基于数据挖掘技术的网络权限提升路径的生成方法

专利名称：：基于数据挖掘技术的网络权限提升路径的生成方法
技术领域：
：本发明涉及一种网络安全
技术领域：
的方法，具体地说，涉及的是一种基于数据挖掘技术的网络权限提升路径的生成方法。
背景技术：
：现有的网络脆弱性分析技术常常需要给出攻击者或者防护目标的所在位置，然后生成网络攻击图进行分析。在已有的网络脆弱性分析研究中，既有的网络权限提升的生成方法，常常基于攻击者假定或者防护目标假定进行研究。基于攻击者假定的方法，将假定攻击者所在的主机和权限集合作为方法输入，据此生成它所能渗透的路径、主机和权限集合；基于防护目标假定的方法，将假定需要保护的目标主机或者权限的集合作为方法输入，据此生成所有可能到达该目标的攻击路径的集合。然而，上述方法执行一次只能生成网络中的部分攻击路径；并且对于同一个目标网络，给予不同的攻击者假定和目标假定，每次均需要重新运行生成过程，这会降级网络安全检测的效率。经对现有技术的文献检索发现，2000年Ritchey和Ammann在"Usingmodelcheckingtoanalyzenetworkvulnerabilities"的学术论文中，提出了——禾中基于模型校验技术的攻击图的生成方法，可以理论性生成网络的攻击图。然而模型校验技术本质上属于暴力搜索性的，因而容易产生组合爆炸问题，效率较低。另外，该方法也需要攻击者假定或者防护目标假定。进一步检索中发现，为了改善攻击图生成方法的性能，中国专利申请号200710144693.1，专利名为"一种深度优先的攻击图生成方法"，提出了一种使用prolog结合概率技术生成攻击图的方法。该方法从概率意义上对待生成的攻击图进行了剪枝，从而提高了生成效率。然而，该方法仍然需要攻击者初始状态的假定，因而生成的攻击图仅仅是网络中攻击路径集合的一个子集
发明内容本发明的目的在于针对现有技术的不足，提出一种基于数据挖掘技术的网络权限提升路径的生成方法，用于一次性发现网络中所有潜在可能的权限提升路径，从而更好地进行网络安全加固，实现网络安全管理。本发明是通过以下技术方案实现的，本发明首先进行网络安全漏洞数据预处理，对网络安全漏洞信息进行处理并按照设定的格式存储到数据库，接着进行网络连通性数据管理，以网络连通性矩阵刻画网络连通性，然后对网络安全漏洞数据和网络连通性矩阵进行处理，生成可利用脆弱性集合，最后利用数据挖掘的技术，使用数据库的自连接处理，进一步生成网络权限提升路径集合。本发明包括如下步骤第一步，采用网络漏洞扫描器搜集网络安全漏洞信息，处理后得到给定格式的网络漏洞数据，存入数据库，供后续生成可利用脆弱性集合时调用。通过常见的网络漏洞扫描器，搜集网络内部的安全漏洞，将这些安全漏洞按照{漏洞名称，漏洞利用所须的最低权限，漏洞利用可以获取的最高权限，漏洞所在主机名称}的格式进行组织，并将漏洞数据存入网络安全漏洞库。上述处理过程中，网络中主机权限级别按从高到低共分为四级根权限、普通权限、网络访问权限和禁止访问。根权限是指该主机根用户拥有的权限，普通权限指该主机一般用户的访问权限，网络访问权限指可以网络访问该主机提供服务的权限，禁止访问指不具备任何访问该主机的合法权限。第二步，输入网络连通性信息，将网络连通性信息以网络连通性矩阵的形式存入数据库，供后续生成可利用脆弱性集合时调用。由网络安全管理人员，根据网络安全配置情况，可通过网络连通性分析工具或者手工检查搜集网络连通性数据，并使用网络连通性矩阵进行组织管理。网络连通性数据构成的网络连通性矩阵，矩阵元素值的为"1"则表示对应主机之间网络连通，为"0"则表示主机之间网络不可达。第三步，调用存储在数据库中的网络漏洞数据和网络连通性矩阵，削减漏洞中无法利用的冗余部分，生成并输出网络中真实可利用的脆弱性集合PE。并非目标网络的所有安全漏洞都可以被攻击者利用。主机之间的网络连通性，是基于一台主机利用另一台主机的网络安全漏洞实现权限提升的必要条件安全漏洞利用的必要条件。首先设置可利用脆弱性集合PE为空集，对于网络安全漏洞库中的漏洞数据，进行如下操作如果漏洞的利用所须的最低权限是网络访问权限，检查网络连通性矩阵，若该漏洞所在主机对应矩阵行或列中存在"1"，则将其加入PE;如果漏洞利用所须最低权限是其他级别的权限，则直接加入PE。第四步，根据得到的可利用脆弱性集合PE和网络连通性矩阵，利用数据挖掘的技术，通过数据库的自连接处理，生成并输出网络权限提升路径集合。设网络权限提升路径集合为PG，长度为变量i的权限提升路径集合为PT(i)，i为大于l的自然数。首先设置网络权限提升路径集合PG为空集，设置i=2，此时PT(i)(即PT(2))为空集，对于PE中的漏洞执行下列操作如果漏洞的利用所须的最低权限级别不是网络访问权限，将对应的{漏洞利用所须的最低权限，漏洞利用可以获取的最高权限1加入PT(2);否则检查网络连通性矩阵，若该漏洞所在主机对应矩阵行或列中存在"l"，则将{其所在主机对应连通性主机的普通权限，漏洞利用可以获取的最高权限)加入PT(2)。接下来借鉴关联规则数据挖掘的思想，在PT(2)基础上，将i加1，(此时i=3，同理以后每次连接运算，i都加1)，通过自连接数据库运算得到PT(i)(即PT(3))，在PT(3)的基础上进行通过自连接数据库运算得到PT(4)，以此类推，…直到新得到的PT(i)为空，停止；将所有中间生成的PT的集合取并集即得到网络权限提升路径集合PG。本发明利用了关联规则数据挖掘的原理，设计了一种网络权限提升路径的生成方法，其中，一条权限提升路径可以对应一组攻击路径。传统网络安全检测技术中，对于同一个目标网络，一般需要给予攻击者假定或者目标假定，然后生成特定的攻击路径；本发明可以一次性生成网络中所有的攻击路径，对于同一网络的不同攻击者和目标假定，则可以通过数据库査询来得到权限提升路径。本发明可用于信息系统的网络安全加固，并为网络脆弱性分析与检测、等级保护和风险检测提供辅助手段。图1本发明技术实施的工作流程图2本发明实施例中的网络拓扑结构和安全漏洞图3本发明实施例中处理所得的权限提升路径集合。具体实施例方式下面结合附图对本发明的实施例作详细说明本实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。本实施例基于数据挖掘技术的网络权限提升路径的生成方法的原理如图1所示。首先进行网络安全漏洞数据预处理，对网络安全漏洞信息进行处理并按照设定的格式存储到数据库，接着进行网络连通性数据管理，以网络连通性矩阵刻画网络连通性，然后对网络安全漏洞数据和网络连通性矩阵进行处理，生成可利用脆弱性集合，最后利用数据挖掘的技术，使用数据库的自连接处理，进一步生成网络权限提升路径集合。实施例根据常见的网络应用技术架构，不失一般性，采用图2中所示的网络作为样例。在样例中，应用服务器负责提供企业应用服务，它直接连接数据库服务器，并经路由器和客户端2，客户端l连接；客户端l，代表来自外部客户的访问，客户端2，代表来自内部客户的访问，其中存在的安全漏洞已经分别在图中标明，具体如图2所示；1、网络漏洞数据预处理本步骤输入为网络安全漏洞信息，通过网络漏洞数据预处理，输出为给定格式的网络漏洞数据。具体而言，本例中的网络安全漏洞己经在各自主机上标明，将这些安全漏洞按照{漏洞名称，漏洞利用所须的最低权限，漏洞利用可以获取的最高权限，漏洞所在主机名称}的格式进行组织，并将漏洞数据存入网络安全漏洞库。其中，网络中主机权限级别按从高到低共分为四级根权限、普通权限、网络访问权限和禁止访问。根权限是指该主机根用户拥有的权限，普通权限指该主机一般用户的访问权限，网络访问权限指可以网络访问该主机提供服务的权限，禁止访问指不具备任何访问该主机的合法权限。按上述步骤对本例分析可以得到漏洞数据集合结果如下((Wuftpd，网络访问权限，根权限，客户端2),(LinuxKernelELFCoreDump,普通权限，根权限，客户端2)，(ISS缓冲区溢出，网络访问权限，根权限，应用服务器)，(WindowsPnP本地缓冲区溢出，普通权限,根权限,数据库服务器)}。2、网络连通性管理本步骤输入为网络连通性信息，通过网络连通性管理，输出为网络连通性矩阵。网络连通性数据构成的网络连通性矩阵，矩阵元素值的为"1"则表示对应主机之间网络连通，为"0"则表示主机之间网络不可达。具体而言，本例中，客户端1，客户端2和应用服务器之间通过路由器全互联，应用服务器和数据库服务器之间存在网络连接，故对图例分析可以得到连通性矩阵如下<table>tableseeoriginaldocumentpage8</column></row><table>3、可利用脆弱性集合生成本步骤以上述l、2步骤的输出为输入，经过处理，生成并输出网络中真实可以利用的脆弱性的集合。首先设置可利用脆弱性集合PE为空集，对于网络安全漏洞库中的漏洞数据，进行如下操作如果漏洞的利用所须的最低权限是网络访问权限，检查网络连通性矩阵，若该漏洞所在主机对应矩阵行或列中存在"1"，则将其加入PE;如果漏洞利用所须最低权限是其他级别的权限，则直接加入PE。考察本例中，1步骤所得的所有漏洞均具备可利用条件，所以得到PE如下{(Wuftpd,网络访问权限，根权限，客户端2)，(LinuxKernelELFCoreDump,普通权限，根权限，客户端2)，(ISS缓冲区溢出，网络访问权限，根权限，应用服务器)，(WindowsPnP本地缓冲区溢出，普通权限，根权限，数据库服务器)}。4、网络权限提升路径集合生成本步骤接收可利用脆弱性集合生成的输出结果PE，结合网络连通性矩阵，生成并输出网络权限提升路径集合。设网络权限提升路径集合为PG，长度为变量i的权限提升路径集合为PT(i)，i为大于l的自然数。首先设置网络权限提升路径集合PG为空集，设置i=2，此时PT(i)(即PT(2))为空集，对于PE中的漏洞执行下列操作如果漏洞的利用所须的最低权限级别不是网络访问权限，将对应的(漏洞利用所须的最低权限，漏洞利用可以获取的最高权限1加入PT(2);否则检査网络连通性矩阵，若该漏洞所在主机对应矩阵行或列中存在"1",则将{其所在主机对应连通性主机的普通权限，漏洞利用可以获取的最高权限1加入PT(2)。接下来借鉴关联规则数据挖掘的思想，在PT(2)基础上，将i加1，(此时i=3，同理以后每次连接运算，i都加l)，通过自连接数据库运算得到PT(i)(即PT(3))，在PT(3)的基础上进行通过自连接数据库运算得到PT(4)，以此类推，…直到新得到的PT(i)为空，停止；将所有中间生成的PT的集合取并集即得到网络权限提升路径集合PG。结合本例处理过程中上述l，2，3步骤的输出，运用上述过程处理，最后得到的路径集合如图3。通过图3可以直观发现，数据库服务器虽然存在安全漏洞，但不会被发生网络权限泄露问题；应用服务器则会收到网络攻击的威胁，因而，在安全加固时候应重点注意其安全补丁的及时更新。另外，假定客户端1是攻击者的机器，则其可以渗透客户端2和应用服务器；假定客户端2是攻击者所在的机器，则其可以渗透应用服务器。可见，不同的攻击者假定，其攻击路径可以在路径集合中直接査询得到，不需要重新计算生成。本实施例可以一次性生成网络中所有的攻击路径，对于同一网络的不同攻击者和目标假定，则可以通过数据库査询来得到权限提升路径，从而更好地进行网络安全加固，实现网络安全管理。权利要求1、一种基于数据挖掘技术的网络权限提升路径的生成方法，其特征在于包括如下步骤第一步，采用网络漏洞扫描器搜集网络安全漏洞信息，处理后得到给定格式的网络漏洞数据，存入数据库，供后续生成可利用脆弱性集合时调用；第二步，输入网络连通性信息，将网络连通性信息以网络连通性矩阵的形式存入数据库，供后续生成可利用脆弱性集合时调用；第三步，调用存储在数据库中的网络漏洞数据和网络连通性矩阵，削减漏洞中无法利用的冗余部分，生成并输出网络中真实可利用的脆弱性集合PE；第四步，根据得到的可利用脆弱性集合PE和网络连通性矩阵，利用数据挖掘的技术，通过数据库的自连接处理，生成并输出网络权限提升路径集合。2、根据权利要求1所述的基于数据挖掘技术的网络权限提升路径的生成方法，其特征是，所述第一步中，采用网络漏洞扫描器搜集网络内部的安全漏洞，将这些安全漏洞按照{漏洞名称，漏洞利用所须的最低权限，漏洞利用可以获取的最高权限，漏洞所在主机名称}的格式进行组织，并将漏洞数据存入网络安全漏洞库。3、根据权利要求1所述的基于数据挖掘技术的网络权限提升路径的生成方法，其特征是，所述第一步中，网络中主机权限级别按从高到低共分为四级根权限、普通权限、网络访问权限和禁止访问，其中根权限是指该主机根用户拥有的权限，普通权限指该主机一般用户的访问权限，网络访问权限指能网络访问该主机提供服务的权限，禁止访问指不具备任何访问该主机的合法权限。4、根据权利要求1所述的基于数据挖掘技术的网络权限提升路径的生成方法，其特征是，所述第二步中，根据网络安全配置情况通过网络连通性分析工具或者手工检査搜集网络连通性数据，并使用网络连通性矩阵进行组织管理，网络连通性数据构成的网络连通性矩阵，矩阵元素值的为"1"则表示对应主机之间网络连通，为"0"则表示主机之间网络不可达。5、根据权利要求1所述的基于数据挖掘技术的网络权限提升路径的生成方法，其特征是，所述第三步中，首先设置可利用脆弱性集合PE为空集，对于网络安全漏洞库中的漏洞数据，进行如下操作如果漏洞的利用所须的最低权限是网络访问权限，检查网络连通性矩阵，若该漏洞所在主机对应矩阵行或列中存在"1"，则将其加入可利用脆弱性集合PE;如果漏洞利用所须最低权限是其他级别的权限，则直接加入PE。6、根据权利要求1所述的基于数据挖掘技术的网络权限提升路径的生成方法，其特征是，所述第四步中，对于可利用脆弱性集合PE中的漏洞执行下列操作设网络权限提升路径集合为PG，长度为变量i的权限提升路径集合为PT(i)，i为大于l的自然数；首先设置网络权限提升路径集合PG为空集，设置i=2，此时PT(i)即PT(2)为空集，对于PE中的漏洞执行下列操作如果漏洞的利用所须的最低权限级别不是网络访问权限，将对应的(漏洞利用所须的最低权限，漏洞利用可以获取的最高权限}加入PT(2);否则检查网络连通性矩阵，若该漏洞所在主机对应矩阵行或列中存在"l"，则将(其所在主机对应连通性主机的普通权限，漏洞利用可以获取的最高权限1加入PT(2);接下来在PT(2)基础上，将i加1，此时i=3，同理以后每次连接运算，i都加l，通过自连接数据库运算得到PT(i)即PT(3)，在PT(3)的基础上进行通过自连接数据库运算得到PT(4)，以此类推，…直到新得到的PT(i)为空，停止；将所有中间生成的PT的集合取并集即得到网络权限提升路径集合PG。全文摘要本发明涉及一种网络安全
技术领域：
的基于数据挖掘技术的网络权限提升路径的生成方法。本发明首先进行网络安全漏洞数据预处理，对网络安全漏洞信息进行处理并按照设定的格式存储到数据库，接着进行网络连通性数据管理，以网络连通性矩阵刻画网络连通性，然后对网络安全漏洞数据和网络连通性矩阵进行处理，生成可利用脆弱性集合，最后利用数据挖掘的技术，使用数据库的自连接处理，进一步生成网络权限提升路径集合。本发明用于一次性发现网络中所有潜在可能的权限提升路径集合，从而更好地进行网络安全加固，实现网络安全管理。文档编号H04L12/24GK101442533SQ200810207768公开日2009年5月27日申请日期2008年12月25日优先权日2008年12月25日发明者张保稳,李建华,鹰银申请人:上海交通大学