网络安全威胁底图生成方法、系统、存储介质和电子设备技术方案

本发明专利技术给出了一种网络安全威胁底图生成方法、系统、存储介质和电子设备属于网络空间安全技术领域。该方法包括：构建初始局部知识图谱；确定各个主机节点之间的连接关系；确定从节点漏洞到主机节点、从漏洞利用工具到主机节点、从漏洞利用工具到节点漏洞的指向连接关；确定从主机节点凭据到主机节点的指向连接关系；确定从主机节点到漏洞利用工具的指向连接关系；确定从主机节点到主机节点凭据的指向连接关系，得到网络安全威胁底图。本发明专利技术能够实现对企业内网所面临的网络安全威胁进行全面表征，适用于网络安全风险的评估。适用于网络安全风险的评估。适用于网络安全风险的评估。

【技术实现步骤摘要】
网络安全威胁底图生成方法、系统、存储介质和电子设备


[0001]本专利技术属于网络空间安全
，尤其涉及一种网络安全威胁底图生成方法、系统、存储介质和电子设备。

技术介绍

[0002]网络安全风险评估是定性和定量分析手段，系统分析网络及信息系统存在的脆弱性及所面临的威胁，评估安全事件一旦发生可能造成的危害程度，可为制定有针对性的抵御威胁的防护对策和整改措施，最大限度地保障网络和信息安全提供科学依据。
[0003]基于攻击图模型的网络安全风险分析是一种典型、有效的评估方法。所谓攻击图(尤指属性攻击图)是指利用有向边代表原子攻击间的渗透关联关系，利用节点代表网络安全相关要素而构成的有向图。随着各类网络攻击技术不断发展进化，传统的攻击图在表征攻击威胁时存在一定的局限性。
[0004]一是传统的属性攻击图主要采用表征了入网条件下的对主机攻击，以恶意攻击者通过外网渗透至企业内网为主要风险场景。对企业内网无线信道破解接入、USB存储设备非法接入后等风险无线描述；
[0005]二是传统的属性攻击图主要采用漏洞利用的攻击方式，对弱口令破解登录等凭据类攻击方式无法体现。
[0006]三是传统的属性攻击图主要的攻击效果是对主机进行操控提权，主机中断、降效等攻击效果未体现。
[0007]传统的攻击图以网络拓扑、漏洞、网络配置、节点权限等为输入信息，采用规则匹配方式生成攻击关系。随着网络规模性、复杂性的不断提升，攻击图来源单一、生成扩展性及效率较差，难以满足较大规模企业网络的安全风险评估需求。r/>[0008]知识图谱是一种以图结构来对客观世界知识进行建模的技术，通过多源数据中抽取实体和属性信息，并对实体间可能具有的关系进行抽取或推理，形成知识网络，具有扩展性强、灵活的特点。可用于对较大规模的网络的攻击图生成，为网络安全风险评估提供支撑。在知识图谱构建环节过程中，攻击关系作为攻击图的重要属性，一般通过传统的基于规则匹配方法进行补全。但这种关系补全方式仅能适用于简单的权限、漏洞依赖场景，无法应用于复杂的可达性等场景，关系补全效率较低。

技术实现思路

[0009]本专利技术的目的之一，在于提供一种网络安全威胁底图生成方法，该网络安全威胁底图能够实现对企业内网所面临的网络安全威胁进行全面表征，支持弱口令获权、漏洞利用获权、拒绝服务攻击、无线网络接入等典型攻击场景，适用于网络安全风险的评估。
[0010]本专利技术的目的之二，在于提供一种存储介质。
[0011]本专利技术的目的之三，在于提供一种网络安全威胁底图生成系统。
[0012]本专利技术的目的之四，在于提供一种电子设备。
[0013]为了达到上述目的之一，本专利技术采用如下技术方案实现：
[0014]一种网络安全威胁底图生成方法，所述网络安全威胁底图生成方法包括：
[0015]步骤S1、获取企业内网的所有实体的信息，以构建企业内网的初始局部知识图谱；
[0016]所述实体包括主机节点、节点漏洞、漏洞利用工具和主机节点凭据；
[0017]步骤S2、根据所述企业内网的路由配置和防火墙配置，确定所述企业内的各个主机节点之间的连接关系，以补充到所述初始局部知识图谱中，得到第一局部知识图谱；
[0018]步骤S3、按照所述节点漏洞的编号，确定从所述节点漏洞到所述主机节点的指向连接关系、从所述漏洞利用工具到所述主机节点的指向连接关系以及从所述漏洞利用工具到所述节点漏洞的指向连接关系，以补充到所述第一局部知识图谱中，得到第二局部知识图谱；
[0019]步骤S4、按照所述主机节点的编号，确定从所述主机节点凭据到所述主机节点的指向连接关系，以补充到所述第二局部知识图谱中，得到第三局部知识图谱；
[0020]步骤S5、根据所述节点漏洞的漏洞利用的前置条件和后置后果以及所述各个主机节点之间的连接关系，确定从所述主机节点到所述漏洞利用工具的指向连接关系，以补充到所述第三局部知识图谱中，得到第四局部知识图谱；
[0021]所述节点漏洞的漏洞利用的前置条件包括权限条件和可达性条件；
[0022]所述节点漏洞的漏洞利用的后置后果包括权限提升、拒绝服务和节点降效；
[0023]步骤S6、根据所述主机节点凭据的登录凭据的前置条件、后置后果和所述各个主机节点之间的连接关系，确定从所述主机节点到所述主机节点凭据的指向连接关系，以补充到所述第四局部知识图谱中，得到网络安全威胁底图；
[0024]所述主机节点凭据的登录凭据的前置条件包括可达性条件和口令强度；
[0025]所述主机节点凭据的登录凭据的后置后果包括权限等级；
[0026]所述权限等级包括访问权限、普通用户权限、管理员权限和超级管理员权限。
[0027]进一步的，所述实体的信息包括主机节点信息、节点漏洞信息、漏洞利用工具信息和主机节点凭据信息；步骤S1中，所述初始局部知识图谱的构建过程包括：
[0028]步骤S11、构建一个空的初始局部知识图谱；
[0029]步骤S12、获取所述企业内网的网络扫描结果和系统管理配置信息；
[0030]所述系统管理配置信息包括账号配置信息和无线网络配置信息；
[0031]步骤S13、从所述网络扫描结果中提取出所述企业内网上各个主机节点信息和节点漏洞信息中的非无线网络节点漏洞信息；
[0032]步骤S14、从所述无线网络配置信息中提取出所述节点漏洞信息中的无线网络节点漏洞信息；
[0033]步骤S15、从攻击知识库中获取所述非无线网络节点漏洞和无线网络节点漏洞对应的漏洞利用工具；
[0034]步骤S16、从所述账号配置信息中提取出各个主机节点凭据信息；
[0035]步骤S17、将所述各个主机节点信息、非无线网络节点漏洞信息、无线网络节点漏洞信息、所述漏洞利用工具和主机节点凭据信息补充到所述初始局部知识图谱。
[0036]进一步的，步骤12中，所述账号配置包括登录账号权限和口令强度；
[0037]所述无线网络配置信息包括是否开启无线网络主动扫描和网络认证加密机制。
[0038]进一步的，所述主机节点信息包括主机节点的编号、主机节点类型、主机节点提供的服务、主机节点服务所用的协议、主机节点服务所使用的端口号和主机节点上存在的节点漏洞的编号；
[0039]所述节点漏洞信息包括所述主机节点上存在的节点漏洞的编号、漏洞利用的前置条件和后置后果以及漏洞危害性；
[0040]所述主机节点凭据信息包括凭据所在所述主机节点的编号、登录凭据的前置条件和后置后果。
[0041]进一步的，所述各个主机节点之间的连接关系包括请求服务的源主机节点、提供服务的目的主机节点、目的主机节点开放的服务、服务使用的端口和权限等级。
[0042]进一步的，步骤S5的具体实现过程为：
[0043]步骤S51、根据每个主机节点的编号和每个节点漏洞的编号，提取所述各个节点漏洞的漏洞利用的前置条件和后置后果；...

【技术保护点】

【技术特征摘要】
1.一种网络安全威胁底图生成方法，其特征在于，所述网络安全威胁底图生成方法包括：步骤S1、获取企业内网的所有实体的信息，以构建企业内网的初始局部知识图谱；所述实体包括主机节点、节点漏洞、漏洞利用工具和主机节点凭据；步骤S2、根据所述企业内网的路由配置和防火墙配置，确定所述企业内的各个主机节点之间的连接关系，以补充到所述初始局部知识图谱中，得到第一局部知识图谱；步骤S3、按照所述节点漏洞的编号，确定从所述节点漏洞到所述主机节点的指向连接关系、从所述漏洞利用工具到所述主机节点的指向连接关系以及从所述漏洞利用工具到所述节点漏洞的指向连接关系，以补充到所述第一局部知识图谱中，得到第二局部知识图谱；步骤S4、按照所述主机节点的编号，确定从所述主机节点凭据到所述主机节点的指向连接关系，以补充到所述第二局部知识图谱中，得到第三局部知识图谱；步骤S5、根据所述节点漏洞的漏洞利用的前置条件和后置后果以及所述各个主机节点之间的连接关系，确定从所述主机节点到所述漏洞利用工具的指向连接关系，以补充到所述第三局部知识图谱中，得到第四局部知识图谱；所述节点漏洞的漏洞利用的前置条件包括权限条件和可达性条件；所述节点漏洞的漏洞利用的后置后果包括权限提升、拒绝服务和节点降效；步骤S6、根据所述主机节点凭据的登录凭据的前置条件、后置后果和所述各个主机节点之间的连接关系，确定从所述主机节点到所述主机节点凭据的指向连接关系，以补充到所述第四局部知识图谱中，得到网络安全威胁底图；所述主机节点凭据的登录凭据的前置条件包括可达性条件和口令强度；所述主机节点凭据的登录凭据的后置后果包括权限等级；所述权限等级包括访问权限、普通用户权限、管理员权限和超级管理员权限。2.根据权利要求1所述的网络安全威胁底图生成方法，其特征在于，所述实体的信息包括主机节点信息、节点漏洞信息、漏洞利用工具信息和主机节点凭据信息；步骤S1中，所述初始局部知识图谱的构建过程包括：步骤S11、构建一个空的初始局部知识图谱；步骤S12、获取所述企业内网的网络扫描结果和系统管理配置信息；所述系统管理配置信息包括账号配置信息和无线网络配置信息；步骤S13、从所述网络扫描结果中提取出所述企业内网上各个主机节点信息和节点漏洞信息中的非无线网络节点漏洞信息；步骤S14、从所述无线网络配置信息中提取出所述节点漏洞信息中的无线网络节点漏洞信息；步骤S15、从攻击知识库中获取所述非无线网络节点漏洞和无线网络节点漏洞对应的漏洞利用工具；步骤S16、从所述账号配置信息中提取出各个主机节点凭据信息；步骤S17、将所述各个主机节点信息、非无线网络节点漏洞信息、无线网络节点漏洞信息、所述漏洞利用工具和主机节点凭据信息补充到所述初始局部知识图谱。3.根据权利要求2所述的网络安全威胁底图生成方法，其特征在于，步骤12中，所述账号配置包括登录账号权限和口令强度；
所述无线网络配置信息包括是否开启无线网络主动扫描和网络认证加密机制。4.根据权利要求3所述的网络安全威胁底图生成方法，其特征在于，所述主机节点信息包括主机节点的编号、主机节点类型、主机节点提供的服务、主机节点服务所用的协议、主机节点服务所使用的端口号和主机节点上存在的节点漏洞的编号；所述节点漏洞信息包括所述主机节点上存在的节点漏洞的编号、漏洞利用的前置条件和后置后果以及漏洞危害性；所述主机节点凭据信息包括凭据所在所述主机节点的编号、登录凭据的前置条件和后置后果。5.根据权利要求4所述的网络安全威胁底图生成方法，其特征在于，所述各个主机节点之间的连接关系包括请求服务的源主机节点、提供...

【专利技术属性】
技术研发人员：马春来，马涛，常超，许四毛，黄郡，杨成武，王怀习，
申请(专利权)人：中国人民解放军国防科技大学，
类型：发明
国别省市：