专利 攻击路径动态生成方法、装置、电子设备

(19)国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202210925910.5 (22)申请日 2022.08.03 (71)申请人中国电子科技集团公司信息科学研究院地址 100041 北京市石景山区实兴大街金府路30号院4号楼 (72)发明人徐桂忠　方赴洋　张峰　司睿　 (74)专利代理机构北京中知法苑知识产权代理有限公司 1 1226 专利代理师景艳伟 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称攻击路径动态生成方法、装置、电子设备 (57)摘要本发明提供一种攻击路径动态生成方法、装置、电子设备，属于网络安全技术领域。本发明方法包括：确定攻击组件；对攻击组件执行资源探测、漏洞检测以及风险利用的攻击过程，提取相应攻击过程下的攻击原子，并进行迭代攻击；基于迭代攻击，利用原子组合策略对攻击原子进行关联组合，以匹配出攻击行为列表；将攻击行为列表与预设攻击链进行关联，以生成攻击路径。基于不同攻击原子共现关系挖掘有效的组合模式，对不同的攻击原子关联组合匹配出攻击行为列表，基于攻击迭代技术实现不同攻击实体的动态调度，对智能决策系统迭代反馈渗透过程中的各类信息，基于攻击路径生成技术对攻击路径实时动态规划，构建多类型、不限深度的攻击路径集。权利要求书2页说明书7页附图2页 CN 115296896 A 2022.11.04 CN 115296896 A 1.一种攻击路径动态生成方法，其特征在于，包括下述步骤：确定攻击组件；对所述攻击组件执行资源探测、漏洞检测以及风险利用的攻击过程，提取相应攻击过程下的攻击原子，并进行迭代攻击；基于所述迭代攻击，利用原子组合策略对所述攻击原子进行关联组合，以匹配出攻击行为列表；将所述攻击行为列表与预设攻击链进行关联，以生成攻击路径。 2.根据权利要求1所述的方法，其特征在于，所述原子组合策略，包括：从预设缓冲队列中获取攻击原子，利用Fpgrowth算法进行所述攻击原子的频繁模式挖掘；根据置信度选择高于置信度阈值的所述攻击原子的频繁模式；将生成的频繁模式加入所述攻击原子组合策略。 3.根据权利要求1所述的方法，其特征在于，所述利用Fpgrowth算法进行所述攻击原子的频繁模式挖掘，包括：扫描所述攻击原子数据集，找出满足最小支持度的频繁攻击原子；根据支持度对所述频繁攻击原子降序排列；再次扫描所述攻击原子数据集，以所述频繁攻击原子为节点，共现为边构建FPTre e；对于每一个所述攻击原子项获得其为后缀的路径集合，删除不满足支持度的所述攻击原子。 4.根据权利要求1至3任一项所述的方法，其特征在于，所述将所述攻击行为列表与预设攻击链进行关联，以生成攻击路径，包括：将攻击行为列表所代表的攻击节点与之前系统中产生的攻击链上的其他节点关联，以生成攻击路径集。 5.根据权利要求4所述的方法，其特征在于，所述攻击路径生成过程中，使用 prefixspan 算法对不同攻击原子序列统计，具体包括：对不同攻击原子序列中的所有攻击原子计数，去掉不满足支持度的攻击原子；从长度为1的前缀开始挖掘序列模式，递归的挖掘长度为2的前缀所对应的频繁序列，一直递归至不能挖掘到更长的前缀挖掘为止。 6.根据权利要求5所述的方法，其特征在于，所述攻击原子的序列关系是攻击行为发生前后攻击状态中已存在的攻击原子集合和攻击后新增加的攻击原子集合之间关系。 7.根据权利要求1至3任一项所述的方法，其特征在于，所述攻击原子包括资源原子、漏洞原子以及利用原子。 8.根据权利要求1至3任一项所述的方法，其特征在于，采用订阅规则将所述攻击组件与攻击行为相对应，以匹配出攻击行为列表。 9.一种攻击路径动态生成装置，其特征在于，包括确定模块、提取模块、匹配模块以及生成模块；其中，所述确定模块，用于确定攻击组件；所述提取模块，用于对所述攻击组件执行资源探测、漏洞检测以及风险利用的攻击过程，提取相应攻击过程下的攻击原子，并进行迭代攻击；权　利　要　求　书 1/2 页 2 CN 115296896 A 2所述匹配模块，用于基于所述迭代攻击，利用原子组合策略对所述攻击原子进行关联组合，以匹配出攻击行为列表；所述生成模块，用于将所述攻击行为列表与预设攻击链进行关联，以生成攻击路径。 10.一种电子设备，其特征在于，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1至8中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115296896 A 3

专利 攻击路径动态生成方法、装置、电子设备

专利攻击路径动态生成方法、装置、电子设备