TW202241095A - 在網路中攻擊路徑的自動推導方法 - Google Patents

在網路中攻擊路徑的自動推導方法 Download PDF

Info

Publication number
TW202241095A
TW202241095A TW111113559A TW111113559A TW202241095A TW 202241095 A TW202241095 A TW 202241095A TW 111113559 A TW111113559 A TW 111113559A TW 111113559 A TW111113559 A TW 111113559A TW 202241095 A TW202241095 A TW 202241095A
Authority
TW
Taiwan
Prior art keywords
network
attack
topology
attack path
comparator
Prior art date
Application number
TW111113559A
Other languages
English (en)
Inventor
布魯托梅索 羅伯特
卡瓦拉羅 科爾蒂 亞歷山德羅
卡魯洛 莫雷諾
卡卡諾 安德里亞
Original Assignee
瑞士商諾佐米網路公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 瑞士商諾佐米網路公司 filed Critical 瑞士商諾佐米網路公司
Publication of TW202241095A publication Critical patent/TW202241095A/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3604Software analysis for verifying properties of programs
    • G06F11/3608Software analysis for verifying properties of programs using formal methods, e.g. model checking, abstract interpretation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本發明公開一種網路中攻擊路徑的自動推導方法,包括將所述網路拓撲定義為一豐富的網路拓撲;將所述拓撲的漏洞識別為漏洞資訊工件;基於所述拓撲和所述漏洞建立所述網路的原子攻擊資料庫;將所述豐富的網路拓撲、所述漏洞資訊工件和所述原子攻擊資料庫轉換為一預定義的形式模型;對所述預定義的形式模型執行預定義的一基於可滿足性模理論的模型檢查器,以尋找反例;及從所述反例推導出所述攻擊路徑。 藉此,透過本發明的方法,可以最準確的方式生成攻擊路徑。

Description

在網路中攻擊路徑的自動推導方法
本發明涉及網路安全性原則領域。特別是,本發明涉及一種在網路中自動推導攻擊路徑的方法。
由於提供各種組合服務的安全影響,即使管理良好的網路也容易受到攻擊。也就是說,服務在單獨提供時是安全的,但在同時提供時則為攻擊者提供了可利用的漏洞。
目前的許多工具解決了單個主機中的漏洞。然而,解決因網路中各種主機的配置而導致的漏洞是重要的。虛實整合系統(cyber physical systems, CPS)和物聯網(Internet of Things,IoT)系統需要識別對手如何利用現有原子漏洞之間的相互依賴關係來將可能危及系統的攻擊組合在一起。
網路攻擊路徑分析是分析電腦網路安全狀況的一重要方法,可以自動分析網路漏洞與漏洞帶來的潛在威脅之間的關聯性。
通常,對漏洞和相關資訊進行關聯分析,抽出屬性來構建原子攻擊(atomic attacks)和相應的原子攻擊資料庫。網路攻擊模型由網路連接和主機配置所構成。通過匹配攻擊資料庫中的原子攻擊,採用比較演算法挖掘可能導致特定攻擊目標的潛在攻擊路徑。
網路安全全域視圖建模的一個組成部分是構建攻擊圖,其中準確的攻擊圖在系統安全中發揮著重要作用。對於超過一百個節點的攻擊圖,手動構建攻擊圖很繁瑣、容易出錯且不切實際。用於生成和分析攻擊圖的自動化技術是已知的。
一種眾所周知的方法是使用現有的模型檢查工具和結構描述工具來生成攻擊圖,其列舉了所有可能的序列集,其中可利用原子級漏洞來破解系統安全性。結構描述工具捕捉網路系統的形式化表達、其原子漏洞、它們的前置和後置條件以及感興趣的安全屬性。使用模型檢查器來自動識別反例形式的攻擊序列。所述模型檢查器解析反例,對反例進行編碼以放寬規範,並進行反覆運算,直到所有攻擊序列被揭示。最後,視覺化工具可以生成的攻擊圖的圖形表示。
因此,需要確保生成準確的攻擊路徑和相關的攻擊圖。
本發明的目的是提供一種能夠使用基於可滿足性模理論(SMT-based)的模型檢查器,以最準確的方式生成攻擊路徑的方法。
因此,根據本發明,描述了一種用於在網路中自動推導攻擊路徑的方法。
一種網路中攻擊路徑的自動推導方法,包括: -基於在所述網路中封包交換定義所述網路的拓撲為一豐富的網路拓撲; -識別所述拓撲的漏洞為漏洞資訊工件; -基於所述拓撲和所述漏洞建立所述網路的原子攻擊資料庫; -將所述豐富的網路拓撲、所述漏洞資訊工件和所述原子攻擊資料庫轉換為一預定義的形式模型; -對所述預定義的形式模型執行預定義的一基於可滿足性模理論的模型檢查器,以尋找反例;以及 -從所述反例推導出所述攻擊路徑; 其中,所述定義所述網路的拓撲包括: -通過可操作地連接到所述網路的一電腦化資料處理單元來運行所述網路的一深度封包檢測模組,以基於由所述深度封包檢測模組從所述封包中匯出的資訊來建立一網路拓撲; -通過電腦化資料處理單元來運行所述網路的一主動查詢模組,以基於構建所述豐富的網路拓撲的主動查詢從所述封包匯出的進一步資訊,來建立所述豐富網路拓撲,並將所述進一步資訊加入所述網路拓撲; 其中所述識別所述拓撲的漏洞包括: -通過所述電腦化資料處理單元來運行一漏洞評估模組,以基於所述豐富的網路拓撲的節點資訊與一預定義的漏洞資料庫的已知漏洞之間的匹配,來識別所述網路的每個節點的所述漏洞資訊工件;及 其中,所述建立(30)所述網路的原子攻擊資料庫包括: -通過所述電腦化資料處理單元來發現針對所述網路的一個或多個原子攻擊作為先決條件和動作,以及時捕捉系統在給定時刻的狀態,其中所述動作是以所述節點的一組特徵來表示。
在另一個實施例中,所述預定義的形式模型為一類似電路的形式模型。
在另一個實施例中,所述基於可滿足性模理論的模型檢查器是一類似電路的基於可滿足性模理論的模型檢查器。
在另一個實施例中,所述基於可滿足性模理論的模型檢查器定義了具有一全域時鐘的一電路,其將所述執行劃分為離散的時間步長。
在另一個實施例中,所述電路包括: -主輸入,作為來自外部輸入的資料可流入所述電路的埠; -主輸出,作為所述資料可流出所述電路的埠; -鎖存器,作為可保存所述資料的基本存放裝置元件; -閘,作為實現基本邏輯功能的無狀態組合元件; -比較器,作為無狀態算術比較器; -常量,作為數字、布林值或符號常量,在每個所述時間步長輸出相同的值。
在另一個實施例中,所述主輸入是布林類型或整數類型。
在另一個實施例中,所述主輸出是布林類型或整數類型。
在另一個實施例中,所述鎖存器是布林類型或整數類型。
在另一個實施例中,所述鎖存器存儲一第一值,表示當所述電路在第一時間步長啟動時它們保持的值。
在另一個實施例中,所述鎖存器在每個後續時間步長更新為一新值。
在另一個實施例中,所述閘的所述基本邏輯功能是及閘、或閘、反閘。
在另一個實施例中,所述閘取得布林類型的所述資料並返回布林類型的所述資料。
在另一個實施例中,所述無狀態算術比較器為≤比較器、<比較器、=比較器、>比較器、≥比較器。
在另一個實施例中,所述無狀態算術比較器取得整數類型的所述資料並返回布林類型的所述資料。
在另一個實施例中,在每個所述時間步長讀取當前時間步長的所述主輸入的主輸入值; 其中,在所述當前時間步長的所述主輸入值和在所述當前時間步長的所述鎖存器的鎖存器值是由所述閘處理; 其中,在後續時間步長的所述鎖存器值是由所述比較器產生;其中,在所述當前時間步長的所述主輸出的主輸出值是由所述比較器產生。
在另一個實施例中,對於每個所述節點和每個所述節點的每個所述特徵,創建一個鎖存器; 其中,在每個所述時間步長中的所述鎖存器值定義了在每個所述時間步長中的系統的所述狀態。
本發明涉及一種用於在網路中自動推導攻擊路徑的方法。
根據本發明的方法在連接在一網路中的任何種類的物質性基礎設施(physical infrastructures)或自動化系統中找到一有用的應用,特別是在工業自動化系統中,例如製造生產的工業過程、發電的工業過程、流體(水、石油和天然氣)分配的基礎設施、發電和/或傳輸電力的基礎設施、運輸管理的基礎設施。此外,還可以在所有技術環境中找到有用的應用,包括資訊技術 (Information Technology,IT)、運營技術(Operation Technology,OT)和物聯網。
在本發明中,術語“網路協定(network protocol)”是指一網路上實體之間的規則的系統,描述了組成要交換的消息的位元組(bytes)應如何構造以使實體互相理解。值得注意的網路協定示例有TCP/IP協定、Modbus協定、BACnet協定。
在本發明中,術語“封包(packet)”是指表示網路上實體之間交換的消息的位元組有限序列。每個協定為要發送和接收的封包定義了一個特定的結構。
在本發明中,術語“節點(node)”是指網路中能夠通過連接接收和/或發送資料的一裝置,所述連接基於電纜或無線電信號。一節點是用一唯一識別碼來識別,例如MAC位址或IP位址。
在本發明中,術語“邊(edge)”表示網路中的節點
Figure 02_image001
Figure 02_image003
通過協定
Figure 02_image005
的直接通信,其可例如標記為
Figure 02_image007
。兩個節點之間可能有幾個邊,每種使用的通信協定都有一個邊。
在本發明中,術語“網路拓撲圖(network topology graph)”是網路結構的抽象,可以表示為標號圖G(N,E,P
Figure 02_image009
,其中N是節點組,E是邊,P是協定組,使得每個邊都是元組
Figure 02_image007
,其中
Figure 02_image011
,
Figure 02_image013
在本發明中,術語“原子攻擊(atomic attack)”是指涉及網路的兩個節點的攻擊。原子攻擊由先決條件和動作所描述。先決條件是觸發攻擊需要滿足的條件清單。一個例子是:“目標節點有漏洞xyz”。動作是攻擊的影響,例如:“攻擊者在目標節點上獲得root權限”。
在本發明中,術語“攻擊路徑(attack path)”是指網路拓撲圖中的一路徑,所述路徑通過橫越邊(traversing edges)
Figure 02_image015
從源節點
Figure 02_image001
,開始(假定為攻擊者)到目標節點
Figure 02_image017
(假定為受害者)結束的路徑,可例如標記為
Figure 02_image019
。每個邊代表一原子攻擊的執行。此外,假定路徑中除
Figure 02_image001
之外的每個節點都運行易受攻擊的軟體,例如緩衝區溢位(buffer overflow)。
在本發明中,術語“深度封包檢測(deep packet inspection)”或“DPI”是指一種技術,包括偵聽網路流量並檢查捕捉的封包以獲取網路的屬性。例如,可利用有關足夠多的封包的來源和目的地的資訊來建立網路拓撲圖。
在本發明中,術語“主動查詢(active query)”或“AQ”是指通過向網路裝置發送定制的封包以強制回復包含所需資訊的方法來獲取網路知識的方法,例如裝置上的作業系統版本。
在本發明中,術語“漏洞(vulnerability)”是指裝置所使用的硬體元件或軟體的弱點,攻擊者可能會利用這些弱點來破解系統、竊取敏感資訊或獲得裝置的管理權限。可以通過公開可用的線上資源來獲取已知漏洞清單,例如Mitre組織以 JSON、XML或其他機器可讀格式提供的資源。
在本發明中,術語“漏洞評估(vulnerability assessment)”是指軟體或硬體類型的模組,它接收安裝在機器上的軟體清單作為輸入,並根據漏洞資料庫輸出影響軟體的漏洞組。
在本發明中,術語“形式模型(formal model)”是指一組通過將問題重作為等效但以形式語言表達來解決問題的技術,例如,一組數學或邏輯運算式。然後可以通過一自動化工具解決這些運算式,並可將解決方案轉換回原始問題中的解決方案。最突出的技術之一是模型檢查,其中問題被轉化為有限狀態自動機(finite state automaton)。模型檢查已成功用於工業環境中,用於通過一模型檢查器確定硬體和軟體的安全性。
以下結合第1圖描述根據本發明的網路中攻擊路徑的自動推導方法,其示出了根據本發明一實施例的方塊圖,並結合第2圖示出了根據本發明的一個實施例,對網路進行電路建模。
所述方法包括將網路拓撲定義為基於在所述網路中交換的封包的一豐富的網路拓撲,如方塊10所示。
特別地,定義所述網路拓撲包括通過可操作地連接到所述網路的一電腦化資料處理單元來運行所述網路的一深度封包檢測模組及所述網路的一主動查詢模組,如第1圖方塊10的子方塊所示。
所述深度封包檢測模組基於所述深度封包檢測模組從封包中獲取的資訊建立一網路拓撲。
因此,所述網路拓撲可以通過連接到同一網路的機器自動從網路編譯,並對通過網路的流量執行深度封包檢測。例如,所述網路拓撲可以重構如下:對於每個封包,為來源創建一個節點、為目的地創建一個節點、以及一條標記識別協定的邊,連接兩個節點。因此可以精確地識別網路上的裝置,並構建相應的網路拓撲圖。此資訊可容易地以一機器可讀的格式匯出。深度封包檢測還可用於推斷有關特定裝置上運行的作業系統和軟體的資訊。
所述主動查詢模組基於構建所述豐富的網路拓撲的主動查詢從所述封包匯出的進一步的資訊,來建立所述豐富的網路拓撲,並將所述進一步的資訊添加到所述網路拓撲中,如所述深度封包檢測中已定義的那樣。
足夠長的深度封包檢測和主動查詢模組運行可以生成正在檢查的所述網路的非常詳細的知識庫。
之後,所述方法包括將所述拓撲的漏洞識別為漏洞資訊工件,如方塊20所示。
特別是,識別所述漏洞包含通過所述電腦化資料處理單元來運行一漏洞評估模組,以基於所述豐富的網路拓撲的節點資訊與一預定義的漏洞資料庫的已知漏洞之間的匹配,來識別所述網路各節點的漏洞資訊工件。
特別是,所述識別所述漏洞包含通過所述電腦化資料處理單元來運行一漏洞評估模組,以基於所述豐富的網路拓撲的節點資訊與一預定義的漏洞資料庫的已知漏洞之間的匹配,來識別所述網路各節點的漏洞資訊工件。
如連接方塊10和方塊20的虛線箭頭所示,所述識別所述漏洞將深度封包檢測和主動查詢模組獲得的網路節點上可用軟體的資訊與一漏洞資料庫相匹配,以在網路圖的每個節點添加與其運行軟體有關的已知漏洞。具有與其運行軟體相關的已知漏洞的網路圖。此過程產生漏洞資訊工件。此程式產生漏洞資訊工件。
之後,所述方法包括基於所述拓撲和所述漏洞來建立所述網路的原子攻擊資料庫,如方塊30所示。
特別是,建立所述原子攻擊資料庫包括通過所述電腦化資料處理單元來找到用於所述網路的一個或多個原子攻擊作為先決條件和動作,以在一給定時刻及時捕捉系統的狀態,其中動作以節點的一組特徵來表示。
如連接方塊10和方塊30的虛線箭頭所示,原子攻擊資料庫的構建使用深度封包檢測和帶有漏洞資料庫的主動查詢模組所獲得的網路節點上可用軟體的資訊,來捕捉系統在給定時刻的狀態。
因此,原子攻擊資料庫是根據先決條件和動作描述的原子攻擊列表,這些條件和動作用節點的一組特徵來表示,這是在一給定時刻及時捕獲系統狀態所必需的,通過以下的例子可更好地理解。
考慮以下特徵: - privilege:用戶對節點擁有的權限級別。它可採用{none,user,admin}的值。 -health:節點的健康狀態。它可採用{ok,leak}的值。 -CVE-2016-3266:漏洞是否存在節點上。它可以採用{true,false}的值。此漏洞允許本地使用者在目標節點上獲得管理員權限。 給定一個節點x和一個特徵k,我們使用標記x[k]表示節點的目前的狀態,使用x'[k]表示節點的下一個狀態。這些特徵可用於描述如下兩種原子攻擊,其中我們假設x和y在網路中連接。 第一次攻擊可以形式化如下:CVE-2020-3847記憶體洩漏。 -來源機器:x -目的機器:y -先決條件:
Figure 02_image021
Figure 02_image023
Figure 02_image025
-先決條件:
Figure 02_image027
第二次攻擊可以形式化如下:CVE-2016-3266權限增益(privilege gain) 。 -來源機器和目的機器相同:x -先決條件:
Figure 02_image029
Figure 02_image031
-先決條件:
Figure 02_image033
我們假設所述資料庫已由安全專家編譯,其內容以一機器可讀格式提供,例如JSON、XML或CSV。
之後,所述方法包括將所述豐富的網路拓撲、所述漏洞資訊工件和所述原子攻擊資料庫轉換為一預定義的形式模型,如方塊40所示。如從方塊10、20和30會合到方塊40的實線箭頭所示,轉換器模組接收網路拓撲資訊、漏洞資訊、原子攻擊資料庫作為輸入,並將模型轉換為一預定義的形式模型。
在一個實施例中,所述預定義的形式模型是一類似電路(circuit-like)的形式模型。
之後,所述方法包括對預定義的形式模型執行預定義的一基於可滿足性模理論(SMT-based)的模型檢查器,以尋找反例,如方塊50所示。如方塊40到方塊50的實線箭頭所示,執行預定義的基於可滿足性模理論的模型檢查器是在預定義的形式模式上完成的。
在一個實施例中,基於可滿足性模理論的模型檢查器是類似電路的基於可滿足性模理論的模型檢查器。此外,類似電路的基於可滿足性模理論的模型檢查器定義了一個具有全域時鐘的一電路,其將執行劃分為離散的時間步長。優選地,包括: -主輸入,作為來自外部輸入的資料可流入所述電路的埠; -主輸出,作為所述資料可流出所述電路的埠; -鎖存器,作為可保存所述資料的基本存放裝置元件; -閘,作為實現基本邏輯功能的無狀態組合元件; -比較器,作為無狀態算術比較器; -常量,作為數字、布林值或符號常量,在每個所述時間步長輸出相同的值。
輸入語言可以定義為Intrepid模型檢查器。特別是,Intrepid 輸入語言,以及不同的類似電路的模型檢查器,允許使用一全域時鐘來描述電路,其將執行劃分為離散的時間步長。所述電路包括: -主輸入(PI),外部輸入的資料可流入所述電路的埠。它們可以是布林類型或整數類型。 -主輸出(PO),資料可流出所述電路的埠。它們可以是布林類型或整數類型。 -鎖存器(Latches),可保存所述資料的基本存放裝置元件。它們可以是布林類型或整數類型。此外,它們存儲一初始值(第一個值),表示當所述電路第一次啟動時(時間步長0)它們所保持的值。所述鎖存器在每個後續時間步長都更新為一個新值。 -閘(Gates),實現基本邏輯功能的無狀態組合元件,例如”與”(AND)閘、”或”(OR)閘、”非”(NOT)閘。它們獲取布林類型的資料並返回一布林值。 -比較器(Comparators),無狀態算術比較器,例如≤比較器、<比較器、=比較器、>比較器、≥比較器。它們獲取整數類型的資料並返回一布林值。 -常量(Constants),數字、布林值或符號常量,在每個所述時間步長輸出相同的值。
所述電路操作如下:在每個時間步長,讀取當前時間步長的主輸入(PI) 的主要輸入值。這些在當前時間步長的主要輸入值和在當前時間步長的鎖存器的鎖存器值是由閘處理。後續時間步長的鎖存器值由比較器生成,當前時間步長的主輸出(PO)的主要輸出值由所述比較器生成。為每個節點和每個節點的每個特徵創建一鎖存器。此外,每個時間步長中的鎖存器值定義了每個時間步中系統的狀態。
為了執行轉換,需要收集所述系統的所有有趣狀態。這些狀態可以從所述原子攻擊資料庫中收集:它們是每次原子攻擊中提到的所有特徵F的集合。然後,對每個節點n,對每個特徵k,創建一個鎖存器n[k],總共 |N|×|F|鎖存器。在時間t存儲在這些鎖存器中的設定值是所述網路在時間t的狀態。在第一次原子攻擊開始之前,每個鎖存器都使用所述網路狀態進行初始化。在轉換中,使用了一次原子攻擊只需執行一個步驟的隱含假設。在個時間步長都可能發生原子攻擊。每個原子攻擊都用一個整數id標識。在轉換中,創建了一主輸入chosen_attack:此輸入模擬在一時間步長觸發的攻擊的非確定性選擇。接著根據chosen_attack和每次攻擊的先決條件,以“case-statement”的電路等效來計算每個鎖存器的下一個狀態邏輯。
考慮以下示例。假設所述網路由通過邊來連接的兩個節點x和y所組成,並考慮示例1的設置。然後,對鎖存器 y [health]的下一個狀態函數進行建模的電路是第2圖中呈現的電路(圖中x[privilege]、y [CVE_2020_3847]的下一個狀態函數,其餘電路未顯示)。
上述類似電路的轉換可以通過其Python API傳遞給Intrepid。API公開了用來創建輸入、鎖存器、閘、常量、比較器以及設置鎖存器的初始和下一個狀態函數的函數。
模型檢查器運行所需的另一件事是屬性。屬性是在網路的每個狀態中都必須成立的條件。例如,程式設計語言
Figure 02_image035
表示在所述網路中,攻擊者絕不能獲得節點y的管理員權限。在類似電路的轉換中,屬性可以用小的子電路表示,其輸出在所述模型檢查器中設置為始終為固定值。
之後,所述方法包括從反例匯出所述攻擊路徑,如方塊60所示。
模型檢查器的執行可能需要很長的執行時間,但最終會通過聲明所述屬性始終在系統中存在或通過提供一反例(一組從初始狀態導致違反屬性的狀態)來終止。在本案例中,對屬性的違反對應於找到了一個攻擊路徑,例如,在目的機器上獲取管理員權限。
Intrepid的一個反例列出了每個時間步長的每個鎖存器和輸入,因此可以重構每個步驟的每個原子攻擊。
10:步驟 20:步驟 30:步驟 40:步驟 50:步驟 60:步驟
本發明的這些和進一步的特徵和優點將從優選實施例的公開中變得明顯,這些優選實施例通過附圖中的非限制性示例示出,其中: 第1圖示出了根據本發明實施例的方塊圖; 第2圖示出了根據本發明實施例的電路建模網路。
10:步驟
20:步驟
30:步驟
40:步驟
50:步驟
60:步驟

Claims (16)

  1. 一種在網路中攻擊路徑的自動推導方法,包含︰ 基於在所述網路中封包交換定義(10)所述網路的拓撲 為一豐富的網路拓撲; 識別(20)所述拓撲的漏洞 為漏洞資訊工件; 基於所述拓撲和所述漏洞建立(30)所述網路的原子攻擊資料庫; 將所述豐富的網路拓撲、所述漏洞資訊工件和所述原子攻擊資料庫轉換(40)為一預定義的形式模型; 對所述預定義的形式模型執行(50)預定義的一基於可滿足性模理論的模型檢查器,以尋找反例;以及 從所述反例推導(60)出所述攻擊路徑; 其中,所述定義(10)所述網路的拓撲包括: 通過可操作地連接到所述網路的一電腦化資料處理單元來運行所述網路的一深度封包檢測模組,以基於由所述深度封包檢測模組從所述封包中匯出的資訊來建立一網路拓撲; 通過電腦化資料處理單元來運行所述網路的一主動查詢模組,以基於構建所述豐富的網路拓撲的主動查詢從所述封包匯出的進一步資訊,來建立所述豐富網路拓撲,並將所述進一步資訊加入所述網路拓撲; 其中所述識別(20)所述拓撲的漏洞包括: 通過所述電腦化資料處理單元來運行一漏洞評估模組,以基於所述豐富的網路拓撲的節點資訊與一預定義的漏洞資料庫的已知漏洞之間的匹配,來識別所述網路的每個節點的所述漏洞資訊工件;及 其中,所述建立(30)所述網路的原子攻擊資料庫包括: 通過所述電腦化資料處理單元來發現針對所述網路的一個或多個原子攻擊作為先決條件和動作,以及時捕捉系統在給定時刻的狀態,其中所述動作是以所述節點的一組特徵來表示。
  2. 如請求項1所述的在網路中攻擊路徑的自動推導方法,其中:所述預定義的形式模型是一類似電路的形式模型。
  3. 如請求項1所述的在網路中攻擊路徑的自動推導方法,其中:所述基於可滿足性模理論的模型檢查器是一類似電路的基於可滿足性模理論的模型檢查器。
  4. 如請求項3所述的在網路中攻擊路徑的自動推導方法,其中:所述基於可滿足性模理論的模型檢查器定義了具有一全域時鐘的一電路,所述全域時鐘將所述執行劃分為離散的時間步長。
  5. 如請求項4所述的在網路中攻擊路徑的自動推導方法,其中:所述電路包括: 主輸入,作為來自外部輸入的資料可流入所述電路的埠; 主輸出,作為所述資料可流出所述電路的埠; 鎖存器,作為可保存所述資料的基本存放裝置元件; 閘,作為實現基本邏輯功能的無狀態組合元件; 比較器,作為無狀態算術比較器; 常量,作為數字、布林值或符號常量,在每個所述時間步長輸出相同的值。
  6. 如請求項5所述的在網路中攻擊路徑的自動推導方法,其中:所述主輸入是布林類型或整數類型。
  7. 如請求項5所述的在網路中攻擊路徑的自動推導方法,其中:所述主輸出是布林類型或整數類型。
  8. 如請求項5所述的在網路中攻擊路徑的自動推導方法,其中:所述鎖存器是布林類型或整數類型。
  9. 如請求項5所述的在網路中攻擊路徑的自動推導方法,其中:所述鎖存器存儲一第一值,表示當所述電路在第一時間步長啟動時它們保持的值。
  10. 如請求項9所述的在網路中攻擊路徑的自動推導方法,其中:所述鎖存器在每個後續時間步長更新為一新值。
  11. 如請求項5所述的在網路中攻擊路徑的自動推導方法,其中:所述閘的所述基本邏輯功能是及閘、或閘、反閘。
  12. 如請求項5所述的在網路中攻擊路徑的自動推導方法,其中:所述閘取得布林類型的所述資料並返回布林類型的所述資料。
  13. 如請求項5所述的在網路中攻擊路徑的自動推導方法,其中: 所述無狀態算術比較器為≤比較器、<比較器、=比較器、>比較器、≥比較器。
  14. 如請求項5所述的在網路中攻擊路徑的自動推導方法,其中:所述無狀態算術比較器取得整數類型的所述資料並返回布林類型的所述資料。
  15. 如請求項5所述的在網路中攻擊路徑的自動推導方法,其中:在每個所述時間步長讀取當前時間步長的所述主輸入的主輸入值, 其中,在所述當前時間步長的所述主輸入值和在所述當前時間步長的所述鎖存器的鎖存器值是由所述閘處理, 其中,在後續時間步長的所述鎖存器值是由所述比較器產生,以及 其中,在所述當前時間步長的所述主輸出的主輸出值是由所述比較器產生。
  16. 如請求項15所述的在網路中攻擊路徑的自動推導方法,其中:對於每個所述節點和每個所述節點的每個所述特徵,創建一個鎖存器,以及 其中,在每個所述時間步長中的所述鎖存器值定義了在每個所述時間步長中的系統的所述狀態。
TW111113559A 2021-04-08 2022-04-08 在網路中攻擊路徑的自動推導方法 TW202241095A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/225,392 2021-04-08
US17/225,392 US11831671B2 (en) 2021-04-08 2021-04-08 Method for automatic derivation of attack paths in a network

Publications (1)

Publication Number Publication Date
TW202241095A true TW202241095A (zh) 2022-10-16

Family

ID=81324931

Family Applications (1)

Application Number Title Priority Date Filing Date
TW111113559A TW202241095A (zh) 2021-04-08 2022-04-08 在網路中攻擊路徑的自動推導方法

Country Status (9)

Country Link
US (1) US11831671B2 (zh)
EP (1) EP4072066A1 (zh)
JP (1) JP2022161880A (zh)
KR (1) KR20220139807A (zh)
CN (1) CN115208609A (zh)
BR (1) BR102022006585A2 (zh)
CA (1) CA3154249A1 (zh)
MX (1) MX2022004354A (zh)
TW (1) TW202241095A (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115913640B (zh) * 2022-10-19 2023-09-05 南京南瑞信息通信科技有限公司 一种基于攻击图的大型网络攻击推演及风险预警方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020032871A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for detecting, tracking and blocking denial of service attacks over a computer network
US7200105B1 (en) * 2001-01-12 2007-04-03 Bbn Technologies Corp. Systems and methods for point of ingress traceback of a network attack
AU2003261154A1 (en) * 2002-07-12 2004-02-02 The Penn State Research Foundation Real-time packet traceback and associated packet marking strategies
US6952779B1 (en) * 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
WO2010042979A1 (en) * 2008-10-13 2010-04-22 Swinburne University Of Technology Process and system for assessing network vulnerability
US8601414B2 (en) * 2009-11-12 2013-12-03 The Regents Of The University Of Michigan Automated scalable verification for hardware designs at the register transfer level
WO2014063110A1 (en) * 2012-10-19 2014-04-24 ZanttZ, Inc. Network infrastructure obfuscation
US10841332B2 (en) * 2015-12-14 2020-11-17 Siemens Industry, Inc. System and method for passive assessment of industrial perimeter security
US10298619B2 (en) * 2016-12-16 2019-05-21 Nicira, Inc. Application template generation and deep packet inspection approach for creation of micro-segmentation policy for network applications
US10812499B2 (en) * 2017-11-09 2020-10-20 Accenture Global Solutions Limited Detection of adversary lateral movement in multi-domain IIOT environments
US10819727B2 (en) * 2018-10-15 2020-10-27 Schweitzer Engineering Laboratories, Inc. Detecting and deterring network attacks

Also Published As

Publication number Publication date
KR20220139807A (ko) 2022-10-17
CA3154249A1 (en) 2022-10-08
BR102022006585A2 (pt) 2022-10-11
EP4072066A1 (en) 2022-10-12
MX2022004354A (es) 2022-10-10
CN115208609A (zh) 2022-10-18
US20220329617A1 (en) 2022-10-13
JP2022161880A (ja) 2022-10-21
US11831671B2 (en) 2023-11-28

Similar Documents

Publication Publication Date Title
US9729582B2 (en) Methods, systems, and computer readable media for generating software defined networking (SDN) policies
Sija et al. A survey of automatic protocol reverse engineering approaches, methods, and tools on the inputs and outputs view
CN112153030B (zh) 一种基于形式化验证的物联网协议安全性自动分析方法与系统
Bringhenti et al. Improving the formal verification of reachability policies in virtualized networks
Yadav et al. IoT-PEN: An E2E penetration testing framework for IoT
Hansch et al. Deriving impact-driven security requirements and monitoring measures for industrial IoT
CN111193640B (zh) 采用策略分解和符号执行的有状态数据平面故障检测方法
TW202241095A (zh) 在網路中攻擊路徑的自動推導方法
CN111698110B (zh) 一种网络设备性能分析方法、系统、设备及计算机介质
Backes et al. Causality-based abstraction of multiplicity in security protocols
Amoah et al. Security analysis of the non-aggressive challenge response of the DNP3 protocol using a CPN model
Ján et al. Intrusion detection system behavior as resource-oriented formula
Shim et al. SigBox: Automatic Signature Generation Method for Fine-Grained Traffic Identification.
Shu et al. A formal methodology for network protocol fingerprinting
CN112491801B (zh) 一种基于关联矩阵的面向对象网络攻击建模方法及装置
Yuan et al. Automatically derived stateful network functions including non-field attributes
Lufeng et al. Network security evaluation through attack graph generation
Feng et al. Generating attack scenarios for attack intention recognition
Schnepf et al. Automated Orchestration of Security Chains Driven by Process Learning
El Hamzaoui et al. On Formal Modeling and Validation of Signaling Protocols for Web Real-Time Communications using SDL
Ananda et al. Robustness Evaluation of Cyber Physical Systems through Network Protocol Fuzzing
Fu et al. Validation of security protocol implementations from security objectives
Shimizu et al. A trusted approach to design a network monitor
Marchetto et al. A VNF modeling approach for verification purposes
Moon Practical Black-Box Analysis for Network Functions and Services