[发明专利]漏洞关联性分析方法、系统、装置及存储介质

说明书

本发明公开一种漏洞关联性分析方法、系统、装置及存储介质，涉及计算机技术领域。其中，漏洞关联性分析方法包括：获取目标靶系统的系统漏洞列表；基于权限提升理论，将所述系统漏洞列表中的漏洞分类到对应的权限提升类别中，其中，所述权限提升类别包括前提权限和结果权限；对多个所述权限提升类别的漏洞分别进行组合得到多条漏洞攻击链；根据所述漏洞攻击链的影响程度量化值、可利用性量化值和权限提升跨度量化值确定漏洞攻击链的评分，并根据漏洞攻击链的评分选择最优漏洞攻击链。本申请能够挖掘系统漏洞之间的权限关联性，基于漏洞攻击链的评分选择最优漏洞攻击链，有助于高效修复系统漏洞。

技术领域

本发明涉及计算机技术领域，尤其涉及一种漏洞关联性分析方法、系统、装置及存储介质。

背景技术

近年来，随着信息化时代的高速发展，网络技术被广泛应用于各行各业，而随着网络信息系统的日益庞大和复杂，通过漏洞展开的网络攻击频率和攻击造成的损耗也在迅速提高。对于安全漏洞的研究，一直是网络安全领域的关键问题。然而，传统的漏洞分析方式往往只专注于单一且具有较高危害的漏洞，忽略了漏洞之间的关联性，严重降低了漏洞的攻击利用面。研究表明，大部分攻击尤其是危害巨大的攻击几乎都是多步攻击，也即攻击者利用攻击目标本身存在的一些安全漏洞，将多个漏洞利用组合在一起，通过多步攻击危害目标的网络攻击方式。

漏洞组合利用的攻击方式已被广泛应用，漏洞组合利用是指一个漏洞的利用需要另一个漏洞先被利用为其创造利用条件。例如，2022年谷歌的Project Zero发布了一个在野漏洞利用的分析，分析中指出，攻击者利用漏洞(CVE-2021-25337)以untrusted_app身份获取了一般system_app的私有数据文件，然后利用三星TTS漏洞中从自身配置文件加载任意动态链接库的能力，将第一个漏洞转化为了一个system_app提权漏洞。在获取了system_app权限的代码执行能力后，攻击者依次通过漏洞(CVE-2021-25369)和漏洞(CVE-2021-25370)获取了系统的最高权限。由此可见，针对网络信息系统的攻击者往往倾向于利用一些孤立的、可能被忽视的漏洞来获得初步权限，大部分攻击尤其是危害巨大的攻击几乎都是由漏洞组合形成的多步攻击，针对单一网络节点进行网络安全防御的方法很难防御这种漏洞组合攻击。因此，挖掘漏洞之间的关联性，对漏洞进行关联性分析并构建漏洞攻击链，能够从攻击者的角度来分析系统的安全性，能够更好地分析系统的脆弱点，从而修复系统漏洞。

发明内容

本发明旨在至少解决现有技术中存在的技术问题之一。为此，本发明提出一种漏洞关联性分析方法、系统、装置及存储介质，能够挖掘系统漏洞之间的权限关联性，基于漏洞攻击链的评分选择最优漏洞攻击链，有助于高效修复系统漏洞。

一方面，本发明实施例提供了一种漏洞关联性分析方法，包括以下步骤：

获取目标靶系统的系统漏洞列表；

基于权限提升理论，将所述系统漏洞列表中的漏洞分类到对应的权限提升类别中，其中，所述权限提升类别包括前提权限和结果权限；

对多个所述权限提升类别的漏洞分别进行组合得到多条漏洞攻击链；

根据所述漏洞攻击链的影响程度量化值、可利用性量化值和权限提升跨度量化值确定漏洞攻击链的评分，并根据漏洞攻击链的评分选择最优漏洞攻击链。

根据本发明一些实施例，所述获取目标靶系统的系统漏洞列表包括以下步骤：

获取目标靶系统的所有漏洞，从漏洞数据库中获取各个漏洞的描述信息，其中，所述漏洞的描述信息包括漏洞编号、漏洞描述文本、漏洞攻击向量、漏洞攻击复杂度、漏洞认证级别、漏洞机密性、漏洞完整性和漏洞可用性；

根据每一个漏洞的所述描述信息确定漏洞评分数据集；

根据目标靶系统的所有漏洞的漏洞评分数据集确定系统漏洞列表。