一种网络攻击图生成方法和系统技术方案

本发明专利技术提供了一种网络攻击图生成方法和系统，该方法包括：根据电力信息网络的子网可达关系，生成多个子任务；将多个子任务分配到多台处理器上进行处理，生成多个子攻击图；根据多个子攻击图、实际攻击者的初始权限以及在攻击过程中取得的权限，确定子攻击图中权限前提成立的攻击路径；所有攻击路径构成网络攻击图。与最接近的现有技术相比，该方法能够表达出所有可达的网络状态及其相应的攻击路径。采用分布处理技术，将攻击图生成过程分解为若干子任务，提高了攻击图的生成效率，减少了攻击图冗余信息，并且降低了攻击图生成时的系统资源消耗，能够用于评估大规模复杂网络系统的整体安全性。

A Method and System for Generating Network Attack Graph

The invention provides a network attack graph generation method and system, which includes: generating multiple sub-tasks according to the subnet reachability relationship of power information network; assigning multiple sub-tasks to multiple processors for processing, generating multiple sub-attack graphs; determining sub-tasks according to multiple sub-attack graphs, the initial privileges of actual attackers and the privileges obtained during the attack process. Attack paths established under the premise of privileges in attack graphs; all attack paths constitute network attack graphs. Compared with the nearest existing technologies, this method can express all the reachable network states and their corresponding attack paths. Using distributed processing technology, the process of attack graph generation is decomposed into several sub-tasks, which improves the efficiency of attack graph generation, reduces the redundant information of attack graph, and reduces the system resource consumption during attack graph generation. It can be used to evaluate the overall security of large-scale complex network systems.

【技术实现步骤摘要】
一种网络攻击图生成方法和系统
本专利技术属于电力系统网络安全领域，具体讲涉及一种网络攻击图生成方法和系统。
技术介绍
由于网络是由大量主机相互连接组成的，所以在网络安全分析中，孤立地分析某个主机上的脆弱性存在一定的局限性，只有把网络中的脆弱性综合起来分析，才能更好地发现网络可能存在的潜在攻击。攻击图技术能够把网络中各主机上的脆弱性关联起来进行深入地分析，从而获取网络中潜在的安全威胁，并把这些威胁网络安全的攻击路径用图的方式展示出来，使安全管理人员能够直观地把握网络的脆弱性之间的关系。安全管理人员通过分析攻击图中所有攻击路径，可以选择代价最小的方法对网络安全进行维护。目前已涌现出了多种攻击图构建方法，通过对现有方法进行总结分析发现，利用现有方法构建攻击图存在以下两方面的不足:第一，在现实的应用中，网络安全管理人员不仅需要知道攻击者可能从哪些路径入侵目标主机，还应该了解攻击者能够入侵网络内的哪些主机，但是现有的攻击图构建方法大部分只能用于分析单一攻击目标的安全性。第二，攻击图构建过程存在复杂度高、扩展性能低、状态爆炸等问题，导致攻击图生成时的系统资源消耗较大，从而难以适用于大规模复杂网络系统。
技术实现思路
为克服上述现有技术的不足，本专利技术提出一种网络攻击图生成方法和系统，将攻击图构建过程分解为若干子任务，采用并行处理技术，在多个处理器上处理子任务，最终将子攻击图融合为整体攻击图，有效减少了攻击图生成时间，优化了系统资源利用。实现上述目的所采用的解决方案为：一种网络攻击图生成方法，其改进之处在于：根据电力信息网络的子网可达关系，生成多个子任务；将所述多个子任务分配到多台处理器上进行处理，生成多个子攻击图；根据所述多个子攻击图、实际攻击者的初始权限以及在攻击过程中取得的权限，确定所述子攻击图中所述权限前提成立的攻击路径；所有所述攻击路径构成网络攻击图。本专利技术提供的第一优选技术方案，其改进之处在于，所述根据电力信息网络的子网可达关系，生成多个子任务，包括：读取所述电力信息网络的信息，所述信息包括所述电力信息网络中存在的所有主机上的脆弱性、主机之间的可达关系、子网信息以及实际攻击者的初始能力；遍历所述电力信息网络中的所有子网，判断子网两两之间是否存在直接可达关系；若两子网存在直接可达关系，则建立子任务。本专利技术提供的第二优选技术方案，其改进之处在于，所述子网两两之间存在直接可达关系包括：所述两个子网不同但子网中的主机相互可达，或者，两个子网为同一个子网。本专利技术提供的第三优选技术方案，其改进之处在于，所述主机为与所述电力信息网络连接且具有漏洞的实体。本专利技术提供的第四优选技术方案，其改进之处在于，在所述生成子任务之后、将所述子任务分配到多台处理器上进行处理之前，还包括：将所有子任务加入任务集合T，所述任务集合T为向量<tc，ts，tg>的集合；其中：tc为子任务，ts为子任务中源子网，tg为子任务中目的子网；所述集合T初值为空。本专利技术提供的第五优选技术方案，其改进之处在于，所述将所述多个子任务分配到多台处理器上进行处理，生成多个子攻击图，包括：通过并行执行的多个线程循环读取子任务信息，并根据读取的子任务信息读取源子网ts和目的子网tg中的主机脆弱性信息以及主机的可达关系；在所述主机脆弱性的前提属性满足攻击规则库所提供的攻击模式时，将前提属性与攻击模式、以及攻击模式与后果属性用有向箭头连接，组成子攻击图；所述后果属性包括攻击主机后产生的主机状态的变化；所述攻击模式包括在满足前提属性条件下可实施的攻击行为。本专利技术提供的第六优选技术方案，其改进之处在于，所述根据所述多个子攻击图、实际攻击者的初始权限以及在攻击过程中取得的权限，确定所述子攻击图中所述权限前提成立的攻击路径，包括：(1)读取攻击者具有初始权限的子网，将所述具有初始权限的子网定义为源子网，并将源子网存入攻击路径中；(2)基于所述子攻击图确定所述源子网可达的子网为目的子网；(3)若所述目的子网为多个，则逐一选择目的子网和对应的子任务，执行下一步，否则直接执行下一步；(4)如果所述源子网对应的权限满足攻击模式，则将所述目的子网以及攻击模式存储到攻击路径中，并将所述目的子网设为新的源子网，并跳转到步骤(2)直到没有新的目的子网。本专利技术还提供了一种网络攻击图生成系统，其改进之处在于，包括任务分解模块、子攻击图生成模块和综合计算模块；所述任务分解模块用于根据电力信息网络的子网可达关系，把攻击图生成过程分解为多个子任务；所述子攻击图生成模块用于将所述多个子任务分配到多台处理器上进行处理，生成多个子攻击图；所述综合计算模块用于根据所有所述子攻击图、实际攻击者初始权限以及在攻击过程中取得的权限，确定所述子攻击图中所述权限前提成立的攻击路径，综合所有所述攻击路径构成网络攻击图。本专利技术提供的第七优选技术方案，其改进之处在于，所述任务分解模块包括信息读取子单元、可达关系判断子单元和子任务计算子单元；所述信息读取子单元用于读取所述电力信息网络的信息，所述信息包括所述电力信息网络中存在的所有主机上的脆弱性、主机之间的可达关系、子网信息以及实际攻击者的初始能力；所述可达关系判断子单元用于遍历所述电力信息网络中的所有子网，判断子网两两之间是否存在直接可达关系；所述子任务计算子单元用于若两子网存在直接可达关系，则建立子任务。本专利技术提供的第八优选技术方案，其改进之处在于，所述子攻击图生成模块包括子任务读取子单元和子攻击图生成子单元；所述子任务读取子单元用于通过并行执行的多个线程循环读取子任务信息，并根据读取的子任务信息读取源子网和目的子网中的主机脆弱性信息以及主机的可达关系；所述子攻击图生成子单元用于在所述主机脆弱性的前提属性是否满足攻击规则库所提供的攻击模式时，将前提属性、后果属性、攻击模式和连接关系融合，组成子攻击图。与最接近的现有技术相比，本专利技术具有的有益效果如下：本专利技术可实现对电力信息网络的整体安全性评价，能够表达出所有可达的网络状态及其相应的攻击路径。采用分布处理技术，将攻击图生成过程分解为若干子任务，提高了攻击图的生成效率，减少了攻击图冗余信息，并且降低了攻击图生成时的系统资源消耗，能够用于评估大规模复杂网络系统的整体安全性。附图说明图1为本专利技术提供的一种网络攻击图生成方法流程示意图；图2为本专利技术提供的一种网络攻击图生成方法原理示意图。具体实施方式下面结合附图对本专利技术的具体实施方式做进一步的详细说明。本专利技术提供了一种网络攻击图生成方法，该方法流程如图1所示，包括：根据电力信息网络的子网可达关系，生成多个子任务；将多个子任务分配到多台处理器上进行处理，生成多个子攻击图；根据多个子攻击图、实际攻击者的初始权限以及在攻击过程中取得的权限，确定子攻击图中权限前提成立的攻击路径；所有攻击路径构成网络攻击图。其中，所述权限前提成立的攻击路径是指以攻击者攻击过程中不断增加的权限为前提，匹配攻击规则库的攻击模式，将存在连通性且满足攻击模式前提条件的路径，即前提属性与攻击模式做有向连接。该方法的原理如图2所示。具体的，根据电力信息网络的子网可达关系，生成多个子任务包括：1-1、读取电力信息网络的信息，该信息可以包括电力信息网络中所有主机上的脆弱性、主机之间的可达关系、本文档来自技高网...

【技术保护点】
1.一种网络攻击图生成方法，其特征在于：根据电力信息网络的子网可达关系，生成多个子任务；将所述多个子任务分配到多台处理器上进行处理，生成多个子攻击图；根据所述多个子攻击图、实际攻击者的初始权限以及在攻击过程中取得的权限，确定所述子攻击图中所述权限前提成立的攻击路径；所有所述攻击路径构成网络攻击图。

【技术特征摘要】
1.一种网络攻击图生成方法，其特征在于：根据电力信息网络的子网可达关系，生成多个子任务；将所述多个子任务分配到多台处理器上进行处理，生成多个子攻击图；根据所述多个子攻击图、实际攻击者的初始权限以及在攻击过程中取得的权限，确定所述子攻击图中所述权限前提成立的攻击路径；所有所述攻击路径构成网络攻击图。2.如权利要求1所述的方法，其特征在于，所述根据电力信息网络的子网可达关系，生成多个子任务，包括：读取所述电力信息网络的信息，所述信息包括所述电力信息网络中存在的所有主机上的脆弱性、主机之间的可达关系、子网信息以及实际攻击者的初始能力；遍历所述电力信息网络中的所有子网，判断子网两两之间是否存在直接可达关系；若两子网存在直接可达关系，则建立子任务。3.如权利要求2所述的方法，其特征在于，所述子网两两之间存在直接可达关系包括：所述两个子网不同但子网中的主机相互可达，或者，两个子网为同一个子网。4.如权利要求2所述的方法，其特征在于，所述主机为与所述电力信息网络连接且具有漏洞的实体。5.如权利要求1所述的方法，其特征在于，在所述生成子任务之后、将所述子任务分配到多台处理器上进行处理之前，还包括：将所有子任务加入任务集合T，所述任务集合T为向量<tc，ts，tg>的集合；其中：tc为子任务，ts为子任务中源子网，tg为子任务中目的子网；所述集合T初值为空。6.如权利要求1所述的方法，其特征在于，所述将所述多个子任务分配到多台处理器上进行处理，生成多个子攻击图，包括：通过并行执行的多个线程循环读取子任务信息，并根据读取的子任务信息读取源子网ts和目的子网tg中的主机脆弱性信息以及主机的可达关系；在所述主机脆弱性的前提属性满足攻击规则库所提供的攻击模式时，将前提属性与攻击模式、以及攻击模式与后果属性用有向箭头连接，组成子攻击图；所述后果属性包括攻击主机后产生的主机状态的变化；所述攻击模式包括在满足前提属性条件下可实施的攻击行为。7.如权利要求6所述的方法，其特征在于，所述根据所述多个子攻击图、实际攻击者的初始权限以...

【专利技术属性】
技术研发人员：张涛，陈春霖，刘莹，马媛媛，管小娟，费稼轩，华晔，陈璐，黄秀丽，李尼格，李伟伟，张明扬，周晟，傅慧斌，汪晨，李千目，倪震，
申请(专利权)人：全球能源互联网研究院，国家电网公司，国网福建省电力有限公司信息通信分公司，
类型：发明
国别省市：北京,11