(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111405538.7 (22)申请日 2021.11.24 (66)本国优先权数据 202011334206.X 2020.1 1.24 CN (71)申请人 北京航空航天大 学 地址 100191 北京市海淀区学院路37号 (72)发明人 夏春和　王天博　王智慷　 (74)专利代理 机构 北京永创新实专利事务所 11121 代理人 易卜 (51)Int.Cl. H04W 12/122(2021.01) H04L 9/40(2022.01) (54)发明名称 一种移动云计算场景下攻击想定生成的方 法 (57)摘要 本发明公开了一种移动云计算场景下攻击 想定生成的方法， 本方法涉及网络安全领域。 本 方法首先使用MulVAL工具对目标网络的状态生 成属性攻击图， 并使用CVSS来评估单个漏洞利用 成功率， 再使用去环路和冗余路径 算法构建贝叶 斯网络攻击图， 并用改进的节 点概率计算算法评 估属性攻击图各节点的累计成功概率； 最终使用 使用动态攻击路径生成算法生成到最佳攻击路 径， 然后用网络攻击想定描述语言描述攻击路径 获得攻击想定脚本。 本发明方法将获得移动云计 算场景下攻击想定的过程自动化、 动态化， 使用 改进的节 点概率计算算法 处理出现环的情况， 使 攻击图上各节点累计成功概率计算更真实、 准 确。 权利要求书4页 说明书11页 附图4页 CN 114095935 A 2022.02.25 CN 114095935 A 1.一种移动云计算场景 下攻击想定生成的方法， 其特 征在于包括有下列步骤： 第一步， 生成属性 攻击图； 使用MulVAL工具对移动 云计算场景下的网络安全状态信息NSI＝[HOST,LINKn×n]进行 规则处理， 得到属性 攻击图AG＝(ESX,A,L)； 步骤11， 记录移动云计算场景 下的各个节点的网络状态信息； 将移动云计算场景下的各个网络节点的网络状态描述信息， 记为NSI， 且NSI＝[HOST, LINKn×n]； HOST为网络节点 集合， 且HOST＝{host1,host2,…,hosti,…,hosth,…,hostn}； LINKn×n为网络节点之间的连通关系， 所述LINKn×n为n×n的矩阵， 即LINKn×n＝ [linki,h]； 所述 中linki,h取值为0时表示网络节点hosti与网络节点hosth不连 通， linki,h取值为1时表示网络节点hosti与网络节点hosth连通； linki,h携带信息有源地址 source和目的地址target， 则l inki,h＝(source,target)； 网络安全状态描述信息NSI ＝[HOST,L INKn×n]为属性攻击图生成的基本元 素； 移动云计算场景下网络节 点集合HOST＝{host1,host2,…,hosti,…,hosth,…,hostn}， 其中： host1表示第一个网络节点； host2表示第二个网络节点； hosti表示第i个网络节点， 下角标i表示网络节点的标识号； hosth表示第h个网络节点； hostn表示最后一个网络节点， 下角标n表示网络节点 集合中的网络节点总个数； 任意一个网络节点hosti携带信息， 记为hosti＝(OSi,IPi,privilegei,SERi)； OSi是网络节点hosti的身份； IPi是网络节点hosti的ip地址； privilegei是网络节点hosti获得的权限； SERi是网络节点hosti上运行的服 务类型； 服务信息记为SER＝{service1,service2,…,servicej,…,servicek}， 其中： service1表示第一种服 务类型； service2表示第二种服 务类型； servicej表示第j种服 务类型， 下角标j表示 服务类型的标识号； servicek表示最后一种服 务类型， 下角标k表示 服务信息中服 务类型的总个数； 所述servicej也称为任意一种服务类型； 在服务类型servicej中携带信息有服务名 name、 产品名product、 版本号version、 所在端口portID、 服务协议名protocol， 则servicej ＝(name,product,versi on,portID,protoco l)； 步骤12， 生成 从事实属性节点到目标属性节点的属性 攻击图； 将网络状态描述信息NSI＝[HOST,LINKn×n]按MulVAL工具的输入格式进 行表征， 并输入 到MulVAL工具中， 生成从事实属性边结点ESX事实到目标属性边结点ESX目标的属性攻击图； 属 性攻击图记为AG， 且AG＝(ESX,A,L)；权　利　要　求　书 1/4 页 2 CN 114095935 A 2ESX表示属性攻击图中的属性边结点标志， 所述ESX中包括有身份为事实属性边结点 ESX事实、 目标属性边结点ESX目标和除ESX事实和ESX目标以外的属性边结点ESX外； ESX＝{ESX事实， ESX目标， ESX外}； A表示属性攻击图中的攻击边结点标志； 所述A中存在有多个攻击边结点， 采用集合形 式表示为A＝{attack1,attack2,…,attacka,…}， attack1表示第一个攻击边结点， attack2 表示第一个攻击边结点， attacka表示第a个攻击边结点， 下角标a表示攻击边结点的标识 号； 攻击边结点attacka携带的信息记为attacka_INFO； 所述attacka_INFO是一次漏洞利用 的攻击操作GJCZ； L表示属性攻击图中的有向边； 所述L只能从ESX指向att acka， 或者由attacka指向ESX； 进行一个攻击操作GJCZ的前提条件是指向attacka的上一个边结点的ESX都被攻击成功， 若 攻击成功， 则攻击方获得 attacka指向的ESX携带的信息属性； 若攻击失败， 则攻击方无法获 得attacka指向的ESX携带的信息属性； 所述at tacka仅会指向一个ESX； 攻击路径记为path； 所述攻击路径path是指由一个攻击操作或多个攻击操作 顺序执行 形成的攻击操作序列； 所述path＝( …,GJCZt‑1,GJCZt,GJCZt+1,…)； 第二步， CVSS评估单个漏洞 利用成功率； 在第一步中生成的属性攻击图AG＝(ESX,A,L)中， 攻击边结点attacka携带的信息是一 次漏洞利用的攻击操作GJCZ； 所述攻击操作GJCZ的漏洞利用成功率， 记为Metric(GJCZ)， 则： Metric(GJCZ)＝2(A V×AC×Au)       (1) 第三步， 去除环路和冗余路径构造贝叶斯 攻击图； 采用深度优先搜索对属性攻击图AG＝(ESX,A,L)去除环路和冗余路径处理， 得到贝叶 斯网络攻击图， 记为BAG， 且BAG＝(ESX,A,L)； 若属性攻击图AG＝(ESX,A,L)中存在的攻击路径path＝( …,GJCZt‑1,GJCZt, GJCZt+1,…)， GJCZt与GJCZt‑1、 或者GJCZt‑1与GJCZt+1的执行是相互依赖的， 那么path＝( …, GJCZt‑1,GJCZt,GJCZt+1,…)就会构成一个不可达的环路NCLP， 因此需要去除所述NCLP和冗 余路径RPATH； 使用去环路和冗余路径算法将MulVAL得到的属性攻击图AG＝(ESX,A,L)进行 初步处理， 去除生成的属性攻击图AG＝(ESX,A,L)上的NCLP和RPATH， 从而得到贝叶斯网络 攻击图BAG＝(ESX,A,L)； 步骤31， 获取边结点搜索序列； 从目标属性边结点ESX目标出发， 按照BAG＝(ESX,A,L)中的L的逆方向进行深度优先搜 索， 得到第一个边结点搜索序列S S1＝(ESX,A,ESX,A, …,)； 步骤32， 增补或删除边结点搜索序列； 在搜索过程中， 若ESXPRE或attacka,PRE已被搜索过， 即ESXPRE或attacka,PRE存在于SS1＝ (ESX,A,ESX,A, …,)中， 且ESXPRE或attacka,PRE在ESX目标到该当前搜索到的ESX或A的搜索路径 上， 则可判断出现了不可达的环路NCLP或冗余路径RPATH； 当有NCLP或RPATH时， 删除该当前搜索到的ESX或A， 并从该当前搜索到的ESX或A开始， 按照BAG＝(ESX,A,L)中的L的正方向进行深度优先搜索， 在L的正方向搜索过程中， 若因为 ESX或A的删除导致了ESXNEXT或attacka,NEXT的路径不可达， 则删除ESXNEXT或attacka,NEXT， 得到权　利　要　求　书 2/4 页 3 CN 114095935 A 3