP/2及https协议常见攻击的分析,针对UDM-UDR数据传输的原子攻击(atomic attack)应该是以http/https为目标的中间人攻击。中间人攻击包括ARPPoisoning、NDP Poisoning以及HTTPS mid proxy三种模式。上述三种攻击模式都属于针对网元的基本攻击类型。而当上述攻击被用于针对UDM-UDR的数据传输过程时,可以组合为数据篡改(tamper)和非法访问(poision)两类复合攻击类型。数据篡改主要针对服务链中的过程1-4,通过攻击http get过程,劫持、篡改和重放签约数据,造成UDR端与UDM端数据的不一致。非法访问主要针对服务链中的过程5-7,通过攻击http get过程,劫持、篡改和重放请求信息,这种攻击会造成订阅签约数据更新的已注册UE(通过AMF)无法获取已订阅的更新信息。
上述复合攻击的定义通过对本体、对象属性和安全检测规则的定义可以实现。数据篡改攻击的对象属性定义如图10-图12所示,数据非法访问攻击的对象属性定义如图13-图15所示。其中,Domain表示对象属性中服务的使用者,Ranges表示对象属性中服务的被使用者。
为上述攻击链编写语法规则(即安全检测规则中)的步骤如下:
1、创建攻击类角色5GCAttacker、攻击类操作5GCAttackerOpernation和攻击类实例5gcAttacker;目的是建立实行攻击的实体本体与对象属性的关联,记录根据安全检测规则达到的推理结果。
2、创建UDM类的实例udm和UDR类的实例udr;目的是通过实例记录推理结果。
3、构造安全检测规则Rules。
在一个实施例中,以网元UDM的服务Nudm_SDM_Subscribe调用UDR的服务Nudr_DM_Subscribe(即上述服务链中过程5)为例,针对非法访问攻击构造以下安全检测规则:
1)Nudr_DM_Subscribe(?x)^Nudm_SDM_Subscribe(?x)^using_nf_addresstamper(?x,?y)^Http_Get(?x)^Http_Poisoning(?x)->ISNudm_sdm_illegal_data_access(?x,?y)^IsUnSafety(?x,?y);
2)Nudr_DM_Subscribe(?x)^Nudm_SDM_Subscribe(?x)^using_nf_addresstamper(?x,?y)^Https_Service(?x)^Https_MidProxy(?x)->ISNudm_sdm_illegal_data_access(?x,?y)^IsUnSafety(?x,?y)
上述安全检测规则表示:当Nudm_SDM_Subscribe服务分别使用http_get和https_service传输服务来调用Nudr_DM_Subscribe时,如果出现地址篡改攻击(nf_addresstamper),则判定为出现数据非法访问。
将上述安全检测规则和领域模型一起放入推理机(Hermit)进行推理,可以得到如图16-图18所示的结果:
如图17所示,红色部分表示推理出的攻击链,即nf_addresstamper攻击可能出现在红色标记的服务执行过程中,需要使用checksupi进行检查。如图17和图18所示,SubProperty of则表示using_nf_addresstamper和ISNudm_sdm_illegal_data_access之间的逻辑关系,即using_nf_addresstamper是ISNudm_sdm_illegal_data_access发生的前提条件。
在另一个实施例中,针对Nudm_SDM_Get服务调用Nudr_DM_Query服务的过程(上述服务链中过程4)编写安全检测规则,将上述安全检测规则和领域模型一起放入推理机(Hermit)进行推理,可以得到如图19-21所示的推理结果。表明在SubProperty of列出的服务运行时,都可能遭受attack_httppoisoning和attack_datatamper攻击,即建立在http欺骗基础上的数据篡改攻击。
三、执行渗透测试的过程:
当完成安全检测规则编写和推理后,渗透测试子系统会根据已经推理出的漏洞和攻击链执行渗透测试。由于渗透测试环境已经集成在系统中,该环境包含已列出的原子攻击,所以子系统将加载输出的领域模型并调用脚本,完成上述复合攻击的渗透测试,并分析渗透测试结果,给出渗透测试报告和防御建议。
与针对互联网设备设计的渗透测试系统相比,本发明的基于本体规则的核心网安全渗透测试方法、系统及设备,首先通过构造统一的形式化领域模型反映核心网作为一种特殊互联网的语义,主要是网元之间服务链的语义;之后通过构造安全检测规则实现针对特定攻击链的语义描述,最后通过推理机实现攻击链的自动发现和渗透测试分析报告。
通过设计面向核心网语义描述的领域知识库,完成针对核心网的语义描述和威胁建模;该领域知识库由领域本体和领域模型两部分组成,根据核心网的运行语义,领域本体包括实体本体与操作本体,领域模型包括角色、过程、服务和目标四部分,用于分析核心网中具有不同安全等级的重要资产(网元),以及可能出现的针对网元的威胁和攻击手段,输出可能对目标网元进行破坏的攻击者以及攻击者们可能使用的攻击方法。
通过编写基于领域知识库的安全检测规则并进行推理,自动分析和发现网元运行过程中存在的逻辑漏洞和攻击链,并构造相应的防御链。
在上述设计的基础上,通过针对关键网元的渗透测试子系统,分别执行攻击链和防御链,完成渗透测试,并根据渗透测试结果判断该网元在不同场景下所具备的安全等级,输出针对核心网的渗透测试解决方案,实现网元内生安全。
在一些实施例中,上述技术的某些方面可以由执行软件的处理系统的一个或多个处理器来实现。该软件包括存储或以其他方式有形实施在非暂时性计算机可读存储介质上的一个或多个可执行指令集合。软件可以包括指令和某些数据,这些指令和某些数据在由一个或多个处理器执行时操纵一个或多个处理器以执行上述技术的一个或多个方面。非暂时性计算机可读存储介质可以包括例如磁或光盘存储设备,诸如闪存、高速缓存、随机存取存储器(RAM)等的固态存储设备或其他非易失性存储器设备。存储在非临时性计算机可读存储介质上的可执行指令可以是源代码、汇编语言代码、目标代码或被一个或多个处理器解释或以其他方式执行的其他指令格式。
计算机可读存储介质可以包括在使用期间可由计算机系统访问以向计算机系统提供指令和/或数据的任何存储介质或存储介质的组合。这样的存储介质可以包括但不限于光学介质(例如,光盘(CD)、数字多功能光盘(DVD)、蓝光光盘)、磁介质(例如,软盘、磁带或磁性硬盘驱动器)、易失性存储器(例如,随机存取存储器(RAM)或高速缓存)、非易失性存储器(例如,只读存储器(ROM)或闪存)或基于微机电系统(MEMS)的存储介质。计算机可读存储介质可以嵌入计算系统(例如,系统RAM或ROM)中,固定地附接到计算系统(例如,磁性硬盘驱动器),可移除地附接到计算系统(例如,光盘或通用基于串行总线(USB)的闪存),或者经由有线或无线网络(例如,网络可访问存储(NAS))耦合到计算机系统。
请注意,并非上述一般性描述中的所有活动或要素都是必需的,特定活动或设备的一部分可能不是必需的,并且除了描述的那些之外可以执行一个或多个进一步的活动或包括的要素。更进一步,活动列出的顺序不必是执行它们的顺序。而且,已经参考具体实施例描述了这些概念。然而,本领域的普通技术人员认识到,在不脱离如下权利要求书中阐述的本公开的范围的情况下,可以进行各种修改和改变。因此,说明书和附图被认为是说明性的而不是限制性的,并且所有这样的修改被包括在本公开的范围内。
上面已经关于具体实施例描述了益处、其他优点和问题的解决方案。然而,可能导致任何益处、优点或解决方案发生或变得更明显的益处、优点、问题的解决方案以及任何特征都不应被解释为任何或其他方面的关键、必需或任何或所有权利要求的基本特征。此外,上面公开的特定实施例仅仅是说明性的,因为所公开的主题可以以受益于这里的教导的本领域技术人员显而易见的不同但等同的方式进行修改和实施。除了在权利要求书中描述的以外,没有意图限制在此示出的构造或设计的细节。因此明显的是,上面公开的特定实施例可以被改变或修改,并且所有这样的变化被认为在所公开的主题的范围内。
Claims (9)
1.一种基于本体规则的核心网安全渗透测试方法,其特征在于,包括:
构造体现核心网语义的模型:将核心网的网元作为建模对象,分别构造该网元的领域模型;所述领域模型包括实体本体、操作本体和情境本体,所述实体本体包括所有的核心网网元,定义为角色;所述操作本体由过程、服务和目标三部分组成;其中,所述过程为网元中不可再分的操作,一组过程的集合构成所述服务;所述服务是网元中具有特定语义的功能组件,服务的集合构成操作本体;所述目标是所述服务完成后所达到的效果,通过安全检测规则来判定;所述情境本体用于对所述实体本体和操作本体运行的上下文环境进行建模,通过对象属性限定网元之间的服务调用关系;
构造安全检测规则并进行推理:针对特定攻击构造安全检测规则,判断指定角色提供的服务在执行过程中是否能达到目标;将所述安全检测规则和领域模型放入推理机,推理出在所述服务执行过程中可能出现的漏洞、攻击链和/或相应的防御链;
执行渗透测试:根据所述推理出的漏洞和攻击链执行渗透测试。
2.根据权利要求1所述的基于本体规则的核心网安全渗透测试方法,其特征在于,所述情境本体通过用对象属性限定网元之间的服务调用关系包括:
当第一网元定义的操作A需要调用第二网元提供的服务B中的过程1时,定义对象属性中所述服务1的使用者是操作A,而被使用者是第二网元提供的服务B中的过程1。
3.根据权利要求1所述的基于本体规则的核心网安全渗透测试方法,其特征在于,所述构造安全检测规则并进行推理包括:
分析针对网元之间通信协议的常见攻击类型,得到针对网元的原子攻击,通过对所述实体本体、实体操作、对象属性和安全检测规则的定义,以原子攻击为输入,利用推理机推理出复合攻击。
4.根据权利要求1所述的基于本体规则的核心网安全渗透测试方法,其特征在于,所述构造体现核心网语义的领域模型的建模语言为OWL-S语言,所述安全检测规则的描述语言为SWRL语言。
5.根据权利要求1所述的基于本体规则的核心网安全渗透测试方法,其特征在于,所述安全检测规则包括攻击规则和防御规则;所述攻击规则为用于分析攻击行为的安全检测规则,所述防御规则为用于分析防御行为的安全检测规则。
6.根据权利要求4所述的基于本体规则的核心网安全渗透测试方法,其特征在于,还包括在所述构造体现核心网语义的领域模型的过程中,将安全渗透测试中构造的领域模型的权重转化为对应的操作本体的语义,具体方法包括:
1)构造基于核心网运行流程的情境本体;
2)构造攻击行为的情境本体;
3)设计符合所述SWRL语言语法规范的产生式规则,将安全检测中的安全等级以不同语义呈现。
7.一种基于本体规则的核心网安全渗透测试系统,实现根据权利要求1至6任一所述的基于本体规则的安全渗透测试方法,其特征在于,包括领域建模子系统、安全检测规则子系统和渗透测试子系统;其中,
所述领域建模子系统完成安全渗透测试中体现核心网语义的领域模型的构造,从而完成对攻击者、攻击手段、攻击技术、破坏目标以及破环后果的知识构造;
所述安全检测规则子系统,通过分析领域模型,建立安全检测规则并发现漏洞和攻击链;
所述渗透测试子系统,在安全检测规则的指导下,利用渗透测试集成环境执行攻击,完成安全渗透测试。
8.根据权利要求7所述的基于本体规则的核心网安全渗透测试系统,其特征在于,所述领域建模子系统还包括用户接口,用于定制符合特定需求的领域模型。
9.一种基于本体规则的核心网安全渗透测试设备,其特征在于,所述设备包括存储器和处理;所述存储器存储有实现基于本体规则的核心网安全渗透测试方法的计算机程序,所述处理器执行所述计算机程序,以实现根据权利要求1-6任一所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210009030.3A CN114363903A (zh) | 2022-01-06 | 2022-01-06 | 基于本体规则的核心网安全渗透测试方法、系统及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210009030.3A CN114363903A (zh) | 2022-01-06 | 2022-01-06 | 基于本体规则的核心网安全渗透测试方法、系统及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114363903A true CN114363903A (zh) | 2022-04-15 |
Family
ID=81107487
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210009030.3A Pending CN114363903A (zh) | 2022-01-06 | 2022-01-06 | 基于本体规则的核心网安全渗透测试方法、系统及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114363903A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115470126A (zh) * | 2022-09-05 | 2022-12-13 | 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) | 软件安全漏洞模式数据库构建与软件渗透测试方法 |
CN117676586A (zh) * | 2023-12-04 | 2024-03-08 | 中科南京信息高铁研究院 | 5gc渗透测试敌手模型知识图谱构建系统、方法及设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180020021A1 (en) * | 2016-07-13 | 2018-01-18 | Hill Top Security, Inc. | Computerized system and method for providing cybersecurity detection and response functionality |
US20190258805A1 (en) * | 2016-11-04 | 2019-08-22 | Singapore University Of Technology And Design | Computer-implemented method and data processing system for testing device security |
CN110881024A (zh) * | 2019-08-14 | 2020-03-13 | 奇安信科技集团股份有限公司 | 漏洞的探测方法及装置、存储介质、电子装置 |
-
2022
- 2022-01-06 CN CN202210009030.3A patent/CN114363903A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180020021A1 (en) * | 2016-07-13 | 2018-01-18 | Hill Top Security, Inc. | Computerized system and method for providing cybersecurity detection and response functionality |
US20190258805A1 (en) * | 2016-11-04 | 2019-08-22 | Singapore University Of Technology And Design | Computer-implemented method and data processing system for testing device security |
CN110881024A (zh) * | 2019-08-14 | 2020-03-13 | 奇安信科技集团股份有限公司 | 漏洞的探测方法及装置、存储介质、电子装置 |
Non-Patent Citations (3)
Title |
---|
PAULO MARCOS SIQUEIRA BUENO等: "A Security Testing Process Supported by an Ontology Environment: A Conceptual Proposal", 2018 IEEE/ACS 15TH INTERNATIONAL CONFERENCE ON COMPUTER SYSTEMS AND APPLICATIONS (AICCSA), 17 January 2019 (2019-01-17) * |
孙茜等: "基于5G的专用网络安全研究现状", 万方, 11 March 2021 (2021-03-11) * |
解晓青等: "5G网络安全渗透测试框架和方法", 万方, 1 September 2021 (2021-09-01) * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115470126A (zh) * | 2022-09-05 | 2022-12-13 | 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) | 软件安全漏洞模式数据库构建与软件渗透测试方法 |
CN117676586A (zh) * | 2023-12-04 | 2024-03-08 | 中科南京信息高铁研究院 | 5gc渗透测试敌手模型知识图谱构建系统、方法及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200410399A1 (en) | Method and system for determining policies, rules, and agent characteristics, for automating agents, and protection | |
US10924517B2 (en) | Processing network traffic based on assessed security weaknesses | |
Bringer et al. | A survey: Recent advances and future trends in honeypot research | |
US11509683B2 (en) | System and method for securing a network | |
Helmer et al. | Software fault tree and coloured Petri net–based specification, design and implementation of agent-based intrusion detection systems | |
CN114363903A (zh) | 基于本体规则的核心网安全渗透测试方法、系统及设备 | |
KR101753647B1 (ko) | 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법 | |
CN108605264A (zh) | 网络管理 | |
Klement et al. | Open or not open: Are conventional radio access networks more secure and trustworthy than Open-RAN? | |
Mahboub et al. | Smart IDS and IPS for cyber-physical systems | |
Kandukuru et al. | Android malicious application detection using permission vector and network traffic analysis | |
Anisetti et al. | Security threat landscape | |
Meier et al. | Towards an AI-powered Player in Cyber Defence Exercises | |
Hung et al. | Security threats to xapps access control and e2 interface in o-ran | |
Salazar et al. | A Network Traffic Mutation based Ontology, and its application to 5G networks | |
Huang et al. | Acquiring data traffic for sustainable IoT and smart devices using machine learning algorithm | |
Thankachan et al. | A survey and vital analysis of various state of the art solutions for web application security | |
Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
Sombatruang et al. | Internet Service Providers' and Individuals' Attitudes, Barriers, and Incentives to Secure {IoT} | |
Kanoun et al. | Towards dynamic risk management: Success likelihood of ongoing attacks | |
Chouhan et al. | Software as a service: Analyzing security issues | |
Raja et al. | Threat Modeling and IoT Attack Surfaces | |
Pell et al. | Multi-Stage Threat Modeling and Security Monitoring in 5GCN | |
Holm et al. | A manual for the cyber security modeling language | |
Haiba et al. | Build a malware detection software for IoT network using machine learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |