CN115102743B - 一种面向网络安全的多层攻击图生成方法 - Google Patents

一种面向网络安全的多层攻击图生成方法 Download PDF

Info

Publication number
CN115102743B
CN115102743B CN202210683320.6A CN202210683320A CN115102743B CN 115102743 B CN115102743 B CN 115102743B CN 202210683320 A CN202210683320 A CN 202210683320A CN 115102743 B CN115102743 B CN 115102743B
Authority
CN
China
Prior art keywords
attack
abstract
node
graph
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210683320.6A
Other languages
English (en)
Other versions
CN115102743A (zh
Inventor
张瀚文
汪文勇
张锋军
黄鹂声
牛作元
许杰
翟圣杰
赵官凌
鲁蒙娜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Electronic Science and Technology of China
Original Assignee
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Electronic Science and Technology of China filed Critical University of Electronic Science and Technology of China
Priority to CN202210683320.6A priority Critical patent/CN115102743B/zh
Publication of CN115102743A publication Critical patent/CN115102743A/zh
Application granted granted Critical
Publication of CN115102743B publication Critical patent/CN115102743B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/90335Query processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/906Clustering; Classification
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computational Linguistics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种面向网络安全的多层攻击图生成方法,属于计算机网络与安全技术领域。将攻击图分为三个层次进行建模表示:第一层为抽象攻击目标和抽象攻击模式全图,包含主机信息与主机可达性信息;第二层为具体攻击目标和攻击动作子图,包含被攻击主机信息与协议信息,第三层为网络资源和攻击条件子图,包含多跳抽象边与多跳抽象节点。采用本方法面对网络攻防中随时出现可达性变化的情况,能很好地快速动态更新攻击图,攻击图生成过程时间复杂度低,展示度更好,有利于显示和检索分析,同时还具有动态更新的灵活度。

Description

一种面向网络安全的多层攻击图生成方法
技术领域
本发明涉及计算机网络与安全领域,具体涉及一种面向网络安全的多层攻击图生成方法。
背景技术
攻击图是网络安全领域的重要研究点,攻击图是一种基于模型的网络脆弱性评估方法。攻击图技术能够把网络中各主机上的脆弱性关联起来进行深入地分析,发现威胁网络安全的攻击路径并用图的方式展现出来。安全管理人员利用攻击图可以直观地观察到网络中各脆弱性之间的关系,选择最小的代价对网络脆弱性进行弥补。攻击图生成技术是指利用目标网络信息和攻击模式生成攻击图的方法。目前常见的攻击图生成方法有以下几种:
TVA方法。早期对攻击图的研究主要集中在攻击图的高效生成上。一些初始方法使用符号模型检查来分析单个主机配置和漏洞的模型。模型检查器生成的反例用于构建攻击图。其中TVA方法具有攻击的单调性,可以保证攻击者的任何行动都不会干扰攻击者采取任何其他行动的能力。TVA方法遵循一个利用依赖关系图来表示利用的前后条件。然后,它使用一个图搜索算法来链接单个漏洞,并找到包含多个漏洞的攻击路径。
逻辑攻击图方法。Mulval(多主机、多阶段、脆弱性分析)是一种以Dataalog为建模语言的攻击图生成工具。引入了逻辑攻击图的概念,它以命题式的形式描述了系统配置信息与攻击者潜在权限之间的因果关系。推理引擎通过自动逻辑推导捕捉网络中各个组件之间的交互,最终导致攻击图的形成。
面向攻击模式的全攻击图生成方法。Chen等人提出了一种面向攻击模式的全攻击图生成方法。作者认为攻击模式是对攻击者利用类似漏洞所采取的常见方法的抽象描述。他们开发了一组攻击模式,并将漏洞映射到相应的攻击模式。使用了一种自定义的攻击图生成算法实现攻击图生成。
基于入侵警报的方法试图通过关联单个攻击步骤的孤立警报来检测多步入侵。该方法首先将当前接收到的入侵警报映射到已有攻击图中相应的漏洞。然后,它解释了以前的攻击或警报,为当前的攻击做准备,对将来可能的攻击进行预测并完善攻击图。
上述方法的主要缺陷在于它们对大规模网络环境适应性不足。随着网络主机数量的增加,表示可能的系统状态的节点数快速增加,这些方法都会受到可伸缩性问题的影响,产生状态节点过多,边集爆炸等问题,导致攻击图生成过程的时间和空间复杂度高,所生成的攻击图过于复杂,不利于展示。
现有技术中,专利CN112804231B公开了一种面向大规模网络的攻击图分布式构建方法、系统和介质,包括下述步骤:采用社区发现算法将大规模网络划分成为一个个子网络,各子网络内部连接紧密,子网络之间连接稀疏;在各个子网络上根据子网络内部的漏洞的依赖关系建立子攻击图;通过子网络之间的漏洞依赖关系将各个子网络的子攻击图融合成为整个网络的攻击图。本发明在面对大规模网络建立攻击图的时候,首先使用社区发现的方法将大网络划分为多个子网络,然后并行构建攻击图,最后在合并的过程中,由于社区结构的特性,子网络之间连接较少,所以合并子攻击图更快,这样大大减少了构建大规模网络攻击图所用的时间。
上述专利存在以下不足:上述攻击图的生成依赖于子网络的划分,适用于静态的社区结构网络,其主要解决点在于快速生成一个稀疏的合并网络;但是该方法在面对于非社区结构的网络、无法划分子网的复杂网络时,其方法导致的时间开销并不明显;同样,当网络资源动态变化时,该方法也不能用更快的方式将变化合并在最后生成的攻击图里。
发明内容
本发明旨在解决现有技术中的攻击图生成方法对大规模网络环境适应性不足、动态习惯不足,受可伸缩性问题的影响,导致攻击图生成过程的时间和空间复杂度高的问题,本发明提出了一种面向网络安全的多层攻击图生成方法。
为了实现上述发明目的,本发明的技术方案如下:
一种面向网络安全的多层攻击图生成方法,其特征在于,包括,
分三个层次对攻击图进行建模表示:第一层为抽象攻击目标和抽象攻击模式全图,第二层为具体攻击目标和攻击动作子图,第三层为网络资源和攻击条件子图;采用自底向上的方式,从网络资源和攻击条件子图开始,依次生成具体攻击目标和攻击动作子图和抽象攻击目标和抽象攻击模式全图。
在某一实施例中,网络资源和攻击条件子图的生成过程包括:
步骤1-1,首先获取网络中与安全相关的信息,包括主机攻击面信息、主机之间可达性信息;其中,攻击面信息包含每个主机的IP地址、主机开放端口列表和每个开放端口使用的协议类型;主机之间可达性信息包含主机之间开放端口的可达性记录;
步骤1-2,以每个IP主机作为一个节点v,以每条可达性记录作为一条有向边e,构成网络资源和攻击条件子图G3=(V,E);其中,V为节点集合,记录了所有IP主机及其攻击面信息;E为节点之间的有向边集合,记录了从源节点对目标节点某个端口的访问可达性信息,包括源节点、目标节点、端口号;不同节点之间可能存在多条有向边;
步骤1-3,将G3中度为0的节点删除。
在某一实施例中,具体攻击目标和攻击动作子图生成步骤包括:
步骤2-1,利用网络资源和攻击条件子图 G3 作为输入,从其中的节点集合V中得到入度为0的节点,以及入度为0的节点的所有边,获得新的目标节点集合VA、新的边集合EA;从子图G3中删除VA与EA,得到集合(V-VA,E-EA);
步骤2-2,在步骤2-1得到的集合(V-VA,E-EA)中,删除节点集合、边集合中所有端口号和协议在漏洞库中均不存在的成员;
步骤2-3,若经过上述删除后,仍存在入度为0的节点,删除该节点;
步骤2-4,在步骤2-3得到的集合中,对所有边进行修改,通过边的端口号查找公开漏洞库,将边的端口号信息修改为漏洞库中相应的攻击动作类型,从而得到具体攻击目标和攻击动作子图 G2。
在某一实施例中,抽象攻击目标和抽象攻击模式全图G1生成步骤包括:
步骤3-1、在具体攻击目标和攻击动作子图G2中寻找割点集合,将割点集合合并为一个节点,称为抽象攻击目标节点;在具体攻击目标和攻击动作子图G2中寻找入度最大的节点集合,将入度最大的节点集合合并为一个节点,称为抽象攻击源节点;
步骤3-2、将抽象攻击源节点出发的所有边按照攻击动作类型分类,将属于同一攻击动作类型的边合并一条边,称为第一跳抽象边;将属于同一攻击动作类型的边的到达节点集合合并,称为第一跳抽象中间节点;
步骤3-3、重复步骤3-2,从第一跳抽象中间节点开始继续对出发边进行分类合并,生成第二跳抽象边、第二跳抽象中间节点;最终形成从抽象攻击源节点到抽象攻击目标节点的多跳抽象边、多跳抽象中间节点,构成抽象攻击目标和抽象攻击模式全图G1。
在某一实施例中,还包括:步骤3-4、删除抽象攻击目标和抽象攻击模式全图G1中所有无法找到通往抽象攻击目标节点的路径的抽象中间节点及其到达边。
在某一实施例中,漏洞库包括但不限于CVE、CNVD。
在某一实施例中,步骤3-1具体包括以下过程:
(1)在网络安全知识图谱中对于公开记录的漏洞信息进行搜索,并与图G2中的主机节点进行匹配,列出G2中可能进行的所有攻击;
(2)将图G2中的节点的攻击方式进行分类,把每一个分类作为一个割点集合;
(3)把图G2中的每个割合并为一个超级节点,称为抽象攻击目标节点;
(4)对于合并后的超级节点图,搜寻入度最大的节点,作为抽象攻击源节点。
在某一实施例中,步骤3-2具体包括以下过程:
(1)在网络安全知识图谱中对于公开记录的漏洞信息进行搜索,并与源节点为出发的边进行匹配并分类;
(2)合并相同分类的边,称为第一跳抽象边;
(3)将所有第一跳抽象边的到达节点作为一个割,继续形成抽象节点,称为第一跳抽象中间节点。
在某一实施例中,使用动态规划算法,在不同层次的图之间,用对相同进行节点映射的方式记录上层和下层子图之间的映射关系,形成能够实现动态调整的三层数据结构,当下层的图发生变化时,迅速回到相应步骤,重新生成上层的图。
综上所述,本发明具有以下优点:
本发明的多层攻击图生成方法,使用动态生成方式,攻击图生成过程时间短、复杂度低,所生成的攻击图具有更好的展示度,有利于显示和检索分析,同时本发明的多层攻击图还通过动态规划算法具有动态更新的灵活度。
附图说明
图1描述了一个示例网络,包含5个服务器,用S1~S5表示;4个路由器,用R1~R4表示;两个交换机,用SW1、SW2表示;一个无线接入点,用AP1表示;以及两台个人主机,用 L1和ATTACKER表示。
图2将图1按照实施例步骤 1-1 抽象为了节点与边的关系,每一个节点均有其对应主机或交换机的系统种类和版本信息、开放端口的列表、端口对应运行的服务以及服务的版本;每一条边均有与其对应的物理链路的安全策略。
图3将图 2 按照实施例步骤1-2进行了简化,形成实施例步骤 1 中定义的网络资源和攻击条件子图 G3,仅保留了主机之间的可达性信息以及主机的攻击面信息;图3中的边是有向的,不同方向上可达的协议不同,路径也可能不同。
图4描述了实施例步骤1-2中定义的主机攻击面信息与主机之间可达性信息,并给出了两个主机之间的有向边。
图5描述了实施例步骤2中定义的具体攻击目标和攻击动作子图 G2,由图4经步骤2所得。
图6描述了实施例步骤3中所定义的抽象攻击目标和抽象攻击模式全图G1,由图5经步骤3所得。
图 7 描述了本发明的三层子图总体,相互映射,动态更新,为步骤 4 所维持的动态关系。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
实施例1
本发明提供了一种面向网络安全的多层攻击图生成方法,包括以下步骤:
步骤1、网络资源和攻击条件子图生成。
步骤1-1,如图1和图2所示,定义并生成网络资源全图 G4,完成抽象化定义。构成G4 需要整个网络全局链路以及所有节点运行信息的知识,即主机攻击面信息、主机之间可达性信息;其中攻击面信息包含每个主机的IP地址、主机开放端口列表和每个开放端口使用的协议类型;主机之间可达性信息包含主机之间开放端口的可达性记录。因此需要收集这些信息。主要过程为:
(1)收集G4节点信息。G4的节点为整个网络所包含的所有主机、路由器、交换机、接入点等网络设备,因此需要收集相关的IP或操作系统信息。
(2)收集G4边的信息。G4的边为双向边,代表一条真实存在的物理上行或下行链路。每条双向边具有一对安全策略属性 P(Uplink, Downlink),其中 Uplink或Downlink表示这条链路的上行和下行流量所执行的安全策略配置。每一条单向或双向边分别代表两个能单向或双向访问的主机通路链接。
(3)将对应的节点和边链接。从这些主机节点与通路链接中,利用网络中与安全相关的信息,构建图中的边和节点。
步骤1-2,如图3和图4所示,定义并生成网络资源和攻击条件子图 G3,将G4主机之间的可达信息有序地放入图G3中,这些信息主要包括两类:主机攻击面信息、主机之间可达性信息,分别代表 G3 中的节点v和有向边e。主机攻击面信息包含每个主机的IP地址、主机开放端口列表和协议。主机之间可达性信息包含主机之间开放端口的相互可达性记录。
对G4中的复杂链路进行简化,将主机与主机之间经过的每条链路安全策略的总和,简化成主机与主机之间的可达性信息,并将每个主机的可达性信息作为 G3中的边。主要过程为:
(1)从每一个主机n出发,探索能通信的所有主机,构成集合V;
(2)对于集合V中的每个终点面m,生成从n到m的链路集合l;
(3)对于一个链路集合l,综合所有安全策略,简化为一条边e。若e为空,则删除n到m的边。
步骤1-3,删除G3中,所有度为0的节点。
步骤2:具体攻击目标和攻击动作子图生成。
如图5所示,定义并生成具体攻击目标和攻击动作子图 G2,此步骤的目标在于,从复杂的主机与主机可达性图中,除去不可能被攻击的点,即仅可能作为攻击者的点,如图3所示的 U1 以及 U2。同时,利用公开漏洞库中的信息作为补充,对信息进行必要的简化和补充。
步骤2-1,删除G3中入度为0的节点。具体过程为:
(1)利用步骤1生成的网络资源和攻击条件子图 G3 作为输入,从其中的节点集合V中得到入度为0的节点,以及入度为0的节点的所有边,获得新的目标节点集合VA、新的边集合EA;
(2)从G3中删除VA与EA,得到(V-VA,E-EA)。
步骤2-2,从公开数据库中补充信息,并对图进行进一步简化和补充。具体过程为:
(1)搜索网络上公开漏洞库信息,补充输入到G3,包括但不限于CVE, CNVD等,形成网络安全知识图谱。
(2)遍历补充信息后的G3的目标节点集合VA、边集合EA,并与步骤2-1的结果进行比对,删除边集合中所有端口号和协议在漏洞库中不存在的成员。
(3)如果经过上述删除后,存在入度为0的节点,删除该节点。
(4)遍历识图谱中的节点,与节点的主机类型进行匹配,找出并添加该主机尚未运行但可能通过远程方式打开的含有漏洞的程序。
步骤2-3,在步骤2-2得到的集合中,删除度为0的节点。
步骤2-4,在步骤2-3得到的集合中,对所有边进行修改,通过边的端口号查找公开漏洞库,将边的端口号信息修改为漏洞库中相应的攻击动作类型,从而得到具体攻击目标和攻击动作子图 G2。
步骤3: 抽象攻击目标和抽象攻击模式全图生成。
如图6所示,利用步骤 2 生成的具体攻击目标和攻击动作子图G2,具体过程为:
步骤3-1,在G2中寻找割点集合,将割点集合合并为一个节点,称为抽象攻击目标节点;在G2中寻找入度最大的节点集合,将入度最大的节点集合合并为一个节点,称为抽象攻击源节点。包含以下过程:
(1)在网络安全知识图谱中对于公开记录的漏洞信息进行搜索,并与图G2的主机节点进行匹配,列出G2中能进行的所有攻击。
(2)将G2中的节点的攻击方式进行分类,把每一个分类作为一个割。
(3)把G2中的每个割合并为一个超级节点,称为抽象攻击目标节点。
(4)对于合并后的超级节点图,搜寻入度最大的节点,作为抽象攻击源节点。
步骤3-2,将源节点出发的所有边按照攻击动作类型分类,将属于同一攻击动作类型的边合并一条边,称为第一跳抽象边;将属于同一攻击动作类型的边的到达节点集合合并,称为第一跳抽象中间节点。包含以下过程:
(1)在网络安全知识图谱中对于公开记录的漏洞信息进行搜索,并与源节点为出发的边进行匹配并分类。
(2)合并相同分类的边,称为第一跳抽象边。
(3)将所有第一跳抽象边的到达节点作为一个割,继续行程抽象节点,称为第一跳抽象中间节点。
步骤3-3,依次类推,从第一跳抽象中间节点开始继续对出发边进行分类合并,生成第二跳抽象边、第二跳抽象中间节点;最终形成从抽象攻击源节点到抽象攻击目标节点的多跳抽象边、多跳抽象中间节点,构成抽象攻击目标和抽象攻击模式全图G1。
步骤3-4,最后,删除G1中所有无法找到通往抽象攻击目标节点的路径的抽象中间节点及其到达边。
步骤 4,三层图相互映射
如图7所示,在上述三个步骤中,分别根据每层网络的生成时所对应的节点,记录三层图的节点之间映射关系,在不同层次的图之间,用边的方式记录上层节点和下层节点之间的关系。当下层的图发生变化时,迅速回到相应步骤,重新生成上层的图。考虑到 G4中的链路可能在负载均衡中,或 SDN (软件定义网络, Software-Defined Network)中发生变动,因此当 G4 发生改变时,G3 需要快速更新。在本步骤中,将使用一种动态规划算法,使得更新的代价可以大幅缩小。
因此提出一种动态的数据结构,在这种结构中,使用了三个图形数据库,分别维持网络资源和攻击条件子图 G3,具体攻击目标和攻击动作子图G2,抽象攻击目标和抽象攻击模式全图G1,三个子图,并使用映射关系,对三个图中的节点和边进行映射,形成三层动态关系。同时,这种数据结构具有动态调整的能力,当G4中出现包括但不限于因为物理链路算坏、攻击路径改变、资源调度变化等改变时,应当动态改变其它子图,具体如下:
(1)如果 G4 发生改变,根据改变相应更新 G3;
(2)如果 G3 发生改变,根据改变相应更新 G2;
(3)如果 G2 发生改变,根据改变相应更新 G1。
本申请所公开方法包括用于实现所述方法的一个或多个步骤或动作。在不脱离权利要求书的保护范围的基础上,这些方法步骤和/或动作可以相互交换。换言之,除非指定步骤或动作的特定顺序,否则在不脱离权利要求书的保护范围的基础上,可以修改特定步骤和/或动作的顺序和/或使用。本申请所述功能可以用硬件、软件、固件或其任意组合来实现。虽然上述内容是针对于本发明的一些方面,在不脱离本发明的基本保护范围的基础上,也可以设计出本发明的其它方面和另外的方面,并且本发明的保护范围由所附权利要求书进行界定。

Claims (6)

1.一种面向网络安全的多层攻击图生成方法,其特征在于,包括,
分三个层次对攻击图进行建模表示:第一层为抽象攻击目标和抽象攻击模式全图,第二层为具体攻击目标和攻击动作子图,第三层为网络资源和攻击条件子图;采用自底向上的方式,从网络资源和攻击条件子图开始,依次生成具体攻击目标和攻击动作子图和抽象攻击目标和抽象攻击模式全图;
网络资源和攻击条件子图的生成过程包括:
步骤1-1,首先获取网络中与安全相关的信息,包括主机攻击面信息、主机之间可达性信息;其中,攻击面信息包含每个主机的IP地址、主机开放端口列表和每个开放端口使用的协议类型;主机之间可达性信息包含主机之间开放端口的可达性记录;
步骤1-2,以每个IP主机作为一个节点v,以每条可达性记录作为一条有向边e,构成网络资源和攻击条件子图G3=(V,E);其中,V为节点集合,记录了所有IP主机及其攻击面信息;E为节点之间的有向边集合,记录了从源节点对目标节点某个端口的访问可达性信息,包括源节点、目标节点、端口号;不同节点之间可能存在多条有向边;
步骤1-3,将G3中度为0的节点删除;
具体攻击目标和攻击动作子图生成步骤包括:
步骤2-1,利用网络资源和攻击条件子图 G3 作为输入,从其中的节点集合V中得到入度为0的节点,以及入度为0的节点的所有边,获得新的目标节点集合VA、新的边集合EA;从子图G3中删除VA与EA,得到集合(V-VA,E-EA);
步骤2-2,在步骤2-1得到的集合(V-VA,E-EA)中,删除节点集合、边集合中所有端口号和协议在漏洞库中均不存在的成员;
步骤2-3,若经过上述删除后,仍存在入度为0的节点,删除该节点;
步骤2-4,在步骤2-3得到的集合中,对所有边进行修改,通过边的端口号查找公开漏洞库,将边的端口号信息修改为漏洞库中相应的攻击动作类型,从而得到具体攻击目标和攻击动作子图 G2;
抽象攻击目标和抽象攻击模式全图G1生成步骤包括:
步骤3-1、在具体攻击目标和攻击动作子图G2中寻找割点集合,将割点集合合并为一个节点,称为抽象攻击目标节点;在具体攻击目标和攻击动作子图G2中寻找入度最大的节点集合,将入度最大的节点集合合并为一个节点,称为抽象攻击源节点;
步骤3-2、将抽象攻击源节点出发的所有边按照攻击动作类型分类,将属于同一攻击动作类型的边合并一条边,称为第一跳抽象边;将属于同一攻击动作类型的边的到达节点集合合并,称为第一跳抽象中间节点;
步骤3-3、重复步骤3-2,从第一跳抽象中间节点开始继续对出发边进行分类合并,生成第二跳抽象边、第二跳抽象中间节点;最终形成从抽象攻击源节点到抽象攻击目标节点的多跳抽象边、多跳抽象中间节点,构成抽象攻击目标和抽象攻击模式全图G1。
2.根据权利要求1所述的一种面向网络安全的多层攻击图生成方法,其特征在于,还包括:步骤3-4、删除抽象攻击目标和抽象攻击模式全图G1中所有无法找到通往抽象攻击目标节点的路径的抽象中间节点及其到达边。
3.根据权利要求1所述的一种面向网络安全的多层攻击图生成方法,其特征在于,其特征在于,漏洞库包括但不限于CVE、CNVD。
4.根据权利要求1所述的一种面向网络安全的多层攻击图生成方法,其特征在于,其特征在于,步骤3-1具体包括以下过程:
(1)在网络安全知识图谱中对于公开记录的漏洞信息进行搜索,并与图G2中的主机节点进行匹配,列出G2中可能进行的所有攻击;
(2)将图G2中的节点的攻击方式进行分类,把每一个分类作为一个割点集合;
(3)把图G2中的每个割合并为一个超级节点,称为抽象攻击目标节点;
(4)对于合并后的超级节点图,搜寻入度最大的节点,作为抽象攻击源节点。
5.根据权利要求1所述的一种面向网络安全的多层攻击图生成方法,其特征在于,其特征在于,步骤3-2具体包括以下过程:
(1)在网络安全知识图谱中对于公开记录的漏洞信息进行搜索,并与源节点为出发的边进行匹配并分类;
(2)合并相同分类的边,称为第一跳抽象边;
(3)将所有第一跳抽象边的到达节点作为一个割,继续形成抽象节点,称为第一跳抽象中间节点。
6.根据权利要求1所述的一种面向网络安全的多层攻击图生成方法,其特征在于,使用动态规划算法,在不同层次的图之间,用对相同进行节点映射的方式记录上层和下层子图之间的映射关系,形成能够实现动态调整的三层数据结构,当下层的图发生变化时,迅速回到相应步骤,重新生成上层的图。
CN202210683320.6A 2022-06-17 2022-06-17 一种面向网络安全的多层攻击图生成方法 Active CN115102743B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210683320.6A CN115102743B (zh) 2022-06-17 2022-06-17 一种面向网络安全的多层攻击图生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210683320.6A CN115102743B (zh) 2022-06-17 2022-06-17 一种面向网络安全的多层攻击图生成方法

Publications (2)

Publication Number Publication Date
CN115102743A CN115102743A (zh) 2022-09-23
CN115102743B true CN115102743B (zh) 2023-08-22

Family

ID=83291861

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210683320.6A Active CN115102743B (zh) 2022-06-17 2022-06-17 一种面向网络安全的多层攻击图生成方法

Country Status (1)

Country Link
CN (1) CN115102743B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102638458A (zh) * 2012-03-23 2012-08-15 中国科学院软件研究所 识别脆弱性利用安全威胁并确定相关攻击路径的方法
CN110138764A (zh) * 2019-05-10 2019-08-16 中北大学 一种基于层次攻击图的攻击路径分析方法
CN112114579A (zh) * 2020-09-28 2020-12-22 哈尔滨工业大学(威海) 一种基于攻击图的工业控制系统安全度量方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102638458A (zh) * 2012-03-23 2012-08-15 中国科学院软件研究所 识别脆弱性利用安全威胁并确定相关攻击路径的方法
CN110138764A (zh) * 2019-05-10 2019-08-16 中北大学 一种基于层次攻击图的攻击路径分析方法
CN112114579A (zh) * 2020-09-28 2020-12-22 哈尔滨工业大学(威海) 一种基于攻击图的工业控制系统安全度量方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《基于攻击图模型的网络安全态势评估方法》;周安顺 王绥民;《信息科技》;全文 *

Also Published As

Publication number Publication date
CN115102743A (zh) 2022-09-23

Similar Documents

Publication Publication Date Title
Nazir et al. A novel combinatorial optimization based feature selection method for network intrusion detection
Rahman et al. Scalable machine learning-based intrusion detection system for IoT-enabled smart cities
Ullah et al. Architectural tactics for big data cybersecurity analytics systems: a review
US11374955B2 (en) Apparatus having engine using artificial intelligence for detecting anomalies in a computer network
Kotenko et al. A cyber attack modeling and impact assessment framework
US11457031B1 (en) Apparatus having engine using artificial intelligence for detecting bot anomalies in a computer network
de Souza et al. Intrusion detection and prevention in fog based IoT environments: A systematic literature review
Masarat et al. Modified parallel random forest for intrusion detection systems
Mao et al. MIF: A multi-step attack scenario reconstruction and attack chains extraction method based on multi-information fusion
Zola et al. Network traffic analysis through node behaviour classification: a graph-based approach with temporal dissection and data-level preprocessing
Zhao et al. MVSec: multi-perspective and deductive visual analytics on heterogeneous network security data
Le et al. A frontier: Dependable, reliable and secure machine learning for network/system management
Zhang et al. Interpreting AI for networking: Where we are and where we are going
Nayak et al. A survey on the roles of bloom filter in implementation of the named data networking
Hero et al. Statistics and data science for cybersecurity
Altaf et al. NE-GConv: A lightweight node edge graph convolutional network for intrusion detection
Zhang et al. A conflict resolution scheme in intent-driven network
Dickson et al. Analysis of UNSW-NB15 dataset using machine learning classifiers
CN115102743B (zh) 一种面向网络安全的多层攻击图生成方法
Ma et al. Real-time alert stream clustering and correlation for discovering attack strategies
Hou et al. Research on cyberspace multi-objective security algorithm and decision mechanism of energy internet
Koïta et al. A generic learning simulation framework to assess security strategies in cyber-physical production systems
Aryan et al. SDN Spotlight: A real-time OpenFlow troubleshooting framework
Wang et al. A dynamic cybersecurity protection method based on software-defined networking for industrial control systems
Dai et al. Gaining big picture awareness through an interconnected cross-layer situation knowledge reference model

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant