本发明专利技术公开了一种设定参数最值的攻击图生成系统及方法,系统包括资产收集模块、主机信息模块、网络信息模块、攻击规则库和攻击图生成模块,所述资产收集模块通过人工或工具对测试目标的网络信息进行收集,并将其分为主机信息和网络信息两部分,所述主机信息包括漏洞信息和服务信息,所述网络信息包括配置信息、拓扑信息和连接信息,所述攻击规则库用来存储攻击图的生成所需要的依据。该系统和方法可以使攻击图的生成更加灵活,更具有针对性。更具有针对性。更具有针对性。
【技术实现步骤摘要】
一种基于设定参数最值的攻击图生成系统及方法
[0001]本专利技术涉及网络安全
,具体涉及一种基于设定参数最值的攻击图生成系统及方法。
技术介绍
[0002]网络安全(Cyber Security)是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。为了发现系统中的网络安全漏洞,了解服务在网络环境中面对的威胁,同时找到易受黑客攻击的脆弱部位,安全专家提出了各种安全保障方法,渗透测试就是其中之一,也是当前最理想的方法之一。渗透测试人员会在保证整个系统安全的前提下,模拟真实黑客的攻击,并使用各种方法来实现未授权访问。最后根据测试的情况,创建可以为进一步制定系统安全防御策略的重要指南的测试报告
[0003]目前比较常用的渗透测试模型有基于攻击树的、基于攻击图的、基于Petri网的等等。其中在整个渗透测试过程中研究使用占比最多的就是基于攻击图模型,现有的对攻击图的研究主要集中于网络攻击图的自动生成及算法改进,比如基于广度优先和贝叶斯算法的生成方法,然后由可视化工具将这些路径表现出来形成一个完整的攻击图。但目前的模型都有一些问题,攻击图的规模过大,空间复杂度和时间复杂度较高不利于渗透人员进行直观的分析,想从攻击图中直接找出危害程度比较大的路径就会非常困难,攻击图缺少针对性,同时生成效率也比较低,不能为后续的渗透测试的实施提供更有价值的指导。
技术实现思路
[0004]为了解决上述技术问题,本专利技术一种基于设定参数最值的攻击图生成系统及方法,通过限定攻击步数、漏洞利用的困难指数以及可接受的高难度漏洞个数进行攻击路径的边探测边筛选,生成相对低代价的攻击路径,找出目标网路中相对较为薄弱的环节。同时该方法还可以使攻击图的生成更加灵活,更具有针对性。
[0005]为了达到上述技术效果,本专利技术提供了如下技术方案:
[0006]一种设定参数最值的攻击图生成系统,包括资产收集模块、主机信息模块、网络信息模块、攻击规则库和攻击图生成模块,所述资产收集模块通过人工或工具对测试目标的网络信息进行收集,并将其分为主机信息和网络信息两部分,所述主机信息包括漏洞信息和服务信息,所述网络信息包括配置信息、拓扑信息和连接信息,所述攻击规则库用来存储攻击图的生成所需要的依据。
[0007]进一步的技术方案为,所述资产收集模块是渗透测试人员通过测试需求分析,收集测试目标的域名和IP地址相关信息,还包括通过开源工具对目标进行扫描,探测网络拓扑情况,明确主机间的连接关系和主机的配置信息和脆弱点。
[0008]进一步的技术方案为,所述攻击规则库是在主机弱点库的基础上,由攻击模式进行规则映射,抽象分析出攻击规则。
[0009]进一步的技术方案为,所述攻击规则库包括攻击难易程度、危害指数、cve和cnnvd漏洞编号、实施漏洞所需的权限、漏洞带来的影响。
[0010]进一步的技术方案为,所述攻击图包括攻击的路径要素、攻击节点要素、攻击所需要的代价要素以及参数最值限定要素。
[0011]进一步的技术方案为,所述参数最值限定要素包括最大攻击步长、最大攻击难度系数、高难漏洞的个数。
[0012]进一步的技术方案为,所述攻击步长指的是攻击路径的长度,长度越长越说明攻击难度越大,利用难度越大,设置一个最大值Lmax,当此攻击路径超过Lmax,该路径就舍弃;所述做大攻击难度系数指的是漏洞的利用条件难度,渗透人员设定某个难度系数值Dmax,当漏洞的利用条件难度超过这个值Dmax,说明该攻击方式难以达成;所述的高难漏洞的个数指的是攻击图的一条攻击边上存在超过Dmax漏洞的个数,假设个数为X,当探测到的个数超出X时,这条边可以在攻击图的生成中忽略。
[0013]进一步的技术方案为,所述攻击图的生成方法是当探测某条攻击边的高难度漏洞超出X或攻击的路径长度超过Lmax时,舍弃该路径,否则生成相应攻击图的边。
[0014]本专利技术还提供了一种设定参数最值的攻击图生成方法,由资产收集模块收集攻击时可用的信息,将信息分到主机信息模块和网络信息模块,结合攻击规则库的规则,生成攻击图,所述攻击规则库是在主机弱点库基础上,由攻击模式进行规则映射,抽象分析出攻击规则,所述参数最值包括最大攻击步长Lmax,最大攻击难度系数Dmax,高难漏洞的个数X,通过对所述的Lmax、Dmax和X三个值的设定,就能生成相应的攻击图。
[0015]与现有技术相比,本专利技术具有如下有益效果:本专利技术提出一种基于设定参数最值的攻击图生成系统及方法,通过限定攻击步数、漏洞利用的困难指数以及可接受的高难度漏洞个数进行攻击路径的边探测边筛选,生成相对低代价的攻击路径,找出目标网路中相对较为薄弱的环节,通过本专利技术提供的方法,实现了对攻击路径的量化评估,而且渗透测试人员可以快速得到指定范围内的低代价路径,找出目标网路中相对较为薄弱的环节,本专利技术可以使攻击图的生成更加灵活,更具有针对性,为渗透测试的实施提供更加科学合理的测试方案,提高工作效率。
附图说明
[0016]图1为基于设定参数最值的攻击图生成示意图;
[0017]图2为攻击规则库生成示意图;
[0018]图3为某企业网络拓扑图;
[0019]图4为实施例2中存活主机所使用的服务及对应端口列表。
具体实施方式
[0020]下面结合附图和具体实施例对本专利技术进行进一步的解释和说明。
[0021]实施例1
[0022]本专利技术提供了一种设定参数最值的攻击图生成系统,包括资产收集模块、主机信息模块、网络信息模块、攻击规则库、攻击图生成模块,如图1所示。所述的资产收集是通过人工或者工具对测试目标的网络信息等进行收集,并将其分为主机信息和网络信息两部
分。所述的主机信息主要包括漏洞信息和服务信息。所述的网络信息,主要包括配置信息、拓扑信息和连接信息。上述信息进入所述的攻击图生成模块,再结合所述的攻击规则库,生成攻击图。所述的资产收集模块,是渗透测试人员通过测试需求分析,收集测试目标的域名和IP地址等相关信息。所述的需求分析主要依靠和客户进行沟通。所述的资产收集模块,还包括通过开源工具对目标进行扫描,探测网络拓扑情况,明确主机间的连接关系和主机的配置信息和脆弱点。所述的主机信息模块包括传进的漏洞信息和服务信息。所述的网络信息模块,包括传进的配置信息、拓扑信息和连接信息。所述的攻击规则库是用来存储攻击图的生成所需要的依据。攻击规则的规则是在CAPEC(Common Attack Pattern Enumeration and Classification常见攻击模式枚举与分类)的基础上对上述两个信息模块所收集的主机弱点进行抽象分析所建立的,如图2所示。所述的主机弱点是根据对比CVE(Common Vulnerabilities&Exposures)和CNNVD(China National Vulnerability Database of Info本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种设定参数最值的攻击图生成系统,其特征在于,包括资产收集模块、主机信息模块、网络信息模块、攻击规则库和攻击图生成模块,所述资产收集模块通过人工或工具对测试目标的网络信息进行收集,并将其分为主机信息和网络信息两部分,所述主机信息包括漏洞信息和服务信息,所述网络信息包括配置信息、拓扑信息和连接信息,所述攻击规则库用来存储攻击图的生成所需要的依据。2.根据权利要求1所述的设定参数最值的攻击图生成系统,其特征在于,所述资产收集模块是渗透测试人员通过测试需求分析,收集测试目标的域名和IP地址相关信息,还包括通过开源工具对目标进行扫描,探测网络拓扑情况,明确主机间的连接关系和主机的配置信息和脆弱点。3.根据权利要求1所述的设定参数最值的攻击图生成系统,其特征在于,所述攻击规则库是在主机弱点库的基础上,由攻击模式进行规则映射,抽象分析出攻击规则。4.根据权利要求1所述的设定参数最值的攻击图生成系统,其特征在于,所述攻击规则库包括攻击难易程度、危害指数、cve和cnnvd漏洞编号、实施漏洞所需的权限、漏洞带来的影响。5.根据权利要求1所述的设定参数最值的攻击图生成系统,其特征在于,所述攻击图包括攻击的路径要素、攻击节点要素、攻击所需要的代价要素以及参数最值限定要素。6.根据权利要求5所述的设定参数最值的攻击图生成系统,其特征在于,所述参数最值...
【专利技术属性】
技术研发人员:何精铭,
申请(专利权)人:四川启睿克科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。