基于图数据库生成红蓝对抗攻击演习方案的方法及系统

技术领域

本发明属于网络信息安全技术领域，具体涉及基于图数据库生成红蓝对抗攻击演习方案的方法及系统。

背景技术

红蓝对抗是网络安全演习中，将安全人员和企业分为红队攻击方和蓝队防守方进行攻防演练的一种演习模式。其中，红队攻击方旨在实现全场景、多层次的攻击模拟，来衡量企业人员、网络、应用、物理安全控制和防护体系在面对真实攻击时的防御水平，并拓宽防守方的视野。

但是目前大多数红队攻击方仍无法实现全场景、多层次的攻击模拟，这是因为在目前主要的攻击演习方案中，红队攻击方往往依赖资深攻击人员的经验，基于企业提供的一个域名或IP就开始逐步的扫描和入侵。

但是这种方式并不适合所有的中小型企业。主要有两点原因：1、这种攻击演习方案要求红队攻击人员的技术能力要足够强和全面，而目前在攻击方面能力足够强和全面的安全人才比较少，大多数都被大型企业所持有。2、中小型企业的网络资产和系统并没有那么的庞大复杂，置于公网中如同溪流入海，很难发掘利用，无形中增加了红队攻击方的攻击难度，致使攻击方无法进行有效的攻击，也就不能有效的进行自身检测和响应攻击的能力，反而容易造成自身安全成熟度很高的假象。

发明内容

针对现有技术中的缺陷，本发明提供一种基于图数据库生成红蓝对抗攻击演习方案的方法及系统，满足中小企业快速全面地检测自身和响应攻击的能力的需求。

第一方面，一种基于图数据库生成红蓝对抗攻击演习方案的方法，包括以下步骤：

获取企业录入的脆弱性数据；

利用图数据库和脆弱性数据构建资产漏洞关联图模型；

计算垂直入侵路径和横向移动路径，在资产漏洞关联图模型中增加垂直入侵路径和横向移动路径；

计算漏洞类型广度；

根据漏洞类型广度、增加垂直入侵路径和横向移动路径后的资产漏洞关联图模型生成演习方案。

优选地，所述脆弱性数据包括：

物理网络结构拓扑、虚拟网络结构拓扑、所有主机和端口服务的分布情况和/或存在的漏洞数据；

其中主机和端口服务均提供欺骗防御服务和/或正常业务服务。

优选地，所述利用图数据库和脆弱性数据构建资产漏洞关联图模型具体包括：

根据所述物理网络结构拓扑和/或虚拟网络结构拓扑得到网络域、防火墙规则或隔离区；

根据所述漏洞数据得到漏洞；

将网络域、防火墙规则或隔离区，主机，端口服务和/或漏洞抽象成点；将主机与网络域、防火墙规则或隔离区的归属关系，端口服务间的依赖关系，端口服务与主机的归属关系，和/或漏洞与端口服务的依赖关系抽象成边；构建所述资产漏洞关联图模型。

优选地，所述点包括：代表主机的第一结点，代表端口服务的第二结点，代表网络域、防火墙规则或隔离区的第三结点和/或代表漏洞的第四结点；

所述边包括：

第一结点和第三结点之间，关系为主机属于网络域、防火墙规则或隔离区的第一边；

第一结点和第二结点之间，关系为主机开放了端口服务的第二边；

第二结点和第四结点之间，关系为端口服务上有漏洞的第三边；

和/或第二结点和第二结点之间，关系为一端口服务依赖于另一端口服务的第四边。

优选地，所述垂直入侵路径包括：

第一结点和第三结点之间，关系为主机是网络域、防火墙规则或隔离区利用进行垂直入侵的跳板的第五边；

和/或第一结点和第三结点之间，关系为主机被网络域、防火墙规则或隔离区利用入侵了其他网络域、防火墙规则或隔离区的第六边。

优选地，所述垂直入侵路径的计算规则包括：

主机同时属于两个不同的网络域、防火墙规则或隔离区。

优选地，所述横向移动路径包括：

第一结点和第四结点之间，关系为漏洞是主机利用影响或入侵同一网络域、防火墙规则或隔离区下主机的第七边；

第一结点和第四结点之间，关系为漏洞被主机利用入侵了其他主机的第八边；

和/或第一结点和第四结点之间，关系为漏洞被主机利用影响了其他主机的第九边。

优选地，所述横向移动路径的计算规则包括：

垂直入侵的网络域、防火墙规则或隔离区下存在有漏洞的主机，且根据漏洞的类型判断该漏洞影响或入侵了其他主机。

优选地，所述计算漏洞类型广度具体包括

利用图数据引擎统计所述资产漏洞关联图模型中所有利用到的漏洞的类型数量，以得到所述漏洞类型广度。

第二方面，一种基于图数据库生成红蓝对抗攻击演习方案的系统，包括：

采集单元：用于获取企业录入的脆弱性数据；

模型构建单元：用于利用图数据库和脆弱性数据构建资产漏洞关联图模型；计算垂直入侵路径和横向移动路径，在资产漏洞关联图模型中增加垂直入侵路径和横向移动路径；计算漏洞类型广度；

方案生成单元：用于根据漏洞类型广度、增加垂直入侵路径和横向移动路径后的资产漏洞关联图模型生成演习方案。

由上述技术方案可知，本发明提供的基于图数据库生成红蓝对抗攻击演习方案的方法及系统，通过企业提供的包含欺骗防御的脆弱性数据，结合图数据库技术生成覆盖面全，影响范围广的攻击演习方案，解决传统攻击演习方案无法满足中小企业快速全面地进行自身检测和响应攻击的能力的需求。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。

图1为本发明实施例一提供的方法流程图。

图2为本发明实施例二构建的资产漏洞关联图模型的示意图。

图3为本发明实施例三添加完垂直入侵路径后模型的示意图。

图4为本发明实施例三垂直入侵路径的示意图。

图5为本发明实施例三添加完横向移动路径后模型的示意图。

图6为本发明实施例三横向移动路径的示意图。

图7为本发明实施例三漏洞种类的示意图。

具体实施方式

下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案，因此只作为示例，而不能以此来限制本发明的保护范围。需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

实施例一：

一种基于图数据库生成红蓝对抗攻击演习方案的方法，参见图1，包括以下步骤：

获取企业录入的脆弱性数据；

利用图数据库和脆弱性数据构建资产漏洞关联图模型；

计算垂直入侵路径和横向移动路径，在资产漏洞关联图模型中增加垂直入侵路径和横向移动路径；

计算漏洞类型广度；

根据漏洞类型广度、增加垂直入侵路径和横向移动路径后的资产漏洞关联图模型生成演习方案。

具体地，该方法得到的演习方案包含了所有可利垂直关系、以及所有可利用的横向漏洞，最大程度上包含了企业各方各面的安全，有效检测到企业安全中的所有角落，并通过垂直入侵深度、横向移动影响宽度和漏洞类型广度三个数据来度量最终生成的演习方案的覆盖面程度。在生成演习方案的过程中，也可以剔除掉对重要服务造成重大伤害的攻击路径或方案。

图数据库是一种非关系型数据库，它应用了图理论存储实体之间的关系信息，最常见的是社会网络中人与人之间的关系。关系型数据库用于存储“关系型”数据的效果并不好，存在查询复杂、缓慢、超出预期等缺陷。而图数据库的独特设计恰恰弥补了这个缺陷。并且大多数的图数据库基于自身存储结构实现了很多高效的图算法。所以使用图数据库时可以不在意图算法的具体实现，只需要知道算法计算的效果。

该方法将一个企业的所有脆弱性数据导入图数据库中，利用图数据库的特性可以推演出深度比较深的可行垂直攻击方案，利用图数据库的路径拓展算法可以检索出垂直攻击过程中进行横向移动的所有可能性，根据图数据库的关联功能关联资产，检测攻击过程中的受影响资产的范围和涉及漏洞的类型，结合图数据库技术生成覆盖面全，影响范围广的攻击演习方案，解决传统攻击演习方案无法满足中小企业快速全面地进行自身检测和响应攻击的能力的需求。

实施例二：

实施例二在实施例一的基础上，限定了脆弱性数据的处理方法。

所述脆弱性数据包括：

物理网络结构拓扑、虚拟网络结构拓扑、所有主机和端口服务的分布情况和/或存在的漏洞数据；

其中主机和端口服务均提供欺骗防御服务和/或正常业务服务。

具体地，企业所提供脆弱性数据中，无需将欺骗防御服务与正常服务进行区分，应当同时提供欺骗防御服务和正常业务服务。这是因为欺骗防御服务是企业防御和攻击检测能力的主要体现。该方法将欺骗防御服务当成正常服务一起提供，可以保证欺骗防御能力的存在，很好的测试攻击方对欺骗防御服务的识别和检测企业欺骗能力。

优选地，所述利用图数据库和脆弱性数据构建资产漏洞关联图模型具体包括：

根据所述物理网络结构拓扑和/或虚拟网络结构拓扑得到网络域、防火墙规则或隔离区；

根据所述漏洞数据得到漏洞；

将网络域、防火墙规则或隔离区，主机，端口服务和/或漏洞抽象成点；将主机与网络域、防火墙规则或隔离区的归属关系，端口服务间的依赖关系，端口服务与主机的归属关系，和/或漏洞与端口服务的依赖关系抽象成边；构建所述资产漏洞关联图模型。

具体地，构建的资产漏洞关联图模型如图2所示。其中所述点包括：代表主机的第一结点host，代表端口服务的第二结点port，代表网络域、防火墙规则或隔离区的第三结点topo和/或代表漏洞的第四结点vul。其中第一结点host包含主机名、系统信息等属性；第二结点port包含端口号、协议类型和具体服务等属性；第三结点topo包含名称、网段和规则等属性；第四结点vul包含漏洞名称、漏洞类型、漏洞等级和漏洞描述等属性。

所述边包括：第一结点和第三结点之间，关系为主机属于网络域、防火墙规则或隔离区的第一边memberOf；第一结点和第二结点之间，关系为主机开放了端口服务的第二边open；第二结点和第四结点之间，关系为端口服务上有漏洞的第三边has；和/或第二结点和第二结点之间，关系为一端口服务依赖于另一端口服务的第四边depend。其中第一边memberOf包含IP属性；第二边open、第三边has和第四边depend都无属性。

然后利用python语言整理出点数据和边数据导入模型，即可生成实际的资产漏洞关联图。

本发明实施例所提供的方法，为简要描述，实施例部分未提及之处，可参考前述实施例中相应内容。

实施例三：

实施例三在上述实施例的基础上，限定了结合图数据库技术攻击演习方案的生成方法。

1、所述垂直入侵路径包括：

第一结点和第三结点之间，关系为主机是网络域、防火墙规则或隔离区利用进行垂直入侵的跳板的第五边；

和/或第一结点和第三结点之间，关系为主机被网络域、防火墙规则或隔离区利用入侵了其他网络域、防火墙规则或隔离区的第六边。

优选地，所述垂直入侵路径的计算规则包括：

主机同时属于两个不同的网络域、防火墙规则或隔离区。

具体地，攻击方进行垂直入侵时一般都是利用同时属于内网和外网的主机作为跳板进行内网入侵的。通过资产漏洞关联图模型中增加第一结点host和第三结点topo之间增加两条关系来实现垂直攻击路径的预演，添加完后的模型参见图3。其中，新增的第五边through表示的是某个主机是某个域、防火墙规则或隔离区可以利用进行垂直入侵的跳板；第六边intrude表示某个主机被某个域、防火墙规则或隔离区利用入侵了其他某个域、防火墙规则或隔离区。

第五边through和第六边intrude的发现规则为该主机属于该域、防火墙规则或隔离区的同时，也属于其他域、防火墙规则或隔离区，具体参见图4。图4中，t加数字代表一个域、防火墙规则或隔离区，h加数字代表一个主机。图4利用图数据库的路径拓展算法接口得到垂直入侵路径为3条，分别为t1->h2->t2->h3->t3，t1->h2->t2->h4->t3和t1->h2->t2->h5->t4。其中最深深度为3。垂直入侵路径的发现没有对漏洞进行关联，主要原因是实际应用中，不管跳板主机上有没有漏洞存在，要实现内网入侵就必须对跳板主机进行渗透。

2、所述横向移动路径包括：

第一结点和第四结点之间，关系为漏洞是主机利用影响或入侵同一网络域、防火墙规则或隔离区下主机的第七边；

第一结点和第四结点之间，关系为漏洞被主机利用入侵了其他主机的第八边；

和/或第一结点和第四结点之间，关系为漏洞被主机利用影响了其他主机的第九边。

优选地，所述横向移动路径的计算规则包括：

垂直入侵的网络域、防火墙规则或隔离区下存在有漏洞的主机，且根据漏洞的类型判断该漏洞影响或入侵了其他主机。

具体地，当一个内网被入侵时，该内网的所有主机基本都会受到影响，因为不管内网中的某台主机有没有存在漏洞，攻击者都可以在内网中利用一些类似ARP欺骗之类的有效攻击方式影响这个主机的正常运行。所以该方法通过对内网中存在漏洞的主机进行关联分析，通过重新构建模型增加关系来进行呈现。

参见图5，该方法在漏洞和主机间增加了第八边intrude、第七边through和第九边influence三条关系。新增的第七边through表示的是某个漏洞是某个主机可以利用去影响或者入侵其他同域下的主机的关系，第八边intrude表示某个漏洞被某个主机利用入侵了其他某个主机，第九边influence表示某个漏洞被某个主机利用影响了其他某个主机。

第八边intrude、第七边through和第九边influence的发现规则为垂直入侵所在域、防火墙规则或隔离区下存在有漏洞的主机，根据漏洞的类型判断该漏洞是影响还是入侵其所在主机，参见图6。

图6中，可被漏洞影响主机有h1和h4，可被入侵的主机有h3，被影响服务有4个，其中h5的80端口上的服务依赖于h4的3306上的端口服务，故而也受到了影响，即最终横向移动路径的影响宽度为受影响服务数，即4。

3、所述计算漏洞类型广度具体包括

利用图数据引擎统计所述资产漏洞关联图模型中所有利用到的漏洞的类型数量，以得到所述漏洞类型广度。

具体地，利用tigergraph图数据引擎的累加器计算漏洞利用过程中所涉及的漏洞类型，即为所需的涉及漏洞类型广度，参见图7，图7中所涉及的漏洞种类有三种：敏感信息泄露(目录信息泄露漏洞)，远程代码执行(weblogic远程代码执行漏洞)和弱口令(数据库弱口令漏洞)。故其涉及漏洞类型广度为3。

本发明实施例所提供的方法，为简要描述，实施例部分未提及之处，可参考前述实施例中相应内容。

实施例四：

一种基于图数据库生成红蓝对抗攻击演习方案的系统，包括：

采集单元：用于获取企业录入的脆弱性数据；

模型构建单元：用于根据脆弱性数据构建资产漏洞关联图模型；计算垂直入侵路径和横向移动路径，在资产漏洞关联图模型中增加垂直入侵路径和横向移动路径；计算漏洞类型广度；

方案生成单元：用于根据漏洞类型广度、增加垂直入侵路径和横向移动路径后的资产漏洞关联图模型生成演习方案。

在本实施例中，应该理解到，所揭露的系统，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本发明实施例所提供的系统，为简要描述，实施例部分未提及之处，可参考前述实施例中相应内容。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。