CN114499939A

CN114499939A - 一种基于知识图谱的最优路径选择方法、***、可存储介质和电子设备

Info

Publication number: CN114499939A
Application number: CN202111574461.6A
Authority: CN
Inventors: 司红星; 鲍晨阳
Original assignee: Siwei Chuangzhi Beijing Technology Development Co ltd
Current assignee: Siwei Chuangzhi Beijing Technology Development Co ltd
Priority date: 2021-12-21
Filing date: 2021-12-21
Publication date: 2022-05-13

Abstract

本发明公开的一种基于知识图谱的最优路径选择方法，包括以下步骤：构建对目标渗透的渗透知识图谱，根据所述渗透知识图谱进行渗透测试路径计算，选择对目标渗透的最短渗透测试路径。该方法在整个目标网络中，实现对目标网络中目标主机的渗透同时，可以找到一条通往目标主机的最近的渗透路径，达到了低耗渗透、高效渗透的目的。另外，本发明还公开了一种基于知识图谱的最优路径选择***，涉及网络安全中的自动化渗透领域。

Description

一种基于知识图谱的最优路径选择方法、***、可存储介质和电子设备

技术领域

本发明具体涉及一种基于知识图谱的最优路径选择方法、***、可存储介质和电子设备，属于网络安全中的自动化渗透领域。

背景技术

随着信息技术的快速发展和网络应用范围的不断扩大，在带给人们巨大便利的同时，也让人们处在网络安全隐患威胁当中。这些威胁包括病毒、蠕虫、木马等，它们发起攻击的主要方式则是通过***应用出现的安全漏洞。为了防范这些威胁，需要及早发现计算机***中存在的安全问题，并且确定存在漏洞的危害程度，所以在企业网络中必须周期性地对计算机网络***进行渗透测试，并根据渗透测试的结果进行***的安全性修复。

渗透测试(penetration test)是指通过模拟恶意黑客的攻击方法，来评估计算机网络***安全的一种评估方法。该过程包括对***的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞，达到一定的控制权限，从而获得目标***资产。

现有的渗透工具通常只能针对发现的服务组件进行漏洞发现和漏洞利用，同时会对所有的组件进行全方面的扫描，这样虽然可以尽可能地发现存在的漏洞，但是由于所有服务都会进行全方位扫描的原因，单个渗透目标的扫描时间和扫描深度都会耗费大量的资源，而其中对于提升权限等渗透目标中所需的相关信息占比却很低，也就是说得到的大量渗透信息中大部分都是对于渗透没有帮助的无效信息，形成了资源的浪费。

在整个目标网络中，为了实现对目标网络中目标主机的渗透，我们同样需要发现一条通往目标主机的最近的渗透路径，以达到低耗渗透、高效渗透的目的。

发明内容

针对现有技术存在的对目标网络中目标主机的渗透存在的高耗能、低效率的缺陷，本发明实施例提供了一种基于知识图谱的最优路径选择方法。

为解决上述技术问题，本发明实施例采用以下技术方案：

第一方面，本发明实施例提供了一种基于知识图谱的最优路径选择方法，其特征在于，包括以下步骤：

S11：构建对目标渗透的渗透知识图谱；

S12：根据所述渗透知识图谱进行渗透测试路径计算；

S13：选择对目标渗透的最短渗透测试路径。

优选地，S11步骤具体包括：

S1101：确定渗透测试数据实体和三元组；

S1102：获取渗透相关的所述三元组数据；

S1103：利用所述三元组数据构建知识图谱。

优选地，所述目标渗透包括目标主机渗透，所述目标主机渗透具体包括步骤如下：

S1201：基本信息收集；

S1202：获得初始渗透流程图；

S1203：去除所述初始流程图中无效的渗透步骤，添加根据已有内容推理得到的不同渗透流程；

S1204：计算所述不同渗透流程的渗透权重，根据所述渗透权重高低决定不同渗透路径的执行顺序。

优选地，对于每一条所述渗透路径来说，整条路径的权重为：

在利用知识图谱的路径计算模块得到渗透目标的最优渗透路径时，对于得到的渗透路径图中的每一个渗透三元组(X_i-1,lane,X_i)，其中，X_i-1,X_i对应渗透元组，lane对应两个渗透元组之间的关系，存在一个值v(X_i|X_i-1)表示该单步操作的权重，表示实现下一个节点目标X_i的可能性，其中X_i-1表示渗透路径中单步操作的开始节点，X_i表示渗透路径中单步操作的结束节点。

优选地，所述目标渗透还包括目标网络渗透，所述目标网络渗透步骤如下：

S1211：计算目标网络渗透内所有主机的渗透权重；

S1212：构建目标网络渗透权重表；

S1213：利用贪心算法，计算起始主机到目标主机的最短路径。

优选地，利用所述权重表和贪心算法，计算从起始主机开始，通过中间主机作为跳板，最终到达目标主机，完成对目标主机的渗透的最短路径，即权重最高的一条路径，即：

V(C)＝maxП_lV(C_l)

即整条路径的权重为该路径所包含的所有子路径，也就是所有路径中主机之间的权重之积。其中C代表目标主机，C_l代表渗透路径l上包含的主机，V(C)表示到达目标主机C的权重。

第二方面，本发明实施例提供一种基于知识图谱的最优路径选择***，包括：知识图谱构建模块、目标主机渗透模块和目标网络渗透模块；

所述知识图谱模块被配置为收集已有的渗透信息，构建渗透实体之间的关联关系，从而建立渗透知识图谱；

所述目标主机渗透模块被配置为对目标主机进行渗透操作，在渗透流程中借助渗透知识图谱优化渗透流程；

所述目标网络渗透模块在被配置为对目标网络进行渗透操作，在渗透流程中选择最短主机渗透路径。

第三方面，一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序在运行时实现上述任一项所述的方法。

第四方面，一种电子设备，所述电子设备包括：处理器；

用于存储所述处理器可执行指令的存储器；

所述处理器，用于从所述存储器中读取所述可执行指令，并执行所述指令以实现上述中任一项所述的方法。

本发明具有以下效果：

1、知识图谱主要负责收集已有的渗透信息，构建渗透实体之间的关联关系，从而建立渗透知识图谱，指导***对目标主机或目标网络进行自动化智能渗透操作，目标主机渗透主要负责对目标主机进行渗透操作，在渗透流程中借助渗透知识图谱优化渗透流程，减少渗透操作，提高渗透效率和成功率。

2、目标网络渗透在目标主机渗透实现主机到主机的渗透的基础上，负责对目标网络进行渗透操作，在渗透流程中选择最短主机渗透路径，优化网络内主机渗透流程，减少网络内主机渗透操作，提高渗透效率和成功率。

附图说明

图1为本发明实施例提供的一种基于知识图谱的最优路径选择方法流程示意图；

图2为本发明实施例提供的构建渗透知识图谱的流程示意图；

图3为本发明实施例提供的目标主机渗透流程示意图；

图4为本发明实施例提供的目标网络渗透流程示意图；

图5为本发明实施例提供的基于知识图谱的最优路径选择***模块图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

实施例1

如图1—4所示，本发明实施例提供了一种基于知识图谱的最优路径选择方法，包括以下步骤：

构建对目标渗透的渗透知识图谱，根据渗透知识图谱进行渗透测试路径计算，选择对目标渗透的最短渗透测试路径。

知识图谱是通过将应用数学、图形学、信息可视化技术、信息科学等学科的理论与方法与计量学引文分析、共现分析等方法结合，并利用可视化的图谱形象地展示学科的核心结构、发展历史、前沿领域以及整体知识架构达到多学科融合目的的现代理论。而渗透知识图谱是指网络安全中的自动化渗透领域中的将渗透路径进行图谱化，使渗透路径清晰可辨，从多种渗透路径中找到所需要的渗透路径。

渗透知识图谱也是一个不断完善的过程，收集已有的渗透信息，构建渗透实体之间的关联关系，从而建立渗透知识图谱，渗透测试的路径长短不同，需要进行分别测试和计算方可进行，从渗透知识图谱中找出最短的渗透测试路径，从而对该最短路径进行利用。本方法在渗透流程中借助渗透知识图谱优化渗透流程，减少渗透操作，提高了渗透效率和成功率，更容易找到网络安全的漏洞，从而进行对漏洞进行修补完善。

其中构建对目标渗透的知识图谱的具体操作为：

S1101，确定渗透测试数据实体和三元组。

在渗透测试的过程中，信息的搜集通常集中在应用层、支撑层、服务层、***层和硬件层上，根据其中存在的数据信息和可能存在的漏洞信息，这里我们将实体分为***、服务、应用、漏洞、利用脚本这五类。其中实体中包含名称、厂商、类别、版本等数据作为其属性。

在本专利构建的渗透知识图谱中，实体与实体构成的三元组包括***-漏洞关系、服务-漏洞关系、应用-漏洞关系、***-服务关系、***-应用关系、漏洞-利用脚本关系。不同关系中存在权重，该权重表示存在对应关系的可能性。

S1102，获取渗透相关的三元组数据。

在渗透知识图谱完成实体和三元组的确认之后，根据三元组收集相关渗透信息对渗透知识图谱进行内容的补充，这里使用了两种收集方法：一是渗透专家在日常的渗透工作进行时对日常产生的数据进行记录、收集。该方法收集到的数据较为准确，可以比较直观、真实地展示实体与实体之间的关系，但是由于是纯人工进行信息收集的方式，通过该方法得到的三元组数据数量较少；二是通过爬虫的方式在互联网上的相关渗透网站(CVE、NVD、Exploit-DB)中存在的信息进行爬取。该方法收集到的数据量较大，可以覆盖较多方面，但是由于机器进行爬取，其中的有效信息占比无法保证，相比于人工爬取信息的方式准确率较低。这里我们采用人工与机器爬取相结合的方式进行渗透相关的三元组数据的获取，以爬虫为主，人工进行补充的方式收集数据，对于其中相关网站爬取信息准确率低的问题，通过人工进行检查修改的方式解决。

S1103，利用三元组数据构建知识图谱。

在获得渗透相关的三元组数据之后，根据该数据构建知识图谱，其中将信息名称作为实体名称，信息的相关属性作为实体属性，信息之间存在的关联关系作为实体之间的关系。例如我们从渗透网站中获取了一个格式化数据：MySQL 3.23.x/4.0.x-RemoteBuffer Overflow-CVE-2003-0780，此时要将该条渗透信息录入知识图谱时，我们首先新建一个MySQL服务节点，然后新建一个服务版本节点3.32.x/4.0.x，将其与MySQL服务节点连接，连接关系为版本号。再新建一个漏洞节点MySQL 3.23.x/4.0.x-Remote BufferOverflow，将该漏洞节点与之前的版本节点连接，连接关系为存在漏洞。以这种形式将获得的渗透信息输入渗透知识图谱，扩充渗透知识图谱的内容。

目标渗透包括目标主机渗透，目标主机渗透具体包括步骤如下：

S1201，基本信息收集。

获取渗透目标的基本信息，包括但不限于端口信息、服务信息、指纹信息、中间件信息、***信息，若目标站点存在域名，还应对其域名信息、邮箱信息、WHOIS信息、敏感路径信息、爬虫信息进行收集。其中域名信息包括本域名所属的IP，以及该主域名对应的其他子域名；邮箱信息为从网站内容中根据正则匹配得到的相关所属工作人员对应的邮箱地址；在收集到的爬虫信息中，会对爬虫得到的URL进行分类，根据类别的不同对爬虫得到的URL打上不同的标签。

S1202，获得初始渗透流程图。

根据已有站点的基本信息，包括站点所在的端口、服务、应用、中间件信息，以及站点所对应的网页内容中所包含的邮箱信息、敏感路径、管理员名称。将这些基本信息输入网络渗透知识图谱中。这里知识图谱为预先收集建立的存有网络渗透相关信息和关联关系的知识图谱，其中包含特定渗透元组的属性和渗透元组与渗透元组之间的关系，例如WordPress应用基于PHP服务和MySQL服务，那么在该知识图谱中就存在这两个三元组关系：(WordPress，依赖，PHP)和(WordPress，依赖，MySQL)。在这张网络渗透知识图谱中，以之前收集得到的基本信息对应的元组作为不同的起始点，跟随所有连接着的存在的三元组关系，从起始点的渗透元组开始，搜索能够到达的其余渗透元组。这些连接的渗透三元组即为该条基本信息可以得到的渗透路径图。

S1203，去除初始流程图中无效的渗透步骤，添加根据已有内容推理得到的不同渗透流程。

首先根据渗透的需求，去除其中无效的渗透步骤，这些渗透步骤包括：一、某些可以推导得出的结论，这些结论已经不需要再通过扫描观察结果得出，因此可以去除目标渗透流程图中对应的扫描步骤。例如WordPress应用基于PHP服务和MySQL服务，现在我们在渗透目标中扫描到存在一个组件NextGEN，而该组件属于WordPress的组件，这样我们即使没有直接扫描到PHP和MySQL服务，我们也可以确定这两个服务在渗透目标的存在；二、某些基础信息所对应的漏洞中无法对我们上传shell或者提权等渗透目标的行为产生作用，因此可以不对这些基本信息进行对应的扫描，减少无效扫描所造成的损耗，可以直接在生成的渗透流程图中去除该基本信息对应的相关后续流程。例如，我们在渗透目标中扫描到了最新版本的Nginx服务，该服务目前尚无可利用的漏洞，那么我们就无需对该服务进行后续的渗透操作。

S1204，计算所述不同渗透流程的渗透权重，根据所述渗透权重高低决定不同渗透路径的执行顺序。

在利用知识图谱的路径计算模块得到渗透目标的最优渗透路径时，对于得到的渗透路径图中的每一个渗透三元组(X_i-1,lane,X_i)，其中X_i-1,X_i对应渗透元组，lane对应两个渗透元组之间的关系，存在一个值v(X_i|X_i-1)表示该单步操作的权重，表示实现下一个节点目标X_i的可能性。其中X_i-1表示渗透路径中单步操作的开始节点，X_i表示渗透路径中单步操作的结束节点。于是对于每一条渗透路径而言，整条路径的权重则为：

如上式，路径计算模块计算得到的所有渗透路径图的权重，根据权重高低得到不同渗透路径下完成渗透的成功几率并返回给目标主机渗透模块。目标主机渗透模块以权重高低的顺序依次对目标进行渗透，以完成快速高效完成目标主机渗透的方法。同时也将其中最高的权重作为源主机到目标主机的权重。

目标渗透还包括目标网络渗透，目标网络渗透步骤如下：

S1211，计算目标网络渗透内所有主机的渗透权重。

根据上文提到的方法，计算目标网络中所有源主机到目标主机的权重。这里注意的是，若某两台主机之前并没有直接相连，或者尚不存在已知的渗透方法可以成功渗透目标主机，则将两台主机之间的权值设置为0。

S1212，构建目标网络渗透权重表。

根据所有源主机到目的主机的权重，构建目标网络的渗透权值表，其中表的横坐标代表源主机，纵坐标代表目标主机，对应的数值为源主机到目标主机的权值，即为从源主机渗透到目标主机的成功率。

S1213，利用贪心算法，计算起始主机到目标主机的最短路径。

在得到所有不同主机之间的权重表后，确定在目标网络中，整个渗透流程的起始主机和最终要完成渗透任务的目标主机，再利用权重表和贪心算法，计算从起始主机开始，通过中间主机作为跳板，最终到达目标主机，完成对目标主机的渗透的最短路径，即权重最高的一条路径，这里路径权重为：

V(C)＝maxΠ_lV(C_l)

实施例2

如图5所示，本发明实施例提供了一种基于知识图谱的最优路径选择***，其包括：知识图谱构建模块、目标主机渗透模块和目标网络渗透模块。

知识图谱模块被配置为收集已有的渗透信息，构建渗透实体之间的关联关系，从而建立渗透知识图谱。目标主机渗透模块被配置为对目标主机进行渗透操作，在渗透流程中借助渗透知识图谱优化渗透流程。目标网络渗透模块在被配置为对目标网络进行渗透操作，在渗透流程中选择最短主机渗透路径。

该***为执行上述方法的运行载体，知识图谱模块主要负责收集已有的渗透信息，构建渗透实体之间的关联关系，从而建立渗透知识图谱，指导***对目标主机或目标网络进行自动化智能渗透操作；目标主机渗透模块主要负责对目标主机进行渗透操作，在渗透流程中借助渗透知识图谱优化渗透流程，减少渗透操作，提高渗透效率和成功率；目标网络渗透模块在目标主机渗透模块实现主机到主机的渗透的基础上，负责对目标网络进行渗透操作，在渗透流程中选择最短主机渗透路径，优化网络内主机渗透流程，减少网络内主机渗透操作，提高渗透效率和成功率。

本发明还提供一种计算机可读存储介质，存储介质存储有计算机程序，计算机程序在运行时用于执行实施例1的方法，以及运行实施例2的***。

本发明还提供一种电子设备，该电子设备包括处理器以及用于存储处理器可执行指令的存储器。

处理器用于从存储器中读取所述可执行指令，并执行实施例1的方法和运行实施例2的***。

可以理解的是，上述方法及***中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的***，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟***或者其它设备固有相关。各种通用***也可以与基于在此的示教一起使用。根据上面的描述，构造这类***所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

此外，存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。

本领域内的技术人员应明白，本申请的实施例可提供为方法、***、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、***或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

需要说明的是，上述实施例不以任何形式限制本发明，凡采用等同替换或等效变换的方式所获得的技术方案，均落在本发明的保护范围内。

Claims

1.一种基于知识图谱的最优路径选择方法，其特征在于，包括以下步骤：

S11：构建对目标渗透的渗透知识图谱；

S12：根据所述渗透知识图谱进行渗透测试路径计算；

S13：选择对目标渗透的最短渗透测试路径。

2.根据权利要求1所述的基于知识图谱的最优路径选择方法，其特征在于，S11步骤具体包括：

S1101：确定渗透测试数据实体和三元组；

S1102：获取渗透相关的所述三元组数据；

S1103：利用所述三元组数据构建知识图谱。

3.根据权利要求1所述的基于知识图谱的最优路径选择方法，其特征在于，所述目标渗透包括目标主机渗透，所述目标主机渗透具体包括步骤如下：

S1201：基本信息收集；

S1202：获得初始渗透流程图；

4.根据权利要求3所述的基于知识图谱的最优路径选择方法，其特征在于，对于每一条所述渗透路径来说，整条路径的权重为：

5.根据权利要求3所述的基于知识图谱的最优路径选择方法，其特征在于，所述目标渗透还包括目标网络渗透，所述目标网络渗透步骤如下：

S1211：计算目标网络渗透内所有主机的渗透权重；

S1212：构建目标网络渗透权重表；

6.根据权利要求5所述的基于知识图谱的最优路径选择方法，其特征在于，利用所述权重表和贪心算法，计算从起始主机开始，通过中间主机作为跳板，最终到达目标主机，完成对目标主机的渗透的最短路径，即权重最高的一条路径，即：

V(C)＝maxП_lV(C_l)

7.一种基于知识图谱的最优路径选择***，其特征在于，包括：知识图谱构建模块、目标主机渗透模块和目标网络渗透模块；

8.一种计算机可读存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序在运行时实现权利要求1-7任一项所述的方法。

9.一种电子设备，其特征在于，所述电子设备包括：

处理器；

用于存储所述处理器可执行指令的存储器；

所述处理器用于从所述存储器中读取所述可执行指令，并执行所述指令以实现上述权利要求1-7中任一项所述的方法。