CN116260637B - 渗透测试的路径规划方法、装置、电子设备及存储介质 - Google Patents

渗透测试的路径规划方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN116260637B
CN116260637B CN202310117222.0A CN202310117222A CN116260637B CN 116260637 B CN116260637 B CN 116260637B CN 202310117222 A CN202310117222 A CN 202310117222A CN 116260637 B CN116260637 B CN 116260637B
Authority
CN
China
Prior art keywords
attack
capec
path
cwe
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310117222.0A
Other languages
English (en)
Other versions
CN116260637A (zh
Inventor
李琳
夏冀
蔡一鸣
赵梓桐
孙淑娴
朱峰
周睿康
尹北生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Venustech Cybervision Co ltd
China Electronics Standardization Institute
Original Assignee
Beijing Venustech Cybervision Co ltd
China Electronics Standardization Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Venustech Cybervision Co ltd, China Electronics Standardization Institute filed Critical Beijing Venustech Cybervision Co ltd
Priority to CN202310117222.0A priority Critical patent/CN116260637B/zh
Publication of CN116260637A publication Critical patent/CN116260637A/zh
Application granted granted Critical
Publication of CN116260637B publication Critical patent/CN116260637B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种渗透测试的路径规划方法、装置、电子设备及存储介质,应用于网络安全路径规划领域,所述路径规划方法,构建攻击策略图谱,通过获取的测试目标的初始信息获取漏洞的信息,所述漏洞的信息包括CWE编号,再根据所述CWE编号查询攻击策略图谱确定攻击路径集合和所述攻击路径集合中每条攻击路径的CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合,最后根据所述CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合筛选所述攻击路径集合中的攻击路径。本发明通过构建的攻击策略图谱可以快速查询到漏洞的相关信息,进而利用漏洞的相关信息可以生成丰富的渗透测试的攻击路径,并且可以提高渗透测试的效率。

Description

渗透测试的路径规划方法、装置、电子设备及存储介质
技术领域
本发明涉及网络安全路径规划领域,尤其涉及一种渗透测试的路径规划方法、装置、电子设备及存储介质。
背景技术
随着互联网技术的快速发展,各类互联网应用的网络安全问题被广泛关注。各行各业都需要对自己的业务系统进行全面的安全检查,以防止攻击者利用漏洞破坏业务系统或窃取数据。渗透测试检查是所有安全检查手段中最直接、最贴近实战的检测手段。
目前的渗透测试大部分是由人工进行任务流程的控制,在部分环节使用工具去完成重复的工作。但随着技术的不断发展,漏洞的不断更新变化,完全靠人工进行渗透测试任务的流程控制和漏洞选择容易存在漏报的情况。并且由于渗透测试人力资源紧张和工作量大等因素,多数渗透测试任务无法进行深度测试,仅能发现浅层次漏洞问题,无法发现根本问题。
发明内容
鉴于上述的分析,本发明旨在公开了一种渗透测试的路径规划方法、装置、电子设备及存储介质;本发明通过构建的攻击策略图谱可以快速查询到漏洞的相关信息,进而利用漏洞的相关信息可以生成丰富的渗透测试的攻击路径,并且可以提高渗透测试的效率。
本发明一方面公开了一种渗透测试的路径规划方法,包括:
构建攻击策略图谱;所述攻击策略图谱中包括漏洞的相关信息;
获取测试目标的初始信息;所述初始信息包括IP和组件信息;
根据所述组件信息获取与所述IP对应的漏洞的信息,所述漏洞的信息包括CWE编号;
根据所述CWE编号查询攻击策略图谱中漏洞的相关信息,确定出所述IP的攻击路径集合;
确定出所述攻击路径集合中每条攻击路径的CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合;
根据所述CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合筛选所述攻击路径集合中的攻击路径。
本发明另一方面还公开了一种渗透测试的路径规划装置,包括:
图谱构建模块,用于构建攻击策略图谱;所述攻击策略图谱中包括漏洞的相关信息;
第一获取模块,用于获取测试目标的初始信息,所述初始信息包括IP和组件信息;
第二获取模块,根据所述组件信息获取与所述IP对应的漏洞的信息,所述漏洞的信息包括CWE编号;
第一确定模块,根据所述CWE编号查询攻击策略图谱确定所述IP的攻击路径集合;
第二确定模块,用于查询所述攻击策略图谱和漏洞库确定所述攻击路径集合中每条攻击路径的CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合;
筛选模块,根据所述CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合筛选所述攻击路径集合中的攻击路径。
本发明另一方面还公开了一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现如上所述的渗透测试的路径规划方法。
本发明另一方面还公开了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的渗透测试的路径规划方法。
本发明可实现以下有益效果之一:
本发明通过构建的攻击策略图谱可以快速查询到漏洞的相关信息,进而利用漏洞的相关信息可以生成丰富的渗透测试的攻击路径,并且可以提高渗透测试的效率。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
图1为本发明实施例一中的渗透测试的路径规划方法流程图;
图2为本发明实施例一中的攻击策略图谱中实体关系示意图;
图3为本发明实施例二中的渗透测试的路径规划装置的结构示意图;
图4为本发明实施例三中的电子设备的结构图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理。
实施例一
本发明的一个实施例公开一种渗透测试的路径规划方法,如图1所示,包括:
步骤S101、构建攻击策略图谱;所述攻击策略图谱中包括漏洞的相关信息;
所述攻击策略图谱的构建包括:
1)获取CWE数据、CAPEC数据和ATT&CK数据;
其中,CWE(Common Weakness Enumeration)为社区开发的常见软件和硬件安全漏洞列表。CWE可作为软件弱点识别,缓解和预防工作的基准。
CAPEC(Common Attack Pattern Enumeration and Classification)为攻击类型枚举和分类数据集,CAPEC是常用攻击类型的分类数据集;CAPEC目前列举了500多种攻击类型。
ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)为对抗性战术、技术以及公共知识库,ATT&CK创建了网络攻击中使用的已知对抗战术和技术的详尽列表。
2)使用实体对齐方法构建所述攻击策略图谱;
在所述攻击策略图谱中建立实体属性列表和实体关系列表;其中,实体属性列表中包括CWE、CAPEC和ATTCK在内的实体以及对应的属性和备注、数据类型和实例数据。实体关系中包括CWE数据与CWE数据的关系,CWE数据与CAPEC数据的关系,CAPEC数据与ATT&CK数据的关系,以及CWE数据与ATT&CK数据的关系。
基于所述攻击策略图谱,通过CWE编号根据CWE数据与CAPEC数据的关系可查询到CAPEC攻击方案归属,进而根据CAPEC数据与ATT&CK数据的关系可查询到ATT&CK攻击阶段归属。根据CAPEC攻击方案归属和ATT&CK攻击阶段归属确定所述漏洞在攻击路径上的位置可确定包括漏洞在攻击路径上的位置在内的漏洞的相关信息。
示例性地,攻击策略图谱中实体、属性可以如下表1所示:
表1
示例性地,攻击策略图谱中实体关系可以如下表2和图2所示:
表2
关系名 起止点 说明
ChildOf (CWE)-[r]->(CWE) 用于说明CWE之间的上下级关系。
PeerOf (CWE)-[r]->(CWE) 用于说明CWE之间的相似关系。
UsedBy (CWE)-[r]->(CAPEC) 用于说明CWE与CAPEC之间的使用关系
Deploy (CAPEC)-[r]->(ATT&CK) 用于说明CAPEC与ATT&CK之间的包含关系
BeforeThat (ATTCK)-[r]->(ATT&CK) 用于说明ATT&CK之间的执行顺序
BelongTo (CWE)-[r]->(ATT&CK) 由谓词逻辑推理得到的隐藏关系
表中“r”表示“关系”。
所述攻击策略图谱中包括漏洞的相关信息,通过CWE编号可以在攻击策略图谱查询到漏洞的相关信息。
步骤S102、获取测试目标的初始信息;所述初始信息包括IP和组件信息;
其中,组件信息中包括CPE(Common Platform Enumeration)标准格式的各类软件应用名,如[“apache:apache”,“php:php”]。
可选地,初始信息还包括端口号和端口开放服务信息,用于说明某一个端口上运行的组件有哪些。
示例性地,{“80”:[“apache:apache”,“php:php”]}表示的是80端口上运行有Apache服务和php服务。
进一步地,检测所述组件信息中组件命名的格式是否符合CPE(Common PlatformEnumeration,通用平台枚举)标准格式;不符合,则进行文本相似度匹配,将相似度最高的标准CPE命名替代所述组件信息中的组件命名。
可选地,在进行文本相似度匹配时,采用根据欧式距离进行文本相似度计算方法进行匹配。
其中,根据欧式距离进行文本相似度计算可参照现有公开文献中的方法进行。
步骤S103、根据所述组件信息获取与所述IP对应的漏洞的信息,所述漏洞的信息包括CWE编号;
可选地,根据组件信息从漏洞数据库中查询与该组件相对应的漏洞,生成与IP对应的漏洞集合;提取漏洞集合中每一个漏洞的CWE编号,生成与漏洞集合对应的CWE集合。
其中,漏洞库的数据由CVE(Common Vulnerabilities&Exposures,通用漏洞披露)官方API(Application Program Interface,应用程序编程接口)采集获得。
示例性地,漏洞数据库中存储的CVE漏洞信息的数据格式可以如下表3所示:
表3
步骤S104、根据所述CWE编号查询攻击策略图谱中漏洞的相关信息,确定出所述IP的攻击路径集合;
可选地,根据CWE编号查询攻击策略图谱确定IP的攻击路径集合,包括:
根据CWE编号查询攻击策略图谱并根据攻击策略图谱中的实体关系进行一阶谓词逻辑推理,例如:(CWE-UsedBy->CAPEC-Deploy->ATT&CK),获得与CWE编号对应的CAPEC攻击方案归属和ATT&CK攻击阶段归属;
根据CAPEC攻击方案归属和ATT&CK攻击阶段归属确定所述漏洞在攻击路径上的位置;
根据位置确定IP的攻击路径集合。
需要说明的是,按照漏洞的位置确定漏洞的执行顺序进而确定攻击路径,根据执行顺序从0开始,1为单位长度给漏洞编号,在确定攻击路径时若遇到编号一致的漏洞,则分裂出一条新的攻击路径,新攻击路径继承分裂之前攻击路径上的漏洞。
示例性地,需要查询的CWE编号集合为:
{"CWE-22","CWE-80","CWE-77","CWE-81","CWE-224"}。
通过查询攻击策略图谱得到与CWE编号对应的CAPEC攻击方案归属和ATT&CK攻击阶段归属,进一步地得到IP的攻击路径集合为:
{
1:["CVE-2022-1111","CVE-2022-1234"],
2:["CVE-2022-1111","CVE-2022-1866","CVE-2021-948"],
3:["CVE-2022-1111","CVE-2017-10453"]
}。
需要说明的是,CVE-2020-1111的CWE编号为CWE-22,CVE-2022-1234的CWE编号为CWE-80,CVE-2022-1866的CWE编号为CWE-77,CVE-2021-948的CWE编号为CWE-81,CVE-2017-10453的CWE编号为CWE-224。
步骤S105、确定出所述攻击路径集合中每条攻击路径的CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合;
CVSS(Common Vulnerability Scoring System通用漏洞评分系统)评分为漏洞数据库中对漏洞的评分。
可选地,遍历攻击路径集合中的每一条路径的漏洞,生成每一条路径对应的漏洞集合;
通过查询攻击策略图谱,得到每一个漏洞对应的CAPEC攻击收益、CAPEC实施难度和攻击战术适用平台,通过查询漏洞库得到每一个漏洞的CVSS评分;
统计每一条路径对应的漏洞集合的CAPEC攻击收益、CAPEC实施难度、攻击战术适用平台和CVSS评分,然后对集合中的元素进行去重操作得到每条攻击路径的CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合。
步骤S106、根据所述CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合筛选所述攻击路径集合中的攻击路径。
可选地,所述根据所述CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合筛选所述攻击路径集合中的攻击路径,包括:
选取攻击路径集合中任意两条攻击路径,比较两条攻击路径的CAPEC攻击收益集合是否相同,若相同则比较CAPEC实施难度集合;
若只有一条攻击路径的CAPEC实施难度集合中存在High元素,则删除CAPEC实施难度集合中存在High元素的那条攻击路径;
若两条攻击路径的CAPEC实施难度集合中都存在High元素,则比较两条攻击路径的CVSS评分因子,删除CVSS评分因子数值低的攻击路径;
其中,取CVSS评分集合中CVSS评分的平均值作为攻击路径的CVSS评分因子。
示例性地,攻击路径集合为:
{
1:["CVE-2022-1111","CVE-2022-1234"],
2:["CVE-2022-1111","CVE-2022-1866","CVE-2021-948"],
3:["CVE-2022-1111","CVE-2017-10453"]
};
经过步骤S104和S105后得到:
CAPEC攻击收益集合:
{
1:["GainPrivileges---Confidentiality","AccessControl","ModifyData---Integrity","Read Data---Confidentiality"],
2:["AccessControl","ModifyData---Integrity","UnreliableExecution---Availability"],
3:["Unreliable Execution---Availability","Gain Privileges---Confidentiality"]
};
CAPEC实施难度集合:
{
1:["High","Medium"],
2:["Mediuml"],
3:["Low","Medium"]
};
攻击战术适用平台集合:
{
1:["Windows_7","Windwos_10","Ubuntu"],
2:["Ubuntu","CentOS"],
3:["Ubuntu","ArchLinux"]
};
CVSS评分集合:
{
1:[8.8,7.0],
2:[7.2,8.8,9.0],
3:[6.0,8.8]
};
CVSS评分因子集合:
{
1:7.9,
2:8.33,
3:7.4
};
生成攻击路径待执行集合:
{
2:["CVE-2022-1111","CVE-2022-1866","CVE-2021-948"],
3:["CVE-2022-1111","CVE-2017-10453"]
}。
可选地,路径规划方法还包括:
计算攻击路径的优先级r:
r=(S+lc*w)/l*v;
r为攻击路径的优先级;S为攻击路径漏洞得分;lc为攻击路径的CAPEC攻击收益集合长度;l为攻击路径长度;w、v为攻击路径优先级计算系数;
可选地,w=5;v=2。
式中,攻击路径的CAPEC攻击收益集合长度lc为攻击路径的CAPEC攻击收益集合中元素的个数;
攻击路径长度l为攻击路径上漏洞的个数。
式中,计算攻击路径漏洞得分S包括:
1)获取攻击路径上每个漏洞的CVSS评分;
2)将每个漏洞的CVSS评分相加得到CVSS评分总和;
3)统计CVSS评分大于阈值的漏洞个数,将漏洞个数乘得分系数加上CVSS评分总和得到攻击路径漏洞得分。
具体的,阈值的确定参考实际测试目标的安全风险保护等级动态调整,一般认为阈值根据目标安全风险保护等级的不同,可以取5/7/9三个数字,CVSS评分阈值越低,则目标安全风险保护等级越高,攻击路径漏洞得分越高。
优选的,所述得分系数可根据实际的情况进行选择,例如,得分系数为5或者其他可选的数字。
需要说明的是,S+lc*w为执行该路径的收益指数,除以l*v后得到的是该路径上每个漏洞的平均收益指数,平均收益指数更高的漏洞所在的路径优先级更高。
示例性地,
CAPEC攻击收益集合:
{
1:["GainPrivileges---Confidentiality","AccessControl","ModifyData---Integrity","Read Data---Confidentiality"],
2:["AccessControl","ModifyData---Integrity","UnreliableExecution---Availability"],
3:["Unreliable Execution---Availability","Gain Privileges---Confidentiality"]
};
CAPEC实施难度集合:
{
1:["High","Medium"],
2:["Mediuml"],
3:["Low","Medium"]
};
攻击战术适用平台集合:
{
1:["Windows_7","Windwos_10","Ubuntu"],2:["Ubuntu","CentOS"],
3:["Ubuntu","ArchLinux"]
};
CVSS评分集合:
{
1:[8.8,7.0],
2:[7.2,8.8,9.0],
3:[6.0,8.8]
};
CVSS评分因子集合:
{
1:7.9,
2:8.33,
3:7.4
};
生成攻击路径待执行集合:
{
2:["CVE-2022-1111","CVE-2022-1866","CVE-2021-948"],3:["CVE-2022-1111","CVE-2017-10453"]
}。
通过优先级计算后得到的具备优先级排序的攻击路径集合为:{
1:["CVE-2022-1111","CVE-2022-1866","CVE-2021-948"],
2:["CVE-2022-1111","CVE-2017-10453"]
}。
综上所述,本实施例通过构建的攻击策略图谱可以快速查询到漏洞的相关信息,进而利用漏洞的相关信息可以生成丰富的渗透测试的攻击路径,并且可以提高渗透测试的效率。
实施例二
本发明的一个实施例公开一种渗透测试的路径规划装置,如图3所示,包括:
图谱构建模块301,用于构建攻击策略图谱;所述攻击策略图谱中包括漏洞的相关信息;
第一获取模块302,用于获取测试目标的初始信息,所述初始信息包括IP和组件信息;
第二获取模块303,根据所述组件信息获取与所述IP对应的漏洞的信息,所述漏洞的信息包括CWE编号;
第一确定模块304,根据所述CWE编号查询攻击策略图谱确定所述IP的攻击路径集合;
第二确定模块305,用于查询所述攻击策略图谱和漏洞库确定所述攻击路径集合中每条攻击路径的CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合;
筛选模块306,根据所述CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合筛选所述攻击路径集合中的攻击路径。
可选地,图谱构建模块301,通过获取CWE数据、CAPEC数据和ATT&CK数据,再根据CWE数据与CAPEC数据的关系和CAPEC数据与ATT&CK数据的关系,使用实体对齐方法构建攻击策略图谱。
可选地,第一获取模块302还用于检测组件信息中组件命名的格式,若格式不符合CPE标准格式,则根据欧式距离进行文本相似度计算,匹配相似度最高的标准CPE命名替代组件信息中的组件命名。
可选地,确定模块303可以根据CWE编号查询攻击策略图谱获得与CWE编号对应的CAPEC攻击方案归属和ATT&CK攻击阶段归属;再根据CAPEC攻击方案归属和ATT&CK攻击阶段归属确定漏洞在攻击路径上的位置;最后根据位置确定IP的攻击路径集合。
可选地,筛选模块306可以选取攻击路径集合中任意两条攻击路径,比较两条攻击路径的CAPEC攻击收益集合是否相同,若相同则比较CAPEC实施难度集合;
若只有一条攻击路径的CAPEC实施难度集合中存在High元素,则删除CAPEC实施难度集合中存在High元素的那条攻击路径;
若两条攻击路径的CAPEC实施难度集合中都存在High元素,则比较两条攻击路径的CVSS评分因子,删除CVSS评分因子数值低的攻击路径;
其中,取CVSS评分集合中CVSS评分的平均值作为攻击路径的CVSS评分因子。
可选地,路径规划装置30还包括计算模块(图3中未示出)用于计算攻击路径的优先级r;
计算攻击路径的优先级r:
r=(S+lc*w)/l*v;
r为攻击路径的优先级;S为攻击路径漏洞得分;lc为攻击路径的CAPEC攻击收益集合长度;l为攻击路径长度;w、v为攻击路径优先级计算系数;
可选地,w=5;v=2。
式中,攻击路径的CAPEC攻击收益集合长度lc为攻击路径的CAPEC攻击收益集合中元素的个数;
攻击路径长度l为攻击路径上漏洞的个数。
式中,计算攻击路径漏洞得分S包括:
1)获取攻击路径上每个漏洞的CVSS评分;
2)将每个漏洞的CVSS评分相加得到CVSS评分总和;
3)统计CVSS评分大于阈值的漏洞个数,将漏洞个数乘得分系数加上CVSS评分总和得到攻击路径漏洞得分。
本实施例中的更具体技术细节和有益效果与实施例一中所述内容相同,请参照实施例一,在此就不一一赘述。
实施例三
本发明实施例还提供了一种计算机电子设备,图4示出了可以应用本发明实施例的电子设备的结构示意图,如图4所示,该计算机电子设备包括,中央处理模块(CPU)401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储部分408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM 403中,还存储有系统操作所需的各种程序和数据。CPU 401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
以下部件连接至I/O接口405:包括键盘、鼠标等的输入部分406;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分407;包括硬盘等的存储部分408;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至I/O接口405。可拆卸介质411,诸如磁盘、光盘、磁光盘、半导体存储器等,根据需要安装在驱动器410上,以便于从其上读出的计算机程序根据需要被安装入存储部分408。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,所述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块或模块也可以设置在处理器中,例如,可以描述为:一种处理器包括图谱构建模块301、第一获取模块302、第二获取模块303、第一确定模块304、第二确定模块305和筛选模块306。
其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,第一确定模块303还可以被描述为“根据所述CWE编号查询攻击策略图谱确定所述IP的攻击路径集合的第一确定模块303”。
实施例四
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中所述一种渗透测试的路径规划装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入电子设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本发明的一种渗透测试的路径规划方法。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。

Claims (9)

1.一种渗透测试的路径规划方法,其特征在于,包括:
构建攻击策略图谱;所述攻击策略图谱中包括漏洞的相关信息;
获取测试目标的初始信息;所述初始信息包括IP和组件信息;
根据所述组件信息获取与所述IP对应的漏洞的信息,所述漏洞的信息包括CWE编号;
根据所述CWE编号查询攻击策略图谱中漏洞的相关信息,确定出所述IP的攻击路径集合;
确定出所述攻击路径集合中每条攻击路径的CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合;
根据所述CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合筛选所述攻击路径集合中的攻击路径;
所述攻击策略图谱的构建包括:
获取CWE数据、CAPEC数据和ATT&CK数据;
根据所述CWE数据与所述CAPEC数据的关系和所述CAPEC数据与所述ATT&CK数据的关系,使用实体对齐方法构建所述攻击策略图谱;
在所述攻击策略图谱中建立实体属性列表和实体关系列表;其中,实体属性列表中包括CWE、CAPEC和ATTCK在内的实体以及对应的属性和备注、数据类型和实例数据;实体CWE的备注中包括CWE编号;
实体关系中包括CWE数据与CWE数据的关系,CWE数据与CAPEC数据的关系,CAPEC数据与ATT&CK数据的关系,以及CWE数据与ATT&CK数据的关系;
基于所述攻击策略图谱,通过CWE编号根据CWE数据与CAPEC数据的关系查询到CAPEC攻击方案归属,进而根据CAPEC数据与ATT&CK数据的关系查询到ATT&CK攻击阶段归属;根据CAPEC攻击方案归属和ATT&CK攻击阶段归属确定所述漏洞在攻击路径上的位置确定包括漏洞在攻击路径上的位置在内的漏洞的相关信息。
2.根据权利要求1所述的渗透测试的路径规划方法,其特征在于,
检测所述组件信息中组件命名的格式是否符合CPE标准格式;不符合,则进行文本相似度匹配,将相似度最高的标准CPE命名替代所述组件信息中的组件命名。
3.根据权利要求1所述的渗透测试的路径规划方法,其特征在于,
根据所述CWE编号查询攻击策略图谱确定所述IP的攻击路径集合,包括:
根据所述CWE编号查询所述攻击策略图谱获得与所述CWE编号对应的CAPEC攻击方案归属和ATT&CK攻击阶段归属;
根据所述CAPEC攻击方案归属和ATT&CK攻击阶段归属确定所述漏洞在攻击路径上的位置;
根据所述位置确定所述IP的攻击路径集合。
4.根据权利要求1所述的渗透测试的路径规划方法,其特征在于,
根据所述CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合筛选所述攻击路径集合中的攻击路径,包括:
选取所述攻击路径集合中任意两条攻击路径,比较两条攻击路径的所述CAPEC攻击收益集合是否相同;若相同,则比较所述CAPEC实施难度集合;
若只有一条攻击路径的所述CAPEC实施难度集合中存在High元素,则删除所述CAPEC实施难度集合中存在High元素的那条攻击路径;
若两条攻击路径的所述CAPEC实施难度集合中都存在High元素,则比较两条攻击路径的CVSS评分因子,删除所述CVSS评分因子数值低的攻击路径;
其中,取所述CVSS评分集合中CVSS评分的平均值作为攻击路径的所述CVSS评分因子。
5.根据权利要求1-4任一项所述的渗透测试的路径规划方法,其特征在于,
根据攻击路径的优先级r筛选出所述攻击路径集合中的攻击路径;
所述攻击路径的优先级r=(S+lc*w)/l*v;
其中,S为攻击路径漏洞得分;lc为攻击路径的CAPEC攻击收益集合长度;l为攻击路径长度;w、v为攻击路径优先级计算系数;
攻击路径的CAPEC攻击收益集合长度lc为攻击路径的CAPEC攻击收益集合中元素的个数;攻击路径长度l为攻击路径上漏洞的个数。
6.根据权利要求5所述的渗透测试的路径规划方法,其特征在于,
所述攻击路径漏洞得分S的计算方法,包括:
1)获取攻击路径上每个漏洞的CVSS评分;
2)将每个漏洞的CVSS评分相加得到CVSS评分总和;
3)统计CVSS评分大于阈值的漏洞个数,将漏洞个数乘得分系数加上CVSS评分总和得到攻击路径漏洞得分。
7.一种基于权利要求1-6任一项所述的渗透测试的路径规划方法的路径规划装置,其特征在于,包括:
图谱构建模块,用于构建攻击策略图谱;所述攻击策略图谱中包括漏洞的相关信息;
第一获取模块,用于获取测试目标的初始信息,所述初始信息包括IP和组件信息;
第二获取模块,根据所述组件信息获取与所述IP对应的漏洞的信息,所述漏洞的信息包括CWE编号;
第一确定模块,根据所述CWE编号查询攻击策略图谱确定所述IP的攻击路径集合;
第二确定模块,用于查询所述攻击策略图谱和漏洞库确定所述攻击路径集合中每条攻击路径的CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合;
筛选模块,根据所述CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合筛选所述攻击路径集合中的攻击路径。
8.一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-6任一项所述的渗透测试的路径规划方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6任一项所述的渗透测试的路径规划方法。
CN202310117222.0A 2023-02-15 2023-02-15 渗透测试的路径规划方法、装置、电子设备及存储介质 Active CN116260637B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310117222.0A CN116260637B (zh) 2023-02-15 2023-02-15 渗透测试的路径规划方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310117222.0A CN116260637B (zh) 2023-02-15 2023-02-15 渗透测试的路径规划方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN116260637A CN116260637A (zh) 2023-06-13
CN116260637B true CN116260637B (zh) 2023-11-07

Family

ID=86687521

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310117222.0A Active CN116260637B (zh) 2023-02-15 2023-02-15 渗透测试的路径规划方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN116260637B (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108270723A (zh) * 2016-12-30 2018-07-10 全球能源互联网研究院有限公司 一种电力网络预测攻击路径的获取方法
WO2020016340A1 (de) * 2018-07-18 2020-01-23 Consecom Ag Penetrationstestverfahren, computerprogramm und vorrichtung zur datenverarbeitung
CN110909364A (zh) * 2019-12-02 2020-03-24 西安工业大学 面向源代码双极性软件安全漏洞图谱构建方法
CN112804208A (zh) * 2020-12-30 2021-05-14 北京理工大学 一种基于攻击者特性指标的网络攻击路径预测方法
CN113239358A (zh) * 2021-03-11 2021-08-10 东南大学 基于知识图谱的开源软件漏洞挖掘方法
CN113392784A (zh) * 2021-06-18 2021-09-14 湖北中烟工业有限责任公司 一种基于漏洞指纹识别的应用安全检测任务自动编排方法
CN113949570A (zh) * 2021-10-18 2022-01-18 北京航空航天大学 一种基于攻击图的渗透测试攻击路径选择方法及系统
CN114091034A (zh) * 2021-11-12 2022-02-25 绿盟科技集团股份有限公司 一种安全渗透测试方法、装置、电子设备及存储介质
CN114257420A (zh) * 2021-11-29 2022-03-29 中国人民解放军63891部队 一种基于知识图谱的网络安全测试的生成方法
KR20220067521A (ko) * 2020-11-17 2022-05-24 주식회사 수호아이오 스마트 컨트랙트 코드 취약점 분석 장치 및 방법
CN114915475A (zh) * 2022-05-18 2022-08-16 中国联合网络通信集团有限公司 攻击路径的确定方法、装置、设备及存储介质
CN115357722A (zh) * 2022-07-06 2022-11-18 四维创智(北京)科技发展有限公司 一种漏洞情报的关联方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150121532A1 (en) * 2013-10-31 2015-04-30 Comsec Consulting Ltd Systems and methods for defending against cyber attacks at the software level
KR102153926B1 (ko) * 2017-08-10 2020-09-10 한국전자통신연구원 네트워크 보안 강화 장치 및 그 방법

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108270723A (zh) * 2016-12-30 2018-07-10 全球能源互联网研究院有限公司 一种电力网络预测攻击路径的获取方法
WO2020016340A1 (de) * 2018-07-18 2020-01-23 Consecom Ag Penetrationstestverfahren, computerprogramm und vorrichtung zur datenverarbeitung
CN110909364A (zh) * 2019-12-02 2020-03-24 西安工业大学 面向源代码双极性软件安全漏洞图谱构建方法
KR20220067521A (ko) * 2020-11-17 2022-05-24 주식회사 수호아이오 스마트 컨트랙트 코드 취약점 분석 장치 및 방법
CN112804208A (zh) * 2020-12-30 2021-05-14 北京理工大学 一种基于攻击者特性指标的网络攻击路径预测方法
CN113239358A (zh) * 2021-03-11 2021-08-10 东南大学 基于知识图谱的开源软件漏洞挖掘方法
CN113392784A (zh) * 2021-06-18 2021-09-14 湖北中烟工业有限责任公司 一种基于漏洞指纹识别的应用安全检测任务自动编排方法
CN113949570A (zh) * 2021-10-18 2022-01-18 北京航空航天大学 一种基于攻击图的渗透测试攻击路径选择方法及系统
CN114091034A (zh) * 2021-11-12 2022-02-25 绿盟科技集团股份有限公司 一种安全渗透测试方法、装置、电子设备及存储介质
CN114257420A (zh) * 2021-11-29 2022-03-29 中国人民解放军63891部队 一种基于知识图谱的网络安全测试的生成方法
CN114915475A (zh) * 2022-05-18 2022-08-16 中国联合网络通信集团有限公司 攻击路径的确定方法、装置、设备及存储介质
CN115357722A (zh) * 2022-07-06 2022-11-18 四维创智(北京)科技发展有限公司 一种漏洞情报的关联方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Vulnerabilities Mapping based on OWASP-SANS: a Survey for Static Application Security Testing (SAST);Jinfeng Li;《ARXIV》;全文 *
基于漏洞类型的漏洞可利用性量化评估系统;雷柯楠;张玉清;吴晨思;马华;;计算机研究与发展(第10期);全文 *

Also Published As

Publication number Publication date
CN116260637A (zh) 2023-06-13

Similar Documents

Publication Publication Date Title
Gottwalt et al. CorrCorr: A feature selection method for multivariate correlation network anomaly detection techniques
US11620389B2 (en) Method and system for reducing false positives in static source code analysis reports using machine learning and classification techniques
US9558230B2 (en) Data quality assessment
CN111160749B (zh) 一种情报质量评估和情报融合方法及装置
Ahmed et al. MITRE ATT&CK-driven cyber risk assessment
WO2017152877A1 (zh) 网络威胁事件评估方法及装置
US20200311486A1 (en) Testing bias checkers
CN111612675A (zh) 同行对象确定方法、装置、设备及存储介质
CN112422574A (zh) 风险账号的识别方法、装置、介质及电子设备
Domin et al. Improving plagiarism detection in coding assignments by dynamic removal of common ground
CN116846619A (zh) 一种自动化网络安全风险评估方法、系统及可读存储介质
CN113032834A (zh) 一种数据库表格处理方法、装置、设备及存储介质
CN115225336A (zh) 一种面向网络环境的漏洞可利用性的计算方法及装置
CN116260637B (zh) 渗透测试的路径规划方法、装置、电子设备及存储介质
CN112287039A (zh) 一种团伙识别方法及相关装置
CN107203720B (zh) 风险值计算方法及装置
Arafat et al. Analysis of intrusion detection dataset NSL-KDD using KNIME analytics
CN114491561A (zh) 一种评估安全漏洞处理优先级的方法及装置
Soman et al. An intelligent system for phish detection, using dynamic analysis and template matching
Kern et al. Strategic selection of data sources for cyber attack detection in enterprise networks: A survey and approach
CN116933274B (zh) 组织综合风险评价方法、电子设备及存储介质
CN114726651B (zh) 基于知识图谱的信息系统防御能力的评估方法和装置
Giachetti et al. Do I see what you see? Institutional quality, action observability, and multimarket contact in the global mobile phone industry
CN114598509B (zh) 一种确定脆弱性结果的方法及装置
La Prioritizing Cybersecurity Controls Based on the Coverage of Attack Techniques and Attack Probabilities

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant