CN110868384B - 确定网络环境中易受攻击的资产的方法、装置及电子设备 - Google Patents
确定网络环境中易受攻击的资产的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN110868384B CN110868384B CN201811586369.XA CN201811586369A CN110868384B CN 110868384 B CN110868384 B CN 110868384B CN 201811586369 A CN201811586369 A CN 201811586369A CN 110868384 B CN110868384 B CN 110868384B
- Authority
- CN
- China
- Prior art keywords
- target node
- node
- determining
- attack
- probability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例公开一种确定网络环境中易受攻击的资产的方法、装置及电子设备,涉及网络安全领域,能够确定网络环境中易受攻击的资产。所述确定网络环境中易受攻击的资产方法包括:根据目标网络的网络环境,构建所述目标网络的攻击图;根据所述攻击图,计算所述攻击图中各节点的最大可达概率;根据所述攻击图中各节点的最大可达概率,能够方便地确定出所述目标网络中易受攻击的资产。所述装置及电子设备包括用于执行所述方法的模块。本发明适用于确定网络环境中易受攻击的资产。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种确定网络环境中易受攻击的资产的方法、装置及电子设备。
背景技术
随着计算机技术和网络通信技术的飞速发展,计算机网络已经遍布全球,并极大地影响着人们的生活和工作,在国家经济和国家安全中也扮演着重要角色。同时,计算机网络攻击事件的数量不断增加,计算机网络的安全性受到了越来越多人的关注。之所以会有如此众多的攻击行为,最主要、最根本的原因还是计算机系统存在安全漏洞,同时这些漏洞之间可能存在一定的关联关系,即当一个漏洞被成功利用后,可能为另一漏洞的利用创造有利条件。消除所有的漏洞是不切实际的,但在网络环境中对遗留的漏洞置之不理,可能会对关键资源造成重大危害,所以方便、快速地发现网络环境中易受攻击的资产并对其进行修复是网络安全管理的一项重要的任务。
发明内容
有鉴于此,本发明实施例提供一种确定网络环境中易受攻击的资产的方法、装置、电子设备及存储介质,能够方便地确定网络环境中易受攻击的资产。
第一方面,本发明实施例提供一种确定网络环境中易受攻击的资产的方法,包括:
根据目标网络的网络环境,构建所述目标网络的攻击图;
根据所述攻击图,计算所述攻击图中各节点的最大可达概率;
根据所述攻击图中各节点的最大可达概率,确定出所述目标网络中易受攻击的资产。
根据本发明实施例的一种具体实现方式,所述根据所述攻击图,计算所述攻击图中各节点的最大可达概率包括:
确定所述攻击图中待计算最大可达概率的目标节点;
根据所述攻击图,确定到达所述目标节点的各攻击路径;
根据到达所述目标节点的各攻击路径,确定出所述目标节点的父节点;所述目标节点的父节点为到达所述目标节点的各攻击路径中,距离所述目标节点最近的节点;
根据所述目标节点自身的可达概率,以及所述目标节点的父节点的可达概率,确定所述目标节点的最大可达概率。
根据本发明实施例的一种具体实现方式,所述根据所述目标节点自身的可达概率,以及所述目标节点的父节点的可达概率,确定所述目标节点的最大可达概率包括:
将所述目标节点自身的可达概率,以及所述目标节点的各父节点的可达概率相乘,得到所述目标节点的最大可达概率;或者,
将所述目标节点自身的可达概率,与所述目标节点的各父节点的可达概率中的最大值相乘,得到所述目标节点的最大可达概率。
根据本发明实施例的一种具体实现方式,所述根据所述攻击图,计算所述攻击图中各节点的最大可达概率包括:
确定所述攻击图中待计算最大可达概率的目标节点;
根据所述攻击图,确定到达所述目标节点的有效攻击路径;
根据到达所述目标节点的有效攻击路径,确定出所述目标节点的有效父节点;所述目标节点的有效父节点为到达所述目标节点的各有效攻击路径中,距离所述目标节点最近的节点;
根据所述目标节点自身的可达概率,以及所述目标节点的有效父节点的可达概率,确定所述目标节点的最大可达概率。
根据本发明实施例的一种具体实现方式,所述根据所述攻击图,确定到达所述目标节点的有效攻击路径包括:
根据所述攻击图,确定到达所述目标节点的各攻击路径;
在到达所述目标节点的每一攻击路径中,判断该路径上的节点是否包含其它任一攻击路径的全部节点;
将各攻击路径中,包含其它任一攻击路径的全部节点的攻击路径去除,确定为到达所述目标节点的有效攻击路径。
根据本发明实施例的一种具体实现方式,所述根据所述目标节点自身的可达概率,以及所述目标节点的有效父节点的可达概率,确定所述目标节点的最大可达概率包括:
将所述目标节点自身的可达概率,以及所述目标节点的各有效父节点的可达概率相乘,得到所述目标节点的最大可达概率;或者,
将所述目标节点自身的可达概率,与所述目标节点的各父节点的可达概率中的最大值相乘,得到所述目标节点的最大可达概率。
第二方面,本发明实施例提供一种确定网络环境中易受攻击的资产的装置,包括:
攻击图构建模块,用于根据目标网络的网络环境,构建所述目标网络的攻击图;
最大可达概率计算模块,用于根据所述攻击图,计算所述攻击图中各节点的最大可达概率;
易受攻击资产确定模块,用于根据所述攻击图中各节点的最大可达概率,确定出所述目标网络中易受攻击的资产。
根据本发明实施例的一种具体实现方式,所述最大可达概率计算模块包括:
目标节点确定子模块,用于确定所述攻击图中待计算最大可达概率的目标节点;
攻击路径确定子模块,用于根据所述攻击图,确定到达所述目标节点的各攻击路径;
父节点确定子模块,用于根据到达所述目标节点的各攻击路径,确定出所述目标节点的父节点;所述目标节点的父节点为到达所述目标节点的各攻击路径中,距离所述目标节点最近的节点;
最大可达概率确定子模块,用于根据所述目标节点自身的可达概率,以及所述目标节点的父节点的可达概率,确定所述目标节点的最大可达概率。
根据本发明实施例的一种具体实现方式,所述最大可达概率确定子模块,具体用于:
将所述目标节点自身的可达概率,以及所述目标节点的各父节点的可达概率相乘,得到所述目标节点的最大可达概率;或者,
将所述目标节点自身的可达概率,与所述目标节点的各父节点的可达概率中的最大值相乘,得到所述目标节点的最大可达概率。
根据本发明实施例的一种具体实现方式,所述最大可达概率计算模块包括:
目标节点确定子模块,用于确定所述攻击图中待计算最大可达概率的目标节点;
有效攻击路径确定子模块,用于根据所述攻击图,确定到达所述目标节点的有效攻击路径;
有效父节点确定子模块,用于根据到达所述目标节点的有效攻击路径,确定出所述目标节点的有效父节点;所述目标节点的有效父节点为到达所述目标节点的各有效攻击路径中,距离所述目标节点最近的节点;
最大可达概率确定子模块,用于根据所述目标节点自身的可达概率,以及所述目标节点的有效父节点的可达概率,确定所述目标节点的最大可达概率。
根据本发明实施例的一种具体实现方式,所述有效攻击路径确定子模块,包括:
攻击路径确定单元,用于根据所述攻击图,确定到达所述目标节点的各攻击路径;
节点判断单元,用于在到达所述目标节点的每一攻击路径中,判断该路径上的节点是否包含其它任一攻击路径的全部节点;
有效攻击路径确定单元,用于将各攻击路径中,包含其它任一攻击路径的全部节点的攻击路径去除,确定为到达所述目标节点的有效攻击路径。
根据本发明实施例的一种具体实现方式,所述最大可达概率确定子模块,具体用于:
将所述目标节点自身的可达概率,以及所述目标节点的各有效父节点的可达概率相乘,得到所述目标节点的最大可达概率;或者,
将所述目标节点自身的可达概率,与所述目标节点的各父节点的可达概率中的最大值相乘,得到所述目标节点的最大可达概率。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的方法。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实施例所述的方法。
本发明实施例提供的一种确定网络环境中易受攻击的资产的方法、装置、电子设备及存储介质,通过计算目标网络的攻击图中各节点的最大可达概率,能够方便、快速地确定目标网络中易受攻击的资产,为网络安全管理人员提供加固网络的有效建议,保证网络环境的相对安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明一实施例确定网络环境中易受攻击的资产的方法的流程示意图;
图2为本发明一实施例的计算目标节点最大可达概率的流程示意图;
图3为本发明一实施例的在有效路径基础上计算目标节点最大可达概率的流程示意图;
图4为本发明一实施例的攻击图;
图5为本发明一实施例确定网络环境中易受攻击的资产的装置结构示意图;
图6为为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
第一方面,本发明实施例提供一种确定网络环境中易受攻击的资产的方法,能够方便地确定网络环境中易受攻击的资产。
图1为本发明一实施例确定网络环境中易受攻击的资产的方法的流程示意图,如图1所示,本实施例的方法可以包括:
步骤101、根据目标网络的网络环境,构建所述目标网络的攻击图。
本实施例中,攻击图是通过模拟攻击者对存在安全漏洞的网络攻击过程,找到所有能够到达目标的攻击路径,同时将这些路径以图的形式表现;目标网络是需要在其中找到易受攻击的资产的网络。
步骤102、根据所述攻击图,计算所述攻击图中各节点的最大可达概率。
攻击者从初始状态出发沿任一条攻击路径到达目标节点的累计概率可称为最大可达概率,最大可达概率可由自身可达概率和其父节点的可达概率得到。
步骤103、根据所述攻击图中各节点的最大可达概率,确定出所述目标网络中易受攻击的资产。
资产为目标网络中的设备、系统或服务器。
本实施例,根据目标网络的网络环境,构建所述目标网络的攻击图,根据所述攻击图,计算所述攻击图中各节点的最大可达概率,这样,网络安全研究人员可以方便地确定出所述目标网络中易受攻击的资产,可以为网络安全管理人员提供加固网络的有效建议,保证网络环境的相对安全。
图2为本发明一实施例中,计算目标节点最大可达概率的流程示意图,参看图2,所述根据所述攻击图,计算所述攻击图中各节点的最大可达概率(步骤102),可包括:
步骤A1、确定所述攻击图中待计算最大可达概率的目标节点。
本实施例中,可将网络环境中的攻击目标视为目标节点。
步骤A2、根据所述攻击图,确定到达所述目标节点的各攻击路径。
本实施例中,基于复杂的网络环境生成的攻击图中,从初始节点出发到达目标节点,会存在多条路径,每个路径都可能成为攻击者选择的攻击路径。
步骤A3、根据到达所述目标节点的各攻击路径,确定出所述目标节点的父节点;所述目标节点的父节点为到达所述目标节点的各攻击路径中,距离所述目标节点最近的节点。
本实施例中,确定了到达所述目标节点的各攻击路径后,即可以确定出所述目标节点对应的所有父节点。
步骤A4、根据所述目标节点自身的可达概率,以及所述目标节点的父节点的可达概率,确定所述目标节点的最大可达概率。
本实施例中,在确定了所述目标节点自身的可达概率和所述目标节点的父节点的可达概率之后,即可以确定所述目标节点的最大可达概率。
所述目标节点的父节点的可达概率可为父节点的自身可达概率或父节点的最大可达概率。
在本发明一实施例中,所述根据所述目标节点自身的可达概率,以及所述目标节点的父节点的可达概率,确定所述目标节点的最大可达概率(步骤A4)包括:
将所述目标节点自身的可达概率,以及所述目标节点的各父节点的可达概率相乘,得到所述目标节点的最大可达概率;或者,
将所述目标节点自身的可达概率,与所述目标节点的各父节点的可达概率中的最大值相乘,得到所述目标节点的最大可达概率。
本实施例,根据所述攻击图,确定到达所述目标节点的各攻击路径,根据到达所述目标节点的各攻击路径,确定出所述目标节点的父节点,依据所述目标节点自身的可达概率,以及所述目标节点的各父节点的可达概率,得到所述目标节点的最大可达概率,可以方便地确定出所述目标网络中易受攻击的资产。
图3为本发明另一实施例中,在有效路径的基础上,计算目标节点最大可达概率的流程示意图,所述根据所述攻击图,计算所述攻击图中各节点的最大可达概率(步骤102)包括:
步骤B1、确定所述攻击图中待计算最大可达概率的目标节点。
步骤B2、根据所述攻击图,确定到达所述目标节点的有效攻击路径。
根据所述攻击图确定的到达所述目标节点的所有攻击路径中,有时会存在实际网络环境中攻击过程不会发生的攻击路径,在到达所述目标节点的所有攻击路径中除去这些不会发生的攻击路径即为有效攻击路径。
步骤B3、根据到达所述目标节点的有效攻击路径,确定出所述目标节点的有效父节点;所述目标节点的有效父节点为到达所述目标节点的各有效攻击路径中,距离所述目标节点最近的节点。
本实施例中,确定了到达所述目标节点的有效攻击路径后,即可以确定出所述目标节点对应的所有父节点。
步骤B4、根据所述目标节点自身的可达概率,以及所述目标节点的有效父节点的可达概率,确定所述目标节点的最大可达概率。
本实施例中,在确定了所述目标节点自身的可达概率和所述目标节点的有效父节点的可达概率之后,即可以确定所述目标节点的最大可达概率。
在本发明一实施例中,所述根据所述攻击图,确定到达所述目标节点的有效攻击路径(步骤B2)包括:
步骤B21、根据所述攻击图,确定到达所述目标节点的各攻击路径。
步骤B22、在到达所述目标节点的每一攻击路径中,判断该路径上的节点是否包含其它任一攻击路径的全部节点。
步骤B23、将各攻击路径中,包含其它任一攻击路径的全部节点的攻击路径去除,确定为到达所述目标节点的有效攻击路径。
本实施例中,在到达所述目标节点的每一攻击路径中,通过判断该路径上的节点是否包含其它任一攻击路径的全部节点,确定到达所述目标节点的有效攻击路径,减少了计算所述目标节点的工作量,节省计算资源,提高了计算所述目标节点的最大可达概率的效率。
在本发明一实施例中,所述根据所述目标节点自身的可达概率,以及所述目标节点的有效父节点的可达概率,确定所述目标节点的最大可达概率(步骤B4)包括:
将所述目标节点自身的可达概率,以及所述目标节点的各有效父节点的可达概率相乘,得到所述目标节点的最大可达概率;或者,
将所述目标节点自身的可达概率,与所述目标节点的各父节点的可达概率中的最大值相乘,得到所述目标节点的最大可达概率。
本实施例,根据所述攻击图,确定到达所述目标节点的有效攻击路径,根据到达所述目标节点的有效攻击路径,确定出所述目标节点的有效父节点,依据所述目标节点自身的可达概率,以及所述目标节点的有效父节点的可达概率,得到所述目标节点的最大可达概率。在计算所述目标节点的最大可达概率时,通过确定到达所述目标节点的有效攻击路径,减少了计算所述目标节点的工作量,节省了计算资源,提高了计算所述目标节点的最大可达概率的效率。
下面采用一个具体的实施例,对图1~图3中任一个所示方法实施例的技术方案进行详细说明。
图4为本发明一实施例对应的攻击图,本实施例中,确定网络环境中易受攻击的资产的方法,可以包括:
S401、确定所述攻击图中待计算最大可达概率的目标节点。
攻击者想要获得user(1)的访问权限,将user(1)确定为目标节点。
S402、根据所述攻击图,确定到达所述目标节点的各攻击路径。
从初始节点user(0)到目标节点user(1)有三条攻击路径,分别为Path1=FTP_rhost(0,1)→rsh(0,1);Path2=sshd_bof(0,1);Path3=FTP_rhost(0,1)→rsh(0,1)→rsh(1,2)→sshd_bof(2,1)。
S403、确定到达所述目标节点的有效攻击路径。
在路径Path3中,包含了path1的全部节点,故有效路径为Path1和Path2。
在实际的攻击过程中,该攻击路径不会发生,因为攻击者的攻击过程具有单调性,即不会再去获取已经具有的能力。在图4中,攻击者获得主机1的user权限后,不会再通过获取主机2的user权限重复地去获取主机1的user权限。
S404、根据到达所述目标节点的有效攻击路径,确定出所述目标节点的有效父节点。
从初始节点user(0)到目标节点user(1)有两条有效路径,故user(1)有两个父节点,分别为rsh(0,1)和sshd_bof(0,1)。
S405、根据所述目标节点自身的可达概率,以及所述目标节点的有效父节点的可达概率,确定所述目标节点的最大可达概率。
目标节点的最大可达概率为d(t)·Max{P(e)|e∈Pre(t)},其中d(t)为自身可达概率,Max{P(e)|e∈Pre(t)}为rsh(0,1)和sshd_bof(0,1)中自身可达概率最大者。
依照该过程,可以计算攻击图中任一目标节点的最大可达概率,其中数值最大者即为网络环境中最容易受到攻击的资产。
本实施例,通过计算目标网络的攻击图中各节点的最大可达概率,能够方便、快速地确定目标网络中易受攻击的资产,为网络安全管理人员提供加固网络的有效建议,保证网络环境的相对安全。在计算所述目标节点的最大可达概率时,通过确定到达所述目标节点的有效攻击路径,减少了计算所述目标节点的工作量,节省了计算资源,提高了计算所述目标节点的最大可达概率的效率。
第二方面,本发明实施例提供一种确定网络环境中易受攻击的资产的装置,能够方便地确定网络环境中易受攻击的资产。
图5为本发明一实施例确定网络环境中易受攻击的资产的装置结构示意图,本实施例的装置可以包括:攻击图构建模块11、最大可达概率计算模块12、易受攻击资产确定模块13;其中,
攻击图构建模块11,用于根据目标网络的网络环境,构建所述目标网络的攻击图;
最大可达概率计算模块12,用于根据所述攻击图,计算所述攻击图中各节点的最大可达概率;
易受攻击资产确定模块13,用于根据所述攻击图中各节点的最大可达概率,确定出所述目标网络中易受攻击的资产。
本实施例的装置,可以用于执行图1、图2或图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在本发明一实施例中,所述最大可达概率计算模块12,可包括:目标节点确定子模块121a、攻击路径确定子模块122a、父节点确定子模块123a以及最大可达概率确定子模块124a;其中,
目标节点确定子模块121a,用于确定所述攻击图中待计算最大可达概率的目标节点;
攻击路径确定子模块122a,用于根据所述攻击图,确定到达所述目标节点的各攻击路径;
父节点确定子模块123a,用于根据到达所述目标节点的各攻击路径,确定出所述目标节点的父节点;所述目标节点的父节点为到达所述目标节点的各攻击路径中,距离所述目标节点最近的节点;
最大可达概率确定子模块124a,用于根据所述目标节点自身的可达概率,以及所述目标节点的父节点的可达概率,确定所述目标节点的最大可达概率。
在本发明一实施例中,所述最大可达概率确定子模块124a,可具体用于:
将所述目标节点自身的可达概率,以及所述目标节点的各父节点的可达概率相乘,得到所述目标节点的最大可达概率;或者,
将所述目标节点自身的可达概率,与所述目标节点的各父节点的可达概率中的最大值相乘,得到所述目标节点的最大可达概率。
本实施例的装置,可用于执行图2所示方法的技术方案,其实现原理和技术效果类似,此处不再赘述。
在本发明一实施例中,所述最大可达概率计算模块12,可包括:目标节点确定子模块121b、有效攻击路径确定子模块122b、有效父节点确定子模块123b以及最大可达概率确定子模块124b;其中,
目标节点确定子模块121b,用于确定所述攻击图中待计算最大可达概率的目标节点;
有效攻击路径确定子模块122b,用于根据所述攻击图,确定到达所述目标节点的有效攻击路径;
有效父节点确定子模块123b,用于根据到达所述目标节点的有效攻击路径,确定出所述目标节点的有效父节点;所述目标节点的有效父节点为到达所述目标节点的各有效攻击路径中,距离所述目标节点最近的节点;
最大可达概率确定子模块124b,用于根据所述目标节点自身的可达概率,以及所述目标节点的有效父节点的可达概率,确定所述目标节点的最大可达概率。
在本发明一实施例中,所述有效攻击路径确定子模块122b,可包括:攻击路径确定单元122b1、节点判断单元122b2以及有效攻击路径确定单元122b3;其中,
攻击路径确定单元122b1,用于根据所述攻击图,确定到达所述目标节点的各攻击路径;
节点判断单元122b2,用于在到达所述目标节点的每一攻击路径中,判断该路径上的节点是否包含其它任一攻击路径的全部节点;
有效攻击路径确定单元122b3,用于将各攻击路径中,包含其它任一攻击路径的全部节点的攻击路径去除,确定为到达所述目标节点的有效攻击路径。
在本发明一实施例中,所述最大可达概率确定子模块124b,可具体用于:
将所述目标节点自身的可达概率,以及所述目标节点的各有效父节点的可达概率相乘,得到所述目标节点的最大可达概率;或者,
将所述目标节点自身的可达概率,与所述目标节点的各父节点的可达概率中的最大值相乘,得到所述目标节点的最大可达概率。
本实施例的装置,可用于执行图3所示方法的技术方案,其实现原理和技术效果类似,此处不再赘述。
第三方面,本发明实施例提供一种电子设备,可以实现本发明图1-3所示实施例的流程。
图6为本发明电子设备一个实施例的结构示意图,如图6所示,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1-3所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
第四方面,本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实施例所述的方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种确定网络环境中易受攻击的资产的方法,其特征在于,包括:
根据目标网络的网络环境,构建所述目标网络的攻击图;
根据所述攻击图,计算所述攻击图中各节点的最大可达概率;其中,所述根据所述攻击图,计算所述攻击图中各节点的最大可达概率包括:确定所述攻击图中待计算最大可达概率的目标节点;根据所述攻击图,确定到达所述目标节点的各攻击路径;根据到达所述目标节点的各攻击路径,确定出所述目标节点的父节点;所述目标节点的父节点为到达所述目标节点的各攻击路径中,距离所述目标节点最近的节点;根据所述目标节点自身的可达概率,以及所述目标节点的父节点的可达概率,确定所述目标节点的最大可达概率;或,包括:确定所述攻击图中待计算最大可达概率的目标节点;根据所述攻击图,确定到达所述目标节点的有效攻击路径;根据到达所述目标节点的有效攻击路径,确定出所述目标节点的有效父节点;所述目标节点的有效父节点为到达所述目标节点的各有效攻击路径中,距离所述目标节点最近的节点;根据所述目标节点自身的可达概率,以及所述目标节点的有效父节点的可达概率,确定所述目标节点的最大可达概率;
根据所述攻击图中各节点的最大可达概率,确定出所述目标网络中易受攻击的资产。
2.根据权利要求1所述的确定网络环境中易受攻击的资产的方法,其特征在于,所述根据所述目标节点自身的可达概率,以及所述目标节点的父节点的可达概率,确定所述目标节点的最大可达概率包括:
将所述目标节点自身的可达概率,以及所述目标节点的各父节点的可达概率相乘,得到所述目标节点的最大可达概率;或者,
将所述目标节点自身的可达概率,与所述目标节点的各父节点的可达概率中的最大值相乘,得到所述目标节点的最大可达概率。
3.根据权利要求1所述的确定网络环境中易受攻击的资产的方法,其特征在于,所述根据所述攻击图,确定到达所述目标节点的有效攻击路径包括:
根据所述攻击图,确定到达所述目标节点的各攻击路径;
在到达所述目标节点的每一攻击路径中,判断该路径上的节点是否包含其它任一攻击路径的全部节点;
将各攻击路径中,包含其它任一攻击路径的全部节点的攻击路径去除,确定为到达所述目标节点的有效攻击路径。
4.根据权利要求1所述的确定网络环境中易受攻击的资产的方法,其特征在于,所述根据所述目标节点自身的可达概率,以及所述目标节点的有效父节点的可达概率,确定所述目标节点的最大可达概率包括:
将所述目标节点自身的可达概率,以及所述目标节点的各有效父节点的可达概率相乘,得到所述目标节点的最大可达概率;或者,
将所述目标节点自身的可达概率,与所述目标节点的各父节点的可达概率中的最大值相乘,得到所述目标节点的最大可达概率。
5.一种确定网络环境中易受攻击的资产的装置,其特征在于,包括:
攻击图构建模块,用于根据目标网络的网络环境,构建所述目标网络的攻击图;
最大可达概率计算模块,用于根据所述攻击图,计算所述攻击图中各节点的最大可达概率;所述最大可达概率计算模块包括:目标节点确定子模块,用于确定所述攻击图中待计算最大可达概率的目标节点;攻击路径确定子模块,用于根据所述攻击图,确定到达所述目标节点的各攻击路径;父节点确定子模块,用于根据到达所述目标节点的各攻击路径,确定出所述目标节点的父节点;所述目标节点的父节点为到达所述目标节点的各攻击路径中,距离所述目标节点最近的节点;最大可达概率确定子模块,用于根据所述目标节点自身的可达概率,以及所述目标节点的父节点的可达概率,确定所述目标节点的最大可达概率;或,包括:目标节点确定子模块,用于确定所述攻击图中待计算最大可达概率的目标节点;有效攻击路径确定子模块,用于根据所述攻击图,确定到达所述目标节点的有效攻击路径;有效父节点确定子模块,用于根据到达所述目标节点的有效攻击路径,确定出所述目标节点的有效父节点;所述目标节点的有效父节点为到达所述目标节点的各有效攻击路径中,距离所述目标节点最近的节点;最大可达概率确定子模块,用于根据所述目标节点自身的可达概率,以及所述目标节点的有效父节点的可达概率,确定所述目标节点的最大可达概率;
易受攻击资产确定模块,用于根据所述攻击图中各节点的最大可达概率,确定出所述目标网络中易受攻击的资产。
6.根据权利要求5所述的确定网络环境中易受攻击的资产的装置,其特征在于,所述最大可达概率确定子模块,具体用于:
将所述目标节点自身的可达概率,以及所述目标节点的各父节点的可达概率相乘,得到所述目标节点的最大可达概率;或者,
将所述目标节点自身的可达概率,与所述目标节点的各父节点的可达概率中的最大值相乘,得到所述目标节点的最大可达概率。
7.根据权利要求5所述的确定网络环境中易受攻击的资产的装置,其特征在于,所述有效攻击路径确定子模块,包括:
攻击路径确定单元,用于根据所述攻击图,确定到达所述目标节点的各攻击路径;
可达节点数判断单元,用于在到达所述目标节点的每一攻击路径中,判断能到达所述目标节点的节点个数;
有效攻击路径确定单元,用于将能到达所述目标节点的节点个数为一个的攻击路径,确定为到达所述目标节点的有效攻击路径。
8.根据权利要求5所述的确定网络环境中易受攻击的资产的装置,其特征在于,所述最大可达概率确定子模块,具体用于:
将所述目标节点自身的可达概率,以及所述目标节点的各有效父节点的可达概率相乘,得到所述目标节点的最大可达概率;或者,
将所述目标节点自身的可达概率,与所述目标节点的各父节点的可达概率中的最大值相乘,得到所述目标节点的最大可达概率。
9.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述- 权利要求 1-4 的任一项 所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述- 权利要求1-4 的任一项 所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811586369.XA CN110868384B (zh) | 2018-12-24 | 2018-12-24 | 确定网络环境中易受攻击的资产的方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811586369.XA CN110868384B (zh) | 2018-12-24 | 2018-12-24 | 确定网络环境中易受攻击的资产的方法、装置及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110868384A CN110868384A (zh) | 2020-03-06 |
CN110868384B true CN110868384B (zh) | 2022-03-29 |
Family
ID=69651864
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811586369.XA Active CN110868384B (zh) | 2018-12-24 | 2018-12-24 | 确定网络环境中易受攻击的资产的方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110868384B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104394177A (zh) * | 2014-12-16 | 2015-03-04 | 云南电力调度控制中心 | 一种基于全局攻击图的攻击目标可达性的计算方法 |
CN106941502A (zh) * | 2017-05-02 | 2017-07-11 | 北京理工大学 | 一种内部网络的安全度量方法和装置 |
CN108418843A (zh) * | 2018-06-11 | 2018-08-17 | 中国人民解放军战略支援部队信息工程大学 | 基于攻击图的网络攻击目标识别方法及系统 |
CN109218304A (zh) * | 2018-09-12 | 2019-01-15 | 北京理工大学 | 一种基于攻击图和协同进化的网络风险阻断方法 |
US10659488B1 (en) * | 2017-02-28 | 2020-05-19 | University Of South Florida | Statistical predictive model for expected path length |
-
2018
- 2018-12-24 CN CN201811586369.XA patent/CN110868384B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104394177A (zh) * | 2014-12-16 | 2015-03-04 | 云南电力调度控制中心 | 一种基于全局攻击图的攻击目标可达性的计算方法 |
US10659488B1 (en) * | 2017-02-28 | 2020-05-19 | University Of South Florida | Statistical predictive model for expected path length |
CN106941502A (zh) * | 2017-05-02 | 2017-07-11 | 北京理工大学 | 一种内部网络的安全度量方法和装置 |
CN108418843A (zh) * | 2018-06-11 | 2018-08-17 | 中国人民解放军战略支援部队信息工程大学 | 基于攻击图的网络攻击目标识别方法及系统 |
CN109218304A (zh) * | 2018-09-12 | 2019-01-15 | 北京理工大学 | 一种基于攻击图和协同进化的网络风险阻断方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110868384A (zh) | 2020-03-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110868377B (zh) | 一种网络攻击图的生成方法、装置及电子设备 | |
CN111030986B (zh) | 一种攻击组织溯源分析的方法、装置及存储介质 | |
CN111914569A (zh) | 基于融合图谱的预测方法、装置、电子设备及存储介质 | |
CN108875364B (zh) | 未知文件的威胁性判定方法、装置、电子设备及存储介质 | |
CN108804918B (zh) | 安全性防御方法、装置、电子设备及存储介质 | |
CN113973012B (zh) | 一种威胁检测方法、装置、电子设备及可读存储介质 | |
CN111030837B (zh) | 一种网络环境现状评估方法、装置、电子设备及存储介质 | |
CN110868383A (zh) | 一种网站风险评估方法、装置、电子设备及存储介质 | |
CN111030980A (zh) | 一种Linux透明网络设备平台实现方法、装置及存储介质 | |
CN110868376A (zh) | 确定网络环境中易受攻击的资产序列的方法及装置 | |
CN111030974A (zh) | 一种apt攻击事件检测方法、装置及存储介质 | |
CN113965402A (zh) | 一种防火墙安全策略的配置方法、装置及电子设备 | |
CN110868384B (zh) | 确定网络环境中易受攻击的资产的方法、装置及电子设备 | |
CN111027065A (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
CN111030977A (zh) | 一种攻击事件追踪方法、装置及存储介质 | |
CN111062035A (zh) | 一种勒索软件检测方法、装置、电子设备及存储介质 | |
CN110611675A (zh) | 向量级检测规则生成方法、装置、电子设备及存储介质 | |
CN113377430B (zh) | 一种工业化插件的配置系统 | |
CN110868385B (zh) | 网站安全运营能力确定方法、装置、电子设备及存储介质 | |
CN114338102A (zh) | 安全检测方法、装置、电子设备及存储介质 | |
CN114470746A (zh) | 服务器系统、数据传输方法、装置、设备及存储介质 | |
CN108875363B (zh) | 一种加速虚拟执行的方法、装置、电子设备及存储介质 | |
CN112788121B (zh) | 互联网节点中全局信誉值计算方法、系统及相关产品 | |
CN112583798B (zh) | 从区块链系统中筛选共识节点的方法、装置及相关产品 | |
CN114037790A (zh) | 一种三维拓扑绘制方法、装置、电子设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |