[发明专利]在网络中攻击路径的自动推导方法

权利要求书

1.一种在网络中攻击路径的自动推导方法，其特征在于：所述自动推导方法包含︰

基于在所述网络中封包交换定义(10)所述网络的拓扑为一丰富的网络拓扑；

识别(20)所述拓扑的漏洞为漏洞信息工件；

基于所述拓扑和所述漏洞建立(30)所述网络的原子攻击数据库；

将所述丰富的网络拓扑、所述漏洞信息工件和所述原子攻击数据库转换(40)为一预定义的形式模型；

对所述预定义的形式模型执行(50)预定义的一基于可满足性模理论的模型检查器，以寻找反例；以及

从所述反例推导(60)出所述攻击路径；

其中，所述定义(10)所述网络的拓扑包括：

通过可操作地连接到所述网络的一计算机化数据处理单元来运行所述网络的一深度封包检测模块，以基于由所述深度封包检测模块从所述封包中导出的信息来建立一网络拓扑；

通过计算机化数据处理单元来运行所述网络的一主动查询模块，以基于构建所述丰富的网络拓扑的主动查询从所述封包导出的进一步信息，来建立所述丰富网络拓扑，并将所述进一步信息加入所述网络拓扑；

其中所述识别(20)所述拓扑的漏洞包括：

通过所述计算机化数据处理单元来运行一漏洞评估模块，以基于所述丰富的网络拓扑的节点信息与一预定义的漏洞数据库的已知漏洞之间的匹配，来识别所述网络的每个节点的所述漏洞信息工件；及

其中，所述建立(30)所述网络的原子攻击数据库包括：

通过所述计算机化数据处理单元来发现针对所述网络的一个或多个原子攻击作为先决条件和动作，以及时捕捉系统在给定时刻的状态，其中所述动作是以所述节点的一组特征来表示。

2.如权利要求1所述的在网络中攻击路径的自动推导方法，其特征在于：所述预定义的形式模型是一类似电路的形式模型。

3.如权利要求1所述的在网络中攻击路径的自动推导方法，其特征在于：所述基于可满足性模理论的模型检查器是一类似电路的基于可满足性模理论的模型检查器。

4.如权利要求3所述的在网络中攻击路径的自动推导方法，其特征在于：所述基于可满足性模理论的模型检查器定义了具有一全局时钟的一电路，所述全局时钟将所述执行划分为离散的时间步长。

5.如权利要求4所述的在网络中攻击路径的自动推导方法，其特征在于：所述电路包括:

主输入，作为来自外部输入的数据可流入所述电路的端口；

主输出，作为所述数据可流出所述电路的端口；

锁存器，作为可保存所述数据的基本存储元件；

门，作为实现基本逻辑功能的无状态组合元件；

比较器，作为无状态算术比较器；

常量，作为数字、布尔值或符号常量，在每个所述时间步长输出相同的值。

6.如权利要求5所述的在网络中攻击路径的自动推导方法，其特征在于：所述主输入是布尔类型或整数类型。

7.如权利要求5所述的在网络中攻击路径的自动推导方法，其特征在于：所述主输出是布尔类型或整数类型。

8.如权利要求5所述的在网络中攻击路径的自动推导方法，其特征在于：所述锁存器是布尔类型或整数类型。

9.如权利要求5所述的在网络中攻击路径的自动推导方法，其特征在于：所述锁存器存储一第一值，表示当所述电路在第一时间步长启动时它们保持的值。

10.如权利要求9所述的在网络中攻击路径的自动推导方法，其特征在于：所述锁存器在每个后续时间步长更新为一新值。

11.如权利要求5所述的在网络中攻击路径的自动推导方法，其特征在于：所述门的所述基本逻辑功能是与门、或门、非门。

12.如权利要求5所述的在网络中攻击路径的自动推导方法，其特征在于：所述门取得布尔类型的所述数据并返回布尔类型的所述数据。