CN116112222B - 网络攻防推演攻击可行性判定方法、装置、设备及介质 - Google Patents
网络攻防推演攻击可行性判定方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN116112222B CN116112222B CN202211685236.4A CN202211685236A CN116112222B CN 116112222 B CN116112222 B CN 116112222B CN 202211685236 A CN202211685236 A CN 202211685236A CN 116112222 B CN116112222 B CN 116112222B
- Authority
- CN
- China
- Prior art keywords
- attack
- node
- behavior
- determining
- feasible
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 230000007123 defense Effects 0.000 title claims abstract description 46
- 238000005516 engineering process Methods 0.000 claims abstract description 105
- 238000010586 diagram Methods 0.000 claims abstract description 23
- 230000009471 action Effects 0.000 claims abstract description 14
- 230000006399 behavior Effects 0.000 claims description 166
- 238000004590 computer program Methods 0.000 claims description 12
- 238000013507 mapping Methods 0.000 claims description 10
- 230000002688 persistence Effects 0.000 claims description 5
- 239000000758 substrate Substances 0.000 claims 2
- 230000008569 process Effects 0.000 description 7
- 230000000694 effects Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 230000002265 prevention Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,特别涉及一种网络攻防推演攻击可行性判定方法、装置、设备及介质,其中方法包括:获取待判定的攻击行为,并确定所属的攻击技术类型;攻击技术类型至少包括侦察、初始访问、横向移动、收集和数据渗出,其中横向移动和收集均属于中间阶段技术;获取网络拓扑结构图中的节点状态信息;网络拓扑结构图以资产为节点,以资产间的连接关系为边,节点状态信息用于表示节点经历过的攻击技术类型;基于节点状态信息及预设的攻击技术顺序规则,判定攻击行为作用于对应节点的可行性。本发明能够判定攻防对抗推演中涉及攻击行为的可行性。
Description
技术领域
本发明实施例涉及网络安全技术领域,特别涉及一种网络攻防推演攻击可行性判定方法、装置、电子设备及存储介质。
背景技术
网络攻防推演,通常是指基于网络拓扑结构、资产信息和网络攻防技术手段,实现攻防双方对抗的网空博弈,可应用于不宜直接采用攻击测试检查其安全性能的网络及装备。
由于网络攻防推演并不在真实网络及设备中间发生,因此准确进行攻击判定及评估,对于确定攻防对抗结果至关重要。若在推演中将一些攻击作用于资产,而实际上这些攻击并不能实现,这就会影响攻防对抗推演对网络安全防护的指导作用。
发明内容
基于现有技术在网络攻防推演中攻击可行性判定不准进而影响推演效果的问题,本发明实施例提供了一种网络攻防推演攻击可行性判定方法、装置、电子设备及存储介质,能够对攻防对抗推演中所涉及的各个攻击行为进行可行性判定,以确保推演实际可发动的攻击方案。
第一方面,本发明实施例提供了一种网络攻防推演攻击可行性判定方法,包括:
获取待判定的攻击行为,并确定所属的攻击技术类型;所述攻击技术类型至少包括侦察、初始访问、横向移动、收集和数据渗出,其中横向移动和收集均属于中间阶段技术;
获取网络拓扑结构图中的节点状态信息;所述网络拓扑结构图以资产为节点,以资产间的连接关系为边,节点状态信息用于表示节点经历过的攻击技术类型;
基于所述节点状态信息及预设的攻击技术顺序规则,判定所述攻击行为作用于对应节点的可行性。
可选地,所述攻击技术顺序规则包括:
若节点状态信息中记载有横向移动,则侦察或初始访问可行,中间阶段技术之前需有侦察或初始访问,数据渗出之前需有收集;
若节点状态信息中未记载有横向移动,则侦察可行,初始访问之前需有侦察,中间阶段技术之前需有初始访问,数据渗出之前需有收集。
可选地,所述攻击技术类型还包括:提权、持久化、发现、凭证访问、命令与控制、影响和防御规避,均属于中间阶段技术。
可选地,所述获取待判定的攻击行为,并确定所属的攻击技术类型,包括:
获取待判定的所述攻击行为;
基于所述攻击行为以及攻击行为与攻击技术类型之间的映射关系,确定所述攻击行为所属的攻击技术类型;其中,攻击行为与攻击技术类型之间的映射关系是基于ATT&CK威胁框架,通过对ATT&CK威胁框架中所有攻击行为进行分类,确定各攻击行为所属的攻击技术类型而建立的。
可选地,所述网络拓扑结构图是通过如下方式构建的:
获取网络拓扑信息;所述网络拓扑信息包括网络中的资产信息及连接关系信息;
基于所述网络拓扑信息,以资产为节点,以资产间的连接关系为边,构建网络拓扑结构图;
将各节点经历过的攻击技术类型记载入网络拓扑结构图的节点状态信息。
可选地,所述基于所述节点状态信息及预设的攻击技术顺序规则,判定所述攻击行为作用于对应节点的可行性,包括:
基于所述节点状态信息,判定所述攻击行为作用的节点是否经历过横向移动这一攻击技术类型的攻击,是则执行如下步骤A,否则执行如下步骤B;
步骤A:若待判定的所述攻击行为所属的攻击技术类型为侦察或初始访问,则判定所述攻击行为作用于对应节点可行;
若待判定的所述攻击行为所属的攻击技术类型属于中间阶段技术,且所作用的节点经历过侦察或初始访问任一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
若待判定的所述攻击行为所属的攻击技术类型为数据渗出,且所作用的节点经历过收集这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
步骤B:若待判定的所述攻击行为所属的攻击技术类型为侦察,则判定所述攻击行为作用于对应节点可行;
若待判定的所述攻击行为所属的攻击技术类型为初始访问,且所作用的节点经历过侦察这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
若待判定的所述攻击行为所属的攻击技术类型属于中间阶段技术,且所作用的节点经历过初始访问这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
若待判定的所述攻击行为所属的攻击技术类型为数据渗出,且所作用的节点经历过收集这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行。
第二方面,本发明实施例还提供了一种网络攻防推演攻击可行性判定装置,包括:
获取行为模块,用于获取待判定的攻击行为,并确定所属的攻击技术类型;所述攻击技术类型至少包括侦察、初始访问、横向移动、收集和数据渗出,其中横向移动和收集均属于中间阶段技术;
获取状态模块,用于获取网络拓扑结构图中的节点状态信息;所述网络拓扑结构图以资产为节点,以资产间的连接关系为边,节点状态信息用于表示节点经历过的攻击技术类型;
判定模块,用于基于所述节点状态信息及预设的攻击技术顺序规则,判定所述攻击行为作用于对应节点的可行性。
可选地,所述攻击技术顺序规则包括:
若节点状态信息中记载有横向移动,则侦察或初始访问可行,中间阶段技术之前需有侦察或初始访问,数据渗出之前需有收集;
若节点状态信息中未记载有横向移动,则侦察可行,初始访问之前需有侦察,中间阶段技术之前需有初始访问,数据渗出之前需有收集。
第三方面,本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种网络攻防推演攻击可行性判定方法、装置、电子设备及存储介质,本发明确定待判定的攻击行为所属攻击技术类型,确定待作用的节点所经历过的攻击技术类型,根据预设的攻击技术顺序规则,判定攻击行为作用于对应节点的可行性。本发明结合实际情况对网络攻防推演中的各攻击行为进行判断,避免跳过必要的步骤去攻击,以确保推演实际可发动的攻击方案,并且处理速度快,使得推演的攻防过程更能反映真实网络对抗过程,对网络安全防护具有指导作用。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种网络攻防推演攻击可行性判定方法流程图;
图2是本发明一实施例提供的一种电子设备的硬件架构图;
图3是本发明一实施例提供的一种网络攻防推演攻击可行性判定装置结构图;
图4是本发明一实施例提供的攻击技术顺序规则示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如前所述,由于网络攻防推演并不在真实网络及设备中间发生,因此,准确进行攻击判定及评估,对于确定攻防对抗结果至关重要。若在推演中将一些攻击作用于资产,而实际上这些攻击在当时情况下并不能实现,例如,对一台网络设备,在没有使用侦查的情况下,直接使用提权,虽然攻击者可以随意切换攻击技术来实现最终目标,但是这通常是无效的操作。这就会影响攻防对抗推演对网络安全防护的指导作用。有鉴于此,本发明提出通过攻击技术之间的线性顺序关系来判定攻击行为的可行性,让每个阶段使用的攻击技术更加合理化,这对装备推荐、攻击路线规划等同样有很大的帮助。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种网络攻防推演攻击可行性判定方法,该方法包括:
步骤100,获取待判定的攻击行为,并确定该攻击行为所属的攻击技术类型;
所述攻击技术类型至少包括侦察、初始访问、横向移动、收集和数据渗出,其中横向移动和收集均属于中间阶段技术;
步骤102,获取网络拓扑结构图中的节点状态信息;
所述网络拓扑结构图以资产为节点,以资产间的连接关系为边,节点状态信息用于表示节点经历过的攻击技术类型,可作为节点的属性信息之一;例如,一个节点经历过侦察这一攻击技术类型的攻击,其节点状态信息中即记载有“侦察”相关信息,可认为该节点点亮了“侦察”这一状态,说明攻击者在某次行动中利用过该技术;
步骤104,基于获取的所述节点状态信息及预设的攻击技术顺序规则,判定所述攻击行为作用于对应节点的可行性。
在网络攻防推演中,对节点P实施攻击,若节点P没有经历过侦察,此时直接对节点P使用持久化、提权等中间阶段技术的操作,是不会成功的,对节点P使用侦查后,获得该点的网络信息等,才可以进行下一步的攻击。跳过某些步骤去使用的一些攻击技术,通常是无效的,不需要进行下一步推演。本发明实施例基于节点状态信息及预设的攻击技术顺序规则进行判定,也就是根据该节点所经历过的攻击技术类型及攻防推演线性顺序要求,判定当前状态下攻击行为作用于对应节点的可行性,对顺序上无法成立的攻击技术予以拒绝,从而令每个阶段使用的攻击技术更加合理化,网络攻防推演更贴合实际情况。在网络攻防推演中,通常会使用多个环节进行判定,以分析攻击效果,本发明可在推演中其他判定环节开始之前进行,以判定是否可以发动此次攻击。本发明处理速度快,仅依赖攻击技术类型、节点状态信息及预设的攻击技术顺序规则即可进行快速判定,无需进一步具体推演及分析攻击技术,可快速禁止实际网络中无法发动的攻击,能够提高攻防推演计算效率。
下面描述图1所示的各个步骤的执行方式。
针对步骤100,所述攻击技术类型还可包括:提权、持久化、发现、凭证访问、命令与控制、影响和防御规避,均属于中间阶段技术。
对于本发明提供的网络攻防推演攻击可行性判定方法,属于中间阶段技术的攻击技术类型较多,除其中横向移动和收集这两个攻击技术类型有特殊的要求,其他攻击技术类型也可不加以细分,以提高处理效率。可选地,对于未确定所属的攻击技术类型的攻击行为,也可按照其属于中间阶段技术进行处理。
可选地,步骤100“获取待判定的攻击行为,并确定所属的攻击技术类型”进一步包括:
获取待判定的所述攻击行为;
基于所述攻击行为以及攻击行为与攻击技术类型之间的映射关系,确定所述攻击行为所属的攻击技术类型;其中,攻击行为与攻击技术类型之间的映射关系是基于ATT&CK威胁框架,通过对ATT&CK威胁框架中所有攻击行为进行分类,确定各攻击行为所属的攻击技术类型而建立的。
当前网络空间对抗的严峻形势促成了网空威胁框架的提出与发展。网空威胁框架是一套科学的方法和工具体系,能够更深入地认知APT形式的网空威胁,系统全面地分析其攻击意图、手法、过程与技术,达成增强防御有效性的目标。ATT&CK威胁框架将已知的攻击行为转换为结构化列表,将这些已知的行为汇总成技术及子技术,并通过几个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示,由于此列表相当全面地呈现了攻击者在攻击网络时所采用的行为,因此对于各种进攻性和防御性度量、表示和其他机制都非常有用。但ATT&CK威胁框架本身没有遵循任何线性顺序。
采用上述实施例,通过基于ATT&CK威胁框架建立攻击行为与攻击技术类型之间的映射关系,可得到对ATT&CK威胁框架重新分类的攻击技术类型矩阵,能够使ATT&CK所涉及的攻击行为具有一定的线性顺序,且在达成一定的攻击成果后,攻击者可以自由使用后续攻击技术发起攻击。在其他实施例中,攻击行为与攻击技术类型之间的映射关系也可基于其他现有威胁框架建立。
针对步骤102,所述网络拓扑结构图是通过如下方式构建的:
获取网络拓扑信息;所述网络拓扑信息包括网络中的资产信息及连接关系信息;
基于所述网络拓扑信息,以资产为节点,以资产间的连接关系为边,构建网络拓扑结构图;
将各节点经历过的攻击技术类型记载入网络拓扑结构图的节点状态信息。
上述实施例可在网络攻防推演过程中不断将各节点经历过的攻击技术类型记载入网络拓扑结构图的节点状态信息,从而维护节点状态信息,对节点的状态进行标记,以表明攻击者在某次行动中利用过该技术,后续不仅可以据此判定攻击行为的可行性,还可用于统计各节点的被攻陷程度及攻陷顺序等信息,有助于复盘分析。
针对步骤104,所述攻击技术顺序规则包括:
若节点状态信息中记载有横向移动,则侦察或初始访问可行,中间阶段技术之前需有侦察或初始访问,数据渗出之前需有收集;
若节点状态信息中未记载有横向移动,则侦察可行,初始访问之前需有侦察,中间阶段技术之前需有初始访问,数据渗出之前需有收集。
上述实施例考虑“横向移动”这一状态可能被其他在先攻击技术点亮,以该节点是否存在“横向移动”状态为条件,分别给出了两种不同逻辑的攻击技术顺序规则,建立不同攻击技术顺序依赖关系,对于节点状态信息中记载有横向移动的情况,若中间阶段技术之前没有侦察或初始访问,或数据渗出之前没有收集,则认为攻击不可行;对于若节点状态信息中未记载有横向移动的情况,若初始访问之前没有侦察,或中间阶段技术之前没有初始访问,或数据渗出之前没有收集,则认为攻击不可行。在其他实施例中,也可根据实际需要设置攻击技术顺序规则的具体项目。
进一步地,步骤104“基于所述节点状态信息及预设的攻击技术顺序规则,判定所述攻击行为作用于对应节点的可行性”,包括:
基于所述节点状态信息,判定所述攻击行为作用的节点是否经历过横向移动这一攻击技术类型的攻击,是则执行如下步骤A,否则执行如下步骤B;
步骤A:若待判定的所述攻击行为所属的攻击技术类型为侦察或初始访问,则判定所述攻击行为作用于对应节点可行;
若待判定的所述攻击行为所属的攻击技术类型属于中间阶段技术,且所作用的节点经历过侦察或初始访问任一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
若待判定的所述攻击行为所属的攻击技术类型为数据渗出,且所作用的节点经历过收集这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
步骤B:若待判定的所述攻击行为所属的攻击技术类型为侦察,则判定所述攻击行为作用于对应节点可行;
若待判定的所述攻击行为所属的攻击技术类型为初始访问,且所作用的节点经历过侦察这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
若待判定的所述攻击行为所属的攻击技术类型属于中间阶段技术,且所作用的节点经历过初始访问这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
若待判定的所述攻击行为所属的攻击技术类型为数据渗出,且所作用的节点经历过收集这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行。
上述实施例中,基于节点状态信息,可确定作用的节点经历过哪些攻击技术类型的攻击,通过这些信息及给定的攻击技术顺序规则对攻击行为作用于对应节点是否可行进行判定,即可快速禁止实际网络中无法发动的攻击,提高攻防推演计算效率。
如图2、图3所示,本发明实施例提供了一种网络攻防推演攻击可行性判定装置(简称可行性判定装置)。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图2所示,为本发明实施例提供的一种网络攻防推演攻击可行性判定装置所在电子设备的一种硬件架构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图3所示,作为一个逻辑意义上的装置,是通过其所在电子设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种网络攻防推演攻击可行性判定装置,包括:
获取行为模块301,用于获取待判定的攻击行为,并确定所属的攻击技术类型;所述攻击技术类型至少包括侦察、初始访问、横向移动、收集和数据渗出,其中横向移动和收集均属于中间阶段技术;
获取状态模块302,用于获取网络拓扑结构图中的节点状态信息;所述网络拓扑结构图以资产为节点,以资产间的连接关系为边,节点状态信息用于表示节点经历过的攻击技术类型;
判定模块303,用于基于所述节点状态信息及预设的攻击技术顺序规则,判定所述攻击行为作用于对应节点的可行性。
在本发明实施例中,获取行为模块301可用于执行上述方法实施例中的步骤100,获取状态模块302可用于执行上述方法实施例中的步骤102,判定模块303可用于执行上述方法实施例中的步骤104。
可选地,所述攻击技术类型还包括:提权、持久化、发现、凭证访问、命令与控制、影响和防御规避,均属于中间阶段技术。
可选地,所述获取行为模块301用于执行如下操作:
获取待判定的所述攻击行为;
基于所述攻击行为以及攻击行为与攻击技术类型之间的映射关系,确定所述攻击行为所属的攻击技术类型;其中,攻击行为与攻击技术类型之间的映射关系是基于ATT&CK威胁框架,通过对ATT&CK威胁框架中所有攻击行为进行分类,确定各攻击行为所属的攻击技术类型而建立的。
可选地,所述网络拓扑结构图是通过如下方式构建的:
获取网络拓扑信息;所述网络拓扑信息包括网络中的资产信息及连接关系信息;
基于所述网络拓扑信息,以资产为节点,以资产间的连接关系为边,构建网络拓扑结构图;
将各节点经历过的攻击技术类型记载入网络拓扑结构图的节点状态信息。
可选地,如图4所示,所述攻击技术顺序规则包括:
若节点状态信息中记载有横向移动,则侦察或初始访问可行,中间阶段技术之前需有侦察或初始访问,数据渗出之前需有收集;
若节点状态信息中未记载有横向移动,则侦察可行,初始访问之前需有侦察,中间阶段技术之前需有初始访问,数据渗出之前需有收集。
可选地,判定模块303用于执行如下操作:
基于所述节点状态信息,判定所述攻击行为作用的节点是否经历过横向移动这一攻击技术类型的攻击,是则执行如下步骤A,否则执行如下步骤B;
步骤A:若待判定的所述攻击行为所属的攻击技术类型为侦察或初始访问,则判定所述攻击行为作用于对应节点可行;
若待判定的所述攻击行为所属的攻击技术类型属于中间阶段技术,且所作用的节点经历过侦察或初始访问任一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
若待判定的所述攻击行为所属的攻击技术类型为数据渗出,且所作用的节点经历过收集这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
步骤B:若待判定的所述攻击行为所属的攻击技术类型为侦察,则判定所述攻击行为作用于对应节点可行;
若待判定的所述攻击行为所属的攻击技术类型为初始访问,且所作用的节点经历过侦察这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
若待判定的所述攻击行为所属的攻击技术类型属于中间阶段技术,且所作用的节点经历过初始访问这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
若待判定的所述攻击行为所属的攻击技术类型为数据渗出,且所作用的节点经历过收集这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行。
可以理解的是,本发明实施例示意的结构并不构成对一种网络攻防推演攻击可行性判定装置的具体限定。在本发明的另一些实施例中,一种网络攻防推演攻击可行性判定装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种网络攻防推演攻击可行性判定方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种网络攻防推演攻击可行性判定方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
本发明各实施例至少具有如下有益效果:
1、在本发明一个实施例中,提供了一种网络攻防推演攻击可行性判定方法及装置,通过确定待判定的攻击行为所属攻击技术类型,确定待作用的节点所经历过的攻击技术类型,根据预设的攻击技术顺序规则,判定攻击行为作用于对应节点的可行性;
2、在本发明一个实施例中,提供了一种网络攻防推演攻击可行性判定方法及装置,以节点是否存在“横向移动”状态为条件,分别给出了两种不同逻辑的攻击技术顺序规则,建立不同攻击技术顺序依赖关系,实现快速判断攻击行为的可行性;
3、在本发明一个实施例中,提供了一种网络攻防推演攻击可行性判定方法及装置,对ATT&CK威胁框架的攻击行为重新分类,建立某种依赖关系,让网络攻防推演有一定的线性顺序,让每个阶段使用的攻击技术更加合理化,对武器装备推荐功能、攻击路线规划等同样有很大的帮助。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (7)
1.一种网络攻防推演攻击可行性判定方法,其特征在于,包括:
获取待判定的攻击行为,并确定所属的攻击技术类型;所述攻击技术类型至少包括侦察、初始访问、横向移动、收集和数据渗出,其中横向移动和收集均属于中间阶段技术;
获取网络拓扑结构图中的节点状态信息;所述网络拓扑结构图以资产为节点,以资产间的连接关系为边,节点状态信息用于表示节点经历过的攻击技术类型;
基于所述节点状态信息及预设的攻击技术顺序规则,判定所述攻击行为作用于对应节点的可行性;
其中,所述攻击技术顺序规则包括:
若节点状态信息中记载有横向移动,则侦察或初始访问可行,中间阶段技术之前需有侦察或初始访问,数据渗出之前需有收集;
若节点状态信息中未记载有横向移动,则侦察可行,初始访问之前需有侦察,中间阶段技术之前需有初始访问,数据渗出之前需有收集;
所述基于所述节点状态信息及预设的攻击技术顺序规则,判定所述攻击行为作用于对应节点的可行性,包括:
基于所述节点状态信息,判定所述攻击行为作用的节点是否经历过横向移动这一攻击技术类型的攻击,是则执行如下步骤A,否则执行如下步骤B;
步骤A:若待判定的所述攻击行为所属的攻击技术类型为侦察或初始访问,则判定所述攻击行为作用于对应节点可行;
若待判定的所述攻击行为所属的攻击技术类型属于中间阶段技术,且所作用的节点经历过侦察或初始访问任一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
若待判定的所述攻击行为所属的攻击技术类型为数据渗出,且所作用的节点经历过收集这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
步骤B:若待判定的所述攻击行为所属的攻击技术类型为侦察,则判定所述攻击行为作用于对应节点可行;
若待判定的所述攻击行为所属的攻击技术类型为初始访问,且所作用的节点经历过侦察这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
若待判定的所述攻击行为所属的攻击技术类型属于中间阶段技术,且所作用的节点经历过初始访问这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
若待判定的所述攻击行为所属的攻击技术类型为数据渗出,且所作用的节点经历过收集这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行。
2.根据权利要求1所述的方法,其特征在于,
所述攻击技术类型还包括:提权、持久化、发现、凭证访问、命令与控制、影响和防御规避,均属于中间阶段技术。
3.根据权利要求1或2任一项所述的方法,其特征在于,
所述获取待判定的攻击行为,并确定所属的攻击技术类型,包括:
获取待判定的所述攻击行为;
基于所述攻击行为以及攻击行为与攻击技术类型之间的映射关系,确定所述攻击行为所属的攻击技术类型;其中,攻击行为与攻击技术类型之间的映射关系是基于ATT&CK威胁框架,通过对ATT&CK威胁框架中所有攻击行为进行分类,确定各攻击行为所属的攻击技术类型而建立的。
4.根据权利要求1所述的方法,其特征在于,
所述网络拓扑结构图是通过如下方式构建的:
获取网络拓扑信息;所述网络拓扑信息包括网络中的资产信息及连接关系信息;
基于所述网络拓扑信息,以资产为节点,以资产间的连接关系为边,构建网络拓扑结构图;
将各节点经历过的攻击技术类型记载入网络拓扑结构图的节点状态信息。
5.一种网络攻防推演攻击可行性判定装置,其特征在于,包括:
获取行为模块,用于获取待判定的攻击行为,并确定所属的攻击技术类型;所述攻击技术类型至少包括侦察、初始访问、横向移动、收集和数据渗出,其中横向移动和收集均属于中间阶段技术;
获取状态模块,用于获取网络拓扑结构图中的节点状态信息;所述网络拓扑结构图以资产为节点,以资产间的连接关系为边,节点状态信息用于表示节点经历过的攻击技术类型;
判定模块,用于基于所述节点状态信息及预设的攻击技术顺序规则,判定所述攻击行为作用于对应节点的可行性;
其中,所述攻击技术顺序规则包括:
若节点状态信息中记载有横向移动,则侦察或初始访问可行,中间阶段技术之前需有侦察或初始访问,数据渗出之前需有收集;
若节点状态信息中未记载有横向移动,则侦察可行,初始访问之前需有侦察,中间阶段技术之前需有初始访问,数据渗出之前需有收集;
所述判定模块用于执行如下操作:
基于所述节点状态信息,判定所述攻击行为作用的节点是否经历过横向移动这一攻击技术类型的攻击,是则执行如下步骤A,否则执行如下步骤B;
步骤A:若待判定的所述攻击行为所属的攻击技术类型为侦察或初始访问,则判定所述攻击行为作用于对应节点可行;
若待判定的所述攻击行为所属的攻击技术类型属于中间阶段技术,且所作用的节点经历过侦察或初始访问任一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
若待判定的所述攻击行为所属的攻击技术类型为数据渗出,且所作用的节点经历过收集这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
步骤B:若待判定的所述攻击行为所属的攻击技术类型为侦察,则判定所述攻击行为作用于对应节点可行;
若待判定的所述攻击行为所属的攻击技术类型为初始访问,且所作用的节点经历过侦察这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
若待判定的所述攻击行为所属的攻击技术类型属于中间阶段技术,且所作用的节点经历过初始访问这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行;
若待判定的所述攻击行为所属的攻击技术类型为数据渗出,且所作用的节点经历过收集这一攻击技术类型的攻击,则判定所述攻击行为作用于对应节点可行,否则判定所述攻击行为作用于对应节点不可行。
6.一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时,实现如权利要求1-4中任一项所述的方法。
7.一种存储介质,其上存储有计算机程序,其特征在于,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-4中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211685236.4A CN116112222B (zh) | 2022-12-27 | 2022-12-27 | 网络攻防推演攻击可行性判定方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211685236.4A CN116112222B (zh) | 2022-12-27 | 2022-12-27 | 网络攻防推演攻击可行性判定方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116112222A CN116112222A (zh) | 2023-05-12 |
CN116112222B true CN116112222B (zh) | 2024-05-14 |
Family
ID=86263063
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211685236.4A Active CN116112222B (zh) | 2022-12-27 | 2022-12-27 | 网络攻防推演攻击可行性判定方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116112222B (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017099015A (ja) * | 2017-01-26 | 2017-06-01 | 株式会社東芝 | 生成装置、暗号化装置、復号装置、生成方法、暗号化方法、復号方法およびプログラム |
CN108494810A (zh) * | 2018-06-11 | 2018-09-04 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
CN108696534A (zh) * | 2018-06-26 | 2018-10-23 | 中国人民解放军战略支援部队信息工程大学 | 实时网络安全威胁预警分析方法及其装置 |
CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
CN112118272A (zh) * | 2020-11-18 | 2020-12-22 | 中国人民解放军国防科技大学 | 基于仿真实验设计的网络攻防推演平台 |
CN112637207A (zh) * | 2020-12-23 | 2021-04-09 | 中国信息安全测评中心 | 一种网络安全态势预测方法及装置 |
CN113536573A (zh) * | 2021-07-19 | 2021-10-22 | 中国人民解放军国防科技大学 | 网络攻防过程的仿真建模方法、装置及网络回合制兵棋 |
CN114048487A (zh) * | 2021-11-29 | 2022-02-15 | 北京永信至诚科技股份有限公司 | 网络靶场的攻击过程评估方法、装置、存储介质及设备 |
CN114095262A (zh) * | 2021-11-19 | 2022-02-25 | 北京安天网络安全技术有限公司 | 网络攻防推演方法、装置、计算设备及存储介质 |
CN114266052A (zh) * | 2021-12-24 | 2022-04-01 | 安天科技集团股份有限公司 | 一种武器系统网空安全评估推演方法、装置、设备及介质 |
CN114386042A (zh) * | 2021-11-09 | 2022-04-22 | 内蒙古大唐国际托克托发电有限责任公司 | 一种适用于电力企业网络战兵棋推演的方法 |
CN114978716A (zh) * | 2022-05-25 | 2022-08-30 | 安天科技集团股份有限公司 | 一种三维拓扑展示方法、装置及电子设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11677775B2 (en) * | 2020-04-10 | 2023-06-13 | AttackIQ, Inc. | System and method for emulating a multi-stage attack on a node within a target network |
-
2022
- 2022-12-27 CN CN202211685236.4A patent/CN116112222B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017099015A (ja) * | 2017-01-26 | 2017-06-01 | 株式会社東芝 | 生成装置、暗号化装置、復号装置、生成方法、暗号化方法、復号方法およびプログラム |
CN108494810A (zh) * | 2018-06-11 | 2018-09-04 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
CN108696534A (zh) * | 2018-06-26 | 2018-10-23 | 中国人民解放军战略支援部队信息工程大学 | 实时网络安全威胁预警分析方法及其装置 |
CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
CN112118272A (zh) * | 2020-11-18 | 2020-12-22 | 中国人民解放军国防科技大学 | 基于仿真实验设计的网络攻防推演平台 |
CN112637207A (zh) * | 2020-12-23 | 2021-04-09 | 中国信息安全测评中心 | 一种网络安全态势预测方法及装置 |
CN113536573A (zh) * | 2021-07-19 | 2021-10-22 | 中国人民解放军国防科技大学 | 网络攻防过程的仿真建模方法、装置及网络回合制兵棋 |
CN114386042A (zh) * | 2021-11-09 | 2022-04-22 | 内蒙古大唐国际托克托发电有限责任公司 | 一种适用于电力企业网络战兵棋推演的方法 |
CN114095262A (zh) * | 2021-11-19 | 2022-02-25 | 北京安天网络安全技术有限公司 | 网络攻防推演方法、装置、计算设备及存储介质 |
CN114048487A (zh) * | 2021-11-29 | 2022-02-15 | 北京永信至诚科技股份有限公司 | 网络靶场的攻击过程评估方法、装置、存储介质及设备 |
CN114266052A (zh) * | 2021-12-24 | 2022-04-01 | 安天科技集团股份有限公司 | 一种武器系统网空安全评估推演方法、装置、设备及介质 |
CN114978716A (zh) * | 2022-05-25 | 2022-08-30 | 安天科技集团股份有限公司 | 一种三维拓扑展示方法、装置及电子设备 |
Non-Patent Citations (3)
Title |
---|
Shirui Huang, Hengwei Zhang, Jindong Wang,Jianming Huang .Network Defense Decision-Making Method Based on Stochastic Differential Game Model.《SpringerLink》.2018,全文. * |
动态攻击网络Markov演化博弈安全分析模型;李艳;黄光球;张斌;;计算机科学与探索;20160915(09);全文 * |
尹发,艾中良.基于攻防行动链的网络对抗推演系统.《计算机与现代化》.2019,全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN116112222A (zh) | 2023-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Roy et al. | Scalable optimal countermeasure selection using implicit enumeration on attack countermeasure trees | |
Carroll et al. | A game theoretic investigation of deception in network security | |
US11159542B2 (en) | Cloud view detection of virtual machine brute force attacks | |
US10282542B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
Moothedath et al. | A game-theoretic approach for dynamic information flow tracking to detect multistage advanced persistent threats | |
CN111049680B (zh) | 一种基于图表示学习的内网横向移动检测系统及方法 | |
Speicher et al. | Stackelberg planning: Towards effective leader-follower state space search | |
CN107508816A (zh) | 一种攻击流量防护方法及装置 | |
WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
CN114398643A (zh) | 渗透路径规划方法、装置、计算机和存储介质 | |
JP7005936B2 (ja) | 評価プログラム、評価方法および情報処理装置 | |
CN112749097B (zh) | 一种模糊测试工具性能测评方法、装置 | |
Kandoussi et al. | Toward an integrated dynamic defense system for strategic detecting attacks in cloud networks using stochastic game | |
JP7019533B2 (ja) | 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム | |
CN116112222B (zh) | 网络攻防推演攻击可行性判定方法、装置、设备及介质 | |
Baiardi | Avoiding the weaknesses of a penetration test | |
CN114531283A (zh) | 入侵检测模型的鲁棒性测定方法、系统、存储介质及终端 | |
Sandoval et al. | Measurement, identification and calculation of cyber defense metrics | |
CN110213094B (zh) | 一种威胁活动拓扑图的建立方法、装置及存储设备 | |
WO2021130943A1 (ja) | リスク分析結果表示装置、方法、及びコンピュータ可読媒体 | |
WO2020246011A1 (ja) | ルール生成装置、ルール生成方法、及びコンピュータ読み取り可能な記録媒体 | |
US9178902B1 (en) | System and method for determining enterprise information security level | |
Das et al. | Think smart, play dumb: Analyzing deception in hardware trojan detection using game theory | |
Basilico et al. | A security game model for remote software protection | |
CN115618344A (zh) | 一种基于RASP的拦截java内存马注入的防护技术 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |