[发明专利]基于攻击者攻击策略生成的自动威胁检测方法

说明书

本发明公开了基于攻击者攻击策略生成的自动威胁检测方法，通过分析目前针对复杂、多阶段网络攻击检测方法的不足，提出了一种基于攻击者意图的攻击模型和攻击者意图的精化框架，将场景数据通过攻击模型和精化框架进行精化分解并用形式化语言表示来完成软件应用系统威胁的自动化检测。该方法应用于实际案例检测中表现出准确性和合理性，成功的检测出实际系统场景中的潜在威胁，并且将检测出的威胁根据CAPEC库的威胁分类做出针对性的防御策略，为软件应用系统的网络安全防御提供了帮助。

技术领域

本发明涉及计算机软件工程网络安全分析技术领域，涉及一种基于攻击者的攻击策略生成自动检测网络攻击威胁的方法。

背景技术

软件应用系统是由计算机硬件、软件、以及网络等组成的系统，广泛应用于企业、医疗、银行等与人们日常生活息息相关的领域。但由于受各种条件的限制，软件系统在最初设计时无法充分考虑到所有可能存在网络安全隐患，同时由于软件系统变得越来越复杂，因此目前的软件应用系统一般都存在许多漏洞。另外，随着网络入侵手段的不断演化、黑客技术不断更新，导致通过网络攻击软件应用系统的行为也变得复杂多样，这使得一些重要信息被泄露甚至篡改，对个人、企业、甚至国家都造成巨大的破坏。因此，如果如何有效地检测软件系统潜在的安全风险并有针对性地对网络攻击做出防御，保证软件系统的安全运行是学术界和工业界都在积极研究的重要课题。

随着现代信息技术的发展,一些网络攻击变得复杂、多阶段化，一些传统的入侵检测方法不适用于现如今的软件系统。目前对网络攻击进行检测方面的研究主要是通过对网络攻击行为进行建模来实现的。网络攻击行为建模的主要方法有攻击描述语言、攻击树、攻击图和攻击网等方法，其中主流的方法是攻击树建模。攻击树建模方法是利用树型结构来表示攻击行为及步骤之间的相互依赖关系，用以对系统的安全威胁进行建模分析。攻击树建模方法的优点在于直观、易理解，有助于图形化描述攻击，因此攻击树在攻击检测、攻击建模、攻击构造、风险评估等方面得到了广泛应用。但是随着信息技术的不断发展，网络攻击手段不断更新，攻击越发复杂且呈现多阶段化，此时攻击树模型在表示复杂的多阶段网络攻击时存在对攻击行为、攻击过程、攻击结果没有区分、不易理解，对多阶段攻击缺少关联等方面的不足，同时攻击树无法实现以攻击者视角来模拟网络入侵的自动化检测。

为了实现基于攻击者视角的软件系统的潜在威胁检测，及时进行针对性的防御，从而尽可能的减少各类损失，有必要对软件应用系统的场景和攻击者的意图进行建模分析，并利用形式化规则完成自动化检测。基于这一目标，本发明提出了一种基于攻击者的攻击策略实现软件系统威胁自动化检测的方法。

发明内容

本发明包含两个部分：

第一项发明内容是提出一种基于攻击者攻击策略的软件系统威胁自动化检测方法，通过从攻击者视角分析攻击者的攻击意图，抽象出了一种基于攻击者意图的攻击模型方法和攻击者意图精化框架，使得攻击过程可以利用形式化规则进行描述。

第二项发明内容是基于第一项发明内容设计并开发了软件系统威胁自动检测系统，以实现威胁的自动化检测。本发明系统分为场景仿真建模和威胁自动化检测两大个部分。场景仿真建模部分是通过抽取待检测系统的相关元素并确定各个元素之间的相互关系完成系统场景建模。在系统仿真建模的基础上，威胁检测部分将场景仿真建模部分的数据信息作为事实依据，通过第一项发明的威胁检测方法完成威胁的自动化检测。

本发明基于攻击者攻击策略生成的自动威胁检测系统，主要包括场景仿真建模和威胁自动化检测两大模块。场景仿真建模模块负责的是将真实的系统场景信息进行元素抽取，考虑到一套完整软件系统中各个元素之间的相互关系的多样性，确定场景信息中各个元素之间的关系后将各个元素按照其确定的关系以图形化的方式进行表示，从而完成系统的仿真建模。