[发明专利]基于漏洞关联性分析的网络系统主动防御方法

说明书

技术领域

本发明涉及一种基于漏洞关联性的网络系统主动防御方法，属于信息安全技术领域。

背景技术

网络网络系统最大的威胁就是计算机安全漏洞，安全漏洞会存在于软硬件的各个环节，包括系统的设计实现、运行管理、用户的不当操作或系统故障，没有任何一个网络系统可以完全消除漏洞。所以，针对漏洞的研究，不仅要着力于已知漏洞的特点，更要重视漏洞之间存在的关联性。实践表明，漏洞之间往往是有联系的，孤立的漏洞也许不能给系统带来致命的打击，但是如果网络黑客利用其彼此之间的关联，展开二级甚至多级攻击，会给网络系统带来巨大的危害。这种攻击隐蔽性强，而且成功的概率很高。

传统的漏洞评估比较看重孤立漏洞对系统的危害，认为危害程度越大的漏洞需要修复的优先级越高，对整个网络系统安全的评估也仅仅是把存在的所有漏洞风险性相加，并没有合理地分析不同安全漏洞之间的关联性。而实际上，真实的网络攻击中，攻击者在发动攻击之初往往并不具备很高的权限，无法直接利用攻击复杂度较高的安全漏洞，一般情况下攻击者通过相对“微小”的漏洞逐步提高自己的特权，最后达到攻击目的。

网络攻击图是指计算机网络中有可能会产生的攻击渗透场景的集合，其研究与考察的对象不只是单一孤立的漏洞对系统的影响，而更多的是攻击者利用一个或多个漏洞不断得到特权的提升或转移，从而使攻击行为不断渗透到整个系统，达到最终攻击目的。

自攻击图的概念产生以来，研究者们在攻击图的自动创建上花费了很多力气，最早被提出的是基于全局状态的转换模式来生成状态攻击图，在这类图中，节点表示网络和攻击者的当前状态，而有向边表示完成攻击引起的状态变化。状态攻击图一般由枚举法生成，它包含了网络中所有可能出现的攻击路径，便于研究者分析不同攻击路径之间的区别，但这也带来了随着网络规模增大引起的状态爆炸问题。后来由于单调性假设的引入，研究者更多地开始关注基于属性的攻击图生成即属性攻击图。属性攻击图中的节点表示系统属性或原子攻击，而边表示节点之间的因果关系。属性攻击图解决大规模网络数据下状态爆炸的问题，但也存在一些缺点，比如攻击路径中的环形路径的产生、攻击路径比较隐蔽等。

统计结果表明，约80％的漏洞与攻击者特权提升有关，实际中权限提升往往是攻击者利用某一漏洞的主要目的。在攻击图的生成过程中，攻击者对某一个漏洞的利用对自身权限产生的变化应该体现在攻击路径上，然而以往的攻击图研究多采取枚举的方式自动生成，没有以明确的攻击者特权变化为前提，存在着系统空间耗费过大、网络爆炸等问题；在基于属性的攻击图生成研究中，又存在需要人工手动标注漏洞前后关联关系或漏洞分类结果不准确等问题，使得算法的实施较为复杂或者生成结果不准确，限制了各类攻击图生成工具的实用性。

在攻击路径的挖掘与攻击图的生成过程中，攻击者想要达到某一个目的不一定只有一条攻击路径，很多时候都会有很多种选择。理论上来说，网络管理员理应当去修复系统中出现的所有安全漏洞，但有时由于网络资源或者时长的限制，难以对系统中的漏洞逐一修复，所以有必要去对漏洞修复的紧急程度进行排序，找到最迫切需要修复的漏洞。

发明内容

本发明的目的是提出一种基于漏洞关联性的网络系统主动防御方法。本发明通过对网络系统中漏洞之间的关系进行最优攻击路径的挖掘，并结合系统当前存在的攻击者与漏洞的可用性评分、影响性评分等多个属性来对漏洞的修复紧急程度进行排序，从而制定主动防御策略。

本发明的目的是通过以下技术方案实现的。

本发明的目的是提出一种基于漏洞关联性的网络系统主动防御方法，具体操作为：

步骤一、构建一个漏洞数据库，收集漏洞记录。

选取国家漏洞数据库(National Vulnerability Database，NVD)作为数据源，构建一个漏洞数据库。

所述漏洞数据库包括：通用漏洞(Common Vulnerabilities and Exposures，CVE)编号、通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)评分、是否需要网络、获取容易程度、是否需要认证、机密性影响、完整性影响、可用性影响、可用性评分、影响性评分、漏洞描述、前提特权集、结果特权集。

其中，通用漏洞CVE编号、通用漏洞评分系统CVSS评分、是否需要网络、获取容易程度、是否需要认证、机密性影响、完整性影响、可用性影响、可用性评分、影响性评分、漏洞描述字段是通过国家漏洞数据库直接获取。