CN117240522A - 基于攻击事件模型的漏洞智能挖掘方法 - Google Patents

Abstract

本发明涉及漏洞挖掘技术领域。本发明涉及基于攻击事件模型的漏洞智能挖掘方法。其包括以下步骤：与网络日记建立连接，在网络日记中提取攻击事件和网络的环境变换数据；根据提取的攻击事件结合环境变换数据进行攻击质量筛选，获取攻击成功的攻击事件；本发明通过网络爬虫技术采集网络攻击数据对系统进行模拟攻击，并对攻击数据进行挑选，获取和本网络具有特性关联的数据，然后再将攻击数据进行多元化结合，形成多种攻击手段进行模拟攻击，避免攻击网络的手段进行更新，新的攻击手段上传至网络进行公开需要时间，而且有的攻击手段不会上传至网络进行公开，造成出现信息差，无法及时对系统进行保护更新。

Description

基于攻击事件模型的漏洞智能挖掘方法

技术领域

本发明涉及漏洞挖掘技术领域，具体地说，涉及基于攻击事件模型的漏洞智能挖掘方法。

背景技术

在目前对漏洞进行挖掘检测时，网络攻击路径分析是网络安全的关键问题之一，一般是通过采集网络攻击数据对系统进行模拟攻击，但随着网络时代的进步，黑客会将攻击手段进行多元化结合，使攻击网络的手段进行更新，新的攻击手段上传至网络进行公开需要时间，而且有的攻击手段不会上传至网络进行公开，造成出现信息差，无法及时对系统进行保护更新，因此，提出基于攻击事件模型的漏洞智能挖掘方法。

发明内容

本发明的目的在于提供基于攻击事件模型的漏洞智能挖掘方法，以解决上述背景技术中提出的问题。

为实现上述目的，提供了基于攻击事件模型的漏洞智能挖掘方法，包括以下步骤：

S1、与网络日记建立连接，在网络日记中提取攻击事件和网络的环境变换数据；

S2、根据S1提取的攻击事件结合环境变换数据进行攻击质量筛选，获取攻击成功的攻击事件；

S3、根据S2获取攻击成功的攻击事件建立攻击事件模型，并在攻击事件模型内对攻击事件进行特性提取，获取每个攻击事件的特性数据，根据特性数据对网络日记进行漏洞挖掘；

S4、采集网络中的攻击数据，并将获取的攻击数据结合S3获取的特性数据进行关联性筛选，获取和特性数据有关联的攻击数据，将有关联的攻击数据进行多元化结合输入至攻击事件模型对网络进行漏洞攻击模拟；

S5、根据S4漏洞攻击模拟的结果，若攻击成功，即将攻击出现的漏洞上传至网络日记进行漏洞修复。

作为本技术方案的进一步改进，所述S1通过API网络传输协议与网络日记建立连接，并使用事件分析法在网络日记中提取攻击事件和环境变换数据。

作为本技术方案的进一步改进，所述S2获取攻击成功的攻击事件的步骤如下:

S2.1、将S1提取的攻击事件和环境变换数据根据相同的时间进行筛选结合；

S2.2、根据S2.1结合之后攻击事件进行攻击质量筛选，若攻击事件对应的环境变换数据显示未攻击成功，即对下一个攻击事件进行筛选，若攻击事件对应的环境变换数据显示攻击成功，即将此攻击事件定义为有效攻击事件，并将有效攻击事件进行整合建立有效攻击数据库。

作为本技术方案的进一步改进，所述S3通过网络异常检测算法根据S2.2建立的有效攻击数据库建立攻击事件模型。

作为本技术方案的进一步改进，所述S3根据特性数据对网络日记进行漏洞挖掘的步骤如下：

S3.1、对有效攻击数据库内的有效攻击事件分解为事件序列，并基于序列模式挖掘方法，提取有效攻击事件序列的特征数据；

S3.2、根据S3.1获取的特性数据建立漏洞检测软件，并通过漏洞检测软件对网络日记进行漏洞挖掘。

作为本技术方案的进一步改进，所述S3.2通过漏洞检测软件对网络日记进行漏洞挖掘包括如下步骤：

S3.2.1、在网络日记中提取不同系统的攻击事件，并建立对应的攻击事件模型，然后将不同系统的攻击事件模型进行交叉分析，发现共同的漏洞行为和模式，并根据发现的漏洞行为和模式反向使用漏洞检测软件对系统进行检测。

作为本技术方案的进一步改进，述S4通过网络爬虫技术在网络中收集对系统漏洞进行攻击的攻击数据。

作为本技术方案的进一步改进，所述S4将有关联的攻击数据进行多元化结合输入至攻击事件模型对网络进行漏洞攻击模拟包括如下步骤：

S4.1、根据采集的攻击数据建立攻击数据库，并在攻击数据库结合S3.1获取的特征数据进行关联性筛选，若检测的攻击数据和特征数据具有关联性，即保留在攻击数据库中，若检测的攻击数据和特征数据不具有关联性，即将此攻击数据在攻击数据库中进行删除；

S4.2、将S4.1筛选完毕的攻击数据库内的攻击数据使用攻击手段结合算法将攻击数据进行多元化结合，形成多种攻击手段，在攻击事件模型中对本网络进行模拟攻击。

作为本技术方案的进一步改进，所述S5将攻击出现的漏洞上传至网络日记进行漏洞修复包括如下步骤：

S5.1、根据S4.2漏洞攻击模拟的结果，若攻击成功，即将攻击出现的漏洞上传至网络日记进行漏洞修复，若攻击失败，即更换攻击手段继续在攻击事件模型中对网络进行模拟攻击，并将攻击失败的攻击手段进行删除。

与现有技术相比，本发明的有益效果：

该基于攻击事件模型的漏洞智能挖掘方法中，通过网络爬虫技术采集网络攻击数据对系统进行模拟攻击，并对攻击数据进行挑选，获取和本网络具有特性关联的数据，然后再将攻击数据进行多元化结合，形成多种攻击手段进行模拟攻击，避免攻击网络的手段进行更新，新的攻击手段上传至网络进行公开需要时间，而且有的攻击手段不会上传至网络进行公开，造成出现信息差，无法及时对系统进行保护更新。

附图说明

图1为本发明的整体流程框图；

图2为本发明的获取攻击成功的攻击事件的流程框图；

图3为本发明的建立攻击事件模型的流程框图；

图4为本发明的攻击事件模型对网络进行漏洞攻击模拟的流程框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例

请参阅图1-图4所示，本实施例目的在于，提供了基于攻击事件模型的漏洞智能挖掘方法，包括以下步骤：

S1、与网络日记建立连接，在网络日记中提取攻击事件和网络的环境变换数据；

所述S1通过API网络传输协议与网络日记建立连接，并使用事件分析法在网络日记中提取攻击事件和环境变换数据。步骤如下：

确定网络日记存储位置和API接口：确定网络日记存储位置，并了解支持的API接口和协议，例如RESTful API、GraphQL等；

访问API接口：使用合适的方式(例如HTTP请求库)通过API接口访问网络日记数据。这可能需要提供相应的授权凭证(如API密钥)，以便进行身份验证和权限管理；

获取网络日记数据：通过API接口请求获取网络日记数据。可以指定时间范围、过滤条件等参数，以获取特定日期、特定类型的网络日记数据；

解析网络日记数据：根据网络日记的格式和数据结构，解析API返回的网络日记数据。这可能涉及到JSON/XML数据解析、数据字段提取等操作；

事件分析和模式识别：使用事件分析法来提取攻击事件和环境变换数据。可以根据攻击事件的关键词、特定字段值、异常模式等进行事件识别和分类；

环境变换数据提取：根据预定义的环境变换模式或规则，从网络日记中提取环境变换数据。可以根据网络连接的变更、设备状态的变化、异常行为的检测等进行环境变换数据的提取。

S2、根据S1提取的攻击事件结合环境变换数据进行攻击质量筛选，获取攻击成功的攻击事件；

所述S2获取攻击成功的攻击事件的步骤如下:

S2.1、将S1提取的攻击事件和环境变换数据根据相同的时间进行筛选结合；步骤如下：

获取攻击事件和环境变换数据：根据前面的步骤，获取提取的攻击事件和环境变换数据。这些数据可以是两个独立的数据集，其中攻击事件和环境变换数据都包含了时间戳字段；

时间对齐：通过时间戳字段将攻击事件和环境变换数据进行对齐。检查两个数据集的时间范围，并找到两个数据集之间的重叠时间段；

筛选与结合：根据重叠的时间段，筛选和结合攻击事件和环境变换数据。可以使用时间戳进行数据匹配，将相同时间戳的攻击事件数据和环境变换数据进行组合。

S2.2、根据S2.1结合之后攻击事件进行攻击质量筛选，若攻击事件对应的环境变换数据显示未攻击成功，即对下一个攻击事件进行筛选，若攻击事件对应的环境变换数据显示攻击成功，即将此攻击事件定义为有效攻击事件，并将有效攻击事件进行整合建立有效攻击数据库。步骤如下：

根据结合后的攻击事件和环境变换数据，获取攻击事件的信息和对应的环境变换数据；

判断攻击质量：针对每个攻击事件，通过环境变换数据进行攻击质量的筛选。若环境变换数据显示攻击成功，即说明该攻击事件是有效的攻击事件；若环境变换数据显示未攻击成功，即对下一个攻击事件进行筛选；

整合有效攻击事件：将有效的攻击事件整合并建立有效攻击数据库。可以使用数据库或其他存储系统来存储有效攻击事件的相关信息。

S3、根据S2获取攻击成功的攻击事件建立攻击事件模型；

所述S3通过网络异常检测算法根据S2.2建立的有效攻击数据库建立攻击事件模型。

步骤如下：

收集有效攻击数据库：将前面建立的有效攻击数据库作为训练数据集。这些数据包括攻击事件的时间戳、攻击类型、环境变换数据等信息；

特征工程：根据攻击事件数据，进行特征工程的过程，提取能够代表攻击模式和异常行为的关键特征。这可能包括从环境变换数据中提取统计特征、时间序列特征、网络流量特征等；

构建异常检测模型：选择适当的网络异常检测算法来建立攻击事件模型。常见的异常检测算法包括统计方法(如均值、标准差)、离群点检测、聚类、基于深度学习的方法等；

模型训练与优化：使用有效攻击事件数据库对建立的异常检测模型进行训练和优化。根据训练数据集中的正常行为和攻击行为，调整模型的参数和阈值，以提高模型在检测攻击事件上的性能和准确度；

模型评估与验证：使用独立的测试数据集对训练好的攻击事件模型进行评估和验证。通过计算模型的性能指标，如精确度、召回率和F1分数，来评估模型在检测攻击事件上的表现；

模型应用与持续监测：将训练好的攻击事件模型应用于实际场景中的网络异常检测任务。持续监测网络流量和事件数据，并使用建立的模型来检测新的攻击事件。

并在攻击事件模型内对攻击事件进行特性提取，获取每个攻击事件的特性数据，根据特性数据对网络日记进行漏洞挖掘；

所述S3根据特性数据对网络日记进行漏洞挖掘的步骤如下：

S3.1、对有效攻击数据库内的有效攻击事件分解为事件序列，并基于序列模式挖掘方法，提取有效攻击事件序列的特征数据；步骤如下：

数据准备：从有效攻击数据库中提取有效攻击事件的相关数据，包括时间戳、攻击类型、环境变换数据等；

事件序列化：将有效攻击事件按照时间顺序进行排序，形成事件序列。每个事件可以表示为一个具有时间戳和攻击类型的数据项；

序列模式挖掘：使用序列模式挖掘方法来发现有效攻击事件序列中的重复模式和关联规则。常用的序列模式挖掘方法包括序列频繁模式挖掘、序列关联规则挖掘等；

特征提取：根据挖掘得到的序列模式，从有效攻击事件序列中提取特征数据。特征可以包括频繁子序列、长度、间隔时间、序列开头和结尾等，工作原理如下：

通过F定义有效攻击事件序列的频繁子序列，其中F为频繁子序列的集合，包括频繁项以及其出现的频率；

通过freq(si)计算si构建频繁子序列的频繁度向量，其中，si为每个频繁子序列，freq(si)计算si在有效攻击事件序列中出现的频率，freq指的是序列中某个模式出现的次数或频次；

其他特征数据：根据具体需求，可以提取频繁子序列的长度、间隔时间等其他特征。

特征分析与选择：基于提取的特征数据进行分析和选择，以确定哪些特征对攻击事件的特征描述和分类有意义，可以使用统计方法、信息增益等指标来评估特征的重要性。

S3.2、根据S3.1获取的特性数据建立漏洞检测软件，并通过漏洞检测软件对网络日记进行漏洞挖掘，工作原理如下：

通过X，y表示特征数据，其中，X为特征矩阵，表示从网络日志中提取的特征数据，y为目标变量，表示漏洞的标签(有漏洞为正例，无漏洞为负例)；

通过f(X)将X作为输入，输出对应的漏洞检测结果，其中，f(X)表示漏洞检测模型；

通过训练数据对漏洞检测模型进行训练，调整模型参数，优化模型性能；优化方法可以采用梯度下降、交叉验证等方法；

将网络日志中的特征数据输入到漏洞检测模型中，通过f(X)获取漏洞检测结果，判断网络日志是否存在漏洞。

所述S3.2通过漏洞检测软件对网络日记进行漏洞挖掘包括如下步骤：

S3.2.1、在网络日记中提取不同系统的攻击事件，并建立对应的攻击事件模型，然后将不同系统的攻击事件模型进行交叉分析，发现共同的漏洞行为和模式，并根据发现的漏洞行为和模式反向使用漏洞检测软件对系统进行检测。步骤如下：

数据准备：收集不同系统的网络日记数据，包括不同系统的攻击事件数据。确保数据质量和格式的一致性；

攻击事件提取和标注：从网络日记数据中提取不同系统的攻击事件，将攻击事件进行标注和归类，以便后续建立攻击事件模型；

建立攻击事件模型：基于每个系统的攻击事件数据，分别建立对应的攻击事件模型。可以使用监督学习或无监督学习方法，根据特征数据和攻击事件的标签进行模型训练和优化；

交叉分析：将不同系统的攻击事件模型进行交叉分析，发现共同的漏洞行为和模式。可以比较不同系统的模型参数、特征重要性等，找出共同的漏洞行为和模式；

漏洞检测软件：根据发现的共同漏洞行为和模式，反向使用漏洞检测软件对系统进行检测。将网络日记数据输入到漏洞检测软件中，通过模型进行漏洞检测，并输出检测结果。

S4、采集网络中的攻击数据；

所述S4通过网络爬虫技术在网络中收集对系统漏洞进行攻击的攻击数据。步骤如下；

确定目标：明确要收集的系统漏洞攻击数据的目标。这可能是特定的系统、特定的漏洞类型或其他特定的攻击场景；

确定数据源：确定攻击数据的来源，例如公开的漏洞数据库、漏洞报告、黑客论坛等。这些来源可以提供有关已知漏洞和攻击技术的信息；

开发爬虫：使用网络爬虫技术开发一个自动化的程序，用于在目标数据源中收集攻击数据。爬虫程序可以访问网站页面、API或其他数据接口，并提取包含漏洞攻击数据的信息；

数据解析和处理：对收集到的攻击数据进行解析和处理。这可能涉及从HTML、JSON、XML等格式中提取有用的信息，并将其转换为可用的数据格式；

数据存储：将解析和处理后的攻击数据存储到适当的数据存储系统中，如数据库、文件系统或数据湖；

数据更新和监测：定期更新和监测数据源，以获取最新的漏洞攻击数据。可以使用爬虫程序定期运行，或设定定时任务来自动执行数据收集和更新操作。

并将获取的攻击数据结合S3获取的特性数据进行关联性筛选，获取和特性数据有关联的攻击数据，将有关联的攻击数据进行多元化结合输入至攻击事件模型对网络进行漏洞攻击模拟；

所述S4将有关联的攻击数据进行多元化结合输入至攻击事件模型对网络进行漏洞攻击模拟包括如下步骤：

S4.1、根据采集的攻击数据建立攻击数据库，并在攻击数据库结合S3.1获取的特征数据进行关联性筛选，若检测的攻击数据和特征数据具有关联性，即保留在攻击数据库中，若检测的攻击数据和特征数据不具有关联性，即将此攻击数据在攻击数据库中进行删除；步骤如下：

攻击数据收集和建立攻击数据库：根据前面提到的网络爬虫技术，收集对系统漏洞进行攻击的攻击数据，并将这些数据存储到攻击数据库中，确保数据的质量和完整性；

特征数据获取与转换：获取与攻击数据相关的特征数据，这可能包括攻击类型、攻击目标、攻击者信息、攻击时间等。如果特征数据不在攻击数据中，可能需要通过数据整合和关联操作，将两者关联起来；

关联性筛选：使用关联性分析方法(如关联规则、相似度分析等)对攻击数据和特征数据进行关联性筛选。可以使用公式或指标来度量攻击数据与特征数据之间的关联程度；

筛选与删除：根据关联性筛选的结果，保留具有关联性的攻击数据，并从攻击数据库中删除不具有关联性的攻击数据。这有助于提高攻击数据库的准确性和相关性，原理如下：

通过表示sim(A,F)表示攻击数据和特征数据相似度，其中，A为攻击数据向量，F为特征数据向量，sim()为两个向量之间的相似度，可以使用余弦相似度等度量方法进行计算；

在关联性筛选中，如果sim(A,F)>1，即认为攻击数据和特征数据具有关联性，保留该攻击数据，反之，如果sim(A,F)<＝1，即认为攻击数据和特征数据不具有关联性，删除该攻击数据。

S4.2、将S4.1筛选完毕的攻击数据库内的攻击数据使用攻击手段结合算法将攻击数据进行多元化结合，形成多种攻击手段，在攻击事件模型中对本网络进行模拟攻击。步骤如下：

攻击手段结合算法：根据筛选的攻击数据，将不同攻击手段进行结合。这可以通过算法、模型或规则等方法来组合攻击数据，并生成多元化的攻击手段；

攻击事件模型准备：准备本网络的攻击事件模型，包括网络拓扑、系统配置和漏洞等信息。这个模型将作为模拟攻击的目标和参考；

多元化攻击构建：将多元化的攻击手段和攻击事件模型进行结合，构建针对本网络的多种攻击场景。这可以是针对不同漏洞、不同攻击方式或不同网络区域的组合；

模拟攻击：使用构建好的多元化攻击场景对本网络进行模拟攻击。这可以通过模拟工具、测试环境或虚拟网络等方式实现；

攻击效果评估：评估模拟攻击对本网络的效果和影响。可以根据攻击事件的输出、系统响应、安全日志等指标来评估攻击的成功率、损害程度等。

S5、根据S4漏洞攻击模拟的结果，若攻击成功，即将攻击出现的漏洞上传至网络日记进行漏洞修复。

所述S5将攻击出现的漏洞上传至网络日记进行漏洞修复包括如下步骤：

S5.1、根据S4.2漏洞攻击模拟的结果，若攻击成功，即将攻击出现的漏洞上传至网络日记进行漏洞修复，若攻击失败，即更换攻击手段继续在攻击事件模型中对网络进行模拟攻击，并将攻击失败的攻击手段进行删除。步骤如下：

使用模拟攻击进行漏洞修复：根据攻击模拟的结果，如果攻击成功，即表示发现了漏洞，可以将攻击成功的漏洞信息上传至网络日志中，以支持漏洞修复工作；

漏洞修复：根据上传到网络日志中的攻击成功漏洞信息，进行相应的漏洞修复工作。这可能包括修补软件或系统漏洞、更新安全补丁、修改配置设置等；

更换攻击手段并继续攻击模拟：根据攻击模拟的结果，如果攻击失败，则说明当前的攻击手段不成功，需要更换攻击手段，并继续在攻击事件模型中对网络进行模拟攻击；

删除攻击失败的攻击手段：根据更换攻击手段的过程，将攻击失败的攻击手段从攻击事件模型中删除，以提高模拟攻击的效率和准确性。

以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的仅为本发明的优选例，并不用来限制本发明，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (9)

1.基于攻击事件模型的漏洞智能挖掘方法，其特征在于：包括以下步骤：

S1、与网络日记建立连接，在网络日记中提取攻击事件和网络的环境变换数据；

S2、根据S1提取的攻击事件结合环境变换数据进行攻击质量筛选，获取攻击成功的攻击事件；

S3、根据S2获取攻击成功的攻击事件建立攻击事件模型，并在攻击事件模型内对攻击事件进行特性提取，获取每个攻击事件的特性数据，根据特性数据对网络日记进行漏洞挖掘；

S4、采集网络中的攻击数据，并将获取的攻击数据结合S3获取的特性数据进行关联性筛选，获取和特性数据有关联的攻击数据，将有关联的攻击数据进行多元化结合输入至攻击事件模型对网络进行漏洞攻击模拟；

S5、根据S4漏洞攻击模拟的结果，若攻击成功，即将攻击出现的漏洞上传至网络日记进行漏洞修复。

2.根据权利要求1所述的基于攻击事件模型的漏洞智能挖掘方法，其特征在于：所述S1通过API网络传输协议与网络日记建立连接，并使用事件分析法在网络日记中提取攻击事件和环境变换数据。

3.根据权利要求1所述的基于攻击事件模型的漏洞智能挖掘方法，其特征在于：所述S2获取攻击成功的攻击事件的步骤如下:

S2.1、将S1提取的攻击事件和环境变换数据根据相同的时间进行筛选结合；

S2.2、根据S2.1结合之后攻击事件进行攻击质量筛选，若攻击事件对应的环境变换数据显示未攻击成功，即对下一个攻击事件进行筛选，若攻击事件对应的环境变换数据显示攻击成功，即将此攻击事件定义为有效攻击事件，并将有效攻击事件进行整合建立有效攻击数据库。

4.根据权利要求3所述的基于攻击事件模型的漏洞智能挖掘方法，其特征在于：所述S3通过网络异常检测算法根据S2.2建立的有效攻击数据库建立攻击事件模型。

5.根据权利要求1所述的基于攻击事件模型的漏洞智能挖掘方法，其特征在于：所述S3根据特性数据对网络日记进行漏洞挖掘的步骤如下：

S3.1、对有效攻击数据库内的有效攻击事件分解为事件序列，并基于序列模式挖掘方法，提取有效攻击事件序列的特征数据；

S3.2、根据S3.1获取的特性数据建立漏洞检测软件，并通过漏洞检测软件对网络日记进行漏洞挖掘。

6.根据权利要求1所述的基于攻击事件模型的漏洞智能挖掘方法，其特征在于：所述S3.2通过漏洞检测软件对网络日记进行漏洞挖掘包括如下步骤：

S3.2.1、在网络日记中提取不同系统的攻击事件，并建立对应的攻击事件模型，然后将不同系统的攻击事件模型进行交叉分析，发现共同的漏洞行为和模式，并根据发现的漏洞行为和模式反向使用漏洞检测软件对系统进行检测。

7.根据权利要求1所述的基于攻击事件模型的漏洞智能挖掘方法，其特征在于：所述S4通过网络爬虫技术在网络中收集对系统漏洞进行攻击的攻击数据。

8.根据权利要求5所述的基于攻击事件模型的漏洞智能挖掘方法，其特征在于：所述S4将有关联的攻击数据进行多元化结合输入至攻击事件模型对网络进行漏洞攻击模拟包括如下步骤：

S4.1、根据采集的攻击数据建立攻击数据库，并在攻击数据库结合S3.1获取的特征数据进行关联性筛选，若检测的攻击数据和特征数据具有关联性，即保留在攻击数据库中，若检测的攻击数据和特征数据不具有关联性，即将此攻击数据在攻击数据库中进行删除；

S4.2、将S4.1筛选完毕的攻击数据库内的攻击数据使用攻击手段结合算法将攻击数据进行多元化结合，形成多种攻击手段，在攻击事件模型中对本网络进行模拟攻击。

9.根据权利要求8所述的基于攻击事件模型的漏洞智能挖掘方法，其特征在于：所述S5将攻击出现的漏洞上传至网络日记进行漏洞修复包括如下步骤：

S5.1、根据S4.2漏洞攻击模拟的结果，若攻击成功，即将攻击出现的漏洞上传至网络日记进行漏洞修复，若攻击失败，即更换攻击手段继续在攻击事件模型中对网络进行模拟攻击，并将攻击失败的攻击手段进行删除。