[发明专利]基于贝叶斯攻击图的半被动工控网络安全分析工具及方法

权利要求书

1.一种基于贝叶斯攻击图的半被动工控网络安全分析工具，其特征在于，所述工具包括：

半被动信息获取模块：获取主动扫描报告、网络报文数据和管理员修正建议的组合，并将其作为输入文件；

建立资产清单模块：搭建资产清单，生成.P文件作为属性攻击图生成模块和贝叶斯攻击图生成模块的输入文件；

属性攻击图生成模块：输入模板网络拓扑信息和节点信息，综合分析多种网络配置和脆弱性信息，生成攻击路径，且相关输出作为贝叶斯攻击图生成模块的输入文件；

贝叶斯攻击图生成模块：基于Datalog语句记录的网络信息和逻辑规则对整个网络的信息进行综合分析，最后生成所有可能的攻击图；

所述半被动信息获取模块包括：

步骤1：经过网络拓扑分析，获取节点信息和拓扑边缘信息；

步骤2：主动扫描报告重构，解析报告中的信息并存储在资产清单中；

步骤3：网络管理员修改，先利用mysql数据库进行修改，操作完成后借助js制作用户友好的可视化界面，实时预览资产清单信息并做指定修改和更新；

所述建立资产清单模块包括：

资产清单利用mysql数据库搭建而成，并用datalog语句重构网络信息，生成.P文件作为属性攻击图生成模块和贝叶斯攻击图生成模块的输入文件。

2.根据权利要求1所述的工具，其特征在于，步骤1包括：

步骤1-1：在开源安全态势工具Grassmarlin的基础上进行定制化设计，保留pcap包解析和拓扑逻辑视图生成的功能；

步骤1-2：添加导入pcap包作为参数、与资产清单结合实时更新主机节点信息、拓扑边信息；

步骤1-3：使用jnetpcap实现pcap包解析后记录每条报文的源地址、目的地址作为节点信息，记录通信使用的协议和源目的端口作为拓扑边信息。

3.根据权利要求1所述的工具，其特征在于，所述步骤2包括：

步骤2-1：通过主动扫面软件导出xml格式的扫描结果；

步骤2-2：将所述扫描结果作为输入文件，并解析其中的主机信息、配置信息、系统信息、漏洞信息并存储进资产清单。

4.根据权利要求1所述的工具，其特征在于，所述贝叶斯攻击图生成模块包括：

步骤4-1：模型网络结构的构建；

步骤4-2：节点发生概率的计算。

5.根据权利要求4所述的工具，其特征在于，所述步骤4-1包括：

步骤4-1-1：基于CVSS的原子攻击难度的度量指标和计算方法

基于CVSS进行原子攻击难度的度量指标和计算，利用CVSS中的脆弱点可用性定义计算，计算公式为：

V,C,U分别表示CVSS基本评分中的AV,AC,AU分值，D表示原子攻击的难度，值越大表示攻击难度越大；

步骤4-1-2：结构转换：完成源自攻击难度计算后进行结构转换并消除含圈路径；

步骤4-1-3：攻击路径拆分：通过对消除含圈路径后的攻击图进行深度优先遍历，使用栈来暂存；到达攻击目标节点时视作发现一条攻击路径，立即创建一个新的攻击图结构来保存找到的攻击路径。