用于评估网络脆弱性的方法及电子设备技术

本发明专利技术公开了用于评估网络脆弱性的方法及电子设备。该用于评估网络脆弱性的方法包括：获取网络的脆弱点，其中，所述脆弱点包括第一脆弱点；对所述第一脆弱点进行关联分析得到存在利用关系的第二脆弱点，并获得第二脆弱点的多步攻击概率，其中，所述多步攻击概率表示所述第一脆弱点被攻击的情况下继续攻击所述第二脆弱点的概率大小；根据所述多步攻击概率，全局评估所述网络的网络脆弱性。全局评估所述网络的网络脆弱性。全局评估所述网络的网络脆弱性。

【技术实现步骤摘要】
用于评估网络脆弱性的方法及电子设备


[0001]本专利技术涉及信息安全
，尤其是涉及用于评估网络脆弱性的方法及电子设备。

技术介绍

[0002]网络基础设备、域名系统等基础网络和关键基础设施依然面临着较大的安全风险，网络攻击事件多有发生，多步攻击已经成为网络攻击的主要方式。
[0003]多步攻击是将单步攻击按照一定的逻辑关系进行排列，在特定的时间和空间中形成一个攻击序列，从而实现仅用单步攻击无法实现的攻击意图。与传统攻击方式相比，多步攻击采用的手段更加丰富，不仅包括拒绝服务(DoS,denial of service)攻击、Web渗透(如跨站脚本攻击等)、扫描攻击、暴力破解等常见攻击方式，还包括隐蔽式木马、新型僵尸网络等新型攻击手段。采用新型攻击手段的多步攻击以复杂网络攻击和APT(advanced persistent threat)为典型代表，其造成的危害更加严重且检测难度较大，是影响当前网络安全状况的重要因素。因此，多步攻击的检测和描述成为网络安全领域的重点关注对象，如何发现和描述多步攻击首先要研究网络脆弱性和不同脆弱性间的利用关系。
[0004]然而，传统技术中通常对网络脆弱性描述主要是基于单个脆弱点的静态描述，无法区分不同网络攻击下弱点攻击风险情况和后续产生结果。例如，CWE和CVSS对软件和硬件脆弱性给出静态得分，描述单步攻击威胁；然而，在面临网络中存在多个脆弱点时，无法有效建立脆弱点间关联，更无法根据脆弱点关联性给出动态网络脆弱性评估，也无法评估多步攻击间的攻击流程和步骤间利用关系。
[0005]因此，如何构建脆弱点关联性，如何高效评估网络脆弱性是本专利技术要解决的问题。

技术实现思路

[0006]本专利技术的目的在于提供一种用于评估网络脆弱性的方法及电子设备，不仅能够构建脆弱点之间的关联性，还能够高效评估网络脆弱性。
[0007]根据本专利技术的一方面，至少一个实施例提供了一种用于评估网络脆弱性的方法，包括：获取网络的脆弱点，其中，所述脆弱点包括第一脆弱点；对所述第一脆弱点进行关联分析得到存在利用关系的第二脆弱点，并获得第二脆弱点的多步攻击概率，其中，所述多步攻击概率表示所述第一脆弱点被攻击的情况下继续攻击所述第二脆弱点的概率大小；根据所述多步攻击概率，全局评估所述网络的网络脆弱性。
[0008]根据本专利技术的另一方面，至少一个实施例还提供了一种用于评估网络脆弱性的电子设备，包括：处理器，适于实现各指令；以及存储器，适于存储多条指令，所述指令适于由处理器加载并执行上述用于评估网络脆弱性的方法。
[0009]根据本专利技术的另一方面，至少一个实施例还提供了一种评估网络脆弱性的系统，包括：本专利技术上述用于评估网络脆弱性的电子设备。
[0010]根据本专利技术的另一方面，至少一个实施例还提供了一种计算机可读的非易失性存
储介质，存储计算机程序指令，当所述计算机执行所述程序指令时，执行本专利技术上述用于评估网络脆弱性的方法。
[0011]通过本专利技术上述实施例，利用脆弱点探测扫描、脆弱点映射、局部脆弱点度量计算、脆弱点可利用性计算和脆弱点被利用的全局概率等5步，不仅能够利用脆弱点间的关联性，还能高效动态实现脆弱性的局部评估和全局评估。
附图说明
[0012]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0013]图1是根据本专利技术实施例的评估网络脆弱性的系统示意图；
[0014]图2是根据本专利技术实施例的用于评估网络脆弱性的电子设备示意图；
[0015]图3是根据本专利技术实施例的用于评估网络脆弱性的方法流程图；
[0016]图4是根据本专利技术实施例的网络流程环境示意图；
[0017]图5是根据本专利技术实施例的ATT&CK模型示意图；
[0018]图6是根据本专利技术实施例的脆弱点与其后续攻击的关系示意图；
[0019]图7是根据本专利技术实施例的利用关系拓扑示意图；
[0020]图8是根据本专利技术实施例的可选择性示意图。
具体实施方式
[0021]下面将结合附图对本专利技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0022]需要说明的是，本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0023]通常，多步攻击场景的脆弱性利用关系，可以用网络威胁框架
‑
击杀链模型进行描述，该击杀链模型将多步攻击概括为目标侦察、武器定制、投递、利用、安装、建立通道、行动实施等阶段。由于该击杀链模型虽然描述了攻击者采取攻击的步骤和意图，但是击杀链模型只是提及攻击需要利用对应的脆弱性，并未明确对可利用的脆弱性进行详细描述，难以形成脆弱性利用链条。
[0024]为了丰富杀伤链模型后来提出了ATT&CK模型，该ATT&CK模型将已知的历史实战的高级威胁攻击战术和技术整合，形成了针对黑客行为描述的通用语言和黑客攻击抽象的知识库框架，该知识库共包括12种战术和244种攻击技术，每种技术都从攻击的角度具体阐明
了攻击所利用脆弱性，便于脆弱性描述。因此，本专利技术在网络威胁框架ATT&CK模型基础上，提出了用于评估网络脆弱性的方法，该方法将CWE漏洞、弱口令和违规安全策略脆弱点与威胁框架建立映射关系，利用脆弱点间利用关系，动态实现脆弱性的局部评估和全局评估，实现脆弱点与网络攻击链进行关联评估。
[0025]基于此，本专利技术提供了一种评估网络脆弱性的系统，该系统在网络威胁框架ATT&CK模型基础上对脆弱点进行关联分析，并通过脆弱点利用关系对网络脆弱性进行描述评估。例如，该系统对脆弱点与利用该脆弱点的ATT&CK模型上的攻击技术进行映射编号，将脆弱点在ATT&CK模型上的位置和CVSS评分(通用漏洞评分系统指标)作为脆弱点静态局部评估指标，最后通过脆弱点利用率和脆弱点在ATT&CK模型上被利用次数给出弱点的全局评估。如图1所示，该评估网络脆弱性的系统的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.用于评估网络脆弱性的方法，其特征在于，包括：获取网络的脆弱点，其中，所述脆弱点包括第一脆弱点；对所述第一脆弱点进行关联分析得到存在利用关系的第二脆弱点，并获得第二脆弱点的多步攻击概率，其中，所述多步攻击概率表示所述第一脆弱点被攻击的情况下继续攻击所述第二脆弱点的概率大小；根据所述多步攻击概率，全局评估所述网络的网络脆弱性。2.根据权利要求1所述的方法，所述网络包括第一节点，所述第一节点包括所述第一脆弱点，其特征在于，获取网络的脆弱点包括：对网络进行全网扫描，以获取第一节点的第一脆弱点。3.根据权利要求1所述的方法，所述网络还包括第二节点，其特征在于，对所述第一脆弱点进行关联分析得到存在利用关系的第二脆弱点包括：获取所述第一脆弱点的第一编号和第二编号，其中，所述第一编号为CVE编号，所述第二编号为ATT&CK子技术编号；利用所述CVE编号和所述ATT&CK子技术编号，获取与所述第一脆弱点存在利用关系的第二脆弱点；基于ATT&CK攻击链，获得所述第二脆弱点的多步攻击概率。4.根据权利要求3所述的方法，所述ATT&CK攻击链4.根据权利要求3所述的方法，所述ATT&CK攻击链其中，A表示第一脆弱点，B表示第二脆弱点为，A
real
为攻击第一脆弱点A到达的最终阶段，A0为攻击第一脆弱点A所处的当前位置，L
real
为攻击第一脆弱点A真实经历距离，A
ATT&CK
为攻击第一脆弱点A在ATT&CK攻击链上所处的位置，L
ATT&CK
为攻击第一脆弱点A所在位置到ATT&CK攻击链的距离，其特征在于，基于ATT&CK攻击链，获得第二脆弱点的多步攻击概率包括：第二脆弱点的多步攻击概率其中，E为第二脆弱点B的CVSS脆弱点得分，f0是第一脆弱点A被利用的攻击所在ATT&CK上最远位置f0＝A
ATT&CK
，bd为最远位置f0后续移动的距离，n表示网络的n个脆弱点，k为网络的第k个脆弱点，k≤n，B∈n。5.根据权利要求1所述的方法，其特征在于，根据所述多步攻击概率，全局评估所述网络的网络脆弱性包括：利用所述多步攻击概率，获得所述第二脆弱点的利用率；利用所述第二脆弱点的利用率，获得所述网络的全局概率。6.根据权利要求5所述的方法，其特征在于，利用所述多步攻击概率，获得所述第二脆弱点的利用率包括：构建所述第一脆弱点和所述第二脆弱点的利用关系拓扑，其中，所...

【专利技术属性】
技术研发人员：祝现威，刘自豪，刘伟，皇安伟，顾泽宇，徐伟鹏，安靖，程秋云，包凯君，冷强，
申请(专利权)人：中国人民解放军六一六六零部队，
类型：发明
国别省市：