[论文解读] Automatically Generating Models of IT Systems
本文提出了一种原型专家系统——IT系统生成器(IT System Generator),可从公司规模和业务领域等高层级需求自动生成详细且逼真的信息系统(ITS)模型。通过基于规则的实例化与依赖关系建模,该系统能够生成包含硬件、软件、网络段、凭证和数据等在内的复杂多层ITS模型。通过在一家虚构金融机构上的概念验证实现,证明了其可行性,且在真实输入规模下表现出可接受的性能。
Information technology system (ITS), informally, consists of hardware and software infrastructure (e.g., workstations, servers, laptops, installed software packages, databases, LANs, firewalls, etc.), along with physical and logical connections and inter-dependencies between various items. Nowadays, every company owns and operates an ITS, but detailed information about the system is rarely publicly available. However, there are many situations where the availability of such data would be beneficial. For example, cyber ranges need descriptions of complex realistic IT systems in order to provide an effective training and education platform. Furthermore, various algorithms in cybersecurity, in particular attack tree generation, need to be validated on realistic models of IT systems. In this paper, we describe a system we call the Generator that, based on the high-level requirements such as the number of employees and the business area the target company belongs to, generates a model of an ITS that satisfies the given requirements. We put special emphasis on the following two criteria: the generated ITS models a large amount of details, and ideally resembles a real system. Our survey of related literature found no sufficiently similar prior works, so we believe that this is the first attempt of building something like this. We created a proof-of-concept implementation of the Generator, validated it by generating ITS models for a simplified fictional financial institution, and analyzed the Generators performance with respect to the problem size. The research was done in an iterative manner, with coauthors continuously providing feedback on intermediate results. (...) We intend to extend this prototype to allow probabilistic generation of IT systems when only a subset of parameters is explicitly defined, and further develop and validate our approach with the help of domain experts.
研究动机与目标
- 解决当前在网络安全培训与研究中缺乏详细、逼真且公开可获取的IT系统模型的问题。
- 实现复杂企业级IT系统模型的自动化生成,以反映真实组织结构与技术依赖关系。
- 通过提供可扩展、可定制且具代表性的IT系统模型,支持网络靶场开发、攻击图分析与安全风险评估。
- 构建一个概念验证系统,仅需最少输入即可生成包含丰富细节(如软件、网络服务、凭证与数据资产)的模型。
- 为未来引入概率模型与专家验证机制奠定基础,以进一步提升模型的真实感与可配置性。
提出的方法
- 系统采用基于规则的专家系统架构,根据员工数量和业务领域等高层级输入,实例化IT组件(如工作站、服务器、软件、网络服务)。
- 针对特定领域应用模板,包括软件包、员工角色与组织服务,每个模板均标注有CPE标识符、依赖关系、硬件配额与安全暴露指标等属性。
- 通过SMT求解器与整数线性规划工具强制实施逻辑与技术约束,确保生成模型的一致性与可行性。
- 使用分段规则与防火墙策略建模网络拓扑,将组件划分为逻辑网络区域(如DMZ、内部网络)。
- 凭证与数据资产按与用户、系统及访问策略的关联关系生成,涵盖标准凭证与特权凭证(如root权限)。
- 支持创建数据集实例(如FinancialData:banking),并定义其存储位置与访问控制,以实现逼真的数据流建模。
实验结果
研究问题
- RQ1基于规则的专家系统能否从员工数量与业务领域等最少高层级输入,自动生成详细且逼真的IT系统模型?
- RQ2生成的模型在多大程度上能反映真实IT系统复杂性,包括硬件、软件、网络服务与数据依赖关系?
- RQ3该原型系统在输入规模增加(如员工数量、网络段数量)时,性能如何扩展?
- RQ4生成的模型能否支持实际应用场景,如网络靶场部署与攻击图分析?
- RQ5在自动建模真实IT系统时,存在哪些关键约束与局限性?未来工作应如何应对?
主要发现
- 概念验证实现成功生成了一家虚构金融机构的详细逼真模型,包含100名员工、199台计算机与7种员工角色,证明了自动化ITS建模的可行性。
- 系统生成了全面的模型,包含199台独立计算机、100名员工、100余项软件安装、199个凭证、5条网络分段规则,以及3个具有访问策略的数据集实例。
- 在测试输入规模下,CPU使用率与内存消耗保持在可接受范围内,表明系统具备扩展性,适用于真实企业规模的模型。
- 生成的模型包含真实的技术与组织细节,如软件依赖关系、所需操作系统、网络服务暴露情况与数据访问控制。
- SMT求解器与整数线性规划的使用确保了生成系统配置的逻辑一致性与可行性。
- 所生成的ITS模型数据集已公开,支持可复现性与未来在网络安全研究中的基准测试。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。