本發明公開了一種基于多維度攻擊路徑與攻擊圖的生成方法，屬于網絡安全技術領域。本發明通過采集漏洞條目樣本，建立漏洞知識庫，對每一條漏洞條目樣本標注前置權限和后置權限；提取漏洞知識庫中每一條漏洞條目樣本的特征，包括漏洞描述文本特征和CVSS指標特征，并將漏洞描述文本特征進行文本預處理；以前置權限，后置權限，漏洞條目三元組定義攻擊模式，構建攻擊模式知識庫；針對目標工控網絡，采用基于攻擊圖優化策略的廣度優先前向攻擊圖生成算法生成攻擊圖。本發明通過分析不同終端的環境屬性，以生成各種攻擊方式對應的多維度攻擊路徑和高維攻擊圖，優化攻擊圖生成過程，提高攻擊圖生成效率。

技術領域

本發明涉網絡安全技術領域，是一種基于多維度攻擊路徑與攻擊圖的生成方法。

背景技術

攻擊圖是一種預判攻擊者對目標網絡發動攻擊的方式和過程，指導防御方對網絡中的節點采取針對性防御措施，提高網絡安全性的技術。采用攻擊圖能夠獲取網絡中潛在的安全威脅，使安全管理人員能夠直觀地把握網絡的風險之間的關系，安全管理人員通過分析攻擊圖中所有攻擊路徑，可以選擇代價最小的方法對網絡安全進行維護。

以往用于攻擊路徑生成的方法往往規模過于龐大，包含很多冗余信息，生成效率低并且無法準確分析攻擊圖中的關鍵脆弱因素。

發明內容

為解決上述問題，本發明提出了一種基于多維度攻擊路徑與攻擊圖的生成方法。針對不同終端的各種攻擊模式對應的原子攻擊先決條件和后果的模式匹配，分析不同終端的環境屬性，以生成各種攻擊方式對應的多維度攻擊路徑和高維攻擊圖，并且在CVSS評分的基礎上，結合網絡環境特征綜合考慮各項指標，并基于貝葉斯推理計算攻擊圖中各節點的因果關系以評估各設備和整體網絡的綜合風險。

為了實現上述目的，本發明采用如下技術方案：

一種基于多維度攻擊路徑與攻擊圖的生成方法，包括以下步驟：

步驟1：采集漏洞條目樣本，建立漏洞知識庫，對每一條漏洞條目樣本標注前置權限和后置權限；

步驟2：提取漏洞知識庫中每一條漏洞條目樣本的特征，包括漏洞描述文本特征和CVSS指標特征，并將漏洞描述文本特征進行文本預處理；

步驟3：以前置權限，后置權限，漏洞條目三元組定義攻擊模式，構建攻擊模式知識庫；其中，對于目標工控網絡中攻擊模式未知的漏洞條目，首先通過規則匹配對漏洞知識庫中的前置權限和后置權限進行匹配，若無匹配條目，則利用預訓練的前置權限分類模型和后置權限分類模型獲取前置權限和后置權限；

步驟4：針對目標工控網絡，采用基于攻擊圖優化策略的廣度優先前向攻擊圖生成算法生成攻擊圖。

進一步的，所述的步驟1對每一條漏洞條目樣本進行標注時，前置權限分為兩個度量指標：一是攻擊源和目標主機的可達性，根據CVSS的指標分為4項：Network、Adjacent、Local、Physical；二是攻擊者發動攻擊前需要在目標主機上滿足的權限級別；后置權限只有一個度量指標，為攻擊者成功實施攻擊后在目標主機上獲取的權限級別。

本發明具備以下有益效果：

(1)本發明采用廣度優先的前向攻擊圖生成算法，生成的攻擊路徑能夠全面涵蓋整個目標網絡，便于后續對目標網絡的整體風險進行分析。。

(3)由于真實的網絡環境十分復雜，如果不加限制和優化，生成的攻擊圖的規模將十分龐大，包含很多冗余信息，無法準確分析攻擊圖中的關鍵脆弱因素并且在網絡規模較大時貝葉斯精確推理存在一定的局限性。本發明設計了攻擊圖的優化方法，通過在特定情況下用近似推理算法替代貝葉斯精確推理算法以及指定最大跳數，設定節點可達概率閾值減小攻擊圖的規模等方式提高了在復雜網絡環境中的攻擊圖生成效率。

附圖說明

圖1是攻擊圖構建整體流程圖；

圖2是攻擊模式提取流程圖。