本体构建:
资产: 系统,软件
威胁:
攻击:
建模:
3个本体 5个实体类型
CWE漏洞库 http://cwe.mitre.org/data/downloads.html
CPECP攻击模式分类库 http://capec.mitre.org/data/downloads.html
CPE通用组件库 http://cpe.mitre.org/
CCE通用配置库 https://cce.mitre.org/lists/cce_list.html
相关介绍 https://zhuanlan.zhihu.com/p/282898536
CVE库 http://cve.mitre.org/
CVSS https://www.first.org/cvss/specification-document
国家漏洞数据库 https://nvd.nist.gov/vuln
CYBOX https://github.com/CybOXProject/schemas
att&ack框架类别及属性统计
共有以下这些类型:
{'malware', 'tool', 'marking-definition', 'attack-pattern', 'x-mitre-matrix', 'x-mitre-collection',
'x-mitre-tactic', 'identity', 'course-of-action', 'relationship', 'intrusion-set'}
attack-pattern有这些属性:
{'description', 'modified', 'created_by_ref', 'x_mitre_contributors', 'revoked', 'external_references', 'x_mitre_domains', 'type',
'x_mitre_network_requirements', 'id', 'name', 'x_mitre_remote_support', 'x_mitre_effective_permissions', 'x_mitre_permissions_required',
'kill_chain_phases', 'x_mitre_platforms', 'x_mitre_defense_bypassed', 'x_mitre_data_sources', 'created', 'x_mitre_detection',
'object_marking_refs', 'x_mitre_system_requirements', 'x_mitre_impact_type', 'x_mitre_is_subtechnique', 'x_mitre_version', 'spec_version',
'x_mitre_modified_by_ref', 'x_mitre_deprecated'}
mal_ware有这些属性:
{'description', 'modified', 'created_by_ref', 'x_mitre_contributors', 'x_mitre_aliases', 'x_mitre_old_attack_id', 'revoked', 'external_references',
'x_mitre_domains', 'type', 'id', 'name', 'x_mitre_platforms', 'created', 'object_marking_refs', 'is_family', 'x_mitre_version', 'spec_version',
'x_mitre_modified_by_ref'}
tool有这些属性: {'external_references', 'x_mitre_domains', 'description', 'type', 'modified', 'created_by_ref', 'id', 'x_mitre_aliases',
'x_mitre_modified_by_ref', 'x_mitre_contributors', 'x_mitre_version', 'spec_version', 'x_mitre_platforms', 'name', 'created', 'object_marking_refs',
'x_mitre_deprecated'}
course-of-action有这些属性: {'external_references', 'x_mitre_domains', 'description', 'type', 'modified', 'created_by_ref', 'id',
'x_mitre_modified_by_ref', 'x_mitre_old_attack_id', 'x_mitre_version', 'spec_version', 'name', 'created', 'object_marking_refs', 'x_mitre_deprecated'}
sources_process: 数据源处理
表格: 1 cpe表 字段 id vendor product
2 cpeother表 字段 id
3 cves表 id, vulnerable_configuration, vulnerable, modified, published, last-modified
cvss, cvss3, summary, vendors, products, vulnerable_product_stems
4.via4
5.mgmt_whitelist
6.mgmt_blacklist
7.capec related_weakness
./sbin/db_mgmt_cpe_dictionary.py -p
./sbin/db_mgmt_json.py -p
./sbin/db_updater.py -c
runas /user:administrator “python db_mgmt_cpe_dictionary.py -p”
表结构:
cpe: id, title, cpe_2_2, cpe_name(各个版本的列表), vendor, product, versionEndExcluding
cve: id, assigner, published, modified, last-modified, summary,
access (authentication, complexity, vector)
impact(availability, confidentiality, integrity)
exploitabilityScore
impactScore
cvss-time
cvss-vector
cvss3, cvss,
references
vulnerable_configuration
vulnerable_configuration_stems
cwe
图数据库:
介绍:Neo4j是一个高性能的,NOSQL图形数据库,它将结构化数据存储在网络上而不是表中。它是一个嵌入式的、基于磁盘的、具备完全的事务特性的Java持久化引擎,但是它将结构化数据存储在网络(从数学角度叫做图)上而不是表中。
语法:不存在表的概念,只有两类:节点和关系;节点一般用小括号(), 关系用中括号[]
(a)-[r]->(b),表示一条从节点a经关联r到节点b的路径。
创建节点:create (a:type {key:value})
创建边:create (a)-[:r]->(b)
查询当前图: MATCH p=()–>() RETURN p LIMIT 25
删除当前图:match (n) detach delete n
关键词列表: CREATE DELETE LOAD CSV
MATCH REMOVE WHERE
资产扫描工具设计: