【技术实现步骤摘要】
一种基于攻防结合的漏洞利用链构建技术
[0001]本专利技术涉及漏洞分析利用
,具体为一种基于攻防结合的漏洞利用链构建技术。
技术介绍
[0002]随着信息化时代的高速发展,计算机网络技术被广泛应用于各行各业,而网络的规模日益庞大、结构愈发复杂,网络攻击的出现频率和攻击造成的危害也在迅速提升。而在诸多网络攻击中,漏洞向来是造成网络空间安全问题的核心根源,近年来,漏洞数量呈显著增长态势,通过漏洞展开的攻击行为也变得越来越频繁,漏洞利用链攻击风险逐年增长。
[0003]国家计算机网络应急技术处理协调中心(CNCERT/CC)的年度网络安全工作报告中将漏洞攻击按类型进行统计,结果发现大部分攻击尤其是危害巨大的攻击几乎都是多步攻击,也即攻击者利用攻击目标本身存在的一些安全漏洞,采取蓄意的多步骤的攻击行为来达到最终攻击的目的,实现对攻击目标最终毁灭式的打击。绿盟科技发布的《2021攻击技术发展趋势报告》中也提出组合利用链的概念,例如2020年10月,WebLogic补丁中修复了Console组件命令执行漏洞CVE>‑
202本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于攻防结合的漏洞利用链构建技术,其特征在于:包括以下步骤:S1:建立溯源图数据库进行APT攻击模拟实验后,采集系统相关的日志信息,包含进程启动、文件操作,同时设定不同系统实体之间的因果关系规则来进行捕获,一个完整的规则由Action、Type、Port组成,所有系统日志会被解析为溯源图的图结构,顶点分为进程顶点类型和对象顶点类型,边用事件发生的时间戳和事件类型代表具体的因果关系;S2:攻击溯源分析据原始的溯源图信息,寻找初始感染点,而后从初始感染点出发,搜索到感染节点的路径,生成子图,形成攻击链图;S3:威胁分数评估首先将攻击链图拆分,将每条路径拆分为子图,而后计算攻击链子图中的各个节点的威胁分数评估,依据攻击类型枚举和分类数据集,采取两个风险评估指标:“攻击可能性”和“典型严重性”,计算独立节点评分后,依托战术杀伤链的有序阶段,设置对应边的权重,节点之间的跃迁乘以权重的系数,得到攻击展开的威胁数值,而后组合所有攻击展开的步骤,通过累乘扩大不同攻击链的数值差异性,根据模拟APT实验的真实攻击链路设置分数阈值,将超过阈值的攻击链记录为有效攻击链,而后对有效攻击链进行全面还原,还原其中被删除的正常业务操作等行为,构建漏洞利用链,作为原始攻击样本;S4:序列拆分将完整的漏洞利用链拆分为单步攻击的模式,将步骤之间的节点视为不同的对象,边视为不同的行为,以此构建初始为攻击利用操作的恶意行为序列和初始为正常业务操作的良性行为序列;S5:序列词形还原根据原始的溯源图信息对行为序列进行还原操作,将节点还原为进程顶点类型或对象顶点,将边还原为具体的操作行为,比如打开、执行、连接等等,使用词形还原emmatization将序列转换为表示用于语义解释的序列模式的通用文本,构建词汇表,根据词的细粒度语义分为四种不同的类型:进程、文件、网络和动作,找到所有节点并将它们中的每一个映射到相应的词汇表;S6:平衡序列生成恶意行为和良性行为的数量极度不平衡会使映射结果偏向于多数类或无法利用少数类,为了平衡训练数据集,首先对具有一定相似度阈值的良性行为进行欠采样,然后,它使用过采样机制随机变异恶意行为,直到它们的总数达到相同数量,欠采样的定义为通过Levenshtein距离减少良性行为的数量,以计算词形化序列之间的相似性,然后,当它们的相似性超过确定的阈值时,它会过滤掉结果,过采样定义为采用基于突变的过采样机...
【专利技术属性】
技术研发人员:鲁辉,田志宏,陈俊翰,陈可,张曼,梁儒烽,苏申,孙彦斌,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。