CN115883243A - 自动化攻防对抗评估方法、装置、电子设备及存储介质 - Google Patents
自动化攻防对抗评估方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115883243A CN115883243A CN202211652180.2A CN202211652180A CN115883243A CN 115883243 A CN115883243 A CN 115883243A CN 202211652180 A CN202211652180 A CN 202211652180A CN 115883243 A CN115883243 A CN 115883243A
- Authority
- CN
- China
- Prior art keywords
- attack
- defense
- equipment
- information
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明涉及网络安全技术领域,特别涉及一种自动化攻防对抗评估方法、装置、电子设备及存储介质,其中方法包括:获取网络攻防知识图谱;确定攻防对抗的攻击路径规划方案;基于攻击路径规划方案,确定此轮攻击的攻击装备及目标资产;基于此轮攻击的攻击装备和网络攻防知识图谱,确定此轮攻击所涉及的攻击行为;基于攻击行为和网络攻防知识图谱,确定此轮攻击所涉及的防御行为;基于防御行为和网络攻防知识图谱,确定此轮攻击所涉及的防御装备;基于防御装备和网络攻防知识图谱,确定此轮攻击中防御装备与目标资产是否存在关联,若不存在,则判定此轮攻击成功,若存在,则判定此轮攻击失败。本发明能够自动化实现基于攻防机理的攻防对抗结果评估。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种自动化攻防对抗评估方法、装置、电子设备及存储介质。
背景技术
随着大型装备安全等级与防护要求不断提高,大型装备中网络安全风险问题日益受到重视。对于一些特殊装备,不宜采用攻击测试的方法检查安全性能,就需要依赖安全推演的攻防对抗来对其进行测试。目前,面向安全推演的攻防对抗通常依赖于蓝方设置攻击手段、红方设置防御手段以及导调介入干预,进行人工判定,具有耗时长、准确率低、说服力不强等问题。
发明内容
基于面向安全推演的攻防对抗过多依赖人工评判的问题,本发明提供了一种自动化攻防对抗评估方法、装置、电子设备及存储介质,能够自动化实现基于攻防机理的攻防对抗结果评估。
第一方面,本发明实施例提供了一种自动化攻防对抗评估方法,包括:
获取网络攻防知识图谱;所述网络攻防知识图谱中记载有资产信息、攻击装备信息、攻击行为信息、防御装备信息和防御行为信息,资产信息和防御装备信息之间的关联关系,以及,攻击装备信息与攻击行为信息之间、防御装备信息与防御行为信息之间和攻击行为信息与防御行为信息之间的映射关系;
确定攻防对抗的攻击路径规划方案;
基于所述攻击路径规划方案,确定此轮攻击的攻击装备及目标资产;
基于所述攻击装备和所述网络攻防知识图谱,确定此轮攻击所涉及的攻击行为;
基于所述攻击行为和所述网络攻防知识图谱,确定此轮攻击所涉及的防御行为;
基于所述防御行为和所述网络攻防知识图谱,确定此轮攻击所涉及的防御装备;
基于所述防御装备和所述网络攻防知识图谱,确定此轮攻击中所述防御装备与所述目标资产是否存在关联,若不存在,则判定此轮攻击成功,若存在,则判定此轮攻击失败。
可选地,所述的自动化攻防对抗评估方法还包括:
判断是否结束对抗,否则返回基于所述攻击路径规划方案,确定此轮攻击的攻击装备及目标资产步骤。
可选地,所述网络攻防知识图谱是通过如下方式构建的:
获取网络攻防数据;
对所述网络攻防数据进行分类,分出五个维度,分别对应资产、攻击装备、攻击行为、防御装备和防御行为五类信息;
基于分类后的所述网络攻防数据,构图得到网络攻防知识图谱。
可选地,所述构图得到网络攻防知识图谱,包括:
构建本体层关系图OG和数据层关系图DG;
所述本体层关系图OG用于表示概念间的层次关系,OG=<CO,RO>,其中CO表示概念节点,RO表示概念之间的关系边;所述本体层关系图OG包括五维概念,分别对应资产、攻击装备、攻击行为、防御装备和防御行为五种信息,概念节点之间按照概念的层级关系连接;
所述数据层关系图DG用于表示实体间的对应关系,D G=<ED,RD>,其中ED表示实体节点,具有实体属性,RD表示实体之间的关系边;所述数据层关系图DG中的实体节点与所述本体层关系图OG中最低层级的概念连接,并记录有对应的实体属性信息。
可选地,所述网络攻防知识图谱中的攻击行为信息来自攻击框架,防御行为信息来自防御框架。
可选地,所述网络攻防知识图谱中,攻击装备信息与攻击行为信息之间、防御装备信息与防御行为信息之间和攻击行为信息与防御行为信息之间的映射关系,通过如下方式确定:
基于攻击装备的名称和所述攻击框架,建立攻击装备信息与攻击行为信息之间的映射关系;
基于防御装备的名称和所述防御框架,建立防御装备信息与防御行为信息之间的映射关系;
基于所述攻击框架和所述防御框架,建立攻击行为信息与防御行为信息之间的映射关系。
可选地,所述攻击框架采用ATT&CK攻击框架;所述防御框架采用Engage防御框架。
第二方面,本发明实施例还提供了一种自动化攻防对抗评估装置,包括:
图谱获取模块,用于获取网络攻防知识图谱;所述网络攻防知识图谱中记载有资产信息、攻击装备信息、攻击行为信息、防御装备信息和防御行为信息,以及攻击装备信息与攻击行为信息之间、防御装备信息与防御行为信息之间和攻击行为信息与防御行为信息之间的映射关系;
方案确定模块,用于确定攻防对抗的攻击路径规划方案;
目标确定模块,用于基于所述攻击路径规划方案,确定此轮攻击的攻击装备及目标资产;
第一推演模块,用于基于所述攻击装备和所述网络攻防知识图谱,确定此轮攻击所涉及的攻击行为;
第二推演模块,用于基于所述攻击行为和所述网络攻防知识图谱,确定此轮攻击所涉及的防御行为;
第三推演模块,用于基于所述防御行为和所述网络攻防知识图谱,确定此轮攻击所涉及的防御装备;
推演判定模块,用于基于所述防御装备和所述网络攻防知识图谱,确定此轮攻击中所述防御装备与所述目标资产是否存在关联,若不存在,则判定此轮攻击成功,若存在,则判定此轮攻击失败。
第三方面,本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种自动化攻防对抗评估方法、装置、电子设备及存储介质,本发明获取具有多元攻防知识的网络攻防知识图谱,基于网络攻防知识图谱中记载的多维信息及映射关系,对攻防对抗中攻击的攻击装备及目标资产进行推演,判定攻击对抗结果,自动化地实现基于攻防机理的攻防对抗结果评估,从而避免人工介入,可有效提升安全推演的效率与准确率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种自动化攻防对抗评估方法流程图;
图2是网络攻防领域本体五维度示意图;
图3是本发明一实施例提供的另一种自动化攻防对抗评估方法流程图;
图4是本发明一实施例提供的一种电子设备的硬件架构图;
图5是本发明一实施例提供的一种自动化攻防对抗评估装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
自动化攻防对抗是指面向网络空间安全的自动化攻防推演。基于网络拓扑结构、资产信息和网络攻防技术手段,实现红军、蓝军双方对抗的网空博弈,有助于推动网络空间安全产业及装备的发展。如前所述,目前,面向安全推演的攻防对抗通常依赖于蓝方设置攻击手段、红方设置防御手段以及导调介入干预,进行人工判定,具有耗时长、准确率低、说服力不强等问题。自动化攻防对抗已成为大型装备安全推演发展所面临的一项亟待解决的问题。有鉴于此,本发明提供了一种基于攻防机理的自动化攻防对抗评估方法、装置、电子设备及存储介质。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种自动化攻防对抗评估方法,该方法包括:
步骤100,获取网络攻防知识图谱;所述网络攻防知识图谱中记载有资产信息、攻击装备信息、攻击行为信息、防御装备信息和防御行为信息,资产信息和防御装备信息之间的关联关系,以及,攻击装备信息与攻击行为信息之间、防御装备信息与防御行为信息之间和攻击行为信息与防御行为信息之间的映射关系;
资产信息和防御装备信息之间的关联关系反映了各资产与其存在的防御装备之间的关联;网络攻防知识图谱通常也可包括资产信息和攻击装备信息之间的关联关系,反映了各资产与作用于其的攻击装备之间的关联;
步骤102,确定攻防对抗的攻击路径规划方案;
所述攻击路径规划方案包括至少一条攻击路径,每条攻击路径包括至少一个攻击节点,每个攻击节点对应一轮攻击,包括该轮攻击的攻击装备和目标资产;
步骤104,基于所述攻击路径规划方案,确定此轮攻击的攻击装备及目标资产;
步骤106,基于所述攻击装备和所述网络攻防知识图谱,确定此轮攻击所涉及的攻击行为;
步骤108,基于所述攻击行为和所述网络攻防知识图谱,确定此轮攻击所涉及的防御行为;
步骤110,基于所述防御行为和所述网络攻防知识图谱,确定此轮攻击所涉及的防御装备;
步骤112,基于所述防御装备和所述网络攻防知识图谱,确定此轮攻击中所述防御装备与所述目标资产是否存在关联,若不存在,则判定此轮攻击成功,若存在,则判定此轮攻击失败。
本发明提供的攻防对抗评估方法结合网络攻防知识图谱中五个维度的数据(即资产信息、攻击装备信息、攻击行为信息、防御装备信息和防御行为信息)构建面向安全推演的攻防机理,进而实现自动化攻防对抗,减少攻防对抗对导演方人工经验判定的依赖,可有效提升安全推演的效率与准确率。
进一步地,考虑到攻防对抗中,每条攻击路径可能包括多个攻击节点,即对应多轮攻击,该攻防对抗评估方法还包括:
步骤114,判断是否结束对抗,否则返回步骤104,以评估下一轮攻击,直到对抗结束。
可选地,考虑到攻击路径规划方案还可包括多条攻击路径,步骤114中所述返回步骤104进一步包括:
若步骤112中判定此轮攻击成功,则返回步骤104,确定此轮攻击的攻击装备及目标资产时,继续执行原本的攻击路径,即基于当前的攻击路径,确定新一轮攻击的攻击装备及目标资产;当该攻击路径上各轮攻击均被判定成功,则判定攻防对抗中攻击成功;
若步骤112中判定此轮攻击失败,则返回步骤104,确定此轮攻击的攻击装备及目标资产时,基于新的攻击路径开始新一轮攻击,即基于所述攻击路径规划方案中另一条未执行过的攻击路径,确定新一轮攻击的攻击装备及目标资产;当所述攻击路径规划方案中所有攻击路径均在执行后被判定攻击失败,则判定攻防对抗中攻击失败。
通过上述实施例,能够在攻击路径规划方案包括多条攻击路径,每条攻击路径包括一个或多个攻击节点的情况下,进行更加全面、系统的自动化攻防对抗评估。
下面描述图1所示的各个步骤的执行方式。
可选地,针对步骤100,获取的所述网络攻防知识图谱是通过如下方式构建的:
获取网络攻防数据;
对所述网络攻防数据进行分类,分出五个维度,分别对应资产、攻击装备、攻击行为、防御装备和防御行为五类信息;
基于分类后的所述网络攻防数据,构图得到网络攻防知识图谱。
网络攻防知识图谱是结合网络空间攻击技战术、防御措施、漏洞及网络信息资产等基础数据及其关联关系构建的知识结构,能够智能化、系统性地展示网络攻防对抗背景下,全维度、多视角的网络攻防知识,有助于提升对网络空间威胁及攻防能力的认知。网络攻防知识图谱的构建是攻防对抗经验知识化发展所面临的一项亟待解决的问题。当前网络攻防相关的知识图谱宏观不全面、微观不落地,即覆盖面不广,体系化不够,针对性不强,在该技术领域缺乏统一、准确、全面和可供借鉴的网络攻防知识图谱。
本发明从资产维、攻击装备维、防御装备维、攻击框架维和防御框架维这五个维度构建网络攻防领域本体,各维度之间的关联关系如图2所示。其中,资产维是攻击基础,对应资产信息,攻击装备维是攻击依据,对应攻击装备信息,防御装备维是防御依据,对应防御装备信息,攻击框架维是攻击行为,对应攻击行为信息,防御框架维是防御行为,对应防御行为信息。攻击框架维中的攻击行为使用攻击装备维中的攻击装备,作用于资产维中的资产(即攻击装备能够攻击资产),资产存在防御装备维中的防御装备(即防御装备能够防护资产),进而产生防御装备维中的防御行为来抵御攻击框架中的攻击行为,五个维度形成攻防闭环,可用于完整描述攻防过程,因此将这五个维度作为建模依据。采用上述实施例,可以基于资产维、攻击装备维、防御装备维、攻击行为维、防御行为维五个维度构建出一个多元、全面、具备更强通用性的网络攻防知识图谱。
进一步地,所述构图得到网络攻防知识图谱,包括:
构建本体层关系图OG和数据层关系图DG;
也就是说,所述网络攻防知识图谱包括本体层关系图OG和数据层关系图DG。
所述本体层关系图OG用于表示概念(或称本体)间的层次关系,OG=<CO,RO>,其中CO表示概念节点,RO表示概念之间的关系边;所述本体层关系图OG包括五维概念,分别对应资产、攻击装备、攻击行为、防御装备和防御行为五种信息,概念节点之间按照概念的层级关系连接。概念可认为是定义的分类,例如资产、攻击装备、攻击行为、防御装备和防御行为均为最高层级的概念,资产这一概念更低一层级的概念,即其子类,可包括:软件、硬件、人员等细分概念,攻击装备这一概念更低一层级的概念,即其子类,可包括:装备名称、所属部门等细分概念。
所述数据层关系图DG用于表示实体间的对应关系,D G=<ED,RD>,其中ED表示实体节点,具有实体属性,RD表示实体之间的关系边;所述数据层关系图DG中的实体节点与所述本体层关系图OG中最低层级的概念连接,并记录有对应的实体属性信息。所述数据层关系图DG用主要是由一系列的事实组成,知识将以事实为单位进行存储,也就是实体节点的实体属性信息。
最终构建的网络空间安全知识图谱的图结构由节点和边构成,即KG={<N>,<R>},<N>表示节点集合,且N∈(CO∪ED);<R>表示边集合,且R∈(RO∪RD)。
本发明所构建的网络攻防知识图谱涵盖了实现一次完整安全推演过程所需的资产信息、攻击装备信息、攻击行为信息、防御装备信息和防御行为信息,其中资产信息对应网络攻防知识图谱资产维,攻击装备信息对应网络攻防知识图谱攻击装备维,攻击行为信息对应网络攻防知识图谱攻击框架维,防御装备信息对应网络攻防知识图谱防御装备维,防御行为信息对应网络攻防知识图谱防御框架维。
所述网络攻防知识图谱中记载有资产信息和防御装备信息之间的关联关系,反映了各资产与其存在的防御装备之间的关联,实际上也记载有资产信息和攻击装备信息之间的关联关系,反映了各资产与作用于其的攻击装备之间的关联。
可选地,为确保所述网络攻防知识图谱具有足够的可信信息,所述网络攻防知识图谱中的攻击行为信息可来自现有的攻击框架,防御行为信息可来自现有的防御框架。
进一步地,所述网络攻防知识图谱中,攻击装备信息与攻击行为信息之间、防御装备信息与防御行为信息之间和攻击行为信息与防御行为信息之间的映射关系,可通过如下方式确定:
基于攻击装备的名称和所述攻击框架,建立攻击装备信息与攻击行为信息之间的映射关系;
基于防御装备的名称和所述防御框架,建立防御装备信息与防御行为信息之间的映射关系;
基于所述攻击框架和所述防御框架,建立攻击行为信息与防御行为信息之间的映射关系。
采用上述实施例,可以利用所述攻击框架和所述防御框架,建立起所述网络攻防知识图谱中攻击装备维与攻击框架维、防御框架维与防御装备维、攻击框架维与防御框架维四种维度之间的三种映射关系。
优选地,所述攻击框架可采用ATT&CK攻击框架;所述防御框架可采用Engage防御框架。在其他实施例中,可也采用其他现有的攻击框架、防御框架,以构建及维护所述网络攻防知识图谱。定期维护所述网络攻防知识图谱,有利于更为全面地整合攻防对抗所需信息。
某攻击装备与ATT&CK攻击框架的映射关系,形如:攻击装备A——ATT&CK攻击框架{初始访问[水坑攻击(利用下载文件,利用Adobe Flash,利用各类浏览器漏洞,利用网站获取敏感信息)],执行[利用主机漏洞(利用系统服务漏洞,利用通用协议漏洞,利用办公软件漏洞,利用其他第三方应用漏洞),计划任务/工作(利用at.exe命令程序,利用计划任务,利用Launchd执行,利用Cron程序执行)],……}。
对于网络攻防知识图谱中的所有攻击装备,通过上述关系,可确定网络攻防知识图谱中攻击装备维与攻击框架维之间的映射关系,也即建立了攻击装备信息与攻击行为信息之间的映射关系。
某防御装备与Engage防御框架的映射关系,形如:防御装备A——Engage防御框架{暴露[收集(API监控,软件监控)],影响[预防(基线建立,硬件操控),诱导(安全控制),阻断(隔离)],诱出[合理化(应用多样性,信息操控)}。
对于网络攻防知识图谱中的所有防御装备,通过上述关系,可确定网络攻防知识图谱中防御装备维与防御框架维之间的映射关系,也即建立了防御装备信息与防御行为信息之间的映射关系。
攻击框架与防御框架的映射关系,也即攻击行为和防御行为之间的映射关系,形如:ATT&CK攻击框架(网络钓鱼)——Engage防御框架(系统活动监控,迁移攻击向量,电子邮件操作,仿真数据,创建角色),表示网络钓鱼这一攻击行为对应的防御方法有系统活动监控、迁移攻击向量、电子邮件操作、仿真数据和创建角色。
对于网络攻防知识图谱中的所有攻击行为和防御行为,通过上述关系,可确定网络攻防知识图谱中攻击框架维与防御框架维之间的映射关系,也即建立了攻击行为信息与防御行为信息之间的映射关系。
上述网络攻防知识图谱中的映射关系可建立在所述本体层关系图OG,与所述本体层关系图OG连接的数据层关系图DG中的实体节点之间,可继承所述本体层关系图OG中概念节点之间的映射关系。
在基于概念与实体构建的图谱基础之上,本发明还利用了攻击框架和防御框架建立起网络攻防知识图谱中四个维度数据间的三种映射关系(即攻击装备维与攻击框架维数据、防御框架维与防御装备维数据、攻击框架维与防御框架维数据),也即攻击装备信息与攻击行为信息之间、防御装备信息与防御行为信息之间和攻击行为信息与防御行为信息之间的映射关系,从而为安全推演过程中攻防机理的建立提供支撑。
可选地,针对步骤102,“确定攻防对抗的攻击路径规划方案”,进一步包括:
获取攻防对抗的攻击路径规划方案,或者
进行攻击规划,得到攻防对抗的攻击路径规划方案。
此步骤102中,所述攻击路径规划方案可直接读取已有的数据,也可以通过攻击规划确定。攻击路径规划方案可包括一条或多条攻击路径,每条攻击路径可包括一个或多个攻击节点,每个攻击节点对应一轮攻击,包括该轮攻击的攻击装备和目标资产。
优选地,攻击路径规划方案还可根据需要进行调整。
可选地,针对步骤104,“基于所述攻击路径规划方案,确定此轮攻击的攻击装备及目标资产”,进一步包括:
确定攻击路径;
基于确定的所述攻击路径,确定攻击节点;
基于确定的所述攻击节点,确定此轮攻击的攻击装备及目标资产。
可选地,针对步骤106,“基于所述攻击装备和所述网络攻防知识图谱,确定此轮攻击所涉及的攻击行为”,进一步包括:
基于此轮攻击的所述攻击装备的名称,在所述网络攻防知识图谱中进行查找,确定此轮攻击的所述攻击装备对应的攻击装备信息;
根据所述网络攻防知识图谱中攻击装备信息与攻击行为信息之间的映射关系,确定此轮攻击所涉及的攻击行为。
可选地,针对步骤108,“基于所述攻击行为和所述网络攻防知识图谱,确定此轮攻击所涉及的防御行为”,进一步包括:
基于确定的此轮攻击所涉及的攻击行为以及所述网络攻防知识图谱中攻击行为信息与防御行为信息之间的映射关系,确定此轮攻击所涉及的防御行为。
可选地,针对步骤110,“基于所述防御行为和所述网络攻防知识图谱,确定此轮攻击所涉及的防御装备”,进一步包括:
基于确定的此轮攻击所涉及的防御行为以及所述网络攻防知识图谱中防御装备信息与防御行为信息之间的映射关系,确定此轮攻击所涉及的防御装备。
可选地,针对步骤112,“基于所述防御装备和所述网络攻防知识图谱,确定此轮攻击中所述防御装备与所述目标资产是否存在关联”,进一步包括:
基于确定的此轮攻击所涉及的防御装备以及所述网络攻防知识图谱中资产信息和防御装备信息之间的关联关系,确定所有与此轮攻击所涉及的防御装备相关联的资产;
对确定的资产进行检索,判断其中是否存在所述目标资产,是则认为所述防御装备与所述目标资产之间存在关联,否则认为不存在关联。
上述实施例结合网络攻防知识图谱多维数据的映射关系确定面向安全推演的攻防机理,依据攻击装备和攻击框架的映射关系推出攻击行为,依据攻击框架和防御框架的映射关系推出防御行为,依据防御框架和防御装备的映射关系推出防御装备,最后判断所需的防御装备与目标资产之间是否存在关联关系,实现基于攻防机理的攻防对抗结果评估。
在一个具体的实施例中,步骤104中基于攻击路径规划方案,确定此轮攻击的攻击装备“Honeycomb”作用于目标资产的信息系统;步骤106依据攻击装备和攻击框架的映射关系,推出此刻的攻击行为是“收集本地系统数据”;步骤108依据攻击框架和防御框架的映射关系推出此刻防御方应具备的防御行为是“安全控制”和“软件操控”;步骤110依据防御框架和防御装备的映射关系推出此刻防御方应具有的防御装备是“沙箱”和“数据泄露防护系统(DLP)”;步骤112判断该目标资产的信息系统是否具有“沙箱”和“数据泄露防护系统(DLP)”两种防御装备,若具有,此轮攻击失败,若不具有,则攻击成功。
如图3所示,本发明还提供了一种自动化攻防对抗评估方法,包括:
步骤300,获取网络攻防数据,并对所述网络攻防数据进行分类,分出五个维度,分别对应资产、攻击装备、攻击行为、防御装备和防御行为五类信息;
步骤302,基于分类后的所述网络攻防数据,构图得到网络攻防知识图谱;所述网络攻防知识图谱包括构建本体层关系图OG和数据层关系图DG;
步骤304,对于构图得到的所述网络攻防知识图谱,基于攻击框架和防御框架,确定攻击装备信息与攻击行为信息之间、防御装备信息与防御行为信息之间和攻击行为信息与防御行为信息之间的映射关系;
步骤306,确定攻防对抗的攻击路径规划方案;
步骤308,基于所述攻击路径规划方案,确定此轮攻击的攻击装备及目标资产;
步骤310,基于所述攻击装备和所述网络攻防知识图谱,确定此轮攻击所涉及的攻击行为;
步骤312,基于所述攻击行为和所述网络攻防知识图谱,确定此轮攻击所涉及的防御行为;
步骤314,基于所述防御行为和所述网络攻防知识图谱,确定此轮攻击所涉及的防御装备;
步骤316,基于所述防御装备和所述网络攻防知识图谱,确定此轮攻击中所述防御装备与所述目标资产是否存在关联,若不存在,则判定此轮攻击成功,若存在,则判定此轮攻击失败;
步骤318,判断是否结束对抗;
若不结束对抗,且步骤316中判定此轮攻击成功,则返回步骤308,基于当前的攻击路径,确定新一轮攻击的攻击装备及目标资产;当该攻击路径上各轮攻击均被判定成功,则判定攻防对抗中攻击成功并结束对抗;
若不结束对抗,且步骤316中判定此轮攻击失败,则返回步骤308,基于所述攻击路径规划方案中另一条未执行过的攻击路径,确定新一轮攻击的攻击装备及目标资产;当所述攻击路径规划方案中所有攻击路径均在执行后被判定攻击失败,则判定攻防对抗中攻击失败并结束对抗。
针对目前面向安全推演的攻防对抗依赖于导演方人工经验判定,耗时长、准确率低、说服力不强等问题,本发明从网络攻防知识图谱构建、知识图谱多维数据映射关系建立、自动化攻防对抗三个层面出发,充分利用网络空间海量异构态势情报数据,突破网络攻防本体/知识图谱构建、攻防机理建立等一系列关键技术,研究自动化攻防对抗评估方法。本发明基于网络拓扑结构、资产信息和网络攻防技术手段,实现红军、蓝军双方对抗的网空博弈,进而实现以知识图谱为基础,以攻防机理为创新的网络攻防知识梳理、应用为一体化的工作流程,有助于推动网络空间安全产业及装备的发展。
如图4、图5所示,本发明实施例提供了一种自动化攻防对抗评估装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图4所示,为本发明实施例提供的一种自动化攻防对抗评估装置所在电子设备的一种硬件架构图,除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图5所示,作为一个逻辑意义上的装置,是通过其所在电子设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种自动化攻防对抗评估装置,包括:
图谱获取模块501,用于获取网络攻防知识图谱;所述网络攻防知识图谱中记载有资产信息、攻击装备信息、攻击行为信息、防御装备信息和防御行为信息,以及攻击装备信息与攻击行为信息之间、防御装备信息与防御行为信息之间和攻击行为信息与防御行为信息之间的映射关系;
方案确定模块502,用于确定攻防对抗的攻击路径规划方案;
目标确定模块503,用于基于所述攻击路径规划方案,确定此轮攻击的攻击装备及目标资产;
第一推演模块504,用于基于所述攻击装备和所述网络攻防知识图谱,确定此轮攻击所涉及的攻击行为;
第二推演模块505,用于基于所述攻击行为和所述网络攻防知识图谱,确定此轮攻击所涉及的防御行为;
第三推演模块506,用于基于所述防御行为和所述网络攻防知识图谱,确定此轮攻击所涉及的防御装备;
推演判定模块507,用于基于所述防御装备和所述网络攻防知识图谱,确定此轮攻击中所述防御装备与所述目标资产是否存在关联,若不存在,则判定此轮攻击成功,若存在,则判定此轮攻击失败。
在本发明实施例中,图谱获取模块501可用于执行上述方法实施例中的步骤100,方案确定模块502可用于执行上述方法实施例中的步骤102,目标确定模块503可用于执行上述方法实施例中的步骤104,第一推演模块504可用于执行上述方法实施例中的步骤106,第二推演模块505可用于执行上述方法实施例中的步骤108,第三推演模块506可用于执行上述方法实施例中的步骤110;推演判定模块507可用于执行上述方法实施例中的步骤112。
可选地,该自动化攻防对抗评估装置还包括:
循环判断模块508,用于判断是否结束对抗,否则返回调用目标确定模块503,以评估下一轮攻击,直到对抗结束。
循环判断模块508可用于执行上述方法实施例中的步骤114。
可选地,所述网络攻防知识图谱是通过如下方式构建的:
获取网络攻防数据;
对所述网络攻防数据进行分类,分出五个维度,分别对应资产、攻击装备、攻击行为、防御装备和防御行为五类信息;
基于分类后的所述网络攻防数据,构图得到网络攻防知识图谱。
所述构图得到网络攻防知识图谱,包括:
构建本体层关系图OG和数据层关系图DG;
所述本体层关系图OG用于表示概念间的层次关系,OG=<CO,RO>,其中CO表示概念节点,RO表示概念之间的关系边;所述本体层关系图OG包括五维概念,分别对应资产、攻击装备、攻击行为、防御装备和防御行为五种信息,概念节点之间按照概念的层级关系连接;
所述数据层关系图DG用于表示实体间的对应关系,DG=<ED,RD>,其中ED表示实体节点,具有实体属性,RD表示实体之间的关系边;所述数据层关系图DG中的实体节点与所述本体层关系图OG中最低层级的概念连接,并记录有对应的实体属性信息。
可选地,所述网络攻防知识图谱中的攻击行为信息来自攻击框架,防御行为信息来自防御框架。
可选地,所述网络攻防知识图谱中,攻击装备信息与攻击行为信息之间、防御装备信息与防御行为信息之间和攻击行为信息与防御行为信息之间的映射关系,通过如下方式确定:
基于攻击装备的名称和所述攻击框架,建立攻击装备信息与攻击行为信息之间的映射关系;
基于防御装备的名称和所述防御框架,建立防御装备信息与防御行为信息之间的映射关系;
基于所述攻击框架和所述防御框架,建立攻击行为信息与防御行为信息之间的映射关系。
可以理解的是,本发明实施例示意的结构并不构成对一种自动化攻防对抗评估装置的具体限定。在本发明的另一些实施例中,一种自动化攻防对抗评估装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种自动化攻防对抗评估方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种自动化攻防对抗评估方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
本发明各实施例至少具有如下有益效果:
1、在本发明一个实施例中,提供了一种自动化攻防对抗评估方法及装置,能够结合多维度数据间映射关系构建面向安全推演的攻防机理,进而实现自动化攻防对抗;
2、在本发明一个实施例中,提供了一种自动化攻防对抗评估方法及装置,通过分析现有网络攻防数据源,基于资产维、攻击装备维、防御装备维、攻击框架维、防御框架维五个维度,构建出一个具备更强通用性的网络攻防知识图谱,不仅可用于自动化攻防对抗评估,也为完整描述攻防过程提供了支持;
3、在本发明一个实施例中,提供了一种自动化攻防对抗评估方法及装置,基于ATT&CK攻击框架与Engage防御框架建立网络攻防知识图谱中四个维度数据间的三种映射关系,具体包含:攻击装备维与攻击框架维数据、防御框架维与防御装备维数据、攻击框架维与防御框架维数据,从而为安全推演过程中攻防机理的建立提供了可靠支撑。
综上,面向实现安全推演系统自动化攻防对抗的工作需求,本发明围绕网络攻防知识图谱构建、知识图谱多维数据映射关系建立、基于攻防机理的自动化攻防对抗展开一系列研究,创新发展安全推演的科学方法和技术手段,促进自动化对抗能力的提升,形成可普遍适用于大型装备网络空间安全推演的良性机制与成熟手段,从而保障大型装备网络空间安全。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种自动化攻防对抗评估方法,其特征在于,包括:
获取网络攻防知识图谱;所述网络攻防知识图谱中记载有资产信息、攻击装备信息、攻击行为信息、防御装备信息和防御行为信息,资产信息和防御装备信息之间的关联关系,以及,攻击装备信息与攻击行为信息之间、防御装备信息与防御行为信息之间和攻击行为信息与防御行为信息之间的映射关系;
确定攻防对抗的攻击路径规划方案;
基于所述攻击路径规划方案,确定此轮攻击的攻击装备及目标资产;
基于所述攻击装备和所述网络攻防知识图谱,确定此轮攻击所涉及的攻击行为;
基于所述攻击行为和所述网络攻防知识图谱,确定此轮攻击所涉及的防御行为;
基于所述防御行为和所述网络攻防知识图谱,确定此轮攻击所涉及的防御装备;
基于所述防御装备和所述网络攻防知识图谱,确定此轮攻击中所述防御装备与所述目标资产是否存在关联,若不存在,则判定此轮攻击成功,若存在,则判定此轮攻击失败。
2.根据权利要求1所述的方法,其特征在于,还包括:
判断是否结束对抗,否则返回基于所述攻击路径规划方案,确定此轮攻击的攻击装备及目标资产步骤。
3.根据权利要求1所述的方法,其特征在于,
所述网络攻防知识图谱是通过如下方式构建的:
获取网络攻防数据;
对所述网络攻防数据进行分类,分出五个维度,分别对应资产、攻击装备、攻击行为、防御装备和防御行为五类信息;
基于分类后的所述网络攻防数据,构图得到网络攻防知识图谱。
4.根据权利要求3所述的方法,其特征在于,
所述构图得到网络攻防知识图谱,包括:
构建本体层关系图OG和数据层关系图DG;
所述本体层关系图OG用于表示概念间的层次关系,OG=<CO,RO>,其中CO表示概念节点,RO表示概念之间的关系边;所述本体层关系图OG包括五维概念,分别对应资产、攻击装备、攻击行为、防御装备和防御行为五种信息,概念节点之间按照概念的层级关系连接;
所述数据层关系图DG用于表示实体间的对应关系,DG=<ED,RD>,其中ED表示实体节点,具有实体属性,RD表示实体之间的关系边;所述数据层关系图DG中的实体节点与所述本体层关系图OG中最低层级的概念连接,并记录有对应的实体属性信息。
5.根据权利要求3或4任一项所述的方法,其特征在于,
所述网络攻防知识图谱中的攻击行为信息来自攻击框架,防御行为信息来自防御框架。
6.根据权利要求5所述的方法,其特征在于,
所述网络攻防知识图谱中,攻击装备信息与攻击行为信息之间、防御装备信息与防御行为信息之间和攻击行为信息与防御行为信息之间的映射关系,通过如下方式确定:
基于攻击装备的名称和所述攻击框架,建立攻击装备信息与攻击行为信息之间的映射关系;
基于防御装备的名称和所述防御框架,建立防御装备信息与防御行为信息之间的映射关系;
基于所述攻击框架和所述防御框架,建立攻击行为信息与防御行为信息之间的映射关系。
7.根据权利要求5所述的方法,其特征在于,
所述攻击框架采用ATT&CK攻击框架;所述防御框架采用Engage防御框架。
8.一种自动化攻防对抗评估装置,其特征在于,包括:
图谱获取模块,用于获取网络攻防知识图谱;所述网络攻防知识图谱中记载有资产信息、攻击装备信息、攻击行为信息、防御装备信息和防御行为信息,以及攻击装备信息与攻击行为信息之间、防御装备信息与防御行为信息之间和攻击行为信息与防御行为信息之间的映射关系;
方案确定模块,用于确定攻防对抗的攻击路径规划方案;
目标确定模块,用于基于所述攻击路径规划方案,确定此轮攻击的攻击装备及目标资产;
第一推演模块,用于基于所述攻击装备和所述网络攻防知识图谱,确定此轮攻击所涉及的攻击行为;
第二推演模块,用于基于所述攻击行为和所述网络攻防知识图谱,确定此轮攻击所涉及的防御行为;
第三推演模块,用于基于所述防御行为和所述网络攻防知识图谱,确定此轮攻击所涉及的防御装备;
推演判定模块,用于基于所述防御装备和所述网络攻防知识图谱,确定此轮攻击中所述防御装备与所述目标资产是否存在关联,若不存在,则判定此轮攻击成功,若存在,则判定此轮攻击失败。
9.一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时,实现如权利要求1-7中任一项所述的方法。
10.一种存储介质,其上存储有计算机程序,其特征在于,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211652180.2A CN115883243A (zh) | 2022-12-21 | 2022-12-21 | 自动化攻防对抗评估方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211652180.2A CN115883243A (zh) | 2022-12-21 | 2022-12-21 | 自动化攻防对抗评估方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115883243A true CN115883243A (zh) | 2023-03-31 |
Family
ID=85754272
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211652180.2A Pending CN115883243A (zh) | 2022-12-21 | 2022-12-21 | 自动化攻防对抗评估方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115883243A (zh) |
-
2022
- 2022-12-21 CN CN202211652180.2A patent/CN115883243A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210352099A1 (en) | System for automatically discovering, enriching and remediating entities interacting in a computer network | |
| US7647622B1 (en) | Dynamic security policy through use of empirical security events | |
| US20180137288A1 (en) | System and method for modeling security threats to prioritize threat remediation scheduling | |
| US7013395B1 (en) | Method and tool for network vulnerability analysis | |
| RU2571726C2 (ru) | Система и способ проверки целесообразности установки обновлений | |
| US20080148398A1 (en) | System and Method for Definition and Automated Analysis of Computer Security Threat Models | |
| Kotenko et al. | The ontology of metrics for security evaluation and decision support in SIEM systems | |
| US20120167095A1 (en) | Utilizing user-defined workflow policies to automate changes made to composite workflows | |
| US9813450B1 (en) | Metadata-based verification of artifact quality policy compliance | |
| CN110719300B (zh) | 一种自动化漏洞验证的方法和系统 | |
| JP2020160611A (ja) | テストシナリオ生成装置、テストシナリオ生成方法、テストシナリオ生成プログラム | |
| US20220109677A1 (en) | Methods and systems for detecting inadvertent unauthorized account access | |
| US10382566B2 (en) | Business service discovery | |
| CN114139178A (zh) | 基于数据链路的数据安全监测方法、装置和计算机设备 | |
| CN110222243A (zh) | 确定异常行为的方法、装置和存储介质 | |
| CN114915475A (zh) | 攻击路径的确定方法、装置、设备及存储介质 | |
| CN112882797A (zh) | 一种基于机器学习的容器安全检测方法 | |
| JP2006350464A (ja) | データ収集システム、データ抽出サーバ、データ収集方法及びデータ収集プログラム | |
| KR101180092B1 (ko) | 보안이벤트 분석방법 및 분석시스템, 그 기록매체 | |
| RU2481633C2 (ru) | Система и способ автоматического расследования инцидентов безопасности | |
| CN116663042B (zh) | 多用户级目录的访问控制方法、装置、设备及存储介质 | |
| CN111538712A (zh) | 日志的记录方法及处理节点、电子设备、存储介质 | |
| CN115883243A (zh) | 自动化攻防对抗评估方法、装置、电子设备及存储介质 | |
| CN116611046A (zh) | 一种基于soar的弱口令处理方法、装置以及处理系统 | |
| US11651313B1 (en) | Insider threat detection using access behavior analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |