一种基于攻击图的大型网络攻击推演及风险预警方法技术

本发明专利技术公开了一种基于攻击图的大型网络攻击推演及风险预警方法，其包括：采集大型网络中各服务器的脆弱性数据和对外连接关系并构建网络拓扑图；挖掘网络拓扑图中的社群并生成相应的社群异质子图；对各社群异质子图进行变换生成网络拓扑图的拓扑骨架图；对拓扑骨架图进行推导生成相应的攻击图；对各社群异质子图进行聚类生成聚类簇；从各聚类簇中随机选取一个社群异质子图进行推导生成相应的包含攻击路径的攻击图；当检查到攻击事件后，根据攻击图动态推理攻击路径，同时在同一个聚类中的社群异质子图中排查是否存在类似可能被攻击的风险；这种方式不但降低了攻击推演计算的复杂度，提升效率，同时可以实现对大型网络的安全风险的全网排查与预警。全风险的全网排查与预警。全风险的全网排查与预警。

【技术实现步骤摘要】
一种基于攻击图的大型网络攻击推演及风险预警方法


[0001]本专利技术涉及一种基于攻击图的大型网络攻击推演及风险预警方法，属于信息安全


技术介绍

[0002]随着网络安全攻防技术的不断发展，国家关键信息基础设施面临的网络的安全问题不断增多，网络安全风险不断加大，网络威胁正在朝着智能化、自动化的方向发展，攻击手段往往采用多种攻击步骤组合形成复杂的攻击过程。攻击者往往利用系统已有的脆弱性，包括系统漏洞、业务漏洞以及不合规的配置等发起攻击。传统的网络安全监测设备能够在一定程度上检测出单步骤的攻击事件，并上报到态势感知平台，但是针对多步骤组合的攻击行为检测和攻击行为的推演存在难题。通过使用基于网络拓扑图和攻击图的攻击路径分析、攻击行为的动态推演，进而基于已经发生的攻击事件，对尚未被攻击的系统进行风险排查，能够有效提升网络安全的分析能力，提升网络安全响应的时效性，提升网络安全的整体防护能力，进而实现挂图作战。
[0003]传统的网络安全的攻击图包括属性攻击图和状态攻击图两种，但是在大规模系统如国家关键信息基础设施上，通常网络资产数量巨大，属性攻击图和状态攻击图都存在状态爆炸的问题，分析效率低。同时传统攻击图更多关注漏洞的利用过程，因此无法在更高层次直观展示攻击过程。

技术实现思路

[0004]本专利技术的目的在于克服现有技术中的不足，提供一种基于攻击图的大型网络攻击推演及风险预警方法，能够降低攻击推演计算复杂度从而提升效率，同时可以实现对大型网络的安全风险预警。
[0005]为达到上述目的，本专利技术是采用下述技术方案实现的：
[0006]第一方面，本专利技术提供了一种基于攻击图的大型网络攻击推演方法，包括：
[0007]当检查到攻击事件后，获取攻击事件中的脆弱性数据和攻击目标信息；
[0008]根据攻击目标信息从预构建的攻击图库中查询相应的攻击图；
[0009]根据脆弱性数据从攻击图中匹配获取相应的攻击路径；
[0010]对攻击路径解析获取攻击步骤序列，将下一步攻击步骤作为推演结果；
[0011]其中，所述攻击图库的构建包括：
[0012]采集大型网络中各服务器的脆弱性数据和对外连接关系并构建网络拓扑图；
[0013]采用BigCLAM算法挖掘网络拓扑图中的社群并生成相应的社群异质子图；
[0014]对各社群异质子图的不重叠区域进行变换生成网络拓扑图的拓扑骨架图；
[0015]对拓扑骨架图使用MulVAL工具进行推导生成相应的包含攻击路径的攻击图；
[0016]使用MetaPath2vec方法计算各社群异质子图的向量表示并根据向量表示进行聚类生成聚类簇；
[0017]从各聚类簇中随机选取一个社群异质子图并使用MulVAL工具进行推导生成相应的包含攻击路径的攻击图；
[0018]将拓扑骨架图和聚类簇的攻击图汇总生成攻击图库。
[0019]可选的，所述构建网络拓扑图包括：将服务器作为节点、脆弱性数据作为节点的属性、对外连接关系作为节点的边构建网络拓扑图。
[0020]可选的，所述生成网络拓扑图的拓扑骨架图包括：将各群异质子图中不重叠的节点使用超节点替换，且所述超节点继承相应不重叠节点的属性和边，生成网络拓扑图的拓扑骨架图。
[0021]可选的，所述根据攻击目标信息从预构建的攻击图库中查询相应的攻击图包括：
[0022]从拓扑骨架图中查询是否存在攻击目标信息对应的节点，若存在，则获取拓扑骨架图的攻击图；
[0023]若不存在，则从各社群异质子图中查询是否存在攻击目标信息对应的节点，若存在，则获取相应的社群异质子图所在聚类簇的攻击图。
[0024]可选的，若脆弱性数据从社群异质子图所在聚类簇的攻击图中无法匹配获取相应的攻击路径，则对社群异质子图使用MulVAL工具进行推导生成相应的攻击图；使用社群异质子图相应的攻击图与脆弱性数据进行重新匹配。
[0025]第二方面，本专利技术提供了一种基于上述一种基于攻击图的大型网络攻击推演方法的风险预警方法，包括：
[0026]获取攻击目标信息对应的节点所在的社群异质子图，并确定其所属的聚类簇；
[0027]在聚类簇中其他社群异质子图中查找是否存在包含所有攻击步骤序列的路径，若存在，则相应的社群异质子图存在被攻击事件攻击的风险。
[0028]与现有技术相比，本专利技术所达到的有益效果：
[0029]本专利技术提供了一种基于攻击图的大型网络攻击推演及风险预警方法，首先采集大型网络中各服务器的脆弱性数据和对外连接关系并构建网络拓扑图，其次根据网络拓扑图生成社群异质子图和拓扑骨架图，然后分别对社群异质子图和拓扑骨架图生成攻击图；当检查到攻击事件后，根据攻击图动态推理攻击路径，同时在同一个聚类中的社群异质子图中排查是否存在类似可能被攻击的风险；这种方式不但降低了攻击推演计算的复杂度，提升效率，同时可以实现对大型网络的安全风险的全网排查与预警。
附图说明
[0030]图1是本专利技术实施例一提供的构建攻击图库的流程图；
[0031]图2是本专利技术实施例一提供的基于攻击图的大型网络攻击推演方法的流程图。
具体实施方式
[0032]下面结合附图对本专利技术作进一步描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案，而不能以此来限制本专利技术的保护范围。
[0033]实施例一：
[0034]如图1所示，在攻击推演之前需要构建攻击图库，具体包括以下步骤：
[0035]S101、采集大型网络中各服务器的脆弱性数据和对外连接关系并构建网络拓扑
图；
[0036]构建网络拓扑图包括：将服务器作为节点、脆弱性数据作为节点的属性、对外连接关系作为节点的边构建网络拓扑图。
[0037]S102、采用BigCLAM算法挖掘网络拓扑图中的社群并生成相应的社群异质子图。
[0038]S103、对各社群异质子图的不重叠区域进行变换生成网络拓扑图的拓扑骨架图；
[0039]生成网络拓扑图的拓扑骨架图包括：将各群异质子图中不重叠的节点使用超节点替换，且超节点继承相应不重叠节点的属性和边，生成网络拓扑图的拓扑骨架图。
[0040]S104、对拓扑骨架图使用MulVAL工具进行推导生成相应的包含攻击路径的攻击图；
[0041]S105、使用MetaPath2vec方法计算各社群异质子图的向量表示并根据向量表示进行聚类生成聚类簇；
[0042]S106、从各聚类簇中随机选取一个社群异质子图并使用MulVAL工具进行推导生成相应的包含攻击路径的攻击图；
[0043]S107、将拓扑骨架图和聚类簇的攻击图汇总生成攻击图库。
[0044]如图2所示，基于攻击图的大型网络攻击推演方法，具体包括以下步骤：
[0045]S201、当检查到攻击事件后，获取攻击事件中的脆弱性数据和攻击目标信息。
[0046]S202、根据攻击目标信息从预构建的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于攻击图的大型网络攻击推演方法，其特征在于，包括：当检查到攻击事件后，获取攻击事件中的脆弱性数据和攻击目标信息；根据攻击目标信息从预构建的攻击图库中查询相应的攻击图；根据脆弱性数据从攻击图中匹配获取相应的攻击路径；对攻击路径解析获取攻击步骤序列，将下一步攻击步骤作为推演结果；其中，所述攻击图库的构建包括：采集大型网络中各服务器的脆弱性数据和对外连接关系并构建网络拓扑图；采用BigCLAM算法挖掘网络拓扑图中的社群并生成相应的社群异质子图；对各社群异质子图的不重叠区域进行变换生成网络拓扑图的拓扑骨架图；对拓扑骨架图使用MulVAL工具进行推导生成相应的包含攻击路径的攻击图；使用MetaPath2vec方法计算各社群异质子图的向量表示并根据向量表示进行聚类生成聚类簇；从各聚类簇中随机选取一个社群异质子图并使用MulVAL工具进行推导生成相应的包含攻击路径的攻击图；将拓扑骨架图和聚类簇的攻击图汇总生成攻击图库。2.根据权利要求1所述的一种基于攻击图的大型网络攻击推演方法，其特征在于，所述构建网络拓扑图包括：将服务器作为节点、脆弱性数据作为节点的属性、对外连接关系作为节点的边构建网络拓扑图。3.根据权利要求2所述的一种基于攻击图的大型网络攻击推演方法，其特征在于，所述...

【专利技术属性】
技术研发人员：魏兴慎，犹锋，杨维永，周剑，张浩天，曹永健，吴超，田秋涵，刘苇，高鹏，王晔，郭靓，朱溢铭，刘剑，张付存，俞皓，贾雪，蒋甜，唐亚东，李昱，姜训，杨雨轩，陕大诚，
申请(专利权)人：南京南瑞信息通信科技有限公司，
类型：发明
国别省市：