CN116405246A - 一种基于攻防结合的漏洞利用链构建技术 - Google Patents
一种基于攻防结合的漏洞利用链构建技术 Download PDFInfo
- Publication number
- CN116405246A CN116405246A CN202310176121.0A CN202310176121A CN116405246A CN 116405246 A CN116405246 A CN 116405246A CN 202310176121 A CN202310176121 A CN 202310176121A CN 116405246 A CN116405246 A CN 116405246A
- Authority
- CN
- China
- Prior art keywords
- attack
- chain
- infection point
- event
- behaviors
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000005516 engineering process Methods 0.000 title claims abstract description 26
- 238000010276 construction Methods 0.000 title claims abstract description 19
- 230000007123 defense Effects 0.000 title claims abstract description 15
- 208000015181 infectious disease Diseases 0.000 claims abstract description 51
- 238000000034 method Methods 0.000 claims abstract description 31
- 230000008569 process Effects 0.000 claims abstract description 18
- 230000001364 causal effect Effects 0.000 claims abstract description 17
- 238000004458 analytical method Methods 0.000 claims abstract description 12
- 230000009471 action Effects 0.000 claims abstract description 7
- 238000004088 simulation Methods 0.000 claims abstract description 4
- 230000006399 behavior Effects 0.000 claims description 58
- 238000010586 diagram Methods 0.000 claims description 27
- 238000013507 mapping Methods 0.000 claims description 20
- 239000011159 matrix material Substances 0.000 claims description 10
- 238000013136 deep learning model Methods 0.000 claims description 6
- 238000011156 evaluation Methods 0.000 claims description 6
- 230000007246 mechanism Effects 0.000 claims description 6
- 230000035772 mutation Effects 0.000 claims description 6
- 238000012549 training Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 4
- 230000000694 effects Effects 0.000 claims description 3
- 238000002474 experimental method Methods 0.000 claims description 3
- 238000005065 mining Methods 0.000 claims description 3
- 230000000877 morphologic effect Effects 0.000 claims description 3
- 230000000750 progressive effect Effects 0.000 claims description 3
- 230000009467 reduction Effects 0.000 claims description 3
- 230000007704 transition Effects 0.000 claims description 3
- 230000035515 penetration Effects 0.000 abstract description 6
- 238000012038 vulnerability analysis Methods 0.000 abstract description 5
- 238000012360 testing method Methods 0.000 description 9
- 238000000605 extraction Methods 0.000 description 3
- 230000006378 damage Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000007614 genetic variation Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/906—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Mining & Analysis (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及漏洞分析利用技术领域,且公开了一种基于攻防结合的漏洞利用链构建技术,包括以下步骤:S1:建立溯源图数据库:进行APT攻击模拟实验后,采集系统相关的日志信息,包含进程启动、文件操作,同时设定不同系统实体之间的因果关系规则来进行捕获,一个完整的规则由Action、Type、Port组成,所有系统日志会被解析为溯源图的图结构,顶点分为进程顶点类型和对象顶点类型,边用事件发生的时间戳和事件类型代表具体的因果关系;S2:攻击溯源分析;据原始的溯源图信息,寻找初始感染点,而后从初始感染点出发,搜索到感染节点的路径,生成子图,形成攻击链图。本发明中的场景适应性强,满足典型资产渗透需求的同时,对特定场景也能提供攻击建议。
Description
技术领域
本发明涉及漏洞分析利用技术领域,具体为一种基于攻防结合的漏洞利用链构建技术。
背景技术
随着信息化时代的高速发展,计算机网络技术被广泛应用于各行各业,而网络的规模日益庞大、结构愈发复杂,网络攻击的出现频率和攻击造成的危害也在迅速提升。而在诸多网络攻击中,漏洞向来是造成网络空间安全问题的核心根源,近年来,漏洞数量呈显著增长态势,通过漏洞展开的攻击行为也变得越来越频繁,漏洞利用链攻击风险逐年增长。
国家计算机网络应急技术处理协调中心(CNCERT/CC)的年度网络安全工作报告中将漏洞攻击按类型进行统计,结果发现大部分攻击尤其是危害巨大的攻击几乎都是多步攻击,也即攻击者利用攻击目标本身存在的一些安全漏洞,采取蓄意的多步骤的攻击行为来达到最终攻击的目的,实现对攻击目标最终毁灭式的打击。绿盟科技发布的《2021攻击技术发展趋势报告》中也提出组合利用链的概念,例如2020年10月,WebLogic补丁中修复了Console组件命令执行漏洞CVE-2020-14883,但是此Console组件的漏洞需要登录认证后才能利用,远程攻击者组合利用CVE-2020-14882漏洞可绕过Console组件中的身份验证最终执行命令接管WebLogic服务器。
为了保证网络空间中业务的正常运作,需要依靠防御方的威胁评估和攻击方的渗透测试来发现风险,传统的威胁评估、渗透测试方法往往只考虑漏洞或攻击行为本身,忽略了其中的关联性,无法构建有效的漏洞利用链。因此,以分析完整的漏洞利用链为目的,发现和梳理网络空间中行为之间的潜在的、有价值的关系非常重要,是网络空间安全研究领域中的关键课题。在实际的攻防场景中,庞杂、冗余、分散、滞后的安全信息很难直接分析,需要进行综合处理,从中挖掘出隐藏逻辑,发现攻击者的真正意图,为了实现整个网络安全态势的有效监控,针对网络攻击检测、防御和响应,研究人员汇聚来自全球安全社区贡献的基于历史实战的高级威胁攻击战术、技术,形成了针对黑客行为描述的通用语言和黑客攻击抽象的知识库框架,即ATT&CK(Adversary Tactics and Techniques&CommonKnowledge)模型。现有漏洞利用链分析构建方法基于ATT&CK展开,根据不同的视角,主要分为攻击提取、漏洞分析等。
传统的漏洞分析技术分为三大类,动态分析、静态分析和动静结合的分析方法。动态分析技术是通过记录目标程序的执行轨迹,并进一步分析程序在运行时的内存读/写操作、函数调用关系、内存分配/释放等信息的一种漏洞分析方法,主要的技术为模糊测试(Fuzzing)。Ardilla采用动态污点追踪技术,能够检测二阶SQL注入、二阶XSS等两步触发的漏洞利用链。Waler通过动态分析推断正常行为规范,结合符号执行来检测逻辑类漏洞利用链。Pellegrino等人基于黑盒测试技术,通过模型推断构建导航图,提取行为和常见逻辑漏洞的攻击模式,生成潜在的漏洞测试用例,检测固定攻击模式的业务逻辑类漏洞利用链。三年后Pellegrino团队开发实现Deemon系统,通过构建针对目标Web应用的属性图,可检测跨站请求伪造(Cross Site Request Forgery,CSRF)类漏洞利用链。SrFuzzer系统是一个用于测试家用路由器设备的自动化模糊测试框架。它利用两个输人语义模型(即KEY-VALUE数据模型和CONF-READ通信模型)生成存在特定语义关联的请求序列,并针对所生成的请求序列进行模糊测试。该方法能够发现触发模式相对固定的两步触发漏洞利用链。
目前围绕漏洞利用链分析的研究还比较少,防御方视角主要集中于从公开的威胁情报或真实APT攻击数据中提取漏洞利用链的攻击知识,攻击方视角主要集中于面向特定目标系统或特定触发模式的漏洞利用链分析方面。
发明内容
本发明的目的在于提供了一种基于攻防结合的漏洞利用链构建技术,解决了上述背景中所提出的问题。
为实现上述目的,本发明提供如下技术方案:一种基于攻防结合的漏洞利用链构建技术,包括以下步骤:
S1:建立溯源图数据库
进行APT攻击模拟实验后,采集系统相关的日志信息,包含进程启动、文件操作,同时设定不同系统实体之间的因果关系规则来进行捕获,一个完整的规则由Action、Type、Port组成,所有系统日志会被解析为溯源图的图结构,顶点分为进程顶点类型和对象顶点类型,边用事件发生的时间戳和事件类型代表具体的因果关系;
S2:攻击溯源分析
据原始的溯源图信息,寻找初始感染点,而后从初始感染点出发,搜索到感染节点的路径,生成子图,形成攻击链图;
S3:威胁分数评估
首先将攻击链图拆分,将每条路径拆分为子图,而后计算攻击链子图中的各个节点的威胁分数评估,依据攻击类型枚举和分类数据集,采取两个风险评估指标:“攻击可能性”和“典型严重性”,计算独立节点评分后,依托战术杀伤链的有序阶段,设置对应边的权重,节点之间的跃迁乘以权重的系数,得到攻击展开的威胁数值,而后组合所有攻击展开的步骤,通过累乘扩大不同攻击链的数值差异性,根据模拟APT实验的真实攻击链路设置分数阈值,将超过阈值的攻击链记录为有效攻击链,而后对有效攻击链进行全面还原,还原其中被删除的正常业务操作等行为,构建漏洞利用链,作为原始攻击样本;
S4:序列拆分
将完整的漏洞利用链拆分为单步攻击的模式,将步骤之间的节点视为不同的对象,边视为不同的行为,以此构建初始为攻击利用操作的恶意行为序列和初始为正常业务操作的良性行为序列;
S5:序列词形还原
根据原始的溯源图信息对行为序列进行还原操作,将节点还原为进程顶点类型或对象顶点,将边还原为具体的操作行为,比如打开、执行、连接等等,使用词形还原emmatization将序列转换为表示用于语义解释的序列模式的通用文本,构建词汇表,根据词的细粒度语义分为四种不同的类型:进程、文件、网络和动作,找到所有节点并将它们中的每一个映射到相应的词汇表;
S6:平衡序列生成
恶意行为和良性行为的数量极度不平衡会使映射结果偏向于多数类或无法利用少数类,为了平衡训练数据集,首先对具有一定相似度阈值的良性行为进行欠采样,然后,它使用过采样机制随机变异恶意行为,直到它们的总数达到相同数量,欠采样的定义为通过Levenshtein距离减少良性行为的数量,以计算词形化序列之间的相似性,然后,当它们的相似性超过确定的阈值时,它会过滤掉结果,过采样定义为采用基于突变的过采样机制,将更多种类的恶意行为包含在原子行为集合中;
S7:技战术映射
将最终获取到的行为集合基于ATT&CK框架进行映射,将具体的原子行为映射到技战术类别中;
S8:深度学习模型训练
将真实的漏洞利用链作为原始样本,其对应的技战术映射关系设置为规则,采用深度学习模型为数据的高层次摘要进行建模,挖掘出更多数据中潜藏的模式;
S9:技战术矩阵点亮
将挖掘到的关联模式映射到ATT&CK所对应的技战术矩阵中,点亮相应的类别,类别的关系依托于规则,具体的操作内容来源于原子的行为序列;
S10:漏洞利用链智能推演构建
将最终点亮的技战术矩阵通过步骤的递进和场景的需求对原子行为序列进行组装重构,辅以变异算法提升攻击多样性,最终形成漏洞利用链集合,进行初步串联验证,根据效果从集合中提取可用的漏洞利用链,作为新的攻击方式。
优选的,S2步骤包括以下具体步骤:
S21:生成初始感染点图
初始感染点的定义为对应于生成一个警报事件E的过程,从E向后跟踪,溯源图中不包含其他警报事件,初始感染点图的定义为给定一个溯源图G<V,E>和警报事件E发生于IIP节点V上,该初始感染点图G’<V’,E’>是一个以V为根的图,其中e∈E’,如果e与E有因果关系,并且e是一个警报事件或一个引发警报事件的事件,系统根据以上规则首先在原始溯源图中定位初始感染点,而后删除初始感染点之前的节点和边,简化关系;
S22:以初始感染点为始,向后搜寻初始感染点图,将搜索到的警告事件标记为感染点,每条攻击链以最后一个感染点为终,连接初始感染点和感染点,简化其中边与节点,其连接的边需满足一个条件即可,最终攻击链图的节点表示警报事件,边表示攻击的时间顺序和因果关联。
优选的,S22步骤中的满足条件为:
(1)、ea和eb是同一台主机和同一溯源路径上的警报,且ea是eb前向的因果关系。
(2)、ea和eb是同一主机上的警报,且ea顶点的时间戳小于eb。
(3)、ea在一台主机上有一个传出的连接事件边,且eb有一个回应的接收事件边。
本发明提供了一种基于攻防结合的漏洞利用链构建技术。该基于攻防结合的漏洞利用链构建技术具备以下有益效果:
(1)、本发明通过分析攻击样本生成新型攻击模式,提升攻击手法的多样性。
(2)、本发明构建的漏洞利用链步骤更加完整,且长度更长。
(3)、本发明中的场景适应性强,满足典型资产渗透需求的同时,对特定场景也能提供攻击建议。
(4)、本发明中的智能程度更高,减少自动渗透测试的冗余操作,提高效率。
附图说明
图1为本发明基于攻防结合的漏洞利用链构建技术的结构示意图;
图2为本发明基于溯源图方法的防御视角攻击检测结构示意图;
图3为本发明行为提取和原子序列映射技术结构示意图;
图4为本发明漏洞利用链智能推演构建技术示意图结构示意图。
具体实施方式
如图1-4所示,本发明提供一种技术方案:一种基于攻防结合的漏洞利用链构建技术,包括以下步骤:
S1:建立溯源图数据库
进行APT攻击模拟实验后,采集系统相关的日志信息,包含进程启动、文件操作,同时设定不同系统实体之间的因果关系规则来进行捕获,一个完整的规则由Action、Type、Port组成,所有系统日志会被解析为溯源图的图结构,顶点分为进程顶点类型和对象顶点类型,边用事件发生的时间戳和事件类型代表具体的因果关系;
S2:攻击溯源分析
据原始的溯源图信息,寻找初始感染点,而后从初始感染点出发,搜索到感染节点的路径,生成子图,形成攻击链图;
S2步骤包括以下具体步骤:
S21:生成初始感染点图
初始感染点的定义为对应于生成一个警报事件E的过程,从E向后跟踪,溯源图中不包含其他警报事件,初始感染点图的定义为给定一个溯源图G<V,E>和警报事件E发生于IIP节点V上,该初始感染点图G’<V’,E’>是一个以V为根的图,其中e∈E’,如果e与E有因果关系,并且e是一个警报事件或一个引发警报事件的事件,系统根据以上规则首先在原始溯源图中定位初始感染点,而后删除初始感染点之前的节点和边,简化关系;
S22:以初始感染点为始,向后搜寻初始感染点图,将搜索到的警告事件标记为感染点,每条攻击链以最后一个感染点为终,连接初始感染点和感染点,简化其中边与节点,其连接的边需满足以下任一条件即可:
(1)、ea和eb是同一台主机和同一溯源路径上的警报,且ea是eb前向的因果关系。
(2)、ea和eb是同一主机上的警报,且ea顶点的时间戳小于eb。
(3)、ea在一台主机上有一个传出的连接事件边,且eb有一个回应的接收事件边;
最终攻击链图的节点表示警报事件,边表示攻击的时间顺序和因果关联;
S3:威胁分数评估
首先将攻击链图拆分,将每条路径拆分为子图,而后计算攻击链子图中的各个节点的威胁分数评估,依据攻击类型枚举和分类数据集,采取两个风险评估指标:“攻击可能性”和“典型严重性”,计算独立节点评分后,依托战术杀伤链的有序阶段,设置对应边的权重,节点之间的跃迁乘以权重的系数,得到攻击展开的威胁数值,而后组合所有攻击展开的步骤,通过累乘扩大不同攻击链的数值差异性,根据模拟APT实验的真实攻击链路设置分数阈值,将超过阈值的攻击链记录为有效攻击链,而后对有效攻击链进行全面还原,还原其中被删除的正常业务操作等行为,构建漏洞利用链,作为原始攻击样本;
S4:序列拆分
将完整的漏洞利用链拆分为单步攻击的模式,将步骤之间的节点视为不同的对象,边视为不同的行为,以此构建初始为攻击利用操作的恶意行为序列和初始为正常业务操作的良性行为序列;
S5:序列词形还原
根据原始的溯源图信息对行为序列进行还原操作,将节点还原为进程顶点类型或对象顶点,将边还原为具体的操作行为,比如打开、执行、连接等等,使用词形还原emmatization将序列转换为表示用于语义解释的序列模式的通用文本,构建词汇表,根据词的细粒度语义分为四种不同的类型:进程、文件、网络和动作,找到所有节点并将它们中的每一个映射到相应的词汇表;
S6:平衡序列生成
恶意行为和良性行为的数量极度不平衡会使映射结果偏向于多数类或无法利用少数类,为了平衡训练数据集,首先对具有一定相似度阈值的良性行为进行欠采样,然后,它使用过采样机制随机变异恶意行为,直到它们的总数达到相同数量,欠采样的定义为通过Levenshtein距离减少良性行为的数量,以计算词形化序列之间的相似性,然后,当它们的相似性超过确定的阈值时,它会过滤掉结果,过采样定义为采用基于突变的过采样机制,将更多种类的恶意行为包含在原子行为集合中;
S7:技战术映射
将最终获取到的行为集合基于ATT&CK框架进行映射,将具体的原子行为映射到技战术类别中;
S8:深度学习模型训练
将真实的漏洞利用链作为原始样本,其对应的技战术映射关系设置为规则,采用深度学习模型为数据的高层次摘要进行建模,挖掘出更多数据中潜藏的模式;
S9:技战术矩阵点亮
将挖掘到的关联模式映射到ATT&CK所对应的技战术矩阵中,点亮相应的类别,类别的关系依托于规则,具体的操作内容来源于原子的行为序列;
S10:漏洞利用链智能推演构建
将最终点亮的技战术矩阵通过步骤的递进和场景的需求对原子行为序列进行组装重构,辅以变异算法提升攻击多样性,最终形成漏洞利用链集合,进行初步串联验证,根据效果从集合中提取可用的漏洞利用链,作为新的攻击方式。
综上可得,本发明基于溯源图的攻击检测技术提取真实APT事件中的攻击序列知识,包含良性的正常业务操作和恶意的攻击利用操作,通过ATT&CK矩阵映射技战术,将原子攻击行为的组合为序列的技术,明确各漏洞利用方法以及攻击行为之间的逻辑关系,进而实现漏洞利用链的构建,提升对目标的攻击强度。构建原始攻击样本后,基于强化学习等方法训练模型,实现对漏洞利用链规则的自动推理和遗传变异,用于自动化渗透测试的智能攻击。
Claims (3)
1.一种基于攻防结合的漏洞利用链构建技术,其特征在于:包括以下步骤:
S1:建立溯源图数据库
进行APT攻击模拟实验后,采集系统相关的日志信息,包含进程启动、文件操作,同时设定不同系统实体之间的因果关系规则来进行捕获,一个完整的规则由Action、Type、Port组成,所有系统日志会被解析为溯源图的图结构,顶点分为进程顶点类型和对象顶点类型,边用事件发生的时间戳和事件类型代表具体的因果关系;
S2:攻击溯源分析
据原始的溯源图信息,寻找初始感染点,而后从初始感染点出发,搜索到感染节点的路径,生成子图,形成攻击链图;
S3:威胁分数评估
首先将攻击链图拆分,将每条路径拆分为子图,而后计算攻击链子图中的各个节点的威胁分数评估,依据攻击类型枚举和分类数据集,采取两个风险评估指标:“攻击可能性”和“典型严重性”,计算独立节点评分后,依托战术杀伤链的有序阶段,设置对应边的权重,节点之间的跃迁乘以权重的系数,得到攻击展开的威胁数值,而后组合所有攻击展开的步骤,通过累乘扩大不同攻击链的数值差异性,根据模拟APT实验的真实攻击链路设置分数阈值,将超过阈值的攻击链记录为有效攻击链,而后对有效攻击链进行全面还原,还原其中被删除的正常业务操作等行为,构建漏洞利用链,作为原始攻击样本;
S4:序列拆分
将完整的漏洞利用链拆分为单步攻击的模式,将步骤之间的节点视为不同的对象,边视为不同的行为,以此构建初始为攻击利用操作的恶意行为序列和初始为正常业务操作的良性行为序列;
S5:序列词形还原
根据原始的溯源图信息对行为序列进行还原操作,将节点还原为进程顶点类型或对象顶点,将边还原为具体的操作行为,比如打开、执行、连接等等,使用词形还原emmatization将序列转换为表示用于语义解释的序列模式的通用文本,构建词汇表,根据词的细粒度语义分为四种不同的类型:进程、文件、网络和动作,找到所有节点并将它们中的每一个映射到相应的词汇表;
S6:平衡序列生成
恶意行为和良性行为的数量极度不平衡会使映射结果偏向于多数类或无法利用少数类,为了平衡训练数据集,首先对具有一定相似度阈值的良性行为进行欠采样,然后,它使用过采样机制随机变异恶意行为,直到它们的总数达到相同数量,欠采样的定义为通过Levenshtein距离减少良性行为的数量,以计算词形化序列之间的相似性,然后,当它们的相似性超过确定的阈值时,它会过滤掉结果,过采样定义为采用基于突变的过采样机制,将更多种类的恶意行为包含在原子行为集合中;
S7:技战术映射
将最终获取到的行为集合基于ATT&CK框架进行映射,将具体的原子行为映射到技战术类别中;
S8:深度学习模型训练
将真实的漏洞利用链作为原始样本,其对应的技战术映射关系设置为规则,采用深度学习模型为数据的高层次摘要进行建模,挖掘出更多数据中潜藏的模式;
S9:技战术矩阵点亮
将挖掘到的关联模式映射到ATT&CK所对应的技战术矩阵中,点亮相应的类别,类别的关系依托于规则,具体的操作内容来源于原子的行为序列;
S10:漏洞利用链智能推演构建
将最终点亮的技战术矩阵通过步骤的递进和场景的需求对原子行为序列进行组装重构,辅以变异算法提升攻击多样性,最终形成漏洞利用链集合,进行初步串联验证,根据效果从集合中提取可用的漏洞利用链,作为新的攻击方式。
2.根据权利要求1所述的一种基于攻防结合的漏洞利用链构建技术,其特征在于:S2步骤包括以下具体步骤:
S21:生成初始感染点图
初始感染点的定义为对应于生成一个警报事件E的过程,从E向后跟踪,溯源图中不包含其他警报事件,初始感染点图的定义为给定一个溯源图G<V,E>和警报事件E发生于IIP节点V上,该初始感染点图G’<V’,E’>是一个以V为根的图,其中e∈E’,如果e与E有因果关系,并且e是一个警报事件或一个引发警报事件的事件,系统根据以上规则首先在原始溯源图中定位初始感染点,而后删除初始感染点之前的节点和边,简化关系;
S22:以初始感染点为始,向后搜寻初始感染点图,将搜索到的警告事件标记为感染点,每条攻击链以最后一个感染点为终,连接初始感染点和感染点,简化其中边与节点,其连接的边需满足一个条件即可,最终攻击链图的节点表示警报事件,边表示攻击的时间顺序和因果关联。
3.根据权利要求2所述的一种基于攻防结合的漏洞利用链构建技术,其特征在于:S22步骤中的满足条件为:
(1)、ea和eb是同一台主机和同一溯源路径上的警报,且ea是eb前向的因果关系。
(2)、ea和eb是同一主机上的警报,且ea顶点的时间戳小于eb。
(3)、ea在一台主机上有一个传出的连接事件边,且eb有一个回应的接收事件边。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310176121.0A CN116405246A (zh) | 2023-02-24 | 2023-02-24 | 一种基于攻防结合的漏洞利用链构建技术 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310176121.0A CN116405246A (zh) | 2023-02-24 | 2023-02-24 | 一种基于攻防结合的漏洞利用链构建技术 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116405246A true CN116405246A (zh) | 2023-07-07 |
Family
ID=87009309
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310176121.0A Pending CN116405246A (zh) | 2023-02-24 | 2023-02-24 | 一种基于攻防结合的漏洞利用链构建技术 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116405246A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116545714A (zh) * | 2023-05-17 | 2023-08-04 | 广州银汉科技有限公司 | 一种基于规则引擎的防Web攻击反应系统 |
CN116633682A (zh) * | 2023-07-14 | 2023-08-22 | 深圳齐杉科技有限公司 | 一种基于安全产品风险威胁的智能识别方法及系统 |
CN116743502A (zh) * | 2023-08-11 | 2023-09-12 | 四川新立高科科技有限公司 | 电力系统网络攻击检测方法、装置、电子设备及存储介质 |
CN116886379A (zh) * | 2023-07-21 | 2023-10-13 | 鹏城实验室 | 网络攻击重构方法、模型的训练方法及相关装置 |
CN117692252A (zh) * | 2024-01-31 | 2024-03-12 | 鹏城实验室 | 渗透测试路线规划方法和装置、电子设备及存储介质 |
-
2023
- 2023-02-24 CN CN202310176121.0A patent/CN116405246A/zh active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116545714A (zh) * | 2023-05-17 | 2023-08-04 | 广州银汉科技有限公司 | 一种基于规则引擎的防Web攻击反应系统 |
CN116633682A (zh) * | 2023-07-14 | 2023-08-22 | 深圳齐杉科技有限公司 | 一种基于安全产品风险威胁的智能识别方法及系统 |
CN116633682B (zh) * | 2023-07-14 | 2023-10-17 | 深圳齐杉科技有限公司 | 一种基于安全产品风险威胁的智能识别方法及系统 |
CN116886379A (zh) * | 2023-07-21 | 2023-10-13 | 鹏城实验室 | 网络攻击重构方法、模型的训练方法及相关装置 |
CN116886379B (zh) * | 2023-07-21 | 2024-05-14 | 鹏城实验室 | 网络攻击重构方法、模型的训练方法及相关装置 |
CN116743502A (zh) * | 2023-08-11 | 2023-09-12 | 四川新立高科科技有限公司 | 电力系统网络攻击检测方法、装置、电子设备及存储介质 |
CN116743502B (zh) * | 2023-08-11 | 2023-11-14 | 四川新立高科科技有限公司 | 电力系统网络攻击检测方法、装置、电子设备及存储介质 |
CN117692252A (zh) * | 2024-01-31 | 2024-03-12 | 鹏城实验室 | 渗透测试路线规划方法和装置、电子设备及存储介质 |
CN117692252B (zh) * | 2024-01-31 | 2024-04-16 | 鹏城实验室 | 渗透测试路线规划方法和装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN116405246A (zh) | 一种基于攻防结合的漏洞利用链构建技术 | |
EP3216193B1 (en) | Recombinant threat modeling | |
CN112235283A (zh) | 一种基于脆弱性描述攻击图的电力工控系统网络攻击评估方法 | |
CN111209570B (zh) | 基于mitre att&ck创建安全闭环过程的方法 | |
CN106789233B (zh) | 一种网络攻防实验平台的自动评分方法及装置 | |
CN114398643A (zh) | 渗透路径规划方法、装置、计算机和存储介质 | |
CN112269316A (zh) | 一种基于图神经网络的高鲁棒性威胁狩猎系统与方法 | |
CN113965469B (zh) | 网络数据分析模型的构建方法 | |
CN115277127A (zh) | 基于系统溯源图搜索匹配攻击模式的攻击检测方法及装置 | |
Wang et al. | Intelligent prediction of vulnerability severity level based on text mining and XGBboost | |
CN116566674A (zh) | 自动化渗透测试方法、系统、电子设备及存储介质 | |
CN116527288A (zh) | 基于知识图谱的网络攻击安全风险评估系统及方法 | |
Bai et al. | Dynamic k-gram based software birthmark | |
CN112001423B (zh) | Apt恶意软件组织的开集识别方法、装置、设备和介质 | |
CN116074092B (zh) | 一种基于异构图注意力网络的攻击场景重构系统 | |
CN115567325B (zh) | 一种基于图匹配的威胁狩猎方法 | |
Zhu et al. | Business process mining based insider threat detection system | |
CN115333806A (zh) | 渗透测试攻击路径规划方法、装置、电子设备及存储介质 | |
CN115473667A (zh) | 一种基于子图匹配的apt攻击序列检测方法 | |
Abbass et al. | Evaluation of security risks using Apriori algorithm | |
CN118171271B (zh) | 一种数据库的安全监测方法、系统及终端 | |
CN115051833B (zh) | 一种基于终端进程的互通网络异常检测方法 | |
Chen | Using data mining technology to detect unknown network security threats in power system digital transformation | |
CN118194308B (zh) | 一种智能化数据库安全测试平台及方法 | |
KR102592624B1 (ko) | 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |