[发明专利]一种基于多维度攻击路径与攻击图的生成方法

权利要求书

1.一种基于多维度攻击路径与攻击图的生成方法，其特征在于，包括以下步骤：

步骤1：采集漏洞条目样本，建立漏洞知识库，对每一条漏洞条目样本标注前置权限和后置权限；

步骤2：提取漏洞知识库中每一条漏洞条目样本的特征，包括漏洞描述文本特征和CVSS指标特征，并将漏洞描述文本特征进行文本预处理；

步骤3：以前置权限，后置权限，漏洞条目三元组定义攻击模式，构建攻击模式知识库；其中，对于目标工控网络中攻击模式未知的漏洞条目，首先通过规则匹配对漏洞知识库中的前置权限和后置权限进行匹配，若无匹配条目，则利用预训练的前置权限分类模型和后置权限分类模型获取前置权限和后置权限；

步骤4：针对目标工控网络，采用基于攻击图优化策略的广度优先前向攻击图生成算法生成攻击图；

所述的攻击图生成过程包括：

步骤4.1：首先确定攻击者的初始状态s0，将其加入攻击图节点集合S，并根据目标工控网络的拓扑结构得到设备间的访问性关系矩阵；

步骤4.2：采用一个攻击节点队列attackerNodes存储攻击者可能到达的目标节点，采用一个字典型结构nodeAncsMap存储节点和其对应祖先节点集合，即从初始节点s0到当前节点的所有路径上包含的中间节点集合；

步骤4.3：取攻击节点队列attackerNodes的队首节点curNode进行分析，将curNode加入节点集合S；根据漏洞扫描结果获取curNode对应设备上存在的所有漏洞信息，根据易用性对所有漏洞信息进行降序排序，然后根据后置权限级别去重，同类漏洞保留易用性最高的1个，得到漏洞集合srcVuls；

步骤4.4：遍历srcVuls中的漏洞，并创建对应节点dstNode；判断攻击者当前权限是否满足漏洞利用前置权限，并检查漏洞利用是否满足单调性假设，确保攻击者不会重复获取已有权限；

若上述条件同时满足，则生成从curNode到dstNode的对应边curEdge，加入到攻击图边集合E；若dstNode此前未访问过，则将其加入节点集合S和节点队列，最后更新dstNode的祖先节点集合；

步骤4.5：获取目标工控网络中和curNode对应设备存在网络层连接关系的所有设备集合dstDevs；遍历dstDevs，同样根据步骤4.1至步骤4.3得到当前设备的漏洞集合dstVuls；

步骤4.6：遍历dstVuls中的漏洞，并创建对应节点dstNode；判断curNode对应设备和当前目标设备间的访问性关系、以及漏洞前置权限是否满足其利用前提，并检查漏洞利用是否满足单调性假设；

若上述条件同时满足，则生成对应边curEdge，加入边集合E；若dstNode此前未访问过，则将其加入节点集合S和节点队列attackerNodes，最后更新dstNode的祖先节点集合；

步骤4.7：重复步骤4.3至步骤4.6，直至攻击节点队列attackerNodes为空，最后根据节点集合S和边集合E得到生成的攻击图。

2.根据权利要求1所述的一种基于多维度攻击路径与攻击图的生成方法，其特征在于，所述的优化策略具体为：

1)当节点数目超过阈值时，采用LBP近似推理算法代替精确推理算法，提升计算效率；

2)通过指定最大跳数来终止搜索过程，删除攻击图的冗余信息，缩小攻击图规模；

3)通过计算节点的可达概率，判断可达概率是否高于阈值，若是，则将该节点加入攻击图中；若否，则删除该节点信息和边信息。

3.根据权利要求1所述的一种基于多维度攻击路径与攻击图的生成方法，其特征在于，所述的步骤1对每一条漏洞条目样本进行标注时，前置权限分为两个度量指标：一是攻击源和目标主机的可达性，根据CVSS的指标分为4项：Network、Adjacent、Local、Physical；二是攻击者发动攻击前需要在目标主机上满足的权限级别；后置权限只有一个度量指标，为攻击者成功实施攻击后在目标主机上获取的权限级别。

4.根据权利要求1所述的一种基于多维度攻击路径与攻击图的生成方法，其特征在于，将漏洞描述文本特征进行文本预处理包括：分词、词性还原、停用词过滤和文本向量化。

5.根据权利要求1所述的一种基于多维度攻击路径与攻击图的生成方法，其特征在于，所述的预训练的前置权限分类模型和后置权限分类模型采用卷积神经网络分类器。