CN115021979A - 网络安全威胁底图生成方法、系统、存储介质和电子设备 - Google Patents

网络安全威胁底图生成方法、系统、存储介质和电子设备 Download PDF

Info

Publication number
CN115021979A
CN115021979A CN202210539600.XA CN202210539600A CN115021979A CN 115021979 A CN115021979 A CN 115021979A CN 202210539600 A CN202210539600 A CN 202210539600A CN 115021979 A CN115021979 A CN 115021979A
Authority
CN
China
Prior art keywords
node
vulnerability
host node
host
credential
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210539600.XA
Other languages
English (en)
Other versions
CN115021979B (zh
Inventor
马春来
马涛
常超
许四毛
黄郡
杨成武
王怀习
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National University of Defense Technology
Original Assignee
National University of Defense Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National University of Defense Technology filed Critical National University of Defense Technology
Priority to CN202210539600.XA priority Critical patent/CN115021979B/zh
Publication of CN115021979A publication Critical patent/CN115021979A/zh
Application granted granted Critical
Publication of CN115021979B publication Critical patent/CN115021979B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明给出了一种网络安全威胁底图生成方法、系统、存储介质和电子设备属于网络空间安全技术领域。该方法包括:构建初始局部知识图谱;确定各个主机节点之间的连接关系;确定从节点漏洞到主机节点、从漏洞利用工具到主机节点、从漏洞利用工具到节点漏洞的指向连接关;确定从主机节点凭据到主机节点的指向连接关系;确定从主机节点到漏洞利用工具的指向连接关系;确定从主机节点到主机节点凭据的指向连接关系,得到网络安全威胁底图。本发明能够实现对企业内网所面临的网络安全威胁进行全面表征,适用于网络安全风险的评估。

Description

网络安全威胁底图生成方法、系统、存储介质和电子设备
技术领域
本发明属于网络空间安全技术领域,尤其涉及一种网络安全威胁底图生成方法、系统、存储介质和电子设备。
背景技术
网络安全风险评估是定性和定量分析手段,系统分析网络及信息系统存在的脆弱性及所面临的威胁,评估安全事件一旦发生可能造成的危害程度,可为制定有针对性的抵御威胁的防护对策和整改措施,最大限度地保障网络和信息安全提供科学依据。
基于攻击图模型的网络安全风险分析是一种典型、有效的评估方法。所谓攻击图(尤指属性攻击图)是指利用有向边代表原子攻击间的渗透关联关系,利用节点代表网络安全相关要素而构成的有向图。随着各类网络攻击技术不断发展进化,传统的攻击图在表征攻击威胁时存在一定的局限性。
一是传统的属性攻击图主要采用表征了入网条件下的对主机攻击,以恶意攻击者通过外网渗透至企业内网为主要风险场景。对企业内网无线信道破解接入、USB存储设备非法接入后等风险无线描述;
二是传统的属性攻击图主要采用漏洞利用的攻击方式,对弱口令破解登录等凭据类攻击方式无法体现。
三是传统的属性攻击图主要的攻击效果是对主机进行操控提权,主机中断、降效等攻击效果未体现。
传统的攻击图以网络拓扑、漏洞、网络配置、节点权限等为输入信息,采用规则匹配方式生成攻击关系。随着网络规模性、复杂性的不断提升,攻击图来源单一、生成扩展性及效率较差,难以满足较大规模企业网络的安全风险评估需求。
知识图谱是一种以图结构来对客观世界知识进行建模的技术,通过多源数据中抽取实体和属性信息,并对实体间可能具有的关系进行抽取或推理,形成知识网络,具有扩展性强、灵活的特点。可用于对较大规模的网络的攻击图生成,为网络安全风险评估提供支撑。在知识图谱构建环节过程中,攻击关系作为攻击图的重要属性,一般通过传统的基于规则匹配方法进行补全。但这种关系补全方式仅能适用于简单的权限、漏洞依赖场景,无法应用于复杂的可达性等场景,关系补全效率较低。
发明内容
本发明的目的之一,在于提供一种网络安全威胁底图生成方法,该网络安全威胁底图能够实现对企业内网所面临的网络安全威胁进行全面表征,支持弱口令获权、漏洞利用获权、拒绝服务攻击、无线网络接入等典型攻击场景,适用于网络安全风险的评估。
本发明的目的之二,在于提供一种存储介质。
本发明的目的之三,在于提供一种网络安全威胁底图生成系统。
本发明的目的之四,在于提供一种电子设备。
为了达到上述目的之一,本发明采用如下技术方案实现:
一种网络安全威胁底图生成方法,所述网络安全威胁底图生成方法包括:
步骤S1、获取企业内网的所有实体的信息,以构建企业内网的初始局部知识图谱;
所述实体包括主机节点、节点漏洞、漏洞利用工具和主机节点凭据;
步骤S2、根据所述企业内网的路由配置和防火墙配置,确定所述企业内的各个主机节点之间的连接关系,以补充到所述初始局部知识图谱中,得到第一局部知识图谱;
步骤S3、按照所述节点漏洞的编号,确定从所述节点漏洞到所述主机节点的指向连接关系、从所述漏洞利用工具到所述主机节点的指向连接关系以及从所述漏洞利用工具到所述节点漏洞的指向连接关系,以补充到所述第一局部知识图谱中,得到第二局部知识图谱;
步骤S4、按照所述主机节点的编号,确定从所述主机节点凭据到所述主机节点的指向连接关系,以补充到所述第二局部知识图谱中,得到第三局部知识图谱;
步骤S5、根据所述节点漏洞的漏洞利用的前置条件和后置后果以及所述各个主机节点之间的连接关系,确定从所述主机节点到所述漏洞利用工具的指向连接关系,以补充到所述第三局部知识图谱中,得到第四局部知识图谱;
所述节点漏洞的漏洞利用的前置条件包括权限条件和可达性条件;
所述节点漏洞的漏洞利用的后置后果包括权限提升、拒绝服务和节点降效;
步骤S6、根据所述主机节点凭据的登录凭据的前置条件、后置后果和所述各个主机节点之间的连接关系,确定从所述主机节点到所述主机节点凭据的指向连接关系,以补充到所述第四局部知识图谱中,得到网络安全威胁底图;
所述主机节点凭据的登录凭据的前置条件包括可达性条件和口令强度;
所述主机节点凭据的登录凭据的后置后果包括权限等级;
所述权限等级包括访问权限、普通用户权限、管理员权限和超级管理员权限。
进一步的,所述实体的信息包括主机节点信息、节点漏洞信息、漏洞利用工具信息和主机节点凭据信息;步骤S1中,所述初始局部知识图谱的构建过程包括:
步骤S11、构建一个空的初始局部知识图谱;
步骤S12、获取所述企业内网的网络扫描结果和系统管理配置信息;
所述系统管理配置信息包括账号配置信息和无线网络配置信息;
步骤S13、从所述网络扫描结果中提取出所述企业内网上各个主机节点信息和节点漏洞信息中的非无线网络节点漏洞信息;
步骤S14、从所述无线网络配置信息中提取出所述节点漏洞信息中的无线网络节点漏洞信息;
步骤S15、从攻击知识库中获取所述非无线网络节点漏洞和无线网络节点漏洞对应的漏洞利用工具;
步骤S16、从所述账号配置信息中提取出各个主机节点凭据信息;
步骤S17、将所述各个主机节点信息、非无线网络节点漏洞信息、无线网络节点漏洞信息、所述漏洞利用工具和主机节点凭据信息补充到所述初始局部知识图谱。
进一步的,步骤12中,所述账号配置包括登录账号权限和口令强度;
所述无线网络配置信息包括是否开启无线网络主动扫描和网络认证加密机制。
进一步的,所述主机节点信息包括主机节点的编号、主机节点类型、主机节点提供的服务、主机节点服务所用的协议、主机节点服务所使用的端口号和主机节点上存在的节点漏洞的编号;
所述节点漏洞信息包括所述主机节点上存在的节点漏洞的编号、漏洞利用的前置条件和后置后果以及漏洞危害性;
所述主机节点凭据信息包括凭据所在所述主机节点的编号、登录凭据的前置条件和后置后果。
进一步的,所述各个主机节点之间的连接关系包括请求服务的源主机节点、提供服务的目的主机节点、目的主机节点开放的服务、服务使用的端口和权限等级。
进一步的,步骤S5的具体实现过程为:
步骤S51、根据每个主机节点的编号和每个节点漏洞的编号,提取所述各个节点漏洞的漏洞利用的前置条件和后置后果;
步骤S52、将所述各个节点漏洞的漏洞利用的前置条件和后置后果以及所述各个主机节点之间的连接关系,构成一个漏洞利用工具属性集;
步骤S53、将所述漏洞利用工具属性集中所有样本输入到支持向量机中,以获取存在指向连接关系的主机节点和漏洞利用工具;
步骤S54、将所述存在指向连接关系的主机节点和漏洞利用工具补充到所述第三局部知识图谱中。
进一步的,步骤S6的具体实现过程为:
步骤S61、根据每个主机节点凭据所在主机节点的编号,提取所述主机节点凭据的登录凭据的前置条件和后置后果;
步骤S62、将所述主机节点凭据的登录凭据的前置条件和后置后果以及所述各个主机节点之间的连接关系,构成一个登录凭据属性集;
步骤S63、将所述登录凭据属性集中所有样本输入到支持向量机中,以获取存在指向连接关系的主机节点和主机节点凭据;
步骤S64、将所述存在指向连接关系的主机节点和主机节点凭据补充到所述第三局部知识图谱中。
为了达到上述目的之二,本发明采用如下技术方案实现:
一种网络安全威胁底图生成系统,所述网络安全威胁底图生成系统包括:
构建模块,被配置为:获取企业内网的所有实体的信息,以构建企业内网的初始局部知识图谱;
所述实体包括主机节点、节点漏洞、漏洞利用工具和主机节点凭据;
第一确定模块,被配置为:根据所述企业内网的路由配置和防火墙配置,确定所述企业内的各个主机节点之间的连接关系,以补充到所述初始局部知识图谱中,得到第一局部知识图谱;
第二确定模块,被配置为:按照所述节点漏洞的编号,确定从所述节点漏洞到所述主机节点的指向连接关系、从所述漏洞利用工具到所述主机节点的指向连接关系以及从所述漏洞利用工具到所述节点漏洞的指向连接关系,以补充到所述第一局部知识图谱中,得到第二局部知识图谱;
第三确定模块,被配置为:按照所述主机节点的编号,确定从所述主机节点凭据到所述主机节点的指向连接关系,以补充到所述第二局部知识图谱中,得到第三局部知识图谱;
第四确定模块,被配置为:根据所述节点漏洞的漏洞利用的前置条件和后置后果以及所述各个主机节点之间的连接关系,确定从所述主机节点到所述漏洞利用工具的指向连接关系,以补充到所述第三局部知识图谱中,得到第四局部知识图谱;
所述节点漏洞的漏洞利用的前置条件包括权限条件和可达性条件;
所述节点漏洞的漏洞利用的后置后果包括权限提升、拒绝服务和节点降效;
第五确定模块,被配置为:根据所述主机节点凭据的登录凭据的前置条件、后置后果和所述各个主机节点之间的连接关系,确定从所述主机节点到所述主机节点凭据的指向连接关系,以补充到所述第四局部知识图谱中,得到网络安全威胁底图;
所述主机节点凭据的登录凭据的前置条件包括可达性条件和口令强度;
所述主机节点凭据的登录凭据的后置后果包括权限等级;
所述权限等级包括访问权限、普通用户权限、管理员权限和超级管理员权限。
为了达到上述目的之三,本发明采用如下技术方案实现:
一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现上述所述的网络安全威胁底图生成方法中的步骤。
为了达到上述目的之四,本发明采用如下技术方案实现:
一种电子设备,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现上述所述的网络安全威胁底图生成方法中的步骤。
综上,本发明提出的方案具备如下技术效果:
本发明根据企业内网的所有实体信息,构建企业内网的初始局部知识图谱;再根据企业内网的路由配置和防火墙配置,确定企业内的各个主机节点连接关系,以补充到所述初始局部知识图谱中,得到第一局部知识图谱;并根据节点漏洞的编号和主机节点的编号,实现了部分实体之间的指向连接关系的补全;并根据节点漏洞的漏洞利用的前置条件和后置后果以及所述各个主机节点之间的连接关系,实现了从主机节点到漏洞利用工具的指向连接关系的补全;根据主机节点凭据的登录凭据的前置条件、后置后果和各个主机节点之间的连接关系,实现了从主机节点到主机节点凭据的指向连接关系的补全,得到网络安全威胁底图;本发明的网络安全威胁底图支持了无线脆弱性及漏洞表示,实现了支持企业网络无线信道接入,并发起攻击的场景;本发明的网络安全威胁底图增加了拒绝服务、节点降效等后置后果,支持了拒绝服务攻击等场景;本发明的网络安全威胁底图增加了主机凭据信息,支持通过弱口令破解的方式直接获取目标主机的攻击方式描述。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的网络安全威胁底图生成方法流程示意图;
图2为本发明的网络安全威胁底图结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例给出了一种网络安全威胁底图生成方法,参考图1,该网络安全威胁底图生成方法包括:
步骤S1、获取企业内网的所有实体的信息,以构建企业内网的初始局部知识图谱。
本实施例的实体包括主机节点、节点漏洞、漏洞利用工具和主机节点凭据,参考图2。实体的信息包括主机节点(HOST)信息、节点漏洞信息、漏洞利用工具信息和主机节点凭据信息。其中,主机节点(HOST)信息包括主机节点的编号Node_ID、主机节点类型Type、主机节点提供的服务Service、主机节点服务所用的协议Protocol、主机节点服务所使用的端口号Port和主机节点上存在的节点漏洞的编号Vul_ID。主机节点的编号Node_ID中的ID用于识别节点,是整个网络中节点的唯一标识,可以用IP地址也可以根据需要进行设置。Vul_ID为该主机节点上存在的节点漏洞的编号,一般用CVE编号表示,对于无线网络脆弱性采用专用编号。节点漏洞VUL信息包括主机节点上存在的节点漏洞的编号Vul_ID、漏洞利用的前置条件Precondition和后置后果Postcondition以及漏洞危害性Vul_score(如CVSS评分值)。漏洞利用的前置条件包括权限条件和可达性条件。漏洞利用的后置后果包括权限提升、拒绝服务和节点降效。主机节点凭据(PWD)信息包括凭据所在主机节点的编号Node_ID、登录凭据的前置条件Precondition和后置后果Postcondition。登录凭据的前置条件Precondition包括可达性条件和口令强度,登录凭据的后置后果Postcondition包括权限等级,权限等级包括访问权限、普通用户权限、管理员权限和超级管理员权限。
本实施例利用企业内网的网络扫描结果、系统管理配置信息、漏洞信息知识库和攻击知识库,实现初始局部知识图谱的构建,具体构建过程包括:
步骤S11、构建一个空的初始局部知识图谱;
步骤S12、获取所述企业内网的网络扫描结果和系统管理配置信息;
本实施例的系统管理配置信息包括账号配置信息和无线网络配置信息。其中,账号配置信息包括登录账号权限和口令强度,无线网络配置信息包括是否开启无线网络主动扫描和网络认证加密机制。
步骤S13、从所述网络扫描结果中提取出所述企业内网上各个主机节点信息和节点漏洞信息中的非无线网络节点漏洞信息;
步骤S14、从所述无线网络配置信息中提取出所述节点漏洞信息中的无线网络节点漏洞信息;
步骤S15、从攻击知识库中获取所述非无线网络节点漏洞和无线网络节点漏洞对应的漏洞利用工具;
步骤S16、从所述账号配置信息中提取出各个主机节点凭据信息;
步骤S17、将所述各个主机节点信息、非无线网络节点漏洞信息、无线网络节点漏洞信息、所述漏洞利用工具和主机节点凭据信息补充到所述初始局部知识图谱。
步骤S2、根据所述企业内网的路由配置和防火墙配置,确定所述企业内的各个主机节点之间的连接关系,以补充到所述初始局部知识图谱中,得到第一局部知识图谱。
本实施例的各个主机节点之间的连接关系CONNECT是指网路中各个主机节点之间的连接方式与访问关系,即网络的拓扑结构,可依据企业内网的路由配置和防火墙配置,构建网络拓扑。网络规划及防火墙的过滤规则,决定了网络中大部分节点之间的可达性关系。各个主机节点之间的连接关系CONNECT包括请求服务的源主机节点Client_host、提供服务的目的主机节点Server_host、目的主机节点开放的服务Service、服务使用的端口Port以及(源主机节点在访问目的主机节点时所拥有的权限等级)权限等级Privilege,参考图2。权限等级包括访问权限、普通用户权限、管理员权限和超级管理员权限。
步骤S3、按照所述节点漏洞的编号,确定从所述节点漏洞到所述主机节点的指向连接关系、从所述漏洞利用工具到所述主机节点的指向连接关系以及从所述漏洞利用工具到所述节点漏洞的指向连接关系,以补充到所述第一局部知识图谱中,得到第二局部知识图谱。
本实施例中,从节点漏洞到主机节点的指向连接关系(该主机节点上存在节点漏洞的存在关系,存在关系采用ON表示),如图2中的主机节点Host1(1.2)上存在节点漏洞Vul1(CVE-1)和节点漏洞Vul2(CVE-2),则节点漏洞Vul1(CVE-1)和节点漏洞Vul2(CVE-2)分别到主机节点Host1(1.2)的指向连接关系为存在关系。从漏洞利用工具到主机节点之间的指向连接关系(即攻击和操控关系,采用ATTACK表示),表示漏洞利用工具与主机节点的攻击和操控关系,攻击和操控关系按照类型可分为提权操控、拒绝服务和降级等,如图2中的漏洞利用工具EXP1到主机节点Host2(2.1)的指向连接关系为攻击和操控关系。从漏洞利用工具到节点漏洞之间的指向连接关系(即针对关系,采用AGAINST表示),表示漏洞利用工具针对具体哪一漏洞所发起的关系,图2中的漏洞利用工具EXP1到节点漏洞Vul6(CVE-5)之间的指向连接关系为针对关系。本实施例依据节点漏洞的编号进行匹配,对[节点漏洞,主机节点]、[漏洞利用工具,主机节点]以及[漏洞利用工具,节点漏洞]的指向连接关系进行补全。
步骤S4、按照所述主机节点的编号,确定从所述主机节点凭据到所述主机节点的指向连接关系,以补充到所述第二局部知识图谱中,得到第三局部知识图谱。
本实施例中,从主机节点凭据到主机节点之间的指向连接关系(包括存在关系ON和控制关系CONTROL),存在关系ON表示该凭据属于主机,控制关系CONTROL表示利用凭据对主机节点的获权关系,如图2中的主机节点凭据PWD1到主机节点Host1(1.2)之间的指向连接关系包括存在关系ON和控制关系CONTROL。本实施例利用主机节点的编号进行匹配,对从主机节点凭据到主机节点之间的指向连接关系进行补全。
步骤S5、根据所述节点漏洞的漏洞利用的前置条件和后置后果以及所述各个主机节点之间的连接关系,确定从所述主机节点到所述漏洞利用工具的指向连接关系,以补充到所述第三局部知识图谱中,得到第四局部知识图谱。
本实施例中,从主机节点到漏洞利用工具的指向连接关系(即利用关系LAUNCH),表示主机节点与漏洞利用工具之间的发起关系,如图2中的主机节点Host1(1.2)到漏洞利用工具EXP1之间的利用关系。由于[主机节点,漏洞利用工具]之间的关系补全,需要考虑权限等级、可达性等多个因素,难以用基于规则匹配方式补全,本实施例采用支持向量机SVM实现,具体实现过程为:
步骤S51、根据每个主机节点的编号和每个节点漏洞的编号,提取所述各个节点漏洞的漏洞利用的前置条件和后置后果;
步骤S52、将所述各个节点漏洞的漏洞利用的前置条件和后置后果以及所述各个主机节点之间的连接关系,构成一个漏洞利用工具属性集。
本实施例中的漏洞利用工具属性集中每一个样本均包括各个漏洞利用工具的登录凭据的前置条件和后置后果以及主机连接关系。其中,各个漏洞利用工具的登录凭据的前置条件表示为[权限条件,可达性条件],如[管理员权限,网络可达]。各个漏洞利用工具的登录凭据的后置后果表示为[攻击类型,权限参数],如[获权,访问权限]、[拒绝服务,空]等。主机连接关系表示为[源节点ID、目的节点ID、是否可达],如[1,2,可达],则漏洞利用工具属性集中的一个样本表示为{[管理员权限,网络可达],[获权,普通用户权限],[1,2,可达]}。
步骤S53、将所述漏洞利用工具属性集中所有样本输入到支持向量机中,以获取存在指向连接关系的主机节点和漏洞利用工具。
本实施例的支持向量机经过漏洞利用工具属性集中历史漏洞利用工具样本的训练和测试过的支持向量机,支持向量机实现连接关系二分类判别,包括训练过程和测试过程,具体训练过程和测试过程,可采用现有技术实现,这里不再一一一赘述。
步骤S54、将所述存在指向连接关系的主机节点和漏洞利用工具补充到所述第三局部知识图谱中。
步骤S6、根据所述主机节点凭据的登录凭据的前置条件、后置后果和所述各个主机节点之间的连接关系,确定从所述主机节点到所述主机节点凭据的指向连接关系,以补充到所述第四局部知识图谱中,得到网络安全威胁底图。
本实施例的主机节点到主机节点凭据的指向连接关系(即登录关系LOGIN),表示主机节点与主机节点凭据之间的登录关系,如图2中的主机节点Host4(0.2)到主机节点凭据PWD1的指向连接关系为登录关系。由于[主机节点,主机节点凭据]之间的关系补全需要考虑密钥强度、权限等级、可达性等多个因素,难以用基于规则匹配方式补全,本实施例采用支持向量机SVM实现,具体实现过程为:
步骤S61、根据每个主机节点凭据所在主机节点的编号,提取所述主机节点凭据的登录凭据的前置条件和后置后果;
步骤S62、将所述主机节点凭据的登录凭据的前置条件和后置后果以及所述各个主机节点之间的连接关系,构成一个登录凭据属性集。
本实施例中的登录凭据属性集中每一个样本均包括主机节点凭据信息中的登录凭据的前置条件和后置后果以及主机节点连接关系,其中,主机节点凭据信息中的登录凭据的前置条件表示为[可达性条件,口令强度],如[网络可达,弱]。主机节点凭据信息中的登录凭据的后置后果表示为[获取权限等级],如[管理员权限]。主机连接关系表示为[源节点ID、目的节点ID、是否可达],如[1,2,可达],则漏洞利用工具属性集中的一个样本表示为{[网络可达,弱],[管理员权限],[1,2,可达]}。
步骤S63、将所述登录凭据属性集中所有样本输入到支持向量机中,以获取存在指向连接关系的主机节点和主机节点凭据。
本实施例的支持向量机经过登录凭据属性集中历史登录凭据样本的训练和测试过的支持向量机,支持向量机实现连接关系二分类判别,包括训练过程和测试过程,具体训练过程和测试过程,可采用现有技术实现,这里不再一一一赘述。
步骤S64、将所述存在指向连接关系的主机节点和主机节点凭据补充到所述第三局部知识图谱中。
本实施例根据企业内网的所有实体信息,构建企业内网的初始局部知识图谱;再根据企业内网的路由配置和防火墙配置,确定企业内的各个主机节点连接关系,以补充到所述初始局部知识图谱中,得到第一局部知识图谱;并根据节点漏洞的编号和主机节点的编号,实现了部分实体之间的指向连接关系的补全;并根据节点漏洞的漏洞利用的前置条件和后置后果以及所述各个主机节点之间的连接关系,实现了从主机节点到漏洞利用工具的指向连接关系的补全;根据主机节点凭据的登录凭据的前置条件、后置后果和各个主机节点之间的连接关系,实现了从主机节点到主机节点凭据的指向连接关系的补全,得到网络安全威胁底图;本实施例的网络安全威胁底图支持了无线脆弱性及漏洞表示,实现了支持企业网络无线信道接入,并发起攻击的场景;本实施例的网络安全威胁底图增加了拒绝服务、节点降效等后置后果,支持了拒绝服务攻击等场景;本发明的网络安全威胁底图增加了主机凭据信息,支持通过弱口令破解的方式直接获取目标主机的攻击方式描述。
上述实施例可采用如下技术方案实现:
另一实施例给出了一种网络安全威胁底图生成系统,该网络安全威胁底图生成系统包括:
构建模块,被配置为:获取企业内网的所有实体的信息,以构建企业内网的初始局部知识图谱。实体包括主机节点、节点漏洞、漏洞利用工具和主机节点凭据。实体的信息包括主机节点信息、节点漏洞信息、漏洞利用工具信息和主机节点凭据信息。所述构建模块包括:
第一构建子模块,被配置为:构建一个空的初始局部知识图谱;
第一获取子模块,被配置为:获取所述企业内网的网络扫描结果和系统管理配置信息;
所述系统管理配置信息包括账号配置信息和无线网络配置信息;
第一提取子模块,被配置为:从所述网络扫描结果中提取出所述企业内网上各个主机节点信息和节点漏洞信息中的非无线网络节点漏洞信息;
第二提取子模块,被配置为:从所述无线网络配置信息中提取出所述节点漏洞信息中的无线网络节点漏洞信息;
第二获取子模块,被配置为:从攻击知识库中获取所述非无线网络节点漏洞和无线网络节点漏洞对应的漏洞利用工具;
第三提取子模块,被配置为:从所述账号配置信息中提取出各个主机节点凭据信息;
第一补充子模块,被配置为:将所述各个主机节点信息、非无线网络节点漏洞信息、无线网络节点漏洞信息、所述漏洞利用工具和主机节点凭据信息补充到所述初始局部知识图谱。
第一确定模块,被配置为:根据所述企业内网的路由配置和防火墙配置,确定所述企业内的各个主机节点之间的连接关系,以补充到所述初始局部知识图谱中,得到第一局部知识图谱。
第二确定模块,被配置为:按照所述节点漏洞的编号,确定从所述节点漏洞到所述主机节点的指向连接关系、从所述漏洞利用工具到所述主机节点的指向连接关系以及从所述漏洞利用工具到所述节点漏洞的指向连接关系,以补充到所述第一局部知识图谱中,得到第二局部知识图谱;
第三确定模块,被配置为:按照所述主机节点的编号,确定从所述主机节点凭据到所述主机节点的指向连接关系,以补充到所述第二局部知识图谱中,得到第三局部知识图谱;
第四确定模块,被配置为:根据所述节点漏洞的漏洞利用的前置条件和后置后果以及所述各个主机节点之间的连接关系,确定从所述主机节点到所述漏洞利用工具的指向连接关系,以补充到所述第三局部知识图谱中,得到第四局部知识图谱。节点漏洞的漏洞利用的前置条件包括权限条件和可达性条件。节点漏洞的漏洞利用的后置后果包括权限提升、拒绝服务和节点降效。第四确定模块包括:
第四提取子模块,被配置为:根据每个主机节点的编号和每个节点漏洞的编号,提取所述各个节点漏洞的漏洞利用的前置条件和后置后果;
第一构成子模块,被配置为:将所述各个节点漏洞的漏洞利用的前置条件和后置后果以及所述各个主机节点之间的连接关系,构成一个漏洞利用工具属性集;
第二获取子模块,被配置为:将所述漏洞利用工具属性集中所有样本输入到支持向量机中,以获取存在指向连接关系的主机节点和漏洞利用工具;
第二补充子模块,被配置为:将所述存在指向连接关系的主机节点和漏洞利用工具补充到所述第三局部知识图谱中。
第五确定模块,被配置为:根据所述主机节点凭据的登录凭据的前置条件、后置后果和所述各个主机节点之间的连接关系,确定从所述主机节点到所述主机节点凭据的指向连接关系,以补充到所述第四局部知识图谱中,得到网络安全威胁底图。其中,主机节点凭据的登录凭据的前置条件包括可达性条件和口令强度。主机节点凭据的登录凭据的后置后果包括权限等级。权限等级包括访问权限、普通用户权限、管理员权限和超级管理员权限。第五确定模块包括:
第五提取子模块,被配置为:根据每个主机节点凭据所在主机节点的编号,提取所述主机节点凭据的登录凭据的前置条件和后置后果;
第二构成子模块,被配置为:将所述主机节点凭据的登录凭据的前置条件和后置后果以及所述各个主机节点之间的连接关系,构成一个登录凭据属性集;
第三获取子模块,被配置为:将所述登录凭据属性集中所有样本输入到支持向量机中,以获取存在指向连接关系的主机节点和主机节点凭据;
第三补充子模块,被配置为:将所述存在指向连接关系的主机节点和主机节点凭据补充到所述第三局部知识图谱中。
又一实施例给出了一种存储介质,该存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现上述实施例给出的网络安全威胁底图生成方法中的步骤。
再一实施例给出了一种电子设备,该电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现上述实施例给出的网络安全威胁底图生成方法中的步骤。如电子设备的结构,包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,上述电子设备的结构,仅仅是与本公开的技术方案相关的部分的结构图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种网络安全威胁底图生成方法,其特征在于,所述网络安全威胁底图生成方法包括:
步骤S1、获取企业内网的所有实体的信息,以构建企业内网的初始局部知识图谱;
所述实体包括主机节点、节点漏洞、漏洞利用工具和主机节点凭据;
步骤S2、根据所述企业内网的路由配置和防火墙配置,确定所述企业内的各个主机节点之间的连接关系,以补充到所述初始局部知识图谱中,得到第一局部知识图谱;
步骤S3、按照所述节点漏洞的编号,确定从所述节点漏洞到所述主机节点的指向连接关系、从所述漏洞利用工具到所述主机节点的指向连接关系以及从所述漏洞利用工具到所述节点漏洞的指向连接关系,以补充到所述第一局部知识图谱中,得到第二局部知识图谱;
步骤S4、按照所述主机节点的编号,确定从所述主机节点凭据到所述主机节点的指向连接关系,以补充到所述第二局部知识图谱中,得到第三局部知识图谱;
步骤S5、根据所述节点漏洞的漏洞利用的前置条件和后置后果以及所述各个主机节点之间的连接关系,确定从所述主机节点到所述漏洞利用工具的指向连接关系,以补充到所述第三局部知识图谱中,得到第四局部知识图谱;
所述节点漏洞的漏洞利用的前置条件包括权限条件和可达性条件;
所述节点漏洞的漏洞利用的后置后果包括权限提升、拒绝服务和节点降效;
步骤S6、根据所述主机节点凭据的登录凭据的前置条件、后置后果和所述各个主机节点之间的连接关系,确定从所述主机节点到所述主机节点凭据的指向连接关系,以补充到所述第四局部知识图谱中,得到网络安全威胁底图;
所述主机节点凭据的登录凭据的前置条件包括可达性条件和口令强度;
所述主机节点凭据的登录凭据的后置后果包括权限等级;
所述权限等级包括访问权限、普通用户权限、管理员权限和超级管理员权限。
2.根据权利要求1所述的网络安全威胁底图生成方法,其特征在于,所述实体的信息包括主机节点信息、节点漏洞信息、漏洞利用工具信息和主机节点凭据信息;步骤S1中,所述初始局部知识图谱的构建过程包括:
步骤S11、构建一个空的初始局部知识图谱;
步骤S12、获取所述企业内网的网络扫描结果和系统管理配置信息;
所述系统管理配置信息包括账号配置信息和无线网络配置信息;
步骤S13、从所述网络扫描结果中提取出所述企业内网上各个主机节点信息和节点漏洞信息中的非无线网络节点漏洞信息;
步骤S14、从所述无线网络配置信息中提取出所述节点漏洞信息中的无线网络节点漏洞信息;
步骤S15、从攻击知识库中获取所述非无线网络节点漏洞和无线网络节点漏洞对应的漏洞利用工具;
步骤S16、从所述账号配置信息中提取出各个主机节点凭据信息;
步骤S17、将所述各个主机节点信息、非无线网络节点漏洞信息、无线网络节点漏洞信息、所述漏洞利用工具和主机节点凭据信息补充到所述初始局部知识图谱。
3.根据权利要求2所述的网络安全威胁底图生成方法,其特征在于,步骤12中,所述账号配置包括登录账号权限和口令强度;
所述无线网络配置信息包括是否开启无线网络主动扫描和网络认证加密机制。
4.根据权利要求3所述的网络安全威胁底图生成方法,其特征在于,所述主机节点信息包括主机节点的编号、主机节点类型、主机节点提供的服务、主机节点服务所用的协议、主机节点服务所使用的端口号和主机节点上存在的节点漏洞的编号;
所述节点漏洞信息包括所述主机节点上存在的节点漏洞的编号、漏洞利用的前置条件和后置后果以及漏洞危害性;
所述主机节点凭据信息包括凭据所在所述主机节点的编号、登录凭据的前置条件和后置后果。
5.根据权利要求4所述的网络安全威胁底图生成方法,其特征在于,所述各个主机节点之间的连接关系包括请求服务的源主机节点、提供服务的目的主机节点、目的主机节点开放的服务、服务使用的端口和权限等级。
6.根据权利要求5所述的网络安全威胁底图生成方法,其特征在于,步骤S5的具体实现过程为:
步骤S51、根据每个主机节点的编号和每个节点漏洞的编号,提取所述各个节点漏洞的漏洞利用的前置条件和后置后果;
步骤S52、将所述各个节点漏洞的漏洞利用的前置条件和后置后果以及所述各个主机节点之间的连接关系,构成一个漏洞利用工具属性集;
步骤S53、将所述漏洞利用工具属性集中所有样本输入到支持向量机中,以获取存在指向连接关系的主机节点和漏洞利用工具;
步骤S54、将所述存在指向连接关系的主机节点和漏洞利用工具补充到所述第三局部知识图谱中。
7.根据权利要求6所述的网络安全威胁底图生成方法,其特征在于,步骤S6的具体实现过程为:
步骤S61、根据每个主机节点凭据所在主机节点的编号,提取所述主机节点凭据的登录凭据的前置条件和后置后果;
步骤S62、将所述主机节点凭据的登录凭据的前置条件和后置后果以及所述各个主机节点之间的连接关系,构成一个登录凭据属性集;
步骤S63、将所述登录凭据属性集中所有样本输入到支持向量机中,以获取存在指向连接关系的主机节点和主机节点凭据;
步骤S64、将所述存在指向连接关系的主机节点和主机节点凭据补充到所述第三局部知识图谱中。
8.一种网络安全威胁底图生成系统,其特征在于,所述网络安全威胁底图生成系统包括:
构建模块,被配置为:获取企业内网的所有实体的信息,以构建企业内网的初始局部知识图谱;
所述实体包括主机节点、节点漏洞、漏洞利用工具和主机节点凭据;
第一确定模块,被配置为:根据所述企业内网的路由配置和防火墙配置,确定所述企业内的各个主机节点之间的连接关系,以补充到所述初始局部知识图谱中,得到第一局部知识图谱;
第二确定模块,被配置为:按照所述节点漏洞的编号,确定从所述节点漏洞到所述主机节点的指向连接关系、从所述漏洞利用工具到所述主机节点的指向连接关系以及从所述漏洞利用工具到所述节点漏洞的指向连接关系,以补充到所述第一局部知识图谱中,得到第二局部知识图谱;
第三确定模块,被配置为:按照所述主机节点的编号,确定从所述主机节点凭据到所述主机节点的指向连接关系,以补充到所述第二局部知识图谱中,得到第三局部知识图谱;
第四确定模块,被配置为:根据所述节点漏洞的漏洞利用的前置条件和后置后果以及所述各个主机节点之间的连接关系,确定从所述主机节点到所述漏洞利用工具的指向连接关系,以补充到所述第三局部知识图谱中,得到第四局部知识图谱;
所述节点漏洞的漏洞利用的前置条件包括权限条件和可达性条件;
所述节点漏洞的漏洞利用的后置后果包括权限提升、拒绝服务和节点降效;
第五确定模块,被配置为:根据所述主机节点凭据的登录凭据的前置条件、后置后果和所述各个主机节点之间的连接关系,确定从所述主机节点到所述主机节点凭据的指向连接关系,以补充到所述第四局部知识图谱中,得到网络安全威胁底图;
所述主机节点凭据的登录凭据的前置条件包括可达性条件和口令强度;
所述主机节点凭据的登录凭据的后置后果包括权限等级;
所述权限等级包括访问权限、普通用户权限、管理员权限和超级管理员权限。
9.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1~7中任一项所述的网络安全威胁底图生成方法中的步骤。
10.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1~7中任一项所述的网络安全威胁底图生成方法中的步骤。
CN202210539600.XA 2022-05-18 2022-05-18 网络安全威胁底图生成方法、系统、存储介质和电子设备 Active CN115021979B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210539600.XA CN115021979B (zh) 2022-05-18 2022-05-18 网络安全威胁底图生成方法、系统、存储介质和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210539600.XA CN115021979B (zh) 2022-05-18 2022-05-18 网络安全威胁底图生成方法、系统、存储介质和电子设备

Publications (2)

Publication Number Publication Date
CN115021979A true CN115021979A (zh) 2022-09-06
CN115021979B CN115021979B (zh) 2023-04-07

Family

ID=83068680

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210539600.XA Active CN115021979B (zh) 2022-05-18 2022-05-18 网络安全威胁底图生成方法、系统、存储介质和电子设备

Country Status (1)

Country Link
CN (1) CN115021979B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109995793A (zh) * 2019-04-12 2019-07-09 中国人民解放军战略支援部队信息工程大学 网络动态威胁跟踪量化方法及系统
CN110113314A (zh) * 2019-04-12 2019-08-09 中国人民解放军战略支援部队信息工程大学 用于动态威胁分析的网络安全领域知识图谱构建方法及装置
US20200401696A1 (en) * 2019-06-18 2020-12-24 International Business Machines Corporation Security Incident Disposition Predictions Based on Cognitive Evaluation of Security Knowledge Graphs
CN113783896A (zh) * 2021-11-10 2021-12-10 北京金睛云华科技有限公司 一种网络攻击路径追踪方法和装置
CN114357189A (zh) * 2021-12-29 2022-04-15 广州大学 一种漏洞利用关系确定方法、装置、设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109995793A (zh) * 2019-04-12 2019-07-09 中国人民解放军战略支援部队信息工程大学 网络动态威胁跟踪量化方法及系统
CN110113314A (zh) * 2019-04-12 2019-08-09 中国人民解放军战略支援部队信息工程大学 用于动态威胁分析的网络安全领域知识图谱构建方法及装置
US20200401696A1 (en) * 2019-06-18 2020-12-24 International Business Machines Corporation Security Incident Disposition Predictions Based on Cognitive Evaluation of Security Knowledge Graphs
CN113783896A (zh) * 2021-11-10 2021-12-10 北京金睛云华科技有限公司 一种网络攻击路径追踪方法和装置
CN114357189A (zh) * 2021-12-29 2022-04-15 广州大学 一种漏洞利用关系确定方法、装置、设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
平小红等: "Web及网络数据库系统的安全漏洞与应对技术探究", 《网络安全技术与应用》 *

Also Published As

Publication number Publication date
CN115021979B (zh) 2023-04-07

Similar Documents

Publication Publication Date Title
CN111819544B (zh) 用于虚拟计算资源的部署前安全分析器服务
US10291650B2 (en) Automatically generating network resource groups and assigning customized decoy policies thereto
EP3586263A1 (en) Method and system for blockchain-based anti-bot protection
US10341350B2 (en) Actively identifying and neutralizing network hot spots
US11956279B2 (en) Cyber-security in heterogeneous networks
US11405404B2 (en) Dynamic privilege allocation based on cognitive multiple-factor evaluation
Zhang et al. Efficient strategy selection for moving target defense under multiple attacks
KR20180130202A (ko) 집단 지능 기반 악의적 기기 탐지 장치 및 방법
Yadav et al. Penetration testing framework for iot
Yassin et al. SQLIIDaaS: A SQL injection intrusion detection framework as a service for SaaS providers
Zeng et al. Full-stack vulnerability analysis of the cloud-native platform
Tabassum et al. Ethical Hacking and Penetrate Testing using Kali and Metasploit Framework
CN115021979B (zh) 网络安全威胁底图生成方法、系统、存储介质和电子设备
Astrida et al. Analysis and evaluation of wireless network security with the penetration testing execution standard (ptes)
Bhardwaj et al. Reducing the threat surface to minimise the impact of cyber-attacks
Holm et al. A manual for the cyber security modeling language
Tu et al. A Blockchain‐Enabled Trusted Protocol Based on Whole‐Process User Behavior in 6G Network
Sharma et al. Abusive Adversaries in 5G and beyond IoT
US11818119B1 (en) Dynamic and monitored access to secure resources
Cordis et al. Considerations in Mitigating Kerberos Vulnerabilities for Active Directory
Vilches et al. Aztarna, a footprinting tool for robots
US11909731B1 (en) Dynamic and least-privilege access to secure network resources using ephemeral credentials
Elsbroek et al. Fidius: Intelligent support for vulnerability testing
Shorov et al. The framework for simulation of bioinspired security mechanisms against network infrastructure attacks
KR102655993B1 (ko) 제로트러스트모델 기반 보안 서비스 제공 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant