亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

用于模擬對網(wǎng)絡(luò)的黑客攻擊的方法和系統(tǒng)的制作方法

文檔序號:6477356閱讀:508來源:國知局
專利名稱:用于模擬對網(wǎng)絡(luò)的黑客攻擊的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本文7>開的本發(fā)明一^:地涉及|1據(jù)處理單元(DPU)安全領(lǐng)域, 且更具體地,涉及DPU網(wǎng)絡(luò)的脆弱性評估。
背景技術(shù)
由于網(wǎng)絡(luò)、公司辦公室和商業(yè)方案的廣泛使用,我們需要網(wǎng)絡(luò) 通信領(lǐng)域的魯棒性安全,為此,網(wǎng)絡(luò)安全在過去的幾年當(dāng)中得到了 巨大的關(guān)注。網(wǎng)絡(luò)通信和電子商務(wù)通過病毒、木馬、垃;及郵件 (SPAM)發(fā)送器、入侵者等為組織帶來了新的威脅。網(wǎng)絡(luò)指的是 諸如互聯(lián)網(wǎng)的共用網(wǎng)以及諸如內(nèi)聯(lián)網(wǎng)的專用網(wǎng)。網(wǎng)絡(luò)安全包括組織 按照完整性、保密性、驗證、訪問控制等對信息或數(shù)據(jù)進行保護的 所有活動。安全性測量用于預(yù)防諸如互4關(guān)網(wǎng)用戶的不可信的外部源 以及可以幫助突石皮內(nèi)部網(wǎng)會各或內(nèi)聯(lián)網(wǎng)的安全的內(nèi)部源。為了安全的 目的,組織設(shè)計了多種網(wǎng)絡(luò)安全策略。網(wǎng)絡(luò)安全策略包括多種技術(shù) 功能部件,用于識別威脅并選4奪多種工具來對其進4于抗擊。例如, 纟且織可以進4亍"^細的風(fēng)卩僉^H古和;參透才全頂'J (penetration testing)以 確定組織中現(xiàn)存和潛在的威脅的內(nèi)涵和外延。
凄丈:梧處理單元(DPU)是一個可以處理未處理或半處理凄t據(jù)并 能將數(shù)據(jù)轉(zhuǎn)變?yōu)樘幚砀袷降南到y(tǒng)。DPU的實例包括但不限于計算 機、膝上型電腦、掌上型電腦、以及移動電話、編譯器、掃描儀、 以及翻i奪器。DPU可以通過諸如解碼、編碼、編i奪、以及翻i奪的多 種方法處理lt據(jù)。安全DPU應(yīng)僅許可授權(quán)的用戶存取其上呈現(xiàn)的數(shù)據(jù)(信息) 并進行合法且實用的任務(wù)。換言之,DPU不應(yīng)是脆弱的。脆弱性指 的是DPU中的缺點,其可以允許黑客或未授權(quán)的人違法進行DPU 的訪問控制、4呆密性、完整性、以及審計才幾制中的至少一個,或存 耳又DPU擁有的^t據(jù)和應(yīng)用程序。脆弱性可以由DPU網(wǎng)絡(luò)中的"^殳計 缺陷或程序員在設(shè)計運行于DPU上的網(wǎng)絡(luò)或應(yīng)用程序時的粗心大 意或者由對DPU進行操作的用戶(人)引起。脆弱的DPU可能會 允許黑客通過〗吏用諸如繞過訪問控制4企查或才丸行擁有應(yīng)用程序的 系統(tǒng)上的指令來存取4t據(jù)或誤用應(yīng)用程序。脆弱性可以,支i殳程序包 含脆弱性時的有效部分以特定特權(quán)工作或者l是供對用戶數(shù)據(jù)或設(shè) 備的輕易訪問。
一種保護脆弱的DPU的方法是通過應(yīng)用訪問控制、配置防火 墻、4寺續(xù)警覺(constant vigilance ),包4舌諸如4吏用壽欠件補丁和4子細 審查的仔細的系統(tǒng)維護。此夕卜,還存在其他方法來檢測與DPU網(wǎng) 絡(luò)相關(guān)的脆弱性,諸如脆弱性評估和;參透一企測方法,其包括人4丸行 該滲透4全測方法。通過仿真由黑客攻擊,滲透4企測方法是一種4全測 與網(wǎng)絡(luò)相關(guān)的脆弱性的方法,并且可以包括安全脆弱性的主動或被 動的使用(exploitation )。在網(wǎng)絡(luò)上從潛在的黑客開始進行滲透檢測, 并且滲透沖全測包括網(wǎng)絡(luò)中任何弱點、4支術(shù)缺陷、或脆弱性的主動分 析。被識別的脆弱性及其對網(wǎng)絡(luò)的影響的評估被呈現(xiàn)給用戶或網(wǎng)絡(luò) 管理員。之后,可以出現(xiàn)解決方案來消除脆弱性。雖然安全工具或 滲透檢測以及其他方法均可以向網(wǎng)絡(luò)審計員提供可能會出現(xiàn)的脆 弱性的概述,但這仍然無法完全取代人工判斷。
現(xiàn)有的方法可以確定與網(wǎng)絡(luò)中一個或多個DPU (主機)相關(guān)的 脆弱性并對其進行修補。但是,當(dāng)連接互聯(lián)網(wǎng)的通信鏈接、主機之 間的通信鏈接以及主機用戶之間的通信鏈接不安全時,網(wǎng)絡(luò)仍然是 會妥協(xié)的。黑客可以通過對通信鏈接進行抽頭而經(jīng)由通信鏈接得以訪問安全和保密數(shù)據(jù),并且能夠得以具有訪問重要用戶的特權(quán)。此 外,當(dāng)使用DPU的用戶(人)沒有安全意識(即,他們沒有完全 認識到安全標準或不遵守這些標準)時,網(wǎng)絡(luò)仍然是會妥協(xié)的。例
如,天真或脆弱的用戶可以將信息泄露《合騙子網(wǎng)站或錯-i吳地或無意 地將信息提供給未授權(quán)的人。此外,為了威脅重要的DPU或得以 訪問在DPU處呈現(xiàn)的重要信息,黑客可以威脅其他々某介,且可能 是網(wǎng)絡(luò)上不重要的資源(比如人、其他DPU、以及通信鏈接)。之 后,他可以以間4妾方式通過威月辦的資源訪問重要的DPU。不變地, 這些系統(tǒng)包含訪問網(wǎng)絡(luò)脆弱性中的大量的人力參與。
現(xiàn)有的方法雖然提供了在網(wǎng)絡(luò)中的 一 個或多個DPU (主機)上 自動進行開發(fā)并使其威脅的能力,但仍在收集相關(guān)信息以及關(guān)于網(wǎng) 絡(luò)的脆弱性的過程中需要人工干預(yù),之后人工地策劃攻擊,然后人 工地發(fā)起攻擊以訪問DPU。因此,在現(xiàn)有的方法中仍然無法找到自 動策劃的攻擊。
沒有現(xiàn)有一支術(shù)描述非人工干預(yù)或自動的方法、系統(tǒng)和計算一幾程 序產(chǎn)品,來允許不同方法、系統(tǒng)和計算機程序的綜合,對其結(jié)果的 相關(guān),對開發(fā)的策劃以及自動執(zhí)行滲透檢測,且沒有任何人工干預(yù)。
最后,沒有現(xiàn)有坤支術(shù)描述非人工干預(yù)或自動的方法、系統(tǒng)和計 算機程序產(chǎn)品,來執(zhí)行DPU網(wǎng)絡(luò)的滲透檢測,包括網(wǎng)絡(luò)中的通信 鏈接和對DPU (主機)進行操作的用戶。
才艮據(jù)前述討i侖,我們需要才是供一種方法、系統(tǒng)和計算機程序產(chǎn) 品,以評估與DPU網(wǎng)絡(luò)(包括網(wǎng)絡(luò)中的通信鏈接以及對DPU (主 機)進行操作的用戶)相關(guān)的所有脆弱性,并對網(wǎng)絡(luò)的滲透沖企測進 行自動的策劃和執(zhí)行。

發(fā)明內(nèi)容
本發(fā)明描述了 一種用于仿真對網(wǎng)絡(luò)的黑客攻擊的方法,其中,
網(wǎng)纟備包4舌多個凄史才居處理單元(DPU)、多個用戶以及多個通4言《連 接中的至少一個,用來評估網(wǎng)絡(luò)脆弱性。該方法包括4妾收網(wǎng)絡(luò)的 一個或多個掃描參凄t?!坟巴?,該方法包4舌由系統(tǒng)創(chuàng)建至少一個主 代理(masteragent)以收集關(guān)于網(wǎng)絡(luò)的信息,其中,該信息屬于與 網(wǎng)絡(luò)有關(guān)的重要信息和非重要信息。該方法包括創(chuàng)建信息模型, 然后在黑客攻擊期間遞增地升級信息模型。信息模型是由系統(tǒng)收集 的信息的抽象表示。此外,該方法包括基于一個或多個掃描參數(shù) 和信息模型生成多攻擊向量(MAV)圖。此外,該方法包括基于 MAV圖發(fā)起一次或多次-丈擊,以-使網(wǎng)纟各受威月辦。該方法還包4舌 在受威脅的網(wǎng)絡(luò)上安裝至少一個從代理(slave agent)來以分散的 方式4丸4于一次或多次攻擊。此外,該方法包^":通過重復(fù)上述步-驟 ^吏用至少一個/人^^理和至少一個主^^理來才丸^亍多纟及攻擊。最后,該 方法包括由掃描控制器生成報告,其中,該報告包括關(guān)于網(wǎng)絡(luò)的 脆弱性以及受威脅的網(wǎng)絡(luò)的細節(jié)。
本發(fā)明提出了一種用于仿真對網(wǎng)絡(luò)的黑客攻擊的系統(tǒng),其中, 所述網(wǎng)絡(luò)包括多個凄t據(jù)處理單元(DPU)、多個用戶以及多個通信 鏈才妄中的至少一個,以評估網(wǎng)絡(luò)脆弱性。該網(wǎng)絡(luò)包括自動社會工 程(SE)結(jié)構(gòu),用于收集屬于多個用戶的敏感信息。此外,系統(tǒng)包 括通信鏈接框架(framework ),用于識別與網(wǎng)絡(luò)和通信協(xié)議相關(guān)的 脆弱性。此外,該系統(tǒng)包括多攻擊向量引擎(MAV),用于生成所 有可能的攻擊^各徑,網(wǎng)纟各可能通過這些^各徑而受威脅。
本發(fā)明描述了 一種用于仿真對網(wǎng)絡(luò)的黑客攻擊的方法,其中, 網(wǎng)纟各包4舌多個凝:才居處理單元(DPU)、多個用戶以及用多個通4言 鏈接中的至少一個,來評估網(wǎng)絡(luò)脆弱性。該方法包括接收網(wǎng)絡(luò)的 一個或多個掃描參^:。此外,該方法包4舌通過系統(tǒng)創(chuàng)建至少一個
1主代理(master agent)以收集關(guān)于網(wǎng)絡(luò)的信息,其中,該信息屬于 與網(wǎng)絡(luò)有關(guān)的重要信息和非重要信息。該方法包括創(chuàng)建信息模型, 然后在黑客攻擊期間遞增地升級信息模型。信息模型是由系統(tǒng)收集 的信息的抽象表示。此外,該方法包括基于一個或多個掃描參數(shù) 和信息模型生成多攻擊向量(MAV)圖。多攻擊向量(MAV)具 有一種能力,以z使與數(shù)據(jù)處理單元(DPU)、用戶和通信《連4妄相關(guān) 的多個低級和中級嚴重的脆弱性相結(jié)合,使與信息模型相結(jié)合的脆 弱性相關(guān)聯(lián)并產(chǎn)生可以使網(wǎng)絡(luò)受威脅的高級嚴重的攻擊路徑。此 外,該方法包括基于MAV圖發(fā)起一次或多次攻擊,以使網(wǎng)絡(luò)受 威脅。該方法還包括在受威脅的網(wǎng)絡(luò)上安裝至少一個從代理(slave agent)來以分散的方式才丸4亍一次或多次攻擊。ot匕夕卜,該方法包4舌 通過重復(fù)上述步艱M吏用至少一個,人代理和至少一個主^理來纟丸行 多級攻擊。最后,該方法包括由掃描控制器生成報告,其中,該 報告包括關(guān)于網(wǎng)絡(luò)的脆弱性以及受威脅的網(wǎng)絡(luò)的細節(jié)。


下面本文將結(jié)合附圖描述本發(fā)明的優(yōu)選實施例,從而對本發(fā)明 進行說明而非限定,其中,相同的標記表示相同元素,以及圖中
圖2是示出了根據(jù)本發(fā)明的實施例的總體系統(tǒng)組件的框擊的廣義層面的方法的流^E圖4A和圖4B是示出了根據(jù)本發(fā)明的實施例的用于仿真對網(wǎng) 絡(luò)的黑客攻擊的詳細方法的流程13圖5是示出了才艮據(jù)本發(fā)明的實施例的社會工程(SE )系統(tǒng)的部 件的框圖6是示出了根據(jù)本發(fā)明的實施例的對網(wǎng)絡(luò)的SE攻擊的SE 系統(tǒng)流畔呈的流程圖7是示出了4艮據(jù)本發(fā)明的實施例的多攻擊向量(multiple attack vector, MAV )系統(tǒng)的組件的才匡系統(tǒng)流程的流程圖;圖9是才艮據(jù)本發(fā)明的實施例的用于仿真對網(wǎng)絡(luò) 進行黑客攻擊的網(wǎng)絡(luò)的示例性結(jié)構(gòu);
圖10是示出了根據(jù)本發(fā)明的實施例的為威脅網(wǎng)絡(luò)生成的多種 可能^各徑或備選方案的MAV圖的實例;以及
圖11是示出了根據(jù)本發(fā)明的實施例的多級信息模型的信息模 型的實例。
具體實施例方式
盡管示出并描述了本發(fā)明的優(yōu)選實施例,4旦是應(yīng)該理解,本發(fā) 明不僅限于這些實施例。在不背離權(quán)利要求中描述的本發(fā)明的精神 和范圍的前才是下,多種々務(wù)改、變化、改變、替4戈以及等效替換對于 本領(lǐng)域的普通技術(shù)人員而言是顯而易見的。
圖1是根據(jù)本發(fā)明的多個實施例而可以實施本發(fā)明的示例性環(huán) 境。圖1示出了隨著DPU網(wǎng)絡(luò)(諸如主框架服務(wù)器、內(nèi)聯(lián)網(wǎng)、互 聯(lián)網(wǎng))的多個部件一起連接的多個數(shù)據(jù)處理單元(DPU)。 DPU的 實例可以是i者:^個人計算才幾、膝上計算才幾、移動電i舌、個人凄t字助 理(PDA)、 Blackberry ,智能手機等的多種計算設(shè)備。此外,不同DPU能夠在其間彼此交換信息或數(shù)據(jù)的網(wǎng)絡(luò)的多個實例可以是 局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)、無線LAN、 i成域網(wǎng)(MAN)、 公共開關(guān)電話網(wǎng)(PSTN)、全球電訊交換(TELEX)網(wǎng)、全球移動 通信系統(tǒng)(GSM)通信網(wǎng)絡(luò)、碼分多址(CDMA)網(wǎng)等。此外,網(wǎng) 絡(luò)中不同的DPU可以使用多種網(wǎng)絡(luò)拓樸來彼此通信,諸如傳輸控 制協(xié)議(TCP)、網(wǎng)際協(xié)議(IP)、用戶數(shù)據(jù)報協(xié)i義(UDP)、筒單郵 件傳輸協(xié)議(SMTP)、會話起始協(xié)議(SIP)、郵局協(xié)議(POP)、以 及其他本領(lǐng)域公知的協(xié)議。特別要參照圖1中所示的組件,示出了 示例性環(huán)境以包括主才醫(yī)架終端102、 一個或多個DPU(還稱作主機) 104、 106、 108、 110、 112、 114、以及116、 一個或多個網(wǎng)關(guān)118 和120、 一個或多個通信鏈接124、 126、 128、 130、 132、 133、 136、 138、 140、 142、以及144、 一個或多個網(wǎng)纟各用戶146、 148、以及 150、以及由互耳關(guān)網(wǎng)122所示的外部網(wǎng)絡(luò)。 一個或多個主才幾或DPU 104、 106、 108、 110、 112、 114、以及116包4舌才喿作系統(tǒng)(OS )(諸 如,MS Windows ), Linux、 Unix )、以及在其上運4亍的一個或多 個凝:據(jù)處理應(yīng)用考呈序。 一個或多個網(wǎng)全各用戶(這里還稱作用戶)146、 148、以及150是對DPU進4亍才喿作的人。 一個或多個通信《連4妄124、 126、 128、 130、 132、 134、 136、 138、 140、 142和144包括連接 不同DPU的ii/f言《連4妻、網(wǎng)鄉(xiāng)各用戶之間的ii/[言鏈4妄以及用外部網(wǎng)鄉(xiāng)各 連4妄網(wǎng)絡(luò)(諸如經(jīng)由網(wǎng)關(guān)118和120的互聯(lián)網(wǎng)122)的通信《連*接。 通信鏈接不僅是兩個主機用戶間或多個主機間的物理鏈接,還包括 無線或有線通信協(xié)議,用于在不同DPU、網(wǎng)絡(luò)用戶等之間交換凄t據(jù) 或信息。例如,在計算4幾網(wǎng)絡(luò)的情況下,可以通過4吏用TCP/IP連 接來取代兩個或多個DPU之間的通信,以及在電話會議或阿絡(luò)會 議的情況下,DPU用戶可以使用電話線或語音互聯(lián)協(xié)議(VoIP)。
為了理解本發(fā)明,我們將網(wǎng)絡(luò)定義為包括連接在一起的多個 DPU、對DPU進行操作的多個用戶、以及將網(wǎng)絡(luò)的不同組件連接 在一起的通信鏈接中的至少一個。應(yīng)注意和理解,網(wǎng)絡(luò)(Network,有時還稱作"network")的提煉和擴展的定義將在剩下的專利申請 中使用。
當(dāng)黑客想要攻擊網(wǎng)絡(luò)或者系統(tǒng)管理員想要評估網(wǎng)絡(luò)脆弱性時, 其目標是對至少一個網(wǎng)絡(luò)DPU、用戶以及一個或多個DPU與用戶 之間的通信進行折衷,然后通過使用來自折衷的網(wǎng)絡(luò)的信息或數(shù)據(jù) 對網(wǎng)絡(luò)執(zhí)行進一步的攻擊??傊?,對網(wǎng)絡(luò)安全的威脅可以來自外部 網(wǎng)絡(luò)(例如,通過互聯(lián)網(wǎng)122),通過網(wǎng)關(guān)(諸如118、 120),通過 網(wǎng)絡(luò)用戶(諸如146、 148、以及150)(例如機密數(shù)據(jù)的泄露),以 及通過通信鏈接(諸如124、 126、 128、 130、 132、 133、 136、 138、 140 、 142 、以及144 ),以及對網(wǎng)鄉(xiāng)各安全的威月辦可以來自內(nèi)部網(wǎng)纟各, 通過DPU的重要脆弱性的使用,以及通過經(jīng)通信鏈接的機密數(shù)據(jù) 泄漏。當(dāng)連接主機或主機用戶的通信鏈接被折衷且攻擊者(或黑客、 系統(tǒng)管理員)得以經(jīng)由通信鏈接訪問數(shù)據(jù)流時,典型的威脅會出現(xiàn) 在網(wǎng)絡(luò)中。此外,為了折衷網(wǎng)絡(luò),至少一個DPU、用戶以及通信鏈
圖2是示出了根據(jù)本發(fā)明的多個實施例的總體系統(tǒng)組件的框 圖。在圖2中示出的系統(tǒng)可以用來評估網(wǎng)絡(luò)的脆弱性,或者用來對 網(wǎng)絡(luò)執(zhí)行黑客攻擊。更具體地,圖2示出了控制臺202、掃描控制 器204、代理框架206、網(wǎng)絡(luò)208、數(shù)據(jù)庫218、以及知識庫(knowledge base) 232。系統(tǒng)的設(shè)計基于模型、觀察和控制器(Model, View and Controller, MVC)結(jié)構(gòu),即,系統(tǒng)被分解為如下三部分模型、觀 察、以及控制器??刂婆_202是圖形用戶界面,用戶可以通過它輸 入網(wǎng)絡(luò)208的一個或多個掃描參數(shù)。掃描參數(shù)可以是關(guān)于網(wǎng)絡(luò)208 的信息,諸如IP地址或々某體訪問控制(MAC)地址等。此外,黑 客或系統(tǒng)管理員可以使用控制臺202來將必須采取的動作或方向指 定在對網(wǎng)絡(luò)208的攻擊的輸出上。掃描控制器204負責(zé)在網(wǎng)絡(luò)208 的攻擊或脆弱性評估結(jié)束之后,發(fā)起對網(wǎng)絡(luò)208的掃描,創(chuàng)建或發(fā)起主代理,;險查掃描的狀態(tài)并生成4艮告。掃描控制器204功能性地 與數(shù)據(jù)庫218連接以評估在其中存儲的數(shù)據(jù)。數(shù)據(jù)庫218用于存儲 掃描參數(shù)、掃描的臨時數(shù)據(jù)以及掃描的最終結(jié)果,其中,該結(jié)果進 一步用來生成報告。掃描控制器204使用該數(shù)據(jù)以生成攻擊策劃, 生成網(wǎng)絡(luò)208的脆弱性評估報告等。主機代理發(fā)起對網(wǎng)絡(luò)的一個或 多個攻擊。主枳^C理封裝(encapsulate) —個或多個功能才莫塊。這 一個或多個功能模塊是信息收集模塊、脆弱性評估模塊、鏈接分析 模塊、社會工程模塊、應(yīng)用開發(fā)(exploitation)模塊等。這些功能 模塊在對網(wǎng)絡(luò)的脆弱性評估或黑客攻擊的不同級上彼此交互。更具 體地,這些功能模塊可以在信息收集階段、脆弱性評估階段、鏈接 分析階段、社會工程階段、以及應(yīng)用開發(fā)階段期間執(zhí)行其各自功能。 信息收集階段、脆弱性評估階段、社會工程階段、鏈接分析階段以 及應(yīng)用開發(fā)階段中的每一個均會在下文中結(jié)合圖4A和圖4B進行更 詳細的討論。代理框架206收集關(guān)于網(wǎng)絡(luò)208的信息并發(fā)起對網(wǎng)絡(luò) 的 一次或多次攻擊。^理才匡架(framework ) 206可以/人知識庫232 中讀取數(shù)據(jù)。代理框架206可以支持動態(tài)或?qū)挿秶墓δ苄灾С帧?代理框架206提供對功能(諸如開始、停止、暫停、載入、以及卸 載功能)的動態(tài)控制。與代理框架206兼容的一個或多個新功能可 以在知識庫232中創(chuàng)建或卸載。與代理框架206相關(guān)的功能是普通
的或?qū)S糜趯W(wǎng)全各的一次或多次攻擊的。代理的功能可以與商務(wù)或 非商務(wù)軟件結(jié)合。代理可以與認證機制和安全通信結(jié)合。代理支持
多種認證方法,諸如密碼認證、密鑰認證等。代理還支持SSL和其
他安全通信方法。網(wǎng)絡(luò)208進一步包括防火墻210、網(wǎng)絡(luò)1212、網(wǎng)
纟各2 214、以及網(wǎng)纟各3 216。網(wǎng)纟各1212、網(wǎng)纟各2 214、網(wǎng)纟各3 216是
網(wǎng)絡(luò)208的子網(wǎng)絡(luò)。例如,網(wǎng)絡(luò)1 212可以是e-mail交換服務(wù)器,
其中網(wǎng)絡(luò)2 214和網(wǎng)絡(luò)3 216可以是兩個不同的數(shù)據(jù)服務(wù)器。數(shù)據(jù)
庫218存儲與掃描有關(guān)的數(shù)據(jù)和模型的商業(yè)信息。數(shù)據(jù)庫218被
MVC結(jié)構(gòu)的模型封裝。數(shù)據(jù)庫218是存儲的數(shù)據(jù)或信息的結(jié)構(gòu)集
合的存儲部,使得數(shù)據(jù)可以被訪問,以備后用。在本發(fā)明的實施例中,軟件程序可以使用來自數(shù)據(jù)庫218的數(shù)據(jù)來應(yīng)答詢問并作出決 定。知識庫232存^f諸與掃描相關(guān)的特定信息。知識庫232進一步包 括信息收集存儲部(repository) 220,用于存4諸關(guān)于網(wǎng)絡(luò)208的 重要和非重要信息,諸如在不同DPU中呈現(xiàn)的開》文端口的名稱和 地址、操作系統(tǒng)(OS)細節(jié)、運行應(yīng)用程序、人(諸如組織的雇員 及其相關(guān)信息)、路由器、交換、防火墻、以及諸如動態(tài)主機設(shè)置 協(xié)議(DHCP)和域名服務(wù)器(DNS)的網(wǎng)絡(luò)協(xié)議;脆弱性評估存
社會工程存儲部224,用于存儲網(wǎng)絡(luò)中可能的動作和人為行為以及 與人相關(guān)的對應(yīng)脆弱性,諸如偷竊密碼、偷看(sniff)來自網(wǎng)絡(luò)的 郵件等;鏈接分析存儲部226,用于存儲與網(wǎng)絡(luò)以及諸如ARP投毒 (poisoning)、 DNS投毒、端口偷竊等的通信協(xié)議相關(guān)的脆弱性; MAV存4諸部228,用于存〗諸關(guān)于多攻擊向量的信息,所述多攻擊向 量示出了對網(wǎng)絡(luò)208的一次或多次攻擊的可能^各徑;應(yīng)用開發(fā)存4諸 部230,用于存儲由應(yīng)用開發(fā)階段收集的信息,即,在已經(jīng)對網(wǎng)絡(luò) 208進行了一次或多次攻擊之后收集的信息。存儲在知識庫232中 的信息對于一個掃描是恒定的,即,為一個特定掃描存儲的信息不 再改變。知識庫232可以由用戶通過控制臺202進4亍更新。該一見圖 包含了在運行時間提供的布局,以將控制臺202呈現(xiàn)給用戶,以使 用戶能夠與系統(tǒng)進行交互。
圖3是示出了4艮據(jù)本發(fā)明的多個實施例的用于仿真對網(wǎng)絡(luò)的黑 客攻擊的方法的流禾呈圖。
在步驟302,用戶通過控制臺202輸入網(wǎng)絡(luò)的掃描參數(shù)。掃描 參數(shù)諸如掃描范圍、預(yù)定掃描時間、關(guān)于網(wǎng)絡(luò)的起始信息等。掃描 控制器204啟動網(wǎng)絡(luò)掃描。步驟304,掃描控制器204發(fā)起主代理 收集關(guān)于網(wǎng)絡(luò)的重要和非重要信息,包括關(guān)于DPU、通信鏈接和人 的信息。此外,主代理發(fā)起對網(wǎng)絡(luò)的攻擊。步驟306,基于在步驟
18304中收集的信息生成MAV圖并策劃對網(wǎng)絡(luò)的攻擊??梢詼蕚?MAV圖以示出所有可能的路徑,以折衷已在步驟304中策劃的網(wǎng) 絡(luò)。步驟308,在步驟304中策劃的攻擊在網(wǎng)絡(luò)中發(fā)起以折衷網(wǎng)絡(luò)。 總之,攻擊可以是DPU應(yīng)用、社會工程攻擊、通信鏈接或人為中 間(Man in the Middle, MITM )攻擊或包含兩次或多次上述攻擊的 動態(tài)攻擊。步驟310, —個或多個從代理安裝在折衷的網(wǎng)絡(luò)上以幫 助執(zhí)行對網(wǎng)絡(luò)的進一步攻擊。從代理可以自我復(fù)制以在其與主代理 相分離時能夠存活,可以自我協(xié)調(diào)(coordinate),并且可以自動4丸 ^f亍最復(fù)雜、協(xié)調(diào)并且分散的攻擊。乂人代理可以由主代理分配各自的 任務(wù),諸如提供重要信息并執(zhí)行進一步攻擊。之后,從代理可以繼 續(xù)攻擊并向主代理纟是供結(jié)果和信息。因此,以共存的形式繼續(xù),主 代理和/人代理可以;f皮此相互合作以折衷網(wǎng)絡(luò)。
在步驟312,在多^及上才丸4亍對網(wǎng)絡(luò)的攻擊。多級攻擊可以命名 為起始級、級l、級2、級3—直到級N和完成級。在起始級期間, 在通過控制臺202 4妄收來自用戶的掃描參數(shù)之后掃描網(wǎng)絡(luò)。掃描控 制器204讀取掃描參數(shù)、開啟主代理并將關(guān)于掃描參數(shù)的信息傳遞 至主代理。主代理發(fā)起對網(wǎng)絡(luò)的攻擊。此夕卜,在網(wǎng)絡(luò)尋皮完全折衷之 前,級l包括多個攻擊子級。在級1中,主代理是樞紐4戈理。
為了理解該方法,讓我們考慮一種情況,此時網(wǎng)^^的管理員枳^ 器Hl是對主代理幾乎可見的。主^C理以如下步驟滲透網(wǎng)絡(luò)步-驟 1,主代理收集關(guān)于網(wǎng)絡(luò)的重要和非重要信息。通過收集信息,網(wǎng) 絡(luò)的某個或某幾個部分變得對主代理幾乎可見。我們就說網(wǎng)絡(luò)服務(wù) 器H2變得可視了?,F(xiàn)在,管理員機器H1和網(wǎng)絡(luò)服務(wù)器H2變得對 主4戈理幾乎可一見。步-驟2,主4戈理在網(wǎng)纟備的幾乎可碎見部(即,在管 理員機器Hl和網(wǎng)絡(luò)服務(wù)器H2上)執(zhí)行脆弱性評估,并識別網(wǎng)絡(luò) 的幾乎可視部的安全漏洞(hole)。步驟3,主代理執(zhí)行鏈接分析以 獲得諸如密碼的重要或敏感信息并更新信息模型。信息模型是由系統(tǒng)收集的信息的抽象表示。步驟4,生成MAV圖,其示出了所有 可能的^各徑或方法來4斤衷網(wǎng)全各。MAV圖的可能的子集包括在網(wǎng)紹_ 月l務(wù)器H2上應(yīng)用介質(zhì)威脅脆弱性(medium threat vulnerability )的 嘗試,根據(jù)服務(wù)器類型在網(wǎng)絡(luò)服務(wù)器H2上特權(quán)擴大攻擊的嘗試, 以及練習(xí)對工作在管理員才幾器HI上的用戶U2建立信^f壬的嘗試。 步驟5,為折衷網(wǎng)絡(luò),進行攻擊策劃。我們假設(shè)攻擊已經(jīng)在管理員 機器H1的用戶U2上作出以對其進行折衷。然后,步驟6,在折衷 的管理員機器H1上安裝從代理LA1。這終止了攻擊的級1.
在步驟2期間,LA1變成對網(wǎng)絡(luò)的進一步攻擊的樞紐代理。乂人 代理LA1在多個子級中發(fā)起攻擊。再次,諸如信息收集、脆弱性評 估以及其他處理的步驟是由從代理LA1以與級l中由主代理沖丸行的 相同方式來執(zhí)行的。從代理LA1之后更新信息模型。重新生成或修 改MAV圖,以使用關(guān)于折衷的管理員機器Hl的信息,用于對網(wǎng) 絡(luò)進4亍進一步攻擊。此外,作出攻擊策劃,并選沖奪相應(yīng)的攻擊^各徑 以執(zhí)行導(dǎo)致網(wǎng)絡(luò)中另一機器折衷的成功攻擊。最終,從代理LA2 安裝在最新折衷的機器上?,F(xiàn)在,LA2變成了樞紐代理,用于對網(wǎng) 絡(luò)進行進一步攻擊。
處理一皮重復(fù)至級N,直到整個網(wǎng)絡(luò)折衷。隨后的級的步驟是之 前列出的級的遞歸。以這種方式,繼續(xù)網(wǎng)全備的'滲透,4吏得網(wǎng)紹"故完 全突破。最終,在完成級,其中,主代理概括了收集的數(shù)據(jù),將數(shù) 據(jù)概括傳遞至掃描控制器204,清除從代理并生成脆弱性評估或攻 擊才艮告。此外,當(dāng)重定義的時間過去時,終止黑客攻擊或脆弱性評 估。步驟314,掃描控制器204生成才艮告,包4舌關(guān)于折衷網(wǎng)纟備和網(wǎng) 絡(luò)脆弱性的細節(jié)。此外,可以將報告提交至網(wǎng)絡(luò)安全官(NSO)。
圖4A和圖4B示出了才艮據(jù)本發(fā)明的實施例的用于仿真對網(wǎng)絡(luò) 的黑客攻擊或脆弱性評估,燥作的詳細方法的流程圖。步驟402,用 戶通過控制臺202提供掃描參數(shù)以發(fā)起對網(wǎng)絡(luò)的掃描。掃描控制器
20204從用戶接受含掃描參數(shù)的掃描請求。之后,掃描控制器204使 用智能讀取器。智能讀取器可以是讀入智能文件的軟件程序,智能 文件包括一個或多個掃描的狀態(tài)表。狀態(tài)表提供由掃描控制器204 使用一個或多個模塊的順序。在本發(fā)明的實施例中,智能文件可以 具有一個或多個標準來4吏用狀態(tài)表。智能文件的功能可以通過下列 實例的幫助來說明。我們考慮一種情形,其中第一標準是基于由用 戶提供的一個或多個掃描參數(shù)而選擇的?;诘谝粯藴?,智能文件 中具有預(yù)定義的狀態(tài)表。例如,第一標準的狀態(tài)表可以首先使用信 息收集模塊,之后是脆弱性評估模塊、鏈接分析模塊、多攻擊向量 (MAV)生成模塊、執(zhí)行模塊、掃描控制器204或主代理以及報告 生成模塊,以上順序不是必須的。智能讀取器基于由用戶輸入的一 個或多個掃描參1《以及智能文件生成掃描的完整的限態(tài)4幾。在生成 掃描的完整的限態(tài)才幾之后開始網(wǎng)絡(luò)掃描。此夕卜,掃描控制器204負 責(zé)起動主代理、檢查掃描的狀態(tài)以及生成報告。主代理的功能是維 護脆弱性的綜合數(shù)據(jù)庫218,并收集來自 一個或多個從代理的結(jié)果。 之后,主代理將結(jié)果提交至掃描控制器204。主代理還可以提供基 本的代理管理和應(yīng)用程序接口 (API),以訪問并控制已經(jīng)安裝在網(wǎng) 絡(luò)的不同部分中的從代理。主代理還是從代理和掃描控制器204之 間的ii/f言的單獨的源。
步驟404,由信息收集模塊、脆弱性評估模塊、社會工程模塊、 以及鏈接分析模塊分別執(zhí)行信息收集階段、脆弱性評估階段、社會 工程階段、以及鏈接分析階段。執(zhí)行信息收集階段以收集關(guān)于網(wǎng)絡(luò) 的信息,諸如在不同DPU中呈現(xiàn)的開》丈端口的名稱和地址、操作 系統(tǒng)(OS)細節(jié)、運行應(yīng)用程序、人(諸如組織的雇員及其相關(guān)信 息)、路由器、交換、防火墻,以及收集諸如動態(tài)主機設(shè)置協(xié)議 (DHCP)和域名月良務(wù)器(DNS)的網(wǎng)絡(luò)協(xié)i義。還可以獲耳又應(yīng)用在 網(wǎng)絡(luò)和DPU間物理連接的關(guān)于網(wǎng)絡(luò)拓樸的信息。執(zhí)行脆弱性評估 階段以識別與OS、應(yīng)用程序、和在網(wǎng)絡(luò)中的DPU上運行的軟件。執(zhí)行社會工程階段以識別與人有關(guān)的脆弱性。與人有關(guān)的脆弱性是
可以導(dǎo)致網(wǎng)絡(luò)安全的折衷的人的可能的動作。該SE階段還識別更 可能有意或無意地將重要lt據(jù)或信息泄露至外部的用戶或人。社會 工程階l殳的目的是分析人的行為并通過網(wǎng)絡(luò)用戶識別折衷網(wǎng)絡(luò)的 可能性。例如,在SE階段,系統(tǒng)使用多種手段(諸如偷看來自網(wǎng) 絡(luò)的郵件,引誘用戶泄露重要信息,使用假資源偷竊密碼等)來發(fā) 起SE攻擊。執(zhí)行鏈接分析以識別與網(wǎng)絡(luò)和通信協(xié)議相關(guān)的脆弱性, 其可以用來在網(wǎng)絡(luò)和通信協(xié)議凈皮折衷時訪問關(guān)于網(wǎng)絡(luò)的保密信息。 在鏈接分析階段,可以結(jié)合諸如地址解析協(xié)議(ARP )投毒 (poisoning )、域名服務(wù)器(DNS)投毒、以及端口^f俞竊的一個或 多個手段。此外,在鏈接分析階段,可以獲取與網(wǎng)絡(luò)有關(guān)的被動信 息,諸如用戶名、密碼、e-mail地址、網(wǎng)絡(luò)拓樸、以及DPU與用戶 之間的通信鏈接。此外,還可以執(zhí)行偷看攻擊和MITM攻擊。在順 次執(zhí)行信息收集階段、脆弱性分析階段、以及鏈接分析階段時,同 時執(zhí)行社會工程階段。步驟406,基于步驟404處收集的信息生成 MAV圖。MAV圖示出了所有可能的路徑以折衷網(wǎng)絡(luò)。MAV表本質(zhì) 是動態(tài)的,并且其以影響網(wǎng)絡(luò)的信息和參數(shù)的變化來保持自身的改 變。之后,進行攻擊策劃并選擇特定的攻擊路徑,以對網(wǎng)絡(luò)執(zhí)行攻 擊。
步驟408,執(zhí)行應(yīng)用階段以對網(wǎng)絡(luò)執(zhí)行攻擊,以便折衷該網(wǎng)絡(luò)。 通過應(yīng)用通信鏈接、人和DPU中的至少一個來折衷網(wǎng)絡(luò)。步驟410,
步驟412,存儲由從代理獲取的信息。收集的信息可以用來對網(wǎng)絡(luò) 進行進一步攻擊。步驟414,檢查操作的目的是否已全部實現(xiàn)或者 已經(jīng)到達最大指定時間。如果攻擊目標已經(jīng)實現(xiàn)或者達到最大超 時,步驟416,則系統(tǒng)將掃描的狀態(tài)和數(shù)據(jù)存儲在數(shù)據(jù)庫218中。 步驟418,通過掃描控制器204生成^^艮告,其包括關(guān)于折衷的網(wǎng)絡(luò) 以及網(wǎng)絡(luò)脆弱性的所有細節(jié)。步驟414,如果發(fā)現(xiàn),目標沒有實現(xiàn)或最大超時沒有達到時,則,喿作返回至步-銀404,并且再次重復(fù)這
些步驟。
圖5是示出了根據(jù)本發(fā)明的多個實施例的社會工程(SE )系統(tǒng) 的部件的框圖。SE系統(tǒng)幫助^丸行對網(wǎng)絡(luò)的社會工程攻擊。此外, 社會工程系統(tǒng)識別網(wǎng)絡(luò)中的受害用戶并通過通信鏈接攻擊、其他SE 攻擊、引誘用戶泄露個人信息(諸如名字、e-mail地址、信使ID、 工作桌面IP地址等)中的任意一種來收集信息。SE系統(tǒng)包括SE 控制器520、信息收集模塊524、攻擊策劃者526、以及攻擊執(zhí)行者 528。 SE控制器520與信息收集才莫塊524、攻擊策劃者526以及攻 擊沖丸4亍者528相交互,其中,4言息收集4莫塊524和攻擊4丸4亍者528 與 一個或多個通信模塊進行通信,通信模塊用于執(zhí)行對網(wǎng)絡(luò)的社會 工程攻擊。由SE控制器520收集的關(guān)于SE攻擊的信息可以存儲在 數(shù)據(jù)庫522中。信息收集才莫塊524的目的是收集關(guān)于網(wǎng)絡(luò)的重要或 非重要信息。攻擊策劃者526策劃對網(wǎng)絡(luò)的SE攻擊并選擇對網(wǎng)絡(luò) 成功進行攻擊的對應(yīng)攻擊。攻擊策劃者526還可以生成能夠作為限 態(tài)枳4皮映射至存儲器的輸出,并且可以在才丸4亍網(wǎng)絡(luò)掃描的同時使 用。攻擊l丸4亍者526通過與 一個或多個通信才莫塊進4亍通信來^M亍對 網(wǎng)絡(luò)的社會工程攻擊。 一個或多個通信才莫塊諸如網(wǎng)絡(luò)發(fā)送(Net Sender) 530、聊天框532、發(fā)信器534、 WWW 536、 DOS 538、 MITM 540 、網(wǎng)纟各爬4亍(web crawler ) 542 、以及其j也不同的才莫塊544 。 在MS Windows NT 、 MS Windows 2000 、 MS Windows XP⑧以及 MS Windows 2003 中,網(wǎng)絡(luò)發(fā)送530提供小控制臺實體,以助于 通過網(wǎng)絡(luò)來向其他系統(tǒng)或用戶發(fā)送消息。聊天框532可以與網(wǎng)絡(luò)中 的用戶進行聊天。聊天框532可用作不同角色,諸如網(wǎng)絡(luò)管理員、 IT管理員等。聊天框532可以識別目標用戶的消息身份,并且之后 智能地與目標用戶進行交流以找到關(guān)于網(wǎng)絡(luò)的重要信息。在本發(fā)明 的實施例中,可以執(zhí)行用戶的過去和現(xiàn)在的行為分析,并且可以基 于該分析進行未來預(yù)測。可以通過從通信鏈接、用戶的互聯(lián)網(wǎng)動作、用戶的聊天使用等獲取的數(shù)據(jù)來執(zhí)行行為分析。本領(lǐng)域的普通技術(shù) 人員應(yīng)理解,以全自動方式執(zhí)4亍SE攻擊,而不需要人為干預(yù)。
發(fā)信器534可以生成欺騙的e-mail。這種e-mail看上去像是普 通郵件,但是他們的目標是通過誘導(dǎo)他/她相信郵件來自授權(quán)的源而 從用戶獲取重要數(shù)據(jù)。在實施例中,發(fā)信器534能夠?qū)⒓汆]件發(fā)送 至通過檢漏器(sniffer)連接的e-mail地址。4企漏器是軟件程序, 用于捕獲通過網(wǎng)絡(luò)的數(shù)據(jù)。檢漏器由黑客使用來捕獲用戶識別名稱 和密碼。其可以將心理上讓人感興趣的e-mail發(fā)送至目標用戶,/人 而誘使他/她執(zhí)行有利于黑客的動作,諸如在他/她的DPU上安裝代 理或暴露他/她的密碼。(萬維網(wǎng))WWW才莫塊536可以用來提供基 于網(wǎng)絡(luò)的為目標用戶收集的人口統(tǒng)計信息,以執(zhí)行社會工程攻擊。 在實施例中,WWW模塊536可以從經(jīng)常使用的社會和搜索網(wǎng)站(諸 如GoogleTM、 OrkutTM、 一般的工作門戶網(wǎng)站等)找到關(guān)于目標用 戶的信息。DOS ( Denial of Service attack,拒絕月良務(wù)攻擊)才莫塊538 執(zhí)行嘗試使主機資源不可以被用戶使用。這可以通過向受害機器發(fā) 送通信請求來實現(xiàn),使其不能響應(yīng)于合法用戶或緩慢響應(yīng),從而有 效的實現(xiàn)不可用。MITM模塊540檢測攻擊者與折衷的機器建立獨 立連接的數(shù)據(jù),并讀取折衷機器的用戶的數(shù)據(jù)。網(wǎng)絡(luò)爬行(crawler) 模塊542是軟件程序,可以通過搜索51擎創(chuàng)建一份或多份由用戶訪 問的網(wǎng)頁以備后續(xù)處理,該4叟索引擎可以索引網(wǎng)頁以4是供快速4臾 索。網(wǎng)絡(luò)爬行模塊542爬行來自發(fā)現(xiàn)的服務(wù)器的網(wǎng)頁并使用HTML 生成器才莫塊生成與原網(wǎng)頁相似的々支網(wǎng)頁,乂人而^U亍網(wǎng)絡(luò)仿冒
(phishing)攻擊。其他不同的才莫塊546包括但不限于監(jiān)聽器、以 及假存儲部模塊。假資源存儲部包括假主機的一個或多個可執(zhí)行主 機,諸如安全外殼(Secure Shell, SSH)和j艮的SSH文件傳輸協(xié)議
(SFTP)。監(jiān)聽器可以從TCP端口上的折衷網(wǎng)絡(luò)元件上的代理(既 有主代理也有從代理);險測到可能的連接。監(jiān)聽器512的主要目的 是接受來自代理的連接并將其與掃描控制器204進行注冊,使得掃描控制器204可以z使用這些代理來進4于信息收集并才丸^f于未來攻擊。 由一個或多個通信才莫塊收集的信息可以存儲在知識庫502中,其中 可以通過用于進一步對網(wǎng)絡(luò)#^亍SE攻擊的一個或多個AM戈理來4吏 用存儲在知識庫502中的信息。知識庫502還包括組織策略存儲部 504、人物脆弱性程序庫(dictionary) 506、人物心理模型508、信 任等級程序庫510、人物關(guān)系才莫型512、攻擊程序庫514、人物簡介 沖莫型516、攻擊策略知識庫518。組織策略存4諸部504存4諸關(guān)于網(wǎng) 絡(luò)的密碼策略、e-mail策略和即時信使策略的信息。人物脆弱性程 序庫506存儲關(guān)于與用戶相關(guān)的可能的脆弱性(即,用戶的所有可 能的動作)的信息,通過該信息,用戶會變得脆弱。人物脆弱性程 序庫506存儲諸如用戶點擊錯誤鏈接、用戶暴露重要信息(如密碼)、 用戶輕易信任陌生人、用戶使用弱密碼、用戶對不同賬號4吏用相同 密石馬等的〗言息。人物心理沖莫塊508存4諸人物的感情或4于為的特性, 諸如好奇、自戀、青澀、貪婪、謙恭、欲望、性欲、互惠、友善、 羞怯等。信任等級程序庫510存儲人物與攻擊者或陌生人、朋友、 團隊、親屬、上級等的任何一個的信任等級關(guān)系,而對用戶進行的 信任等級關(guān)系的相應(yīng)級別旨在折衷網(wǎng)絡(luò)。人物關(guān)系才莫塊512存儲關(guān) 于人物與網(wǎng)絡(luò)的關(guān)系和相關(guān)信任等級的信息。人物關(guān)系模塊存儲關(guān) 于職業(yè)的信息(諸如主要團隊以及組織的等級和部門)、包括關(guān)于 其家庭、親屬和朋友的信息的社會信息、陌生人信息以及關(guān)于人物 的個人賬戶的信息。攻擊程序庫514存+者關(guān)于脆弱性等級、其類型、 需要的信任等級以及攻擊的結(jié)果的信息,諸如升級人物簡介才莫塊、 獲耳又對網(wǎng)纟各資源的特纟又等。此外,脆弱性等級存4諸-渚如地址需求、 才莫擬使用、 一致性4吏用、4受權(quán)-使用、信任4吏用、地址幫助等信息。 人物簡介模塊516存儲用戶的特性或質(zhì)量,諸如他們的興趣、厭惡、 安全錯誤、當(dāng)前情緒狀態(tài)、個性、態(tài)度、網(wǎng)絡(luò)賬戶等,其有助于識 別用戶的類型或種類。攻擊策略知識庫518存儲對應(yīng)于對人物的可 能的SE攻擊的一個或多個攻擊策略。攻擊策略可以由用戶或通過 使用人工智能算法來添加或更新。在本發(fā)明的實施例中,可以通過遵照下面的實例中描述的順序來執(zhí)行SE攻擊。首先,為了發(fā)起SE 攻擊,SE系統(tǒng)識另ij IT管理員個人ID和IM細節(jié)。SE系統(tǒng)還識別 由受害的用戶使用的共同的網(wǎng)站門戶,而網(wǎng)站門戶上的受害用戶憑 證還有助于進一步特權(quán)增加,作為MAV生成中攻擊策劃的一部分。 此外,SE系統(tǒng)識別IT管理員具有受害用戶上4受4又的信任等級作為 共同角色和脆弱性的一部分。之后,SE系統(tǒng)將e-mail發(fā)送至受害 用戶,以將憑i正更新為其密碼改變策略的一部分。由SE系統(tǒng)發(fā)送 的e-mail看似是原e-mail,即,由4受4又的人或IT管理員發(fā)送的e-mail。 然后,SE系統(tǒng)開始對受害用戶進4亍SSL MITM攻擊,而受害用戶 會改變網(wǎng)站門戶的密碼。最后,SE系統(tǒng)能夠-渝看到受害用戶的密 碼,作為SSLMITM的一部分。類似地,通過由受害用戶^f吏用的信 使可以執(zhí)行另一個SE攻擊。由于SE攻擊,受害用戶被識別為具有 脆弱性,諸如忽視假認證警告、信任假e-mail等。圖6是示出了根 據(jù)本發(fā)明的實施例的對網(wǎng)絡(luò)的SE攻擊的SE系統(tǒng)流程的流程圖。步 驟602,掃描控制器204讀取對網(wǎng)絡(luò)的掃描參數(shù)以開始對網(wǎng)絡(luò)進行 掃描。步驟604,通過信息收集才莫塊524收集關(guān)于網(wǎng)絡(luò)的重要和非 重要信息。步驟606,基于在步驟604處收集的信息生成或再生成 MAV圖。此夕卜,通過攻擊策劃者526生成對生成的MAV圖的攻擊 策劃。步驟608,通過用戶的攻擊執(zhí)行者528執(zhí)行社會工程攻擊。 可以通過使用至少一個通信模塊來進行社會工程攻擊,通信模塊是 上述SE攻擊系統(tǒng)的一部分。步-驟610,更新諸如人物脆弱性程序 庫506和人物簡介才莫型516的信息。步驟612,攻擊策劃者528驗 i正目標是否達到或最大超時是否達到。如果目標已經(jīng)達到或者最大 超時已經(jīng)達到,則執(zhí)行步驟616。步驟616,從SE攻擊收集的信息 存儲在SE存儲部或知識庫224中。在步驟612,如果確定攻擊目 標尚未達到或者最大超時尚未達到,則處理返回到步驟604。之后, 整個處理再次重復(fù)以成功才丸4于SE攻擊。圖7是示出了才艮據(jù)本發(fā)明的實施例的多攻擊向量(multiple attack vector, MAV )引擎的組4牛的沖匡圖。在MAV生成期間,生成 攻擊圖以識別每條表示原子(atomic)攻擊順序的^各徑,其可以導(dǎo) 致至少一個網(wǎng)絡(luò)元件的潛在的折衷。原子攻擊被定義為當(dāng)特定在先 條件為真時對DPU的可能的攻擊。智能MAV生成階段的一個目標 是生成一個或多個目標的攻擊策劃并識別所有可能的網(wǎng)絡(luò)元件折 衷的方法。另 一 目標是對不同系統(tǒng)中的對于特定系統(tǒng)重要的多種脆 弱性進行優(yōu)選。可以基于諸如攻擊源、攻擊宿、給定的攻擊源和宿 的參tt以及用于最大化安全并最小化風(fēng)險的一個或多個參數(shù)來優(yōu) 選脆弱性。此外,這組攻擊包括DPU用戶的脆弱性和連接不同DPU 的通信《連接。
圖7是示出了根據(jù)本發(fā)明的實施例的MAV系統(tǒng)的組件的框圖。 圖7包括抽象信息模型702、 MAV生成器704、和攻擊策劃器706。 抽象信息^^莫型702存儲由多級攻擊收集的信息。由系統(tǒng)生成的信息 才莫型是簡化^^莫型,作為處理的一部分。在發(fā)現(xiàn)多級信息時更新信息 模型。MAV生成器704基于圖4步驟404收集的信息生成MAV圖。 攻擊策劃器706基于由MAV圖生成的信息策劃攻擊。在這個MAV 生成階段收集的信息可以存儲在一個或多個存儲部中。 一個或多個 存儲部包括脆弱性知識庫708、攻擊存儲部710、攻擊才莫版存儲部 712、攻擊策略存儲部714、信息模型716、檢測的脆弱性718、收 集的信息720、代理#:據(jù)庫722。脆弱性知識庫708存4諸脆弱性、 其元數(shù)據(jù)信息(如脆弱平臺)及其版本、遠程或局部應(yīng)用開發(fā)的脆 弱性等。攻擊存儲部710存儲與不同目標類型及其對應(yīng)脆弱性相關(guān) 的多攻擊向量。多攻擊向量(MAV)是一組可以導(dǎo)致折衷重要系統(tǒng) 的攻擊向量,其不可能具有對重要系統(tǒng)的直4妾脆弱性。攻擊向量祐: 定義為一組與DPU、通信鏈接和用戶上的不同的個別重要性的脆弱 性相關(guān)的4吏用/攻擊。每個攻擊均與在先條件以及在后條件相關(guān)。在 先條件包括與包含在攻擊中的多個實體相關(guān)的多個屬性或特征。例如,在先條件可以包^^攻擊者的連4妻、需要的特4又等、受害者的連 接、其脆弱性以及攻擊者和受害者之間的互連。在后條件包括在已 經(jīng)使用特定脆弱性之后獲取的特權(quán)或收集的數(shù)據(jù)。攻擊模版存儲部
712包括預(yù)定格式的每個攻擊的攻擊模版。對于每個攻擊,攻擊模 版存在于IVIZ攻擊定義語言(iADL )中。掃描控制器204包括iADL 解析器,用于解析攻擊模版并生成合適的攻擊限態(tài)機,其可以執(zhí)行 用來4企測網(wǎng)絡(luò)。攻擊策略存儲部714存儲對應(yīng)于一次或多次攻擊的 一個或多個策略。每個策略均具有一個類型,以及零個或多個子類 型,用于識別攻擊策略的種類。典型的類型可以包括注入(injection ) 攻擊、拒絕服務(wù)攻擊、密碼分析攻擊等。類似地,拒絕服務(wù)攻擊的 典型的子類型可以是DOS資源匱乏、DOS-系統(tǒng)崩潰、DOS策略 錯用。攻擊策略存儲部能夠從之前的攻擊中指定、存儲和學(xué)習(xí)新的 攻擊。這可以由系統(tǒng)用戶通過使用人工智能算法來實現(xiàn)。因此,MAV 系統(tǒng)是自學(xué)習(xí)的且本質(zhì)上是動態(tài)的。
信息模型716是由系統(tǒng)收集的信息的抽象表示。信息模型716 通過在攻擊的多個級的階段收集信息來創(chuàng)建。檢測的脆弱性718存 儲與DPU、通信鏈接以及用戶相關(guān)的脆弱性。收集的信息720存儲 關(guān)于網(wǎng)絡(luò)的信息,諸如網(wǎng)絡(luò)拓樸、訪問控制、集成度等。代理數(shù)據(jù) 庫722存儲代理特定信息。該信息可以是關(guān)于代理之間的交互和通 信、代理在網(wǎng)絡(luò)中的位置、其特權(quán)等級、以及運行代理的主機上的 資源訪問的數(shù)據(jù)。在本發(fā)明的實施例中,攻擊策略存4諸部以需要的 格式存儲信息或數(shù)據(jù)。每個攻擊策略均具有類型及其子類型、攻擊 者意圖、可用脆弱性、參與者、攻擊流、在先條件和在后條件、隨 后的攻擊以及相關(guān)的策略。每個策略均具有一個類型,以及零個或 多個子類型,其識別攻擊策略的種類。典型的類型包括注入攻擊、 拒絕服務(wù)攻擊、密碼分析攻擊等。例如,拒絕力良務(wù)攻擊的典型的實 例可以是DOS資源匱乏、DOS-系統(tǒng)崩潰、以及DOS策略4告用。 歸檔的攻擊者意圖識別攻擊者的想要的結(jié)果。這表示攻擊者的主目標和攻擊本身的目標。例如,DOS帶寬匱乏攻擊的攻擊意圖是^f吏目
標網(wǎng)站不能與合法的流量相接觸??蓱?yīng)用開發(fā)的脆弱性區(qū)域表示在 第一位置創(chuàng)造攻擊機會的脆弱性的類型或細節(jié)。參與者是需要該攻 擊成功的一個或多個實體。其包括受害者系統(tǒng)以及攻擊者和攻擊者
工具或系統(tǒng)組件。實體的名稱應(yīng)該伴隨有其在攻擊中的角色及其獨:
此交互的方法的簡述。攻擊區(qū)域的流表示攻擊如^T發(fā)生。每次攻擊
均必須有某些操作的內(nèi)容以及使攻擊成為可能的條件。有條件的且 在后的條件部描述了所需要的條件以及其他系統(tǒng)或環(huán)境在適當(dāng)位 置所需要的條件,以使攻擊成功。例如,對于能夠執(zhí)行整數(shù)溢出攻 擊的攻擊者,他們必須訪問至脆弱的應(yīng)用程序。在大多數(shù)的攻擊中
這會是普通的。然而,如果在目標運行在遠程RPC服務(wù)器上時脆弱
性僅暴露其自身,則這也是本文需要注意的情況。繼續(xù)的攻擊是可 以由該特定攻擊策略4吏能的任何其他的攻擊。例如,n沖器溢出攻
擊策略通常跟隨有特權(quán)攻擊、顛覆(subversion)攻擊或策劃木馬/ 后門(backdoor)攻擊的擴大。當(dāng)研究一種攻擊并識別可能已經(jīng)#1 4亍或策劃的其j也〗昝在攻擊時該區(qū)i或可以特別的有用。攻擊策略的區(qū) 域描述了當(dāng)前策略如何與存在的策略相關(guān)。
系統(tǒng)流程的流程圖。步驟802,在MAV生成階革殳中收集的信息由 MAV生成器704讀取,以基于收集的信息生成MAV圖,收集的信 息與網(wǎng)絡(luò)或由脆弱性評估階段提供的脆弱性信息有關(guān)。步驟804, 通過應(yīng)用數(shù)據(jù)挖掘算法執(zhí)行數(shù)據(jù)挖掘,以找到隱藏的任何重要的信 息,例如,憑i正、隱藏的URL等。該信息進一步可以用來實時生 成新的攻擊向量。步驟806,生成信息才莫型716,其為由至此全部 系統(tǒng)收集的信息的抽象表示。信息模型繼續(xù)創(chuàng)建并添加多級攻擊的 信息。步驟808,基于收集的示出所有用于折衷網(wǎng)絡(luò)的可能的路徑 的信息生成MAV圖。攻擊圖可以用來仿真并策劃對網(wǎng)絡(luò)的一個或 多個攻擊。攻擊圖是唯一的,而攻擊圖繼續(xù)用改變和影響網(wǎng)全各的參
29數(shù)中的信息來修改自身。此外,攻擊圖可以動態(tài)修改自身,因而修
改攻擊以^U于最大的;參透。步驟810,由攻擊策劃者708生成攻擊 策劃。攻擊策劃者708策劃攻擊并選擇對網(wǎng)纟各的成功攻擊的攻擊^各 徑。步驟812,運用應(yīng)用開發(fā)模塊、社會工程模塊以及鏈接分析模 塊來執(zhí)行攻擊策劃以折衷網(wǎng)絡(luò)。步驟812,在MAV生成階,殳收集 的信息凈皮更新至一個或多個存4諸部。 一個或多個存儲部包括脆弱性 知識庫708、攻擊存儲部710、攻擊策略存儲部712、信息模型714、 才企測的脆弱性716、收集的信息718、 ^理H據(jù)庫720。
圖9是才艮據(jù)本發(fā)明的實施例的用于仿真對網(wǎng)絡(luò)進4亍黑客攻擊的 網(wǎng)絡(luò)的示例性結(jié)構(gòu)。圖9示出了滲透檢測(PT)工具902、互聯(lián)網(wǎng) 122。目標網(wǎng)絡(luò)904包括主機Hl 906、防火墻908、主機H2 914、 主斗幾H4 916、主才幾H5 918、主才幾H3 932、網(wǎng)絡(luò)月良務(wù)器應(yīng)用程序Al 910、內(nèi)容管理月艮務(wù)應(yīng)用程序(CMS) A2 912、網(wǎng)絡(luò)瀏覽器應(yīng)用程 序A3 940、應(yīng)用月良務(wù)器A4 934、 LAN/子網(wǎng)944、網(wǎng)纟各2 936、管理 機器938、以及管理用戶942,網(wǎng)絡(luò)1 920還包括域名服務(wù)器(DNS) 928、數(shù)據(jù)庫930、 DNS應(yīng)用程序946、以及數(shù)據(jù)庫應(yīng)用程序948、 應(yīng)用程序A5 922、應(yīng)用程序A6 924、以及應(yīng)用程序A7 926。
在當(dāng)前實例中,將PT工具902力丈置在網(wǎng)絡(luò)904 (即,互耳關(guān)網(wǎng) 122)外部。滲透才企測工具902 ^是供控制臺202 4吏得用戶可以輸入 掃描參數(shù);掃描控制器204發(fā)起對網(wǎng)絡(luò)卯4的掃描。此外,掃描控 制器204啟動主代理以發(fā)起對網(wǎng)絡(luò)904的攻擊。管理員機器938對 具有在其上工作的管理用戶942的主^f、理可見。主4氣理開始收集關(guān) 于網(wǎng)絡(luò)904的信息。管理用戶942可以通過管理才幾器938訪問互聯(lián)L 網(wǎng)122。管理才幾器938運4亍網(wǎng)絡(luò)瀏覽器940,管理用戶942可以4吏 用該瀏覽器訪問互聯(lián)網(wǎng)122。主機Hl 908為網(wǎng)絡(luò)月良務(wù)器應(yīng)用程序 910和CMS (內(nèi)容管理服務(wù)器)應(yīng)用程序912作主機。主機H1卯8 是含在其上運行的網(wǎng)絡(luò)服務(wù)器910實例的網(wǎng)絡(luò)服務(wù)器。主機Hl卯8i殳置在防火墻906的DMZ區(qū)域內(nèi),通過防火墻906與LAN/子網(wǎng) 944分離。ot匕夕卜,主才幾H2 914、主才幾H4 916、 ^乂及主才幾H5 918處 于內(nèi)部LAN 944上。主才幾H3 932為應(yīng)用禾呈序月良務(wù)器934作主才幾。 主機H3 932是含有在其上運行的應(yīng)用程序月良務(wù)器實例934的應(yīng)用 程序服務(wù)器。此夕卜,DNS 928和數(shù)據(jù)庫930連接至網(wǎng)絡(luò)1 920。管 理用戶942訪問網(wǎng)絡(luò)服務(wù)器主機H1卯8、應(yīng)用程序服務(wù)器主機H3 932、主機H2 914、主機H4 916、以及主機H5 918。網(wǎng)絡(luò)1 920和 網(wǎng)絡(luò)2 936是可以乂人子網(wǎng)944訪問的。網(wǎng)絡(luò)1 920為諸如應(yīng)用程序 A5 922 、應(yīng)用程序A6 924 、以及應(yīng)用程序A7 926的多個應(yīng)用程序 作主才幾。這些應(yīng)用禾呈序A5 922、 A6 924以及A7 926分享4言^f壬關(guān)系 并使用用于解析數(shù)據(jù)庫應(yīng)用程序948的URL的DNS應(yīng)用程序946, 并且他們將數(shù)據(jù)存儲在數(shù)據(jù)庫930。網(wǎng)絡(luò)服務(wù)器主機H1 908可以具 有網(wǎng)絡(luò)應(yīng)用程序脆弱性。這是關(guān)于網(wǎng)絡(luò)904的由主代理收集的信息。 此外,基于收集的信息,主代理生成MAV圖。MAV的子集包括 多個主才幾等級安全脆弱'性(即,子集944中的主才幾H2 914、主機 H4 916、以及主機H5 918可以具有脆弱性),通信鏈接等級脆弱性 (即,包括子集944和DNS 928的網(wǎng)路對通信鏈接攻擊是敏感的), 人物脆弱性(即,管理用戶942對SE威脅可以是脆弱的)。然后做
徑。這里,例如,我們々支i殳在管理用戶942發(fā)起SE攻擊,而折衷 管理機器938。之后,在折衷的管理機器938上安裝新的代理以執(zhí) 行對網(wǎng)絡(luò)904的進一步攻擊。現(xiàn)在,新安裝的代理會開始獲得關(guān)于 網(wǎng)絡(luò)904的信息以折衷網(wǎng)路904的其他4幾器。由此,網(wǎng)絡(luò)滲透在多 級中繼續(xù)直至網(wǎng)纟各904凈皮完全突石皮。
種可能鴻-徑或備選方案的MAV圖的實例。乂人黑客攻擊開始,由系 統(tǒng)提供一個或多個掃描參數(shù),而系統(tǒng)創(chuàng)建主代理以發(fā)起對網(wǎng)絡(luò)的攻 擊。此外,主代理收集關(guān)于網(wǎng)絡(luò)的重要和非重要信息并且同時網(wǎng)絡(luò)的某部分對主代理變得可見。收集的信息可以存儲在信息模型中。
此外,基于收集的信息生成MAV圖,而MAV示出了折衷網(wǎng)絡(luò)的 多種可能的路徑。我們假設(shè)對網(wǎng)絡(luò)的 一 個或多個攻擊的三種可能的 備選方案。步艱《1002,我們/人MAV生成的步-驟開始。步4繁1004, 第一備選方案,通過對網(wǎng)絡(luò)中的目標用戶或管理用戶建立信任來應(yīng) 用開發(fā)人物的脆弱性以4斤衷管理才幾器。此外,在步驟1010中,在 折衷的管理機器上安裝代理。之后,步驟1016,將通信請求發(fā)送至 應(yīng)用服務(wù)器乂人而應(yīng)用JI良務(wù)器的緩沖器溢出,之后可以在應(yīng)用程序月l 務(wù)器框上安裝代理。由于安裝的代理可以訪問DNS應(yīng)用程序并且 代理可以執(zhí)行DNS投毒,從而導(dǎo)致步驟1022的應(yīng)用程序和數(shù)據(jù)庫 之間的DNS MITM攻擊。因此,步驟1026,代J里可以劫持所有應(yīng) 用程序會話并且可以訪問數(shù)據(jù)庫。此外,步驟1018,可以將ARP 技術(shù)或CAM擴散(flooding )技術(shù)用作對子網(wǎng)的MITM攻擊的另一 備選方案。步驟1024,用戶具有對應(yīng)用程序服務(wù)器的特權(quán)。步驟 1006,第二備選方案,用于折衷網(wǎng)絡(luò)的路徑是為了利用SQL注入或 PHP命令注入來訪問網(wǎng)絡(luò)服務(wù)器應(yīng)用程序或^會予其特權(quán)。此外,步 驟1012, SQL注入技術(shù)用來獲取對數(shù)據(jù)的特權(quán)。第三備選方案,利 用低等級和中等級的網(wǎng)絡(luò)服務(wù)器的威脅脆弱性,其允許特定數(shù)據(jù)或 記錄的暴露。步驟1008,可以收集記錄或K據(jù)。此外,步驟1014, 可以對收集的記錄或信息進行數(shù)據(jù)挖掘以找出或提取出CMS URL、 CMS憑證。之后,步驟1020, CMS URL或CMS憑證可以 用來訪問CMS應(yīng)用禾呈序。其他/沐問CMS應(yīng)用禾呈序的備選方案是4吏 用SQL注入4支術(shù)。
圖11是示出了根據(jù)本發(fā)明的實施例的多級信息模型的信息模 型的實例。為了發(fā)起對網(wǎng)絡(luò)的掃描,從系統(tǒng)中提供了一個或多個掃 描參凄史。此夕卜,系統(tǒng)啟動主^理1102。主代理1102收集關(guān)于網(wǎng)纟各 的重要和非重要信息。此外,創(chuàng)建信息模型以存儲由主代理1102
收集的信息,并在發(fā)現(xiàn)關(guān)于網(wǎng)絡(luò)的新信息時更新信息模型。網(wǎng)絡(luò)的用戶Ul 1138、網(wǎng)絡(luò)的主才幾h6 1106的管理可以訪問一個或多個應(yīng)用 程序,諸如應(yīng)用程序A5 1126、應(yīng)用程序A6 1128、應(yīng)用程序A7 1130 以及DNS 1116的DNS應(yīng)用程序A8 1132以及應(yīng)用禾呈序A9 1134。 主機h6 1106作網(wǎng)全各瀏覽器應(yīng)用禾呈序A3 1136的主才幾。子網(wǎng)還估文應(yīng) 用程序服務(wù)器h3 1114的主才幾,用于主持在其上運4于的應(yīng)用程序?qū)?例A4 1124。 一個或多個應(yīng)用程序?qū)儆谶壿嫿MGl。主才幾hlll04為 兩個應(yīng)用程序(諸如網(wǎng)絡(luò)服務(wù)器應(yīng)用程序1120 Al和CMS服務(wù)器 1122A2)作主才幾。此外,為創(chuàng)建信息才莫型收集的多級信息包括級 1,主代理經(jīng)郵件通過互耳關(guān)網(wǎng)訪問1102用戶Ul 1138,并且同時通 過HTTP通道訪問網(wǎng)絡(luò)月良務(wù)器。級2,通過利用級l中的數(shù)據(jù)并通 過培養(yǎng)信任關(guān)系Ul 1138(與剩下的內(nèi)部LAN分享以及主才幾hl 1104 與一皮主持的一個或多個應(yīng)用程序和基本的凄t據(jù)庫1118分享)進行教: 據(jù)收集。子網(wǎng)變得對主4戈理可見。該級的婆t據(jù)收集包4舌主才幾h2 1110、 主才幾h3 1114、主才幾h4 1108、主4幾h5 1112以及在主才幾h3 1114上主 持的應(yīng)用程序?qū)嵗鼳4 1124。級3,主1102 4戈理利用與應(yīng)用程序A5 1126建立的信任關(guān)系,應(yīng)用程序A6 1128和應(yīng)用程序A7 1130與 DNS實例A8 1132以及凄史據(jù)庫實例1134 A9分享。在該級中,DNS 實例A8 1132和凄t悟庫實例A9 1134變礙^于主^f戈理1102是可見的。 收集的信息將繼續(xù)添加至信息模型,其可以用于MAV生成和對網(wǎng) 絡(luò)的攻擊。之后,收集的信息可以存儲在信息模型中,用于對網(wǎng)絡(luò) 進4亍一次或多次攻擊。
本發(fā)明提供了用來尋找與包含了人(用戶)和連接至DPU網(wǎng) 絡(luò)的通信《連4妄的DPU網(wǎng)絡(luò)相關(guān)的脆弱性的方法、系統(tǒng)以及計算;+幾 程序產(chǎn)品。本發(fā)明有很多優(yōu)點,諸如提供了一種按需進行的滲透檢 測方法,其本質(zhì)上是真正的自動和分散。此外,本發(fā)明提供了基于 MAV的滲透一企測方法,其中MAV可以用于攻擊策劃和應(yīng)用。本發(fā) 明還提供了一種代理框架,以l丸行無/最小人工干預(yù)的多級攻擊。本 發(fā)明還提供了一種完整的SE結(jié)構(gòu)自動化。本發(fā)明還提供了自學(xué)習(xí)
33環(huán)境,其應(yīng)用了人工算法以更新攻擊策略和攻擊^見則。本發(fā)明還沖是供了框架,以集成一個或多個屬性或第三方工具以及具有選自包括有脆弱性工具、社會工程工具、應(yīng)用工具等的組的一個或多個工具的產(chǎn)品,以才是升對網(wǎng)絡(luò)的黑客攻擊的影響。
如本發(fā)明中所述的系統(tǒng)及其^f壬何組件可以以計算才幾系統(tǒng)的形式實施。計算機系統(tǒng)的典型實例包括多功能計算機、編程的微處理器、樣丈控制器、外圍集成電^各單元、以及能夠?qū)峖L組成本發(fā)明的方法的步驟的其他裝置或裝置的安排。
如本發(fā)明或者其部分中的任意 一 個中所描述的系統(tǒng)可以以計算機系統(tǒng)的形式實現(xiàn)。計算機系統(tǒng)的典型實例包括通用計算機、編程微處理器、孩i控制器、外圍集成電路元件、以及其他裝置或能夠?qū)崿F(xiàn)構(gòu)成本發(fā)明的方法的步驟的裝置的配置。
計算才幾系統(tǒng)通常包括計算才幾、輸入裝置、顯示單元和互耳關(guān)網(wǎng)。
計算機包括孩i處理器。樣i處理器可以是諸如Pentium⑧、Centrino⑧、Power PC 、以及婆t字4言號處理器的一個或多個通用或?qū)S锰幚砥?。孩史處理器連一妻至通信總線。計算4幾還包括存^f諸器,其可以包括隨枳^存取存儲器(RAM)和只讀存儲器(ROM)。進一步地,計算機系統(tǒng)包括存儲裝置,其可以是硬盤驅(qū)動或諸如軟盤驅(qū)動器、光盤驅(qū)動器等的可移動存儲驅(qū)動器。存儲裝置還可以是用于在計算機系統(tǒng)上裝載計算機程序或其他指令的其他類似裝置。計算機系統(tǒng)還包括諸如鼠標和4建盤的一個或多個用戶車lr入裝置、以及i者如顯示單元和揚聲器的一個或多個輸出裝置。
計算才幾系統(tǒng)包4舌才喿作系統(tǒng)(OS ),諸如Windows 、 Windows CE、Mac、 Linux、 Unix、蟲奪窩電^舌OS、或私有OS。計算機系統(tǒng)執(zhí)行存儲在一個或多個存儲元件中的指令集以處理輸入lt據(jù)。存儲元件還可以才艮據(jù)需要保存凄t據(jù)或其他信息。存儲元件可以是信息源或存在于處理才凡中的物理存儲元件。
指令集可以包括指示處理枳4丸行特定任務(wù)(^者如構(gòu)成本發(fā)明的
方法的步驟)的各種指令。指令集可以是軟件程序的形式。軟件可以是諸如系統(tǒng)軟件或應(yīng)用軟件的各種形式。進一步地,軟件可以是獨立程序的組合、具有更大程序的程序模塊、或程序模塊的一部分的形式。專欠件還可以包纟舌以面向?qū)ο缶幊绦纬傻牟拍獕K化程序i殳計并
且可以4吏用i者如C、 C+十和Java的任何合適的語言。通過處理才幾對輸入數(shù)據(jù)的處理可以響應(yīng)于用戶命令、前一處理的結(jié)果、或由另一處J里才幾作出的諱-求。
盡管已討論并描述本發(fā)明的實施例,但是本發(fā)明并不僅限于這些實施例。多個修改、改變、變化、更替和替換在不背離本發(fā)明的范圍的情況下(如權(quán)利要求中所述)對于本領(lǐng)域的普通技術(shù)人員來"i兌是顯而易見的。
權(quán)利要求
1.一種用于仿真對網(wǎng)絡(luò)的黑客攻擊的方法,用于評估所述網(wǎng)絡(luò)的脆弱性,其中,所述網(wǎng)絡(luò)包括多個數(shù)據(jù)處理單元(DPU)、多個用戶以及多個通信鏈接中的至少一個,所述方法包括(a)從系統(tǒng)接收一個或多個掃描參數(shù);(b)由所述系統(tǒng)創(chuàng)建至少一個主代理以收集關(guān)于所述網(wǎng)絡(luò)的信息,其中,所述信息涉及關(guān)于所述網(wǎng)絡(luò)的重要和非重要信息;(c)對所述網(wǎng)絡(luò)執(zhí)行社會工程分析,以找到與所述多個用戶相關(guān)聯(lián)的脆弱性;(d)對在兩個或多個用戶之間或所述多個DPU之間發(fā)生的通信執(zhí)行鏈接分析,以找到重要信息流作為通信的結(jié)果;(e)創(chuàng)建或更新信息模型,其中,所述信息模型包括由所述至少一個主代理收集的關(guān)于所述多個DPU、所述多個用戶、所述多個通信鏈接以及他們的關(guān)系的信息;(f)基于在所述信息模型中收集的信息和所述一個或多個掃描參數(shù)生成多攻擊向量(MAV)圖;(g)基于所述MAV圖發(fā)起一次或多次攻擊以威脅所述網(wǎng)絡(luò),其中,所述一次或多次攻擊可以是來自包括有自動的社會工程攻擊、通信鏈接攻擊以及DPU應(yīng)用開發(fā)攻擊的組中的一個或多個;(h)在所述受威脅的網(wǎng)絡(luò)上安裝至少一個從代理,以以分散的形式執(zhí)行所述一次或多次攻擊;(i)使用所述至少一個從代理以及所述至少一個王代理,通過重復(fù)(b)(c)(d)(e)(f)(g)和(h)來執(zhí)行多級攻擊;以及(j)由所述系統(tǒng)生成報告,其中,所述報告包括關(guān)于所述受威脅的網(wǎng)絡(luò)的細節(jié)以及所述網(wǎng)絡(luò)的脆弱性。
2. 根據(jù)權(quán)利要求1所述的方法,其中,所述一個或多個掃描參數(shù) 可以是來自包括有預(yù)定掃描時間、掃描范圍、關(guān)于所述網(wǎng)絡(luò)的 信息等的組中的一個或多個。
3. 根據(jù)權(quán)利要求1所述的方法,還包括在對所述網(wǎng)絡(luò)進行威脅之 后修改所述MAV圖,其中,修改所述MAV圖以利用有關(guān)受 到所述一次或多次攻擊的所述受威脅的網(wǎng)絡(luò)的信息。
4. 根據(jù)權(quán)利要求1所述的方法,還包括通過以所述系統(tǒng)需要的格 式添加新的攻擊以及對應(yīng)的攻擊策略來4是升所述系統(tǒng)生成所 述MAV圖的能力。
5. 根據(jù)權(quán)利要求1所述的方法,還包括通過應(yīng)用基于定制開發(fā)的 遺傳和人工智能(AI)算法的自學(xué)算法來提升所述系統(tǒng)生成 所述MAV圖的能力。
6. ,艮據(jù)纟又利要求1所述的方法,還包括使能所述至少一個主代理 和所述至少一個乂人4戈理之間的持續(xù)的交互,其中,所述交互包 才舌所述至少一個主^理的協(xié)調(diào)、策劃、監(jiān)4空以及重選。
7. 根據(jù)權(quán)利要求1所述的方法,其中,執(zhí)行所述自動的社會工程 攻擊以訪問涉及所述多個用戶的重要信息,可以通過執(zhí)行人物 思想心理的建才莫、創(chuàng)建人物簡介、模仿或建立攻擊者與目標之 間的信任并選擇和發(fā)起攻擊、偷看來自所述網(wǎng)絡(luò)的郵件以模仿所述多個用戶、制作該郵件的回復(fù)、將惡意鏈接包括在該回復(fù) 中、引i秀所述多個用戶泄漏所述重要信息中的至少一種來沖丸4亍 所述自動的社會工程攻擊。
8. 根據(jù)權(quán)利要求1所述的方法,其中,執(zhí)行所述通信鏈接攻擊以 應(yīng)用開發(fā)與網(wǎng)絡(luò)和通信協(xié)議相關(guān)的脆弱性以訪問與所述網(wǎng)絡(luò) 相關(guān)的保密信息,其中,所述保密信息可以是來自包括有至少 一個用戶名、至少一個密石馬、至少一個e-mail i也址、至少一 個網(wǎng)絡(luò)拓樸以及所述多個用戶與所述多個DPU之間的所述多 個通信鏈4妄中的至少一個的組中的一個或多個。
9. 根據(jù)權(quán)利要求1所述的方法,還包括在多個級中執(zhí)行黑客攻 擊,包4舌(a) 在第一級中通過經(jīng)互耳關(guān)網(wǎng)訪問所述網(wǎng)全各并同時經(jīng) HTTP通道訪問網(wǎng)絡(luò)服務(wù)器來收集數(shù)據(jù),其中,所述網(wǎng)絡(luò)可以 訪問子網(wǎng)絡(luò),所述子網(wǎng)絡(luò)將多個應(yīng)用程序連同DNS應(yīng)用程序 和凝:據(jù)庫應(yīng)用禾呈序 一起進4亍托管;(b) 利用來自所述第一級的數(shù)據(jù),并培養(yǎng)所述網(wǎng)絡(luò)與一 組相鄰網(wǎng)絡(luò)分享的信任關(guān)系;以及(c )使用所述多個應(yīng)用程序與所述DNS應(yīng)用程序和所述 數(shù)據(jù)庫應(yīng)用程序分享的所述信任關(guān)系來執(zhí)行所述黑客攻擊。
10. 根據(jù)權(quán)利要求1所述的方法,還包括將一個或多個屬性或第 三方工具和產(chǎn)品與一個或多個工具集成在一起,所述一個或多 個工具選自包括有用于捕獲所述信息^^莫型中的信息的脆弱性 工具、社會工程工具、應(yīng)用開發(fā)工具等的組中,用于基于所述 信息才莫型生成所述MAV圖,以及用于發(fā)起所述一次或多次攻 擊,以提升對所述網(wǎng)絡(luò)進行所述黑客攻擊的影響。
11. 根據(jù)權(quán)利要求1所述的方法,還包括按照軟件按照服務(wù)模型來 托管所述系統(tǒng),使用戶能夠描述所述服務(wù),發(fā)起所述一次或多 次攻擊并在互耳關(guān)網(wǎng)上在線生成才艮告。
12. —種用于仿真對網(wǎng)絡(luò)的黑客攻擊的系統(tǒng),用于評估所述網(wǎng)絡(luò)的 脆弱性,其中,所述網(wǎng)絡(luò)包括多個凝:據(jù)處理單元(DPU)、多 個用戶以及多個通信《連4妻中的至少一個,所述系統(tǒng)包括(a) 自動的社會工程(SE)結(jié)構(gòu),用于收集與所述多個 用戶相關(guān)的敏感信息;(b) 通信《連沖妄框架,用于識別與所述網(wǎng)絡(luò)和通信協(xié)議相 關(guān)的脆弱性;以及(c) 多攻擊向量引擎(MAV),用于存儲MAV圖,所述 MAV圖示出了可以威脅所述網(wǎng)絡(luò)的所有可能的路徑。
13. 才艮據(jù)—又利要求12所述的系統(tǒng),其中,所述SE結(jié)構(gòu)進一步包 括(a) SE數(shù)據(jù)庫,用于存儲由SE分析收集的信息;(b) SE知識庫,用于存儲來自包括有人物關(guān)系模型、攻 擊程序庫、攻擊策略知識庫、組織策略、信4壬等級程序庫、人 物脆弱性程序庫、人物心理模型、人物關(guān)系模型、以及人物簡 介模型的組中的一個或多個信息;以及(c) SE控制器,用于與一個或多個通信模塊進行通信。
14. 根據(jù)權(quán)利要求12所述的系統(tǒng),其中,所述多攻擊向量引擎進 一步包4舌(a)攻擊存儲部,用于存儲與所述網(wǎng)絡(luò)和所述網(wǎng)絡(luò)的脆 弱性相關(guān)的 一次或多次攻擊;(b) 攻擊策略存^f諸部,用于存^f諸對應(yīng)于所述一次或多次 攻擊的攻擊策略,其中,所述攻擊策略可以由用戶和人工算法 來更新;(c) ^C理凝:據(jù)庫,用于存<諸與至少一個主〗氣理和至少一 個從代理相關(guān)的信息;(d) 信息;漠型,用于在已經(jīng)對所述網(wǎng)絡(luò)進行了所述一次 或多次攻擊之后存儲與所述網(wǎng)絡(luò)相關(guān)的信息;以及(e) 知識庫,用于存儲一個或多個功能模塊以及與所述 一個或多個所述功能模塊中的每一個均相關(guān)的庫。
15. 根據(jù)權(quán)利要求12所述的系統(tǒng),還包括至少一個從代理,其中, 所述至少一個從代理在所述受威脅的網(wǎng)絡(luò)上復(fù)制并且彼此之 間相十辦調(diào),以分散的方式才iU'亍一次或多次攻擊。
16. —種用于計算斥幾的計算積4呈序產(chǎn)品,用于評估所述網(wǎng)絡(luò)的脆弱 性,所述計算才幾程序產(chǎn)品包括計算才幾可用的介質(zhì),所述介質(zhì)中 包括有計算機可讀的程序編碼,用于仿真對網(wǎng)絡(luò)的黑客攻擊, 其中,所述網(wǎng)絡(luò)包括多個數(shù)據(jù)處理單元(DPU)、多個用戶以 及多個通信鏈接中的至少 一個,所述的計算機程序編碼包括(a) 用于接收一個或多個掃描參數(shù)的程序指令模塊;(b) 用于創(chuàng)建至少一個主代理的程序指令模塊;(c )用于對所述網(wǎng)絡(luò)進行社會工程分析的程序指令模塊;(d)用于對兩個或多個用戶或所述多個DPU之間的通 信進行鏈接分析的程序指令模塊;(e )用于創(chuàng)建或更新信息模型的程序指令模塊;(f) 用于基于在所述信息模型中收集的信息和所述一個 或多個掃描參數(shù)生成多攻擊向量圖的程序指令模塊;(g) 用于對所述網(wǎng)紹4M亍一次或多次攻擊以威脅所述網(wǎng)絡(luò)的程序指令模塊;(h) 用于在所述威脅的網(wǎng)絡(luò)中安裝至少一個代理的程序 指令模塊;(i) 用于通過重復(fù)(b)、 (c)、 (d)、 (e)、 (f)、 (g)以 及(h) Y吏用所述至少一個乂人^^理和所述至少一個主^C理來沖丸 行多級攻擊的程序指令模塊;以及(j)用于生成包含關(guān)于所述受威月辦的網(wǎng)絡(luò)和所述受威脅 的網(wǎng)絡(luò)的脆弱性的細節(jié)的報告的程序指令模塊。
17. —種用于評估多個用戶的網(wǎng)絡(luò)的脆弱性的方法,所述多個用戶 在所述網(wǎng)全備中^皮此交互,所述方法包4舌(a) 4妄收所述網(wǎng)絡(luò)的一個或多個掃描參凄丈;(b )創(chuàng)建至少 一個代理以收集關(guān)于所述多個用戶的信 息,其中,所述信息與關(guān)于所述多個用戶及其結(jié)構(gòu)和私人關(guān)系的重要和非重要信息有關(guān);以及(c)對所述多個用戶^^亍自動的社會工程分析,以找到 與所述網(wǎng)絡(luò)相關(guān)的脆弱性。
18. —種用于仿真對網(wǎng)纟各的黑客攻擊的方法,用于評估所述網(wǎng)纟備的 脆弱性,其中,所述網(wǎng)絡(luò)包括多個凝:據(jù)處理單元(DPU)、多 個用戶以及多個ii/f言鏈4妻中的至少一個,所述方法包4舌(a)創(chuàng)建或更新信息模型,其中,所述信息模型包括關(guān) 于所述網(wǎng)絡(luò)而收集的信息;(b )基于在所述信息模型中收集的信息和所述一個或多 個掃描參數(shù)生成多攻擊向量(MAV)圖;(c) 基于所述MAV圖發(fā)起一次或多次攻擊以威脅所述 網(wǎng)絡(luò),其中,所述一次或多次攻擊可以是來自包括有自動的社 會工程攻擊、通信鏈接攻擊以及DPU應(yīng)用開發(fā)攻擊的組中的 一個或多個;(d) 由所述系統(tǒng)生成報告,其中,所述報告包括關(guān)于所 述受威脅的網(wǎng)絡(luò)以及所述網(wǎng)絡(luò)的脆弱性的細節(jié)。
19. 根據(jù)權(quán)利要求18所述的方法,還包括多攻擊向量(MAV)圖 的能力,用于〗吏與多個數(shù)據(jù)處理單元(DPU)、多個用戶和多 個通信鏈接中的至少 一個相關(guān)的多個低級和中級嚴重的脆弱 性相結(jié)合,使與信息模型相結(jié)合的脆弱性相關(guān)聯(lián)并產(chǎn)生可以使 所述網(wǎng)絡(luò)受威脅的高級嚴重的攻擊3各徑。
20. —種用于仿真對網(wǎng)絡(luò)的黑客攻擊的方法,用于評估所述網(wǎng)絡(luò)的 脆弱性,其中,所述網(wǎng)絡(luò)包括多個凄t據(jù)處理單元(DPU)、多 個用戶以及多個通信《連4妄中的至少 一個,所述方法包括從多個代理中收集關(guān)于所述網(wǎng)絡(luò)的信息,其中,所述信 息與所述多個DPU、多個用戶、以及多個通信《連4妄中的至少 一個相關(guān);創(chuàng)建或更新信息模型,其中,所述信息模型包括由所述 多個代理收集的信息;基于所述信息才莫型發(fā)起 一 次或多次攻擊以威脅所迷網(wǎng) 絡(luò),其中,所述一次或多次攻擊可以是來自包括有自動的社會 工禾呈攻擊、通4言鏈4妻攻擊以及DPU應(yīng)用開發(fā)攻擊的組中的一 個或多個;由所述系統(tǒng)生成報告,其中,所述報告包括關(guān)于所述受 威脅的網(wǎng)絡(luò)以及所述網(wǎng)絡(luò)的脆弱性的細節(jié)。
全文摘要
本發(fā)明描述了一種用于仿真對網(wǎng)絡(luò)的黑客攻擊的方法,其中,網(wǎng)絡(luò)包括多個數(shù)據(jù)處理單元(DPU)、多個用戶以及多個通信鏈接中的至少一個,用于評估網(wǎng)絡(luò)的脆弱性。方法包括從系統(tǒng)接收一個或多個掃描參數(shù)。此外,方法包括由系統(tǒng)創(chuàng)建至少一個主代理以收集關(guān)于網(wǎng)絡(luò)的信息,其中,信息與關(guān)于網(wǎng)絡(luò)的重要和非重要信息有關(guān)。該方法包括創(chuàng)建信息模型,然后在黑客攻擊期間遞增地升級信息模型。信息模型是由系統(tǒng)收集的信息的抽象表示。此外,該方法包括基于一個或多個掃描參數(shù)和信息模型生成多攻擊向量(MAV)圖。MAV具有一種能力,以使與數(shù)據(jù)處理單元(DPU)、用戶和通信鏈接相關(guān)的多個低級和中級嚴重的脆弱性相結(jié)合,使與信息模型相結(jié)合的脆弱性相關(guān)聯(lián)并產(chǎn)生可以使網(wǎng)絡(luò)受威脅的高級嚴重的攻擊路徑。此外,該方法包括基于MAV圖發(fā)起一次或多次攻擊,以使網(wǎng)絡(luò)受威脅。該方法還包括在受威脅的網(wǎng)絡(luò)上安裝至少一個從代理來以分散的方式執(zhí)行一次或多次攻擊。此外,該方法包括通過重復(fù)上述步驟使用至少一個從代理和至少一個主代理來執(zhí)行多級攻擊。最后,該方法包括由掃描控制器生成報告,其中,該報告包括關(guān)于網(wǎng)絡(luò)的脆弱性以及受威脅的網(wǎng)絡(luò)的細節(jié)。
文檔編號G06F21/00GK101682626SQ200880017342
公開日2010年3月24日 申請日期2008年5月22日 優(yōu)先權(quán)日2007年5月24日
發(fā)明者尼蘭揚·德, 比卡什·巴萊 申請人:愛維技術(shù)解決方案私人有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1