[发明专利]基于数据挖掘技术的网络权限提升路径的生成方法

说明书

技术领域

本发明涉及一种网络安全技术领域的方法，具体地说，涉及的是一种基于数据挖掘技术的网络权限提升路径的生成方法。

背景技术

现有的网络脆弱性分析技术常常需要给出攻击者或者防护目标的所在位置，然后生成网络攻击图进行分析。在已有的网络脆弱性分析研究中，既有的网络权限提升的生成方法，常常基于攻击者假定或者防护目标假定进行研究。基于攻击者假定的方法，将假定攻击者所在的主机和权限集合作为方法输入，据此生成它所能渗透的路径、主机和权限集合；基于防护目标假定的方法，将假定需要保护的目标主机或者权限的集合作为方法输入，据此生成所有可能到达该目标的攻击路径的集合。然而，上述方法执行一次只能生成网络中的部分攻击路径；并且对于同一个目标网络，给予不同的攻击者假定和目标假定，每次均需要重新运行生成过程，这会降级网络安全检测的效率。

经对现有技术的文献检索发现，2000年Ritchey和Ammann在“Using modelchecking to analyze network vulnerabilities”的学术论文中，提出了一种基于模型校验技术的攻击图的生成方法，可以理论性生成网络的攻击图。然而模型校验技术本质上属于暴力搜索性的，因而容易产生组合爆炸问题，效率较低。另外，该方法也需要攻击者假定或者防护目标假定。

进一步检索中发现，为了改善攻击图生成方法的性能，中国专利申请号200710144693.1，专利名为“一种深度优先的攻击图生成方法”，提出了一种使用prolog结合概率技术生成攻击图的方法。该方法从概率意义上对待生成的攻击图进行了剪枝，从而提高了生成效率。然而，该方法仍然需要攻击者初始状态的假定，因而生成的攻击图仅仅是网络中攻击路径集合的一个子集。

发明内容

本发明的目的在于针对现有技术的不足，提出一种基于数据挖掘技术的网络权限提升路径的生成方法，用于一次性发现网络中所有潜在可能的权限提升路径，从而更好地进行网络安全加固，实现网络安全管理。

本发明是通过以下技术方案实现的，本发明首先进行网络安全漏洞数据预处理，对网络安全漏洞信息进行处理并按照设定的格式存储到数据库，接着进行网络连通性数据管理，以网络连通性矩阵刻画网络连通性，然后对网络安全漏洞数据和网络连通性矩阵进行处理，生成可利用脆弱性集合，最后利用数据挖掘的技术，使用数据库的自连接处理，进一步生成网络权限提升路径集合。

本发明包括如下步骤：

第一步，采用网络漏洞扫描器搜集网络安全漏洞信息，处理后得到给定格式的网络漏洞数据，存入数据库，供后续生成可利用脆弱性集合时调用。

通过常见的网络漏洞扫描器，搜集网络内部的安全漏洞，将这些安全漏洞按照{漏洞名称，漏洞利用所须的最低权限，漏洞利用可以获取的最高权限，漏洞所在主机名称}的格式进行组织，并将漏洞数据存入网络安全漏洞库。

上述处理过程中，网络中主机权限级别按从高到低共分为四级：根权限、普通权限、网络访问权限和禁止访问。根权限是指该主机根用户拥有的权限，普通权限指该主机一般用户的访问权限，网络访问权限指可以网络访问该主机提供服务的权限，禁止访问指不具备任何访问该主机的合法权限。

第二步，输入网络连通性信息，将网络连通性信息以网络连通性矩阵的形式存入数据库，供后续生成可利用脆弱性集合时调用。

由网络安全管理人员，根据网络安全配置情况，可通过网络连通性分析工具或者手工检查搜集网络连通性数据，并使用网络连通性矩阵进行组织管理。网络连通性数据构成的网络连通性矩阵，矩阵元素值的为“1”则表示对应主机之间网络连通，为“0”则表示主机之间网络不可达。

第三步，调用存储在数据库中的网络漏洞数据和网络连通性矩阵，削减漏洞中无法利用的冗余部分，生成并输出网络中真实可利用的脆弱性集合PE。

并非目标网络的所有安全漏洞都可以被攻击者利用。主机之间的网络连通性，是基于一台主机利用另一台主机的网络安全漏洞实现权限提升的必要条件安全漏洞利用的必要条件。首先设置可利用脆弱性集合PE为空集，对于网络安全漏洞库中的漏洞数据，进行如下操作：如果漏洞的利用所须的最低权限是网络访问权限，检查网络连通性矩阵，若该漏洞所在主机对应矩阵行或列中存在“1”，则将其加入PE；如果漏洞利用所须最低权限是其他级别的权限，则直接加入PE。

第四步，根据得到的可利用脆弱性集合PE和网络连通性矩阵，利用数据挖掘的技术，通过数据库的自连接处理，生成并输出网络权限提升路径集合。