一种面向软件供应链的攻击表征方法与装置 专利技术说明

电子通信装置的制造及其应用技术1.本发明属于信息安全技术领域，具体涉及一种面向软件供应链的攻击表征 方法与装置。背景技术：2.目前，网络安全形势已进入崭新的时代，随着开源协作模式的不断发展， 软件的构成和开发过程都发生了巨大的变化，软件开发更加关注敏捷和高效， 基础功能通常会优先考虑复用相关的开源软件，在开源协作模式下，软件之间 的依赖关系将会变得更加普通和复杂。当恶意攻击者通过受信任的第三方合作 伙伴或提供商的软件上安装的恶意软件获得对组织系统的访问权时，就会发生 软件供应链攻击，这给开发人员和终端用户带来了重大的安全风险。3.当前对于供应链攻击的唯一定义很难达成一致，这是由于供应链攻击存在 复杂性的特点。当前供应链攻击的复杂性导致无法达成通用表征主要表现在： 攻击者、供应商和客户在关联上的挖掘存在难度，没有统一的标准去表征供应 链的攻击；对于攻击的来源没有标准，容易使一些无意的错误被误判为供应链 攻击；通常在供应链攻击中，对于供应链和客户资产要有明确的描述，否则也 无法构成供应链攻击。因此，如何利用攻击元组和关联元组，建立攻击者、供 应商和客户之间的通用表征模型，以更好地解释和归纳供应链攻击，是当前防 范软件供应链攻击中的一个关键科学问题。技术实现要素：4.本发明的目的之一在于提供一种面向软件供应链的攻击表征方法，实现针 对供应链攻击的有效表征。5.为实现上述目的，本发明所采取的技术方案为：6.一种面向软件供应链的攻击表征方法，所述面向软件供应链的攻击表征方 法，包括：7.步骤1、获取应用数据集，应用数据集包含供应链的攻击者、供应商和客户；8.步骤2、根据攻击者对供应商和客户的攻击进行解析，生成攻击元组，包括：9.步骤2.1、提取攻击者用于破坏供应链的具体攻击操作，根据具体攻击操作 的归属将其归纳为att&ck模型的攻击技术；10.步骤2.2、提取攻击的攻击者与被攻击者，解析数据流方向与攻击目标，生 成包含攻击者、攻击技术、被攻击者、数据流方向和攻击目标的攻击元组；11.步骤3、根据供应商和客户的供求关系，生成关联元组，包括：12.步骤3.1、提取攻击中供应商和客户之间的供求关系；13.步骤3.2、提取供求关系中的主体信息与客体信息，解析数据流方向与感染 源，生成包含主体信息、供求关系、客体信息、数据流方向和感染源的关联元 组；14.步骤4、将针对同一攻击的攻击元组和关联元组聚合形成攻击链闭环，将攻 击链闭环作为完整的软件供应链的攻击表征。15.以下还提供了若干可选方式，但并不作为对上述总体方案的额外限定，仅 仅是进一步的增补或优选，在没有技术或逻辑矛盾的前提下，各可选方式可单 独针对上述总体方案进行组合，还可以是多个可选方式之间进行组合。16.作为优选，所述攻击元组包括攻击者到供应商的攻击元组以及攻击者到客 户的攻击元组。17.作为优选，所述根据具体攻击操作的归属将其归纳为att&ck模型的攻击 技术，包括：18.若攻击技术包含子技术，则先将具体攻击操作向上归纳至子技术，再由子 技术向上归纳至攻击技术；若攻击技术不包含子技术，则直接由具体攻击操作 向上归纳至攻击技术。19.作为优选，所述攻击技术中用于危害供应商的攻击技术包括：暴力攻击、 伪造网络凭证、劫持执行流程、软件发现、建立账户、利用客户端执行和逃到 宿主；20.所述攻击技术中用于危害客户的攻击技术包括：输入捕捉、信任关系、路 过妥协、网络钓鱼、硬件添加和进程注入。21.作为优选，所述攻击目标中针对供应商的攻击目标包括：已有软件、软件 库、代码、配置、数据、过程和硬件；22.所述攻击目标中针对客户的攻击目标包括：数据、个人资料、软件、过程、 带宽和金融。23.作为优选，所述关联元组的感染源为攻击者针对供应商或客户的攻击目标， 取针对供应商和客户的攻击目标两者在攻击中首先被攻击的一者。24.本发明提供的面向软件供应链的攻击表征方法，提取攻击者、供应商与客 户间的关联信息，构建五元攻击元组与关联元组，聚合攻击元组与关联元组形 成攻击链闭环，表征为完整的软件攻击链攻击，实现对攻击连攻击的有效表征， 提高软件供应链攻击的检测技术。25.本发明的目的之二在于提供一种面向软件供应链的攻击表征装置，实现针 对供应链攻击的有效表征。26.为实现上述目的，本发明所采取的技术方案为：27.一种面向软件供应链的攻击表征装置，包括处理器以及存储有若干计算机 指令的存储器，所述计算机指令被处理器执行时实现所述面向软件供应链的攻 击表征方法的步骤。附图说明28.图1为本发明的面向软件供应链的攻击表征方法的流程图；29.图2为本发明的完整软件供应链攻击图。具体实施方式30.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全 部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性 劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。31.除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术 领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术 语只是为了描述具体的实施例的目的，不是在于限制本发明。32.其中一个实施例中，提供一种面向软件供应链的攻击表征方法，以寻求更 高的效率和更好的策略处理供应链攻击。本实施例表征后得到的攻击链闭环实 现了软件供应链攻击的统一标准表示，建立的攻击者、供应商和客户之间的通 用表征模型，可用更好地解释和归纳供应链攻击，为供应链攻击检测识别以及 检测模型训练等奠定基础。33.如图1所示，本实施例的面向软件供应链的攻击表征方法，包括以下步骤：34.步骤1、获取应用数据集，应用数据集包含供应链的攻击者、供应商和客户。35.本实施例提出的软件供应链的攻击表征方法，关键在于对供应链攻击事件 切割模块，归纳为不同元组，对攻击技术、攻击目标以及数据流方向可以准确 的表示。36.本实施例收集2020年1月到2021年7月闻名的供应链攻击事件如表1所 示，以其中的solarwinds供应链事件为例进行表征说明。37.表1 2020年1月到2021年7月初供应链攻击的总结、分析和验证38.[0039][0040]步骤2、根据供应链攻击者对供应商和客户的攻击进行解析，生成攻击元组。[0041]步骤2.1、提取攻击者用于破坏供应链的具体攻击操作，根据具体攻击操作 的归属将其归纳为att&ck模型的攻击技术。[0042]根据供应链攻击者用于破坏供应链的具体攻击操作，可以归纳为att&ck 模型上的攻击技术，形成统一的标准。若att&ck模型上的攻击技术拥有子技 术，则可将具体攻击操作先归纳为子技术，再归纳为最顶层的攻击技术。[0043]本实施例定义攻击元组为(m,t,n,d,i)，其中m为主体信息，代表供应链的 攻击者；t为攻击技术；n为客体信息，代表供应链的被攻击者，包括供应商或 客户；d代表数据流方向；i代表攻击目标，即攻击所要获得的资产。因此本实 施例的攻击元组包括攻击者到供应商的攻击元组以及攻击者到客户的攻击元组。[0044]在solarwinds供应链攻击中，用于破坏供应链的攻击技术中有猜测ssh密 码，猜测web登录，kerberos攻击等。根据att&ck模型，暴力攻击在att&ck 模型中可分解为4个子技术，分别为密码猜测、密码破解、密码喷洒和凭证填 充。密码猜测的具体攻击操作有猜测ssh密码，所以可将solarwinds供应链的 攻击技术归纳为暴力攻击。[0045]具体的，本实施例用于危害供应链中供应商的部分攻击技术如表2所示， 用于危害供应链中客户的部分攻击技术如表3所示。[0046]表2用于危害链中供应商的部分攻击技术[0047]名称具体攻击操作暴力攻击例如：猜测ssh密码，猜测web登录伪造网络凭证例如：从被盗的密钥生成cookie值绕过设置。劫持执行流程例如：用恶意代码代替程序执行的正常流程软件发现例如：查询注册表获取已安装的应用程序建立账户例如：创建传记部分并张贴在论坛线程中利用客户端执行例如：利用客户端软件漏洞执行逃到宿主例如：部署特权容器来挂载受害者机器的文件系统[0048]表3用于危害客户的部分攻击技术[0049]名称具体攻击操作输入捕捉例如：用windows挂钩接口进行信息搜集、用工具执行键盘记录信任关系例如：信任证书，信任自动更新，信任自动备份路过妥协例如：网站中的恶意脚本用恶意软件感染用户网络钓鱼例如：冒充供应商的消息、虚假的更新通知硬件添加例如：使用笔记本电脑连接到公司本地网络进程注入例如：将代码注入进程、将加密dll加载到内存并执行[0050]步骤2.2、提取攻击的攻击者与被攻击者，解析数据流方向与攻击目标，生 成包含攻击者、攻击技术、被攻击者、数据流方向和攻击目标的攻击元组。[0051]通过对solarwinds攻击的分析，攻击者破坏了solarwinds并修改了orion 软件的代码。客户中的orion实例被恶意软件更新，使得攻击者能够访问客户 的数据。则攻击者对供应链中供应商的攻击目标为：过程与代码。攻击者对供 应链中客户的攻击目标为：数据。[0052]通过对攻击技术的分析，发现攻击者使用了猜测ssh密码与工具执行键盘 记录，可以归纳为att&ck子技术密码猜测和键盘记录，再归纳为att&ck 模型的攻击技术：暴力攻击与输入捕获。对于暴力攻击，数据流方向是从攻击 者到供应商；对于输入捕获，数据流方向是从客户到攻击者。由此可以得到两 个攻击元组，分别为(apt29集团,暴力攻击,solarwinds,向前,过程与代码)和 (apt29集团,输入捕获,某机构客户,向后,数据)。[0053]需要说明的是，在形成攻击元组提取主体信息和客体信息时，所提取的主 体信息和客体信息中包括名称、代号以及具体提供哪种服务，归属于哪种供应 商类别等信息，而为了简化攻击元组中的内容，在攻击元组中记载攻击者和被 攻击者以名称或代号表示。[0054]具体的，本实施例供应链攻击者针对的供应商的攻击目标如表4所示，具 体供应链攻击者针对的客户的攻击目标如表5所示。[0055]表4供应链攻击的目标供应商资产[0056][0057]表5供应链攻击的目标客户资产[0058][0059][0060]步骤3、根据供应商和客户的供求关系，生成关联元组。[0061]步骤3.1、提取攻击中供应商和客户之间的供求关系。[0062]关联元组为(m,r,n,d,j)，其中m为主体信息，代表供应链的供应商或客户； r为供求关系，供应商和客户之间存在何种供求关系；n为客体信息，代表供应 链的供应商或客户；d代表关联方向，即为数据流方向；j代表感染源，供应链 的破坏是由供应商或者客户某种因素导致，因此本实施例中的感染源为攻击者 针对供应商或客户的攻击目标，取针对供应商和客户的攻击目标两者在攻击中 首先被攻击的一者作为感染源。[0063]对于元组中的供求关系r，由于供应商和客户的类型和供求关系内容的多样 性，并且不存在类似att&ck模型标准来统一，所以需要根据具体情况进行归 纳。例如供应商可以接受客户的上传，客户可以安装供应商的软件，通过两者 之间的安装更新使得攻击在供应链中传递，造成更大的损失；又例如客户给供 应商服务器提供用户注册信息可以归纳为用户信息注册；又如客户需要从供应 商服务器得到数据查询服务则可归纳为数据查询，等等。[0064]步骤3.2、提取供求关系中的主体信息与客体信息，解析数据流方向与感染 源，生成包含主体信息、供求关系、客体信息、数据流方向和感染源的关联元 组。[0065]攻击者破坏了solarwinds并修改了orion软件的代码。通过供应商和客户 的安装更新，客户中的orion实例被恶意软件更新，使得攻击者能够访问客户 的数据。可以分析得到一个关联元组(solarwinds,安装更新,某机构客户,向前,代 码)。[0066]步骤4、将所有元组聚合，形成攻击链闭环，表征为完整的软件供应链攻击。[0067]攻击元组为(m,t,n,d,i)，关联元组为(m,r,n,d,j)。以solarwinds为例，攻 击元组(apt29集团,暴力攻击,solarwinds,向前,过程与代码)和(apt29集团,输入 捕获,某机构客户,向后,数据)，关联元组为(solarwinds,安装更新,某机构客户,向前, 代码)，形成的攻击链闭环如图2所示。[0068]在图2中，对于攻击元组(apt29集团,暴力攻击,solarwinds,向前,代码)， apt29集团,为攻击者，攻击者为主体，在此为发起攻击的一方；暴力攻击代表 攻击方的攻击技术，暴力攻击在att&ck中可分解为4个子技术，分别为密码 猜测、密码破解、密码喷洒和凭证填充，其中密码猜测包括了猜测ssh密码。 在进行具体攻击归纳时，猜测ssh密码可以归纳为att&ck子技术密码猜测， 再归纳为att&ck模型的技术：暴力攻击；solarwinds为供应商，供应商则是 客体，在此是受攻击的一方；向前则代表数据流在主客体间的方向，在此是攻 击者使用暴力攻击攻击供应商，数据流向为主体到客体；代码与过程则代表攻 击目标，所要得到的资产，在此是供应商的代码与过程。[0069]对于攻击元组(apt29集团,输入捕获,某机构客户,向后,数据)，apt29集团 是攻击者，攻击者为主体，在此为发起攻击的一方；输入捕获代表攻击方的攻 击技术，输入捕获在att&ck中可分解为4个子技术，分别为键盘记录、gui 输入捕获、门户网站捕获和凭据api挂钩，其中键盘记录包括了工具执行键盘 记录；在进行具体攻击归纳时，工具执行键盘记录，可以归纳为att&ck子技 术键盘记录，再归纳为att&ck模型的技术：输入捕获。某机构客户是客户， 客户则是客体，在此是受攻击的一方；向后则代表数据流在主客体间的方向， 在此是客户的数据被攻击者输入捕获，数据流向为从客体到主体；数据则代表 攻击的目标，所要得到的资产，在此是客户的数据。[0070]对于关联元组(solarwinds,安装更新,某机构客户,向前,代码)，solarwinds为 供应商，供应商为主体，在此为提供服务的一方；安装更新是供应商和客户之 间的供求关系，数据通过安装更新在供应商和客户之间传输；某机构客户是客 户，客户则是客体，在此是接受服务的一方；向前则代表主客体之间的关联方 向，在此是供应商通过安装更新将数据发向客户；代码是感染源，代表供应链 的破坏是由供应商或者客户某种因素导致，在此是由供应商的代码导致。[0071]从2020年1月到2021年7月，有许多事件最初看起来是供应链攻击，或 者被认为是未来可能的供应链攻击的一部分。有些案例涉及被认为是故意放在 软件或硬件中的漏洞，但后来发现是错误或无意错误。其中许多案例都不是供 应链攻击，因为它们不涉及供应商受到威胁。在许多情况下，软件中的漏洞被 发现但没有用于攻击，或者被发现是错误而不是故意引入的。完整的软件供应 链攻击是攻击者对供应商的攻击、攻击者对客户的攻击、供应商与客户关联的 组合，由三个连接五元组整合，且对供应商和客户都带来资产影响。[0072]在另一个实施例中，本技术还提供了一种面向软件供应链的攻击表征装置， 包括处理器以及存储有若干计算机指令的存储器，所述计算机指令被处理器执 行时实现所述面向软件供应链的攻击表征方法的步骤。[0073]关于面向软件供应链的攻击表征装置的具体限定可以参见上文中对于面向 软件供应链的攻击表征方法的限定，在此不再赘述。[0074]存储器和处理器之间直接或间接地电性连接，以实现数据的传输或交互。 例如，这些元件互相之间可以通过一条或多条通讯总线或信号线实现电性连接。 存储器中存储有可在处理器上运行的计算机程序，所述处理器通过运行存储在 存储器内的计算机程序，从而实现本发明实施例中的面向软件供应链的攻击表 征方法。[0075]其中，所述存储器可以是，但不限于，随机存取存储器(random accessmemory，ram)，只读存储器(read only memory，rom)，可编程只读存储 器(programmable read-only memory，prom)，可擦除只读存储器(erasableprogrammable read-only memory，eprom)，电可擦除只读存储器(electricerasable programmable read-only memory，eeprom)等。其中，存储器用于 存储程序，所述处理器在接收到执行指令后，执行所述程序。[0076]所述处理器可能是一种集成电路芯片，具有数据的处理能力。上述的处理 器可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处 理器(network processor，np)等。可以实现或者执行本发明实施例中公开的各 方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任 何常规的处理器等。[0077]以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对 上述实施例中的各技术特征所有可能的组合都进行描述，然而，只要这些技术 特征的组合不存在矛盾，都应当认为是本说明书记载的范围。[0078]以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细， 但并不能因此而理解为对发明范围的限制。应当指出的是，对于本领域的普通 技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进， 这些都属于本发明的保护范围。因此，本发明的保护范围应以所附权利要求为 准。









图片声明：本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!




内容声明：本文中引用的各种信息及资料（包括但不限于文字、数据、图表及超链接等）均来源于该信息及资料的相关主体（包括但不限于公司、媒体、协会等机构）的官方网站或公开发表的信息。部分内容参考包括:(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供参考使用,不准确地方联系删除处理！本站为非盈利性质站点,发布内容不收取任何费用也不接任何广告!




免责声明：我们致力于保护作者版权，注重分享，被刊用文章因无法核实真实出处，未能及时与作者取得联系，或有版权异议的，请联系管理员，我们会立即处理，本文部分文字与图片资源来自于网络，部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!的,若有来源标注错误或侵犯了您的合法权益，请立即通知我们，情况属实，我们会第一时间予以删除，并同时向您表示歉意,谢谢!