CN114915476A

CN114915476A - 一种基于网络安全测评过程的攻击推演图生成方法及系统

Info

Publication number: CN114915476A
Application number: CN202210544834.3A
Authority: CN
Inventors: 唐亚东; 杨维永; 刘寅; 栾国强; 罗黎明; 朱世顺; 秦学嘉; 张鹏; 魏兴慎; 刘苇; 祁龙云; 徐杰; 丁晓玉
Original assignee: Nari Information and Communication Technology Co
Current assignee: Nanjing Nari Network Security Technology Co ltd; Nari Information and Communication Technology Co
Priority date: 2022-05-19
Filing date: 2022-05-19
Publication date: 2022-08-16
Anticipated expiration: 2042-05-19
Also published as: CN114915476B

Abstract

本发明公开了网络安全技术领域的一种基于网络安全测评过程的攻击推演图生成方法及系统。方法包括基于网络安全测评过程进行自动化预处理挖掘资产信息、资产漏洞详情和资产安全现状；构建完整的拓扑结构连接示意图，并确定漏洞利用权重；建立网络区域与边界的攻击属性；将网络区域与边界的攻击属性和资产安全现状关联，遍历可执行攻击路径，得出节点间互联系数；计算单节点单漏洞或服务被攻击的风险等级；进行交叉加权叠加，实现不同路径风险等级计算、最优攻击路径判定与推演、攻击路径薄弱点分析，同步生成路径节点间攻击态；评估、推演出潜在的攻击路径，完成了准动态推演式的风险预判预控。

Description

一种基于网络安全测评过程的攻击推演图生成方法及系统

技术领域

本发明属于网络安全技术领域，具体涉及一种基于网络安全测评过程的攻击推演图生成方法及系统。

背景技术

随着信息技术发展和各国网络安全政策的不断演变，网络安全形势日益严峻，同时攻击的针对性、持续性、隐蔽性显著增强，大大增加了网络安全防护难度。面对复杂、多变的网络安全事态，常规网络安全合规性评价已无法应对时势变化。

目前绝大多数针对攻击图技术研究存在的问题包括：1)重点关注设备或系统的本体漏洞，依赖漏洞关联的CVSS(Common Vulnerability Scoring System，通用漏洞评分系统)评分元素进行攻击图推演，未综合考虑设备或系统安全现状、现有安全防护措施以及漏洞可利用的EXP(Exploit，一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码)，同时对于不存在CVSS评分的漏洞无法关联分析；2)攻击造成的损失未考虑资产的重要性或价值，或资产重要性取值依赖于CVSS的机密性(C)、完整性(I)、可用性(A)取值，或结合设备供电机制分析资产重要性，未从资产本身所关联的机密性、完整性、可用性进行分析考虑。

发明内容

为解决现有技术中的不足，本发明提供一种基于网络安全测评过程的攻击推演图生成方法及系统，基于网络安全测评过程挖掘资产信息、资产漏洞详情和资产安全现状，评估、推演出潜在的攻击路径，完成了准动态推演式的风险预判预控。

为达到上述目的，本发明所采用的技术方案是：

第一方面，提供一种基于网络安全测评过程的攻击推演图生成方法，包括：基于网络安全测评过程进行自动化预处理挖掘资产信息、资产漏洞详情和资产安全现状；根据资产信息，构建完整的拓扑结构连接示意图；以完整的拓扑结构连接示意图为基础，结合各节点服务或组件的启用情况、资产漏洞详情和资产安全现状，建立网络区域与边界的攻击属性，并确定漏洞利用权重；将网络区域与边界的攻击属性和资产安全现状关联，遍历可执行攻击路径，得出节点间互联系数；基于风险评估模型的攻击路径算法，计算单节点单漏洞或服务被攻击的风险等级；再结合漏洞利用权重与节点间互联系数进行交叉加权叠加，实现不同路径风险等级计算、最优攻击路径判定与推演、攻击路径薄弱点分析，同步生成路径节点间攻击态；将最优攻击路径、攻击路径薄弱点，路径节点间攻击态回归完整的拓扑结构连接示意图，实现攻击路径可视化展示与各路径自由切换。

进一步地，所述资产信息包括：资产多网卡IP、资产名称、资产所连接网络设备及安全设备、所属网络区域、资产型号版本、资产系统版本；所述资产漏洞详情包括：漏洞关联协议、与漏洞相关的服务、威胁分类、漏洞利用方式、攻击难度、权限需求、用户介入需求、是否存在可利用的EXP值、漏洞CVSS值；所述资产安全现状包括：现有安全问题与现有安全防护措施，如弱口令、开启的服务、安装的组件、登录失败锁定、超时退出、访问控制策略等。

进一步地，所述网络区域与边界包括自定义的网络区域空间和区域间边界；所述网络区域与边界的攻击属性包括三个属性，第一属性：发起攻击节点或对象集；第二属性：攻击目标集；第三属性：可利用的服务或组件集；并且包含三种定义方式，第一是从攻击者角度定义，即外部网络正向发起遍历用于攻击的服务或组件，形成攻击目标集合，攻击属性表示为(Host,All,Services)；第二是从攻击目标角度定义，即内部网络反向发起遍历可能被用于攻击的服务或组件，形成可能攻击源集合；攻击属性表示为(All,Host,Services)；第三是确定的攻击者和攻击目标，即以确定的攻击源利用服务或组件对明确的目标进行攻击，此时攻击属性表示为(host,Goal,Services)；其中，Host表示特定的或确定的节点；All表示某一网络区域的节点集合；Services表示可利用的服务或组件；Goal表示特定的或确定的攻击目标。

进一步地，所述将网络区域与边界的攻击属性与资产安全现状关联，遍历可执行攻击路径，得出节点间互联系数，包括：根据网络区域与边界的攻击属性的第一属性、第二属性，假设所有节点均有可能为攻击发起者、攻击目标，遍历可执行攻击路径，关联资产安全现状确定节点间互联系数，进一步结合第三属性关联的漏洞利用权重，对已遍历的攻击路径进行优化精简，当漏洞利用权重为0或节点间互联系数为0时，此段路径无法继续推进，则不显现列出，同时采取防回路机制，保证所有攻击路径的有效性；所述节点间互联系数设定为β_p，表示攻击节点能够访问被攻击节点的能力，其下标p作为两个节点互联的标记；若攻击节点与被攻击节点间无任何访问控制机制时，β_p为1；若攻击节点与被攻击节点间仅可访问指定服务，β_p为0.27；若攻击节点无法正常访问被攻击节点间，β_p为0。

进一步地，所述漏洞利用权重即漏洞的可利用性，基于漏洞利用方式、攻击难度、权限需求、用户介入需求、是否存在利用的EXP、现有安全防护措施的量化值，通过如下函数运算获得，具体为：μ_l＝4*ROUNDUP(AM*AD*PR*UI*EXPO*SM,2)其中，μ_l表示漏洞利用权重，其下标l作为某一节点的标记；ROUNDUP表示向上舍入数字的函数；AM表示漏洞利用方式；AD表示攻击难度；PR表示权限需求；UI表示用户介入需求；EXPO表示是否存在利用的EXP；SM表示现有安全防护措施。

进一步地，所述攻击路径算法，以风险评估“相乘矩阵法”模型为计算雏形，源数据包括漏洞面临的威胁赋值Ta、漏洞脆弱性赋值Va、资产重要程度赋值Aa；由漏洞面临的威胁赋值Ta与漏洞脆弱性赋值Va相乘计算得出攻击发生的可能性pa＝Ta*Va，并通过矩阵法转换为攻击发生可能性等级G(pa)＝CEILING(Pa/5,1)；由漏洞脆弱性赋值Va与资产重要程度赋值Aa相乘计算得出攻击造成的损失La＝Va*Aa，并通过矩阵法转换为攻击造成的损失等级G(la)＝CEILING(La/5,1)，将攻击的可能性等级G(pa)与攻击造成的损失等级G(la)进行相乘并通过矩阵法转换得出单节点单漏洞被攻击的风险等级R_i＝CEILING{[G(pa)*G(la)]/5,1}，其中R_i的下标i作为某一节点某一漏洞的标记；所述矩阵法将通过计算公式CEILING(Number/5,1)实现，即保证G(pa)、G(la)、R_i最终计算所得值为[1,5]间的整数。

进一步地，结合漏洞利用权重与节点间互联系数进行交叉加权叠加，实现不同路径风险等级计算、最优攻击路径判定与推演、攻击路径薄弱点分析，同步生成路径节点间攻击态，包括：将单个路径内各节点不同漏洞被利用所造成的风险等级结合漏洞利用权重与节点间互联系数进行交叉加权叠加，以量化的方式确定攻击最优路径，为攻击路径可视化展示建立数据基础；交叉加权的目标是考量同一路径内，各节点不同漏洞利用的难易程度，从多维度计算路径风险等级，更准确的判定最优化攻击路径，同时将所有路径交叉遍历漏洞利用必经节点；所述加权叠加的公式为R(attacker,target)_k＝(μ_lβ_pR_i+····+μ_mβ_vR_n)/Q，表示示攻击者attacker至攻击目标target的路径k不同节点及其漏洞组合造成的风险等级；其中，μ_l是指攻击者attacker使用路径k时第一个节点某一漏洞的漏洞利用权重，β_p是指攻击者attacker使用路径k时与第一个节点的节点间互联系数，R_i是指攻击者attacker使用路径k时第一个节点某一漏洞或服务被攻击的风险等级，μ_m是指路径k攻击目标target中某一漏洞的漏洞利用权重，β_v是指路径k攻击目标target前一节点与target间的节点间互联系数，R_n是指攻击目标target某一漏洞或服务被攻击的风险等级，Q是指攻击路径中被攻击的节点数；所述薄弱点，是指从攻击者区域到目标区域，所有攻击路径必经节点，同时该节点存在可利用的漏洞。

进一步地，将最优攻击路径、攻击路径薄弱点，路径节点间攻击态回归完整的拓扑结构连接示意图，实现攻击路径可视化展示与自由切换，包括：所述回归，是指将模型分析得出的攻击路径在拓扑结构连接示意图进行可视化展示；所述可视化展示包括在拓扑结构连接示意图中显示攻击路径、最优攻击路径与薄弱点，两节点间路径显示攻击态S，攻击态S包括该路径状态下利用的漏洞、攻击的风险等级、漏洞利用权重、节点间互联系数，即S(CVE,R_i,μ_l,β_p)；所述自由切换是指可自由选择潜在的攻击路径在完整的拓扑结构连接示意图进行展示推演；所述该路径状态下利用的漏洞是采用CVE编号显示，对于不存在CVE编号的漏洞，则直接显示漏洞名称。

第二方面，提供一种基于网络安全测评过程的攻击推演图生成系统，包括处理器和存储设备，所述存储设备中存储有多条指令，用于所述处理器加载并执行第一方面所述方法的步骤。

与现有技术相比，本发明所达到的有益效果：

(1)本发明通过基于网络安全测评过程进行自动化预处理挖掘资产信息、资产漏洞详情和资产安全现状；构建完整的拓扑结构连接示意图，并确定漏洞利用权重；建立网络区域与边界的攻击属性；将网络区域与边界的攻击属性与资产安全现状关联，得出节点间互联系数；计算单节点单漏洞或服务被攻击的风险等级；进行交叉加权叠加，实现不同路径风险等级计算、最优攻击路径判定与推演、攻击路径薄弱点分析，同步生成路径节点间攻击态；评估、推演出潜在的攻击路径，完成了准动态推演式的风险预判预控；

(2)本发明以常态网络安全测评工作为切入点，基于网络安全测评积累的优势，充分挖掘周期性测评轮询数据，实现网络安全测评与攻击图技术的深度融合，降低企业人工消耗与资金投入；

(3)本发明以现场网络拓扑为基础，构建拓扑结构连接示意图，汲取权威CVSS评分优点，结合现有安全防护措施，摸排漏洞可利用的EXP，精确漏洞利用权重，引入资产本体重要性，作为漏洞攻击风险等级的一项计算元素，准确的实现攻击路径推演、最优路径分析及可视化展示，也利于普通技术人员直观的获悉潜在的攻击路径和薄弱点，推动网络安全测评由“静态快照”式对标评测向“准动态推演”式风险预判预控的转变。

附图说明

图1是本发明实施例提供的一种基于网络安全测评过程的攻击推演图生成系统的系统架构示意图；

图2是本发明实施例中单个节点某一漏洞或服务被攻击的风险等级计算模型示意图；

图3是本发明实施例中使用的拓扑结构连接示意图及最优攻击路径推演图；

图4是本发明实施例中使用本发明自由切换而来的攻击失败路径图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

实施例一：

如图1～图4所示，一种基于网络安全测评过程的攻击推演图生成方法，包括：基于网络安全测评过程进行自动化预处理挖掘资产信息、资产漏洞详情和资产安全现状；根据资产信息，构建完整的拓扑结构连接示意图；以完整的拓扑结构连接示意图为基础，结合各节点服务或组件的启用情况、资产漏洞详情和资产安全现状，建立网络区域与边界的攻击属性，并确定漏洞利用权重；将网络区域与边界的攻击属性和资产安全现状关联，遍历可执行攻击路径，得出节点间互联系数；基于风险评估模型的攻击路径算法，计算单节点单漏洞或服务被攻击的风险等级；再结合漏洞利用权重与节点间互联系数进行交叉加权叠加，实现不同路径风险等级计算、最优攻击路径判定与推演、攻击路径薄弱点分析，同步生成路径节点间攻击态；将最优攻击路径、攻击路径薄弱点，路径节点间攻击态回归完整的拓扑结构连接示意图，实现攻击路径可视化展示与各路径自由切换。

步骤一：基于网络安全测评过程进行自动化预处理挖掘资产信息、资产漏洞详情和资产安全现状。

资产信息包括资产多网卡IP、资产名称、资产所连接网络设备及安全设备、所属网络区域、资产型号版本、资产系统版本等。资产漏洞详情包括漏洞关联协议、与漏洞相关的服务、威胁分类、漏洞利用方式、攻击难度、权限需求、用户介入需求、是否存在可利用的EXP值、漏洞CVSS值。资产安全现状来源于资产基线合规，包括现有安全问题与现有安全防护措施，如弱口令、开启的服务、安装的组件、登录失败锁定、超时退出、访问控制策略等。

步骤二：根据资产信息，构建完整的拓扑结构连接示意图；具体为：根据步骤一的资产多网卡IP、资产所连接网络设备和安全设备及所属网络区域等信息，确定资产间接关系，匹配预设的典型拓扑结构图，构建完整的拓扑结构连接示意图。

步骤三：以完整的拓扑结构连接示意图为基础，结合各节点服务或组件的启用情况、资产漏洞详情和资产安全现状，建立网络区域与边界的攻击属性，并确定漏洞利用权重。

1)以步骤二构建的完整的拓扑结构连接示意图为基础，结合各节点服务或组件的启用情况，建立网络区域与边界的攻击属性；网络区域与边界包括自定义的网络区域空间和区域间边界；攻击属性包括三个属性：第一属性：发起攻击节点或对象集；第二属性：攻击目标集；第三属性：可利用的服务或组件集；并且包含三种定义方式，第一是从攻击者角度定义，即外部网络正向发起遍历用于攻击的服务或组件，形成攻击目标集合，攻击属性表示为(Host,All,Services)；第二是从攻击目标角度定义，即内部网络反向发起遍历可能被用于攻击的服务或组件，形成可能攻击源集合；攻击属性表示为(All,Host,Services)；第三是确定的攻击者和攻击目标，即以确定的攻击源利用服务或组件对明确的目标进行攻击，此时攻击属性表示为(host,Goal,Services)；其中，Host表示特定的或确定的节点；All表示某一网络区域的节点集合；Services表示可利用的服务或组件；Goal表示特定的或确定的攻击目标。

2)漏洞利用权重即漏洞的可利用性，基于漏洞利用方式、攻击难度、权限需求、用户介入需求、是否存在利用的EXP、现有安全防护措施的量化值，通过如下函数运算获得，具体为：

μ_l＝4*ROUNDUP(AM*AD*PR*UI*EXPO*SM,2)

其中，μ_l表示漏洞利用权重，其下标l作为某一节点的标记；ROUNDUP表示向上舍入数字的函数；AM表示漏洞利用方式；AD表示攻击难度；PR表示权限需求；UI表示用户介入需求；EXPO表示是否存在利用的EXP；SM表示现有安全防护措施；其中AM、AD、PR、UI的判定参考CVSS评分系统，EXP、SM的判定则根据实际情况进行选择，对于不存在CVE编号的漏洞，则根据实际情况判定。

漏洞利用方式，设定为AM，包括网络、相邻网络、本地、物理，其中“网络”的的量化数值为0.85，“相邻网络”的量化数值为0.62，“本地”的量化数值为0.55，“物理”的量化数值为0.2；网络是指基于OSI第三层(网络层)进行漏洞利用的方式；相邻网络是指通过短距离(非OSI第三层)的漏洞利用方式，比如蓝牙、无线网等；本地是指该漏洞需攻击者登录至漏洞所在设备方可利用；物理是指攻击者需要物理接触或访问易受攻击的组件或设备。

攻击难度，设定为AD，包括高、低，其中“高”的量化数值为0.44，“低”的量化数值为0.77；所述“高”是指成功的攻击不能随意完成，而是需要攻击者针对受攻击的组件投入一定的时间与精力进行准备；所述“低”是指攻击者仅需准备少量的资源，消耗少量时间与精力即可轻易成功。

权限需求，设定为PR，包括无、低、高，其中“无”的量化数值为0.85，“低”的量化数值为0.62，“高”的量化数值为0.27，设定权限需求为PR；所述“无”是指攻击者在攻击之前无需授权即可进行攻击或操作；所述“低”是指攻击者被授权提供基本用户功能的权限，如普通用户权限；所述“高”是指攻击者被授予特权，可对受攻击的组件进行重要控制，如超级用户权限。

用户接入，设定为UI，包括无、必需，其中“无”的量化数值为0.85，“必需”的量化数值为0.62；所述“无”是指易受攻击的系统可以在没有任何用户交互的情况下被利用，即无需用户点击或打开某特定界面/程序；所述“必需”是指成功利用此漏洞需要用户在漏洞被利用之前采取一些措施，即需要用户登录特定界面或点击预设程序，如钓鱼攻击、CSRF攻击等。

是否存在利用的exp，设定为EXP，包括存在、无，其中“存在”的量化值为0.85，“无”的量化值为0.27；所述“存在”是指互联网存在成熟的EXP用于利用系统漏洞进行攻击的动作；所述“无”是指互联网暂不存在针对性的EXP。

所述现有安全防护措施，设定为SM，包括无、低、较高、高，其中“无”的量化值为0.85，“低”的量化值为0.62，“较高”的量化值为0.27，“高”的量化值为0；所述“无”是指未启用安全策略，如访问控制措施、登录失败处理等；所述“低”是指仅启用部分安全策略；所述“较高”是指启用较为严格的安全策略但颗粒度不够精细；所述“高”是指安全策略健全。

步骤四：将网络区域与边界的攻击属性和资产安全现状关联，遍历可执行攻击路径，得出节点间互联系数。

根据网络区域与边界攻击属性的第一属性与第二属性，假设所有节点均有可能为攻击发起者、攻击目标，遍历可执行攻击路径，关联资产安全现状确定节点间互联系数，进一步结合第三属性关联的漏洞利用权重，对已遍历的攻击路径进行优化精简，当漏洞利用权重为0或节点间互联系数为0时，此段路径无法继续推进，则不显现列出，同时采取防回路机制，保证所有攻击路径的有效性；其中，节点间互联系数设定为β_p，是根据攻击节点能够访问被攻击节点的能力，其下标p作为两个节点互联的标记；若攻击节点与被攻击节点间无任何访问控制机制时，β_p为1；若攻击节点与被攻击节点间仅可访问指定服务时，β_p为0.27；若攻击节点无法正常访问被攻击节点间时，β_p为0。

步骤五：基于风险评估模型的攻击路径算法，计算单节点单漏洞或服务被攻击的风险等级R_i；如图2，攻击路径算法以风险评估“相乘矩阵法”模型为计算雏形，源数据包括漏洞面临的威胁赋值Ta、漏洞脆弱性赋值Va、资产重要程度赋值Aa；由漏洞面临的威胁赋值Ta与漏洞脆弱性赋值Va相乘计算得出攻击发生的可能性pa＝Ta*Va，并通过矩阵法转换为攻击发生可能性等级G(pa)＝CEILING(Pa/5,1)；由漏洞脆弱性赋值Va与资产重要程度赋值Aa相乘计算得出攻击造成的损失La＝Va*Aa，并通过矩阵法转换为攻击造成的损失等级G(la)＝CEILING(La/5,1)，将攻击的可能性等级G(pa)与攻击造成的损失等级G(la)进行相乘并通过矩阵法转换得出单节点单漏洞被攻击的风险等级R_i＝CEILING{[G(pa)*G(la)]/5,1}，其中R_i的下标i作为某一节点某一漏洞的标记；；其中矩阵法以计算公式CEILING(Number/5,1)转化实现，保证G(pa)、G(la)、R_i最终计算所得值为1至5之间的整数(包含1和5)。

步骤六：结合漏洞利用权重与节点间互联系数进行交叉加权叠加，计算不同路径的风险等级R(attacker,target)_k＝(μ_lβ_pR_i+····+μ_mβ_vR_n)/Q，以及最优路径判断，分析各攻击路径的薄弱点；具体为将单个路径内各节点不同漏洞被利用所造成的风险等级结合漏洞利用权重与节点间互联系数进行交叉加权叠加，以量化的方式确定攻击最优路径，为攻击路径可视化展示建立数据基础；交叉加权的目标是考量同一路径内，各节点不同漏洞利用的难易程度，从多维度计算路径风险等级，更准确的判定最优化攻击路径，同时将所有路径交叉遍历漏洞利用必经节点。所述薄弱点，是指从攻击者区域到目标区域，所有攻击路径必经节点，同时该节点存在可利用的漏洞。

步骤七：最优攻击路径、攻击路径薄弱点，路径节点间攻击态回归完整的拓扑结构连接示意图，实现攻击路径可视化展示与各路径自由切换。

所述回归，是指将模型分析得出的攻击路径在拓扑结构连接示意图进行可视化展示；所述可视化展示包括在拓扑结构连接示意图中显示攻击路径、最优攻击路径与薄弱点，两节点间路径显示攻击态S，攻击态S包括该路径状态下利用的漏洞、攻击的风险等级、漏洞利用权重、节点间互联系数，即S(CVE,R_i,μ_l,β_p)；所述自由切换是指可自由选择潜在的攻击路径在完整的拓扑结构连接示意图进行展示推演；所述该路径状态下利用的漏洞是采用CVE编号显示，对于不存在CVE编号的漏洞，则直接显示漏洞名称。

为验证本发明的有效性，下面结合实际场景拓扑示意图，对本发明的技术方面进行说明。

如图3所示，为电力行业典型拓扑结构连接示意图，调度主站分为安全区I与安全区II，安全区I与安全区II之间部署防火墙，防火墙仅允许DTS主机(D1)对SCADA主机(S1)的所有端口进行访问，调度主站安全区I接入调度数据网实时子网，调度主站安全区II与变电站II区接入调度数据网非实时子网，纵向边界均通过纵向加密接入调度数据网，但纵向加密装置存在明通及IP地址与端口范围过大的问题；每个区域网络节点分为内部节点和边界节点，如图3中的故障录波、FES主机属于边界节点，SCADA主机、HIS主机、DTS主机、网络安全管理主机为内部节点。

下一步在拓扑结构连接示意图的基础上，建立网络区域与边界的攻击属性：

其中，变电站II区：关注点是攻击者Attacker如何攻击到变电站II区边界设备Host_i(Host₁、Host₂···Host_n)，则指定变电站II区攻击属性为(Attacker,Host_i,Services)；

主站安全区II：包括DTS主机、网络安全管理主机，攻击到上述任何服务器均可能对主站安全区I造成重大威胁，视为攻击者角度。故指定主站安全区II的攻击者属性为(Host_m，All，Services),Host_m为主站安全区II侧与变电站的边界主机；

主站安全区I：侧重点是SCADA、HIS等主机，视为攻击目标角度。故指定主站安全区I的攻击者属性为(All，Host_t，Services)；

变电站II区与主站安全区II边界：作为纵向攻击路径的重要突破点，以变电站II区所有安全隐患主机与边界节点的集合Host_i+为攻击源，主站安全区II纵向边界节点为Host_m攻击目标，视为确定的攻击者和攻击目标，故指定攻击属性为(Host_i+,Host_m,Services)；

主站安全区I与安全区II边界：作为横向攻击路径的突破点，以主站安全区II边界处安全隐患主机Host_r为攻击源，主站I区边界设备与攻击目标的集合Target为攻击目标，视为确定的攻击者和攻击目标，故指定攻击属性为(Host_r,Target,Services)。

进一步基于漏洞利用方式AM、攻击难度AD、权限需求PR、用户介入需求UI、是否存在利用的EXP、现有安全防护措施SM的量化值进行一定的函数运算得出漏洞利用权重为μ_l＝4*ROUNDUP(AM*AD*PR*UI*EXP*SM,2)；如图3，故障录波(B1)漏洞CVE1漏洞利用权重为μ₁，FES主机2(F2)漏洞CVE2利用可能性为μ₂；网络安全管理主机(N1)漏洞CVE3利用可能性为μ₃、漏洞CVE4利用可能性为μ₄；DTS主机(D1)漏洞CVE5利用可能性为μ₅；SCADA主机(S1)漏洞CVE6利用可能性为μ₆；HIS主机(H1)漏洞CVE7利用可能性为μ₇；FES主机1(F1)漏洞CVE8利用可能性为μ₈。

进一步根据网络区域与边界攻击属性的第一属性与第二属性假设所有节点均有可能为攻击发起者、攻击目标，遍历可执行攻击路径，关联资产安全现状中的节点间访问控制机制，确定各节点间关联系数β取值；由于故障录波(B1)未做任何访问控制措施，故β(B2,B1)＝β₁＝1；纵向加密装置存在明通及IP地址与端口范围过大的问题,故β(B1,F2)＝β₂＝1；FES主机2(F2)与DTS主机(D1)之间未做任何访问控制措施，故β(F2,D1)＝β₃＝1；FES主机2(F2)仅可访问网络安全管理主机(N1)的SSH服务，故β(F2,N1)＝β₄＝0.27；网络安全管理主机(N1)仅可访问DTS主机(D1)的UDP514端口，故β(N1,D1)＝β₅＝0.27；防火墙仅允许DTS主机(D1)对SCADA主机(S1)的所有端口进行访问，故β(D1,S1)＝β₆＝1，β(N1,S1)＝β₁₁＝0,β(D1,H1)＝β₁₂＝0,β(D1,F1)＝β₁₃＝0,β(N1,H1)＝β₁₄＝0,β(N1,F1)＝β₁₅＝0；SCADA主机(S1)仅可访问HIS主机(H1)的数据库端口，故β(S1,H1)＝β₇＝0.27；SCADA主机(S1)与FES主机1(F1)之间无任何访问控制措施，故β(S1,F1)＝β₈＝1；HIS主机(H1)仅可访问FES主机1(F1)的SSH服务，故β(H1,F1)＝β₉＝0.27；FES主机1(F1)不可访问HIS主机(H1)，故β(F1,H1)＝β₁₀＝0。

在节点间关联系数基础上，结合第三属性关联的漏洞利用权重，对已遍历的攻击路径进行优化精简，当漏洞利用权重μ为0或节点间互联系数β为0时，此段路径无法继续推进，则不显现列出；图3可能的攻击路径如表1所示：

表1可能的攻击路径

路径编号	路径
		路径1	B2→B1→F2→D1→S1→H1
路径2	B2→B1→F2→D1→S1→H1→F1
		路径3	B2→B1→F2→D1→S1→F1
路径4	B2→B1→F2→N1→D1→S1→H1
		路径5	B2→B1→F2→N1→D1→S1→H1→F1
路径6	B2→B1→F2→N1→D1→S1→F1

进一步的，如图2根据单个节点某一漏洞或服务被攻击的风险等级计算模型，计算单个节点某一漏洞或服务被攻击的风险等级，故障录波(B1)漏洞CVE1被攻击的风险等级为R₁；FES主机2(F2)漏洞CVE2被攻击的风险等级为R₂；网络安全管理主机(N1)漏洞CVE3被攻击的风险等级为R₃、漏洞CVE4被攻击的风险等级为R₄；DTS主机(D1)漏洞CVE5被攻击的风险等级为R₅；SCADA主机(S1)漏洞CVE6被攻击的风险等级为R₆；HIS主机1(H1)漏洞CVE7被攻击的风险等级为R₇；FES主机1(F1)漏洞CVE8被攻击的风险等级为R₈。

进一步的，以表1的路径为主线，使用公式R(attacker,target)_k＝(μ_lβ_pR_i+····+μ_mβ_vR_n)/Q将各节点不同漏洞的风险等级与对应漏洞利用权重进行交叉加权叠加计算各路径风险等级，如下表2所示；此外，路径5、路径6、路径7均包含N1节点，而N1节点包含CVE3和CVE4两个漏洞的利用，故路径5、路径6、路径7针对CVE3和CVE4漏洞分别计算风险等级，并以下标进行区分。

表2

根据表2的风险等级R计算结果判断最优攻击路径，同时分析路径走向及节点组成，关联该节点漏洞的利用可能性，可得出FES主机2(F2)、DTS主机(D1)和SCADA主机(S1)为薄弱点，分别为纵向边界与主站通信、安全区I与安全区II数据交互的必经节点，为此需在薄弱点以及在薄弱节点易被利用路径的网络互联设备上采取重点防护措施。

进一步，如图3最优攻击路径、攻击路径薄弱点，路径节点间攻击态回归完整的拓扑结构连接示意图，实现攻击路径及攻击信息的可视化展示与各路径自由切换，高亮最优攻击路径与薄弱点，显示节点间路径攻击态S，攻击态S包括该路径状态下利用的漏洞、攻击的风险等级、漏洞利用权重、节点间互联系数，即S(CVE,R_i,μ_l,β_p)；如图4为自由切换展示的攻击失败路径图，由于网络安全管理主机(N1)与SCADA主机(S1)的节点间互联系数β为0，故在N1至S1的路径直接中断，攻击态为S(CVE6,R₆,μ₆,0)。

本发明以常态网络安全测评工作为切入点，基于网络安全测评积累的优势，充分挖掘周期性测评轮询数据，实现网络安全测评与攻击图技术的深度融合，降低企业人工消耗与资金投入；本发明以现场网络拓扑为基础，构建拓扑结构连接示意图，汲取权威CVSS评分优点，结合现有安全防护措施，摸排漏洞可利用的EXP，精确漏洞利用权重，引入资产本体重要性，作为漏洞攻击风险等级的一项计算元素，准确的实现攻击路径推演、最优路径分析及可视化展示，也利于普通技术人员直观的获悉潜在的攻击路径和薄弱点，推动网络安全测评由“静态快照”式对标评测向“准动态推演”式风险预判预控的转变。

实施例二：

基于实施例一所述的一种基于网络安全测评过程的攻击推演图生成方法，本实施例提供一种基于网络安全测评过程的攻击推演图生成系统，包括处理器和存储设备，所述存储设备中存储有多条指令，用于所述处理器加载并执行实施例一所述方法的步骤。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims

1.一种基于网络安全测评过程的攻击推演图生成方法，其特征在于，包括：

基于网络安全测评过程进行自动化预处理挖掘资产信息、资产漏洞详情和资产安全现状；

根据资产信息，构建完整的拓扑结构连接示意图；

以完整的拓扑结构连接示意图为基础，结合各节点服务或组件的启用情况、资产漏洞详情、资产安全现状，建立网络区域与边界的攻击属性，并确定漏洞利用权重；

将网络区域与边界的攻击属性和资产安全现状关联，遍历可执行攻击路径，得出节点间互联系数；

基于风险评估模型的攻击路径算法，计算单节点单漏洞或服务被攻击的风险等级；再结合漏洞利用权重与节点间互联系数进行交叉加权叠加，实现不同路径风险等级计算、最优攻击路径判定与推演、攻击路径薄弱点分析，同步生成路径节点间攻击态；

将最优攻击路径、攻击路径薄弱点，路径节点间攻击态回归完整的拓扑结构连接示意图，实现攻击路径可视化展示与各路径自由切换。

2.根据权利要求1所述的基于网络安全测评过程的攻击推演图生成方法，其特征在于，所述资产信息包括：资产多网卡IP、资产名称、资产所连接网络设备及安全设备、所属网络区域、资产型号版本、资产系统版本；

所述资产漏洞详情包括：漏洞关联协议、与漏洞相关的服务、威胁分类、漏洞利用方式、攻击难度、权限需求、用户介入需求、是否存在可利用的EXP值、漏洞CVSS值；

所述资产安全现状包括：现有安全问题与现有安全防护措施，如弱口令、开启的服务、安装的组件、登录失败锁定、超时退出、访问控制策略。

3.根据权利要求1所述的基于网络安全测评过程的攻击推演图生成方法，其特征在于，

所述网络区域与边界包括自定义的网络区域空间和区域间边界；

所述网络区域与边界的攻击属性包括三个属性，第一属性：发起攻击节点或对象集；第二属性：攻击目标集；第三属性：可利用的服务或组件集；并且包含三种定义方式，第一是从攻击者角度定义，即外部网络正向发起遍历用于攻击的服务或组件，形成攻击目标集合，攻击属性表示为(Host,All,Services)；第二是从攻击目标角度定义，即内部网络反向发起遍历可能被用于攻击的服务或组件，形成可能攻击源集合；攻击属性表示为(All,Host,Services)；第三是确定的攻击者和攻击目标，即以确定的攻击源利用服务或组件对明确的目标进行攻击，此时攻击属性表示为(host,Goal,Services)；其中，Host表示特定的或确定的节点；All表示某一网络区域的节点集合；Services表示可利用的服务或组件；Goal表示特定的或确定的攻击目标。

4.根据权利要求3所述的基于网络安全测评过程的攻击推演图生成方法，其特征在于，所述将网络区域与边界的攻击属性和资产安全现状关联，遍历可执行攻击路径，得出节点间互联系数，包括：

根据网络区域与边界的攻击属性的第一属性、第二属性，假设所有节点均有可能为攻击发起者、攻击目标，遍历可执行攻击路径，关联资产安全现状确定节点间互联系数，进一步结合第三属性关联的漏洞利用权重，对已遍历的攻击路径进行优化精简，当漏洞利用权重为0或节点间互联系数为0时，此段路径无法继续推进，则不显现列出，同时采取防回路机制，保证所有攻击路径的有效性；

所述节点间互联系数设定为β_p，表示攻击节点能够访问被攻击节点的能力,其下标p作为两个节点互联的标记；若攻击节点与被攻击节点间无任何访问控制机制时，β_p为1；若攻击节点与被攻击节点间仅可访问指定服务，β_p为0.27；若攻击节点无法正常访问被攻击节点间，β_p为0。

5.根据权利要求1所述的基于网络安全测评过程的攻击推演图生成方法，其特征在于，所述漏洞利用权重即漏洞的可利用性，基于漏洞利用方式、攻击难度、权限需求、用户介入需求、是否存在利用的EXP、现有安全防护措施的量化值，通过如下函数运算获得，具体为：

μ_l＝4*ROUNDUP(AM*AD*PR*UI*EXPO*SM,2)

其中，μ_l表示漏洞利用权重，其下标l作为某一节点的标记；ROUNDUP表示向上舍入数字的函数；AM表示漏洞利用方式；AD表示攻击难度；PR表示权限需求；UI表示用户介入需求；EXPO表示是否存在利用的EXP；SM表示现有安全防护措施。

6.根据权利要求1所述的基于网络安全测评过程的攻击推演图生成方法，其特征在于，所述攻击路径算法，以风险评估“相乘矩阵法”模型为计算雏形，源数据包括漏洞面临的威胁赋值Ta、漏洞脆弱性赋值Va、资产重要程度赋值Aa；由漏洞面临的威胁赋值Ta与漏洞脆弱性赋值Va相乘计算得出攻击发生的可能性pa＝Ta*Va，并通过矩阵法转换为攻击发生可能性等级G(pa)＝CEILING(Pa/5,1)；由漏洞脆弱性赋值Va与资产重要程度赋值Aa相乘计算得出攻击造成的损失La＝Va*Aa，并通过矩阵法转换为攻击造成的损失等级G(la)＝CEILING(La/5,1)，将攻击的可能性等级G(pa)与攻击造成的损失等级G(la)进行相乘并通过矩阵法转换得出单节点单漏洞被攻击的风险等级R_i＝CEILING{[G(pa)*G(la)]/5,1}，其中，R_i的下标i作为某一节点某一漏洞的标记；

所述矩阵法将通过计算公式CEILING(Number/5,1)实现，即保证G(pa)、G(la)、R_i最终计算所得值为[1,5]间的整数。

7.根据权利要求1所述的基于网络安全测评过程的攻击推演图生成方法，其特征在于，结合漏洞利用权重与节点间互联系数进行交叉加权叠加，实现不同路径风险等级计算、最优攻击路径判定与推演、攻击路径薄弱点分析，同步生成路径节点间攻击态，包括：

将单个路径内各节点不同漏洞被利用所造成的风险等级结合漏洞利用权重与节点间互联系数进行交叉加权叠加，以量化的方式确定攻击最优路径，为攻击路径可视化展示建立数据基础；交叉加权的目标是考量同一路径内，各节点不同漏洞利用的难易程度，从多维度计算路径风险等级，更准确的判定最优化攻击路径，同时将所有路径交叉遍历漏洞利用必经节点；

所述加权叠加的公式为R(attacker,target)_k＝(μ_lβ_pR_i+····+μ_mβ_vR_n)/Q，表示攻击者attacker至攻击目标target的路径k不同节点及其漏洞组合造成的风险等级；其中，μ_l是指攻击者attacker使用路径k时第一个节点某一漏洞的漏洞利用权重，β_p是指攻击者attacker使用路径k时与第一个节点的节点间互联系数，R_i是指攻击者attacker使用路径k时第一个节点某一漏洞或服务被攻击的风险等级，μ_m是指路径k攻击目标target中某一漏洞的漏洞利用权重，β_v是指路径k攻击目标target前一节点与target间的节点间互联系数，R_n是指攻击目标target某一漏洞或服务被攻击的风险等级，Q是指攻击路径中被攻击的节点数；

所述薄弱点，是指从攻击者区域到目标区域，所有攻击路径必经节点，同时该节点存在可利用的漏洞。

8.根据权利要求1所述的基于网络安全测评过程的攻击推演图生成方法，其特征在于，将最优攻击路径、攻击路径薄弱点、路径节点间攻击态回归完整的拓扑结构连接示意图，实现攻击路径可视化展示与自由切换，包括：

所述回归，是指将模型分析得出的攻击路径在拓扑结构连接示意图进行可视化展示；

所述可视化展示包括在拓扑结构连接示意图中显示攻击路径、最优攻击路径与薄弱点，两节点间路径显示攻击态S，攻击态S包括该路径状态下利用的漏洞、攻击的风险等级、漏洞利用权重、节点间互联系数，即S(CVE,R_i,μ_l,β_p)；

所述自由切换是指可自由选择潜在的攻击路径在完整的拓扑结构连接示意图进行展示推演；

所述该路径状态下利用的漏洞是采用CVE编号显示，对于不存在CVE编号的漏洞，则直接显示漏洞名称。

9.一种基于网络安全测评过程的攻击推演图生成系统，其特征在于，包括处理器和存储设备，所述存储设备中存储有多条指令，用于所述处理器加载并执行权利要求1～8任一项所述方法的步骤。