一种网络安全分析方法、装置、计算机设备及存储介质与流程

1.本发明涉及网络安全领域，特别涉及一种网络安全分析方法、装置、计算机设备及存储介质。


背景技术：

2.在现实场景中，往往一个大型的网络系统中，可能存在多台主机都携带漏洞，漏洞等级也可能或高或低，如果系统面临紧急高危0day漏洞，短时间内难以修复，核心资产又面临巨大威胁，以硬碰硬的方式去抢修高危漏洞不一定是最佳的解决方案，漏洞修复时间过长导致企业损失是存在其可能性的，为了尽可能降低资产损失的风险，一套有效的全局的防御策略也必不可少。
3.当前主流漏洞扫描工具为基于孤立的主机进行漏洞扫描，扫描动作在同一时间往往只是发生在一台主机ip的一个开放的服务端口上，或者一个域名的url上，先进些的工具则会先爬虫尽可能获取后台页面，然后逐个枚举扫描直到结束。更先进些的可以对漏洞进行逐一利用并验证。安全分析人员对于得到的扫描结果进行人工确认以及漏洞验证，然而这种网络安全分析方法无法保证整体网络系统的安全水平。


技术实现要素：

4.基于此，本技术实施例提供了一种网络安全分析方法、装置、计算机设备及存储介质，可以进行网络系统全局修复从而极大地提高网络系统的安全性。
5.第一方面，提供了一种网络安全分析方法，该方法包括：
6.将目标网络系统中的各类网络主体进行扫描得到所述各类网络主体的参数，并对所述各类网络主体的参数进行格式处理得到所述各类网络主体的标准格式文件；所述各类网络主体包括至少一个目标网络主体；
7.根据所述各类网络主体的标准格式文件通过网络拓扑自发现，生成网络拓扑结构图；
8.基于所述网络拓扑结构图生成系统结构图；其中，所述系统结构图包括所述网络拓扑结构图中各类网络主体的依赖关系与路径；
9.根据所述各类网络主体的标准格式文件、所述系统结构图以及预设的脆弱性知识库生成渗透图模型；
10.遍历所述渗透图模型中的所有渗透路径，对于每条渗透路径执行杀伤链流程，确定所述目标网络主体的渗透路径。
11.可选地，所述将目标网络系统中的各类网络主体进行扫描得到所述各类网络主体的参数，包括：
12.对所述目标网络系统中的资产主体、防御主体以及威胁主体进行全方位扫描收集信息，得到各类网络主体的参数。
13.可选地，所述标准格式文件包括：csv、xml或json格式文件。
14.可选地，所述网络拓扑结构图，包括：目标网络系统中的各类网络主体的拓扑结构文件和结构图。
15.可选地，所述根据所述各类网络主体的标准格式文件、所述系统结构图以及预设的脆弱性知识库生成渗透图模型，包括：构建渗透图函数模型，生成所述渗透图函数模型中渗透路径，通过渗透图生成算法nega生成渗透图模型。
16.可选地，所述通过渗透图生成算法nega生成渗透图模型，包括：通过网络渗透图模型简化算法进行简化。
17.可选地，所述杀伤链流程包括：侦察跟踪、武器构建、载荷投递、漏洞利用、安装植入、命令控制、目标达成。
18.第二方面，提供了一种网络安全分析装置，该装置包括：
19.扫描模块，用于将目标网络系统中的各类网络主体进行扫描得到所述各类网络主体的参数，并对所述各类网络主体的参数进行格式处理得到所述各类网络主体的标准格式文件；所述各类网络主体包括至少一个目标网络主体；
20.第一生成模块，用于根据所述各类网络主体的标准格式文件通过网络拓扑自发现，生成网络拓扑结构图；
21.第二生成模块，用于将所述网络拓扑结构图生成系统结构图；其中，所述系统结构图包括所述网络拓扑结构图中各类网络主体的依赖关系与路径；
22.第三生成模块，用于根据所述各类网络主体的标准格式文件、所述系统结构图以及预设的脆弱性知识库生成渗透图模型；
23.确定模块，用于遍历所述渗透图模型中的所有渗透路径，对于每条渗透路径执行杀伤链流程，确定所述目标网络主体的渗透路径。
24.第三方面，提供了一种计算机设备，包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现上述第一方面任一所述的网络安全分析方法。
25.第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述第一方面任一所述的网络安全分析方法。
26.本技术不仅从攻击者到核心资产服务器一整条线上的主机都进行漏洞验证，甚至去挖掘从攻击者到核心资产所有潜在的攻击路径上的主机并进行逐一渗透验证，基于此进行全局修复从而极大地提高网络系统的安全性，可以看出本技术的有益效果包括：
27.1、提高了网络系统的全局安全性；
28.2、强化了网络系统面对紧急高危漏洞的应急响应能力；
29.3、攻击路径不依赖于渗透人员的经验，使渗透工作更加标准化，全面化；
30.4、进一步降低了渗透测试工作的复杂度；
31.5、减少对渗透人员技术或能力的依赖程度。
附图说明
32.图1为本技术实施例提供的一种网络安全分析方法的流程图；
33.图2为本技术实施例提供的流程示意图；
34.图3为本技术实施例提供的图形化的网络渗透图模型；
35.图4为本技术实施例提供的标准的图形化的网络渗透图模型；
36.图5为本技术实施例提供的neg
‑
nsam方法的概念框架；
37.图6为本技术实施例提供的一种网络安全分析装置的框图；
38.图7为本技术实施例提供的一种计算机设备的示意图。
具体实施方式
39.为使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术实施方式作进一步地详细描述。
40.本技术实施例提供的一种网络安全分析方法，基于网络安全分析方法neg
‑
nsam并结合lockheed martin提出的网络安全威胁模型(kill chain
‑
杀伤链模型)的全景杀伤链模型。该模型为一种基于实训攻击的网络分析方法。
41.请参考图1，其示出了本技术实施例提供的一种网络安全分析方法的流程图，图2给出了本技术实施例的具体实施示意图，该方法可以包括以下步骤：
42.步骤101，将目标网络系统中的各类网络主体进行扫描得到各类网络主体的参数，并对各类网络主体的参数进行格式处理得到各类网络主体的标准格式文件。
43.其中，各类网络主体包括至少一个目标网络主体，目标网络主体可以是核心资产服务器或是其他待保护的网络主体。
44.在本技术实施例中，网络系统中的网络主体包括了资产主体、防御主体以及威胁主体，对系统内的所有网络主体进行全局信息参数扫描采集中，扫描技术包括但不限于ping扫射(ping sweep)、操作系统探测(operating system identification)、web 2.0高级爬虫扫描(web 2.0advanced crawler scan)、探测访问控制规则(access control detection)、拓扑结构发现(network topology discovery)、端口扫描(port scan)、弱密码扫描(weakpassword scan)、中间件扫描(midware scan)、web常规漏洞扫描(web commonvulnerability scan)以及cve漏洞扫描(cve vulnerability scan)。之后，将收集到的各类参数进行整理和格式处理，输出成标准的格式例如csv、xml或json文件。
45.步骤102，根据各类网络主体的标准格式文件通过网络拓扑自发现，生成网络拓扑结构图。
46.在本技术实施例中，通过第一模块(步骤102)的网络拓扑自发现，生成对应的拓扑结构文件和结构图。网络拓扑发现的主要目的是获取和维护网络节点的存在信息和他们之间的连接关系，并在此基础上绘制出整个网络拓扑图，方便在拓扑图的基础上对单个节点进行快速定位。目前有多种网络拓扑发现方法，包括基于snmp(简单网络管理协议)的发现方法，访问交换机和路由器等网络设备中的mib库，获取相应信息；基于icmp(internet控制报文协议)的发现方法，利用ping数据包进行拓扑发现。其他方法如基于arp(地址解析协议)，ospf(优先开放最短路径)，lldp(链路层发现协议)等。
47.步骤103，基于网络拓扑结构图生成系统结构图。
48.其中，系统结构图包括网络拓扑结构图中各类网络主体的依赖关系与路径。
49.在本技术实施例中，对拓扑结构图中所有网络主体进行关系依赖分析并抽象出所有从威胁主体到被进攻的资产主体的完整路径，具体为一般用ssh访问另一台机器，或者scp命令从别的机器拷贝数据和文件，都要输入对应账户和密码。其必要性在于如果双方不建立信任关系，那么就无法确认远程host主机的真实性，只知道它的公钥指纹就建立连接
会带来风险，从而隔离所有潜在的恶意访问而只与受信任的远程主机建立链接。所以对于核心资产的服务器，例如dbserver，需要知道与建立信任关系的主机，现实的攻击场景往往都是攻击者无法直接访问目标服务器而是通过其他可渗透的边界服务器再一步步进行深度渗透(deep penetration)从而间接拿下目标服务器，那么基于第二模块的拓扑结构图将会生成结合信任关联的系统结构图。
50.步骤104，根据各类网络主体的标准格式文件、系统结构图以及预设的脆弱性知识库生成渗透图模型。
51.在本技术实施例中，其中预设的脆弱性知识库可以是漏洞规则匹配知识库，其包括了网络主体中的漏洞规则，具体的将处理后的网络参数和漏洞规则匹配知识库作为输入，利用网络渗透图特有的构造算法，生成渗透图模型，最重要的是生成可视化的攻击路径。该模块涉及三个定义：渗透图模型定义，neg
‑
nsam分析方法和渗透图生成算法。网络渗透图模型为neg＝(e,s
p
,s
d
,s
f
,l,ep)，其中，e代表渗透原子集合，其中各个网络主体在网络渗透图中用原子进行表示，s
p
表示初始的网络状态集合，s
d
表示新产生的网络状态集合，s
f
表示渗透目标状态集合，l为标签函数，ep为渗透路径集合。图形化的neg描述了威胁主体到达安全目标所有可能的攻击路径。路径由原子渗透节点构成，也可以被理解成单个可能存在渗透风险的主机。边表示渗透行为的发生和导致网络状态的变化。状态变化例如(网络节点主体访问权限的变化，节点间连接关系的变化，节点主机内文件的变化，节点主机运行状态的变化等)。图3表示含有网络信息和渗透行为的图形化网络渗透图模型。以渗透路径[e0,e1,e2,e
f
]和[e0,e1,e3,e
f
]为例，其中e4即e
f
。
[0052]
然而在neg
‑
nsam中，对于渗透行为和状态的变化不会有上图较为细致化的过程解释，标准的图形化的网络渗透图模型图4所示。该模型将攻击路径进行了抽象。
[0053]
图5给出了neg
‑
nsam方法的概念框架，总结为四大步骤：网络参数抽象，数据预处理，构造渗透图，绘制渗透图。
[0054]
而本发明的全景杀伤链模型在neg
‑
nsam绘制渗透图的核心思想基础上进行了更深层次的技术拓展。下面给出全景杀伤链模型中的全景网络渗透图模型(uneg,universalnetworkexploit graphmodel)。
[0055]
其中全景网络渗透图模型具体定义为：
[0056]
uneg＝(h,s
ini
,s
fin
,s
target
,e,f,u)，其中h代表网络系统中的所有主体集合，包括威胁主体，资产主体，防御主体。s
ini
表示初始的网络状态集合(ip，端口，服务状态，系统运行状态，权限，网络连接信息等)，s
fin
代表经过渗透行为后进入的新的网络状态集合。s
target
代表渗透目标的状态集合，可以理解为最终想要达到的攻击效果。e代表渗透攻击路径集合，f代表攻击路径的具体攻击手段即利用漏洞的具体方法。u代表漏洞联合利用从而产生的渗透后的新的网络状态集合。
[0057]
uneg满足如下属性：
[0058]
(1)forv∈s
ini
,即攻击路径第一个节点的发生前提条件一定存在于初始网络状态集合中。
[0059]
(2)表示目标状态集合一定包含于最后一个节点主体的状态集合。
[0060]
(3)if i≠j,then h
i
≠h
j
，攻击路径中不存在重复的相同的两个网络主体。
[0061]
(4)post(h
i
‑1)∩pre(h
i
)≠φ(2≤i≤n)，表示前一个节点主体的后果集合为后一个节点成功发生渗透行为的充分条件。
[0062]
在另一个可行的实施例中，通过渗透图生成算法nega生成渗透图模型，还包括通过网络渗透图模型简化算法进行简化。
[0063]
渗透图生成算法：nega(network exploitation graph model arithmetic)当初被提出的初衷是为了应对复杂的网络渗透图模型，一旦原子渗透数目激增，网络渗透图模型也将急剧膨胀。但多数应用场景下数目难以达到难以统计的规模，所以算法具体如下，思路简洁明了：
[0064]
其中，网络渗透图模型简化算法的具体实现过程如下：
[0065]
beginproc
[0066]
假设h
n
表示分层渗透图第n层的个体节点集，c
n
表示第n层的系统状态。
[0067][0068]
步骤105，遍历渗透图模型中的所有渗透路径，对于每条渗透路径执行杀伤链流程，确定目标网络主体的渗透路径。
[0069]
在本技术的实施例中，渗透图模型可能包含多条渗透路径，针对每条渗透攻击路径执行完整的杀伤链流程，即遍历渗透图模型中的所有渗透路径，对于每条渗透路径执行杀伤链流程，具体包括了：
[0070]
侦察跟踪(第一模块采集的网络参数利用)、武器构建、载荷投递、漏洞利用、安装
植入、命令控制、目标达成，具体为一条攻击路径包含多个包含多个网络节点主体，而且每条攻击路径一定是从威胁主体开始到目标主体结束。那么这就意味着从第二个节点主体开始至目标主体结束，每个节点都包含至少一个漏洞可被利用，并且该可被利用的漏洞将会导致当前节点产生新的网络状态并进入下一个节点。与第四模块生成攻击路径不同的是，在该环节，漏洞将不再仅仅基于理论漏洞知识库，而是针对攻击路径上的每个节点进行真实有效的渗透攻击，从而验证渗透图模型中所有潜在攻击路径是否都真实有效，过滤掉无法实现的路径。并且将多漏洞联合利用的攻击路径进行特殊处理，采取手工验证的方式增强可信度。
[0071]
其中，杀伤链具体执行的步骤为：侦察跟踪或主机信息收集(直接使用第一模块收集的数据)；武器构建，依据漏洞的特征匹配规则，对当前的节点主体构造特定的payload；载荷投递，将恶意payload投放进当前节点；漏洞利用，在当前受害节点上运行利用的恶意代码；安装植入，再借点目标位置安装恶意软件；命令控制，为攻击者建立可持续远程控制目标系统的路径；目标达成，攻击者远程完成其预期的攻击效果。杀伤链逻辑将会被重复执行直到攻击路径最后的目标节点结束。
[0072]
在执行完杀伤链流程后，需要对关键威胁主体进行定位，即确定目标网络主体的渗透路径，
[0073]
对渗透图进行路径分析，定位最为关键的核心威胁节点，例如进行最少最易修复的漏洞进行修复便可切断所有前后渗透攻击路径的节点，定位方法在技术说明环节有详解，从多个维度进行关键点的评估和定义。具体思路为由结点贡献的连接度决定。不同于网络拓扑图，渗透图中的结点既代表对某一漏洞的调用，更包含了其在渗透路径中的因果信息。节点为其所有子节点的因，也是任意父节点的果。一旦此节点依赖的漏洞被彻底修复，由父节点流向子节点的因果链接便会断开，所有包含这一因果关系的渗透攻击路径便完全失效。在拥有一张完善的渗透图的前提下，理想的漏洞修复方案是通过修复最少的漏洞，移除最少的节点，仍然能斩断所有渗透攻击路径。为了这一目的，本发明提出如下修复算法。该算法进行多次遍历渗透图，找到承载最多渗透攻击路径的结点，将其移除并重复整个过程，知道渗透路径数目降至0。这样的贪婪算法在渗透图中为最优解，因为移除某一结点后对攻击路径数量的减少是单调递减的。
[0074]
其中，漏洞修复优先度排行具体实现程序如下：
[0075][0076]
请参考图6，其示出了本技术实施例提供的一种网络安全分析装置600的框图。如图6所示，该装置600可以包括：扫描模块601、第一生成模块602、第二生成模块603、第三生成模块604以及确定模块605。
[0077]
扫描模块601，用于将目标网络系统中的各类网络主体进行扫描得到各类网络主体的参数，并对各类网络主体的参数进行格式处理得到各类网络主体的标准格式文件；各类网络主体包括至少一个目标网络主体；
[0078]
第一生成模块602，用于根据各类网络主体的标准格式文件通过网络拓扑自发现，生成网络拓扑结构图；
[0079]
第二生成模块603，用于将网络拓扑结构图生成系统结构图；其中，系统结构图包括网络拓扑结构图中各类网络主体的依赖关系与路径；
[0080]
第三生成模块604，用于根据各类网络主体的标准格式文件、系统结构图以及预设的脆弱性知识库生成渗透图模型；
[0081]
确定模块605，用于遍历渗透图模型中的所有渗透路径，对于每条渗透路径执行杀伤链流程，确定目标网络主体的渗透路径。
[0082]
关于网络安全分析装置的具体限定可以参见上文中对于网络安全分析方法的限定，在此不再赘述。上述网络安全分析装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以
以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0083]
在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、显示屏和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境，该显示屏用于显示渗透图模型的渗透路径。该计算机设备的数据库用于网络安全分析数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络安全分析方法。
[0084]
本领域技术人员可以理解，如图7中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0085]
在本技术的一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述网络安全分析方法的步骤。
[0086]
本实施例提供的计算机可读存储介质，其实现原理和技术效果与上述方法实施例类似，在此不再赘述。
[0087]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以m种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(symchlimk)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
[0088]
以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0089]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。