(19)国家知识产权局
(12)发明 专利申请
(10)申请公布号
(43)申请公布日
(21)申请 号 202211052954.8
(22)申请日 2022.08.31
(71)申请人 辽宁浪潮创新信息技 术有限公司
地址 110000 辽宁省沈阳市和平区族旺路2
号4层
(72)发明人 范仲伟 杨丹 曹德宇 廉承凯
白荻
(74)专利代理 机构 沈阳友和欣知识产权代理事
务所(普通 合伙) 21254
专利代理师 杨群
(51)Int.Cl.
H04L 9/40(2022.01)
(54)发明名称
基于属性攻击图的等级保护整体测评方法
和系统
(57)摘要
本发明属于等级保护整体测评技术领域, 具
体涉及一种基于属性攻击图的等级保护整体测
评方法和系统, 包括如下步骤: 信息采集、 网络连
通性建模、 基于原子攻击建模、 攻击图生成和基
于攻击路径的等级保护总体评价。 本发明具有高
效率, 适用于大规模和高速网络、 整体测评准确
率高, 能够准确地识别出关键路径和关键主机、
实时性强, 可视化 程度高等优点。
权利要求书2页 说明书6页 附图1页
CN 115426163 A
2022.12.02
CN 115426163 A
1.基于属性 攻击图的等级保护整体测评方法, 其特 征在于, 包括如下步骤:
1)信息采集: 采集被测评系统的网络结构信息、 安全防护策略、 系统 组件漏洞 信息;
2)网络连通 性建模: 根据步骤1)采集的信息, 建立网络 拓扑图:
网络拓扑图G=(V, E), 其中vi∈V, vi表示顶点, ei∈E, ei表示顶点间的边;
顶点v代表网络中的实际设备, v=<id,type,val,domain,ip,srvs,vuls,atkst ate>,
其中, id是节点在拓扑图中的唯一标识, type是设备的类型, val是节点的重要性赋值,
domain是节点归属的网络区域, ip是节点的网络ip地址, srvs是节点对外开放的服务, vuls
是系统组件漏洞 信息, atkstate 是攻击者利用所有vuls漏洞后可 取得的最高权限;
边e代表设备间的拓扑关系, e=<srcIp,destIp,conType,pril>, 即以四元组表示 网络
中节点的连接关系, 其中, srcIp和destIp分别表示源设备和目的设备, conType表示连接类
型, pril表示访问权限;
3)基于原子攻击建模: 根据步骤1)采集的信息, 建立基于状态转换的原子攻击模型:
原子攻击Vul=<vulID,preCondition,postcondition>, 其中, vulID表示利用漏洞的
原子攻击唯一性标识, preCondition表示原子攻击的前提状态, postCondition是原 子攻击
后设备状态改变的集 合;
原子攻击中vulID=<vulName,cve,cpe,cwe>, 其中, vulName表示原子攻击名称, cve为
通用漏洞披露, 表示安全漏洞命名的规范, cpe为通用平台枚举, 以标准化方式为软件应用
程序、 操作系统及硬件 命名的方法, cwe为 通用弱点枚举, 代 表漏洞对应的攻击分类;
原子攻击中preCondition=<av,ac,pr,ui>, 描述原子攻击成功的前置条件, 属性来自
CVSS中的漏洞可利用信息, 其中av表示CVSS攻击矩阵的攻击向量信息, ac表示CVSS攻击矩
阵的攻击复杂度信息, pr表示CVSS攻击矩阵的攻击权限信息, ui是CVSS攻击矩阵的用户交
互信息;
原子攻击中postCondition=<CIAimpact,privat e,state>, 其中, CIAimpact是漏洞利
用后对设备保密性、 完整性、 一致性的影响, private、 state表示设备受到攻击后攻击者获
取的权限和状态;
4)攻击图生成:
属性攻击图AG=(S, A, pres, posts), 其中, S表示安全状态节点, A表示漏洞利用节点,
连接关系pres和posts 分别表示 攻击的前提 集和后果 集;
依据步骤2)生成的网络拓扑图和步骤3)生成的原子攻击模型, 基于原子攻击造成的节
点状态变化, 使用广 度优先算法构建攻击图模型, 算法步骤如下:
401)输入网络 拓扑图和原子攻击模型;
402)算法:
广度优先遍历拓扑图中的各节点, 对于每一节点vert=<id, type, val, domain, ip,
srvs, vuls, atkstate >:
4021)遍历当前节点存在的所有漏洞vuls中的每一个vul, 如漏洞造成的状态变化 高于
该节点攻击者已获得的最高权限, 即vert.atk state<vu l.postCondition.state, 则修改该
节点状态为 攻击者的最高权限, 即ver t.atkstate=vul.postCo ndition.state;
4022)以该节点信息及步骤4021)中所取得的攻击都最高权限构造攻击图的安全状态
节点, 并把该节点存 入攻击图模型中;权 利 要 求 书 1/2 页
2
CN 115426163 A
24023)遍历以当前节点为源的有向边, 并取得有向边的目标节点: destVerts=
{vert.E.dip};
4024)对于每一目标节点: 如当前节点状态, 即攻击获取的最大权限大于目标节点存在
的漏洞的触发前置条件, 即vul2.pre<v ert.atkstate, 则说明该漏洞具备被利用的条件, 以
destVerts构造攻击图的漏洞利用节点, 存入攻击图模型中; 否则, 忽略目标节点的当前漏
洞, 继续遍历目标节点的下一漏洞;
403)输出攻击图;
5)基于攻击路径的等级保护总体评价: 基于CVSS指标、 攻击图模型、 等级保护单元测评
结果, 采用基于网络攻击路径的等级测评方法, 计算 等级测评中总体测指标:
501)等级保护 整体测评指标
其中n为攻击图中的节点数量, Pk表示
k节点的漏洞 利用概率, Ck是节点k的等级保护因子;
502)节点的漏洞 利用概率P=av*ac *pr*ui;
503)等级保护因子
其中, t为当前节点设备在等级保护技术
方面对应的总测评项数, ωk为测评项k的重要程度, xk为测评项k的得分:
xk=(0,0.5,1),
2.根据权利要求1所述的基于属性攻击图的等级保护整体测评方法, 其特征在于, 所述
步骤1)中, 被测评系统的结构信息包括组成被测评系统硬件信息、 软件信息以及基于软硬
件的网络结构信息、 应用系统体系 结构信息; 被测评系统的安全防护策略包括安全区域边
界策略、 安全通信网络策略、 安全计算策略; 被测评系统的系统组件漏洞信息包括现场测评
阶段采集的被测评系统的软硬件安全漏洞 信息。
3.基于属性攻击图的等级保护整体测评系统, 其特征在于, 采用权利要求1所述的基于
属性攻击图的等级保护整体测评方法, 包括如下模块:
信息采集模块, 用于采集被测评系统的结构信息、 安全防护策略、 系统 组件漏洞 信息;
网络连通 性建模模块, 用于根据信息采集模块采集的信息, 建立网络 拓扑图;
原子攻击建模 模块, 用于根据信息采集模块采集的信息, 建立原子攻击模型;
攻击图生成模块, 用于根据网络连通性建模模块建立的网络拓扑图和 原子攻击建模模
块建立的原子攻击模型, 生成攻击图;
等级保护总体评价模块, 用于基于CVSS指标、 攻击图模型、 等级保护单元测评结果, 采
用基于网络攻击路径的等级测评方法, 计算 等级测评中总体测指标。权 利 要 求 书 2/2 页
3
CN 115426163 A
3
专利 基于属性攻击图的等级保护整体测评方法和系统
文档预览
中文文档
10 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共10页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 SC 于 2024-03-03 12:05:29上传分享