The invention provides a network attack graph generation method and system, which includes: generating multiple sub-tasks according to the subnet reachability relationship of power information network; assigning multiple sub-tasks to multiple processors for processing, generating multiple sub-attack graphs; determining sub-tasks according to multiple sub-attack graphs, the initial privileges of actual attackers and the privileges obtained during the attack process. Attack paths established under the premise of privileges in attack graphs; all attack paths constitute network attack graphs. Compared with the nearest existing technologies, this method can express all the reachable network states and their corresponding attack paths. Using distributed processing technology, the process of attack graph generation is decomposed into several sub-tasks, which improves the efficiency of attack graph generation, reduces the redundant information of attack graph, and reduces the system resource consumption during attack graph generation. It can be used to evaluate the overall security of large-scale complex network systems.
【技术实现步骤摘要】
一种网络攻击图生成方法和系统
本专利技术属于电力系统网络安全领域,具体讲涉及一种网络攻击图生成方法和系统。
技术介绍
由于网络是由大量主机相互连接组成的,所以在网络安全分析中,孤立地分析某个主机上的脆弱性存在一定的局限性,只有把网络中的脆弱性综合起来分析,才能更好地发现网络可能存在的潜在攻击。攻击图技术能够把网络中各主机上的脆弱性关联起来进行深入地分析,从而获取网络中潜在的安全威胁,并把这些威胁网络安全的攻击路径用图的方式展示出来,使安全管理人员能够直观地把握网络的脆弱性之间的关系。安全管理人员通过分析攻击图中所有攻击路径,可以选择代价最小的方法对网络安全进行维护。目前已涌现出了多种攻击图构建方法,通过对现有方法进行总结分析发现,利用现有方法构建攻击图存在以下两方面的不足:第一,在现实的应用中,网络安全管理人员不仅需要知道攻击者可能从哪些路径入侵目标主机,还应该了解攻击者能够入侵网络内的哪些主机,但是现有的攻击图构建方法大部分只能用于分析单一攻击目标的安全性。第二,攻击图构建过程存在复杂度高、扩展性能低、状态爆炸等问题,导致攻击图生成时的系统资源消耗较大,从而难以适用于大规模复杂网络系统。
技术实现思路
为克服上述现有技术的不足,本专利技术提出一种网络攻击图生成方法和系统,将攻击图构建过程分解为若干子任务,采用并行处理技术,在多个处理器上处理子任务,最终将子攻击图融合为整体攻击图,有效减少了攻击图生成时间,优化了系统资源利用。实现上述目的所采用的解决方案为:一种网络攻击图生成方法,其改进之处在于:根据电力信息网络的子网可达关系,生成多个子任务;将所述多个子任务 ...
【技术保护点】
1.一种网络攻击图生成方法,其特征在于:根据电力信息网络的子网可达关系,生成多个子任务;将所述多个子任务分配到多台处理器上进行处理,生成多个子攻击图;根据所述多个子攻击图、实际攻击者的初始权限以及在攻击过程中取得的权限,确定所述子攻击图中所述权限前提成立的攻击路径;所有所述攻击路径构成网络攻击图。
【技术特征摘要】
1.一种网络攻击图生成方法,其特征在于:根据电力信息网络的子网可达关系,生成多个子任务;将所述多个子任务分配到多台处理器上进行处理,生成多个子攻击图;根据所述多个子攻击图、实际攻击者的初始权限以及在攻击过程中取得的权限,确定所述子攻击图中所述权限前提成立的攻击路径;所有所述攻击路径构成网络攻击图。2.如权利要求1所述的方法,其特征在于,所述根据电力信息网络的子网可达关系,生成多个子任务,包括:读取所述电力信息网络的信息,所述信息包括所述电力信息网络中存在的所有主机上的脆弱性、主机之间的可达关系、子网信息以及实际攻击者的初始能力;遍历所述电力信息网络中的所有子网,判断子网两两之间是否存在直接可达关系;若两子网存在直接可达关系,则建立子任务。3.如权利要求2所述的方法,其特征在于,所述子网两两之间存在直接可达关系包括:所述两个子网不同但子网中的主机相互可达,或者,两个子网为同一个子网。4.如权利要求2所述的方法,其特征在于,所述主机为与所述电力信息网络连接且具有漏洞的实体。5.如权利要求1所述的方法,其特征在于,在所述生成子任务之后、将所述子任务分配到多台处理器上进行处理之前,还包括:将所有子任务加入任务集合T,所述任务集合T为向量<tc,ts,tg>的集合;其中:tc为子任务,ts为子任务中源子网,tg为子任务中目的子网;所述集合T初值为空。6.如权利要求1所述的方法,其特征在于,所述将所述多个子任务分配到多台处理器上进行处理,生成多个子攻击图,包括:通过并行执行的多个线程循环读取子任务信息,并根据读取的子任务信息读取源子网ts和目的子网tg中的主机脆弱性信息以及主机的可达关系;在所述主机脆弱性的前提属性满足攻击规则库所提供的攻击模式时,将前提属性与攻击模式、以及攻击模式与后果属性用有向箭头连接,组成子攻击图;所述后果属性包括攻击主机后产生的主机状态的变化;所述攻击模式包括在满足前提属性条件下可实施的攻击行为。7.如权利要求6所述的方法,其特征在于,所述根据所述多个子攻击图、实际攻击者的初始权限以...
【专利技术属性】
技术研发人员:张涛,陈春霖,刘莹,马媛媛,管小娟,费稼轩,华晔,陈璐,黄秀丽,李尼格,李伟伟,张明扬,周晟,傅慧斌,汪晨,李千目,倪震,
申请(专利权)人:全球能源互联网研究院,国家电网公司,国网福建省电力有限公司信息通信分公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。