技术领域本发明涉及网络安全,特别涉及一种网络攻击路径的分析方法。
背景技术:
随着网络在日常生产及生活中的大量应用,网络安全问题日益凸显并对网络用户造成很大的困扰。尤其是在例如工业控制领域这样的特殊应用领域中,随着工业控制自动化进程的深入,工业控制网络与外部互联网或企业办公网络的信息交互日趋频繁,使得工业控制网络不断面临着来自外部互联网的恶意攻击和内部人员的误操作等威胁。因为早期工控设备使用环境相对封闭,所以工业控制系统在开发时往往更重视功能的实现,而缺少对工控网络自身安全的关注,这也导致工业控制系统中存在不可避免的安全缺陷。在复杂的网络中寻找到可能的攻击路径是评估网络安全性的重要因素,也是修补网络漏洞和缺陷的重要前提,找到一种可靠、全面的自动的搜索攻击路径的方法是目前急需解决的问题。对于复杂的网络连接和庞大的漏洞特征库,可能的攻击路径搜索空间呈现爆炸式的增长,目前通过人工搜寻分析的方式主观性强,成本高,时间长,并且难以找到一些隐蔽的可能攻击路径。
技术实现要素:
为解决上述现有技术中存在的问题,本发明提出了一种与现有人工搜寻分析技术相比更全面更客观的网络攻击路径的分析方法。本发明假定攻击者已经占领了攻击界面中的每一个节点,由于攻击者对于网络拓扑图是未知的,因此,当攻击每进行一步,攻击者会扫描与当前占领节点逻辑连通的每一个节点,以及这些节点的可能漏洞。攻击者发起攻击需要满足3个条件:a.逻辑连通,即1)路由器:所有数据包均可在物理联通的两个节点间通讯2)保护设备:数据包仅可在其配置允许通过的名单中,并且物理联通的两个节点间通讯;b.前一个直接连通的节点状态必须满足下一节点漏洞可攻击的前提条件;c)当攻击穿过防火墙时,攻击利用的漏洞必须不被防火墙阻断,即不在防火墙的特征名单中。攻击者将遍历这些联通节点以及每个节点上的漏洞,并尝试利用这些漏洞发起攻击,一旦攻击条件具备(参照漏洞库属性),则认为下一节点被攻占,此节点的状态改变为攻击后的状态。以此节点为攻击源,进行深度或者广度优先搜索,重复过程1~4,如果能够达到目标节点,记录攻击过程,作为一条攻击路径输出。重复以上过程,进行深度优先搜索,最终遍历所有路径,输出达到攻击目标的所有路径。本发明所采用的技术方案如下:一种网络攻击路径的分析方法,包括以下步骤:步骤一:输入需要分析的网络的网络拓扑图,给出所述网络中的网络节点的漏洞库以及防火墙的配置;步骤二:根据输入的网络拓扑图确定与网络结构中的一个节点的逻辑连通的n个节点;步骤三:对与一个节点连通的n个节点中的所有节点的漏洞进行攻击,满足攻击条件,则认为该节点被攻占,所述节点的状态改变为攻击后的状态;步骤四:以步骤三中被攻占的节点为攻击源,进行广度和/或深度优先搜索,重复步骤三,到达所选定的目标节点则记录攻击过程;步骤五:重复上述步骤三到四直至遍历从所述攻击源的节点到目标节点的所有攻击路径,记录并输出所有攻击路径。进一步地,所述步骤一中的防火墙配置包括详细的通过规则以及所部属的特征。进一步地,所述网络节点包括用户设备、保护设备以及连接设备。本发明所产生的有益效果在于:本发明基于网络拓扑和每个设备节点信息,通过用户定义或自动设定的攻击界面和攻击目标,并参考网络拓扑中保护设备的配置进而分析发现设备节点之间的连通性,通过广度搜索自动发现从攻击界面到攻击目标的所有可能的攻击路径集合。同时考虑到攻击者的攻击方法和设备间的相互逻辑,以及模拟通信在防火墙的通信过程,自动找出所有可能性的攻击路径,并给出每一步攻击的详细描述。对比现有的网络攻击路径分析方法,本发明具有全面、客观、便于在大规模复杂网络中应用等优点。附图说明图1为使用本发明的网络攻击路径的分析方法进行分析的网络结构的连接拓扑图;图2为使用本发明的网络攻击路径的分析方法进行分析的网络结构的网络攻击路径图。具体实施方式以下以工业控制网络为例对本发明进行详细阐述,应当注意的是,下列实施例仅用于对本发明进行说明而非作为对本发明的限制。本发明的网络攻击路径的分析方法除了可以应用在工业控制网络中,还可以用于任何其他的分布式网络。如图1所示的网络连接拓扑图,办公电脑1通过路由器与第一工作站2连通,第二工作站3与可编程逻辑控制器(PLC)4通过路由器连通,两个路由器之间设置防火墙5。基于上述的网络拓扑图,我们可以看到网络设备可以分为以下类别:用户设备,包括办公电脑1、第一工作站2、第二工作站3、PLC4;保护设备,防火墙5;连接设备,路由器。每个节点设备的已知漏洞库如表1所示。表1漏洞库中的漏洞描述表其中防火墙5的安全规则配置如表2所示:表2防火墙安全规则配置表防火墙5的特征配置表如表3所示:表3防火墙特征配置表网络节点设备的漏洞特征信息如表4所示:表4设备漏洞特征信息表如图2所示,假定攻击界面为办公电脑1,攻击目标为PLC4。所有输入参数参照之前的表格。则可以看到在图2中以虚线所示的攻击路径A:1.攻击者以办公电脑1为攻击起点,已获得其admin权限。2.根据防火墙5的规则,办公电脑1可以与第二工作站3通信,攻击者利用第二工作站3的漏洞CVE-2014-8923从办公电脑1攻击到第二工作站3并获取其Admin权限,而防火墙5并没有将CVE-2014-8923列入黑名单,因此攻击可行。3.而第二工作站3可以与PLC4通过路由器进行通讯,攻击者利用PLC4的CVE-2014-0147漏洞获得PLC4的Admin权限,从而达到攻击目标。4.攻击路径为:办公电脑(攻击界面)->利用CVE-2014-8923获得工作站2的User权限->利用CVE-2014-0147漏洞获得PLC的Admin权限。另一条可能的攻击路径,攻击路径B,在图2中以实线表示:1.攻击者以办公电脑1为攻击起点,已获得其admin权限。2.办公电脑1可以与第一工作站2通过路由器通讯,攻击者利用第一工作站2的CVE-2014-4701漏洞获得第一工作站2的Admin权限。3.根据防火墙5的规则,第一工作站2可以与第二工作站3通信,攻击者利用第二工作站3的漏洞CVE-2014-8923从第一工作站2攻击到第二工作站3并获取其Admin权限,而防火墙5并没有将CVE-2014-8923列入黑名单,因此攻击可行。4.而第二工作站3可以与PLC4通过路由器进行通讯,攻击者利用PLC4的CVE-2014-0147漏洞获得PLC4的Admin权限,从而达到攻击目标。5.攻击路径为:办公电脑1(攻击界面)->利用CVE-2014-4701获得第一工作站2的Admin权限->利用CVE-2014-8923获得第二工作站3的User权限->利用CVE-2014-0147漏洞获得PLC4的Admin权限。以上所述实施例仅表达了本发明的实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。