CN110868377B - 一种网络攻击图的生成方法、装置及电子设备 - Google Patents
一种网络攻击图的生成方法、装置及电子设备 Download PDFInfo
- Publication number
- CN110868377B CN110868377B CN201811483644.5A CN201811483644A CN110868377B CN 110868377 B CN110868377 B CN 110868377B CN 201811483644 A CN201811483644 A CN 201811483644A CN 110868377 B CN110868377 B CN 110868377B
- Authority
- CN
- China
- Prior art keywords
- asset
- target
- vulnerability
- node
- associated asset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开一种网络攻击图的生成方法、装置及电子设备,涉及网络信息安全领域,能够较快地生成网络攻击图。所述网络攻击图的生成方法,包括:在目标网络环境中,确定目标资产的各关联资产节点;确定各关联资产节点所存在的漏洞;确定具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系;若具有直接网络连接关系的关联资产节点的漏洞之间存在逻辑关系,则将存在逻辑关系的漏洞进行逻辑关联,建立关联资产节点之间的漏洞逻辑关系;依据关联资产节点之间的漏洞逻辑关系,建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图。所述装置及电子设备包括用于执行所述方法的模块。本发明适用于生成网络攻击图。
Description
技术领域
本发明涉及网络信息安全领域,尤其涉及一种网络攻击图的生成方法、装置及电子设备。
背景技术
随着计算机网络的广泛应用,以及安全事件的频繁发生,网络安全称为一个日益突出的问题。解决网络安全问题的一个有效途径是对网路的安全性进行评价分析。现有的网络资产脆弱性分析的方法中,大多数都是把关注资产所在的网络中的所有资产进行遍历,进而获取到与关注资产有连接的资产,其次再从已获取的资产信息中提取存在漏洞关联的资产。
现有生成攻击图的方法存在对网络资产节点的树状结构进行的广度遍历,涵盖了一些与关注资产没有连接关系的资产,造成没有必要的计算代价;并且生成攻击图的前提要进行一个最大攻击深度的设定和最大攻击代价阈值的设定。当最大攻击深度设置过小时,生成的攻击图结果存在一定的疏漏性;当最大攻击深度设置过大时,在攻击图生成的过程中,会造成计算时间的不必要消耗、存储资源的过度开销以及存在计算节点爆炸等问题。
发明内容
有鉴于此,本发明实施例提供一种网络攻击图的生成方法、装置及电子设备,能够较快地生成网络攻击图。
第一方面,本发明实施例提供一种网络攻击图的生成方法,包括:确定目标网络环境中的需要保护的目标资产;在所述目标网络环境中,确定所述目标资产的各关联资产节点;所述关联资产节点为与所述目标资产具有直接网络连接关系或间接网络连接关系的资产节点;确定各关联资产节点所存在的漏洞;确定具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系;若具有直接网络连接关系的关联资产节点的漏洞之间存在逻辑关系,则将存在逻辑关系的漏洞进行逻辑关联,建立关联资产节点之间的漏洞逻辑关系;依据关联资产节点之间的漏洞逻辑关系,建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图。
根据本发明实施例的一种具体实现方式,所述在所述目标网络环境中,确定所述目标资产的各关联资产节点,包括:在所述目标网络环境中,将能够与所述目标资产进行通信的资产节点,确定为一级关联资产节点;其中,所述一级关联资产节点与所述目标资产具有直接网络连接关系;将除所述目标资产之外,能够与所述一级关联资产节点进行通信的资产节点,确定为二级关联资产节点;其中,所述二级关联资产节点与所述目标资产具有间接网络连接关系。
根据本发明实施例的一种具体实现方式,所述确定具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系,包括:确定具有直接网络连接关系的关联资产节点中,前一关联资产节点的漏洞被成功利用,能否成为后一关联资产节点的漏洞被成功利用的前提条件;若前一关联资产节点的漏洞被成功利用,能够成为后一关联资产节点的漏洞被成功利用的前提条件,则确定所述前一关联资产节点的漏洞和所述后一关联资产节点的漏洞之间存在逻辑关系。
根据本发明实施例的一种具体实现方式,在依据关联资产节点之间的漏洞逻辑关系,建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图之后,所述的网络攻击图的生成方法,还包括:计算前一关联资产节点的漏洞被成功利用后,成功利用后一关联资产节点的漏洞的概率;将所述概率,在所述网络攻击图中、自所述前一关联资产节点指向所述后一关联资产节点的攻击路径上进行标注。
根据本发明实施例的一种具体实现方式,在依据关联资产节点之间的漏洞逻辑关系,建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图之后,所述的网络攻击图的生成方法,还包括:在所述网络攻击图中,计算攻击者利用每条攻击路径成功攻击所述目标资产的成功概率;和/或,在所述网络攻击图中,计算攻击者利用每条攻击路径成功攻击所述目标资产的攻击代价。
根据本发明实施例的一种具体实现方式,所述成功概率和/或攻击代价,标注在所述网络攻击图中的相应攻击路径上。
第二方面,本发明实施例提供一种生成网络攻击图的装置,包括:目标资产确定模块:用于确定目标网络环境中的需要保护的目标资产;确定关联资产节点模块:用于在所述目标网络环境中,确定所述目标资产的各关联资产节点;所述关联资产节点为与所述目标资产具有直接网络连接关系或间接网络连接关系的资产节点;漏洞确定模块:用于确定各关联资产节点所存在的漏洞;逻辑关系判断模块:用于确定具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系;逻辑关系建立模块:用于若具有直接网络连接关系的关联资产节点的漏洞之间存在逻辑关系,则将存在逻辑关系的漏洞进行逻辑关联,建立关联资产节点之间的漏洞逻辑关系;网络攻击图生成模块:用于依据关联资产节点之间的漏洞逻辑关系,建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图。
根据本发明实施例的一种具体实现方式,所述确定关联资产节点模块,包括:一级关联资产节点确定模块:用于在所述目标网络环境中,将能够与所述目标资产进行通信的资产节点,确定为一级关联资产节点;其中,所述一级关联资产节点与所述目标资产具有直接网络连接关系;二级关联资产节点确定模块:用于将除所述目标资产之外,能够与所述一级关联资产节点进行通信的资产节点,确定为二级关联资产节点;其中,所述二级关联资产节点与所述目标资产具有间接网络连接关系。
根据本发明实施例的一种具体实现方式,所述逻辑关系判断模块,包括:逻辑关系判断子模块:用于确定具有直接网络连接关系的关联资产节点中,前一关联资产节点的漏洞被成功利用,能否成为后一关联资产节点的漏洞被成功利用的前提条件;逻辑关系确定子模块:若前一关联资产节点的漏洞被成功利用,能够成为后一关联资产节点的漏洞被成功利用的前提条件,则确定所述前一关联资产节点的漏洞和所述后一关联资产节点的漏洞之间存在逻辑关系。
根据本发明实施例的一种具体实现方式,在网络攻击图生成模块之后,所述的装置,还包括:漏洞利用概率计算模块:用于计算前一关联资产节点的漏洞被成功利用后,成功利用后一关联资产节点的漏洞的概率;概率标注模块:用于将所述概率,在所述网络攻击图中、自所述前一关联资产节点指向所述后一关联资产节点的攻击路径上进行标注。
根据本发明实施例的一种具体实现方式,在网络攻击图生成模块之后,所述的装置,还包括:成功概率计算模块:用于在所述网络攻击图中,计算攻击者利用每条攻击路径成功攻击所述目标资产的成功概率;和/或,攻击代价计算模块:用于在所述网络攻击图中,计算攻击者利用每条攻击路径成功攻击所述目标资产的攻击代价。
根据本发明实施例的一种具体实现方式,所述的装置,还包括:成功概率和/或攻击代价标注模块:用于将所述成功概率和/或攻击代价,标注在所述网络攻击图中的相应攻击路径上。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实现方式所述的方法。
第四方面,本发明的实施例还提供计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的方法。
本发明实施例提供的一种网络攻击图的生成方法、装置及电子设备,通过在目标网络环境中,从目标资产出发,确定与所述目标资产的各关联资产节点,同时,确定各关联资产节点所存在的漏洞以及具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系,并将存在逻辑关系的漏洞进行逻辑关联,建立关联资产节点之间的漏洞逻辑关系,从而生成基于目标网络环境的、以目标资产为攻击目标的网络攻击图,能够较快的生成网络攻击图。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明一实施例的网络攻击图的生成方法的流程图;
图2为本发明一实施例的确定所述目标资产的各关联资产节点的流程图;
图3为本发明一实施例的确定逻辑关系的流程图;
图4为本发明一实施例的网络攻击图的生成方法的流程图;
图5为本发明一实施例的网络攻击图的生成方法的流程图;
图6为本发明一实施例的目标网络图;
图7为本发明一实施例的生成网络攻击图的装置的结构示意图;
图8为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
第一方面,本实施例提供一种网络攻击图的生成方法,能够较快地生成网络攻击图。
图1为本发明一实施例的网络攻击图的生成方法的流程图,如图1所示。
本实施例的方法可以包括:
步骤101、确定目标网络环境中的需要保护的目标资产。
本实施例中,目标资产可为系统、计算机或服务器。
步骤102、在所述目标网络环境中,确定所述目标资产的各关联资产节点;所述关联资产节点为与所述目标资产具有直接网络连接关系或间接网络连接关系的资产节点。
本实施例中,从目标资产出发,找到与目标资产相关联的各资产节点,这样可以将与目标资产没有关联的资产节点的相关信息从网络攻击图中去除。
步骤103、确定各关联资产节点所存在的漏洞。
本实施例中,根据各关联资产节点的操作系统及网络协议等信息,确定各关联资产节点存在的漏洞ID。
步骤104、确定具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系。
本实施例中,逻辑关系是指具有直接网络连接关系的前一关联资产节点的漏洞被成功利用,能够成为后一关联资产节点的漏洞被成功利用的前提条件。
步骤105、若具有直接网络连接关系的关联资产节点的漏洞之间存在逻辑关系,则将存在逻辑关系的漏洞进行逻辑关联,建立关联资产节点之间的漏洞逻辑关系。
步骤106、依据关联资产节点之间的漏洞逻辑关系,建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图。
本实施例中,建立的网络攻击图,是以所述目标资产为最终节点,将关联资产节点之间存在漏洞逻辑关系的漏洞作为网络攻击图的节点。
本发明通过在目标网络环境中,从目标资产出发,确定与所述目标资产的各关联资产节点,同时,确定各关联资产节点所存在的漏洞以及具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系,并将存在逻辑关系的漏洞进行逻辑关联,建立关联资产节点之间的漏洞逻辑关系,从而生成基于目标网络环境的、以目标资产为攻击目标的网络攻击图。本发明所述的建立网络攻击的方法,能够较快的生成网络攻击图,从而也能够为安全管理人员提供了简洁、有效的网络攻击图。在生成网络攻击图的过程中,不但节省计算时间,同时节省存储空间。
图2为本发明一实施例的确定所述目标资产的各关联资产节点的流程图,如图2所示,所述在所述目标网络环境中,确定所述目标资产的各关联资产节点(102),包括:
步骤1021、在所述目标网络环境中,将能够与所述目标资产进行通信的资产节点,确定为一级关联资产节点;其中,所述一级关联资产节点与所述目标资产具有直接网络连接关系。
本实施例中,与所述目标资产具有直接网络连接关系的关联资产节点,确定为一级关联资产节点。
步骤1022、将除所述目标资产之外,能够与所述一级关联资产节点进行通信的资产节点,确定为二级关联资产节点;其中,所述二级关联资产节点与所述目标资产具有间接网络连接关系。
本实施例中,与所述目标资产具有间接网络连接关系的关联资产节点,确定为二级关联资产节点。
本实施例,根据与目标资产的连接关系,将与目标资产的各关联资产节点划分为一级关联资产节点和二级关联资产节点,找到与目标资产连接的所有资产节点,将这些资产节点作为生成网络攻击图的基础,生成的网络攻击图不会出现与目标资产没有关联的资产节点的信息。
图3为本发明一实施例的确定逻辑关系的流程图,如图3所示,所述确定具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系(步骤104),包括:
步骤1041、确定具有直接网络连接关系的关联资产节点中,前一关联资产节点的漏洞被成功利用,能否成为后一关联资产节点的漏洞被成功利用的前提条件。
本实施例中,提供了判断漏洞逻辑关系是否存在的依据,即前一关联资产节点的漏洞被成功利用,并能成为后一关联资产节点的漏洞被成功利用的前提条件。
步骤1042、若前一关联资产节点的漏洞被成功利用,能够成为后一关联资产节点的漏洞被成功利用的前提条件,则确定所述前一关联资产节点的漏洞和所述后一关联资产节点的漏洞之间存在逻辑关系。
本实施例中,根据漏洞逻辑关系存在的判断依据,确定所述前一关联资产节点的漏洞和所述后一关联资产节点的漏洞之间存在逻辑关系。
本实施例,通过确定所述前一关联资产节点的漏洞和所述后一关联资产节点的漏洞之间是否存在逻辑关系,依据关联资产的漏洞逻辑关系生成的网络攻击图中,就不会出现前、后关联资产没有逻辑关系的漏洞,从而快速的建立网络攻击图。
图4为本发明一实施例的网络攻击图的生成方法的流程图,本实施例在图1所示方法实施例的基础上,还可包括:
步骤107、计算前一关联资产节点的漏洞被成功利用后,成功利用后一关联资产节点的漏洞的概率;
步骤108、将所述概率,在所述网络攻击图中、自所述前一关联资产节点指向所述后一关联资产节点的攻击路径上进行标注。
本实施例中,将计算结果标注在网络攻击图中相应的位置。
本实施例,通过对前一关联资产节点的漏洞和后一关联资产节点的漏洞之间存在的逻辑关系,计算前一关联资产节点的漏洞被成功利用后,成功利用后一关联资产节点的漏洞的概率、并且将计算结果标注在在所述网络攻击图中相应的位置,能够为安全管理人员提供更多、更清晰的分析资产脆弱性的信息。
图5为本发明一实施例的网络攻击图的生成方法的流程图,本实施例在图1所示方法实施例的基础上,还可包括:
步骤109、在所述网络攻击图中,计算攻击者利用每条攻击路径成功攻击所述目标资产的成功概率;和/或
步骤110、在所述网络攻击图中,计算攻击者利用每条攻击路径成功攻击所述目标资产的攻击代价。
步骤111、将所述成功概率和/或攻击代价,标注在所述网络攻击图中的相应攻击路径上。
本实施例,通过计算攻击者利用每条攻击路径成功攻击所述目标资产的成功概率,和/或计算攻击者利用每条攻击路径成功攻击所述目标资产的攻击代价,并将计算结果标注在所述网络攻击图中的相应攻击路径上,能够为安全管理人员提供更多、更清晰的分析资产脆弱性的信息。
需要强调的是,包含步骤107、108的方案和包含步骤109、110和111的方案可以单独存在,也可以结合在一起使用。
下面采用一个具体的实施例,对图1~图5中任一个所示方法实施例的技术方案进行详细说明。
图6为本发明一实施例对应的目标网络,本实施例中,确定所述目标资产的各关联资产节点。
在目标网络中,将所有资产划分为三个网段,在各个网段中,资产可以互相进行通信,资产(IP:192.168.1.1)为目标资产,与资产(IP:192.168.1.1)存在网络连接的资产(IP:192.168.1.2)可以进行跨网段分别与资产(IP:192.168.2.1)和资产(IP:192.168.3.3)进行通信。
在本实施例中,一级关联资产节点:资产节点(IP:192.168.1.2);二级关联资产节点:资产节点(IP:192.168.2.1)、资产节点(IP:192.168.2.2)、资产节点(IP:192.168.3.1)、资产节点(IP:192.168.3.2)、资产节点(IP:192.168.3.3)。
根据各关联资产节点的操作系统及网络协议等信息,确定各关联资产节点存在的漏洞ID。本实施例中,目标资产(IP:192.168.1.1)、资产节点(IP:192.168.1.2)的信息及对应的漏洞ID如下表所示,目标资产(IP:192.168.1.1)的漏洞ID为11964,资产节点(IP:192.168.1.2)的漏洞ID为15343,8641。
根据系统数据库中关于漏洞的信息,判断当资产节点(IP:192.168.1.2)的漏洞15343被成功利用后,是否成为目标资产(IP:192.168.1.1)的漏洞11964被成功利用的前提条件。如果资产节点(IP:192.168.1.2)的漏洞15343能成功利用目标资产(IP:192.168.1.1)的漏洞11964,则资产节点(IP:192.168.1.2)的漏洞15343与目标资产IP:192.168.1.1)的漏洞11964存在逻辑关系。
依照上述过程,确定其它具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系,再根据关联资产节点之间的漏洞逻辑关系,建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图,并且可以计算前一关联资产节点的漏洞被成功利用后,成功利用后一关联资产节点的漏洞的概率、攻击者利用每条攻击路径成功攻击所述目标资产的成功概率和/或攻击代价,并将计算结果标注在网络攻击图的相应位置。
第二方面,本发明实施例提供一种生成网络攻击图的装置,能够较快地生成网络攻击图。
图7为本发明一实施例的生成网络攻击图的装置的结构示意图,如图7所示,本实施例的装置可以包括:目标资产确定模块11,确定关联资产节点模块12,漏洞确定模块13,逻辑关系判断模块14,逻辑关系建立模块15,网络攻击图生成模块16,其中,目标资产确定模块11,用于确定目标网络环境中的需要保护的目标资产;确定关联资产节点模块12:用于在所述目标网络环境中,确定所述目标资产的各关联资产节点;所述关联资产节点为与所述目标资产具有直接网络连接关系或间接网络连接关系的资产节点;漏洞确定模块13:用于确定各关联资产节点所存在的漏洞;逻辑关系判断模块14:用于确定具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系;逻辑关系建立模块15:用于若具有直接网络连接关系的关联资产节点的漏洞之间存在逻辑关系,则将存在逻辑关系的漏洞进行逻辑关联,建立关联资产节点之间的漏洞逻辑关系;网络攻击图生成模块16:用于依据关联资产节点之间的漏洞逻辑关系,建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在本发明的实施例中,所述确定关联资产节点模块12,包括:一级关联资产节点确定模块121,二级关联资产节点确定模块122,其中,一级关联资产节点确定模块121:用于在所述目标网络环境中,将能够与所述目标资产进行通信的资产节点,确定为一级关联资产节点;其中,所述一级关联资产节点与所述目标资产具有直接网络连接关系;二级关联资产节点确定模块122:用于将除所述目标资产之外,能够与所述一级关联资产节点进行通信的资产节点,确定为二级关联资产节点;其中,所述二级关联资产节点与所述目标资产具有间接网络连接关系。
本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在本发明的实施例中,所述逻辑关系判断模块14,包括:逻辑关系判断子模块141,逻辑关系确定子模块142,其中,逻辑关系判断子模块141,用于确定具有直接网络连接关系的关联资产节点中,前一关联资产节点的漏洞被成功利用,能否成为后一关联资产节点的漏洞被成功利用的前提条件;逻辑关系确定子模块142,用于若前一关联资产节点的漏洞被成功利用,能够成为后一关联资产节点的漏洞被成功利用的前提条件,则确定所述前一关联资产节点的漏洞和所述后一关联资产节点的漏洞之间存在逻辑关系。
本实施例的装置,可以用于执行图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在本发明的实施例中,在图7所示装置实施例的基础上,还可包括:漏洞利用概率计算子模块107,概率标注子模块108,其中,漏洞利用概率计算模块107,用于计算前一关联资产节点的漏洞被成功利用后,成功利用后一关联资产节点的漏洞的概率;概率标注模块108,用于将所述概率,在所述网络攻击图中、自所述前一关联资产节点指向所述后一关联资产节点的攻击路径上进行标注。
本实施例的装置,可以用于执行图4所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在本发明的实施例中,在图7所示装置实施例的基础上,还可包括:成功概率计算模块109,攻击代价计算模块110,成功概率和/或攻击代价标注模块111,其中,成功概率计算模块109,用于在所述网络攻击图中,计算攻击者利用每条攻击路径成功攻击所述目标资产的成功概率;和/或,攻击代价计算模块110,用于在所述网络攻击图中,计算攻击者利用每条攻击路径成功攻击所述目标资产的攻击代价。成功概率和/或攻击代价标注模块111,用于将所述成功概率和/或攻击代价,标注在所述网络攻击图中的相应攻击路径上。
本实施例的装置,可以用于执行图5所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
需要强调的是,包含漏洞利用概率计算模块107、概率标注模块108的装置和包含成功概率计算模块109,攻击代价计算模块110,成功概率和/或攻击代价标注模块111的装置,可以单独存在,也可将两者涉及的模块结合在一起使用。
第三方面,本发明实施例还提供一种电子设备,所述电子设备包含前述任一实施例所述的装置。
图8为本发明电子设备一个实施例的结构示意图,可以实现本发明图1-4所示实施例的流程,如图4所示,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1-3所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
第四方面,本发明的实施例还提供计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (12)
1.一种网络攻击图的生成方法,其特征在于,包括:
确定目标网络环境中的需要保护的目标资产;
在所述目标网络环境中,确定所述目标资产的各关联资产节点;所述关联资产节点为与所述目标资产具有直接网络连接关系或间接网络连接关系的资产节点;
确定各关联资产节点所存在的漏洞;
确定具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系;所述确定具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系,包括:确定具有直接网络连接关系的关联资产节点中,前一关联资产节点的漏洞被成功利用,能否成为后一关联资产节点的漏洞被成功利用的前提条件;若前一关联资产节点的漏洞被成功利用,能够成为后一关联资产节点的漏洞被成功利用的前提条件,则确定所述前一关联资产节点的漏洞和所述后一关联资产节点的漏洞之间存在逻辑关系;
若具有直接网络连接关系的关联资产节点的漏洞之间存在逻辑关系,则将存在逻辑关系的漏洞进行逻辑关联,建立关联资产节点之间的漏洞逻辑关系;
依据关联资产节点之间的漏洞逻辑关系,建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图。
2.根据权利要求1所述的网络攻击图的生成方法,其特征在于,所述在所述目标网络环境中,确定所述目标资产的各关联资产节点,包括:
在所述目标网络环境中,将能够与所述目标资产进行通信的资产节点,确定为一级关联资产节点;其中,所述一级关联资产节点与所述目标资产具有直接网络连接关系;
将除所述目标资产之外,能够与所述一级关联资产节点进行通信的资产节点,确定为二级关联资产节点;其中,所述二级关联资产节点与所述目标资产具有间接网络连接关系。
3.根据权利要求1所述的网络攻击图的生成方法,其特征在于,在依据关联资产节点之间的漏洞逻辑关系,建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图之后,所述方法还包括:
计算前一关联资产节点的漏洞被成功利用后,成功利用后一关联资产节点的漏洞的概率;
将所述概率,在所述网络攻击图中、自所述前一关联资产节点指向所述后一关联资产节点的攻击路径上进行标注。
4.根据权利要求1所述的网络攻击图的生成方法,其特征在于,在依据关联资产节点之间的漏洞逻辑关系,建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图之后,所述方法还包括:
在所述网络攻击图中,计算攻击者利用每条攻击路径成功攻击所述目标资产的成功概率;和/或
在所述网络攻击图中,计算攻击者利用每条攻击路径成功攻击所述目标资产的攻击代价。
5.根据权利要求4所述的网络攻击图的生成方法,其特征在于,将所述成功概率和/或攻击代价,标注在所述网络攻击图中的相应攻击路径上。
6.一种生成网络攻击图的装置,其特征在于,包括:
目标资产确定模块:用于确定目标网络环境中的需要保护的目标资产;
确定关联资产节点模块:用于在所述目标网络环境中,确定所述目标资产的各关联资产节点;所述关联资产节点为与所述目标资产具有直接网络连接关系或间接网络连接关系的资产节点;
漏洞确定模块:用于确定各关联资产节点所存在的漏洞;
逻辑关系判断模块:用于确定具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系;所述逻辑关系判断模块,包括:逻辑关系判断子模块:用于确定具有直接网络连接关系的关联资产节点中,前一关联资产节点的漏洞被成功利用,能否成为后一关联资产节点的漏洞被成功利用的前提条件;逻辑关系确定子模块:若前一关联资产节点的漏洞被成功利用,能够成为后一关联资产节点的漏洞被成功利用的前提条件,则确定所述前一关联资产节点的漏洞和所述后一关联资产节点的漏洞之间存在逻辑关系;
逻辑关系建立模块:用于若具有直接网络连接关系的关联资产节点的漏洞之间存在逻辑关系,则将存在逻辑关系的漏洞进行逻辑关联,建立关联资产节点之间的漏洞逻辑关系;
网络攻击图生成模块:用于依据关联资产节点之间的漏洞逻辑关系,建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图。
7.根据权利要求6所述的装置,其特征在于,所述确定关联资产节点模块,包括:
一级关联资产节点确定模块:用于在所述目标网络环境中,将能够与所述目标资产进行通信的资产节点,确定为一级关联资产节点;其中,所述一级关联资产节点与所述目标资产具有直接网络连接关系;
二级关联资产节点确定模块:用于将除所述目标资产之外,能够与所述一级关联资产节点进行通信的资产节点,确定为二级关联资产节点;其中,所述二级关联资产节点与所述目标资产具有间接网络连接关系。
8.根据权利要求6所述的装置,其特征在于,网络攻击图生成模块之后,还包括:
漏洞利用概率计算模块:用于计算前一关联资产节点的漏洞被成功利用后,成功利用后一关联资产节点的漏洞的概率;
概率标注模块:用于将所述概率,在所述网络攻击图中、自所述前一关联资产节点指向所述后一关联资产节点的攻击路径上进行标注。
9.根据权利要求6所述的装置,其特征在于,网络攻击图生成模块之后,还包括:
成功概率计算模块:用于在所述网络攻击图中,计算攻击者利用每条攻击路径成功攻击所述目标资产的成功概率;和/或
攻击代价计算模块:用于在所述网络攻击图中,计算攻击者利用每条攻击路径成功攻击所述目标资产的攻击代价。
10.根据权利要求9所述的装置,其特征在于,还包括,
成功概率和/或攻击代价标注模块:用于将所述成功概率和/或攻击代价,标注在所述网络攻击图中的相应攻击路径上。
11.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1-5任一项所述的方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1-5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811483644.5A CN110868377B (zh) | 2018-12-05 | 2018-12-05 | 一种网络攻击图的生成方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811483644.5A CN110868377B (zh) | 2018-12-05 | 2018-12-05 | 一种网络攻击图的生成方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110868377A CN110868377A (zh) | 2020-03-06 |
| CN110868377B true CN110868377B (zh) | 2022-02-25 |
Family
ID=69651644
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811483644.5A Active CN110868377B (zh) | 2018-12-05 | 2018-12-05 | 一种网络攻击图的生成方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110868377B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111726358A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击路径分析方法、装置、计算机设备及存储介质 |
| CN112231712B (zh) * | 2020-10-23 | 2023-03-28 | 新华三信息安全技术有限公司 | 一种漏洞风险评估方法及装置 |
| CN112437093B (zh) * | 2020-12-02 | 2022-06-28 | 新华三人工智能科技有限公司 | 安全状态的确定方法、装置及设备 |
| CN112583800A (zh) * | 2020-12-03 | 2021-03-30 | 中国铁建重工集团股份有限公司 | 一种属性攻击图的环路识别方法及相关装置 |
| CN112804208B (zh) * | 2020-12-30 | 2021-10-22 | 北京理工大学 | 一种基于攻击者特性指标的网络攻击路径预测方法 |
| CN114039876A (zh) * | 2021-11-10 | 2022-02-11 | 安天科技集团股份有限公司 | 一种网络攻击信息展示方法、装置、电子设备及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222317A (zh) * | 2007-11-29 | 2008-07-16 | 哈尔滨工程大学 | 一种深度优先的攻击图生成方法 |
| US9292695B1 (en) * | 2013-04-10 | 2016-03-22 | Gabriel Bassett | System and method for cyber security analysis and human behavior prediction |
| CN106453217B (zh) * | 2016-04-13 | 2019-10-25 | 河南理工大学 | 一种基于路径收益计算的网络攻击路径行为的预测方法 |
| CN108933793B (zh) * | 2018-07-24 | 2020-09-29 | 中国人民解放军战略支援部队信息工程大学 | 基于知识图谱的攻击图生成方法及其装置 |
-
2018
- 2018-12-05 CN CN201811483644.5A patent/CN110868377B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110868377A (zh) | 2020-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110868377B (zh) | 一种网络攻击图的生成方法、装置及电子设备 | |
| CN111030986B (zh) | 一种攻击组织溯源分析的方法、装置及存储介质 | |
| CN108875364B (zh) | 未知文件的威胁性判定方法、装置、电子设备及存储介质 | |
| CN113973012B (zh) | 一种威胁检测方法、装置、电子设备及可读存储介质 | |
| US10579837B2 (en) | Method, device and electronic apparatus for testing capability of analyzing a two-dimensional code | |
| CN105809471B (zh) | 一种获取用户属性的方法、装置及电子设备 | |
| CN113569263A (zh) | 跨私域数据的安全处理方法、装置及电子设备 | |
| CN110740117B (zh) | 仿冒域名检测方法、装置、电子设备及存储介质 | |
| CN111030974A (zh) | 一种apt攻击事件检测方法、装置及存储介质 | |
| CN110659493A (zh) | 威胁告警方式生成的方法、装置、电子设备及存储介质 | |
| CN110868376A (zh) | 确定网络环境中易受攻击的资产序列的方法及装置 | |
| CN113965402A (zh) | 一种防火墙安全策略的配置方法、装置及电子设备 | |
| CN111027065B (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
| CN111030977A (zh) | 一种攻击事件追踪方法、装置及存储介质 | |
| CN108804917B (zh) | 一种文件检测方法、装置、电子设备及存储介质 | |
| CN115935358A (zh) | 一种恶意软件识别方法、装置、电子设备及存储介质 | |
| CN115987625A (zh) | 一种恶意流量检测方法、装置及电子设备 | |
| CN110868384B (zh) | 确定网络环境中易受攻击的资产的方法、装置及电子设备 | |
| CN113901456A (zh) | 一种用户行为安全性预测方法、装置、设备及介质 | |
| CN114338102A (zh) | 安全检测方法、装置、电子设备及存储介质 | |
| CN108875363B (zh) | 一种加速虚拟执行的方法、装置、电子设备及存储介质 | |
| CN115022063B (zh) | 网空威胁行为体攻击意图分析方法、系统、电子设备及存储介质 | |
| CN112583798B (zh) | 从区块链系统中筛选共识节点的方法、装置及相关产品 | |
| CN110768945A (zh) | 一种网站安全运行情况的评估方法、装置及存储介质 | |
| CN115766285A (zh) | 网络攻击防御检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |