本發明公開了基于攻擊者攻擊策略生成的自動威脅檢測方法，通過分析目前針對復雜、多階段網絡攻擊檢測方法的不足，提出了一種基于攻擊者意圖的攻擊模型和攻擊者意圖的精化框架，將場景數據通過攻擊模型和精化框架進行精化分解并用形式化語言表示來完成軟件應用系統威脅的自動化檢測。該方法應用于實際案例檢測中表現出準確性和合理性，成功的檢測出實際系統場景中的潛在威脅，并且將檢測出的威脅根據CAPEC庫的威脅分類做出針對性的防御策略，為軟件應用系統的網絡安全防御提供了幫助。

技術領域

本發明涉及計算機軟件工程網絡安全分析技術領域，涉及一種基于攻擊者的攻擊策略生成自動檢測網絡攻擊威脅的方法。

背景技術

軟件應用系統是由計算機硬件、軟件、以及網絡等組成的系統，廣泛應用于企業、醫療、銀行等與人們日常生活息息相關的領域。但由于受各種條件的限制，軟件系統在最初設計時無法充分考慮到所有可能存在網絡安全隱患，同時由于軟件系統變得越來越復雜，因此目前的軟件應用系統一般都存在許多漏洞。另外，隨著網絡入侵手段的不斷演化、黑客技術不斷更新，導致通過網絡攻擊軟件應用系統的行為也變得復雜多樣，這使得一些重要信息被泄露甚至篡改，對個人、企業、甚至國家都造成巨大的破壞。因此，如果如何有效地檢測軟件系統潛在的安全風險并有針對性地對網絡攻擊做出防御，保證軟件系統的安全運行是學術界和工業界都在積極研究的重要課題。

隨著現代信息技術的發展,一些網絡攻擊變得復雜、多階段化，一些傳統的入侵檢測方法不適用于現如今的軟件系統。目前對網絡攻擊進行檢測方面的研究主要是通過對網絡攻擊行為進行建模來實現的。網絡攻擊行為建模的主要方法有攻擊描述語言、攻擊樹、攻擊圖和攻擊網等方法，其中主流的方法是攻擊樹建模。攻擊樹建模方法是利用樹型結構來表示攻擊行為及步驟之間的相互依賴關系，用以對系統的安全威脅進行建模分析。攻擊樹建模方法的優點在于直觀、易理解，有助于圖形化描述攻擊，因此攻擊樹在攻擊檢測、攻擊建模、攻擊構造、風險評估等方面得到了廣泛應用。但是隨著信息技術的不斷發展，網絡攻擊手段不斷更新，攻擊越發復雜且呈現多階段化，此時攻擊樹模型在表示復雜的多階段網絡攻擊時存在對攻擊行為、攻擊過程、攻擊結果沒有區分、不易理解，對多階段攻擊缺少關聯等方面的不足，同時攻擊樹無法實現以攻擊者視角來模擬網絡入侵的自動化檢測。

為了實現基于攻擊者視角的軟件系統的潛在威脅檢測，及時進行針對性的防御，從而盡可能的減少各類損失，有必要對軟件應用系統的場景和攻擊者的意圖進行建模分析，并利用形式化規則完成自動化檢測?；谶@一目標，本發明提出了一種基于攻擊者的攻擊策略實現軟件系統威脅自動化檢測的方法。

發明內容

本發明包含兩個部分：

第一項發明內容是提出一種基于攻擊者攻擊策略的軟件系統威脅自動化檢測方法，通過從攻擊者視角分析攻擊者的攻擊意圖，抽象出了一種基于攻擊者意圖的攻擊模型方法和攻擊者意圖精化框架，使得攻擊過程可以利用形式化規則進行描述。

第二項發明內容是基于第一項發明內容設計并開發了軟件系統威脅自動檢測系統，以實現威脅的自動化檢測。本發明系統分為場景仿真建模和威脅自動化檢測兩大個部分。場景仿真建模部分是通過抽取待檢測系統的相關元素并確定各個元素之間的相互關系完成系統場景建模。在系統仿真建模的基礎上，威脅檢測部分將場景仿真建模部分的數據信息作為事實依據，通過第一項發明的威脅檢測方法完成威脅的自動化檢測。

本發明基于攻擊者攻擊策略生成的自動威脅檢測系統，主要包括場景仿真建模和威脅自動化檢測兩大模塊。場景仿真建模模塊負責的是將真實的系統場景信息進行元素抽取，考慮到一套完整軟件系統中各個元素之間的相互關系的多樣性，確定場景信息中各個元素之間的關系后將各個元素按照其確定的關系以圖形化的方式進行表示，從而完成系統的仿真建模。