工控安全风险评估--攻击树

攻击图

-------------------

### 早期

攻击图高效生成:1)使用符号模型检查来分析单个主机配置和漏洞模型;问题--网络主机数量增加,系统状态的节点数增加,可伸缩性问题的影响。TVA方法攻击的单调性,遵循一个利用依赖关系图来表示利用的前后条件。使用**图搜索算法**来连接单个漏洞,包含多个漏洞的**攻击路径**。

**2.NetSpA** 工具从防火墙规则集和网络漏洞扫描生成攻击图,通过分析攻击图,生成一组优先级建议;

**3.Muval多主机、多阶段、脆弱性分析**以Dataalog为建模语言的攻击图生成工具。引入逻辑攻击图概念,以命题式的形式描述系统配置信息与攻击者潜在权限之间的因果关系。推理引擎通过自动逻辑推导捕捉网络中各个组件之间的交互,攻击图的生成。

**4.Chen**提出一种面向攻击模式的全攻击图生成方法。攻击模式是对攻击者利用类似漏洞所采取的常见方法的抽象描述。并将漏洞映射到相应的攻击模式。自定义的攻击图生成算法。

**5.入侵警报相关技术**通过关联单个攻击步骤的孤立警报来检测多步入侵。首先将当前接受到的入侵警报映射到攻击图中相应的漏洞。它解释以前的攻击或警报,为当前的攻击做准备,以及将来可能的攻击。

###模型

**语意**g=(v, e).节点集分为两种类型。1)某种攻击者能力或某种网络条件。其他类型的节点表示利用。从第一类节点到第二类节点的有向表示利用的先决条件;从第二类节点到第一类节点的定向边表示执行任何利用的效果或后置条件。

**伪代码**1-查找被攻击者获取用户/超级用户权限的源主机src 2.查找在目标主机dst运行的所有服务,以便从源主机到目的主机。3.查找一切在src中尚未被利用的漏洞v. 4.如果在步骤3中没有发现此类漏洞 then stop else: 每一个服务的漏洞 patternX(src, dst, s, v) end    end  存在 漏洞v到相应攻击模式的映射AP(V),对于攻击模式AP,ap.precond表示先决条件集,ap.postcond表示后置条件集。if 所有的conditions c在ap.precond都是满足的,创建新的攻击实例;

你可能感兴趣的:(工控安全风险评估--攻击树)