申请/专利权人：北京航空航天大学

申请日：2021-11-24

公开（公告）日：2023-10-24

公开（公告）号：CN114095935B

主分类号：H04W12/122

分类号：H04W12/122;H04L9/40

优先权：["20201124 CN 202011334206X"]

专利状态码：有效-授权

法律状态：2023.10.24#授权;2022.03.15#实质审查的生效;2022.02.25#公开

摘要：本发明公开了一种移动云计算场景下攻击想定生成的方法，本方法涉及网络安全领域。本方法首先使用MulVAL工具对目标网络的状态生成属性攻击图，并使用CVSS来评估单个漏洞利用成功率，再使用去环路和冗余路径算法构建贝叶斯网络攻击图，并用改进的节点概率计算算法评估属性攻击图各节点的累计成功概率；最终使用使用动态攻击路径生成算法生成到最佳攻击路径，然后用网络攻击想定描述语言描述攻击路径获得攻击想定脚本。本发明方法将获得移动云计算场景下攻击想定的过程自动化、动态化，使用改进的节点概率计算算法处理出现环的情况，使攻击图上各节点累计成功概率计算更真实、准确。

主权项：1.一种移动云计算场景下攻击想定生成的方法，其特征在于包括有下列步骤：第一步，生成属性攻击图；使用MulVAL工具对移动云计算场景下的网络安全状态信息NSI＝[HOST,LINKn×n]进行规则处理，得到属性攻击图AG＝ESX,A,L；步骤11，记录移动云计算场景下的各个节点的网络状态信息；将移动云计算场景下的各个网络节点的网络状态描述信息，记为NSI，且NSI＝[HOST,LINKn×n]；HOST为网络节点集合，且HOST＝{host1,host2,…,hosti,…,hosth,…,hostn}；LINKn×n为网络节点之间的连通关系，所述LINKn×n为n×n的矩阵，即LINKn×n＝[linki,h]；所述中linki,h取值为0时表示网络节点hosti与网络节点hosth不连通，linki,h取值为1时表示网络节点hosti与网络节点hosth连通；linki,h携带信息有源地址source和目的地址target，则linki,h＝source,target；网络安全状态描述信息NSI＝[HOST,LINKn×n]为属性攻击图生成的基本元素；移动云计算场景下网络节点集合HOST＝{host1,host2,…,hosti,…,hosth,…,hostn}，其中：host1表示第一个网络节点；host2表示第二个网络节点；hosti表示第i个网络节点，下角标i表示网络节点的标识号；hosth表示第h个网络节点；hostn表示最后一个网络节点，下角标n表示网络节点集合中的网络节点总个数；任意一个网络节点hosti携带信息，记为hosti＝OSi,IPi,privilegei,SERi；OSi是网络节点hosti的身份；IPi是网络节点hosti的ip地址；privilegei是网络节点hosti获得的权限；SERi是网络节点hosti上运行的服务类型；服务信息记为SER＝{service1,service2,…,servicej,…,servicek}，其中：service1表示第一种服务类型；service2表示第二种服务类型；servicej表示第j种服务类型，下角标j表示服务类型的标识号；servicek表示最后一种服务类型，下角标k表示服务信息中服务类型的总个数；所述servicej也称为任意一种服务类型；在服务类型servicej中携带信息有服务名name、产品名product、版本号version、所在端口portID、服务协议名protocol，则servicej＝name,product,version,portID,protocol；步骤12，生成从事实属性节点到目标属性节点的属性攻击图；将网络状态描述信息NSI＝[HOST,LINKn×n]按MulVAL工具的输入格式进行表征，并输入到MulVAL工具中，生成从事实属性边结点ESX事实到目标属性边结点ESX目标的属性攻击图；属性攻击图记为AG，且AG＝ESX,A,L；ESX表示属性攻击图中的属性边结点标志，所述ESX中包括有身份为事实属性边结点ESX事实、目标属性边结点ESX目标和除ESX事实和ESX目标以外的属性边结点ESX外；ESX＝{ESX事实，ESX目标，ESX外}；A表示属性攻击图中的攻击边结点标志；所述A中存在有多个攻击边结点，采用集合形式表示为A＝{attack1,attack2,…,attacka,…}，attack1表示第一个攻击边结点，attack2表示第一个攻击边结点，attacka表示第a个攻击边结点，下角标a表示攻击边结点的标识号；攻击边结点attacka携带的信息记为attacka_INFO；所述attacka_INFO是一次漏洞利用的攻击操作GJCZ；L表示属性攻击图中的有向边；所述L只能从ESX指向attacka，或者由attacka指向ESX；进行一个攻击操作GJCZ的前提条件是指向attacka的上一个边结点的ESX都被攻击成功，若攻击成功，则攻击方获得attacka指向的ESX携带的信息属性；若攻击失败，则攻击方无法获得attacka指向的ESX携带的信息属性；所述attacka仅会指向一个ESX；攻击路径记为path；所述攻击路径path是指由一个攻击操作或多个攻击操作顺序执行形成的攻击操作序列；所述path＝…,GJCZt-1,GJCZt,GJCZt+1,…；第二步，CVSS评估单个漏洞利用成功率；在第一步中生成的属性攻击图AG＝ESX,A,L中，攻击边结点attacka携带的信息是一次漏洞利用的攻击操作GJCZ；所述攻击操作GJCZ的漏洞利用成功率，记为MetricGJCZ，则：MetricGJCZ＝2AV×AC×Au1第三步，去除环路和冗余路径构造贝叶斯攻击图；采用深度优先搜索对属性攻击图AG＝ESX,A,L去除环路和冗余路径处理，得到贝叶斯网络攻击图，记为BAG，且BAG＝ESX,A,L；若属性攻击图AG＝ESX,A,L中存在的攻击路径path＝…,GJCZt-1,GJCZt,GJCZt+1,…，GJCZt与GJCZt-1、或者GJCZt-1与GJCZt+1的执行是相互依赖的，那么path＝…,GJCZt-1,GJCZt,GJCZt+1,…就会构成一个不可达的环路NCLP，因此需要去除所述NCLP和冗余路径RPATH；使用去环路和冗余路径算法将MulVAL得到的属性攻击图AG＝ESX,A,L进行初步处理，去除生成的属性攻击图AG＝ESX,A,L上的NCLP和RPATH，从而得到贝叶斯网络攻击图BAG＝ESX,A,L；步骤31，获取边结点搜索序列；从目标属性边结点ESX目标出发，按照BAG＝ESX,A,L中的L的逆方向进行深度优先搜索，得到第一个边结点搜索序列SS1＝ESX,A,ESX,A,…,；步骤32，增补或删除边结点搜索序列；在搜索过程中，若ESXPRE或attacka,PRE已被搜索过，即ESXPRE或attacka,PRE存在于SS1＝ESX,A,ESX,A,…,中，且ESXPRE或attacka,PRE在ESX目标到该当前搜索到的ESX或A的搜索路径上，则可判断出现了不可达的环路NCLP或冗余路径RPATH；当有NCLP或RPATH时，删除该当前搜索到的ESX或A，并从该当前搜索到的ESX或A开始，按照BAG＝ESX,A,L中的L的正方向进行深度优先搜索，在L的正方向搜索过程中，若因为ESX或A的删除导致了ESXNEXT或attacka,NEXT的路径不可达，则删除ESXNEXT或attacka,NEXT，得到第二个边结点搜索序列SS2＝ESX,A,ESX,A,…,；重复执行步骤31与步骤32，直至所有边结点被搜索到得到最终的边结点搜索序列；第四步，计算贝叶斯网络攻击图中各边结点的累计成功概率；由于经第三步处理后得到的贝叶斯网络攻击图BAG＝ESX,A,L中仍可能存在有圈结构CLP_BAG，然而此处的所述CLP_BAG是指存在有ESX即CLP_BAG的入边结点身份为CLP_BAG_in，该CLP_BAG_in可能是多个的attacka,PRE，且attacka中存在有部分的后续能达到同一个ESX；使用改进的节点累计成功概率计算算法CHANCE计算贝叶斯网络攻击图BAG＝ESX,A,L中的ESX,A的累计成功概率，并且处理出现的圈结构CLP_BAG的情况；具体步骤如下：步骤41，获取贝叶斯网络攻击图中的所有入边结点；设置贝叶斯网络攻击图BAG＝ESX,A,L中的ESX事实的累计成功概率为1；从目标属性边结点ESX目标出发，按照BAG＝ESX,A,L中的L的逆方向进行深度优先搜索，得到第三个边结点搜索序列SS3＝ESX,A,ESX,A,…,；若ESX已被搜索过，即ESX存在于SS3＝ESX,A,ESX,A,…,中，则说明ESX为CLP_BAG_in，并将所述ESX加入CLP_BAG_in中；所述CLP_BAG_in中的元素个数记为len；步骤42，设置入边结点的结点概率种类；入边结点的结点概率种类个数为2len；设置CLP_BAG_in中的入边结点的累计成功率为0或1；步骤43，计算贝叶斯网络攻击图中各边结点的累计成功概率；结点概率种类下的边结点成功概率PPγEE为： PPγEE中的下角标γ代表结点概率种类的标识号；EE表示当前计算的边结点，EEPRE表示EE的上一个边结点；对于每一种种类γ，计算该种类出现的概率Pγ：Pγ＝ΠPPγEE,EE∈CLP_BAG_in3在本方法中，边结点的累计成功概率PEE为： 第五步：生成攻击路径和攻击想定脚本；步骤51，生成攻击路径；动态攻击路径生成算法PATH具体步骤如下：从目标属性边结点ESX目标出发，按照BAG＝ESX,A,L中的L的逆方向进行深度优先搜索，得到到ESX目标的攻击路径集合，记为path_ESX目标；path_ESX目标中的任意一条攻击路径记为pathx；利用公式1计算path_ESX目标中的每一条路径的成功概率，记为 步骤52，生成攻击想定脚本；将path_ESX目标中每一条路径按照成功概率从大到小排序，得到排序后的PX_path_ESX目标；记录每次的攻击操作反馈，从PX_path_ESX目标中取出成功概率最大的攻击路径，用网络攻击想定描述语言描述攻击路径获得攻击想定脚本；所述攻击想定脚本内容包括有攻击目标、已成功的攻击操作、已失败的攻击操作、接下来计划的攻击步骤；当一个攻击操作反馈为失败时，从PX_path_ESX目标中删除所有包含该边结点的攻击路径。

全文数据：

权利要求：

百度查询： 北京航空航天大学 一种移动云计算场景下攻击想定生成的方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD