CN115208609A - 在网络中攻击路径的自动推导方法 - Google Patents
在网络中攻击路径的自动推导方法 Download PDFInfo
- Publication number
- CN115208609A CN115208609A CN202210366161.7A CN202210366161A CN115208609A CN 115208609 A CN115208609 A CN 115208609A CN 202210366161 A CN202210366161 A CN 202210366161A CN 115208609 A CN115208609 A CN 115208609A
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- topology
- automatic derivation
- comparator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000009795 derivation Methods 0.000 title claims abstract description 20
- 238000007689 inspection Methods 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 12
- 230000006870 function Effects 0.000 claims description 10
- 230000009471 action Effects 0.000 claims description 9
- 238000003860 storage Methods 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 description 4
- 230000036541 health Effects 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- QCAWEPFNJXQPAN-UHFFFAOYSA-N methoxyfenozide Chemical compound COC1=CC=CC(C(=O)NN(C(=O)C=2C=C(C)C=C(C)C=2)C(C)(C)C)=C1C QCAWEPFNJXQPAN-UHFFFAOYSA-N 0.000 description 4
- 230000014509 gene expression Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010248 power generation Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000009969 flowable effect Effects 0.000 description 1
- 239000012530 fluid Substances 0.000 description 1
- 229910052731 fluorine Inorganic materials 0.000 description 1
- 125000001153 fluoro group Chemical group F* 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
- G06F11/3608—Software analysis for verifying properties of programs using formal methods, e.g. model checking, abstract interpretation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种网络中攻击路径的自动推导方法,包括将所述网络拓扑定义为一丰富的网络拓扑;将所述拓扑的漏洞识别为漏洞信息工件;基于所述拓扑和所述漏洞建立所述网络的原子攻击数据库;将所述丰富的网络拓扑、所述漏洞信息工件和所述原子攻击数据库转换为一预定义的形式模型;对所述预定义的形式模型执行预定义的一基于可满足性模理论的模型检查器,以寻找反例;及从所述反例推导出所述攻击路径。借此,透过本发明的方法,可以最准确的方式生成攻击路径。
Description
技术领域
本发明涉及网络安全策略领域。特别是,本发明涉及一种在网络中自动推导攻击路径的方法。
背景技术
由于提供各种组合服务的安全影响,即使管理良好的网络也容易受到攻击。也就是说,服务在单独提供时是安全的,但在同时提供时则为攻击者提供了可利用的漏洞。
目前的许多工具解决了单个主机中的漏洞。然而,解决因网络中各种主机的配置而导致的漏洞是重要的。保护信息物理系統(cyber physical systems,CPS)和物联网(Internet of Things,IoT)系统需要识别对手如何利用现有原子漏洞之间的相互依赖关系来将可能危及系统的攻击组合在一起。
网络攻击路径分析是分析计算机网络安全状况的一重要方法,可以自动分析网络漏洞与漏洞带来的潜在威胁之间的关联性。
通常,对漏洞和相关信息进行关联分析,抽出属性来构建原子攻击(atomicattacks)和相应的原子攻击数据库。网络攻击模型由网络连接和主机配置所构成。通过匹配攻击数据库中的原子攻击,采用比较演算法挖掘可能导致特定攻击目标的潜在攻击路径。
网络安全全局视图建模的一个组成部分是构建攻击图,其中准确的攻击图在系统安全中发挥着重要作用。对于超过一百个节点的攻击图,手动构建攻击图很繁琐、容易出错且不切实际。用于生成和分析攻击图的自动化技术是已知的。
一种众所周知的方法是使用现有的模型检查工具和结构描述工具来生成攻击图,其列举了所有可能的序列集,其中可利用原子级漏洞来破解系统安全性。结构描述工具捕捉网络系统的形式化表达、其原子漏洞、它们的前置和后置条件以及感兴趣的安全属性。使用模型检查器来自动识别反例形式的攻击序列。所述模型检查器解析反例,对反例进行编码以放宽规范,并进行迭代,直到所有攻击序列被揭示。最后,可视化工具可以生成的攻击图的图形表示。
因此,需要确保生成准确的攻击路径和相关的攻击图。
发明内容
本发明的目的是提供一种能够使用基于可满足性模理论(SMT-based)的模型检查器,以最准确的方式生成攻击路径的方法。
因此,根据本发明,描述了一种用于在网络中自动推导攻击路径的方法。
一种网络中攻击路径的自动推导方法,包括:
-基于在所述网络中封包交换定义所述网络的拓扑为一丰富的网络拓扑;
-识别所述拓扑的漏洞为漏洞信息工件;
-基于所述拓扑和所述漏洞建立所述网络的原子攻击数据库;
-将所述丰富的网络拓扑、所述漏洞信息工件和所述原子攻击数据库转换为一预定义的形式模型;
-对所述预定义的形式模型执行预定义的一基于可满足性模理论的模型检查器,以寻找反例;以及
-从所述反例推导出所述攻击路径;
其中,所述定义所述网络的拓扑包括:
-通过可操作地连接到所述网络的一计算机化数据处理单元来运行所述网络的一深度封包检测模块,以基于由所述深度封包检测模块从所述封包中导出的信息来建立一网络拓扑;
-通过计算机化数据处理单元来运行所述网络的一主动查询模块,以基于构建所述丰富的网络拓扑的主动查询从所述封包导出的进一步信息,来建立所述丰富网络拓扑,并将所述进一步信息加入所述网络拓扑;
其中所述识别所述拓扑的漏洞包括:
-通过所述计算机化数据处理单元来运行一漏洞评估模块,以基于所述丰富的网络拓扑的节点信息与一预定义的漏洞数据库的已知漏洞之间的匹配,来识别所述网络的每个节点的所述漏洞信息工件;及
其中,所述建立(30)所述网络的原子攻击数据库包括:
-通过所述计算机化数据处理单元来发现针对所述网络的一个或多个原子攻击作为先决条件和动作,以及时捕捉系统在给定时刻的状态,其中所述动作是以所述节点的一组特征来表示。
在另一个实施例中,所述预定义的形式模型为一类似电路的形式模型。
在另一个实施例中,所述基于可满足性模理论的模型检查器是一类似电路的基于可满足性模理论的模型检查器。
在另一个实施例中,所述基于可满足性模理论的模型检查器定义了具有一全局时钟的一电路,其将所述执行划分为离散的时间步长。
在另一个实施例中,所述电路包括:
-主输入,作为来自外部输入的数据可流入所述电路的端口;
-主输出,作为所述数据可流出所述电路的端口;
-锁存器,作为可保存所述数据的基本存储元件;
-门,作为实现基本逻辑功能的无状态组合元件;
-比较器,作为无状态算术比较器;
-常量,作为数字、布尔值或符号常量,在每个所述时间步长输出相同的值。
在另一个实施例中,所述主输入是布尔类型或整数类型。
在另一个实施例中,所述主输出是布尔类型或整数类型。
在另一个实施例中,所述锁存器是布尔类型或整数类型。
在另一个实施例中,所述锁存器存储一第一值,表示当所述电路在第一时间步长启动时它们保持的值。
在另一个实施例中,所述锁存器在每个后续时间步长更新为一新值。
在另一个实施例中,所述门的所述基本逻辑功能是与门、或门、非门。
在另一个实施例中,所述门取得布尔类型的所述数据并返回布尔类型的所述数据。
在另一个实施例中,所述无状态算术比较器为≤比较器、<比较器、=比较器、>比较器、≥比较器。
在另一个实施例中,所述无状态算术比较器取得整数类型的所述数据并返回布尔类型的所述数据。
在另一个实施例中,在每个所述时间步长读取当前时间步长的所述主输入的主输入值;其中,在所述当前时间步长的所述主输入值和在所述当前时间步长的所述锁存器的锁存器值是由所述门处理;其中,在后续时间步长的所述锁存器值是由所述比较器产生;其中,在所述当前时间步长的所述主输出的主输出值是由所述比较器产生。
在另一个实施例中,对于每个所述节点和每个所述节点的每个所述特征,创建一个锁存器;其中,在每个所述时间步长中的所述锁存器值定义了在每个所述时间步长中的系统的所述状态。
附图说明
本发明的这些和进一步的特征和优点将从优选实施例的公开中变得明显,这些优选实施例通过附图中的非限制性示例示出,其中:
图1示出了根据本发明实施例的方块图;
图2示出了根据本发明实施例的电路建模网络。
具体实施方式
本发明涉及一种用于在网络中自动推导攻击路径的方法。
根据本发明的方法在连接在一网络中的任何种类的物质性基础设施(physicalinfrastructures)或自动化系统中找到一有用的应用,特别是在工业自动化系统中,例如制造生产的工业过程、发电的工业过程、流体(水、石油和天然气)分配的基础设施、发电和/或传输电力的基础设施、运输管理的基础设施。此外,还可以在所有技术环境中找到有用的应用,包括信息技术(Information Technology,IT)、运营技术(Operation Technology,OT)和物联网。
在本发明中,术语“网络协议(network protocol)”是指一网络上实体之间的规则的系统,描述了组成要交换的消息的字节(bytes)应如何构造以使实体互相理解。值得注意的网络协议示例有TCP/IP协议、Modbus协议、BACnet协议。
在本发明中,术语“封包(packet)”是指表示网络上实体之间交换的消息的字节有限序列。每个协议为要发送和接收的封包定义了一个特定的结构。
在本发明中,术语“节点(node)”是指网络中能够通过连接接收和/或发送数据的一装置,所述连接基于电缆或无线电信号。一节点是用一唯一识别码来识别,例如MAC位址或IP位址。
在本发明中,术语“边(edge)”表示网络中的节点n1和n2通过协议p的直接通信,其可例如标记为(n1,p,n2)。两个节点之间可能有几个边,每种使用的通信协议都有一个边。
在本发明中,术语“网络拓扑图(network topology graph)”是网络结构的抽象,可以表示为标号图G(N,E,P),其中N是节点组,E是边,P是协议组,使得每个边都是元组(n1,p,n2),其中n1,n2∈N,n1≠n2,p∈P。
在本发明中,术语“原子攻击(atomic attack)”是指涉及网络的两个节点的攻击。原子攻击由先决条件和动作所描述。先决条件是触发攻击需要满足的条件列表。一个例子是:“目标节点有漏洞xyz”。动作是攻击的影响,例如:“攻击者在目标节点上获得root权限”。
在本发明中,术语“攻击路径(attack path)”是指网络拓扑图中的一路径,所述路径通过横越边(traversing edges)e1,e2,…,em从源节点n1,开始(假定为攻击者)到目标节点nm+1(假定为受害者)结束的路径,可例如标记为(e1,e2,…,em)。每个边代表一原子攻击的执行。此外,假定路径中除n1之外的每个节点都运行易受攻击的软件,例如缓冲区溢出(buffer overflow)。
在本发明中,术语“深度封包检测(deep packet inspection)”或“DPI”是指一种技术,包括侦听网络流量并检查捕捉的封包以获取网络的属性。例如,可利用有关足够多的封包的来源和目的地的信息来建立网络拓扑图。
在本发明中,术语“主动查询(active query)”或“AQ”是指通过向网络装置发送定制的封包以强制回复包含所需信息的方法来获取网络知识的方法,例如装置上的作业系统版本。
在本发明中,术语“漏洞(vulnerability)”是指装置所使用的硬件组件或软件的弱点,攻击者可能会利用这些弱点来破解系统、窃取敏感信息或获得装置的管理权限。可以通过公开可用的在线资源来获取已知漏洞列表,例如Mitre组织以JSON、XML或其他机器可读格式提供的资源。
在本发明中,术语“漏洞评估(vulnerability assessment)”是指软件或硬件类型的模块,它接收安装在机器上的软件列表作为输入,并根据漏洞数据库输出影响软件的漏洞组。
在本发明中,术语“形式模型(formal model)”是指一组通过将问题重作为等效但以形式语言表达来解决问题的技术,例如,一组数学或逻辑表达式。然后可以通过一自动化工具解决这些表达式,并可将解决方案转换回原始问题中的解决方案。最突出的技术之一是模型检查,其中问题被转化为有限状态自动机(finite state automaton)。模型检查已成功用于工业环境中,用于通过一模型检查器确定硬件和软件的安全性。
以下结合图1描述根据本发明的网络中攻击路径的自动推导方法,其示出了根据本发明一实施例的方块图,并结合图2示出了根据本发明的一个实施例,对网络进行电路建模。
所述方法包括将网络拓扑定义为基于在所述网络中交换的封包的一丰富的网络拓扑,如方块10所示。
特别地,定义所述网络拓扑包括通过可操作地连接到所述网络的一计算机化数据处理单元来运行所述网络的一深度封包检测模块及所述网络的一主动查询模块,如图1方块10的子方块所示。
所述深度封包检测模块基于所述深度封包检测模块从封包中获取的信息建立一网络拓扑。
因此,所述网络拓扑可以通过连接到同一网络的机器自动从网络编译,并对通过网络的流量执行深度封包检测。例如,所述网络拓扑可以重构如下:对于每个封包,为来源创建一个节点、为目的地创建一个节点、以及一条标记识别协议的边,连接两个节点。因此可以精确地识别网络上的装置,并构建相应的网络拓扑图。此信息可容易地以一机器可读的格式导出。深度封包检测还可用于推断有关特定装置上运行的操作系统和软件的信息。
所述主动查询模块基于构建所述丰富的网络拓扑的主动查询从所述封包导出的进一步的信息,来建立所述丰富的网络拓扑,并将所述进一步的信息添加到所述网络拓扑中,如所述深度封包检测中已定义的那样。
足够长的深度封包检测和主动查询模块运行可以生成正在检查的所述网络的非常详细的知识库。
之后,所述方法包括将所述拓扑的漏洞识别为漏洞信息工件,如方块20所示。
特别是,识别所述漏洞包含通过所述计算机化数据处理单元来运行一漏洞评估模块,以基于所述丰富的网络拓扑的节点信息与一预定义的漏洞数据库的已知漏洞之间的匹配,来识别所述网络各节点的漏洞信息工件。
特别是,所述识别所述漏洞包含通过所述计算机化数据处理单元来运行一漏洞评估模块,以基于所述丰富的网络拓扑的节点信息与一预定义的漏洞数据库的已知漏洞之间的匹配,来识别所述网络各节点的漏洞信息工件。
如连接方块10和方块20的虚线箭头所示,所述识别所述漏洞将深度封包检测和主动查询模块获得的网络节点上可用软件的信息与一漏洞数据库相匹配,以在网络图的每个节点添加与其运行软件有关的已知漏洞。具有与其运行软件相关的已知漏洞的网络图。此过程产生漏洞信息工件。此程序产生漏洞信息工件。
之后,所述方法包括基于所述拓扑和所述漏洞来建立所述网络的原子攻击数据库,如方块30所示。
特别是,建立所述原子攻击数据库包括通过所述计算机化数据处理单元来找到用于所述网络的一个或多个原子攻击作为先决条件和动作,以在一给定时刻及时捕捉系统的状态,其中动作以节点的一组特征来表示。
如连接方块10和方块30的虚线箭头所示,原子攻击数据库的构建使用深度封包检测和带有漏洞数据库的主动查询模块所获得的网络节点上可用软件的信息,来捕捉系统在给定时刻的状态。
因此,原子攻击数据库是根据先决条件和动作描述的原子攻击列表,这些条件和动作用节点的一组特征来表示,这是在一给定时刻及时捕获系统状态所必需的,通过以下的例子可更好地理解。
考虑以下特征:
-privilege:用户对节点拥有的权限级别。它可采用{none,user,admin}的值。
-health:节点的健康状态。它可采用{ok,leak}的值。
-CVE-2016-3266:漏洞是否存在节点上。它可以采用{true,false}的值。此漏洞允许本地用户在目标节点上获得管理员权限。
给定一个节点x和一个特征k,我们使用标记x[k]表示节点的目前的状态,使用x'[k]表示节点的下一个状态。这些特征可用于描述如下两种原子攻击,其中我们假设x和y在网络中连接。
第一次攻击可以形式化如下:CVE-2020-3847内存泄漏。
-来源机器:x
-目标机器:y
-先决条件:
(x[privilege]=user)∧
(y[health]=ok)∧
(y[CVE_2020_3847]=true)
-先决条件:y′[health]=leak
第二次攻击可以形式化如下:CVE-2016-3266权限增益(privilege gain)。
-来源机器和目标机器相同:x
-先决条件:
(x[privilege]=user)∧
(x[CVE_2016_3266]=true)
-先决条件:
x′[privilege]=admin
我们假设所述数据库已由安全专家编译,其内容以一机器可读格式提供,例如JSON、XML或CSV。
之后,所述方法包括将所述丰富的网络拓扑、所述漏洞信息工件和所述原子攻击数据库转换为一预定义的形式模型,如方块40所示。如从方块10、20和30会合到方块40的实线箭头所示,转换器模块接收网络拓扑信息、漏洞信息、原子攻击数据库作为输入,并将模型转换为一预定义的形式模型。
在一个实施例中,所述预定义的形式模型是一类似电路(circuit-like)的形式模型。
之后,所述方法包括对预定义的形式模型执行预定义的一基于可满足性模理论(SMT-based)的模型检查器,以寻找反例,如方块50所示。如方块40到方块50的实线箭头所示,执行预定义的基于可满足性模理论的模型检查器是在预定义的形式模式上完成的。
在一个实施例中,基于可满足性模理论的模型检查器是类似电路的基于可满足性模理论的模型检查器。此外,类似电路的基于可满足性模理论的模型检查器定义了一个具有全局时钟的一电路,其将执行划分为离散的时间步长。优选地,包括:
-主输入,作为来自外部输入的数据可流入所述电路的端口;
-主输出,作为所述数据可流出所述电路的端口;
-锁存器,作为可保存所述数据的基本存储元件;
-门,作为实现基本逻辑功能的无状态组合元件;
-比较器,作为无状态算术比较器;
-常量,作为数字、布尔值或符号常量,在每个所述时间步长输出相同的值。
输入语言可以定义为Intrepid模型检查器。特别是,Intrepid输入语言,以及不同的类似电路的模型检查器,允许使用一全局时钟来描述电路,其将执行划分为离散的时间步长。所述电路包括:
-主输入(PI),外部输入的数据可流入所述电路的端口。它们可以是布尔类型或整数类型。
-主输出(PO),数据可流出所述电路的端口。它们可以是布尔类型或整数类型。
-锁存器(Latches),可保存所述数据的基本存储元件。它们可以是布尔类型或整数类型。此外,它们存储一初始值(第一个值),表示当所述电路第一次启动时(时间步长0)它们所保持的值。所述锁存器在每个后续时间步长都更新为一个新值。
-门(Gates),实现基本逻辑功能的无状态组合元件,例如”与”(AND)门、”或”(OR)门、”非”(NOT)门。它们获取布尔类型的数据并返回一布尔值。
-比较器(Comparators),无状态算术比较器,例如≤比较器、<比较器、=比较器、>比较器、≥比较器。它们获取整数类型的数据并返回一布尔值。
-常量(Constants),数字、布尔值或符号常量,在每个所述时间步长输出相同的值。
所述电路操作如下:在每个时间步长,读取当前时间步长的主输入(PI)的主要输入值。这些在当前时间步长的主要输入值和在当前时间步长的锁存器的锁存器值是由门处理。后续时间步长的锁存器值由比较器生成,当前时间步长的主输出(PO)的主要输出值由所述比较器生成。为每个节点和每个节点的每个特征创建一锁存器。此外,每个时间步长中的锁存器值定义了每个时间步中系统的状态。
为了执行转换,需要收集所述系统的所有有趣状态。这些状态可以从所述原子攻击数据库中收集:它们是每次原子攻击中提到的所有特征F的集合。然后,对每个节点n,对每个特征k,创建一个锁存器n[k],总共|N|×|F|锁存器。在时间t存储在这些锁存器中的设定值是所述网络在时间t的状态。在第一次原子攻击开始之前,每个锁存器都使用所述网络状态进行初始化。在转换中,使用了一次原子攻击只需执行一个步骤的隐含假设。在个时间步长都可能发生原子攻击。每个原子攻击都用一个整数id标识。在转换中,创建了一主输入chosen_attack:此输入模拟在一时间步长触发的攻击的非确定性选择。接着根据chosen_attack和每次攻击的先决条件,以“case-statement”的电路等效来计算每个锁存器的下一个状态逻辑。
考虑以下示例。假设所述网络由通过边来连接的两个节点x和y所组成,并考虑示例1的设置。然后,对锁存器y[health]的下一个状态函数进行建模的电路是图2中呈现的电路(图中x[privilege]、y[CVE_2020_3847]的下一个状态函数,其余电路未显示)。
上述类似电路的转换可以通过其Python API(Application ProgrammingInterface,即应用程序编程接口)传递给Intrepid。API公开了用来创建输入、锁存器、门、常量、比较器以及设置锁存器的初始和下一个状态函数的函数。
模型检查器运行所需的另一件事是属性。属性是在网络的每个状态中都必须成立的条件。例如,编程语言never(y[privilege]=admin)表示在所述网络中,攻击者绝不能获得节点y的管理员权限。在类似电路的转换中,属性可以用小的子电路表示,其输出在所述模型检查器中设置为始终为固定值。
之后,所述方法包括从反例导出所述攻击路径,如方块60所示。
模型检查器的执行可能需要很长的执行时间,但最终会通过声明所述属性始终在系统中存在或通过提供一反例(一组从初始状态导致违反属性的状态)来终止。在本案例中,对属性的违反对应于找到了一个攻击路径,例如,在目标机器上获取管理员权限。
Intrepid的一个反例列出了每个时间步长的每个锁存器和输入,因此可以重构每个步骤的每个原子攻击。
Claims (16)
1.一种在网络中攻击路径的自动推导方法,其特征在于:所述自动推导方法包含︰
基于在所述网络中封包交换定义(10)所述网络的拓扑为一丰富的网络拓扑;
识别(20)所述拓扑的漏洞为漏洞信息工件;
基于所述拓扑和所述漏洞建立(30)所述网络的原子攻击数据库;
将所述丰富的网络拓扑、所述漏洞信息工件和所述原子攻击数据库转换(40)为一预定义的形式模型;
对所述预定义的形式模型执行(50)预定义的一基于可满足性模理论的模型检查器,以寻找反例;以及
从所述反例推导(60)出所述攻击路径;
其中,所述定义(10)所述网络的拓扑包括:
通过可操作地连接到所述网络的一计算机化数据处理单元来运行所述网络的一深度封包检测模块,以基于由所述深度封包检测模块从所述封包中导出的信息来建立一网络拓扑;
通过计算机化数据处理单元来运行所述网络的一主动查询模块,以基于构建所述丰富的网络拓扑的主动查询从所述封包导出的进一步信息,来建立所述丰富网络拓扑,并将所述进一步信息加入所述网络拓扑;
其中所述识别(20)所述拓扑的漏洞包括:
通过所述计算机化数据处理单元来运行一漏洞评估模块,以基于所述丰富的网络拓扑的节点信息与一预定义的漏洞数据库的已知漏洞之间的匹配,来识别所述网络的每个节点的所述漏洞信息工件;及
其中,所述建立(30)所述网络的原子攻击数据库包括:
通过所述计算机化数据处理单元来发现针对所述网络的一个或多个原子攻击作为先决条件和动作,以及时捕捉系统在给定时刻的状态,其中所述动作是以所述节点的一组特征来表示。
2.如权利要求1所述的在网络中攻击路径的自动推导方法,其特征在于:所述预定义的形式模型是一类似电路的形式模型。
3.如权利要求1所述的在网络中攻击路径的自动推导方法,其特征在于:所述基于可满足性模理论的模型检查器是一类似电路的基于可满足性模理论的模型检查器。
4.如权利要求3所述的在网络中攻击路径的自动推导方法,其特征在于:所述基于可满足性模理论的模型检查器定义了具有一全局时钟的一电路,所述全局时钟将所述执行划分为离散的时间步长。
5.如权利要求4所述的在网络中攻击路径的自动推导方法,其特征在于:所述电路包括:
主输入,作为来自外部输入的数据可流入所述电路的端口;
主输出,作为所述数据可流出所述电路的端口;
锁存器,作为可保存所述数据的基本存储元件;
门,作为实现基本逻辑功能的无状态组合元件;
比较器,作为无状态算术比较器;
常量,作为数字、布尔值或符号常量,在每个所述时间步长输出相同的值。
6.如权利要求5所述的在网络中攻击路径的自动推导方法,其特征在于:所述主输入是布尔类型或整数类型。
7.如权利要求5所述的在网络中攻击路径的自动推导方法,其特征在于:所述主输出是布尔类型或整数类型。
8.如权利要求5所述的在网络中攻击路径的自动推导方法,其特征在于:所述锁存器是布尔类型或整数类型。
9.如权利要求5所述的在网络中攻击路径的自动推导方法,其特征在于:所述锁存器存储一第一值,表示当所述电路在第一时间步长启动时它们保持的值。
10.如权利要求9所述的在网络中攻击路径的自动推导方法,其特征在于:所述锁存器在每个后续时间步长更新为一新值。
11.如权利要求5所述的在网络中攻击路径的自动推导方法,其特征在于:所述门的所述基本逻辑功能是与门、或门、非门。
12.如权利要求5所述的在网络中攻击路径的自动推导方法,其特征在于:所述门取得布尔类型的所述数据并返回布尔类型的所述数据。
13.如权利要求5所述的在网络中攻击路径的自动推导方法,其特征在于:所述无状态算术比较器为≤比较器、<比较器、=比较器、>比较器、≥比较器。
14.如权利要求5所述的在网络中攻击路径的自动推导方法,其特征在于:所述无状态算术比较器取得整数类型的所述数据并返回布尔类型的所述数据。
15.如权利要求5所述的在网络中攻击路径的自动推导方法,其特征在于:在每个所述时间步长读取当前时间步长的所述主输入的主输入值,其中,在所述当前时间步长的所述主输入值和在所述当前时间步长的所述锁存器的锁存器值是由所述门处理,
其中,在后续时间步长的所述锁存器值是由所述比较器产生,以及
其中,在所述当前时间步长的所述主输出的主输出值是由所述比较器产生。
16.如权利要求15所述的在网络中攻击路径的自动推导方法,其特征在于:对于每个所述节点和每个所述节点的每个所述特征,创建一个锁存器,以及
其中,在每个所述时间步长中的所述锁存器值定义了在每个所述时间步长中的系统的所述状态。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/225,392 | 2021-04-08 | ||
| US17/225,392 US11831671B2 (en) | 2021-04-08 | 2021-04-08 | Method for automatic derivation of attack paths in a network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115208609A true CN115208609A (zh) | 2022-10-18 |
Family
ID=81324931
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210366161.7A Pending CN115208609A (zh) | 2021-04-08 | 2022-04-08 | 在网络中攻击路径的自动推导方法 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US11831671B2 (zh) |
| EP (1) | EP4072066A1 (zh) |
| JP (1) | JP2022161880A (zh) |
| KR (1) | KR20220139807A (zh) |
| CN (1) | CN115208609A (zh) |
| BR (1) | BR102022006585A2 (zh) |
| CA (1) | CA3154249A1 (zh) |
| MX (1) | MX2022004354A (zh) |
| TW (1) | TW202241095A (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115913640B (zh) * | 2022-10-19 | 2023-09-05 | 南京南瑞信息通信科技有限公司 | 一种基于攻击图的大型网络攻击推演及风险预警方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020032871A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for detecting, tracking and blocking denial of service attacks over a computer network |
| US7200105B1 (en) * | 2001-01-12 | 2007-04-03 | Bbn Technologies Corp. | Systems and methods for point of ingress traceback of a network attack |
| WO2004008700A2 (en) * | 2002-07-12 | 2004-01-22 | The Penn State Research Foundation | Real-time packet traceback and associated packet marking strategies |
| US6952779B1 (en) * | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
| WO2010042979A1 (en) * | 2008-10-13 | 2010-04-22 | Swinburne University Of Technology | Process and system for assessing network vulnerability |
| US8601414B2 (en) * | 2009-11-12 | 2013-12-03 | The Regents Of The University Of Michigan | Automated scalable verification for hardware designs at the register transfer level |
| WO2014063110A1 (en) * | 2012-10-19 | 2014-04-24 | ZanttZ, Inc. | Network infrastructure obfuscation |
| ES2832999T3 (es) * | 2015-12-14 | 2021-06-14 | Siemens Ag | Sistema y procedimiento para la evaluación pasiva de la seguridad perimetral industrial |
| US10298619B2 (en) * | 2016-12-16 | 2019-05-21 | Nicira, Inc. | Application template generation and deep packet inspection approach for creation of micro-segmentation policy for network applications |
| US10812499B2 (en) * | 2017-11-09 | 2020-10-20 | Accenture Global Solutions Limited | Detection of adversary lateral movement in multi-domain IIOT environments |
| US10819727B2 (en) * | 2018-10-15 | 2020-10-27 | Schweitzer Engineering Laboratories, Inc. | Detecting and deterring network attacks |
-
2021
- 2021-04-08 US US17/225,392 patent/US11831671B2/en active Active
-
2022
- 2022-04-05 CA CA3154249A patent/CA3154249A1/en active Pending
- 2022-04-05 BR BR102022006585-3A patent/BR102022006585A2/pt unknown
- 2022-04-05 KR KR1020220042383A patent/KR20220139807A/ko unknown
- 2022-04-06 EP EP22167037.5A patent/EP4072066A1/en active Pending
- 2022-04-07 JP JP2022063892A patent/JP2022161880A/ja active Pending
- 2022-04-08 MX MX2022004354A patent/MX2022004354A/es unknown
- 2022-04-08 CN CN202210366161.7A patent/CN115208609A/zh active Pending
- 2022-04-08 TW TW111113559A patent/TW202241095A/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| CA3154249A1 (en) | 2022-10-08 |
| US20220329617A1 (en) | 2022-10-13 |
| KR20220139807A (ko) | 2022-10-17 |
| MX2022004354A (es) | 2022-10-10 |
| JP2022161880A (ja) | 2022-10-21 |
| BR102022006585A2 (pt) | 2022-10-11 |
| TW202241095A (zh) | 2022-10-16 |
| EP4072066A1 (en) | 2022-10-12 |
| US11831671B2 (en) | 2023-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7904962B1 (en) | Network attack modeling, analysis, and response | |
| Chaki et al. | ASPIER: An automated framework for verifying security protocol implementations | |
| Baelde et al. | An interactive prover for protocol verification in the computational model | |
| Sija et al. | A survey of automatic protocol reverse engineering approaches, methods, and tools on the inputs and outputs view | |
| Nadeem et al. | Alert-driven attack graph generation using s-pdfa | |
| Bringhenti et al. | Improving the formal verification of reachability policies in virtualized networks | |
| CN112702235B (zh) | 一种对未知协议自动化逆向分析的方法 | |
| Zhang et al. | Formal analysis of QUIC handshake protocol using symbolic model checking | |
| Alhomidi et al. | Attack graphs representations | |
| Nguyen et al. | An approach to incorporating uncertainty in network security analysis | |
| Hansch et al. | Deriving impact-driven security requirements and monitoring measures for industrial IoT | |
| Baiardi et al. | Gvscan: Scanning networks for global vulnerabilities | |
| CN115208609A (zh) | 在网络中攻击路径的自动推导方法 | |
| CN112468324B (zh) | 基于图卷积神经网络的加密流量分类方法及装置 | |
| Backes et al. | Causality-based abstraction of multiplicity in security protocols | |
| Backes et al. | Computational soundness results for ProVerif: bridging the gap from trace properties to uniformity | |
| CN116094850B (zh) | 基于系统状态追踪图引导的网络协议漏洞检测方法及系统 | |
| Pavlovic et al. | Bayesian authentication: Quantifying security of the Hancke-Kuhn protocol | |
| Rezaee et al. | A threat risk estimation model for computer network security | |
| Shu et al. | A formal methodology for network protocol fingerprinting | |
| Jacquemard et al. | Tree automata with equality constraints modulo equational theories | |
| Backes et al. | Type-checking implementations of protocols based on zero-knowledge proofs | |
| Fattahi | A theorem for secrecy in tagged protocols using the theory of witness-functions | |
| Hamza | Intruder model for generating attack scenarios in computer systems | |
| Feng et al. | Generating attack scenarios for attack intention recognition |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40074101 Country of ref document: HK |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |