基于大规模工控网络的交互式攻击图展示系统及展示方法专利检索-复杂事件处理资料储存系统专利检索查询-专利查询网

基于大规模工控网络的交互式攻击图展示系统及展示方法

阅读：632发布：2020-05-11

专利汇可以提供基于大规模工控网络的交互式攻击图展示系统及展示方法专利检索，专利查询，专利分析的服务。并且本发明公开了一种基于大规模工控网络的交互式攻击图展示系统及展示方法，展示系统包括json文件构造模块、网络拓扑生成模块、场景漫游处理模块、攻击图生成模块和交互事件处理模块；本发明的方法从攻击目标出发，逆向生成攻击图，极大地降低了攻击图的复杂性和可用性。攻击图展示系统中采用交互形式，允许用户通过点击切换攻击目标，生成基于确定目标的实时关键攻击路径，极大地提高了攻击图的可视化管理。便于安全运维人员和安全分析人员的网络安全分析评估，可以有效地帮助网络安全事件处理人员对网络攻击路径进行及早识别和关键点防御。，下面是基于大规模工控网络的交互式攻击图展示系统及展示方法专利的具体信息内容。

权利要求

1.一种基于大规模工控网络的交互式攻击图展示系统，其特征在于，包括json文件构造模块、网络拓扑生成模块、场景漫游处理模块、攻击图生成模块和交互事件处理模块；
其中，json文件构造模块以json文件格式完成工控网络节点信息和整体结构的设计，允许用户自定义；
网络拓扑生成模块完成json文件的读取和解析、以及网络拓扑在三维空间的生成；
场景漫游处理模块实现用户在三维场景内进行实体的移动、旋转和场景伸缩效果，便于用户观察；
攻击图生成模块完成指定节点的攻击图生成；
交互事件处理模块处理用户点击事件，获取点击节点，并高亮显示出点击节点作为目标节点的攻击图。
2.一种基于大规模工控网络的交互式攻击图展示方法，其特征在于，包括如下过程：
(1)构造json文件，包括网络结构、节点属性信息；
(2)使用WebGL生成网络拓扑，并渲染到三维场景中；
(3)判断是否有新的场景漫游事件发生，若有则处理并更新各个节点位置信息并继续执行，否则继续；
(4)判断是否存在指定的目标节点，若存在则继续，否则结束；
(5)以指定节点作为攻击目标生成攻击图；
(6)进入交互事件循环主体，判断节点点击事件是否发生，若存在则高亮显示出点击节点，否则结束。
3.根据权利要求2所述的一种基于大规模工控网络的交互式攻击图展示方法，其特征在于，所述步骤(5)中，生成攻击图的具体方法如下：首先，根据创建的攻击图网络结构模型初始化网络节点信息、目标节点和攻击路径成功率的阈值，然后从目标节点出发，利用攻击模板和成边规则进行节点的扩展，扩展的同时计算攻击路径的成功概率并与阈值比较，若概率小于阈值则停止扩展，否则，更新阈值，继续扩展。
4.根据权利要求3所述的一种基于大规模工控网络的交互式攻击图展示方法，其特征在于，所述攻击图网络结构模型包括节点的集合和边的集合，节点包括漏洞利用型节点，特权节点和敏感信息利用节点，边由源节点和目标节点根据成边规则进行确定。
5.根据权利要求4所述的一种基于大规模工控网络的交互式攻击图展示方法，其特征在于，所述成边规则包括：从特权节点到漏洞利用型节点或敏感信息利用节点；从漏洞利用型节点或敏感信息利用节点到特权节点；成边过程无环路，不回溯。
6.根据权利要求4所述的一种基于大规模工控网络的交互式攻击图展示方法，其特征在于，所述漏洞利用型节点针对的漏洞使用四元组表示Vulnerability＝(CVE_id，preconditions，postconditions，p)，其中，CVE_id是通用漏洞数据库提供的漏洞编号，Preconditions代表攻击者利用该漏洞所需要的前提条件列表，postconditions代表利用该漏洞后攻击者将获得的特权列表，p代表漏洞利用概率，从通用漏洞评分系统CVSS获得。
7.根据权利要求6所述的一种基于大规模工控网络的交互式攻击图展示方法，其特征在于，所述漏洞的类型包括配置错误、代码问题和资料不足。
8.根据权利要求7所述的一种基于大规模工控网络的交互式攻击图展示方法，其特征在于，所述代码问题包括资源管理错误、输入验证错误、数字错误、信息泄露、安全特征问题和竞争条件错误。

说明书全文

基于大规模工控网络的交互式攻击图展示系统及展示方法

技术领域

[0001] 本发明涉及一种基于大规模工控网络的交互式攻击图展示系统及展示方法。

背景技术

[0002] 攻击图主要是从攻击者的角度获取网络整体的脆弱性信息，以确定所有可能的攻击路径并进行可视化展示。攻击图显示了攻击者通过一系列的漏洞利用，获取目标主机节点的特权，并最终侵入目标网络的过程。攻击图可以展示网络的整体攻击路径进而分析网络的脆弱性，但是，由于攻击图十分复杂，对于大规模网络，其可视化处理成为其可用性的关键。

[0003] 攻击图主要分为状态攻击图和属性攻击图。状态攻击图利用原子攻击和状态迁移生成攻击图，但是由于状态攻击图存在难以解决的状态爆炸问题，所以出现了利用节点属性生成攻击图的方法。生成攻击图的方法有比较流行的开源工具MulVAL，它利用Nessus漏洞扫描器的漏洞扫描结果、节点的配置信息和连接信息作为输入，使用graphviz图片生成器绘制攻击图。但是，该方法依赖漏洞扫描结果的准确程度、网络节点配置信息的提取和网络连接信息的描述，生成的攻击图不够灵活、清晰和美观，具有一定的局限性。

[0004] 贝叶斯概率攻击图对预测攻击路径有一定的改进，但是由于贝叶斯网络推理算法本身复杂度的限制，很难实现大规模网络的攻击图生成。通过分层聚合的方式降低攻击图的复杂性通过定义规则的层次结构控制抽象级别，较高的抽象级别对应较高的聚合级别，用户可控制攻击图的聚合和反聚合。但是该方法自定义的层级结构规则具有一定的主观性，并且不能完全适用于工控网络。

发明内容

[0005] 为解决上述技术问题，本发明提供了一种基于大规模工控网络的交互式攻击图展示系统及展示方法，从攻击目标出发，逆向生成攻击图，极大地降低了攻击图的复杂性和可用性。攻击图展示系统中采用交互形式，允许用户通过点击切换攻击目标，生成基于确定目标的实时关键攻击路径，极大地提高了攻击图的可视化管理。

[0006] 为达到上述目的，本发明的技术方案如下：

[0007] 一种基于大规模工控网络的交互式攻击图展示系统，其特征在于，包括json文件构造模块、网络拓扑生成模块、场景漫游处理模块、攻击图生成模块和交互事件处理模块；

[0008] 其中，json文件构造模块以json文件格式完成工控网络节点信息和整体结构的设计，允许用户自定义；

[0009] 网络拓扑生成模块完成json文件的读取和解析、以及网络拓扑在三维空间的生成；

[0010] 场景漫游处理模块实现用户在三维场景内进行实体的移动、旋转和场景伸缩效果，便于用户观察；

[0011] 攻击图生成模块完成指定节点的攻击图生成；

[0012] 交互事件处理模块处理用户点击事件，获取点击节点，并高亮显示出点击节点作为目标节点的攻击图。

[0013] 一种基于大规模工控网络的交互式攻击图展示方法，包括如下过程：

[0014] (1)构造json文件，包括网络结构、节点属性信息；

[0015] (2)使用WebGL生成网络拓扑，并渲染到三维场景中；

[0016] (3)判断是否有新的场景漫游事件发生，若有则处理并更新各个节点位置信息并继续执行，否则继续；

[0017] (4)判断是否存在指定的目标节点，若存在则继续，否则结束；

[0018] (5)以指定节点作为攻击目标生成攻击图；

[0019] (6)进入交互事件循环主体，判断节点点击事件是否发生，若存在则高亮显示出点击节点，否则结束。

[0020] 上述方案中，所述步骤(5)中，生成攻击图的具体方法如下：首先，根据创建的攻击图网络结构模型初始化网络节点信息、目标节点和攻击路径成功率的阈值，然后从目标节点出发，利用攻击模板和成边规则进行节点的扩展，扩展的同时计算攻击路径的成功概率并与阈值比较，若概率小于阈值则停止扩展，否则，更新阈值，继续扩展。

[0021] 进一步的技术方案中，所述攻击图网络结构模型包括节点的集合和边的集合，节点包括漏洞利用型节点，特权节点和敏感信息利用节点，边由源节点和目标节点根据成边规则进行确定。

[0022] 更进一步的技术方案中，所述成边规则包括：从特权节点到漏洞利用型节点或敏感信息利用节点；从漏洞利用型节点或敏感信息利用节点到特权节点；成边过程无环路，不回溯。

[0023] 更进一步的技术方案中，所述漏洞利用型节点针对的漏洞使用四元组表示Vulnerability＝(CVE_id，preconditions，postconditions，p)，其中，CVE_id是通用漏洞数据库提供的漏洞编号，Preconditions代表攻击者利用该漏洞所需要的前提条件列表，postconditions代表利用该漏洞后攻击者将获得的特权列表，p代表漏洞利用概率，从通用漏洞评分系统CVSS获得。

[0024] 上述方案中，所述漏洞的类型包括配置错误、代码问题和资料不足。

[0025] 进一步的，所述代码问题包括资源管理错误、输入验证错误、数字错误、信息泄露、安全特征问题和竞争条件错误。

[0026] 通过上述技术方案，本发明提供的基于大规模工控网络的交互式攻击图展示系统及展示方法从攻击目标出发，逆向生成攻击图，极大地降低了攻击图的复杂性和可用性。攻击图展示系统中采用交互形式，允许用户通过点击切换攻击目标，生成基于确定目标的实时关键攻击路径，极大地提高了攻击图的可视化管理。利用WebGL构造三维网络空间，能够极大地增强用户的视觉体验，解决了二维空间中大规模网络的部署困难问题。能够应用到多领域网络，具有极大的灵活性。可以自定义攻击图生成算法，便于安全运维人员和安全分析人员的网络安全分析评估，可以有效地帮助网络安全事件处理人员对网络攻击路径进行及早识别和关键点防御。附图说明

[0027] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。

[0028] 图1为本发明实施例所公开的交互式攻击图展示系统结构框图；

[0029] 图2为本发明实施例所公开的交互式攻击图展示方法流程示意图；

[0030] 图3为本发明实施例所公开的生成攻击图的具体方法流程示意图；

[0031] 图4为本发明实施例所公开的攻击图网络结构模型示意图；

[0032] 图5为本发明实施例所公开的CNVD漏洞分类。

具体实施方式

[0033] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

[0034] 本发明提供了一种基于大规模工控网络的交互式攻击图展示系统，如图1所示，包括json文件构造模块、网络拓扑生成模块、场景漫游处理模块、攻击图生成模块和交互事件处理模块；

[0035] 其中，json文件构造模块以json文件格式完成工控网络节点信息和整体结构的设计，允许用户自定义；

[0036] 网络拓扑生成模块完成json文件的读取和解析、以及网络拓扑在三维空间的生成；

[0037] 场景漫游处理模块实现用户在三维场景内进行实体的移动、旋转和场景伸缩效果，便于用户观察；

[0038] 攻击图生成模块完成指定节点的攻击图生成；

[0039] 交互事件处理模块处理用户点击事件，获取点击节点，并高亮显示出点击节点作为目标节点的攻击图。

[0040] 一种基于大规模工控网络的交互式攻击图展示方法，如图2所示，包括如下过程：

[0041] (1)构造json文件，包括网络结构、节点属性信息；

[0042] (2)使用WebGL生成网络拓扑，并渲染到三维场景中；

[0043] (3)判断是否有新的场景漫游事件发生，若有则处理并更新各个节点位置信息并继续执行，否则继续；

[0044] (4)判断是否存在指定的目标节点，若存在则继续，否则结束；

[0045] (5)以指定节点作为攻击目标生成攻击图；

[0046] (6)进入交互事件循环主体，判断节点点击事件是否发生，若存在则高亮显示出点击节点，否则结束。

[0047] WebGL作为3D绘图标准，能够直观地呈现网络拓扑结构，是攻击图可视化的首选。首先，网络拓扑是基于json文件解析生成的。json文件的内容包括网络节点及其属性，用户可以按照实际网络构建json文件，也可以通过修改json文件调整网络拓扑结构，系统通过解析json文件自动生成拓扑图，这种方式具有极大地灵活性和可用性。其次，用户可以进行
3D场景漫游选择性地查看某一区域、某一节点的所有属性信息。最后，利用上述逆向攻击图生成方法，默认生成所有以下位机为目标的攻击图(下位机可以有一个或多个)。用户可以通过点击某一网络节点，高亮基于该节点的攻击图，便于观察工控设备的安全状况。

[0048] 上述步骤(5)中，生成攻击图的具体方法如图3所示，包括如下步骤：

[0049] 1)初始化攻击图模板模型和工控模板模型；

[0050] 2)初始化网络节点、目标节点、阈值；

[0051] 3)获取目标节点的攻击模板集；

[0052] 4)判断如果模板集不为空则跳转到第5)步，否则跳转到第12)步；

[0053] 5)查找每个模板对应的攻击前提；

[0054] 6)判断节点是否可达，如果可达则跳转到第7)步，否则切换到下一模板，并跳转到第4)步；

[0055] 7)计算路径概率；

[0056] 8)判断：是否命中(路径概率>概率阈值并且跳数<跳数阈值)，如果命中，则跳转到第9)步，否则切换到下一模板，并跳转到第4)步；

[0057] 9)判断加入攻击图后是否构成环，若是则切换到下一模板，并跳转到第4)步，否则继续；

[0058] 10)将节点和边加入攻击图；

[0059] 11)判断是否存在可扩展节点，若是则继续，否则结束算法；

[0060] 12)获取下一层目标节点，并跳转到第3)步继续循环。

[0061] 攻击图网络结构模型如图4所示，攻击图AG＝(N，E)，N代表节点的集合，E代表边的集合。节点包括漏洞利用型节点，特权节点和敏感信息利用节点，分别表示为Vul＝(ip,cveId,cpeId)，Pri＝(ip,category,cpeId)，ISU＝(ip,cpeId,content)。其中cpeId表示带有该漏洞的产品编号，category表示漏洞类型，content表示敏感信息内容。边定义Edge＝(sNode,tNode)，sNode表示源节点，tNode表示目标节点，二者根据成边规则进行确定。

[0062] 成边规则包括：1、从特权节点到漏洞利用型节点或敏感信息利用节点；2、从漏洞利用型节点或敏感信息利用节点到特权节点；3、成边过程无环路，不回溯。

[0063] 漏洞利用型节点针对的漏洞使用四元组表示Vulnerability＝(CVE_id，preconditions，postconditions，p)，其中，CVE_id是通用漏洞数据库提供的漏洞编号，Preconditions代表攻击者利用该漏洞所需要的前提条件列表，postconditions代表利用该漏洞后攻击者将获得的特权列表，p代表漏洞利用概率，从通用漏洞评分系统CVSS获得。

[0064] 漏洞类型分类粒度越精细，漏洞的前提、后置条件表达得越准确，可根据场景进行调整。此处漏洞示例如图5，该图参考CNVD(国家信息安全漏洞库)的分类指南，分类对象比较全面，面向CNVD收录的全部漏洞，包括采集的公开漏洞以及收录的未公开漏洞，通用型漏洞及事件型漏洞。漏洞的类型包括配置错误、代码问题和资料不足。代码问题包括资源管理错误、输入验证错误、数字错误、信息泄露、安全特征问题和竞争条件错误。

[0065] 本发明的方法实用范围包括大中规模网络拓扑的安全分析与评估、工业互联网攻击路径可视化展示，为企业内网安全态势可视化展示和工控系统的安全态势分析展示提供充分的素材，并为大规模网络节点安全检测、分析、评估等提供支撑与工具系统。

[0066] 对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

标题	发布/更新时间	阅读量
一种基于规则引擎的边缘计算网关	2020-05-16	186
一种不确定性复杂事件的处理系统及方法	2020-05-17	803
复杂事件处理中对于参数化的查询/视图的支持	2020-05-08	131
一种基于传感网面向事件的主动服务方法	2020-05-15	687
一种信息推送事件处理方法、装置及电子设备	2020-05-14	757
一种智慧城市快速应急调度系统	2020-05-08	244
基于复杂事件处理的制造车间多源异构数据融合方法及系统	2020-05-13	621
基于物联网的异构信息处理方法	2020-05-18	667
一种消息驱动的制造执行工作流系统与实现方法	2020-05-15	139
基于事件链实现变电站主辅控智能联动处理的系统及其方法	2020-05-11	917

基于大规模工控网络的交互式攻击图展示系统及展示方法

基于大规模工控网络的交互式攻击图展示系统及展示方法

技术领域

背景技术

发明内容

具体实施方式

该功能需要专业版企业版VIP权限，您可以：