[发明专利]基于漏洞关联性分析的网络系统主动防御方法

摘要

本发明的目的是提出一种基于漏洞关联性的网络系统主动防御方法。具体操作为步骤一、构建一个漏洞数据库，收集漏洞记录。步骤二、对网络攻击的相关概念进行描述。步骤三、挖掘攻击路径。步骤四、确定网络系统中每台主机的风险等级。步骤五、确定最优攻击路径。步骤六、计算漏洞修复紧急程度。本发明提出的基于漏洞关联性的网络系统主动防御方法与已有方法相比较，具有以下优点①攻击路径挖掘算法很好地结合了基于特权提升的漏洞关联性研究；②给出了漏洞修复紧急程度的动态计算方法，可以指导网络管理员合理安排漏洞修复顺序，达到主动防御的目的。

主权项

一种基于漏洞关联性的网络系统主动防御方法，其特征在于：其具体操作为：步骤一、构建一个漏洞数据库，收集漏洞记录；选取国家漏洞数据库NVD作为数据源，构建一个漏洞数据库；所述漏洞数据库包括：通用漏洞CVE编号、通用漏洞评分系统CVSS评分、是否需要网络、获取容易程度、是否需要认证、机密性影响、完整性影响、可用性影响、可用性评分、影响性评分、漏洞描述、前提特权集、结果特权集；其中，通用漏洞CVE编号、通用漏洞评分系统CVSS评分、是否需要网络、获取容易程度、是否需要认证、机密性影响、完整性影响、可用性影响、可用性评分、影响性评分、漏洞描述字段是通过国家漏洞数据库直接获取；漏洞的前提特权集是指攻击者利用所述漏洞所需具备的最低权限，漏洞的结果特权集是指攻击者利用所述漏洞后可以获得的最高权限；特权集类别由高到低排列为：超级系统管理员特权集、普通系统管理员特权集、普通用户特权集、访问者特权集、受限访问者特权集；前提特权集的取值集合为{“受限访问者特权集”，“访问者特权集”，“普通用户特权集”}，结果特权集的取值集合为{“访问者特权集”，“普通用户特权集”，“普通系统管理员特权集”，“超级系统管理员特权集”}；步骤二、对网络攻击的相关概念进行描述；在网络系统中，主机是基本的组成部分，也是大量漏洞和用户权限的载体，实际上攻击者不仅可以完成在同一主机内的权限提升，也可以通过权限提升去侵占另一台主机；攻击者利用不同的漏洞的关联达到多级攻击，把多个相关漏洞串联起来的路径叫做攻击路径；下面对攻击者、漏洞信息、攻击规则进行描述；攻击者：对于任意一个攻击者，在一台主机上拥有的权限可以用二元组(hi,Granti)来表示，hi表示网络中第i台主机的IP地址，i∈[1,n]，n表示整个网络系统中主机的数量；Granti表示攻击者在第i台主机上具有的特权集，取值集合为{“超级系统管理员特权集”，“普通系统管理员特权集”，“普通用户特权集”，“访问者特权集”，“受限访问者特权集”}；一个攻击者在整个网络系统中所拥有的权限用符号A表示，A＝{(h1,Grant1)，(h2,Grant2)，(h3,Grant3),...,(hn,Grantn)}，其中(hi,Granti)表示所述攻击者在主机hi上具备Granti权限；漏洞信息：对于任意一个位于主机hi上的漏洞，用三元组(hi,PRE,RES)表示，PRE表示所述漏洞的前提特权集，RES表示所述漏洞的结果特权集；攻击规则：攻击规则表示攻击者对一台主机上的漏洞进行攻击时需要满足的前提条件；用五元组(host1,host2,grant1,grant2,con)来表示一个攻击规则，其中host1表示源主机，host2表示目标主机；con表示主机连接方式，当源主机与目标主机相同时，con取值为“本地”，否则取值为“远程”；当con为“本地”时，grant1表示攻击者在源主机内具备的权限，grant2的含义是攻击者能够利用源主机内前提特权集小于或等于grant2的漏洞；当con为“远程”时，grant1表示攻击者在源主机内具备的权限，grant2的含义是攻击者能够利用目标主机内前提特权集小于或等于grant2的漏洞；步骤三、挖掘攻击路径在步骤一和步骤二操作基础上，挖掘攻击路径，在网络系统中挖掘攻击路径的具体操作步骤为：步骤3.0：确定攻击者待选漏洞集合；扫描当前网络系统内所有漏洞，生成待选择漏洞集合；步骤3.1：对攻击者进行初始化；包括对初始化攻击者自身属性以及初始化攻击者的攻击目的；所述初始化攻击者自身属性具体为：针对任意一个攻击者，生成所述攻击者在整个网络系统中所拥有的权限A，A＝{(h1,Grant1)，(h2,Grant2)，(h3,Grant3),...,(hn,Grantn)}；所述初始化攻击者的攻击目的是指：人为指定1台以上目的主机以及攻击者在目的主机上想要获取的最低权限；步骤3.2：攻击者在步骤3.0中所述待选择漏洞集合中，从前往后顺序选择出第一个满足攻击条件的漏洞作为出发点漏洞，将其从待选择漏洞集合中移除并放入攻击队列，并用其结果特权集替换攻击者在漏洞所属主机的权限；所述满足攻击条件是指攻击者在所述漏洞所属主机内拥有的权限大于或等于该漏洞的前提特权集，同时小于该漏洞的结果特权集；利用满足攻击条件的漏洞，能够达到特权提升的目的；若待选漏洞集合中没有满足攻击条件的漏洞，则结束操作；步骤3.3：攻击者从待选择漏洞集合中选择出全部满足攻击条件的漏洞，并从中选择可用性评分最低的漏洞；可用性评分最低表示该漏洞被攻击者成功利用的概率最高；如果攻击者未能从待选择漏洞集合中选择到满足攻击条件的漏洞，则清空攻击队列，返回到步骤3.1；步骤3.4：将步骤3.3中所述可用性评分最低的漏洞从待选择漏洞集合内移除并加入攻击队列，用其结果特权集替换攻击者在所述可用性评分最低的漏洞所属主机的权限；该步骤避免了攻击路径中出现环路；步骤3.5：检查攻击者是否获得了步骤3.1所述的攻击者在目的主机上想要获取的最低权限；如果已经获得，表示达到攻击目的，执行步骤3.6的操作；否则，返回到步骤3.3；步骤3.6：将攻击队列写入攻击路径数据库，返回步骤3.1；所述攻击路径数据库包括攻击者和攻击漏洞；经过步骤三的操作，得到攻击路径数据库；所述攻击路径数据库中保存所有攻击者可利用的攻击路径；步骤四、确定网络系统中每台主机的风险等级；在步骤一操作的基础上，设定网络系统中每台主机的风险等级；设定超级系统管理员特权集权值为1.0，若主机中存在攻击者的最高权限为超级系统管理员特权集，则设定所述主机风险等级为1.0，此时系统属于最高风险等级；设定普通系统管理员特权集权值为0.8，若主机中存在攻击者的最高权限为普通系统管理员特权集，则设定所述系统风险等级为0.8；设定普通用户特权集权值为0.6，若主机中存在攻击者的最高权限为普通用户特权集，则设定所述主机风险等级为0.6；设定访问者特权集权值为0.4，若主机中存在攻击者的最高权限为访问者特权集，则设定所述主机风险等级为0.4；设定受限访问者特权集权值为0.2，若主机中存在攻击者的最高权限为受限访问者特权集或不存在攻击者，则设定所述主机风险等级为0.2；步骤五、确定最优攻击路径；根据步骤三得到的攻击路径数据库，确定攻击者的最优攻击路径；具体步骤如下：步骤5.0：将攻击路径数据库中的攻击路径按照攻击者进行分类，然后针对每一个攻击者，执行步骤5.1至5.2的操作，确定所述攻击者的最优攻击路径；步骤5.1：计算攻击路径长度；攻击路径长度指的是攻击路径所包含的攻漏洞个数；选择长度最小的攻击路径为最优攻击路径；若长度最小的攻击路径不唯一，则执行步骤5.2的操作；步骤5.2：通过公式(1)计算攻击路径成功率；攻击路径成功率指的是攻击者成功利用所述攻击路径上所有漏洞的概率，其大小等于该条路径上所有漏洞攻击成功率的乘积；PL=Πj=1mPVj---(1)]]>其中，L表示一条攻击路径；PL表示攻击路径L的攻击路径成功率；Vj表示路径L上包含的第j个漏洞；j∈[1,m]；m表示路径L上漏洞的总数；PVj表示漏洞Vj的攻击成功率，通过公式(2)计算；PVj＝(10‑ESVj)/10×100％  (2)其中，ESVj表示漏洞Vj的可用性评分，可用性评分是表示漏洞攻击复杂度大小的具体评分数值，从步骤一所述漏洞数据库中直接得到；通过步骤5.0至步骤5.2的操作，能够得到网络系统中所有的攻击者各自对应的最优攻击路径；步骤六、计算漏洞修复紧急程度；在步骤四和步骤五操作的基础上，计算网络系统中各漏洞的修复紧急程度；对于所述网络系统中存在的一个漏洞，用符号Vt表示，计算漏洞Vt的修复紧急程度，具体步骤如下：步骤6.0：统计漏洞Vt所在最优攻击路径的数量，用符号COUNTVt表示；步骤6.1：利用公式(3)计算漏洞Vt的修复紧急程度，用符号URGVt表示；URGVt=COUNTVt×PVt×DVt|Vt_RISK-SYSRISK|---(3)]]>其中，PVt表示漏洞Vt的攻击成功率，PVt通过公式(4)计算得到；DVt表示漏洞Vt的危害程度，DVt的值取自步骤一所述漏洞数据库中的影响性评分；Vt‑RISK表示漏洞Vt的前提特权集；SYSRISK表示漏洞Vt所在主机的风险等级，漏洞Vt所在主机的风险等级SYSRISK在步骤四中得到；PVt＝(10‑ESVt)/10×100％  (4)其中，ESVt表示漏洞Vt的可用性评分；Vt‑RISK与系统风险等级SYSRISK的差值反映攻击者与漏洞Vt的距离，当二者相等时，表示攻击者可以直接利用该漏洞，但是不能理解为漏洞Vt的修复紧急程度无限大，因此设定当|Vt‑RISK‑SYSRISK|＝0时，|Vt‑RISK‑SYSRISK|＝0.1；步骤6.2：通过重复执行步骤6.0至步骤6.1，可以得到网络系统中所有漏洞的修复紧急程度；步骤6.3：将网络系统中所有漏洞的修复紧急程度数值从高到低排序；所述排序用于指导网络管理员在有限资源与有限时间内，合理地安排漏洞修复顺序，从而获取最大的防御效率。