CN111786947A - 攻击图的生成方法、装置、电子设备及存储介质 - Google Patents
攻击图的生成方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111786947A CN111786947A CN202010420219.2A CN202010420219A CN111786947A CN 111786947 A CN111786947 A CN 111786947A CN 202010420219 A CN202010420219 A CN 202010420219A CN 111786947 A CN111786947 A CN 111786947A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- scanning
- information
- vulnerability information
- attack graph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种攻击图的生成方法、装置、电子设备及存储介质。所述方法包括:对目标网络进行扫描,得到网络特征信息和第一漏洞信息;根据所述网络特征信息,确定所述目标网络中正在运行的主机和端口;对所述正在运行的主机和端口进行扫描,得到第二漏洞信息;将所述第一漏洞信息与所述第二漏洞信息进行合并;根据所述网络特征信息和合并后的漏洞信息,生成所述目标网络的攻击图。本发明实施例能够提高扫描效率和准确率,进而提高攻击图的准确性。
Description
技术领域
本发明涉及网络空间安全技术领域,尤其涉及一种攻击图的生成方法、装置、设备及存储介质。
背景技术
目前破坏网络组织而可能采取的攻击路径非常多,攻击者可以通过利用各种网络主机上的一系列漏洞并在每个步骤获得某些特权来入侵目标网络。而攻击图这种风险评估方法,可以表示攻击者可能的攻击方式,可用于网络安全指标计算、网络强化、近实时安全分析等。
现有技术主要采用OVAL(open vulnerability and assessment language,开放漏洞评估语言)扫描工具来对目标网络进行扫描,以收集机器配置信息,并将配置信息与正式建议进行比较,以评估***上是否存在漏洞。但是,OVAL收到新的扫描建议时,必须在每个主机上重复扫描,导致扫描效率低下,而且单个工具扫描漏洞,会导致扫描准确率低下,进而导致攻击图的准确性低下。
发明内容
有鉴于此,本发明的目的在于提出一种攻击图的生成方法、装置、设备及存储介质,以解决现有技术中扫描效率和准确率低下,导致攻击图准确性低下的问题。
基于上述目的,本发明提供了一种攻击图的生成方法,包括:
对目标网络进行扫描,得到网络特征信息和第一漏洞信息;
根据所述网络特征信息,确定所述目标网络中正在运行的主机和端口;
对所述正在运行的主机和端口进行扫描,得到第二漏洞信息;
将所述第一漏洞信息与所述第二漏洞信息进行合并;
根据所述网络特征信息和合并后的漏洞信息,生成所述目标网络的攻击图。
进一步地,所述对目标网络进行扫描,得到网络特征信息和第一漏洞信息,具体包括:
设置带宽消耗要求和扫描时间要求;
根据所述带宽消耗要求和扫描时间要求,确定扫描策略;
根据所述扫描策略,对所述目标网络进行扫描,得到网络特征信息和第一漏洞信息。
进一步地,所述根据所述带宽消耗要求和扫描时间要求,确定扫描策略,具体包括:
分别将预存的多个扫描参数中的每个扫描参数作为目标扫描参数,检测多种主机基于所述目标扫描参数进行扫描的带宽消耗;所述多种主机的主机数量不同;
确定满足所述带宽消耗要求的带宽消耗所对应的扫描参数;
分别将预存的多个时间选项中的每个时间选项作为目标时间选项,检测多种主机基于所述目标时间选项进行扫描的扫描时间;
确定满足所述扫描时间要求的扫描时间所对应的时间选项;
根据确定的扫描参数和时间选项,确定扫描策略。
进一步地,所述第一漏洞信息和所述第二漏洞信息均包括至少一个漏洞;
在所述将所述第一漏洞信息与所述第二漏洞信息进行合并之前,还包括:
分别对所述第一漏铜信息和所述第二漏洞信息中的每个漏洞进行初评分;
去除所述第一漏铜信息和所述第二漏洞信息中初评分低于预设阈值的漏洞。
进一步地,所述第一漏洞信息和所述第二漏洞信息均包括至少一个漏洞及每个漏洞的漏洞类型;
所述方法还包括:
分别对所述第一漏铜信息和所述第二漏洞信息中的每个漏洞进行初评分;
根据所述每个漏洞的漏洞类型,确定所述每个漏洞的权重;
根据所述每个漏洞的初评分及权重,确定所述每个漏洞的评分。
进一步地,所述方法还包括:
确定所述每个漏洞所属的***;
根据所属同一***的所有漏洞的评分,确定相应***的整体漏洞评分。
进一步地,所述第一漏洞信息和所述第二漏洞信息的数据格式不同;
所述将所述第一漏洞信息与所述第二漏洞信息进行合并;
分别将所述第一漏洞信息和所述第二漏洞信息的数据格式转换为预设格式;
将转换为预设格式的第一漏洞信息和第二漏洞信息进行合并。
本发明还提供了一种攻击图的生成装置,所述装置包括:
第一扫描模块,用于对目标网络进行扫描,得到网络特征信息和第一漏洞信息;
确定模块,用于根据所述网络特征信息,确定所述目标网络中正在运行的主机和端口;
第二扫描模块,用于对所述正在运行的主机和端口进行扫描,得到第二漏洞信息;
合并模块,用于将所述第一漏洞信息与所述第二漏洞信息进行合并;以及,
生成模块,用于根据所述网络特征信息和合并后的漏洞信息,生成所述目标网络的攻击图。
本发明还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述攻击图的生成方法。
本发明还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行上述攻击图的生成方法。
从上面所述可以看出,本发明提供的攻击图的生成方法、装置、设备及存储介质,能够先对目标网络进行第一次扫描,得到网络特征信息和第一漏洞信息,进而根据网络特征信息确定目标网络中正在运行的主机端口,以针对正在运行的主机和端口进行第二次扫描,得到第二漏洞信息,进而将第一漏洞信息与所述第二漏洞信息进行合并,并根据网络特征信息和合并后的漏洞信息,生成目标网络的攻击图,以通过多次扫描提高漏洞扫描的准确率,且针对正在运行的主机和端口进行第二次扫描,提高扫描效率,从而使生成攻击图的配置信息更加有效、准确、全面,以生成更准确的攻击图。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的攻击图的生成方法的流程示意图;
图2为本发明实施例提供的攻击图的生成方法的另一流程示意图;
图3本发明实施例提供的室内环境下的网络切换装置的结构示意图;
图4本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
需要说明的是,除非另外定义,本发明实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
参见图1,为本发明实施例提供的攻击图的生成方法的流程示意图。所述攻击图的生成方法包括步骤101至105:
101、对目标网络进行扫描,得到网络特征信息和第一漏洞信息。
本发明实施例中,目标网络的第一次扫描可以采用NMAP(Network Mapper,Linux下的网络扫描和嗅探工具包)扫描工具,由于NMAP的开源特性,用户可以通过脚本编写实现NMAP丰富的功能,例如整个子网的主机或者端口的打开还是关闭状态;探查是否被防火墙等中间设备过滤;漏洞检测,网络拓扑可视化等等功能。
采用NMAP进行扫描时,先确定目标网络的拓扑结构,对目标网络的拓扑结构进行扫描,得到网络特征信息,该网络特征信息包括主机配置信息(包括开放的端口、端口运行的服务、存在的漏洞等)、网络配置信息和网络用户主体等信息。然后,对目标网络进行漏洞扫描,得到第一漏洞信息,第一漏洞信息包括至少一个漏洞,且该第一漏洞信息可以以CVE(Common Vulnerabilities&Exposures,公共漏洞和暴露)的形式进行显示。
由于NMAP一款非常嘈杂的工具,会产生大量的网络流量,有时会消耗大量带宽(比如一台主机的扫描就会生成大约4M的网络流量),因此本发明提出对NMAP的扫描进行优化。
具体地,步骤101中的所述对目标网络进行扫描,得到网络特征信息和第一漏洞信息,包括:
设置带宽消耗要求和扫描时间要求;
根据所述带宽消耗要求和扫描时间要求,确定扫描策略;
根据所述扫描策略,对所述目标网络进行扫描,得到网络特征信息和第一漏洞信息。
需要说明的是,在扫描时,根据实际需求,设置带宽消耗要求和扫描时间要求,以确定扫描策略,进而根据扫描策略优化扫描。由于NMAP可提供多种扫描参数和多种时间选项,因此可通过设置NMAP的不同扫描参数和时间选项来确定扫描策略。
具体地,所述根据所述带宽消耗要求和扫描时间要求,确定扫描策略,包括:
分别将预存的多个扫描参数中的每个扫描参数作为目标扫描参数,检测多种主机基于所述目标扫描参数进行扫描的带宽消耗;所述多种主机的主机数量不同;
确定满足所述带宽消耗要求的带宽消耗所对应的扫描参数;
分别将预存的多个时间选项中的每个时间选项作为目标时间选项,检测多种主机基于所述目标时间选项进行扫描的扫描时间;
确定满足所述扫描时间要求的扫描时间所对应的时间选项;
根据确定的扫描参数和时间选项,确定扫描策略。
需要说明的是,NMAP的扫描参数可以包括-A参数(***探测、版本探测、脚本扫描和跟踪扫描等)、-SN参数(使用ICMP数据包来探查网络中的主机)、IP扫描参数和65535TCP端口扫描参数等。时间选项包括默认选项、T3选项、T4选项和T5选项。多种主机包括单台主机、C类主机(主机数量为250台)和B类主机(主机数量未65000台)。
检测多种主机基于每个扫描参数进行扫描的带宽消耗:使用-A参数扫描,单台主机消耗带宽47852字节,C类主机消耗带宽250*47852字节=11.963mb,B类主机消耗带宽65000*47852字节=4782278116字节=3110.510mb;使用-SN参数扫描,单台主机消耗带宽74字节,C类主机消耗带宽250*74字节=0.0185mb,B类主机消耗带宽65000*74字节=4.810mb;使用IP扫描参数,单台主机消耗带宽47852字节,C类主机消耗带宽250*47852字节=11.963mb,B类主机消耗带宽65000*47852字节=4782278116字节=3110.510mb;使用65535TCP端口扫描参数,单台主机消耗带宽3331k,C类主机消耗带宽250*3331k=832.750mb,B类主机消耗带宽65000*3331k=216515mb。
检测多种主机基于每个时间选项进行扫描的扫描时间:使用默认选项,单台主机的扫描时间为25.73秒,C类主机的扫描时间为250*25.73=6432.5秒,B类主机的扫描时间为65000*25.73=1672450秒;使用T3选项,单台主机的扫描时间为17.92秒,C类主机的扫描时间为250*17.92=4480秒,B类主机的扫描时间为65000*17.92=1164800秒;使用T4选项,单台主机的扫描时间为20.61秒,C类主机的扫描时间为250*20.61=5152.5秒,B类主机的扫描时间为65000*20.61=1339650秒;使用T5选项,单台主机的扫描时间为14.72秒,C类主机的扫描时间为250*14.72=3680秒,B类主机的扫描时间为65000*14.72=956800秒。
在获取多种主机使用每个扫描参数的带宽消耗以及使用每个时间选项的扫描时间后,可以将扫描结果以柱状图的形式展现,即通过柱状图可以直观看到不同主机数量、不同时间选项、不同扫描参数对应的带宽消耗和扫描时间。在实际扫描时,根据具体需求,选取扫描参数和时间选项,以确定NMAP的扫描策略,并根据确定的扫描策略优化扫描,避免盲目扫描造成网络资源和时间的浪费。
102、根据所述网络特征信息,确定所述目标网络中正在运行的主机和端口。
本发明实施例中,网络特征信息中可以包括每个主机和端口的状态信息,从网络特征信息中选出正在运行的主机和端口,即活跃的主机和端口。
103、对所述正在运行的主机和端口进行扫描,得到第二漏洞信息。
本发明实施例中,第二次扫描可以采用NESSUS扫描工具,第二次扫描可以只进行漏洞扫描。NMAP将正在运行的主机和端口信息输入至NESSUS,使NESSUS针对正在运行的主机和端口进行扫描,而无需对整个目标网络进行扫描,有效提高扫描效率。
NESSUS输出的第二漏洞信息包括至少一个漏洞及对应的漏洞等级,漏洞等级可以包括危险、高、中、低等,且第二漏洞信息可以以饼状图的形式进行显示。
在获取第一漏洞信息和第二漏洞信息后,可以基于CVSS(Common VulnerabilityScoring System,通用漏洞评估***)分别对第一漏洞信息和第二漏洞信息中的漏洞进行评估和筛选。
具体地,所述方法还包括:
分别对所述第一漏铜信息和所述第二漏洞信息中的每个漏洞进行初评分;
去除所述第一漏铜信息和所述第二漏洞信息中初评分低于预设阈值的漏洞。
需要说明的是,采用CVSS对每个漏洞进行初评分,若漏洞的初评分位于7~10之间,则判定该漏洞级别为严重;若漏洞的初评分位于4~6.9之间,则判定该漏洞级别为中;若漏洞的初评分位于0~3.9之间,则判定该漏洞的级别为低。去除第一漏洞信息和第二漏洞信息中级别为低的漏洞,或者,预先设置初评分的阈值为4,若漏洞的初评分大于或等于4,则保留该漏洞,若漏洞的初评分小于4,则去除该漏洞。由于评分低或等级为低的漏洞风险较低,不构成威胁,因此对这些漏洞进行舍弃,即不将这些漏洞作为攻击图的配置信息,有助于提高攻击图生成效率,降低攻击图的复杂性。
由于CVSS的初评分并未关注漏洞的类型,导致CVSS的初评分效果并不十分理想,因此在CVSS初评分的基础上,结合第一漏洞信息和第二漏洞信息中每个漏洞的漏洞类型,确定每个漏洞的评分。
具体地,所述方法还包括:
分别对所述第一漏铜信息和所述第二漏洞信息中的每个漏洞进行初评分;
根据所述每个漏洞的漏洞类型,确定所述每个漏洞的权重;
根据所述每个漏洞的初评分及权重,确定所述每个漏洞的评分。
需要说明的是,针对不同类型的漏洞,设置不同的权重。例如,在侦听的应用程序存在活动漏洞,可以设置该类型漏洞的权重为1;如果应用程序正在运行,但未在打开的端口上进行侦听,则利用漏洞需要对计算机进行抢先渗透,因此可以将该类型漏洞的权重设置为0.8,以降低CVSS初评分,因为该应用程序无法直接进行访问;必须通过启动应用程序来激活未使用的应用程序的被动漏洞,攻击者必须渗透***并启动应用程序,然后才能从相应的漏洞中受益,因此该类型漏洞的权重可以设置为0.5。
在确定每个漏洞的权重后,将每个漏洞的初评分及对应的权重相乘,即可得到每个漏洞最终的评分。本发明结合CVSS初评分和漏洞类型得到漏洞最终的评分,有效提高单个漏洞评分的准确性。
如果只是单单看单个漏洞,分数为10的***所获得的总体分数要高于分数为8的具有20个漏洞的***,这显然不合理。因此需要针对***,组合当个漏洞的评分。
具体地,所述方法还包括:
确定所述每个漏洞所属的***;
根据所属同一***的所有漏洞的评分,确定相应***的整体漏洞评分。
需要说明的是,将所属同一***的所有漏洞的评分进行组合,组合的方式可以有多种,例如加法、乘法、对数等等,优选为对数,以将***的整体漏洞分数控制为一个合适的度量,保证***中漏洞的数量尽量清楚,同时保证整体漏洞分数不会***性地增长。
104、将所述第一漏洞信息与所述第二漏洞信息进行合并。
本发明实施例中,由于采用不同的扫描工具进行两次漏洞扫描,导致两次扫描得到的第一漏洞信息和第二漏洞信息的数据格式不同,因此在生成攻击图之前,还需采用一个通用数据模型对第一漏洞信息和第二漏洞信息进行合并。
具体地,步骤中的所述将所述第一漏洞信息与所述第二漏洞信息进行合并;
分别将所述第一漏洞信息和所述第二漏洞信息的数据格式转换为预设格式;
将转换为预设格式的第一漏洞信息和第二漏洞信息进行合并。
需要说明的是,通用数据模型应该易于理解且易于由计算机解释,为了提供给之后的攻击图构造工具,通用数据模型应适合于漏洞信息的正式表示。
例如,NMAP提供了一种数据模型,用于包含其自己的扫描结果。但是,其严格针对NMAP的端口扫描程序的功能,很难包含其他类型的扫描结果。NESSUS漏洞扫描程序还提供了一种数据格式来表示所揭示的信息,但其更多地侧重于漏洞的分析和预测。因此需要将不同数据格式的第一漏洞信息和第二漏洞信息转换为预设格式,如自定义的XML文件格式。
通用数据模型分为三个顶级分支,涵盖了集成扫描的各个方面。一个分支包含多种扫描工具的组合扫描结果;另一个分支包含用于集成扫描的抽象配置;最后一个分支保留了由扫描工具产生的所有单个扫描结果的副本(为了确定组合扫描结果中特定信息的来源,也可以叫做子扫描)。
组合扫描结果和子扫描结果都具有相似的格式。该格式仅关注一个扫描结果,与NMAP的单个结果格式非常接近。主机可以视为这种格式的核心元素。然后,每个主机都有一组开放的端口和正在运行的服务。
适配器是将扫描仪的特定输出转换为通用数据模型的子扫描的关键组件。对于NMAP,仅需要执行一些较小的更改。一个示例是标准化和统一NMAP输出中指定的信息:通过通用平台枚举(CPE)将时间和日期信息转换为一种通用日期格式,并统一产品名称。
在NESSUS中,基于XML的.nessus.v1格式存在的问题是纯文本,程序很难解释。实际上,Nessus报告的每个安全问题都仅***一个XML数据标签中。因此,需要通过大量使用正则表达式来使输出可解释。Tenable在2009年末推出了一种名为.nessus.v2的新输出格式,该格式解决了仅提供文本数据的问题。另一个使Nessus解释更为复杂的问题是Nessus自己的插件结构:扫描的每个方面都由某个插件处理。例如,有一个插件列出了打开的端口,另一个插件提供了目标主机的主机名,另一个插件检查目标上是否存在特定漏洞,所以要从多个插件输出中收集信息。
105、根据所述网络特征信息和合并后的漏洞信息,生成所述目标网络的攻击图。
本发明实施例中,可以采用MulVAL作为攻击图构造工具,MULVAL具有可扩展的框架和开源特性。MulVAL的输入是网络特征信息和合并后的漏洞信息,例如报告的漏洞或顾问、主机配置、网络配置、网络用户或主体以及访问级别等策略。MulVAL使用的建模语言是Datalog,Datalog为推理逻辑提供了声明性规范,从而使在必要时更易于查看和扩充推理引擎。MulVAL的框架由五个部分组成,包括交互规则,逻辑执行引擎,安全策略,数据库(分析),攻击路径和未授权访问。Mulval的推理引擎可以处理网络规模并为数千台计算机执行分析,扫描程序可以在多台计算机上并行执行,分析引擎对从所有主机收集的数据进行操作。
本发明提供的攻击图的生成方法,能够先对目标网络进行第一次扫描,得到网络特征信息和第一漏洞信息,进而根据网络特征信息确定目标网络中正在运行的主机端口,以针对正在运行的主机和端口进行第二次扫描,得到第二漏洞信息,进而将第一漏洞信息与所述第二漏洞信息进行合并,并根据网络特征信息和合并后的漏洞信息,生成目标网络的攻击图,以通过多次扫描提高漏洞扫描的准确率,且针对正在运行的主机和端口进行第二次扫描,提高扫描效率,从而使生成攻击图的配置信息更加有效、准确、全面,以生成更准确的攻击图。
参见图2,为本发明实施例提供的攻击图的生成方法的流程示意图。所述攻击图的生成方法包括步骤201至206:
201、采用NAMP扫描工具对目标网络进行扫描,得到网络特征信息和第一漏洞信息。
其中,将目标网络的拓扑结构输入至NAMP扫描工具,使NAMP扫描工具进行拓扑扫描,得到网络特征信息,同时NAMP通过vulscan进行漏洞扫描,得到第一漏洞信息。
202、根据网络特征信息,确定正在运行的主机和端口。
其中,从网络特征信息中确定正在运行的主机和端口的信息。
203、采用NESSUS扫描工具对正在运行的主机和端口进行扫描,得到第二漏洞信息。
其中,将正在运行的主机和端口的信息输入至NESSUS扫描工具,使NESSUS扫描工具进行漏洞扫描,得到第二漏洞信息。
204、对第一漏洞信息和第二漏洞信息中的漏洞进行等级评估,并去除等级为低的漏洞。
其中,针对第一漏洞信息和第二漏洞信息中每个漏洞的漏洞类型,设置每个漏洞的权重,并结合CVSS漏洞评估方法,计算每个漏洞的评分。
205、采用通用数据模型对保留的第一漏洞信息和第二漏洞信息进行合并。
206、将网络特征信息和合并后的漏洞信息输入至MuLVAL工具,以生成目标网络的攻击图。
本发明实施例集合Nmap、Nessus两个扫描工具,使用多种漏洞数据库,使用更优的漏洞评估方法,有效改善MuLVAL工具的输入质量,提高攻击图的生成效果。
需要说明的是,本发明实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本发明实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
参见图3,为本发明实施例提供的攻击图的生成装置,所述装置包括:
第一扫描模块10,用于对目标网络进行扫描,得到网络特征信息和第一漏洞信息;
确定模块20,用于根据所述网络特征信息,确定所述目标网络中正在运行的主机和端口;
第二扫描模块30,用于对所述正在运行的主机和端口进行扫描,得到第二漏洞信息;
合并模块40,用于将所述第一漏洞信息与所述第二漏洞信息进行合并;以及,
生成模块50,用于根据所述网络特征信息和合并后的漏洞信息,生成所述目标网络的攻击图。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
图4示出了本实施例所提供的一种具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作***和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
本发明实施例提供一种非暂态计算机可读存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本发明实施例所提供的任一种攻击图的生成方法中的步骤。
本实施例的非暂态计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本发明难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本发明难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本发明的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本发明的具体实施例对本发明进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种攻击图的生成方法,其特征在于,所述方法包括:
对目标网络进行扫描,得到网络特征信息和第一漏洞信息;
根据所述网络特征信息,确定所述目标网络中正在运行的主机和端口;
对所述正在运行的主机和端口进行扫描,得到第二漏洞信息;
将所述第一漏洞信息与所述第二漏洞信息进行合并;
根据所述网络特征信息和合并后的漏洞信息,生成所述目标网络的攻击图。
2.根据权利要求1所述的攻击图的生成方法,其特征在于,所述对目标网络进行扫描,得到网络特征信息和第一漏洞信息,具体包括:
设置带宽消耗要求和扫描时间要求;
根据所述带宽消耗要求和扫描时间要求,确定扫描策略;
根据所述扫描策略,对所述目标网络进行扫描,得到网络特征信息和第一漏洞信息。
3.根据权利要求2所述的攻击图的生成方法,其特征在于,所述根据所述带宽消耗要求和扫描时间要求,确定扫描策略,具体包括:
分别将预存的多个扫描参数中的每个扫描参数作为目标扫描参数,检测多种主机基于所述目标扫描参数进行扫描的带宽消耗;所述多种主机的主机数量不同;
确定满足所述带宽消耗要求的带宽消耗所对应的扫描参数;
分别将预存的多个时间选项中的每个时间选项作为目标时间选项,检测多种主机基于所述目标时间选项进行扫描的扫描时间;
确定满足所述扫描时间要求的扫描时间所对应的时间选项;
根据确定的扫描参数和时间选项,确定扫描策略。
4.根据权利要求1所述的攻击图的生成方法,其特征在于,所述第一漏洞信息和所述第二漏洞信息均包括至少一个漏洞;
在所述将所述第一漏洞信息与所述第二漏洞信息进行合并之前,还包括:
分别对所述第一漏铜信息和所述第二漏洞信息中的每个漏洞进行初评分;
去除所述第一漏铜信息和所述第二漏洞信息中初评分低于预设阈值的漏洞。
5.根据权利要求1所述的攻击图的生成方法,其特征在于,所述第一漏洞信息和所述第二漏洞信息均包括至少一个漏洞及每个漏洞的漏洞类型;
所述方法还包括:
分别对所述第一漏铜信息和所述第二漏洞信息中的每个漏洞进行初评分;
根据所述每个漏洞的漏洞类型,确定所述每个漏洞的权重;
根据所述每个漏洞的初评分及权重,确定所述每个漏洞的评分。
6.根据权利要求5所述的攻击图的生成方法,其特征在于,所述方法还包括:
确定所述每个漏洞所属的***;
根据所属同一***的所有漏洞的评分,确定相应***的整体漏洞评分。
7.根据权利要求1所述的攻击图的生成方法,其特征在于,所述第一漏洞信息和所述第二漏洞信息的数据格式不同;
所述将所述第一漏洞信息与所述第二漏洞信息进行合并;
分别将所述第一漏洞信息和所述第二漏洞信息的数据格式转换为预设格式;
将转换为预设格式的第一漏洞信息和第二漏洞信息进行合并。
8.一种攻击图的生成装置,其特征在于,所述装置包括:
第一扫描模块,用于对目标网络进行扫描,得到网络特征信息和第一漏洞信息;
确定模块,用于根据所述网络特征信息,确定所述目标网络中正在运行的主机和端口;
第二扫描模块,用于对所述正在运行的主机和端口进行扫描,得到第二漏洞信息;
合并模块,用于将所述第一漏洞信息与所述第二漏洞信息进行合并;以及,
生成模块,用于根据所述网络特征信息和合并后的漏洞信息,生成所述目标网络的攻击图。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任意一项所述的攻击图的生成方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行权利要求1至7任意一项所述的攻击图的生成方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010420219.2A CN111786947B (zh) | 2020-05-18 | 2020-05-18 | 攻击图的生成方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010420219.2A CN111786947B (zh) | 2020-05-18 | 2020-05-18 | 攻击图的生成方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111786947A true CN111786947A (zh) | 2020-10-16 |
CN111786947B CN111786947B (zh) | 2021-10-29 |
Family
ID=72754113
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010420219.2A Active CN111786947B (zh) | 2020-05-18 | 2020-05-18 | 攻击图的生成方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111786947B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114048487A (zh) * | 2021-11-29 | 2022-02-15 | 北京永信至诚科技股份有限公司 | 网络靶场的攻击过程评估方法、装置、存储介质及设备 |
US20220311798A1 (en) * | 2019-07-19 | 2022-09-29 | Qualys, Inc. | Attack Path and Graph Creation Based on User and System Profiling |
CN116319762A (zh) * | 2023-05-18 | 2023-06-23 | 华夏卓越(天津)科技有限公司 | 局域网内文件批量复制方法、装置、电子设备及存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101695033A (zh) * | 2009-09-25 | 2010-04-14 | 上海交通大学 | 基于权限提升的网络脆弱性分析*** |
CN104348652A (zh) * | 2013-08-06 | 2015-02-11 | 南京理工大学常熟研究院有限公司 | 基于关联分析的***安全评估方法和装置 |
CN104821950A (zh) * | 2015-05-12 | 2015-08-05 | 携程计算机技术(上海)有限公司 | 分布式的主机漏洞扫描方法 |
CN105634868A (zh) * | 2016-01-21 | 2016-06-01 | 中国科学院信息工程研究所 | 一种网络扫描发包速率探测***及方法 |
CN106941502A (zh) * | 2017-05-02 | 2017-07-11 | 北京理工大学 | 一种内部网络的安全度量方法和装置 |
WO2017164820A1 (en) * | 2016-03-23 | 2017-09-28 | Agency For Science, Technology And Research | Cloud-based forensic ip traceback |
CN108270774A (zh) * | 2017-12-22 | 2018-07-10 | 杭州安恒信息技术有限公司 | 一种基于攻击图的攻击行为检测和防护方法 |
CN108282489A (zh) * | 2018-02-07 | 2018-07-13 | 网宿科技股份有限公司 | 一种漏洞扫描方法、服务端及*** |
US20180330103A1 (en) * | 2016-03-31 | 2018-11-15 | International Business Machines Corporation | Automatic Generation of Data-Centric Attack Graphs |
CN109981344A (zh) * | 2019-02-19 | 2019-07-05 | 新华三技术有限公司 | 扫描方法、装置及网络转发设备 |
-
2020
- 2020-05-18 CN CN202010420219.2A patent/CN111786947B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101695033A (zh) * | 2009-09-25 | 2010-04-14 | 上海交通大学 | 基于权限提升的网络脆弱性分析*** |
CN104348652A (zh) * | 2013-08-06 | 2015-02-11 | 南京理工大学常熟研究院有限公司 | 基于关联分析的***安全评估方法和装置 |
CN104821950A (zh) * | 2015-05-12 | 2015-08-05 | 携程计算机技术(上海)有限公司 | 分布式的主机漏洞扫描方法 |
CN105634868A (zh) * | 2016-01-21 | 2016-06-01 | 中国科学院信息工程研究所 | 一种网络扫描发包速率探测***及方法 |
WO2017164820A1 (en) * | 2016-03-23 | 2017-09-28 | Agency For Science, Technology And Research | Cloud-based forensic ip traceback |
US20180330103A1 (en) * | 2016-03-31 | 2018-11-15 | International Business Machines Corporation | Automatic Generation of Data-Centric Attack Graphs |
CN106941502A (zh) * | 2017-05-02 | 2017-07-11 | 北京理工大学 | 一种内部网络的安全度量方法和装置 |
CN108270774A (zh) * | 2017-12-22 | 2018-07-10 | 杭州安恒信息技术有限公司 | 一种基于攻击图的攻击行为检测和防护方法 |
CN108282489A (zh) * | 2018-02-07 | 2018-07-13 | 网宿科技股份有限公司 | 一种漏洞扫描方法、服务端及*** |
CN109981344A (zh) * | 2019-02-19 | 2019-07-05 | 新华三技术有限公司 | 扫描方法、装置及网络转发设备 |
Non-Patent Citations (2)
Title |
---|
TAO ZHANG, MING-ZENG HU, DONG LI, LIANG SUN: "AN EFFECTIVE METHOD TO GENERATE ATTACK GRAPH", 《PROCEEDINGS OF THE FOURTH INTERNATIONAL CONFERENCE ON MACHINE LEARNING AND CYBERNETICS》 * |
陆余良,宋舜宏,程微微,刘金红,施凡: "网络攻击图生成方法分析.tif", 《安徽大学学报(自然科学版)》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220311798A1 (en) * | 2019-07-19 | 2022-09-29 | Qualys, Inc. | Attack Path and Graph Creation Based on User and System Profiling |
US11968225B2 (en) * | 2019-07-19 | 2024-04-23 | Qualys, Inc. | Attack path and graph creation based on user and system profiling |
CN114048487A (zh) * | 2021-11-29 | 2022-02-15 | 北京永信至诚科技股份有限公司 | 网络靶场的攻击过程评估方法、装置、存储介质及设备 |
CN114048487B (zh) * | 2021-11-29 | 2022-06-17 | 北京永信至诚科技股份有限公司 | 网络靶场的攻击过程评估方法、装置、存储介质及设备 |
CN116319762A (zh) * | 2023-05-18 | 2023-06-23 | 华夏卓越(天津)科技有限公司 | 局域网内文件批量复制方法、装置、电子设备及存储介质 |
CN116319762B (zh) * | 2023-05-18 | 2023-08-04 | 华夏卓越(天津)科技有限公司 | 局域网内文件批量复制方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111786947B (zh) | 2021-10-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111786947B (zh) | 攻击图的生成方法、装置、电子设备及存储介质 | |
US10530799B1 (en) | Non-harmful insertion of data mimicking computer network attacks | |
US8209738B2 (en) | Analysis of distributed policy rule-sets for compliance with global policy | |
US9992166B2 (en) | Hierarchical rule development and binding for web application server firewall | |
US9596256B1 (en) | Apparatuses, methods and systems for a cyber threat confidence rating visualization and editing user interface | |
Williams et al. | An interactive attack graph cascade and reachability display | |
JP5514890B1 (ja) | 連続的な不正アクセスを防止する方法 | |
US20150082370A1 (en) | System and method for compact form exhaustive analysis of security policies | |
US20170289187A1 (en) | System and method for visualizing and analyzing cyber-attacks using a graph model | |
US20190306198A1 (en) | System and method for application software security and auditing | |
US9390270B2 (en) | Security testing using semantic modeling | |
Schlegel et al. | Structured system threat modeling and mitigation analysis for industrial automation systems | |
Yiğit et al. | Cost-aware securing of IoT systems using attack graphs | |
US11025656B2 (en) | Automatic categorization of IDPS signatures from multiple different IDPS systems | |
US20210042631A1 (en) | Techniques for Cyber-Attack Event Log Fabrication | |
Evesti et al. | Comparison of adaptive information security approaches | |
Tao et al. | Opening a Pandora's box: things you should know in the era of custom GPTs | |
Ribeiro et al. | A bottom-up approach for extracting network intents | |
Shi et al. | Analysis of web security comprehensive evaluation tools | |
Wang et al. | Generation and analysis of attack graphs | |
Evancich et al. | Network-wide awareness | |
Ebert et al. | Penetration testing for automotive cybersecurity | |
CN113992366A (zh) | 一种网络数据传输方法、装置、设备及存储介质 | |
Olivero | Asset Discovery Tools Supporting Cybersecurity Inventory | |
Rieke | Tool based formal modelling, analysis and visualisation of enterprise network vulnerabilities utilising attack graph exploration |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |