CN110557393A - 网络风险评估方法、装置、电子设备及存储介质 - Google Patents
网络风险评估方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110557393A CN110557393A CN201910838807.5A CN201910838807A CN110557393A CN 110557393 A CN110557393 A CN 110557393A CN 201910838807 A CN201910838807 A CN 201910838807A CN 110557393 A CN110557393 A CN 110557393A
- Authority
- CN
- China
- Prior art keywords
- node
- network
- nodes
- risk
- attribute information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种网络风险评估方法、装置、电子设备及存储介质,方法包括:接收处于同一网络中的各个节点发送的属性信息、以及所述各个节点之间的连接关系;根据网络中各个节点的属性信息、以及各个节点之间的连接关系,生成对应的网络拓扑图;在网络拓扑图中以具有风险性的敏感节点为传播过程的起点,根据连接关系向所经过的节点传播前向的节点的属性信息;确定传播的过程收敛时对应形成的风险传播路径、以及风险传播路径中各个节点所接收的属性信息;基于风险传播路径中各个中间节点所接收的属性信息,生成网络的风险评估信息。通过本发明,能够更准确的进行网络的风险评估,提高网络安全性。
Description
技术领域
本发明涉及人工智能(AI,Artificial Intelligence)技术领域,尤其涉及一种网络风险评估方法、装置、电子设备及存储介质。
背景技术
人工智能是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法和技术及应用系统。
人工智能技术是一门综合学科,涉及领域广泛,其中,大数据处理是重要的人工智能的基础技术。
从个人和企业的业务网络数据中挖掘网络的潜在风险,是大数据技术的重要应用方向。个人和企业的往往依赖于各种网络,例如互联网和局域网。发生风险事件时,对风险事件进行及时准确定位和评估,对于减小风险的危害范围和降低风险的危害程度具有重要意义。
相关技术对于风险事件的定位和评估无法完全摆脱对于人工介入的依赖,这导致难以及时制定相应的处置措施来规避风险。同时,网络结构的日益复杂和风险事件的日益频发,导致难以及时、准确对于风险事件的进行定位和评估。
发明内容
本发明实施例提供一种网络风险评估方法、装置、电子设备及存储介质,能够对网络中的风险进行高效准确地定位和评估,提高网络安全性。
本发明实施例的技术方案是这样实现的:
本发明实施例提供一种网络风险评估方法,包括:
接收处于同一网络中的各个节点发送的属性信息、以及所述各个节点之间的连接关系;
根据网络中各个节点的属性信息、以及所述各个节点之间的连接关系,生成对应的网络拓扑图;
在所述网络拓扑图中以具有风险性的敏感节点为传播过程的起点,根据所述连接关系向所经过的节点传播前向的节点的属性信息;
确定所述传播的过程收敛时对应形成的风险传播路径、以及所述风险传播路径中各个节点所接收的属性信息;
基于所述风险传播路径中各个节点所接收的属性信息,生成所述网络的风险评估信息。
本发明实施例提供一种网络风险评估装置,包括:
图计算模块,用于接收处于同一网络中的各个节点发送的属性信息、以及所述各个节点之间的连接关系;
根据网络中各个节点的属性信息、以及所述各个节点之间的连接关系,生成对应的网络拓扑图;
以及,用于在所述网络拓扑图中以具有风险性的敏感节点为传播过程的起点,根据所述连接关系向所经过的节点传播前向的节点的属性信息;
离线计算模块,用于确定所述传播的过程收敛时对应形成的风险传播路径、以及所述风险传播路径中各个节点所接收的属性信息;
以及,用于基于所述风险传播路径中各个节点所接收的属性信息,生成所述网络的风险评估信息。
上述方案中,所述图计算模块,还用于将所述网络中各个节点映射为网络拓扑图中相应的节点,将所述各个节点的之间的连接关系映射为所述网络拓扑图中相应节点之间的边;
将所述各个节点的以下属性信息至少之一,映射到所述网络拓扑图中相应的节点:类型信息;所属的网络区域标签;所属的组织架构。
上述方案中,所述图计算模块,还用于将所述敏感节点的属性信息作为前向节点的属性信息,传播到所述网络拓扑图中与所述敏感节点具有连接关系的第n层节点,所述第n层节点的数量为多个;
当传播到所述第n层节点的过程未收敛时,将所述第n层节点的前向节点的属性信息与具有连接关系的所述第n层节点的属性信息合并,并将所述第n层节点的更新后的属性信息,传播到与所述第n层节点具有连接关系的第n+1层节点,直至传播到第N层节点的过程收敛;
其中,n为整数且取值依次为1至N-1,N表示所述网络拓扑图中的层数。
上述方案中,所述图计算模块,还用于生成第n转移矩阵,所述第n转移矩阵中的元素表示,所述敏感节点和与所述敏感节点具有连接关系的第n层节点中任意两个节点之间的转移概率;
初始化第n权重矩阵;
将所述第n转移矩阵与第n权重矩阵进行矩阵乘法操作,并依据所述矩阵乘法操作的结果更新所述第n权重矩阵;
当迭代更新的所述第n权重矩阵未收敛时,确定迭代更新传播到所述第n层节点的过程未收敛。
上述方案中,所述图计算模块,还用于确定所述敏感节点和所述第n层节点中任意两个节点之间的邻接关系,并生成以所述邻接关系的数字化表示为元素的第n邻接矩阵;
将所述第n邻接矩阵进行归一化处理,得到所述第n转移矩阵。
上述方案中,所述离线计算模块,还用于当传播到所述网络拓扑图的第N层节点的过程收敛时,从所述网络拓扑图中查询传播的过程中所到达的第N层节点;
从每个所到达的第N层节点的属性信息中获取对应的前向节点,并根据所述前向节点形成从所述敏感节点到达所述第N层节点的风险传播路径;
其中,N为大于或等于2的整数。
上述方案中,所述离线计算模块,还用于根据所述网络拓扑图、以及所述风险传播路径所包括的节点的属性信息,分析得到所述网络拓扑图的以下全局性信息至少之一:所述网络拓扑图的规模、所述网络拓扑图中敏感节点的数量、所述网络拓扑图中包括敏感节点的区域以及所述区域的数量、以及所述包括敏感节点的区域中风险节点的数量和安全节点的数量。
上述方案中,所述离线计算模块,还用于根据所述风险传播路径所包括的节点的属性信息,分析得到所述网络拓扑图的以下路径聚合信息至少之一:所述网络拓扑图中每个节点经过不同跳数可到达的敏感节点的数量、所述节点到达相应的敏感节点的路径、以及所述路径中的节点。
上述方案中,所述离线计算模块,还用于根据所述网络拓扑图中的网络区域划分信息、以及所述风险传播路径所包括的节点的属性信息,确定以下区域聚合信息至少之一:
所述网络拓扑图中每个区域包括的节点、相邻区域之间的边的数量、从特定节点出发的路径上所有节点的区域聚合信息,以及路径聚合信息。
上述方案中,所述装置还包括:
第一查询模块,用于响应于安全防御请求,查询待防御节点到达所述敏感节点的以下风险传播路径至少之一:跳数最少的风险转播路径;风险最高的风险传播路径;
根据所述风险传播路径生成所述对应所述待防御节点的安全防御方式。
上述方案中,所述装置还包括:
第二查询模块,用于响应于访问阻断请求,在所述风险传播路径中查询被入侵节点到达的敏感节点、以及对应的风险传播路径;
对所述目标地址对应的节点到达的敏感节点、以及对应的风险传播路径进行访问阻断处理。
上述方案中,所述装置还包括:
第三查询模块,用于响应于入侵分析请求,在所述风险传播路径中查询从被入侵节点开始进行设定跳数能够到达的敏感节点、以及对应风险传播路径;
根据所述查询到的敏感节点和对应的风险传播路径,分析入侵规律,以根据所述入侵规律构建所述网络的风险控制模型。
本发明实施例还提供了一种网络风险评估装置,包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现本发明实施例提供的网络风险评估方法。
本发明实施例提供一种存储介质,存储有可执行指令,用于引起处理器执行时,实现本发明实施例提供的网络风险评估方法。
本发明实施例具有以下有益效果:
根据网络中各个节点的属性信息、以及各个节点之间的连接关系,生成对应的网络拓扑图,在网络拓扑图中以具有风险性的敏感节点为传播过程的起点,根据连接关系向所经过的节点传播前向的节点的属性信息,确定传播的过程收敛时对应形成的风险传播路径;如此,通过图传播的方式,计算从网络中某一节点出发,到网络中敏感节点所有风险传播路径,为部署防御提供依据;基于风险传播路径中各个中间节点所接收的属性信息,生成网络的风险评估信息;如此,以确定的风险传播路径为依据,更准确的进行网络的风险评估,进而可以有针对性地进行风险规避,提高网络安全性,同时摆脱了对于人工介入的依赖,提高了风险评估的效率。
附图说明
图1是本发明实施例提供的网络风险评估系统的一个可选的架构示意图;
图2是本发明实施例提供的网络风险评估系统的一个可选的架构示意图;
图3是本发明实施例提供的网络风险评估设备600的结构示意图;
图4是本发明实施例提供的网络风险评估方法的流程示意图;
图5是本发明实施例提供的网络拓扑图的一个可选的示意图;
图6是本发明实施例提供的基于网络拓扑图进行图传播的示意图;
图7是本发明实施例提供的网络风险评估方法的流程示意图;
图8是本发明实施例提供的网络拓扑图的一个可选的示意图;
图9是本发明实施例提供的网络风险评估方法的流程示意图;
图10是本发明实施例提供的网络拓扑图的一个可选的示意图;
图11是本发明实施例提供的网络风险评估装置的组成结构示意图;
图12是本发明实施例提供的传播未收敛时,对前节点的处理示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,所描述的实施例不应视为对本发明的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
在以下的描述中,所涉及的术语“第一\第二”仅仅是是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本发明实施例能够以除了在这里图示或描述的以外的顺序实施。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本发明实施例的目的,不是旨在限制本发明。
对本发明实施例进行进一步详细说明之前,对本发明实施例中涉及的名词和术语进行说明,本发明实施例中涉及的名词和术语适用于如下的解释。
1)图传播算法,利用节点间的关联关系建立网络拓扑图,该网络拓扑图包括节点和边,在网络拓扑图中,节点信息包括节点的属性信息及当前节点相对于源节点的路径信息,以某个特定节点为源头(即源节点),采用逐层扩散的方式逐层的更新每一层节点的节点信息;在实际应用中,图传播算法可以为标签传播算法(label propagation),或加权网页排名算法(weighted page rank)等。
2)节点,指拥有唯一网络地址的设备,节点之间通过通信链路相连接以实现数据传输,在实际应用中,节点可以是工作站、服务器或终端等。
3)敏感节点,指由多个节点所构成的网络拓扑图中具有风险性的节点,该类节点的重要程度及风险等级较其它节点高。
4)前向节点,基于网络拓扑图,进行节点信息传播以进行节点信息更新的过程中,针对当前进行节点信息更新的节点来说,传播路径中更新在前的节点。
5)响应于,用于表示所执行的操作所依赖的条件或者状态,当满足所依赖的条件或状态时,所执行的一个或多个操作可以是实时的,也可以具有设定的延迟;在没有特别说明的情况下,所执行的多个操作不存在执行先后顺序的限制。
发明人在研究过程中发现,在一个包含多个节点设备的网络环境(如企业网络)下,往往会出现以下问题:1,当发现安全漏洞时,无法快速定位漏洞对整个网络的影响范围;2,当网络遭遇入侵事件时,不能感知入侵的最终目标、危害范围和危害程度;3,网络中资产重要程度存在区分,当出现安全事件时无法感知安全事件是否对敏感、重要的资产有影响。
相关技术中,对于上述技术问题的处理只能依靠安全运营人员人工登机逐步排查,排查和确认的成本极高。
为至少解决上述技术问题,提出本发明实施例的网络风险评估方法、装置、电子设备及存储介质,以自动实现准确的网络风险评估,摆脱对于人工介入的依赖,接下来对本发明实施例提供的网络风险评估方法、装置、电子设备及存储介质分别进行说明。
图1为本发明实施例提供的网络风险评估系统的一个可选的架构示意图,参见图1,为实现支撑一个示例性应用,本发明实施例的网络风险评估系统包括网络风险评估设备F,以及节点a至节点f;其中,节点a至节点f处于同一网络系统中,如处于同一局域网中,根据实际安全需要,节点a至节点f中存在至少一个敏感节点(如节点c);节点a至节点f中每个节点上均设置有代理(Agent),在实际应用中,Agent作为一个激活过程存在,当它为外部一个实体所需要时,其为特定类型的行为负责。
节点(a至f),用于通过自身设置的代理采集当前节点的属性信息、以及当前节点与该网络中其它节点之间的连接关系,并发送给分析设备F;
这里,节点间的连接关系可以为节点间的通信链路关系,用于形成网络拓扑图中节点间的边。
网络风险评估F,用于根据网络中各个节点的属性信息、以及各个节点之间的连接关系,生成对应的网络拓扑图;在网络拓扑图中以具有风险性的敏感节点为传播过程的起点,根据连接关系向所经过的节点传播前向的节点的属性信息;确定传播的过程收敛时对应形成的风险传播路径、以及风险传播路径中各个节点所接收的属性信息;基于风险传播路径中各个中间节点所接收的属性信息,生成网络的风险评估信息。
在实际应用中,节点可以是工作站、服务器或终端,拥有唯一的网络地址,节点之间通过通信链路相连接以实现数据传输,该通信链路可以为无线或有线链路。
以节点是终端为例,在实际实施时,一个节点可以为智能手机、平板电脑、笔记本电脑等各种类型的用户终端,还可以为可穿戴计算设备、个人数字助理(PDA)、台式计算机、蜂窝电话、媒体播放器、导航设备、游戏机、电视机、或者这些数据处理设备或其他数据处理设备中任意两个或多个的组合。
以节点是服务器为例,在实际实施时,一个节点可以为单独配置的支持各种业务的一个服务器,亦可以配置为一个服务器集群。
需要说明的是,在实际实施时,网络风险评估设备可以为与节点(a至f)处于同一网络系统中的节点设备,也可以处于节点(a至f)所在网络之外的终端或服务器。
以节点为终端、网络风险评估设备为服务器为例,图2为本发明实施例提供的网络风险评估系统的一个可选的架构示意图,参见图2,网络风险评估系统包括服务器200及多个终端400(图2中示例性的给出了终端400-1和终端400-2),多个终端400通过网络300连接服务器200,网络300可以是广域网或者局域网,又或者是二者的组合,使用无线或有线链路实现数据传输;多个终端400处于同一网络500中,每个终端作为网络中的一个节点存在,网络500可以是广域网或者局域网,又或者是二者的组合。
终端(如终端400-1)上设置有代理(agent),用于发送当前节点的属性信息、以及当前节点与自身所处网络中其它节点之间的连接关系;
服务器200,用于根据网络中各个节点的属性信息、以及各个节点之间的连接关系,生成对应的网络拓扑图;在网络拓扑图中以具有风险性的敏感节点为传播过程的起点,根据连接关系向所经过的节点传播前向的节点的属性信息;确定传播的过程收敛时对应形成的风险传播路径、以及风险传播路径中各个节点所接收的属性信息;基于风险传播路径中各个中间节点所接收的属性信息,生成网络的风险评估信息。
在一些实施例中,服务器连接能够呈现媒体内容的一个或多个输出装置,如连接一个或多个视觉显示屏,通过视觉显示屏直观的显示网络的风险评估信息,如此,方便安全运营人员直观的进行分析。
继续说明本发明实施例提供的网络风险评估设备的结构,网络风险评估设备可以是各种终端,例如手机、电脑等,也可以是服务器或服务器集群。
参见图3,图3是本发明实施例提供的网络风险评估设备600的结构示意图,图3所示的网络风险评估设备600包括:至少一个处理器610、存储器650、至少一个网络接口620和用户接口630。网络风险评估设备600中的各个组件通过总线系统640耦合在一起。可理解,总线系统640用于实现这些组件之间的连接通信。总线系统640除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图3中将各种总线都标为总线系统640。
处理器610可以是一种集成电路芯片,具有信号的处理能力,例如通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其中,通用处理器可以是微处理器或者任何常规的处理器等。
用户接口630包括使得能够呈现媒体内容的一个或多个输出装置631,包括一个或多个扬声器和/或一个或多个视觉显示屏。用户接口630还包括一个或多个输入装置632,包括有助于用户输入的用户接口部件,比如键盘、鼠标、麦克风、触屏显示屏、摄像头、其他输入按钮和控件。
存储器650可以是可移除的,不可移除的或其组合。示例性的硬件设备包括固态存储器,硬盘驱动器,光盘驱动器等。存储器650可选地包括在物理位置上远离处理器610的一个或多个存储设备。
存储器650包括易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。非易失性存储器可以是只读存储器(ROM,Read Only Me mory),易失性存储器可以是随机存取存储器(RAM,Random Access Memor y)。本发明实施例描述的存储器650旨在包括任意适合类型的存储器。
在一些实施例中,存储器650能够存储数据以支持各种操作,这些数据的示例包括程序、模块和数据结构或者其子集或超集,下面示例性说明。
操作系统651,包括用于处理各种基本系统服务和执行硬件相关任务的系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务;
网络通信模块652,用于经由一个或多个(有线或无线)网络接口620到达其他计算设备,示例性的网络接口620包括:蓝牙、无线相容性认证(WiFi)、和通用串行总线(USB,Universal Serial Bus)等;
呈现模块653,用于经由一个或多个与用户接口630相关联的输出装置631(例如,显示屏、扬声器等)使得能够呈现信息(例如,用于操作外围设备和显示内容和信息的用户接口);
输入处理模块654,用于对一个或多个来自一个或多个输入装置632之一的一个或多个用户输入或互动进行检测以及翻译所检测的输入或互动。
在一些实施例中,本发明实施例提供的网络风险评估装置可以采用软件方式实现,图3示出了存储在存储器650中的网络风险评估装置655,其可以是程序和插件等形式的软件,在一些实施例中,网络风险评估装置655包括以下软件模块:图计算模块6551及离线计算模块6552;在一些实施例中,网络风险评估装置655还可以包括:数据采集模块6553及信息查询模块6554;这些模块是逻辑上的,因此根据所实现的功能可以进行任意的组合或进一步拆分,将在下文中说明各个模块的功能。
在另一些实施例中,本发明实施例提供的网络风险评估装置可以采用硬件方式实现,作为示例,本发明实施例提供的网络风险评估装置可以是采用硬件译码处理器形式的处理器,其被编程以执行本发明实施例提供的网络风险评估方法,例如,硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC,Application SpecificIntegrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,Comple x Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programma ble Gate Array)或其他电子元件。
基于上述对本发明实施例提供的网络风险评估系统及网络风险评估设备的说明,接下来本发明实施例提供的网络风险评估方法进行说明。图4为本发明实施例提供的网络风险评估方法的流程示意图,在一些实施例中,该网络风险评估方法可由服务器实施,或由终端实施,或由服务器及终端协同实施,以终端实施为例,参见图4,本发明实施例提供的网络风险评估方法包括:
步骤401:终端根据网络中各个节点的属性信息、以及各个节点之间的连接关系,生成对应的网络拓扑图。
在实际应用中,网络可以为互联网或局域网,例如为一个企业对应的企业网络,该网络中包括多个通过通信链路建立连接关系的电子设备,电子设备可以为终端或服务器,电子设备作为网络中的节点存在。
在一些实施例中,网络中的节点中部署有代理(Agent),通过代理,终端可获取处于同一网络中的各个节点的属性信息、以及各个节点之间的连接关系;具体地,终端接收处于同一网络中的各个节点发送的属性信息、连接关系。
在实际应用中,节点的属性信息可以包括以下至少之一:
节点的类型信息;如服务器、终端、交换机等;
节点所属的网络区域标签;这里的网络区域为逻辑上对网络中的节点所进行的分区,不同的网络区域可采用相应的网络区域标签进行标识;
节点所属的组织架构;如企业网络中节点所属的业务架构,包括部门业务归属等;
是否敏感节点;依据节点的重要程度、风险等级等标识的节点。
在一些实施例中,根据网络中各个节点的属性信息、以及各个节点之间的连接关系,可通过如下方式生成对应的网络拓扑图:
将网络中各个节点(即电子设备)映射为网络拓扑图中相应的节点,将各个节点的之间的连接关系映射为网络拓扑图中相应节点之间的边;将采集的各个节点的属性信息映射到网络拓扑图中相应的节点。参见图1,设备F将网络中节点a至节点f中各个节点映射为网络拓扑图中相应的节点,将节点a至节点f中节点间的连接关系映射为网络拓扑图中相应节点之间的边,将节点a至节点f中各个节点的属性信息映射到网络拓扑图中相应的节点,进而生成对应节点a至节点f的网络拓扑图。
步骤402:在网络拓扑图中以具有风险性的敏感节点为传播过程的起点,根据连接关系向所经过的节点传播前向节点的属性信息。
在实际应用中,对于生成的网络拓扑图,需要更新图中各个节点的节点信息,例如可以采用图传播算法实现节点信息的更新,具体地,采用逐层扩散的方式逐层的更新每一层节点的节点信息。
这里,对于图传播算法进行说明。
对于给定的图G={V,E},V表示节点集合,E表示边集合,设N(Vi)表示节点Vi的邻居节点构成的集合,若G为有向图,则满足如下范式:
N(Vi)=Nin(Vi)∪Nout(Vi); (1)
其中,Nin(Vi)表示Vi的入边节点集合,Nout(Vi)表示Vi的出边节点集合。
假设对Vi节点的衡量指标为Rvi,衡量指标的更新规则为函数f,则图传播算法执行如下操作:初始化Rvi,当不满足停止条件的时候,基于更新函数f,迭代执行Rvi的更新,其中,
Rvi=f(Rvi,RN(vi)); (2)
其中,更新函数f是无参的,也就是说更新函数f是直接进行量化计算的,不需要参数学习过程,符合:经验假设→无参量化→更新函数f。
在节点Vi的更新过程中,更新函数f作用在节点的一阶邻域上,也即每一次节点在更新过程中,只有邻居节点参与运算,但是随着更新次数的增加,信息的流通也变得更具备全局性;另外,停止条件一般选取一个最大的迭代次数或者Rvi不再变化。
基于上述对图传播算法的说明,在一些实施例中,以敏感节点为源节点,即以敏感节点作为传播的起点,可通过如下的更新,方式实现前向节点的属性信息的传播:
将敏感节点的属性信息作为前向节点的属性信息,传播到网络拓扑图中与敏感节点具有直接或间接连接关系的第n层节点,第n层节点的数量为多个;当传播到第n层节点的过程未收敛时,将第n层节点的前向节点的属性信息与具有连接关系的第n层节点的属性信息合并,并将第n层节点更新后的属性信息,传播到与第n层节点具有连接关系的第n+1层节点,直至传播到第N层节点的过程收敛;
其中,n为整数且取值依次为1至N-1,N表示所述网络拓扑图中的层数。
这里对网络拓扑图中的层进行说明,在本发明实施例中,敏感节点作为传播的起点,经g跳所到达的节点处于网络拓扑图中的同一层;例如,以敏感节点所在层为第1层,经2跳所到达的节点均处于第3层。
在一些实施例中,可通过如下方式判定传播到第n层节点的过程是否收敛:
生成第n转移矩阵,第n转移矩阵中的元素表示,敏感节点和与敏感节点具有直接或间接连接关系的第n层节点中任意两个节点之间的转移概率;初始化第n权重矩阵;将转移矩阵与第n权重矩阵进行矩阵乘法操作,并将矩阵乘法操作的结果更新第n权重矩阵;当迭代更新的第n权重矩阵未收敛时,确定迭代更新传播到第n层节点的过程未收敛。
这里,初始化第n权重矩阵具体包括:第n权重矩阵的元素表示敏感节点的权重、以及与敏感节点具有连接关系第n层节点的权重,权重为相同的归一化的权重值,例如,敏感节点+第n层节点数量为为M,则权重为1/(M+1)。
以M次迭代更新第n权重为例,如果M次迭代中每次迭代的第n权重矩阵中,每个元素的取值逼近于相应的极限值,则收敛。
在一些实施例中,可通过如下方式生成第n转移矩阵:确定敏感节点和第n层节点中任意两个节点之间的邻接关系,并生成以邻接关系的数字化表示为元素的第n邻接矩阵;将第n邻接矩阵进行归一化处理,得到第n转移矩阵。
这里,邻接关系的数字化表示为:以元素0表示敏感节点和第n层节点中任意两个节点之间不具有连接关系,以元素1标识表示敏感节点和第n层节点中任意两个节点之间具有连接关系。
图5为本发明实施例提供的网络拓扑图的示意图,参见图5,该网络拓扑图中包括节点A、节点B、节点C及节点D,节点A至节点D构成如图5所示的有向图,接下来结合图5对图传播过程中节点属性信息的更新过程进行说明。
基于图5所示的网络拓扑图,可得到如下邻接矩阵:
Adj(i,j)=1,表示有从节点j指向节点i的边,也即节点j与节点i之间具有连接关系,相应的,Adj(i,j)=0,表示没有从节点j指向节点i的边,也即节点j与节点i之间不具有连接关系。
对邻接矩阵Adj按列进行归一化得到:
上述矩阵M为转移矩阵,Mij表示从节点j跳转到节点i的概率,可以得到:
初始时,每个节点的权重都相同,均是1/N,对于图5所示网络拓扑图来说,每个节点的权重均为1/4,则:
基于转移矩阵M,得到更新后的节点的权重为:
之后,不断重复执行公式(7)的操作,经预设的M次迭代后,权重趋于极限值,表征权重矩阵R收敛,即迭代更新传播到当前层节点的过程收敛;反之,经预设的M次迭代后,权重R依然在变化,即未趋于极限值,表征权重矩阵R未收敛,即迭代更新传播到当前层节点的过程未收敛。
步骤403:确定传播的过程收敛时对应形成的风险传播路径、以及风险传播路径中各个节点所接收的属性信息。
在一些实施例中,可通过如下方式确定传播的过程收敛时对应形成的风险传播路径:当传播到网络拓扑图的第N层节点的过程收敛时,从网络拓扑图中查询传播的过程中所到达的第N层节点;从每个所到达的第N层节点的属性信息中获取对应的前向节点,并根据前向节点形成从敏感节点到达第N层节点的风险传播路径;其中,N为大于或等于2的整数。
图6是本发明实施例提供的基于网络拓扑图进行图传播的示意图,参见图6,敏感节点Q1至Q3处于同一层,作为图传播的起始节点,从第1层的敏感节点开始,经一跳所到达的节点P1、P2及P3均处于第2层,经两跳所到达的节点T1及节点T2均处于第3层,当传播到网络拓扑图的第3层节点的过程收敛时,从网络拓扑图中查询传播的过程中所到达的第3层节点;从每个所到达的第3层节点的属性信息中获取对应的前向节点,并根据前向节点形成从敏感节点到达第3层节点的风险传播路径,如基于图6所形成的风险传播路径之一为:节点Q2→节点P1→节点T1。
步骤404:基于风险传播路径中各个中间节点所接收的属性信息,生成网络的风险评估信息。
在一些实施例中,可通过如下方式生成网络的风险评估信息:
根据网络拓扑图、以及风险传播路径所包括的节点的属性信息,分析出网络拓扑图的以下全局性信息至少之一:网络拓扑图的规模,如网络拓扑图所包含的节点的数量、网络拓扑图中包括的敏感节点的数量、网络拓扑图中包括敏感节点的区域以及区域的数量、以及包括敏感节点的区域中风险节点的数量和安全节点的数量。
这里,风险节点,即处于风险传播路径的节点;安全节点,即未处于风险传播路径的节点。
在一些实施例中,还可通过如下方式生成网络的风险评估信息:
根据风险传播路径所包括的节点的属性信息,分析出网络拓扑图的以下路径聚合信息至少之一:网络拓扑图中的每个节点经过不同跳数可到达的敏感节点的数量、节点到达相应的敏感节点的路径、以及路径中的节点。
这里,对于网络拓扑图中的节点Nt,确定节点Nt经过jt个跳数可到达的敏感节点(记为Ntjs)的数量、节点Nt到达相应的敏感节点Ntjs的路径Ltjs、以及路径Ltjs中的节点;
其中,t为整数且取值依次为1至T,T网络拓扑图中节点的数量,jt为整数且取值依次为1至Jt,Jt为节点Nt为在网络拓扑图中能够实现的最大跳数,s取值满足1≤s≤S,S为节点Nt经过jt个跳数可到达的敏感节点(记为Ntjs)的数量。
在一些实施例中,还可通过如下方式生成网络的风险评估信息:
根据网络拓扑图中的网络区域划分信息、以及风险传播路径所包括的节点的属性信息,确定以下区域聚合信息至少之一:
网络拓扑图中每个区域包括的节点、相邻区域之间的边的条数、从特定节点出发路径上所有节点的区域聚合情况,以及路径聚合情况。
在实际应用中,所得到的网络的风险评估信息可应用于安全部署,如终端生成网络的风险评估信息后,接收到安全防御请求,响应于安全防御请求,查询待防御节点到达敏感节点的以下风险传播路径至少之一:跳数最少的风险转播路径;风险最高的风险传播路径;根据风险传播路径生成对应待防御节点的安全防御方式。
在实际应用中,所得到的网络的风险评估信息还可应用于入侵对抗,如终端生成网络的风险评估信息后,接收到访问阻断请求,响应于访问阻断请求,在风险传播路径中查询被入侵节点到达的敏感节点、以及对应的风险传播路径;对目标地址对应的节点到达的敏感节点、以及对应的风险传播路径进行访问阻断处理。
在实际应用中,所得到的网络的风险评估信息还可应用于复盘入侵事件,如终端生成网络的风险评估信息后,接收到入侵分析请求,响应于入侵分析请求,在风险传播路径中查询从被入侵节点开始进行设定跳数能够到达的敏感节点、以及对应风险传播路径;根据查询到的敏感节点和对应的风险传播路径,分析入侵的规律,以根据入侵规律构建网络的风险控制模型。
接下来以网络风险评估方法应用于企业网络中的安全部署为例,对本发明实施例提供的网络风险评估方法进行说明,在一些实施例中,企业网络中包括多个终端设备,每个终端作为企业网络中的一个节点存在,该网络风险评估方法可由服务器实施,或由终端实施,或由服务器及终端协同实施,以终端实施为例,参见图7,本发明实施例提供的网络风险评估方法包括:
步骤701:终端采集企业网络中各个节点的属性信息、以及各个节点之间的连接关系。
在实际实施时,企业网络中的节点中部署有代理(Agent),通过代理,终端可获取企业网络中各个节点的属性信息、以及各个节点之间的连接关系。
这里,对于企业网络来说,节点的属性信息包括:节点的类型信息、节点所属的网络区域标签、节点所属的业务架构及当前节点是否为敏感节点。
步骤702:根据采集的各个节点的属性信息、以及各个节点之间的连接关系,生成对应的网络拓扑图。
在实际实施时,可通过节点、节点间连接关系的映射,得到对应的网络拓扑图;图8为本发明实施例提供的网络拓扑图的一个可选的示意图,参见图8,终端根据所采集的企业网络中各个节点的属性信息、以及各个节点之间的连接关系,生成对应的网络拓扑图。
步骤703:在网络拓扑图中以敏感节点为传播过程的起点,根据连接关系向所经过的节点传播前向节点的属性信息。
继续参见图8,在图8所示的网络拓扑图中,节点1及节点2为敏感节点,以节点1及节点2为传播过程的起点,根据连接关系向节点4至节点10传播前向节点的属性信息。
步骤704:确定传播的过程收敛时对应形成的风险传播路径、以及风险传播路径中各个节点所接收的属性信息。
这里,传播的过程收敛时,即经过多次迭代更新后,各个节点的权重趋于极限值时,即得到了全网所有节点到敏感节点的路径和路径上的节点的属性信息,具体地更新过程及传播收敛的判定参见前述实施例,此处不再赘述。
继续参见图8,在图8所示的网络拓扑图中,当传播的过程收敛时,可得到多条从敏感节点1及敏感节点2出发,到达节点8至节点10的路径,如从敏感节点2出发到达节点10的路径有:节点2→节点5→节点7→节点10;节点2→节点4→节点7→节点10。
步骤705:基于风险传播路径中各个中间节点所接收的属性信息,生成企业网络的风险评估信息。
在实际应用中,针对安全部署的应用场景,所生成的风险评估信息包括以下风险传播路径至少之一:跳数最少的风险转播路径;风险最高的风险传播路径。
步骤706:响应于针对目标节点的安全防御请求,获取风险评估信息中对应目标节点的跳数最少的风险转播路径,以及风险最高的风险传播路径。
继续参见图8,在图8所示的网络拓扑图中,以目标节点为节点9为例,对应节点9的跳数最少的风险转播路径为:节点9→节点4→节点1,及节点9→节点4→节点2,即,节点9最少经两跳便可到达敏感节点1或2。
在图8所示的网络拓扑图中,仍以目标节点为节点9为例,风险最高的风险传播路径,即为节点9到达敏感节点1或2的所有路径中节点权重之和最大的路径,如节点9到达敏感节点1或2的风险传播路径包括如下四条,分别为:节点9→节点6→节点3→节点1、节点9→节点4→节点1、节点9→节点4→节点2及节点9→节点4→节点7→节点5→节点2;其中,节点9→节点4→节点7→节点5→节点2的节点权重之和最大,为风险最高的风险传播路径,进而可根据风险传播路径生成对应待防御节点的安全防御方式。
接下来以网络风险评估方法应用于企业网络中的入侵对抗及复盘入侵事件为例,对本发明实施例提供的网络风险评估方法进行说明,在一些实施例中,企业网络中包括多个终端设备,每个终端作为企业网络中的一个节点存在,该网络风险评估方法可由服务器实施,或由终端实施,或由服务器及终端协同实施,以终端实施为例,参见图9,本发明实施例提供的网络风险评估方法包括:
步骤901:终端采集企业网络中各个节点的属性信息、以及各个节点之间的连接关系。
在实际实施时,企业网络中的节点中部署有代理(Agent),通过代理,终端可获取企业网络中各个节点的属性信息、以及各个节点之间的连接关系。
这里,对于企业网络来说,节点的属性信息包括:节点的类型信息、节点所属的网络区域标签、节点所属的业务架构及当前节点是否为敏感节点。
步骤902:根据采集的各个节点的属性信息、以及各个节点之间的连接关系,生成对应的网络拓扑图。
在实际实施时,可通过节点、节点间连接关系的映射,得到对应的网络拓扑图;图10为本发明实施例提供的网络拓扑图的一个可选的示意图,参见图10,终端根据所采集的企业网络中各个节点的属性信息、以及各个节点之间的连接关系,生成对应的网络拓扑图。
步骤903:在网络拓扑图中以敏感节点为传播过程的起点,根据连接关系向所经过的节点传播前向节点的属性信息。
步骤904:确定传播的过程收敛时对应形成的风险传播路径、以及风险传播路径中各个节点所接收的属性信息。
这里,传播的过程收敛时,即经过多次迭代更新后,各个节点的权重趋于极限值时,即得到了全网所有节点到敏感节点的路径和路径上的节点的属性信息,具体地更新过程及传播收敛的判定参见前述实施例,此处不再赘述。
步骤905:基于风险传播路径中各个中间节点所接收的属性信息,生成企业网络的风险评估信息。
这里,在实际实施时,所生成的企业网络的风险评估信息包括全局性信息、路径聚合信息及区域聚合信息中至少之一。其中,对于全局性信息、路径聚合信息及区域聚合信息的具体描述参见前述实施例,此处不再赘述。
步骤906:响应于针对目标节点的访问阻断请求,获取目标节点所对应的敏感节点以及对应的风险传播路径。
参见图10,在图10所示的网络拓扑中,节点3为被入侵节点,即目标节点,节点8及节点9为敏感节点,其中,目标节点对应的敏感节点为节点8,目标节点对应的风险传播路径包括:节点3→节点4→节点8,及节点3→节点5→节点8;其中,节点4及节点5为目标节点到达对应的敏感节点所途径的节点。
步骤907:对目标节点所对应的敏感节点以及对应的风险传播路径进行访问阻断处理。
步骤908:接收到针对目标节点的入侵分析请求,分析入侵的规律,并根据入侵规律构建网络的风险控制模型。
这里,在实际应用中,当接收到针对目标节点的入侵分析请求时,在风险传播路径中查询从被入侵节点开始进行设定跳数能够到达的敏感节点、以及对应风险传播路径;根据查询到的敏感节点和对应的风险传播路径,分析入侵的规律,以根据入侵规律构建网络的风险控制模型。
接下来以包括多个节点的企业网络为例,继续对本发明实施例提供的网络风险评估方法进行说明。图11为本发明实施例提供的网络风险评估装置的组成结构示意图,结合图11,本发明实施例提供的网络风险评估方法包括:
步骤1,数据采集模块获取网络中各个节点的属性信息、以及各个节点之间的连接关系。
这里,在实际实施时,企业网络中的节点(机器)上部署有代理(agent),数据采集模块通过部署在企业网络机器上的agent采机器的属性信息,以及机器与机器之间的连接关系。
其中,机器的属性信息包括以下至少之一:
机器类别,如服务器、路由器、交换机等;
机器的网络区域标签,即逻辑上对企业网络中的机器进行的分区;
机器所属组织架构,如机器所对应的业务架构,包括部门业务归属等;
是否敏感节点,逻辑上划分的机器是否属于敏感资产;
这里,敏感资产指,企业内网中保存有敏感数据信息的机器和资产,通常是企业安全中需重点关注和防护的资产。
步骤2,图计算模块根据采集的机器属性信息和机器之间的连接关系,构造网络拓扑图,并基于网络拓扑图传播节点信息。
具体地,图计算模块执行以下操作:
1,初始化网络拓扑图中所有节点上的信息;
2、初始敏感节点出发将本节点信息传播至下一层。
这里,图12为本发明实施例提供的传播未收敛时,对当前节点的处理示意图,参见图12,当传播未收敛时,执行如下操作:
2.1,当前节点合并上层所有节点传往本节点的信息;
2.2,根据上层合并的信息更新本层节点信息;
2.3,将本节点信息发送往与本节点相连的所有下层节点。
3、当图传播过程收敛时,每个节点上存储的即为当前节点到敏感节点的统计信息。
这里,图6为本发明实施例提供的基于网络拓扑图进行图传播的示意图,参见图6,采用逐层扩散的方式,逐层的更新新一层的统计信息,当图传播算法收敛时,即得到了全网所有机器到敏感机器的路径和路径上的机器的统计信息。
离线数据更新完成后,即可把每个节点上的统计信息存储下来,从而实现实时的查询,从而业务可以秒级的查询某一台机器被入侵的影响范围。
步骤3,离线计算模块统计每个节点到敏感节点的路径信息和区域信息等,以生成网络的风险评估信息。
具体地,离线计算模块执行如下计算:
1、资产信息
在整个网络统计所有的资产信息,用于指示现网的所有机器状态,离线计算模块统计如下信息至少之一,以展示所有资产的大盘信息,以及资产的规模:敏感机器的总个数、逻辑区域的个数、各个逻辑区域中机器的个数。
2、路径信息
在实际实施时,为直观展示从每个节点可到敏感节点的路径个数,按照路径的条数统计,统计从当前节点经过1、2、3、4……n跳分别可到达的敏感节点的个数,统计路径的条数,路径上所有的机器等信息。
3、区域信息
在企业网络中,通常会根据业务属性对整个企业网络进行网络区域划分,离线计算模块将路径上的节点,按照网络区域进行聚合,统计出每个区域内的机器节点信息,同时也可统计出每个区域之间边的条数,可得到从特定节点出发路径上所有机器的区域聚合情况,以及路径聚合情况等信息。
步骤4,信息查询模块同步离线计算模块计算得到的数据,在接收到查询请求时,根据离线计算结果,通过可视化展示技术,直观的进行风险评估数据的展示,方便安全运营人员直观的分析。
这里,对本发明实施例提供的网络风险评估方法的应用场景进行说明。
场景一
安全部署:查看某个IP到敏感机器的可达路径,并可计算最短路径、风险路径(机器脆弱性最高、最容易被入侵或反复被入侵)等,为部署防御提供依据。
场景二
入侵对抗:发现某个IP被入侵,可迅速判断可能影响的敏感资产,以及可到达这些敏感资产的路线,从而快速的排查和定位,快速阻断。
场景三
图10为本发明实施例提供的网络拓扑图的一个可选的示意图,参见图10,复盘入侵事件时,可从被入侵的机器出发,还原出历史入侵的路径,方便分析和总结规律,搭建模型;当图中节点3被黑客入侵时,可直观看到可从此机器进一步通过两跳渗透到敏感机器节点(图中节点8),且能直观展示出所有的渗透路径(图中加粗的线)。
继续对本发明实施例提供的网络风险评估装置进行说明,图11为本发明实施例提供的网络风险评估装置的组成结构示意图,结合图3及图11,本发明实施例提供的网络风险评估装置包括:
图计算模块,用于根据网络中各个节点的属性信息、以及所述各个节点之间的连接关系,生成对应的网络拓扑图;
以及,用于在所述网络拓扑图中以具有风险性的敏感节点为传播过程的起点,根据所述连接关系向所经过的节点传播前向的节点的属性信息;
离线计算模块,用于确定所述传播的过程收敛时对应形成的风险传播路径、以及所述风险传播路径中各个节点所接收的属性信息;
以及,用于基于所述风险传播路径中各个节点所接收的属性信息,生成所述网络的风险评估信息。
在一些实施例中,所述图计算模块,还用于将所述网络中各个节点映射为网络拓扑图中相应的节点,将所述各个节点的之间的连接关系映射为所述网络拓扑图中相应节点之间的边;
将所述各个节点的以下属性信息至少之一,映射到所述网络拓扑图中相应的节点:类型信息;所属的网络区域标签;所属的组织架构。
在一些实施例中,所述图计算模块,还用于将所述敏感节点的属性信息作为前向节点的属性信息,传播到所述网络拓扑图中与所述敏感节点具有连接关系的第n层节点,所述第n层节点的数量为多个;
当传播到所述第n层节点的过程未收敛时,将所述第n层节点的前向节点的属性信息与具有连接关系的所述第n层节点的属性信息合并,并将所述第n层节点的更新后的属性信息,传播到与所述第n层节点具有连接关系的第n+1层节点,直至传播到第N层节点的过程收敛;
其中,n为整数且取值依次为1至N-1,N表示所述网络拓扑图中的层数。
在一些实施例中,所述图计算模块,还用于生成第n转移矩阵,所述第n转移矩阵中的元素表示,所述敏感节点和与所述敏感节点具有连接关系的第n层节点中任意两个节点之间的转移概率;
初始化第n权重矩阵;
将所述第n转移矩阵与第n权重矩阵进行矩阵乘法操作,并依据所述矩阵乘法操作的结果更新所述第n权重矩阵;
当迭代更新的所述第n权重矩阵未收敛时,确定迭代更新传播到所述第n层节点的过程未收敛。
在一些实施例中,所述图计算模块,还用于确定所述敏感节点和所述第n层节点中任意两个节点之间的邻接关系,并生成以所述邻接关系的数字化表示为元素的第n邻接矩阵;
将所述第n邻接矩阵进行归一化处理,得到所述第n转移矩阵。
在一些实施例中,所述离线计算模块,还用于当传播到所述网络拓扑图的第N层节点的过程收敛时,从所述网络拓扑图中查询传播的过程中所到达的第N层节点;
从每个所到达的第N层节点的属性信息中获取对应的前向节点,并根据所述前向节点形成从所述敏感节点到达所述第N层节点的风险传播路径;
其中,N为大于或等于2的整数。
在一些实施例中,所述离线计算模块,还用于根据所述网络拓扑图、以及所述风险传播路径所包括的节点的属性信息,分析得到所述网络拓扑图的以下全局性信息至少之一:所述网络拓扑图的规模、所述网络拓扑图中敏感节点的数量、所述网络拓扑图中包括敏感节点的区域以及所述区域的数量、以及所述包括敏感节点的区域中风险节点的数量和安全节点的数量。
在一些实施例中,所述离线计算模块,还用于根据所述风险传播路径所包括的节点的属性信息,分析得到所述网络拓扑图的以下路径聚合信息至少之一:所述网络拓扑图中每个节点经过不同跳数可到达的敏感节点的数量、所述节点到达相应的敏感节点的路径、以及所述路径中的节点。
在一些实施例中,所述离线计算模块,还用于根据所述网络拓扑图中的网络区域划分信息、以及所述风险传播路径所包括的节点的属性信息,确定以下区域聚合信息至少之一:
所述网络拓扑图中每个区域包括的节点、相邻区域之间的边的数量、从特定节点出发的路径上所有节点的区域聚合信息,以及路径聚合信息。
在一些实施例中,所述装置还包括信息查询模块,信息查询模块包括以下模块至少之一:第一查询模块、第二查询模块及第三查询模块;
第一查询模块,用于响应于安全防御请求,查询待防御节点到达所述敏感节点的以下风险传播路径至少之一:跳数最少的风险转播路径;风险最高的风险传播路径;
根据所述风险传播路径生成对应待防御节点的安全防御方式。
相应的,所述网络风险评估装置还可包括第一显示模块,用于显示第一查询模块查询得到的风险传播路径及对应待防御节点的安全防御方式。
在一些实施例中,所述装置还包括:
第二查询模块,用于响应于访问阻断请求,在所述风险传播路径中查询被入侵节点所到达的敏感节点、以及对应的风险传播路径;
对所述目标地址对应的节点到达的敏感节点、以及对应的风险传播路径进行访问阻断处理。
相应的,所述网络风险评估装置还可包括第二显示模块,用于显示第二查询模块查询得到的被入侵节点所到达的敏感节点、以及对应的风险传播路径。
在一些实施例中,所述装置还包括:
第三查询模块,用于响应于入侵分析请求,在所述风险传播路径中查询从被入侵节点开始进行设定跳数能够到达的敏感节点、以及对应风险传播路径;
根据所述查询到的敏感节点和对应的风险传播路径,分析入侵规律,以根据所述入侵规律构建所述网络的风险控制模型。
相应的,所述网络风险评估装置还可包括第三显示模块,用于显示第三查询模块查询得到的从被入侵节点开始进行设定跳数能够到达的敏感节点、以及对应风险传播路径。
应用本发明上述实施例具备以下有益技术效果:
1、通过图传播的方式,计算从企业网络中的某一节点出发,到内网中的敏感机器所有可达路径,并可计算最短路径以及风险最高的路径,为部署防御提供依据;
2、在入侵对抗中发现某个IP被入侵时,可快速检索出对敏感资产的影响,以及到达这些敏感资产的路径,从而可快速的排查和定位,快速阻断;
3、在海量图数据的传播过程中,存在路径的组合爆炸的问题,通过离线预计算的方式,先离线计算好可能的路径并基于路径和逻辑区域进行划分,然后提供实时查询的系统,从而使业务方可秒级查询安全事件对企业网络敏感资产的影响范围。
这里需要指出的是:以上涉及装置的描述,与上述方法描述是类似的,同方法的有益效果描述,不做赘述,对于本发明实施例所述装置中未披露的技术细节,请参照本发明方法实施例的描述。
本发明实施例还提供了一种电子设备,所述电子设备包括:
存储器,用于存储可执行程序;
处理器,用于执行所述存储器中存储的可执行程序时,实现本发明实施例提供的上述网络风险评估方法。
本发明实施例还提供一种存储有可执行指令的存储介质,其中存储有可执行指令,当可执行指令被处理器执行时,将引起处理器执行本发明实施例提供的网络风险评估方法。
实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、随机存取存储器(RAM,Random Access Memory)、只读存储器(ROM,Read-Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、RAM、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和范围之内所作的任何修改、等同替换和改进等,均包含在本发明的保护范围之内。
Claims (15)
1.一种网络风险评估方法,其特征在于,包括:
接收处于同一网络中的各个节点发送的属性信息、以及所述各个节点之间的连接关系;
根据网络中各个节点的属性信息、以及所述各个节点之间的连接关系,生成对应的网络拓扑图;
在所述网络拓扑图中以具有风险性的敏感节点为传播过程的起点,根据所述连接关系向所经过的节点传播前向节点的属性信息;
确定所述传播的过程收敛时对应形成的风险传播路径、以及所述风险传播路径中各个节点所接收的属性信息;
基于所述风险传播路径中各个节点所接收的属性信息,生成所述网络的风险评估信息。
2.根据权利要求1所述的方法,其特征在于,所述根据网络中各个节点的属性信息、以及所述各个节点之间的连接关系,生成对应的网络拓扑图,包括:
将所述网络中各个节点映射为网络拓扑图中相应的节点,将所述各个节点的之间的连接关系映射为所述网络拓扑图中相应节点之间的边;
将所述各个节点的以下属性信息至少之一,映射到所述网络拓扑图中相应的节点:类型信息;所属的网络区域标签;所属的组织架构。
3.根据权利要求1所述的方法,其特征在于,所述根据所述连接关系向所经过的节点传播前向节点的属性信息,包括:
将所述敏感节点的属性信息作为前向节点的属性信息,传播到所述网络拓扑图中与所述敏感节点具有连接关系的第n层节点,所述第n层节点的数量为多个;
当传播到所述第n层节点的过程未收敛时,将所述第n层节点的前向节点的属性信息与具有连接关系的所述第n层节点的属性信息合并,并将所述第n层节点的更新后的属性信息,传播到与所述第n层节点具有连接关系的第n+1层节点,直至传播到第N层节点的过程收敛;
其中,n为整数且取值依次为1至N-1,N表示所述网络拓扑图中的层数。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
生成第n转移矩阵,所述第n转移矩阵中的元素表示,所述敏感节点和与所述敏感节点具有连接关系的第n层节点中任意两个节点之间的转移概率;
初始化第n权重矩阵;
将所述第n转移矩阵与第n权重矩阵进行矩阵乘法操作,并依据所述矩阵乘法操作的结果更新所述第n权重矩阵;
当迭代更新的所述第n权重矩阵未收敛时,确定迭代更新传播到所述第n层节点的过程未收敛。
5.根据权利要求4所述的方法,其特征在于,所述生成第n转移矩阵,包括:
确定所述敏感节点和所述第n层节点中任意两个节点之间的邻接关系,并生成以所述邻接关系的数字化表示为元素的第n邻接矩阵;
将所述第n邻接矩阵进行归一化处理,得到所述第n转移矩阵。
6.根据权利要求1所述的方法,其特征在于,所述确定所述传播的过程收敛时对应形成的风险传播路径,包括:
当传播到所述网络拓扑图的第N层节点的过程收敛时,从所述网络拓扑图中查询传播的过程中所到达的第N层节点;
从每个所到达的第N层节点的属性信息中获取对应的前向节点,并根据所述前向节点形成从所述敏感节点到达所述第N层节点的风险传播路径;
其中,N为大于或等于2的整数。
7.根据权利要求1所述的方法,其特征在于,所述基于所述风险传播路径中各个节点所接收的属性信息,生成所述网络的风险评估信息,包括:
根据所述网络拓扑图、以及所述风险传播路径所包括的节点的属性信息,分析得到所述网络拓扑图的以下全局性信息至少之一:所述网络拓扑图的规模、所述网络拓扑图中敏感节点的数量、所述网络拓扑图中包括敏感节点的区域以及所述区域的数量、以及所述包括敏感节点的区域中风险节点的数量和安全节点的数量。
8.根据权利要求1所述的方法,其特征在于,所述基于所述风险传播路径中各个节点所接收的属性信息,生成所述网络的风险评估信息,包括:
根据所述风险传播路径所包括的节点的属性信息,分析得到所述网络拓扑图的以下路径聚合信息至少之一:所述网络拓扑图中每个节点经过不同跳数可到达的敏感节点的数量、所述节点到达相应的敏感节点的路径、以及所述路径中的节点。
9.根据权利要求1所述的方法,其特征在于,所述基于所述风险传播路径中各个节点所接收的属性信息,生成所述网络的风险评估信息,包括:
根据所述网络拓扑图中的网络区域划分信息、以及所述风险传播路径所包括的节点的属性信息,确定以下区域聚合信息至少之一:
所述网络拓扑图中每个区域包括的节点、相邻区域之间的边的数量、从特定节点出发的路径上所有节点的区域聚合信息,以及路径聚合信息。
10.根据权利要求1至9任一项所述的方法,其特征在于,还包括:
响应于安全防御请求,查询待防御节点到达所述敏感节点的以下风险传播路径至少之一:跳数最少的风险转播路径;风险最高的风险传播路径;
根据所述风险传播路径生成所述对应所述待防御节点的安全防御方式。
11.根据权利要求1至9任一项所述的方法,其特征在于,还包括:
响应于访问阻断请求,在所述风险传播路径中查询被入侵节点到达的敏感节点、以及对应的风险传播路径;
对所述目标地址对应的节点到达的敏感节点、以及对应的风险传播路径进行访问阻断处理。
12.根据权利要求1至9任一项所述的方法,其特征在于,还包括:
响应于入侵分析请求,在所述风险传播路径中查询从被入侵节点开始进行设定跳数能够到达的敏感节点、以及对应风险传播路径;
根据所述查询到的敏感节点和对应的风险传播路径,分析入侵规律,以根据所述入侵规律构建所述网络的风险控制模型。
13.一种网络风险评估装置,其特征在于,包括:
图计算模块,用于接收处于同一网络中的各个节点发送的属性信息、以及所述各个节点之间的连接关系;
根据网络中各个节点的属性信息、以及所述各个节点之间的连接关系,生成对应的网络拓扑图;
以及,用于在所述网络拓扑图中以具有风险性的敏感节点为传播过程的起点,根据所述连接关系向所经过的节点传播前向的节点的属性信息;
离线计算模块,用于确定所述传播的过程收敛时对应形成的风险传播路径、以及所述风险传播路径中各个节点所接收的属性信息;
以及,用于基于所述风险传播路径中各个节点所接收的属性信息,生成所述网络的风险评估信息。
14.一种电子设备,其特征在于,所述电子设备包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现权利要求1至12中任一项所述的网络风险评估方法。
15.一种存储介质,其特征在于,所述存储介质存储有可执行指令,用于引起处理器执行时,实现权利要求1至12中任一项所述的网络风险评估方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910838807.5A CN110557393B (zh) | 2019-09-05 | 2019-09-05 | 网络风险评估方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910838807.5A CN110557393B (zh) | 2019-09-05 | 2019-09-05 | 网络风险评估方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110557393A true CN110557393A (zh) | 2019-12-10 |
CN110557393B CN110557393B (zh) | 2021-10-12 |
Family
ID=68739091
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910838807.5A Active CN110557393B (zh) | 2019-09-05 | 2019-09-05 | 网络风险评估方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110557393B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111369331A (zh) * | 2020-02-28 | 2020-07-03 | 中国工商银行股份有限公司 | 交叉性风险防控方法及装置 |
CN111770095A (zh) * | 2020-06-29 | 2020-10-13 | 百度在线网络技术(北京)有限公司 | 探测方法、装置、设备以及存储介质 |
CN111787001A (zh) * | 2020-06-30 | 2020-10-16 | 中国电子科技集团公司电子科学研究院 | 网络安全信息的处理方法、装置、电子设备和存储介质 |
CN111935005A (zh) * | 2020-08-07 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 数据传输方法、装置、处理设备及介质 |
CN112905848A (zh) * | 2021-02-10 | 2021-06-04 | 北京有竹居网络技术有限公司 | 信息查询方法、装置、电子设备、存储介质及程序产品 |
CN112965872A (zh) * | 2021-02-24 | 2021-06-15 | 刘志欣 | 系统集群节点的风险预测方法、装置、终端及存储介质 |
CN113313333A (zh) * | 2020-02-26 | 2021-08-27 | 阿里巴巴集团控股有限公司 | 关系网络拓扑的风险判定方法、装置和介质 |
CN113450558A (zh) * | 2020-03-27 | 2021-09-28 | 上海仙豆智能机器人有限公司 | 一种识别网络关键节点的方法、系统及存储介质 |
CN114846770A (zh) * | 2019-12-31 | 2022-08-02 | 微软技术许可有限责任公司 | 横向移动路径中的风险边的实时检测 |
CN115314393A (zh) * | 2022-10-12 | 2022-11-08 | 北京九鼎颐和科技有限公司 | 一种网络拓扑管理方法、系统、终端及存储介质 |
CN115495518A (zh) * | 2022-09-22 | 2022-12-20 | 奇点浩翰数据技术(北京)有限公司 | 一种生成图表的方法和装置 |
CN117439824A (zh) * | 2023-12-21 | 2024-01-23 | 山东科技大学 | 基于ai的智慧城市评价方法、系统、设备及存储介质 |
CN117811992A (zh) * | 2024-02-29 | 2024-04-02 | 山东海量信息技术研究院 | 一种网络不良信息传播抑制方法、装置、设备及存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102355361A (zh) * | 2011-06-30 | 2012-02-15 | 江苏南大苏富特科技股份有限公司 | 基于报警信息的安全评估方法 |
CN103368976A (zh) * | 2013-07-31 | 2013-10-23 | 电子科技大学 | 一种基于攻击图邻接矩阵的网络安全评估装置 |
CN105389670A (zh) * | 2015-12-07 | 2016-03-09 | 浙江大学 | 一种电网节点重要度确定方法 |
CN105681338A (zh) * | 2016-03-04 | 2016-06-15 | 西北大学 | 漏洞利用成功概率计算方法及网络安全风险管理方法 |
CN106453217A (zh) * | 2016-04-13 | 2017-02-22 | 河南理工大学 | 一种基于路径收益计算的网络攻击路径行为的预测方法 |
US10044745B1 (en) * | 2015-10-12 | 2018-08-07 | Palantir Technologies, Inc. | Systems for computer network security risk assessment including user compromise analysis associated with a network of devices |
CN109218304A (zh) * | 2018-09-12 | 2019-01-15 | 北京理工大学 | 一种基于攻击图和协同进化的网络风险阻断方法 |
CN109345158A (zh) * | 2018-12-19 | 2019-02-15 | 重庆百行智能数据科技研究院有限公司 | 企业风险识别方法、装置和计算机可读存储介质 |
CN109583620A (zh) * | 2018-10-11 | 2019-04-05 | 平安科技(深圳)有限公司 | 企业潜在风险预警方法、装置、计算机设备和存储介质 |
CN109685355A (zh) * | 2018-12-19 | 2019-04-26 | 重庆百行智能数据科技研究院有限公司 | 企业风险识别方法、装置和计算机可读存储介质 |
-
2019
- 2019-09-05 CN CN201910838807.5A patent/CN110557393B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102355361A (zh) * | 2011-06-30 | 2012-02-15 | 江苏南大苏富特科技股份有限公司 | 基于报警信息的安全评估方法 |
CN103368976A (zh) * | 2013-07-31 | 2013-10-23 | 电子科技大学 | 一种基于攻击图邻接矩阵的网络安全评估装置 |
US10044745B1 (en) * | 2015-10-12 | 2018-08-07 | Palantir Technologies, Inc. | Systems for computer network security risk assessment including user compromise analysis associated with a network of devices |
CN105389670A (zh) * | 2015-12-07 | 2016-03-09 | 浙江大学 | 一种电网节点重要度确定方法 |
CN105681338A (zh) * | 2016-03-04 | 2016-06-15 | 西北大学 | 漏洞利用成功概率计算方法及网络安全风险管理方法 |
CN106453217A (zh) * | 2016-04-13 | 2017-02-22 | 河南理工大学 | 一种基于路径收益计算的网络攻击路径行为的预测方法 |
CN109218304A (zh) * | 2018-09-12 | 2019-01-15 | 北京理工大学 | 一种基于攻击图和协同进化的网络风险阻断方法 |
CN109583620A (zh) * | 2018-10-11 | 2019-04-05 | 平安科技(深圳)有限公司 | 企业潜在风险预警方法、装置、计算机设备和存储介质 |
CN109345158A (zh) * | 2018-12-19 | 2019-02-15 | 重庆百行智能数据科技研究院有限公司 | 企业风险识别方法、装置和计算机可读存储介质 |
CN109685355A (zh) * | 2018-12-19 | 2019-04-26 | 重庆百行智能数据科技研究院有限公司 | 企业风险识别方法、装置和计算机可读存储介质 |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114846770A (zh) * | 2019-12-31 | 2022-08-02 | 微软技术许可有限责任公司 | 横向移动路径中的风险边的实时检测 |
CN113313333A (zh) * | 2020-02-26 | 2021-08-27 | 阿里巴巴集团控股有限公司 | 关系网络拓扑的风险判定方法、装置和介质 |
CN111369331A (zh) * | 2020-02-28 | 2020-07-03 | 中国工商银行股份有限公司 | 交叉性风险防控方法及装置 |
CN113450558B (zh) * | 2020-03-27 | 2022-11-08 | 上海仙豆智能机器人有限公司 | 一种识别网络关键节点的方法、系统及存储介质 |
CN113450558A (zh) * | 2020-03-27 | 2021-09-28 | 上海仙豆智能机器人有限公司 | 一种识别网络关键节点的方法、系统及存储介质 |
CN111770095A (zh) * | 2020-06-29 | 2020-10-13 | 百度在线网络技术(北京)有限公司 | 探测方法、装置、设备以及存储介质 |
CN111787001B (zh) * | 2020-06-30 | 2023-01-17 | 中国电子科技集团公司电子科学研究院 | 网络安全信息的处理方法、装置、电子设备和存储介质 |
CN111787001A (zh) * | 2020-06-30 | 2020-10-16 | 中国电子科技集团公司电子科学研究院 | 网络安全信息的处理方法、装置、电子设备和存储介质 |
CN111935005A (zh) * | 2020-08-07 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 数据传输方法、装置、处理设备及介质 |
CN111935005B (zh) * | 2020-08-07 | 2023-10-24 | 腾讯科技(深圳)有限公司 | 数据传输方法、装置、处理设备及介质 |
CN112905848A (zh) * | 2021-02-10 | 2021-06-04 | 北京有竹居网络技术有限公司 | 信息查询方法、装置、电子设备、存储介质及程序产品 |
CN112965872A (zh) * | 2021-02-24 | 2021-06-15 | 刘志欣 | 系统集群节点的风险预测方法、装置、终端及存储介质 |
CN115495518A (zh) * | 2022-09-22 | 2022-12-20 | 奇点浩翰数据技术(北京)有限公司 | 一种生成图表的方法和装置 |
CN115495518B (zh) * | 2022-09-22 | 2023-10-24 | 奇点浩翰数据技术(北京)有限公司 | 一种生成图表的方法和装置 |
CN115314393A (zh) * | 2022-10-12 | 2022-11-08 | 北京九鼎颐和科技有限公司 | 一种网络拓扑管理方法、系统、终端及存储介质 |
CN117439824A (zh) * | 2023-12-21 | 2024-01-23 | 山东科技大学 | 基于ai的智慧城市评价方法、系统、设备及存储介质 |
CN117439824B (zh) * | 2023-12-21 | 2024-03-12 | 山东科技大学 | 基于ai的智慧城市评价方法、系统、设备及存储介质 |
CN117811992A (zh) * | 2024-02-29 | 2024-04-02 | 山东海量信息技术研究院 | 一种网络不良信息传播抑制方法、装置、设备及存储介质 |
CN117811992B (zh) * | 2024-02-29 | 2024-05-28 | 山东海量信息技术研究院 | 一种网络不良信息传播抑制方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110557393B (zh) | 2021-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110557393B (zh) | 网络风险评估方法、装置、电子设备及存储介质 | |
Muñoz-González et al. | Exact inference techniques for the analysis of Bayesian attack graphs | |
Qu et al. | Continuous-time link prediction via temporal dependent graph neural network | |
US10474974B2 (en) | Reciprocal models for resource allocation | |
Zheng et al. | Research on the design of analytical communication and information model for teaching resources with cloud‐sharing platform | |
Alvari et al. | Community detection in dynamic social networks: A game-theoretic approach | |
US11483319B2 (en) | Security model | |
GB2519216A (en) | System and method for discovering optimal network attack paths | |
Liu et al. | Optimizing information credibility in social swarming applications | |
CN107766573B (zh) | 基于数据处理的商品推荐方法、装置、设备和存储介质 | |
CN112910710B (zh) | 网络流量时空预测方法、装置、计算机设备和存储介质 | |
CN110555172B (zh) | 用户关系挖掘方法及装置、电子设备和存储介质 | |
CN110677433A (zh) | 一种网络攻击预测的方法、系统、设备及可读存储介质 | |
US11334758B2 (en) | Method and apparatus of data processing using multiple types of non-linear combination processing | |
US10936978B2 (en) | Models for visualizing resource allocation | |
US12015629B2 (en) | Tailored network risk analysis using deep learning modeling | |
CN104836696B (zh) | 一种ip地址的检测方法及装置 | |
Zahra et al. | A generic and lightweight security mechanism for detecting malicious behavior in the uncertain Internet of Things using fuzzy logic-and fog-based approach | |
JP2021501920A (ja) | 信頼できるイニシャライザを用いた秘密共有 | |
US11979309B2 (en) | System and method for discovering ad-hoc communities over large-scale implicit networks by wave relaxation | |
US20140350994A1 (en) | Providing best practice workflow to aid user in completing project that is constantly updated based on user feedback | |
US20230370486A1 (en) | Systems and methods for dynamic vulnerability scoring | |
US20230259633A1 (en) | Systems and methods for evaluating system-of-systems for cyber vulnerabilities | |
Kagan et al. | A group testing algorithm with online informational learning | |
Skulimowski | Visions of a Future Research Workplace Arising from Recent Foresight Exercises |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40018781 Country of ref document: HK |
|
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |