KR20220139807A - 네트워크에서 공격 경로들의 자동 도출을 위한 방법 - Google Patents

네트워크에서 공격 경로들의 자동 도출을 위한 방법 Download PDF

Info

Publication number
KR20220139807A
KR20220139807A KR1020220042383A KR20220042383A KR20220139807A KR 20220139807 A KR20220139807 A KR 20220139807A KR 1020220042383 A KR1020220042383 A KR 1020220042383A KR 20220042383 A KR20220042383 A KR 20220042383A KR 20220139807 A KR20220139807 A KR 20220139807A
Authority
KR
South Korea
Prior art keywords
network
attack
attack vectors
topology
automatically deriving
Prior art date
Application number
KR1020220042383A
Other languages
English (en)
Inventor
로베르토 브루토메소
코르티 알레산드로 카발라로
모레노 카룰로
안드레아 카르카노
Original Assignee
노조미 네트웍스 에스에이지엘
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노조미 네트웍스 에스에이지엘 filed Critical 노조미 네트웍스 에스에이지엘
Publication of KR20220139807A publication Critical patent/KR20220139807A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3604Software analysis for verifying properties of programs
    • G06F11/3608Software analysis for verifying properties of programs using formal methods, e.g. model checking, abstract interpretation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크에서 공격 경로들의 자동 도출을 위한 방법에 관한 것으로서, 강화된 네트워크 토폴로지로서 네트워크의 토폴로지를 정의하는 단계, 취약성 정보 아티팩트들로서 토폴로지의 취약성을 식별하는 단계, 토폴로지 및 취약성에 기반하여 네트워크의 원자적 공격 데이터베이스를 구축하는 단계, 강화된 네트워크 토폴로지, 취약성 정보 아티팩트들 및 원자적 공격 데이터베이스를 미리 정의된 정형 모델로 번역하는 단계, 미리 정의된 정형 모델이 반례들을 구하도록 미리 정의된 SMT-기반 모델 체커를 실시하는 단계 및 반례들로부터 공격 경로들을 도출하는 단계를 포함하고, 토폴로지를 정의하는 단계는, 네트워크에 작동적으로 연결된 전산화된 데이터 프로세싱 유닛에 의해, 딥 패킷 검사 모듈로부터 도출된 정보에 기반하여 네트워크 토폴로지를 구축하도록 네트워크의 딥 패킷 검사의 모듈을 실행하는 단계, 전산화된 데이터 프로세싱 유닛에 의해, 강화된 네트워크 토폴로지를 구축하기 위해 능동적 문의들로부터 도출된 정보에 기반하여 네트워크 토폴로지에 추가적인 정보를 부가하도록 네트워크의 능동적 문의들의 모듈을 실행하는 단계를 포함하고, 취약성을 식별하는 단계는, 전산화된 데이터 프로세싱 유닛에 의해, 강화된 네트워크 토폴로지의 노드들 정보와 미리 정의된 취약성 데이터베이스의 알려진 취약성들 사이의 매칭에 기반하여 네트워크의 각각의 노드의 취약성 정보 아티팩트들을 식별하도록 취약성 평가 모듈을 실행하는 단계를 포함하고, 원자적 공격 데이터베이스를 구축하는 단계는, 전산화된 데이터 프로세싱 유닛에 의해, 시간적으로 특정한 순간에 시스템의 상태를 캡쳐하는 전제조건들 및 동작들로서 네트워크에 대한 하나 또는 둘 이상의 원자적 공격들을 발견하는 단계를 포함하고, 동작들은 상기 노드들의 특징들의 세트로서 표현된다.

Description

네트워크에서 공격 경로들의 자동 도출을 위한 방법{METHOD FOR AUTOMATIC DERIVATION OF ATTACK PATHS IN A NETWORK}
[0001] 본 발명은 네트워크 보안 정책 분야에 관한 것이다. 특히, 본 발명은 네트워크에서 공격 경로들을 자동으로 도출하는 방법에 관한 것이다.
[0002] 잘 관리된 네트워크들조차도 다양한 결합된 서비스들을 제공하는 보안 래머피게이션(security ramification)들로 인해 공격들에 취약하다. 즉, 별개로 제공될 때 안전한 서비스들은 동시에 제공될 때 이용하는 취약성을 공격자에게 제공한다.
[0003] 현재 다수의 도구들이 단일 호스트의 맥락에서 취약성들을 해결한다. 그럼에도 불구하고 네트워크에서 다양한 호스트들의 구성으로 인한 취약성들을 해결하는 것이 중요하다. CPS(cyber-physical system) 및 IoT(Internet of Things) 시스템들을 보호하는 것은, 기존 원자 취약성(atomic vulnerability)들 간의 상호 의존성이 시스템을 손상시킬 수 있는 공격을 함께 결합(stitch)하기 위해 적대자에 의해 어떻게 이용될 수 있는지에 관한 식별을 요구한다.
[0004] 네트워크 공격 경로 분석은 컴퓨터 네트워크의 보안 상태를 분석하기 위한 중요한 방법이며, 이는 네트워크 취약성들과 취약성들에 기인한 잠재적 위협들 간의 상관성(correlation)을 자동으로 분석할 수 있다.
[0005] 일반적으로, 취약성들 및 관련된 정보의 연관성 분석이 이루어지고 원자 공격들 및 대응하는 원자 공격 데이터베이스를 구성하기 위해 속성들이 관념화된다. 네트워크 공격 모델은 네트워크 연결 및 호스트 구성으로 구성된다. 공격 데이터베이스의 매칭되는 원자 공격들을 통해, 비교 알고리즘이 지정된 공격 목표들로 이어질 수 있는 잠재적 공격 경로들을 발굴하는데 사용된다.
[0006] 네트워크 보안에 대한 글로벌 관점을 모델링하는 데 있어 필수적인 부분은 공격 그래프들을 구성하는 것이며, 여기서 정확한 공격 그래프들은 시스템 보안에서 중요한 역할을 한다. 수동 공격 그래프 구성은 지루하고 오류가 발생하기 쉬우며 100개의 노드들보다 큰 공격 그래프들에 대해 비실용적이다. 공격 그래프들을 생성하고 분석하기 위한 자동화된 기술들이 알려져 있다.
[0007] 잘 알려진 접근법은, 기존 모델-검사 도구들 및 아키텍처 설명 도구를 사용하여 원자 레벨 취약성들이 시스템 보안을 손상시키기 위해 이용될 수 있는 모든 가능한 시퀀스들의 세트를 열거하는 공격 그래프를 생성한다. 아키텍처 설명 도구는 네트워크 시스템, 그의 원자 취약성들, 이들의 사전 및 사후 조건들, 관심있는 보안 속성의 형식적인 표현을 캡처한다. 반례의 형태로 공격 시퀀스를 자동으로 식별하기 위해 모델 검사기가 사용된다. 모델 검사기는 반례들을 파싱(parse)하고 사양 완화(specification relaxation)를 위해 이들을 인코딩하고 모든 공격 시퀀스들이 드러날 때까지 반복한다. 마지막으로, 시각화 도구는 생성된 공격 그래프의 그래픽 표현을 생성할 수 있다.
[0008] 따라서 정확한 공격 경로들 및 관련된 공격 그래프들이 생성되는 것을 보장할 필요가 있다.
[0009] 본 발명의 목적은 SMT-기반 모델 검사기를 이용하여 가장 정확한 방식으로 공격 경로들을 생성할 수 있는 방법을 제공하는 것이다.
[0010] 따라서, 본 발명에 따르면, 네트워크에서 공격 경로들의 자동 도출을 위한 방법이 설명된다.
[0011] 네트워크에서 공격 경로들의 자동 도출을 위한 방법은,
- 네트워크에서 교환된 패킷들에 기초한 강화된 네트워크 토폴로지로서 네트워크의 토폴로지를 정의하는 단계;
- 취약성 정보 아티팩트들로서 토폴로지의 취약성들을 식별하는 단계;
- 토폴로지 및 취약성들에 기초하여 네트워크의 원자 공격 데이터베이스를 구축하는 단계;
- 강화된 네트워크 토폴로지, 취약성 정보 아티팩트들 및 원자 공격 데이터베이스를 미리 정의된 형식 모델로 변환하는 단계;
- 반례들을 찾기 위해 미리 정의된 형식 모델에 대해 미리 정의된 SMT-기반 모델 검사기를 실행하는 단계 ; 및
- 반례들로부터 공격 경로들을 도출하는 단계를 포함하고,
토폴로지를 정의하는 단계는,
- 네트워크에 동작 가능하게 연결된 컴퓨터화된 데이터 프로세싱 유닛에 의해, 네트워크의 심층 패킷 검사의 모듈을 실행하여, 심층 패킷 검사 모듈로부터 도출된 정보에 기초하여 네트워크 토폴로지를 구축하는 단계;
- 컴퓨터화된 데이터 프로세싱 유닛에 의해, 네트워크의 액티브 쿼리들의 모듈을 실행하여, 강화된 네트워크 토폴로지를 구축하도록 액티브 쿼리들에 의해 패킷들로부터 도출된 추가 정보에 기초하여 강화된 네트워크 토폴로지를 구축하고 추가 정보를 네트워크 토폴로지에 추가하는 단계를 포함하고,
취약성들을 식별하는 단계는,
- 컴퓨터화된 데이터 프로세싱 유닛에 의해, 취약성 평가 모듈을 실행하여, 강화된 네트워크 토폴로지의 노드 정보와 미리 정의된 취약성 데이터베이스의 알려진 취약성들 간의 매칭에 기초하여 네트워크의 각각의 노드의 취약성 정보 아티팩트들을 식별하는 단계를 포함하고,
원자 공격 데이터베이스를 구축하는 단계는,
- 컴퓨터화된 데이터 프로세싱 유닛에 의해, 주어진 시간 순간에 시스템의 상태를 캡처하기 위한 전제 조건들 및 액션들로서 네트워크에 대한 하나 이상의 원자 공격들을 찾는 단계를 포함하고, 액션들은 노드들의 특징들의 세트의 관점에서 표현된다.
[0012] 추가 실시예에서, 미리 정의된 형식 모델은 회로-형 형식 모델이다.
[0013] 다른 실시예에서, SMT-기반 모델 검사기는 회로-형 SMT-기반 모델 검사기이다.
[0014] 추가 실시예에서, 회로-형 SMT-기반 모델 검사기는 실행을 개별 시간 단계들로 분할하는 글로벌 클록을 갖는 회로를 정의한다.
[0015] 추가 실시예에서, 회로는,
- 외부 입력으로부터의 데이터가 회로로 유입될 수 있는 포트들로서 1차 입력들;
- 데이터가 회로로부터 유출될 수 있는 포트들로서 1차 출력들;
- 데이터를 보유할 수 있는 기본 메모리 요소들로서 래치들;
- 기본 로직 기능들을 구현하는 스테이트레스 조합 요소(stateless combinational element)들로서 게이트들;
- 스테이트레스 산술 비교기들로서 비교기들;
- 시간 단계들 전부 각각에서 동일한 값을 출력하는 숫자들, 부울 값들 또는 기호 상수들로서 상수들을 포함한다.
[0016] 추가 실시예에서, 1차 입력들은 부울 또는 정수 유형으로 이루어진다.
[0017] 추가 실시예에서, 1차 출력들은 부울 또는 정수 유형으로 이루어진다.
[0018] 추가 실시예에서, 래치들은 부울 또는 정수 유형으로 이루어진다.
[0019] 추가 실시예에서, 래치들은 회로가 제1 시간 단계에서 부팅될 때 래치들이 보유하는 값을 표현하는 제1 값을 저장한다.
[0020] 추가 실시예에서, 래치들은 각각의 후속하는 시간 단계에서 새로운 값으로 업데이트된다.
[0021] 추가 실시예에서, 게이트들의 기본 로직 함수들은 AND, OR, NOT이다.
[0022] 추가 실시예에서, 게이트들은 부울 유형의 데이터를 취하고 부울 유형의 데이터를 리턴한다.
[0023] 추가 실시예에서, 스테이트레스 산술 비교기들은 ≤, <, =, >, ≥이다.
[0024] 추가 실시예에서, 스테이트레스 산술 비교기들은 정수 유형의 데이터를 취하고 부울 유형의 데이터를 리턴한다.
[0025] 추가 실시예에서, 시간 단계들 각각에서, 현재 시간 단계에서 1차 입력들의 1차 입력 값들이 판독되고,
현재 시간 단계에서 1차 입력 값들 및 현재 시간 단계에서 래치들의 래치 값들은 게이트에 의해 프로세싱되고,
후속 시간 단계에서 래치 값들은 비교기들에 의해 생성되고, 그리고
현재 시간 단계에서 1차 출력들의 1차 출력 값들은 비교기들에 의해 생성된다.
[0026] 추가 실시예에서, 노드들 각각에 대해 그리고 노드들 각각의 특징들 각각에 대해 래치가 생성되고, 그리고
시간 단계들 각각의 래치 값들은 시간 단계들 각각에서 시스템의 상태를 정의한다.
[0027] 본 발명의 이들 및 추가의 특징들 및 이점들은 첨부 도면들에서 비-제한적인 예로서 예시된 바람직한 실시예들의 개시내용으로부터 명백해질 것이다.
도 1은 본 발명의 일 실시예에 따른 블록도를 도시한다.
도 2는 본 발명의 일 실시예에 따라 네트워크를 모델링하는 회로를 도시한다.
[0028] 본 발명은 네트워크에서 공격 경로들을 자동으로 도출하는 방법에 관한 것이다.
[0029] 본 발명에 따른 방법은 네트워크, 특히 산업 자동화 시스템 이를테면, 제조 생산을 위한 산업 프로세스들, 전력 생성을 위한 산업 프로세스들, 유체들(물, 오일 및 가스)의 분배를 위한 인프라스트럭처들, 전력의 생성 및/또는 송신을 위한 인프라스트럭처들, 운송 관리를 위한 인프라스트럭처들에 연결된 임의의 종류의 물리적 인벤토리 또는 자동화 시스템들에서 유용하게 적용된다. 또한, 이는 IT(Information Technology), OT(Operation Technology), IoT(Internet of Things)를 포함한 모든 기술 환경들에서 유용하게 적용된다.
[0030] 본 발명에서 "네트워크 프로토콜"이라는 용어는 엔티티들이 서로를 이해하기 위해, 교환할 메시지를 구성하는 바이트(byte)들이 어떻게 구성되어야 하는지를 설명하는, 네트워크 상의 엔티티들 간의 규칙들의 시스템을 의미한다. 네트워크 프로토콜들의 주목할만한 예들은 TCP/IP, Modbus, BACnet이다.
[0031] 본 발명에서 "패킷"이라는 용어는 네트워크 상의 엔티티들 간에 교환되는 메시지를 표현하는 바이트들의 유한 시퀀스를 의미한다. 각각의 프로토콜은 전송 및 수신될 패킷들에 대한 특정 구조를 정의한다.
[0032] 본 발명에서 "노드"라는 용어는 케이블 또는 라디오 신호에 기초한 연결을 통해 데이터를 수신 및/또는 송신할 수 있는 네트워크의 디바이스를 의미한다. 노드는 예컨대, MAC 어드레스 또는 IP 어드레스일 수 있는 고유 식별자로 식별된다.
[0033] 본 발명에서 "에지"라는 용어는 프로토콜 p를 통한 네트워크 내 노드들(n1 및 n2)의 직접 통신을 의미하며, 이는 예컨대, 표기법(n1, p, n2)을 가질 수 있다. 사용된 각각의 통신 프로토콜당 하나씩, 2개의 노드들 사이에 여러 에지들이 있을 수 있다.
[0034] 본 발명에서 "네트워크 토폴로지 그래프"라는 용어는 네트워크 구조의 관념(abstraction)을 의미하고, 이는 레이블이 지정된 그래프 G(N,E,P)로서 표현될 수 있으며, 여기서 N은 노드들의 세트이고, E는 에지들의 세트이고, P는 프로토콜들의 세트여서, 각각의 에지는 튜플(n1, p, n2)(여기서
Figure pat00001
,
Figure pat00002
)이 된다.
[0035] 본 발명에서 "원자 공격(atomic attack)"이라는 용어는 네트워크의 두 노드들을 수반하는 공격을 의미한다. 원자 공격은 전제 조건 및 액션에 의해 설명된다. 전제 조건은 공격이 트리거되기 위해 유지될 필요가 있는 조건들의 목록이다. 예는 다음과 같다: "타겟 노드는 취약성 xyz를 갖는다". 액션은 공격의 효과, 예를 들면, "공격자는 타겟 노드에 대한 루트 권한들을 획득한다"이다.
[0036] 본 발명에서 "공격 경로"라는 용어는 에지들
Figure pat00003
을 횡단함으로써, 공격자로 가정되는 소스 노드 n1로부터 시작하고 희생자로 가정되는 타겟 노드
Figure pat00004
에서 끝나는 네트워크 토폴로지 그래프의 경로를 의미하며, 이는 예컨대, 표기법
Figure pat00005
을 가질 수 있다. 각각의 에지는 원자 공격의 실행을 표현한다. 또한, n1 이외의 경로 내 각각의 노드는 공격 예컨대, 버퍼 오버플로우(buffer overflow)에 취약한 소프트웨어를 실행하는 것으로 가정된다.
[0037] 본 발명에서 "심층 패킷 검사(deep packet inspection)" 또는 "DPI"라는 용어는 네트워크 트래픽을 리스닝(listening)하고 캡처된 패킷을 검사하여 네트워크의 속성들을 도출하는 것으로 구성된 기술을 의미한다. 예컨대, 네트워크 토폴로지 그래프를 구축하는데 충분히 많은 수의 패킷들의 소스 및 목적지에 관한 정보가 이용될 수 있다.
[0038] 본 발명에서 "액티브 쿼리(active query)" 또는 "AQ"라는 용어는 디바이스 상에서 실행 중인 OS 버전과 같은 원하는 정보를 포함하는 응답을 강제하기 위해 네트워크 디바이스에 맞춤형 패킷들을 전송함으로써 네트워크에 대한 지식을 도출하는 방법을 의미한다.
[0039] 본 발명에서 "취약성"이라는 용어는 시스템을 손상시키거나 민감한 정보를 훔치거나 디바이스에 대한 관리 권한들을 획득하기 위해 공격자에 의해 잠재적으로 이용될 수 있는, 디바이스에 의해 사용되는 하드웨어 구성요소 또는 소프트웨어의 약점을 의미한다. 알려진 취약성들의 목록들은 공개적으로 이용 가능한 온라인 자원들 이를테면, JSON, XML 또는 다른 기계 판독 가능 포맷들의 형태로 단체 Miter에 의해 제공된 자원을 통해 획득될 수 있다.
[0040] 본 발명에서 "취약성 평가"라는 용어는, 입력으로서 기계 상에 설치된 소프트웨어 목록을 수신하고 취약성들의 데이터베이스에 기초하여 소프트웨어에 영향을 미치는 취약성들의 세트를 출력하는 소프트웨어 또는 하드웨어 유형의 모듈을 의미한다.
[0041] 본 발명에서 "형식 모델(formal model)"이라는 용어는 문제를, 등가이지만 형식적 언어 예컨대, 예컨대, 일 세트의 수학적 또는 로직 표현들로 표현되는 것으로 리캐스트(recast)함으로써 그 문제의 솔루션에 접근하는 일 세트의 기술들을 의미한다. 그 후 이러한 표현들은 자동화된 도구에 의해 해결될 수 있으며 솔루션은 오리지널 문제의 솔루션으로 다시 변환될 수 있다. 가장 두드러진 기술들 중 하나는 문제가 유한 상태 오토메이션(finite state automaton)으로 변환되는 모델 체킹(Model Checking)이다. 모델 체킹은 모델 검사기에 의해 하드웨어 및 소프트웨어의 안전성을 결정하기 위해 산업 환경들에서 성공적으로 사용된다.
[0042] 본 발명에 따라 네트워크에서 공격 경로들의 자동 도출을 위한 방법은 본 발명의 일 실시예에 따른 블록도를 도시하는 도 1을 참조하여 그리고 본 발명의 일 실시예에 따라 네트워크를 모델링하는 회로를 도시하는 도 2와 관련하여 여기서 설명된다.
[0043] 방법은 블록(10)에 예시된 바와 같이, 상기 네트워크에서 교환된 패킷들에 기초한 강화된 네트워크 토폴로지로서 네트워크의 토폴로지를 정의하는 것을 포함한다.
[0044] 특히, 네트워크의 토폴로지를 정의하는 것은 도 1의 블록(10)의 서브-블록들에서 예시된 바와 같이, 상기 네트워크에 동작 가능하게 연결된 컴퓨터화된 데이터 프로세싱 유닛, 네트워크의 심층 패킷 검사의 모듈 및 네트워크의 액티브 쿼리들의 모듈을 실행하는 것을 포함한다.
[0045] 심층 패킷 검사(DPI) 모듈은 심층 패킷 검사 모듈에 의해 패킷으로부터 도출된 정보에 기초하여 네트워크 토폴로지를 구축한다.
[0046] 따라서 네트워크의 토폴로지는 네트워크를 통해 흐르는 트래픽 상에서 DPI를 수행하고 동일한 네트워크에 부착된 기계를 통해 네트워크로부터 자동으로 컴파일될 수 있다. 예컨대, 네트워크의 토폴로지는 다음과 같이 재구성될 수 있는데: 각각의 패킷에 대해 소스에 대한 노드, 목적지에 대한 노드, 두 노드들을 연결하는 인식된 프로토콜로 표시된 에지를 생성한다. 따라서 네트워크 상의 디바이스들을 정확한 방식으로 식별하고 네트워크의 대응하는 토폴로지 그래프를 구성하는 것이 가능하다. 이 정보는 기계 판독 가능 포맷으로 쉽게 내보내기(export)될 수 있다. DPI는 또한 특정 디바이스 상에서 실행되는 운영 체제 및 소프트웨어에 관한 정보를 추론하는 데 사용될 수 있다.
[0047] 액티브 쿼리(AQ)의 모듈은 액티브 쿼리들에 의해 패킷들로부터 도출된 추가 정보에 기초하여 강화된 네트워크 토폴로지를 구축하여, 상기 강화된 네트워크 토폴로지를 구축하고 심층 패킷 검사로 이미 정의된 바와 같은 네트워크 토폴로지에 추가 정보를 추가한다.
[0048] DPI 및 AQ 모듈들의 충분히 긴 실행은 조사 중인 네트워크에 대한 매우 상세한 지식 기반을 생성할 수 있다.
[0049] 그 후, 방법은 블록(20)에 예시된 바와 같이 취약성 정보 아티팩트들로서 토폴로지의 취약성들을 식별하는 것을 포함한다.
[0050] 특히, 취약성들을 식별하는 것은 컴퓨터화된 데이터 프로세싱 유닛에 의해, 강화된 네트워크 토폴로지의 노드 정보와 미리 정의된 취약성 데이터베이스의 알려진 취약성들 간의 매칭에 기초하여 네트워크의 각각의 노드의 취약성 정보 아티팩트들을 식별하기 위해 취약성 평가 모듈을 실행하는 것을 포함한다.
[0051] 특히, 취약성들을 식별하는 것은 컴퓨터화된 데이터 프로세싱 유닛에 의해, 강화된 네트워크 토폴로지의 노드 정보와 미리 정의된 취약성 데이터베이스의 알려진 취약성들 간의 매칭에 기초하여 네트워크의 각각의 노드의 취약성 정보 아티팩트들을 식별하기 위해 취약성 평가 모듈을 실행하는 것을 포함한다.
[0052] 블록(10)을 블록(20)에 연결하는 점선 화살표에 의해 예시된 바와 같이, 취약성들을 식별하는 것은 취약성 데이터베이스로 DPI 및 AQ 모듈들에 의해 획득된 네트워크 노드 상에서 사용 가능한 소프트웨어에 관한 정보를 매칭시켜, 네트워크 그래프의 각각의 노드에서 그의 실행 중인 소프트웨어와 연관된 알려진 취약성들을 추가한다. 이 프로세스는 취약성 정보 아티팩트를 생성한다.
[0053] 그 후, 방법은 블록(30)에서 예시된 바와 같이 토폴로지 및 취약성들에 기초하여 네트워크의 원자 공격 데이터베이스를 구축하는 것을 포함한다.
[0054] 특히, 원자 공격 데이터베이스를 구축하는 것은, 컴퓨터화된 데이터 프로세싱 유닛에 의해, 주어진 시간 순간에 시스템의 상태를 캡처하기 위한 전제 조건들 및 액션들로서 네트워크에 대한 하나 이상의 원자 공격들을 찾는 단계를 포함하고, 액션들은 노드들의 특징들의 세트의 관점에서 표현된다.
[0055] 블록(10)을 블록(30)에 연결하는 점선 화살표에 의해 예시된 바와 같이, 원자 공격 데이터베이스를 구축하는 것은 취약성 데이터베이스로 DPI 및 AQ 모듈에 의해 획득된 네트워크 노드들 상에서 이용 가능한 소프트웨어에 관한 정보를 사용하여 주어진 시간 순간에의 시스템의 상태를 캡처한다.
[0056] 따라서 원자 공격 데이터베이스는 전제 조건 및 액션들의 관점에서 설명된 원자 공격들의 목록이며, 이는 차례로, 주어진 시간 순간에 시스템의 상태를 캡처하는 데 필요한 노드들의 특징들의 세트의 관점에서 표현되며, 이는 다음 예들에 의해 더 잘 이해될 수 있다.
[0057] 다음 특징들을 고려한다:
- 권한: 노드와 관련하여 사용자가 소유한 허가들의 레벨. 이는 {none,user,admin}의 값들을 가정할 수 있다.
- 건강: 노드의 건강 상태. 이는 {ok,leak}의 값들을 가정할 수 있다.
- CVE-2016-3266: 취약성이 노드 상에 존재하는지 여부. 이는 {true,false}의 값들을 가정할 수 있다. 이 취약성은 로컬 사용자가 타겟 노드에 대한 관리자 권한을 획득할 수 있게 한다.
- CVE-2020-3847: 취약성이 노드 상에 존재하는지 여부. 이는 {true,false}의 값들을 가정할 수 있다. 이 취약성은 원격 사용자가 타겟 노드 상의 메모리를 누출할 수 있게 한다.
노드 x 및 특징 k가 주어지면, 노드의 현재 상태를 지칭하기 위한 x[k] 및 노드의 다음 상태를 지칭하기 위한 x'[k] 의 표기법이 사용된다. 특징들은 다음과 같이 2개의 원자 공격들을 설명하는 데 사용할 수 있으며, 여기서 x 및 y는 네트워크에서 연결되는 것으로 가정된다.
제1 공격은 다음과 같이 공식화될 수 있다. CVE-2020-3847 메모리 누출
- 소스 기계: x
- 타겟 기계: y
- 전제 조건:
Figure pat00006
Figure pat00007
Figure pat00008
- 사후 조건:
Figure pat00009
제2 공격은 다음과 같이 공식화될 수 있다: CVE-2016-3266 권한 획득
- 소스 및 타겟 기계들은 동일하다: x
- 전제 조건:
Figure pat00010
Figure pat00011
- 사후 조건:
Figure pat00012
데이터베이스는 보안 전문가들에 의해 컴파일되었고 그의 콘텐츠는 JSON, XML 또는 CSV와 같은 기계-판독 가능한 포맷으로 이용 가능하다는 것이 가정된다.
[0058] 그 후, 방법은 블록(40)에 예시된 바와 같이, 강화된 네트워크 토폴로지, 취약성 정보 아티팩트들 및 원자 공격 데이터베이스를 미리 정의된 형식 모델로 변환하는 것을 포함한다. 블록들(10, 20 및 30)로부터 블록(40)으로 수렴하는 실선 화살표들에 의해 예시된 바와 같이, 변환기 모듈은 입력으로서 네트워크 토폴로지 정보, 취약성 정보, 원자 공격 데이터베이스를 수신하고 모델을 미리 정의된 형식 모델로 변환한다.
[0059] 일 실시예에서, 미리 정의된 형식 모델은 회로-형 형식 모델이다.
[0060] 그 후, 방법은 블록(50)에서 예시된 바와 같이 반례를 찾기 위해 미리 정의된 형식 모델에 대해 미리 정의된 SMT-기반 모델 검사기를 실행하는 것을 포함한다. 블록(40)으로부터 블록(50)까지의 실선 화살표에 의해 예시된 바와 같이, 미리 정의된 SMT-기반 모델 검사기를 실행하는 것은 미리 정의된 형식 모드를 통해 행해진다.
[0061] 일 실시예에서, SMT-기반 모델 검사기는 회로-형 SMT-기반 모델 검사기이다. 더욱이, 회로-형 SMT-기반 모델 검사기는 실행을 개별 시간 단계들로 분할하는 글로벌 클록을 갖는 회로를 정의한다. 바람직하게는,
- 외부 입력으로부터의 데이터가 회로로 유입될 수 있는 포트들로서 1차 입력들;
- 데이터가 회로로부터 유출될 수 있는 포트들로서 1차 출력들;
- 데이터를 보유할 수 있는 기본 메모리 요소들로서 래치들;
- 기본 로직 기능들을 구현하는 스테이트레스 조합 요소들로서 게이트들;
- 스테이트레스 산술 비교기들로서 비교기들;
- 시간 단계들 전부 각각에서 동일한 값을 출력하는 숫자들, 부울 값들 또는 기호 상수들로서 상수들을 포함한다.
[0062] 입력 언어는 인트레피드(Intrepid) 모델 검사기로서 정의될 수 있다. 특히, 인트레피드 입력 언어는 물론 상이한 회로-형 모델 검사기들은 실행을 개별 시간 단계들로 분할하는 글로벌 클록과 더불어 회로의 설명(description)을 허용한다. 회로는 다음으로 구성된다.
- 1차 입력들(PI): 외부 입력 데이터가 회로로 유입될 수 있는 포트들. 이들은 부울 또는 정수 유형일 수 있다.
- 1차 출력들(PO): 데이터가 회로로부터 유출될 수 있는 포트들. 이들은 부울 또는 정수 유형일 수 있다.
- 래치들: 데이터를 보유할 수 있는 기본 메모리 요소들. 이들은 부울 또는 정수 유형의 값들을 보유할 수 있다. 또한, 래치들은 회로가 처음 부팅될 때(시간 단계 0) 그것들이 보유하는 값을 표현하는 초기 값(최초 값)을 저장한다. 래치들은 각각의 후속하는 시간 단계에서 새로운 값으로 업데이트된다.
- 게이트들: AND, OR, NOT과 같은 기본 로직 기능들을 구현하는 스테이트레스 조합 요소들. 이들은 부울 유형의 데이터를 취하고 부울을 리턴한다.
- 비교기들: ≤, <, =, >, ≥와 같은 스테이트레스 산술 비교기들. 이들은 정수 유형의 데이터를 취하고 부울을 리턴한다.
- 상수들: 모든 각각의 시간 단계에서 동일한 값을 출력하는 숫자들, 부울 값들 또는 기호 상수들.
[0063] 회로는 다음과 같이 동작하는데: 시간 단계들 각각에서, 현재 시간 단계에서 1차 입력(PI)들의 1차 입력 값들이 판독된다. 현재 시간 단계에서 이들 1차 입력 값들 및 현재 시간 단계에서 래치들의 래치 값들은 게이트에 의해 프로세싱된다. 후속 시간 단계에서 래치 값들은 비교기들에 의해 생성되고 현재 시간 단계에서 1차 출력(PO)들의 1차 출력 값들은 상기 비교기들에 의해 생성된다. 노드들 각각에 대해 그리고 노드들 각각의 특징들 각각에 대해 래치가 생성된다. 또한, 시간 단계들 각각의 래치 값들은 시간 단계들 각각에서 시스템의 상태를 정의한다.
[0064] 변환을 수행하기 위해, 시스템의 모든 흥미로운 상태들이 수집될 필요가 있다. 이러한 상태들은 원자 공격 데이터베이스로부터 수집될 수 있는데: 이들은 모든 각각의 원자 공격에서 언급된 모든 특징들 F의 세트이다. 그 후, 각각의 노드 n에 대해 그리고 각각의 특징 k에 대해, 래치 n[k] 가 총 |N|×|F| 래치들에 대해 생성된다. 시간 t에서, 이러한 래치들에 저장된 세팅된 값들은 시간 t에서의 네트워크의 상태이다. 각각의 래치는 최초 원자 공격이 시작되기 직전의 네트워크 상태로 초기화된다. 변환에서, 하나의 원자 공격이 실행하는 데 정확히 한 단계가 걸린다는 암시적인 가정이 사용된다. 각각의 단계에서, 원자 공격이 발생할 수 있다. 각각의 원자 공격은 정수 id로 식별된다. 변환에서, PI chosen_attack이 생성되는데: 이 입력은 시간 단계에서 트리거되는 공격의 비-결정론적 선택을 시뮬레이팅한다. 그 후, 각각의 래치의 다음-상태 로직은 chosen_attack 및 각각의 공격에 대한 전제 조건들에 의존하여 "case-statement"와 등가의 회로로 계산된다.
[0065] 다음 예가 고려된다. 네트워크가 에지에 의해 연결된 2개의 노드들(x 및 y)로 구성된다고 가정하고 예 1의 셋업을 고려한다. 그 후 래치 y[health]의 다음 상태 기능을 모델링하는 회로는 도 2에서 보고된 것이다(도면에서, x[privilege] , y[CVE_2020_3847]의 다음 상태 기능들 및 나머지 회로는 도시되지 않음).
[0066] 위에서 설명된 회로-형 변환은 그의 Python API를 통해 인트레피드에 전달될 수 있다. API는 입력들, 래치들, 게이트들, 상수들, 비교기들을 생성하고 래치들의 초기 및 다음 상태 기능을 세팅하는 기능을 제공한다.
[0067] 모델 검사기가 실행되는 데 필요한 추가 사항은 속성이다. 속성은 네트워크의 모든 각각의 상태에서 참을 보유해야 하는 조건이다. 예를 들어, 속성
Figure pat00013
는 네트워크에서, 공격자가 노드 y에 대한 관리자 권한을 결코 획득할 수 없어야 함을 표현한다. 회로-형 변환에서, 속성들은 그의 출력이 모델 검사기에서 항상 고정된 값이 되도록 세팅되는 소형 서브-회로들로 표현될 수 있다.
[0068] 그 후, 방법은 블록(60)에 예시된 바와 같이 반례들로부터 공격 경로들을 도출하는 것을 포함한다.
[0069] 모델 검사기 실행은 매우 긴 실행 시간이 걸릴 수 있지만, 시스템에서 속성이 항상 유지된다고 선언하거나 초기 상태들로부터, 속성 위반으로 이어지는 상태들의 세트를 반례로 제공함으로써 결국 종료된다. 우리의 경우, 속성의 위반은 타겟 기계 상에서 관리자 권한들의 획득과 같이 가능해지는 공격 경로를 찾은 것에 대응한다.
[0070] 인트레피드로부터의 반례는 모든 각각의 시간 단계에서 각각의 래치 및 입력에 대한 값들을 나열하고, 이에 따라 각각의 단계에 대한 모든 각각의 단일 원자 공격을 재구성하는 것이 가능하다.

Claims (16)

  1. 네트워크에서 공격 경로들을 자동으로 도출하는 방법으로서,
    상기 네트워크에서 교환된 패킷들에 기초한 강화된 네트워크 토폴로지(enriched network topology)로서 상기 네트워크의 토폴로지를 정의하는 단계(10);
    취약성 정보 아티팩트(vulnerabilities information artifact)들로서 상기 토폴로지의 취약성들을 식별하는 단계(20);
    상기 토폴로지 및 상기 취약성들에 기초하여 상기 네트워크의 원자 공격 데이터베이스(atomic attack database)를 구축하는 단계(30);
    상기 강화된 네트워크 토폴로지, 상기 취약성 정보 아티팩트들 및 상기 원자 공격 데이터베이스를 미리 정의된 형식 모델로 변환하는 단계(40);
    반례들을 찾기 위해 상기 미리 정의된 형식 모델에 대해 미리 정의된 SMT-기반 모델 검사기를 실행하는 단계(50); 및
    상기 반례들로부터 상기 공격 경로들을 도출하는 단계(60)를 포함하고,
    상기 토폴로지를 정의하는 단계(10)는,
    상기 네트워크의 심층 패킷 검사의 모듈을 실행하여, 상기 네트워크에 동작 가능하게 연결된 컴퓨터화된 데이터 프로세싱 유닛에 의해, 상기 심층 패킷 검사 모듈에 의해 상기 패킷으로부터 도출된 정보에 기초하여 네트워크 토폴로지를 구축하는 단계;
    상기 컴퓨터화된 데이터 프로세싱 유닛에 의해, 상기 네트워크의 상기 액티브 쿼리들의 모듈을 실행하여, 상기 강화된 네트워크 토폴로지를 구축하도록 상기 액티브 쿼리들에 의해 상기 패킷들로부터 도출된 추가 정보에 기초하여 상기 강화된 네트워크 토폴로지를 구축하고 상기 추가 정보를 상기 네트워크 토폴로지에 추가하는 단계를 포함하고,
    상기 취약성들을 식별하는 단계(20)는,
    상기 컴퓨터화된 데이터 프로세싱 유닛에 의해, 취약성 평가 모듈을 실행하여, 상기 강화된 네트워크 토폴로지의 노드 정보와 미리 정의된 취약성 데이터베이스의 알려진 취약성들 간의 매칭에 기초하여 상기 네트워크의 각각의 노드의 상기 취약성 정보 아티팩트들을 식별하는 단계를 포함하고; 그리고
    상기 원자 공격 데이터베이스를 구축하는 단계(30)는,
    상기 컴퓨터화된 데이터 프로세싱 유닛에 의해, 주어진 시간 순간에 상기 시스템의 상태를 캡처하기 위한 전제 조건들 및 액션들로서 상기 네트워크에 대한 하나 이상의 원자 공격들을 찾는 단계를 포함하고, 상기 액션들은 상기 노드들의 특징들의 세트의 관점에서 표현되는,
    네트워크에서 공격 경로들을 자동으로 도출하는 방법.
  2. 제1 항에 있어서,
    상기 미리 정의된 형식 모델은 회로-형 형식 모델인,
    네트워크에서 공격 경로들을 자동으로 도출하는 방법.
  3. 제1 항에 있어서,
    상기 SMT-기반 모델 검사기는 회로-형 SMT-기반 모델 검사기인,
    네트워크에서 공격 경로들을 자동으로 도출하는 방법.
  4. 제3 항에 있어서,
    상기 회로-형 SMT-기반 모델 검사기는 실행을 개별 시간 단계들로 분할하는 글로벌 클록을 갖는 회로를 정의하는,
    네트워크에서 공격 경로들을 자동으로 도출하는 방법.
  5. 제4 항에 있어서,
    상기 회로는,
    외부 입력으로부터의 데이터가 상기 회로로 유입될 수 있는 포트들로서 1차 입력들;
    상기 데이터가 상기 회로로부터 유출될 수 있는 포트들로서 1차 출력들;
    상기 데이터를 보유할 수 있는 기본 메모리 요소들로서 래치들;
    기본 로직 기능들을 구현하는 스테이트레스 조합 요소(stateless combinational element)들로서 게이트들;
    스테이트레스 산술 비교기들로서 비교기들;
    상기 시간 단계들 전부 각각에서 동일한 값을 출력하는 숫자들, 부울 값들 또는 기호 상수들로서 상수들을 포함하는,
    네트워크에서 공격 경로들을 자동으로 도출하는 방법.
  6. 제5 항에 있어서,
    상기 1차 입력들은 부울 또는 정수 유형으로 이루어지는,
    네트워크에서 공격 경로들을 자동으로 도출하는 방법.
  7. 제5 항에 있어서,
    상기 1차 출력들은 부울 또는 정수 유형으로 이루어지는,
    네트워크에서 공격 경로들을 자동으로 도출하는 방법.
  8. 제5 항에 있어서,
    상기 래치들은 부울 또는 정수 유형으로 이루어지는,
    네트워크에서 공격 경로들을 자동으로 도출하는 방법.
  9. 제5 항에 있어서,
    상기 래치들은 상기 회로가 제1 시간 단계에서 부팅될 때 상기 래치들이 보유하는 값을 표현하는 제1 값을 저장하는,
    네트워크에서 공격 경로들을 자동으로 도출하는 방법.
  10. 제9 항에 있어서,
    상기 래치들은 각각의 후속하는 시간 단계에서 새로운 값으로 업데이트되는,
    네트워크에서 공격 경로들을 자동으로 도출하는 방법.
  11. 제5 항에 있어서,
    상기 게이트들의 상기 기본 로직 함수들은 AND, OR, NOT인,
    네트워크에서 공격 경로들을 자동으로 도출하는 방법.
  12. 제5 항에 있어서,
    상기 게이트들은 상기 부울 유형의 데이터를 취하고 상기 부울 유형의 데이터를 리턴하는,
    네트워크에서 공격 경로들을 자동으로 도출하는 방법.
  13. 제5 항에 있어서,
    상기 스테이트레스 산술 비교기들은, ≤, <, =, >, ≥인,
    네트워크에서 공격 경로들을 자동으로 도출하는 방법.
  14. 제5 항에 있어서,
    상기 스테이트레스 산술 비교기들은 상기 정수 유형의 데이터를 취하고 상기 부울 유형의 데이터를 리턴하는,
    네트워크에서 공격 경로들을 자동으로 도출하는 방법.
  15. 제5 항에 있어서,
    상기 시간 단계들 각각에서, 현재 시간 단계에서 상기 1차 입력들의 1차 입력 값들이 판독되고,
    상기 현재 시간 단계에서 상기 1차 입력 값들 및 상기 현재 시간 단계에서 상기 래치들의 래치 값들은 상기 게이트들에 의해 프로세싱되고,
    후속 시간 단계에서 상기 래치 값들은 상기 비교기들에 의해 생성되고, 그리고
    상기 현재 시간 단계에서 상기 1차 출력들의 1차 출력 값들은 상기 비교기들에 의해 생성되는,
    네트워크에서 공격 경로들을 자동으로 도출하는 방법.
  16. 제15 항에 있어서,
    상기 노드들 각각에 대해 그리고 상기 노드들 각각의 상기 특징들 각각에 대해 래치가 생성되고,
    상기 시간 단계들 각각의 상기 래치 값들은 상기 시간 단계들 각각에서 상기 시스템의 상태를 정의하는,
    네트워크에서 공격 경로들을 자동으로 도출하는 방법.
KR1020220042383A 2021-04-08 2022-04-05 네트워크에서 공격 경로들의 자동 도출을 위한 방법 KR20220139807A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/225,392 2021-04-08
US17/225,392 US11831671B2 (en) 2021-04-08 2021-04-08 Method for automatic derivation of attack paths in a network

Publications (1)

Publication Number Publication Date
KR20220139807A true KR20220139807A (ko) 2022-10-17

Family

ID=81324931

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220042383A KR20220139807A (ko) 2021-04-08 2022-04-05 네트워크에서 공격 경로들의 자동 도출을 위한 방법

Country Status (9)

Country Link
US (1) US11831671B2 (ko)
EP (1) EP4072066A1 (ko)
JP (1) JP2022161880A (ko)
KR (1) KR20220139807A (ko)
CN (1) CN115208609A (ko)
BR (1) BR102022006585A2 (ko)
CA (1) CA3154249A1 (ko)
MX (1) MX2022004354A (ko)
TW (1) TW202241095A (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115913640B (zh) * 2022-10-19 2023-09-05 南京南瑞信息通信科技有限公司 一种基于攻击图的大型网络攻击推演及风险预警方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020032871A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for detecting, tracking and blocking denial of service attacks over a computer network
US7200105B1 (en) * 2001-01-12 2007-04-03 Bbn Technologies Corp. Systems and methods for point of ingress traceback of a network attack
WO2004008700A2 (en) * 2002-07-12 2004-01-22 The Penn State Research Foundation Real-time packet traceback and associated packet marking strategies
US6952779B1 (en) * 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
WO2010042979A1 (en) * 2008-10-13 2010-04-22 Swinburne University Of Technology Process and system for assessing network vulnerability
US8601414B2 (en) * 2009-11-12 2013-12-03 The Regents Of The University Of Michigan Automated scalable verification for hardware designs at the register transfer level
WO2014063110A1 (en) * 2012-10-19 2014-04-24 ZanttZ, Inc. Network infrastructure obfuscation
ES2832999T3 (es) * 2015-12-14 2021-06-14 Siemens Ag Sistema y procedimiento para la evaluación pasiva de la seguridad perimetral industrial
US10298619B2 (en) * 2016-12-16 2019-05-21 Nicira, Inc. Application template generation and deep packet inspection approach for creation of micro-segmentation policy for network applications
US10812499B2 (en) * 2017-11-09 2020-10-20 Accenture Global Solutions Limited Detection of adversary lateral movement in multi-domain IIOT environments
US10819727B2 (en) * 2018-10-15 2020-10-27 Schweitzer Engineering Laboratories, Inc. Detecting and deterring network attacks

Also Published As

Publication number Publication date
CA3154249A1 (en) 2022-10-08
US20220329617A1 (en) 2022-10-13
MX2022004354A (es) 2022-10-10
JP2022161880A (ja) 2022-10-21
BR102022006585A2 (pt) 2022-10-11
TW202241095A (zh) 2022-10-16
EP4072066A1 (en) 2022-10-12
US11831671B2 (en) 2023-11-28
CN115208609A (zh) 2022-10-18

Similar Documents

Publication Publication Date Title
CN103036730B (zh) 一种对协议实现进行安全测试的方法及装置
Nadeem et al. Alert-driven attack graph generation using s-pdfa
Goo et al. Protocol specification extraction based on contiguous sequential pattern algorithm
Matoušek et al. Efficient modelling of ICS communication for anomaly detection using probabilistic automata
Yin et al. A new approach for synthesizing opacity-enforcing supervisors for partially-observed discrete-event systems
Xie et al. Opacity enforcing supervisory control using nondeterministic supervisors
KR20220139807A (ko) 네트워크에서 공격 경로들의 자동 도출을 위한 방법
Kholgh et al. PAC-GPT: A novel approach to generating synthetic network traffic with GPT-3
Bhurke et al. Methods of Formal Analysis for ICS Protocols and HART-IP CPN modelling
Luo et al. BLEEM: packet sequence oriented fuzzing for protocol implementations
Backes et al. Causality-based abstraction of multiplicity in security protocols
Deng et al. A framework for verifying data-centric protocols
Jacquemard et al. Tree automata with equality constraints modulo equational theories
Wang et al. A model-based behavioral fuzzing approach for network service
Nichols et al. Automatic generation of attack scripts from attack graphs
CN112491801B (zh) 一种基于关联矩阵的面向对象网络攻击建模方法及装置
Shu et al. A formal methodology for network protocol fingerprinting
Ge et al. A Hybrid Attack Graph Analysis Method based on Model Checking
Lufeng et al. Network security evaluation through attack graph generation
Rothmaier et al. Using Spin and Eclipse for optimized high-level modeling and analysis of computer network attack models
Yuan et al. Automatically derived stateful network functions including non-field attributes
Shimizu et al. A trusted approach to design a network monitor
Arai et al. Model checking approach to real-time aspects of denial-of-service attack
Tuglular et al. Protocol-based testing of firewalls
Madeja Adaptabilní kombinace záchytů síťového provozu