CN114398643A - 渗透路径规划方法、装置、计算机和存储介质 - Google Patents
渗透路径规划方法、装置、计算机和存储介质 Download PDFInfo
- Publication number
- CN114398643A CN114398643A CN202210068422.7A CN202210068422A CN114398643A CN 114398643 A CN114398643 A CN 114398643A CN 202210068422 A CN202210068422 A CN 202210068422A CN 114398643 A CN114398643 A CN 114398643A
- Authority
- CN
- China
- Prior art keywords
- attack
- path
- nodes
- attack path
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 230000035515 penetration Effects 0.000 title description 25
- 238000012545 processing Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 11
- 238000013075 data extraction Methods 0.000 claims description 10
- 230000008595 infiltration Effects 0.000 claims description 9
- 238000001764 infiltration Methods 0.000 claims description 9
- 238000012986 modification Methods 0.000 claims description 6
- 230000004048 modification Effects 0.000 claims description 6
- 230000003204 osmotic effect Effects 0.000 claims description 4
- 239000012466 permeate Substances 0.000 claims 1
- 238000013461 design Methods 0.000 description 15
- 238000012360 testing method Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 230000003068 static effect Effects 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Computing Systems (AREA)
- Animal Behavior & Ethology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种渗透路径规划方法、装置、计算机和存储介质,该方法中,通过获取多个节点的标识以及多个节点对应的多个漏洞信息,并根据多个节点的标识以及多个节点对应的多个漏洞信息,确定至少一个攻击路径、至少一个攻击路径的相关分数、以及至少一个攻击路径的危险系数,之后根据至少一个攻击路径的危险系数和至少一个攻击路径的相关分数,确定至少一个攻击路径的路径威胁度,最后根据至少一个攻击路径的路径威胁度,确定出目标攻击路径,目标攻击路径为至少一个攻击路径中路径威胁度最大的攻击路径。该方法从攻击路径的路径威胁度出发,确定出了最优攻击路径,从而从全局的角度评估出了目标网络的安全状况。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种渗透路径规划方法、装置、计算机和存储介质。
背景技术
随着网络技术的不断发展,网络中的安全隐患越来越多,而消除计算机网络的脆弱性和薄弱性等安全隐患成为了亟待解决的技术问题,由于受到了软硬件环境、时间和经济开销等因素的影响,修复网络中所有已知脆弱性和薄弱性几乎是无法实现的。要消除这些威胁计算机网络的安全隐患,首先需要发现威胁源,而发现威胁源常用的方法就是渗透测试。
在现有技术中,基于渗透测试的评估方法,大多都是测试人员对单个漏洞进行的风险进行评估,以确定出单个漏洞可能的渗透路径。
然而,传统的渗透测试方法只能对孤立的漏洞进行评估,并且受渗透测试人员的专业技术水平高低的影响,无法从全局评估目标网络的安全状况等问题。
发明内容
本申请实施例提供一种渗透路径规划方法、装置、计算机和存储介质,用以解决现有技术无法从全局评估目标网络的安全状况的问题。
第一方面,本申请提供一种渗透路径规划方法,包括:
获取多个节点的标识以及所述多个节点对应的多个漏洞信息,所述多个节点包括相互通信的源节点、至少一个中间节点以及目标节点,所述多个漏洞信息包括多个漏洞以及所述多个漏洞分别对应的属性数据,所述属性数据标示漏洞对节点的风险影响,所述多个节点为设备或软件;
根据所述多个节点的标识以及所述多个节点对应的多个漏洞信息,确定至少一个攻击路径、所述至少一个攻击路径的相关分数、以及所述至少一个攻击路径的危险系数,所述相关分数为所述至少一个攻击路径上的源节点对应的漏洞与所述至少一个攻击路径上的中间节点、所述目标节点对应的漏洞之间攻击意图的关系的重要程度;
根据所述至少一个攻击路径的危险系数和所述至少一个攻击路径的相关分数,确定所述至少一个攻击路径的路径威胁度;
根据所述至少一个攻击路径的路径威胁度,确定出目标攻击路径,所述目标攻击路径为所述至少一个攻击路径中路径威胁度最大的攻击路径。
在第一方面一种可能的设计中,所述属性数据包括:所述漏洞的预定义的漏洞评分系统分数;
相应的,所述根据所述多个节点的标识以及所述多个节点对应的多个漏洞信息,确定至少一个攻击路径、所述至少一个攻击路径的危险系数,包括:
根据所述源节点、所述至少一个中间节点、以及所述目标节点,确定所述至少一个攻击路径;
针对每个攻击路径,在所述源节点、在所述攻击路径上的中间节点、以及目标节点对应的多个属性数据中,获取至少一个与所述源节点相关联的漏洞的漏洞评分系统分数;
根据所述至少一个漏洞评分系统分数,确定攻击路径的危险系数。
在第一方面另一种可能的设计中,所述属性数据包括所述漏洞的攻击意图;
相应的,所述根据所述多个节点的标识以及所述多个节点对应的多个漏洞信息,确定所述至少一个攻击路径的相关分数,包括:
针对每个攻击路径,获取所述源节点对应的漏洞的攻击意图与所述攻击路径上的中间节点、所述目标节点对应的漏洞的攻击意图;
根据所述源节点对应的漏洞的攻击意图与所述至少一个中间节点、所述目标节点对应的漏洞的攻击意图,确定所述源节点对应的漏洞与所述至少一个中间节点、所述目标节点对应的漏洞的共有攻击意图的数量以及所述源节点对应的漏洞的攻击意图的总数;
根据所述共有攻击意图的数量以及所述攻击意图的总数,确定所述相关分数。
在第一方面再一种可能的设计中,所述根据所述至少一个攻击路径的危险系数和所述至少一个攻击路径的相关分数,确定所述至少一个攻击路径的路径威胁度,包括:
针对每个攻击路径,将所述攻击路径的危险系数和所述攻击路径的相关分数相乘,得到所述攻击路径的路径威胁度。
在第一方面还一种可能的设计中,所述获取多个节点的标识以及所述多个节点对应的多个漏洞信息,包括:
从不同类型的数据源中抽取所述多个节点的标识以及所述多个节点对应的多个漏洞信息。
可选的,所述攻击意图包括如下至少一项:身份验证、可注入参数的标识、联合查询、绕过身份验证、数据提取、捎带查询、数据提取、数据修改、拒绝服务、远程命令。
第二方面,本申请提供一种渗透路径规划装置,包括:
获取模块,用于获取多个节点的标识以及所述多个节点对应的多个漏洞信息,所述多个节点包括相互通信的源节点、至少一个中间节点以及目标节点,所述多个漏洞信息包括多个漏洞以及所述多个漏洞分别对应的属性数据,所述属性数据标示漏洞对节点的风险影响,所述多个节点为设备或软件;
确定模块,用于根据所述多个节点的标识以及所述多个节点对应的多个漏洞信息,确定至少一个攻击路径、所述至少一个攻击路径的相关分数、以及所述至少一个攻击路径的危险系数,所述相关分数为所述至少一个攻击路径上的源节点对应的漏洞与所述至少一个攻击路径上的中间节点、所述目标节点对应的漏洞之间攻击意图的关系的重要程度;
处理模块,用于根据所述至少一个攻击路径的危险系数和所述至少一个攻击路径的相关分数,确定所述至少一个攻击路径的路径威胁度,并根据所述至少一个攻击路径的路径威胁度,确定出目标攻击路径,所述目标攻击路径为所述至少一个攻击路径中路径威胁度最大的攻击路径。
在第二方面一种可能的设计中,所述属性数据包括:所述漏洞的预定义的漏洞评分系统分数;
相应的,所述确定模块根据所述多个节点的标识以及所述多个节点对应的多个漏洞信息,确定至少一个攻击路径、所述至少一个攻击路径的危险系数,具体用于:
根据所述源节点、所述至少一个中间节点、以及所述目标节点,确定所述至少一个攻击路径;
针对每个攻击路径,在所述源节点、在所述攻击路径上的中间节点、以及目标节点对应的多个属性数据中,获取至少一个与所述源节点相关联的漏洞的漏洞评分系统分数;
根据所述至少一个漏洞评分系统分数,确定攻击路径的危险系数。
在第二方面另一种可能的设计中,所述属性数据包括所述漏洞的攻击意图;
相应的,所述确定模块根据所述多个节点的标识以及所述多个节点对应的多个漏洞信息,确定所述至少一个攻击路径的相关分数,具体用于:
针对每个攻击路径,获取所述源节点对应的漏洞的攻击意图与所述攻击路径上的中间节点、所述目标节点对应的漏洞的攻击意图;
根据所述源节点对应的漏洞的攻击意图与所述至少一个中间节点、所述目标节点对应的漏洞的攻击意图,确定所述源节点对应的漏洞与所述至少一个中间节点、所述目标节点对应的漏洞的共有攻击意图的数量以及所述源节点对应的漏洞的攻击意图的总数;
根据所述共有攻击意图的数量以及所述攻击意图的总数,确定所述相关分数。
在第二方面再一种可能的设计中,所述处理模块根据所述至少一个攻击路径的危险系数和所述至少一个攻击路径的相关分数,确定所述至少一个攻击路径的路径威胁度,具体用于:
针对每个攻击路径,将所述攻击路径的危险系数和所述攻击路径的相关分数相乘,得到所述攻击路径的路径威胁度。
在第二方面还一种可能的设计中,所述获取模块,具体用于:
从不同类型的数据源中抽取所述多个节点的标识以及所述多个节点对应的多个漏洞信息。
可选的,所述攻击意图包括如下至少一项:身份验证、可注入参数的标识、联合查询、绕过身份验证、数据提取、捎带查询、数据提取、数据修改、拒绝服务、远程命令。
第三方面,本申请提供一种计算机,包括:处理器、存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述计算机执行指令,使得所述计算机执行如上述第一方面及各种可能的设计中所述的渗透路径规划方法。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上述第一方面及各种可能的设计中所述的渗透路径规划方法。
第五方面,本申请提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时用于实现如上述第一方面及各种可能的设计中所述的渗透路径规划方法。
本申请提供的渗透路径规划方法、装置、计算机和存储介质,该方法中,通过获取多个节点的标识以及多个节点对应的多个漏洞信息,多个节点包括相互通信的源节点、至少一个中间节点以及目标节点,多个漏洞信息包括多个漏洞以及多个漏洞分别对应的属性数据,属性数据标示漏洞对节点的风险影响,多个节点为设备或软件,并根据多个节点的标识以及多个节点对应的多个漏洞信息,确定至少一个攻击路径、至少一个攻击路径的相关分数、以及至少一个攻击路径的危险系数,相关分数为至少一个攻击路径上的源节点对应的漏洞与至少一个攻击路径上的中间节点、目标节点对应的漏洞之间攻击意图的关系的重要程度,之后根据至少一个攻击路径的危险系数和至少一个攻击路径的相关分数,确定至少一个攻击路径的路径威胁度,最后根据至少一个攻击路径的路径威胁度,确定出目标攻击路径,目标攻击路径为至少一个攻击路径中路径威胁度最大的攻击路径。该方法从攻击路径的路径威胁度出发,确定出了最优攻击路径,从而从全局的角度评估出了目标网络的安全状况。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1为本申请实施例提供的渗透路径规划方法的应用场景示意图;
图2为本申请实施例提供的渗透路径规划方法实施例一的流程示意图;
图3为本申请实施例提供的渗透路径规划方法实施例二的流程示意图;
图4为本申请实施例提供的渗透路径规划装置的结构示意图;
图5为本申请实施例提供的计算机的结构示意图。
通过上述附图,已示出本公开明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围,而是通过参考特定实施例为本领域技术人员说明本公开的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
在介绍本申请的实施例之前,首先对本申请的背景技术进行解释说明:
渗透测试已成为评估网络安全的重要方法之一,为保障计算机网络的正常运行,需要从根本上消除计算机网络的脆弱性和薄弱性等安全隐患,但由于受软硬件环境、时间和经济开销等因素的影响,修复网络中所有已知脆弱性和薄弱性几乎是无法实现的。
要消除这些威胁计算机网络的安全隐患,首先需要发现威胁源,而发现威胁源常用的方法就是渗透测试。渗透测试是一种模拟恶意攻击者攻击行为的技术和方法,是一种事前的、主动的网络安全评估方法。但基于渗透测试的评估方法,大多都是针对单个漏洞进行评估,并且受渗透测试人员的专业技术水平高低的影响,传统的渗透测试对渗透人员的技术水平要求很高,且无法从整体上评估目标网络的安全状态。
进而,传统的渗透测试方法只能对孤立的漏洞进行评估,无法从全局评估目标网络的安全状况等问题。因而研究者将攻击图和渗透测试技术相结合,提出基于攻击图模型的渗透测试方法。
在现有技术中,攻击图技术是一种图形化的网络脆弱性分析技术,基于攻击图的渗透测试主要存在以下问题:
将故障树模型引入网络安全领域,故障树是树形图的一种,其最早应用在装备工程领域,用来分析设备故障原因。但故障树的规模会随事件数目的增加呈指数级增长,因此不适合大规模网络的攻击建模;
攻击树模型,用“与”、“或”树结构对渗透攻击进行建模,该模型能够清晰地表示所有可能的攻击方式。攻击树模型直观、可视化,但由于树结构的内在限制,无法描述网络攻击过程中攻击者的行为和攻击方法,使得对渗透攻击分析不够全面。
即现有的攻击图模型在大规模网络中生成攻击图规模较大,且可读性较差,网络安全管理员很难从中清晰分析当前的网络安全现状。
在上述现有技术存在的问题基础上,图1为本申请实施例提供的渗透路径规划方法的应用场景示意图,用以解决上述技术问题。如图1所示,该应用场景示意图包括:源节点11、中间节点12和目标节点13。
其中,中间节点12可以是多个节点,例如,节点A、节点B、节点C;源节点11、中间节点12和目标节点13可以是任意的硬件设备或软件。
在一种可能的实现中,攻击路径可以是:源节点11-节点A-目标节点13、源节点11-节点B-目标节点13、源节点11-节点C-目标节点13、源节点11-节点A-节点B-目标节点13等。
可选的,将攻击者的一次攻击行为可以看成是一次原子攻击,该原子攻击表示利用单个漏洞攻击目标节点13来获取节点的属性,这个过程满足一定前提条件,并产生相应的后果。其实际意义是一次漏洞利用行为,在实际进行攻击时,由于不同节点的漏洞不同,对应的攻击路径也存在一定的差异。
进一步的,针对不同的攻击路径,确定出各个攻击路径的路径威胁度,从而得到漏洞的最优攻击路径,针对该最优攻击路径,从全局的角度评估出了目标网络的安全状况。
应理解,在应用场景中未详述的内容由下述实施例给出。
本申请针对上述技术问题,发明人的技术构思过程如下:攻击的实施条件、攻击成功的收益等属性决定了节点之间的连接关系和节点及路径的风险程度,而利用攻击行为中构建节点、漏洞为实体,以静态风险属性、动态风险属性作为多个节点对应的多个漏洞信息,在后续分析中,针对不同路径中的节点,找到相应的漏洞进行分析其在该路径下攻击目标节点的威胁度,便可以对目标网络的安全状况进行评估和修护。
下面以图1所示的应用场景示意图,通过具体实施例对本申请的技术方案进行详细说明。需要说明的是,下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图2为本申请实施例提供的渗透路径规划方法实施例一的流程示意图。
步骤21、获取多个节点的标识以及多个节点对应的多个漏洞信息。
其中,多个节点包括相互通信的源节点、至少一个中间节点以及目标节点,多个漏洞信息包括多个漏洞以及多个漏洞分别对应的属性数据,属性数据标示漏洞对节点的风险影响,多个节点为设备或软件。
在本步骤中,目标网络中的节点可以包括服务器、路由器、交换机、计算机等硬件设备,也可以包括操作系统或应用程序等软件。主机的数据主要来自于通用平台枚举(Common Platform Enumeration,CPE)数据库。目标网络中使用的各类存在的已知漏洞的节点,以节点的名称和/或版本号进行标识。
进一步的,节点与漏洞之间为多对多映射关系,即特定版本的软件可能存在多个漏洞,而同一漏洞可能存在于同一软件的多个版本中。
可选的,可以从不同类型的数据源中抽取多个节点的标识以及多个节点对应的多个漏洞信息。
其中,漏洞信息包括漏洞以及多个漏洞分别对应的属性数据,具体的,目标网络中存在的已知软硬件的漏洞,以漏洞身份标识号(Identification,ID)进行标识。由于各漏洞库收录的漏洞不完全相同,且每个漏洞库都有独立的漏洞ID编码方式,因此应尽可能采用某个漏洞收录全面、应用范围广泛、评分方式公认合理的数据库的漏洞ID。
此外,属性数据可以包括:静态风险属性和动态风险属性,静态风险属性包括一个或多个漏洞中的每一个的预定义的通用的漏洞评分系统分数(Common VulnerabilityScoring System,CVSS),动态风险属性包括攻击意图、攻击者技能指标和对节点的拓扑影响。
在一种可能的实现中,将收集到的漏洞信息以及节点设置成渗透知识图谱,以备后续使用,具体的,渗透知识图谱可以记录节点与漏洞的对应关系,以及漏洞对应的属性数据。
步骤22、根据多个节点的标识以及多个节点对应的多个漏洞信息,确定至少一个攻击路径、至少一个攻击路径的相关分数、以及至少一个攻击路径的危险系数。
其中,相关分数为至少一个攻击路径上的源节点对应的漏洞与至少一个攻击路径上的中间节点、目标节点对应的漏洞之间攻击意图的关系的重要程度。
可选的,攻击路径的危险系数可以根据源节点、至少一个中间节点、以及目标节点,确定至少一个攻击路径,并针对每个攻击路径,在源节点、在攻击路径上的中间节点、以及目标节点对应的多个属性数据中,获取至少一个与源节点相关联的漏洞的漏洞评分系统分数,之后根据至少一个漏洞评分系统分数,确定出攻击路径的危险系数。
可选的,攻击路径的相关分数可以是根据先每个攻击路径,获取源节点对应的漏洞的攻击意图与攻击路径上的中间节点、目标节点对应的漏洞的攻击意图,并根据源节点对应的漏洞的攻击意图与至少一个中间节点、目标节点对应的漏洞的攻击意图,确定源节点对应的漏洞与至少一个中间节点、目标节点对应的漏洞的共有攻击意图的数量以及源节点对应的漏洞的攻击意图的总数,之后根据共有攻击意图的数量以及攻击意图的总数,确定出相关分数。
具体的,当属性数据包括漏洞的攻击意图(即属于属性数据中的动态风险属性)时,相关分数的确定可以包括如下步骤:
其中,漏洞的攻击意图包括如下至少一项:身份验证、可注入参数的标识、联合查询、绕过身份验证、数据提取、捎带查询、数据提取、数据修改、拒绝服务(Denial ofService,DoS)、远程命令Ex。
第1步、针对每个攻击路径,获取源节点对应的漏洞的攻击意图与攻击路径上的中间节点、目标节点对应的漏洞的攻击意图。
可选的,在每个攻击路径上,从属性数据中获取源节点、中间节点、目标节点对应的漏洞的攻击意图。
第2步、根据源节点对应的漏洞的攻击意图与至少一个中间节点、目标节点对应的漏洞的攻击意图,确定源节点对应的漏洞与至少一个中间节点、目标节点对应的漏洞的共有攻击意图的数量以及源节点对应的漏洞的攻击意图的总数。
可选的,在已经获取到的源节点、中间节点、目标节点对应的漏洞的攻击意图中,获取源节点对应的漏洞与至少一个中间节点、目标节点对应的漏洞的共有攻击意图的数量,以及源节点对应的漏洞的攻击意图的总数。
其中,V0为源节点对应的漏洞的总攻击意图,Vi为中间节点对应的漏洞的攻击意图,Vn为目标节点对应的漏洞的攻击意图。
第3步、根据共有攻击意图的数量以及攻击意图的总数,确定相关分数。
可选的,作为一种实现,相关分数CS可以通过如下计算可得:
步骤23、根据至少一个攻击路径的危险系数和至少一个攻击路径的相关分数,确定至少一个攻击路径的路径威胁度。
在本步骤中,路径威胁度为基于路径危险系数以及静态风险属性和动态风险属性来计算与一个或多个目标节点相关联的一个或多个漏洞中的每一个的路径威胁度。
可选的,针对每个攻击路径,将攻击路径的危险系数和攻击路径的相关分数相乘,得到攻击路径的路径威胁度。
在一种可能的实现中,攻击路径的危险系数LS,攻击路径的相关分数CS,则攻击路径的路径威胁度为PS。
PS=CS*LS
步骤24、根据至少一个攻击路径的路径威胁度,确定出目标攻击路径。
其中,目标攻击路径为至少一个攻击路径中路径威胁度最大的攻击路径。
在本步骤中,在各个攻击路径中路径威胁度最高,漏洞形成的攻击路径为最优攻击路径。
在一种可能的实现中,3个攻击路径中路径威胁度的值分别为X、Y、Z,而X>Y>Z,则X对应的攻击路径为最优攻击路径。
进一步的,针对该最优攻击路径,技术人员可以采取相应的措施对漏洞进行修护等。
进一步的,可以通过路径威胁度确定目标网络中任意两节点间的渗透路径。
本申请实施例提供的渗透路径规划方法,通过获取多个节点的标识以及多个节点对应的多个漏洞信息,多个节点包括相互通信的源节点、至少一个中间节点以及目标节点,多个漏洞信息包括多个漏洞以及多个漏洞分别对应的属性数据,属性数据标示漏洞对节点的风险影响,多个节点为设备或软件,并根据多个节点的标识以及多个节点对应的多个漏洞信息,确定至少一个攻击路径、至少一个攻击路径的相关分数、以及至少一个攻击路径的危险系数,相关分数为至少一个攻击路径上的源节点对应的漏洞与至少一个攻击路径上的中间节点、目标节点对应的漏洞之间攻击意图的关系的重要程度,之后根据至少一个攻击路径的危险系数和至少一个攻击路径的相关分数,确定至少一个攻击路径的路径威胁度,最后根据至少一个攻击路径的路径威胁度,确定出目标攻击路径,目标攻击路径为至少一个攻击路径中路径威胁度最大的攻击路径。该方法从攻击路径的路径威胁度出发,确定出了最优攻击路径,从而从全局的角度评估出了目标网络的安全状况。
在上述实施例的基础上,图3为本申请实施例提供的渗透路径规划方法实施例二的流程示意图。如图3所示,上述步骤21中攻击路径、攻击路径的危险系数可以通过如下步骤得到:
其中,属性数据包括:漏洞的预定义的漏洞评分系统分数。
步骤31、根据源节点、至少一个中间节点、以及目标节点,确定至少一个攻击路径。
在本步骤中,利用漏洞对目标节点对应的设备或软件进行攻击时,攻击的发起者为源节点对应的设备或软件,而攻击路径一般为源节点到目标节点的路径,通过至少一个中间节点。
可选的,攻击路径可以被定义为入侵者用来获得对计算机网络的访问以利用网络漏洞的路径。计算机网络是一组计算机节点/设备和其他计算硬件设备,它们通过通信信道链接在一起以促进广泛的用户之间的通信和资源共享。通常,当被称为源节点的节点在计算机网络中受到攻击时,通过接收源节点的静态风险和动态风险,并监控网络流量的可疑活动并在检测到此类活动时发出警报。
在一种可能的实现中,源节点为设备H、中间节点为设备P和设备Q、目标节点为设备W,利用漏洞设备H向设备W发起攻击,可能存在攻击路径H-W、H-P-Q-W、H-P-W等。
步骤32、针对每个攻击路径,在源节点、在攻击路径上的中间节点、以及目标节点对应的多个属性数据中,获取至少一个与源节点相关联的漏洞的漏洞评分系统分数。
在本步骤中,属性数据中的静态风险属性包括一个或多个漏洞中的每一个的预定义的通用的漏洞评分系统分数CVSS。
可选的,在每个攻击路径,获取该路径相关的源节点、中间节点、以及目标节点对应的至少一个与源节点相关联的漏洞的漏洞评分系统分数。
具体的,源节点的漏洞的漏洞评分系统分数为CVSSV0,中间节点的漏洞的漏洞评分系统分数为CVSSV0,目标节点的漏洞的漏洞评分系统分数为CVSSV0。
步骤33、根据至少一个漏洞评分系统分数,确定攻击路径的危险系数。
在本步骤中,基于源节点、中间节点、以及目标节点对应的至少一个与源节点相关联的漏洞的漏洞评分系统分数,确定出该攻击路径的危险系数LS。
在一种可能的实现中,攻击路径的危险系数LS的计算公式如下所示:
LS=1+((CVSSV0)-1*(CVSSVi)-1*(CVSSVn)-1-1)*(CS)
其中,CS为攻击路径的相关分数。
本申请实施例提供的渗透路径规划方法,通过根据源节点、至少一个中间节点、以及目标节点,确定至少一个攻击路径,并针对每个攻击路径,在源节点、在攻击路径上的中间节点、以及目标节点对应的多个属性数据中,获取至少一个与源节点相关联的漏洞的漏洞评分系统分数,之后根据至少一个漏洞评分系统分数,确定攻击路径的危险系数。该技术方案从漏洞的漏洞评分系统分数出发,实现了对攻击路径的危险系数的确定,为后续攻击路径的路径威胁度的获取提供了基础。
在上述方法实施例的基础上,图4为本申请实施例提供的渗透路径规划装置的结构示意图。如图4所示,该结构示意图包括:获取模块41、确定模块42和处理模块43。
获取模块41,用于获取多个节点的标识以及多个节点对应的多个漏洞信息,多个节点包括相互通信的源节点、至少一个中间节点以及目标节点,多个漏洞信息包括多个漏洞以及多个漏洞分别对应的属性数据,属性数据标示漏洞对节点的风险影响,多个节点为设备或软件;
确定模块42,用于根据多个节点的标识以及多个节点对应的多个漏洞信息,确定至少一个攻击路径、至少一个攻击路径的相关分数、以及至少一个攻击路径的危险系数,相关分数为至少一个攻击路径上的源节点对应的漏洞与至少一个攻击路径上的中间节点、目标节点对应的漏洞之间攻击意图的关系的重要程度;
处理模块43,用于根据至少一个攻击路径的危险系数和至少一个攻击路径的相关分数,确定至少一个攻击路径的路径威胁度,并根据至少一个攻击路径的路径威胁度,确定出目标攻击路径,目标攻击路径为至少一个攻击路径中路径威胁度最大的攻击路径。
在本申请实施例一种可能的设计中,属性数据包括:漏洞的预定义的漏洞评分系统分数;
相应的,确定模块42根据多个节点的标识以及多个节点对应的多个漏洞信息,确定至少一个攻击路径、至少一个攻击路径的危险系数,具体用于:
根据源节点、至少一个中间节点、以及目标节点,确定至少一个攻击路径;
针对每个攻击路径,在源节点、在攻击路径上的中间节点、以及目标节点对应的多个属性数据中,获取至少一个与源节点相关联的漏洞的漏洞评分系统分数;
根据至少一个漏洞评分系统分数,确定攻击路径的危险系数。
在本申请实施例另一种可能的设计中,属性数据包括漏洞的攻击意图;
相应的,确定模块42根据多个节点的标识以及多个节点对应的多个漏洞信息,确定至少一个攻击路径的相关分数,具体用于:
针对每个攻击路径,获取源节点对应的漏洞的攻击意图与攻击路径上的中间节点、目标节点对应的漏洞的攻击意图;
根据源节点对应的漏洞的攻击意图与至少一个中间节点、目标节点对应的漏洞的攻击意图,确定源节点对应的漏洞与至少一个中间节点、目标节点对应的漏洞的共有攻击意图的数量以及源节点对应的漏洞的攻击意图的总数;
根据共有攻击意图的数量以及攻击意图的总数,确定相关分数。
在本申请实施例再一种可能的设计中,处理模块43根据至少一个攻击路径的危险系数和至少一个攻击路径的相关分数,确定至少一个攻击路径的路径威胁度,具体用于:
针对每个攻击路径,将攻击路径的危险系数和攻击路径的相关分数相乘,得到攻击路径的路径威胁度。
在本申请实施例还一种可能的设计中,获取模块41,具体用于:
从不同类型的数据源中抽取多个节点的标识以及多个节点对应的多个漏洞信息。
可选的,攻击意图包括如下至少一项:身份验证、可注入参数的标识、联合查询、绕过身份验证、数据提取、捎带查询、数据提取、数据修改、拒绝服务、远程命令。
本申请实施例提供的渗透路径规划装置,可用于执行上述实施例中渗透路径规划方法对应的技术方案,其实现原理和技术效果相类似,在此不再赘述。
需要说明的是,应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。此外这些模块全部或部分可以集成在一起,也可以独立实现。这里所述的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
图5为本申请实施例提供的计算机的结构示意图。如图5所示,该计算机可以包括:处理器50、存储器51及存储在该存储器51上并可在处理器50上运行的计算机程序指令。
处理器50执行存储器51存储的计算机执行指令,使得处理器50执行上述实施例中的方案。处理器50可以是通用处理器,包括中央处理器CPU、网络处理器(networkprocessor,NP)等;还可以是数字信号处理器DSP、专用集成电路ASIC、现场可编程门阵列FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可选的,该计算机还可以包括:收发器52。
存储器51和收发器52通过系统总线与处理器50连接并完成相互间的通信,存储器51用于存储计算机程序指令。
收发器52用于和其他节点进行通信,该收发器52构成通信接口。
可选的,在硬件实现上,上述图4所示实施例中的获取模块41对应于本实施例中的收发器52。
系统总线可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。系统总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本申请实施例提供的计算机,可用于执行上述实施例中渗透路径规划方法对应的技术方案,其实现原理和技术效果类似,在此不再赘述。
本申请实施例还提供一种运行指令的芯片,该芯片用于执行上述实施例中渗透路径规划方法的技术方案。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机指令,当该计算机指令在计算机节点上运行时,使得计算机节点执行上述实施例中渗透路径规划方法的技术方案。
本申请实施例还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时用于执行上述实施例中渗透路径规划方法的技术方案。
上述的计算机可读存储介质可以是由任何类型的易失性或非易失性存储节点或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。可读存储介质可以是通用或专用计算机节点能够存取的任何可用介质。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求书来限制。
Claims (10)
1.一种渗透路径规划方法,其特征在于,包括:
获取多个节点的标识以及所述多个节点对应的多个漏洞信息,所述多个节点包括相互通信的源节点、至少一个中间节点以及目标节点,所述多个漏洞信息包括多个漏洞以及所述多个漏洞分别对应的属性数据,所述属性数据标示漏洞对节点的风险影响,所述多个节点为设备或软件;
根据所述多个节点的标识以及所述多个节点对应的多个漏洞信息,确定至少一个攻击路径、所述至少一个攻击路径的相关分数、以及所述至少一个攻击路径的危险系数,所述相关分数为所述至少一个攻击路径上的源节点对应的漏洞与所述至少一个攻击路径上的中间节点、所述目标节点对应的漏洞之间攻击意图的关系的重要程度;
根据所述至少一个攻击路径的危险系数和所述至少一个攻击路径的相关分数,确定所述至少一个攻击路径的路径威胁度;
根据所述至少一个攻击路径的路径威胁度,确定出目标攻击路径,所述目标攻击路径为所述至少一个攻击路径中路径威胁度最大的攻击路径。
2.根据权利要求1所述的方法,其特征在于,所述属性数据包括:所述漏洞的预定义的漏洞评分系统分数;
相应的,所述根据所述多个节点的标识以及所述多个节点对应的多个漏洞信息,确定至少一个攻击路径、所述至少一个攻击路径的危险系数,包括:
根据所述源节点、所述至少一个中间节点、以及所述目标节点,确定所述至少一个攻击路径;
针对每个攻击路径,在所述源节点、在所述攻击路径上的中间节点、以及目标节点对应的多个属性数据中,获取至少一个与所述源节点相关联的漏洞的漏洞评分系统分数;
根据所述至少一个漏洞评分系统分数,确定攻击路径的危险系数。
3.根据权利要求2所述的方法,其特征在于,所述属性数据包括所述漏洞的攻击意图;
相应的,所述根据所述多个节点的标识以及所述多个节点对应的多个漏洞信息,确定所述至少一个攻击路径的相关分数,包括:
针对每个攻击路径,获取所述源节点对应的漏洞的攻击意图与所述攻击路径上的中间节点、所述目标节点对应的漏洞的攻击意图;
根据所述源节点对应的漏洞的攻击意图与所述至少一个中间节点、所述目标节点对应的漏洞的攻击意图,确定所述源节点对应的漏洞与所述至少一个中间节点、所述目标节点对应的漏洞的共有攻击意图的数量以及所述源节点对应的漏洞的攻击意图的总数;
根据所述共有攻击意图的数量以及所述攻击意图的总数,确定所述相关分数。
4.根据权利要求1或2所述的方法,其特征在于,所述根据所述至少一个攻击路径的危险系数和所述至少一个攻击路径的相关分数,确定所述至少一个攻击路径的路径威胁度,包括:
针对每个攻击路径,将所述攻击路径的危险系数和所述攻击路径的相关分数相乘,得到所述攻击路径的路径威胁度。
5.根据权利要求1或2所述的方法,其特征在于,所述获取多个节点的标识以及所述多个节点对应的多个漏洞信息,包括:
从不同类型的数据源中抽取所述多个节点的标识以及所述多个节点对应的多个漏洞信息。
6.根据权利要求3所述的方法,其特征在于,所述攻击意图包括如下至少一项:身份验证、可注入参数的标识、联合查询、绕过身份验证、数据提取、捎带查询、数据提取、数据修改、拒绝服务、远程命令。
7.一种渗透路径规划装置,其特征在于,包括:
获取模块,用于获取多个节点的标识以及所述多个节点对应的多个漏洞信息,所述多个节点包括相互通信的源节点、至少一个中间节点以及目标节点,所述多个漏洞信息包括多个漏洞以及所述多个漏洞分别对应的属性数据,所述属性数据标示漏洞对节点的风险影响,所述多个节点为设备或软件;
确定模块,用于根据所述多个节点的标识以及所述多个节点对应的多个漏洞信息,确定至少一个攻击路径、所述至少一个攻击路径的相关分数、以及所述至少一个攻击路径的危险系数,所述相关分数为所述至少一个攻击路径上的源节点对应的漏洞与所述至少一个攻击路径上的中间节点、所述目标节点对应的漏洞之间攻击意图的关系的重要程度;
处理模块,用于根据所述至少一个攻击路径的危险系数和所述至少一个攻击路径的相关分数,确定所述至少一个攻击路径的路径威胁度,并根据所述至少一个攻击路径的路径威胁度,确定出目标攻击路径,所述目标攻击路径为所述至少一个攻击路径中路径威胁度最大的攻击路径。
8.一种计算机,包括:处理器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序指令,其特征在于,所述处理器执行所述计算机程序指令时实现如上述权利要求1至6任一项所述的渗透路径规划方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上述权利要求1至6任一项所述的渗透路径规划方法。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时用于实现如上述权利要求1至6任一项所述的渗透路径规划方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210068422.7A CN114398643A (zh) | 2022-01-20 | 2022-01-20 | 渗透路径规划方法、装置、计算机和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210068422.7A CN114398643A (zh) | 2022-01-20 | 2022-01-20 | 渗透路径规划方法、装置、计算机和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114398643A true CN114398643A (zh) | 2022-04-26 |
Family
ID=81232723
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210068422.7A Pending CN114398643A (zh) | 2022-01-20 | 2022-01-20 | 渗透路径规划方法、装置、计算机和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114398643A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114915475A (zh) * | 2022-05-18 | 2022-08-16 | 中国联合网络通信集团有限公司 | 攻击路径的确定方法、装置、设备及存储介质 |
CN115314393A (zh) * | 2022-10-12 | 2022-11-08 | 北京九鼎颐和科技有限公司 | 一种网络拓扑管理方法、系统、终端及存储介质 |
CN115470126A (zh) * | 2022-09-05 | 2022-12-13 | 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) | 软件安全漏洞模式数据库构建与软件渗透测试方法 |
CN116015881A (zh) * | 2022-12-27 | 2023-04-25 | 北京天融信网络安全技术有限公司 | 渗透测试方法、装置、设备及存储介质 |
WO2024032032A1 (zh) * | 2022-08-09 | 2024-02-15 | 华为云计算技术有限公司 | 云平台测试方法、装置、服务节点及云平台 |
-
2022
- 2022-01-20 CN CN202210068422.7A patent/CN114398643A/zh active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114915475A (zh) * | 2022-05-18 | 2022-08-16 | 中国联合网络通信集团有限公司 | 攻击路径的确定方法、装置、设备及存储介质 |
WO2024032032A1 (zh) * | 2022-08-09 | 2024-02-15 | 华为云计算技术有限公司 | 云平台测试方法、装置、服务节点及云平台 |
CN115470126A (zh) * | 2022-09-05 | 2022-12-13 | 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) | 软件安全漏洞模式数据库构建与软件渗透测试方法 |
CN115470126B (zh) * | 2022-09-05 | 2023-06-20 | 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) | 软件安全漏洞模式数据库构建与软件渗透测试方法 |
CN115314393A (zh) * | 2022-10-12 | 2022-11-08 | 北京九鼎颐和科技有限公司 | 一种网络拓扑管理方法、系统、终端及存储介质 |
CN116015881A (zh) * | 2022-12-27 | 2023-04-25 | 北京天融信网络安全技术有限公司 | 渗透测试方法、装置、设备及存储介质 |
CN116015881B (zh) * | 2022-12-27 | 2023-08-29 | 北京天融信网络安全技术有限公司 | 渗透测试方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11683333B1 (en) | Cybersecurity and threat assessment platform for computing environments | |
CN114398643A (zh) | 渗透路径规划方法、装置、计算机和存储介质 | |
Holm et al. | Sved: Scanning, vulnerabilities, exploits and detection | |
CN114915475B (zh) | 攻击路径的确定方法、装置、设备及存储介质 | |
WO2017152877A1 (zh) | 网络威胁事件评估方法及装置 | |
CN112104514B (zh) | 多视角的网络攻防仿真系统 | |
Mirjalili et al. | A survey on web penetration test | |
US11184368B2 (en) | Systems and methods for reporting computer security incidents | |
Hu et al. | Attack scenario reconstruction approach using attack graph and alert data mining | |
Bernardo et al. | Introduction and analysis of SDN and NFV security architecture (SN-SECA) | |
CN116405246A (zh) | 一种基于攻防结合的漏洞利用链构建技术 | |
CN115277127A (zh) | 基于系统溯源图搜索匹配攻击模式的攻击检测方法及装置 | |
CN116846619A (zh) | 一种自动化网络安全风险评估方法、系统及可读存储介质 | |
Kotenko et al. | NETWORK SECURITY EVALUATION BASED ON SIMULATION OF MALFACTOR’S BEHAVIOR | |
KR102578421B1 (ko) | 사이버 공방 시뮬레이션 플랫폼을 위한 공격 도구 관리 시스템 및 방법 | |
Nath | Vulnerability assessment methods–a review | |
WO2023087554A1 (zh) | 一种资产风险处置方法、装置、设备及存储介质 | |
Kotenko et al. | Analyzing network security using malefactor action graphs | |
Hu et al. | Research on automatic generation and analysis technology of network attack graph | |
Wang et al. | Using taint analysis for threat risk of cloud applications | |
Chang et al. | Vulnerable service invocation and countermeasures | |
Deptula | Automation of cyber penetration testing using the detect, identify, predict, react intelligence automation model | |
WO2022234628A1 (ja) | 攻撃進捗評価装置、攻撃進捗評価方法、及び、攻撃進捗評価プログラム | |
Liang et al. | A novel method makes concolic system more effective | |
Beramendi Higueras | Detection of cryptocurrency mining malware from network measurements |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |