本发明专利技术提供了一种基于聚类的漏洞组合方法,包括以下步骤:步骤1、获取系统的漏洞信息、ATT&CK矩阵信息、漏洞在CVE中的信息、攻击工具信息、所有攻击可利用资源信息以及攻击目标信息;步骤2、对步骤1中获得的信息进行形式化描述得到漏洞五元组模型;步骤3、根据所有漏洞信息的漏洞五元组模型构建漏洞知识库;步骤4、对构建的漏洞知识库进行聚类和组合处理,得到漏洞的组合集。本发明专利技术提出的方案利用漏洞组合技术来进行系统的防御,不仅增强系统的防御能力,而且能够在一定程度上减少漏洞数量,为系统防御技术研究提供了支撑,极大加强了系统防御的针对性和强度;保障系统安全,有效增大了系统的防御能力。系统的防御能力。系统的防御能力。
【技术实现步骤摘要】
一种基于聚类的漏洞组合方法及系统
[0001]本专利技术涉及漏洞检测领域,特别涉及一种基于聚类的漏洞组合方法及系统。
技术介绍
[0002]近年来,随着软件漏洞数量的海量增长,漏洞种类的趋于复杂,漏洞的分类与漏洞知识库的构建得到了广泛的关注,但传统漏洞分类研究已经不足以应对这一情况,它的弊端主要有效率低和局限性。经验发现,攻击者进行apt(高级可持续威胁)攻击时不会重复利用相似的漏洞,如果使用聚类算法从不同类别中挑选相似的漏洞进行组合,这将极大的减少了漏洞组合数量,进而增大了攻击成功的可能性,反之,也可以用漏洞组合进行系统的防御。
技术实现思路
[0003]针对现有技术中存在的问题,提供了一种基于聚类的漏洞组合方法及系统,能够发现系统更多的脆弱点,此方法首先利用现有的漏洞扫描工具得到系统的漏洞信息,对扫描到的漏洞信息形式化描述成漏洞五元组模型,利用该五元组集合构建漏洞知识库,再利用漏洞的聚类和组合算法,得到漏洞的组合集。此方法为系统防御技术研究提供了支撑,极大加强了系统防御的针对性和强度。
[0004]本专利技术采用的技术方案如下:一种基于聚类的漏洞组合方法,包括以下步骤:
[0005]步骤1、获取系统的漏洞信息、ATT&CK矩阵信息、漏洞在CVE中的信息、攻击工具信息、所有攻击可利用资源信息以及攻击目标信息;
[0006]步骤2、对步骤1中获得的信息进行形式化描述得到漏洞五元组模型;
[0007]步骤3、根据所有漏洞信息的漏洞五元组模型构建漏洞知识库;
[0008]步骤4、对构建的漏洞知识库进行聚类和组合处理,得到漏洞的组合集。
[0009]进一步的,所述步骤1中,漏洞信息包括漏洞名称、漏洞ID、攻击利用条件集合、攻击工具集合、攻击目标组件集合以及攻击产生结果集合;所述漏洞信息进行周期性扫描更新。
[0010]进一步的,所述步骤1中,通过网络爬虫从ATT&CK官网上获取ATT&CK矩阵信息以及获取漏洞在CVE中的漏洞ID,漏洞名称,漏洞作用软件版本。
[0011]进一步的,所述步骤1中,攻击工具信息获取方法为:通过对攻击机安装工具文件进行扫描,再根据攻击工具类型进行分类,从而生成攻击工具集合的泛化层次结构。
[0012]进一步的,所述步骤1中,通过对获取靶机上所有的状态权限包括各个节点对外开放的服务、运行的操作系统、IP地址与端口号信息扫描得到的所有漏洞攻击可利用资源信息。
[0013]进一步的,所述步骤1中,通过原子攻击的攻击条件和攻击产生结果进行整合,得到的所有攻击目标信息。
[0014]进一步的,所述步骤2中漏洞五元组模型为{Conditions,tech,tool,target,
Results},其中Conditions为漏洞攻击调用资产集合,tech为漏洞攻击使用的ATT&CK模块,tool为漏洞攻击工具,target为漏洞攻击目标组件,Results为漏洞攻击结果资产集合。
[0015]进一步的,所述步骤4中,聚类过程为:以漏洞知识库中各元组信息为输入,通过基于启发式函数的聚类算法进行漏洞聚类,将相似漏洞聚为一类。
[0016]进一步的,所述步骤4中,对各个不同属性的漏洞聚类集合后,使用ACTS组合测试工具进行聚类漏洞的不同属性之间的组合,得到基于聚类的漏洞组合信息集合。
[0017]本专利技术还提供了一种基于聚类的计算机漏洞组合系统,包括靶机可利用资源模块、网络爬虫模块、攻击工具信息获取模块、攻击目标信息获取模块、漏洞形式化模块、漏洞库构建模块、聚类模块以及组合模块;
[0018]靶机可利用资源模块,通过使用资产审计工具,结合人工操作,将一切可以被攻击者利用的属性构成的泛化层次结构,并传入漏洞形式化模块;
[0019]网络爬虫模块,使用网络爬虫技术获得ATT&CK框架表,并生成技战术的泛化层次结构,将其传入漏洞形式化模块;
[0020]攻击工具信息获取模块,根据攻击机信息,扫描攻击机上攻击工具文件夹,生成攻击工具的泛化层次结构,并将其传入漏洞形式化模块;
[0021]攻击目标信息获取模块,根据靶机各组件之间的网络拓扑结构和逻辑结构,构建攻击目标泛化层次结构,并传入漏洞形式化描述模块;
[0022]漏洞形式化模块,使用Nessus漏洞扫描工具、AWVS网络漏洞扫描工具、Nmap网络连接端扫描工具、Nexpose扫描工具相互配合,对靶机进行扫描,获取靶机的全部状态和权限和靶机上的漏洞列表,并结合靶机可利用资源模块、网络爬虫模块、攻击工具信息获取模块、攻击目标信息获取模块传输的泛化层次结构,用五元组的形式描述这些漏洞,得到五元组形式描述的漏洞列表;
[0023]漏洞库构建模块,将所有的泛化层次结构以及五元组形式描述的漏洞列表整合,构建漏洞知识库;
[0024]聚类模块,于漏洞知识库中的几个泛化层次结构,通过基于启发式函数的聚类算法对五元组形式描述的漏洞列表进行聚类,将漏洞分类;
[0025]组合模块,使用ACTS组合测试工具,将漏洞聚类产生的结果生成漏洞组合序列。
[0026]与现有技术相比,采用上述技术方案的有益效果为:本专利技术生成软件漏洞测试用例间的组合方法,实现对计算机软件漏洞的自动化组合利用,利用漏洞组合技术来进行系统的防御,不仅增强系统的防御能力,而且能够在一定程度上减少漏洞数量,为系统防御技术研究提供了支撑,极大加强了系统防御的针对性和强度
附图说明
[0027]图1是本专利技术提出的一种基于聚类的漏洞组合方法流程图。
具体实施方式
[0028]下面结合附图对本专利技术做进一步描述。
[0029]实施例1
[0030]如图1所示,实施例提出了一种基于聚类的漏洞组合方法,包括以下步骤:
[0031]步骤1、获取系统的漏洞信息、ATT&CK矩阵信息、漏洞在CVE中的信息、攻击工具信息、所有攻击可利用资源信息以及攻击目标信息;
[0032]步骤2、对步骤1中获得的信息进行形式化描述得到漏洞五元组模型;
[0033]步骤3、根据所有漏洞信息的漏洞五元组模型构建漏洞知识库;
[0034]步骤4、对构建的漏洞知识库进行聚类和组合处理,得到漏洞的组合集。
[0035]具体的,在本实施例中,调用现有的漏洞扫描工具进行目标系统的漏洞扫描,得到的漏洞信息包括漏洞名称,漏洞ID,攻击利用条件集合,攻击工具集合,攻击目标组件集合,攻击产生结果集合,并且周期性的扫描目标系统的漏洞信息,进行漏洞信息更新。
[0036]采用爬虫技术获取ATT&CK官网上的ATT&CK矩阵信息,除此之外,还会利用爬虫技术获取漏洞在CVE中的漏洞ID,漏洞名称,漏洞作用软件版本等。
[0037]通过对攻击机安装攻击工具文件进行扫描,再根据攻击工具类型进行分类,从而本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于聚类的漏洞组合方法,其特征在于,包括以下步骤:步骤1、获取系统的漏洞信息、ATT&CK矩阵信息、漏洞在CVE中的信息、攻击工具信息、所有攻击可利用资源信息以及攻击目标信息;步骤2、对步骤1中获得的信息进行形式化描述得到漏洞五元组模型;步骤3、根据所有漏洞信息的漏洞五元组模型构建漏洞知识库;步骤4、对构建的漏洞知识库进行聚类和组合处理,得到漏洞的组合集。2.根据权利要求1所述的基于聚类的漏洞组合方法,其特征在于,步骤1中,漏洞信息包括漏洞名称、漏洞ID、攻击利用条件集合、攻击工具集合、攻击目标组件集合以及攻击产生结果集合;所述漏洞信息进行周期性扫描更新。3.根据权利要求2所述的基于聚类的漏洞组合方法,其特征在于,所述步骤1中,通过网络爬虫从ATT&CK官网上获取ATT&CK矩阵信息以及获取漏洞在CVE中的漏洞ID,漏洞名称,漏洞作用软件版本。4.根据权利要求3所述的基于聚类的漏洞组合方法,其特征在于,所述步骤1中,攻击工具信息获取方法为:通过对攻击机安装工具文件进行扫描,再根据攻击工具类型进行分类,从而生成攻击工具集合的泛化层次结构。5.根据权利要求4所述的基于聚类的漏洞组合方法,其特征在于,所述步骤1中,通过对获取靶机上所有的状态权限包括各个节点对外开放的服务、运行的操作系统、IP地址与端口号信息扫描得到的所有漏洞攻击可利用资源信息。6.根据权利要求5所述的基于聚类的漏洞组合方法,其特征在于,根据权利要求1所述的基于聚类的漏洞组合方法,其特征在于,所述步骤1中,通过原子攻击的攻击条件和攻击产生结果进行整合,得到的所有攻击目标信息。7.根据权利要求6所述的基于聚类的漏洞组合方法,其特征在于,所述步骤2中漏洞五元组模型为{Conditions,tech,tool,target,Results},其中Conditions为漏洞攻击调用资产集合,tech为漏洞攻击使用的ATT&CK模块,tool为漏洞攻击工具,target为漏洞攻击目标组件...
【专利技术属性】
技术研发人员:陈周国,丁建伟,郭宇斌,王鑫,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。