CN114528552B - 基于漏洞的安全事件关联方法及相关设备 - Google Patents

Abstract

本申请提供一种基于漏洞的安全事件关联方法及相关设备，通过对网络中存在的漏洞的属性进行分析建立漏洞库，提取漏洞属性信息中的利用关系，利用因果关联分析技术建立攻击路径。其中，漏洞库只需建立一次即可，且修改操作非常简单，攻击路径随着漏洞库的更新随之自动更新。该关联方法以静态分析的角度，为安全事件的关联做出预判。它能够从海量的告警事件中提取出攻击路径并将其作为关联事件，可以有效减小事件分析的难度的同时提升安全事件关联效率。

Description

基于漏洞的安全事件关联方法及相关设备

技术领域

本申请涉及网络安全事件技术领域，尤其涉及一种基于漏洞的安全事件关联方法及相关设备。

背景技术

现阶段，网络攻击形式以多步攻击为主。攻击者想要获取数据或者破坏设备正常运转，通常需要经历信息收集，渗透入侵，横向移动，实施攻击，数据回传等步骤。实施每步操作都涉及到很多技术并产生相应的安全数据，而且数据之间并非孤立，往往存在某些关联。许多大型的网络安全事件常常是一系列小型安全事件依据某些规则组合而成的，造成的危害十分严重。因此有必要对分散的安全数据进行关联，以发现更大的潜在威胁。

安全事件关联分析技术能够将分散的事件信息有效结合，形成防御合力。关联分析技术往往需要经过过滤、去重和聚合等操作，进而发现安全事件之间的关联，找到有价值的信息。目前主要的安全事件关联分析技术包括基于概率相似度的关联方法，基于环境状态的关联方法以及基于因果关系的关联方法等，但是均无法同时满足关联结果的准确性和关联高效性。

发明内容

有鉴于此，本申请的目的在于提出一种基于漏洞的安全事件关联方法及相关设备。

基于上述目的，本申请提供了一种基于漏洞的安全事件关联方法，包括：

采用漏洞扫描器通过扫描获取目标网络的目标网络漏洞；

基于所述目标网络漏洞，从预先构建的漏洞属性知识库中获取与所述目标网络漏洞相关的漏洞属性信息；

基于所述目标网络的拓扑结构和所述漏洞属性信息，确定所述目标网络中的每一个节点的后继节点集合；

基于所述后继节点集合和预设关联规则获取所述目标网络的攻击路径集合。

进一步的，所述漏洞属性知识库的构建方法包括：

获取网络漏洞；

根据所述网络漏洞的公共漏洞和暴露CVE编号，爬取与所述网络漏洞相关的所述漏洞属性信息；

基于所述漏洞属性信息构建所述漏洞属性知识库。

进一步的，所述漏洞属性信息包括：CVE编号、漏洞描述、通用漏洞评分系统CVSS危害值、漏洞利用前提和漏洞利用后果。

进一步的，所述漏洞利用前提包括攻击距离和攻击权限，所述漏洞利用后果包括保密性破坏程度、可用性破坏程度和完整性破坏程度。

进一步的，基于所述目标网络的拓扑结构和所述漏洞属性信息，确定所述目标网络中的每一个节点的后继节点集合，包括：

对所述拓扑结构中的每一个节点执行如下操作：

遍历与该节点直接相连的每一个相邻节点内的全部漏铜，响应于确定其中一个漏洞满足攻击条件，则将该漏洞对应的所述相邻节点作为该节点的后继节点，该节点的全部所述后继节点合并作为该节点的所述后继节点集合。

进一步的，所述遍历与该节点直接相连的每一个相邻节点内的全部漏铜，响应于确定攻击条件满足其中一个漏洞，则将该漏洞对应的所述相邻节点作为该节点的后继节点，包括：

获取该节点与其所述相邻节点的连接关系，若所述连接关系满足所述相邻节点内的其中一个所述漏洞的所述攻击距离，且入侵所述相邻节点的权限满足该漏洞的所述攻击权限，则将所述相邻节点作为该节点的后继节点。

进一步的，所述关联规则包括：

响应于确定一个所述漏洞的所述漏洞利用后果满足另一个所述漏洞的所述漏洞利用前提，则这两个所述漏洞相关联。

进一步的，所述基于所述后继节点集合和预设关联规则获取所述目标网络的攻击路径集合，包括：

基于所述目标网络的拓扑结构确定入侵开始节点集合；

对所述入侵开始节点集合中的每一个入侵开始节点执行如下操作：

S1、将所述入侵开始节点作为攻击路径的起点，将所述起点置为当前节点；

S2、在当前节点对应的全部所述后继节点中进行遍历，基于关联规则将其中一个未经遍历的所述后继节点作为所述攻击路径的下一个节点；

S3、将该下一个节点作为新的当前节点，执行步骤S2，直至当前节点没有所述后继节点或全部所述节点均被遍历为止，将所述当前节点作为所述攻击路径的终点，以生成一个所述攻击路径；

S4、将所述终点的上一节点作为当前节点，若当前节点对应的未经遍历的全部所述后继节点中存在满足所述关联规则的所述后继节点，依次执行步骤S2和步骤S3，若当前节点对应的未经遍历的所述后继节点中不存在满足所述关联规则的所述后继节点或当前节点对应的全部所述后继节点均已被遍历，则将当前节点的前一节点作为新的当前节点，依次执行步骤S2和步骤S3；

S5、将经过步骤S1至步骤S4生成的全部所述攻击路径取并集作为所述攻击路径集合。

基于同一发明构思，本公开还提供了基于漏洞的安全事件关联装置，其特征在于，包括：

漏洞获取模块，被配置为采用漏洞扫描器通过扫描获取目标网络的目标网络漏洞；

漏洞属性信息获取模块，被配置为基于所述目标网络漏洞，从预先构建的漏洞属性知识库中获取与所述目标网络漏洞相关的漏洞属性信息；

后继节点确定模块，被配置为基于所述目标网络的拓扑结构和所述漏洞属性信息，确定所述目标网络中的每一个节点的后继节点集合；

攻击路径确定模块，被配置为基于所述后继节点集合和预设关联规则获取所述目标网络的攻击路径集合。

基于同一发明构思，本公开还提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序，所述处理器在执行所述计算机程序时实现如上所述的方法。

基于同一发明构思，本公开还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使计算机执行如上所述的方法。

从上面所述可以看出，本申请提供的一种基于漏洞的安全事件关联方法及相关设备，通过对网络中存在的漏洞的属性进行分析建立漏洞库，提取漏洞属性信息中的利用关系，利用因果关联分析技术建立攻击路径。其中，漏洞库只需建立一次即可，且修改操作非常简单，攻击路径随着漏洞库的更新随之自动更新。该关联方法以静态分析的角度，为安全事件的关联做出预判。它能够从海量的告警事件中提取出攻击路径并将其作为关联事件，可以有效减小事件分析的难度的同时提升安全事件关联效率。

附图说明

为了更清楚地说明本申请或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例的基于漏洞的安全事件关联方法的流程示意图；

图2为本申请实施例的漏洞因果关联的示意图；

图3为本申请实施例的入侵开始节点的拓扑结构示意图；

图4为本申请实施例的基于漏洞的安全事件关联装置的结构示意图；

图5为本申请实施例的电子设备硬件示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本申请进一步详细说明。

需要说明的是，除非另外定义，本申请实施例使用的技术术语或者科学术语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。

如背景技术所述，目前主要的安全事件关联分析技术包括基于概率相似度的关联方法，基于环境状态的关联方法以及基于因果关系的关联方法。其中，基于概率相似度的关联方法提出相对较早，在进行安全事件关联时，主要采用相似度计算的方法，通常分为三个步骤。第一步，确认安全事件的不同特征的相似度值得范围，通常为0到k。当相似度越接近0时，代表越不相似，越接近k时，代表越相似。第二步，对于新出现的安全事件，将其与之前的事件进行相似度计算。由于参与计算的特征通常不唯一，所以最终会由计算出的不同特征的相似度加权决定。第三步，得出安全事件的相似度的阈值。如果两个安全事件的相似度不超过阈值，那么两个安全事件相似；如果超过阈值，则认为两个安全事件不相似。基于概率相似度的计算方法主要包括距离函数、相似度系数或者机器学习。

基于环境状态的关联方法是以攻击者的角度，将攻击者的整体入侵过程的不同步骤当作不同的环境状态。攻击者的入侵过程主要分为探测阶段、尝试阶段、更改权限阶段、展开攻击阶段和拒绝服务阶段五个阶段。早期不同阶段的划分主要依据是专家经验，依据专家的认知设置划分规则，后期主要利用人工智能技术来模拟网络环境，通过机器学习的方法对已经划分好的环境状态的相关数据特征进行学习，生成一个尽量接近真实入侵过程的模型。但是机器学习的方法需要针对每一种环境状态都进行训练，而且训练结果对数据集的依赖性很大，这就导致当数据集缺失部分环境状态时，训练的结果也就无法保证准确。

基于因果关系的关联方法是依据因果关系这一核心规则执行的。这种因果关系是攻击者发起攻击的前提条件和后果之间的关系，依据这种关系，将前提和后果这两方面的相关数据进行关联匹配，在整个过程中寻找有用的信息。通常，关联方法首先需要分别确定安全事件A和B的前提条件和后果，然后分析事件B的前提条件与事件A的后果是否存在某种关系，如果存在关系那么就可以将安全事件A和B构成具有两步攻击的序列。在整个关联过程中，最重要的是构建完整且全面的前提条件和后果，只有构建完善基础的条件库，才能利用关联关系更加简便地将安全事件关联。然而这类方法也具有一定的缺陷，比如因果关系有时会非常复杂，难以挖掘，且构建的条件库内容不易找全，整个工程相对消耗工作量。

本申请提供了一种基于漏洞的安全事件关联方法。通过对网络中存在的漏洞的属性进行分析，提取漏洞利用前提和后果，利用因果关联分析技术建立攻击路径，它能够从海量的告警事件中提取出攻击路径并将其作为关联事件，同时可以减小事件分析的难度。

以下结合附图来详细说明本申请的实施例。

本申请提供了一种基于漏洞的安全事件关联方法，参考图1，包括以下几个步骤：

S101、采用漏洞扫描器通过扫描获取目标网络的目标网络漏洞。

漏洞扫描器可连续和自动扫描，扫描网络中是否存在潜在漏洞，帮助技术人员识别互联网或任何设备上的漏洞，并手动或自动修复它。本实施例中通过现有的漏洞扫描器，例如Nessus，对目标网络的漏洞进行扫描，获取目标网络对应的全部目标网络漏洞。

S102、基于所述目标网络漏洞，从预先构建的漏洞属性知识库中获取与所述目标网络漏洞相关的漏洞属性信息。

具体的，在预先构建的漏洞属性知识库中进行搜索匹配，获取所述目标网络漏洞相关的漏洞属性信息，该所述漏洞属性知识库只需建立一次，后续修改更新较为方便，无需重复建立。

S103、基于所述目标网络的拓扑结构和所述漏洞属性信息，确定所述目标网络中的每一个节点的后继节点集合。

具体的，利用网络拓扑结构能够判断网络设备节点的连接情况，结合漏洞属性信息则挖掘出可以利用的有效漏洞以及攻击者利用漏洞可以获取到的权限级别，从而确定每一个节点的满足因果利用关系的后继节点，一个节点的全部后继节点组合为后继节点集合。

S104、基于所述后继节点集合和预设关联规则获取所述目标网络的攻击路径集合。

从网络拓扑结构中选取构建攻击路径的起点，从起点开始，依次在其后继节点集合中选取满足关联规则的后继节点作为形成攻击路径的节点，从而形成攻击路径，每个起点可能形成多个攻击路径，将全部攻击路径合并作为攻击路径集合，同时在形成攻击路径的同时能够对重复的攻击路径去重。

在一些实施例中，所述漏洞属性知识库的构建方法包括：获取网络漏洞；

根据所述网络漏洞的公共漏洞和暴露CVE编号，爬取与所述网络漏洞相关的所述漏洞属性信息；基于所述漏洞属性信息构建所述漏洞属性知识库。

具体的，通过漏洞扫描器获取网络漏洞，或者直接利用网络已构建完成的漏洞库获取网络漏洞。每个网络漏洞均对应有一个CVE编号，从各大网站中爬取与每一个网络漏洞对应的漏洞属性信息，漏洞属性信息来源可以是政府或者安全公司的公开漏洞信息库，如美国国家漏洞数据库NVD、中国国家信息安全漏洞共享平台CNVD、360补天漏洞响应平台、阿里安全响应中心ASRC和腾讯安全应急响应中心TSRC等。当收集完成全部网络漏洞对应的漏洞属性信息后将其以关系型数据或文件的形式在本地保存，然后依据全部漏洞属性信息构建漏洞属性知识库，该漏洞属性知识库只需构建一次即可，后续可以定时进行更新，方便快捷。

在一些实施例中，所述漏洞属性信息包括：CVE编号、漏洞描述、通用漏洞评分系统CVSS危害值、漏洞利用前提和漏洞利用后果，具体漏洞属性信息的描述如表1所示。

表1漏洞属性信息

在一些实施例中，所述漏洞利用前提包括攻击距离和攻击权限，所述漏洞利用后果包括保密性破坏程度、可用性破坏程度和完整性破坏程度。

具体的，所述攻击距离划分为本地利用、邻域利用和网络利用，所述攻击权限划分为管理员权限、普通用户权限和游客权限。对于属性漏洞利用后果，其中，完整性破坏分为完全性破坏、部分性破坏和无破坏。保密性破坏和可用性破坏主要对应系统破坏，不会涉及权限变化。

攻击的一般过程通常包括：踩点、扫描、破坏和渗透攻击、获取权限、转移目标等环节，而破坏和渗透攻击这一步可以理解为漏洞利用的过程。漏洞利用要满足所有的前提条件，实施入侵才能获取收益。从攻击者的角度，对于能够获得权限提升的漏洞，攻击者一旦成功利用该漏洞，获得了新的权限，就可以继续利用其他漏洞，发起接下来的入侵。权限提升指的是攻击者成功利用漏洞后获取到更高的权限，能够继续对其他设备节点发起攻击。如图2所示，攻击者成功利用漏洞A，结果提升至管理员权限。而获取到的权限收益能够满足利用漏洞B，攻击者再次利用漏洞B，达到提升权限或者攻击的目的。

在一些实施例中，基于所述目标网络的拓扑结构和所述漏洞属性信息，确定所述目标网络中的每一个节点的后继节点集合，包括：

对所述拓扑结构中的每一个节点执行如下操作：

遍历与该节点直接相连的每一个相邻节点内的全部漏铜，响应于确定其中一个漏洞满足攻击条件，则将该漏洞对应的所述相邻节点作为该节点的后继节点，该节点的全部所述后继节点合并作为该节点的所述后继节点集合。

具体的，遍历目标网络的拓扑结构，为每一个设备节点构建其后继节点集合。对于目标网络中的每一个节点，将其置为源节点，在拓扑结构中遍历与其直接连接的全部相邻节点。其中，每个相邻节点可能包含多个漏洞，遍历该相邻节点对应的全部漏洞，如果攻击者首先攻击源节点后，获取到了新的权限再根据相邻节点中的漏洞去攻击该相邻节点，若该漏洞满足攻击条件，则将该相邻节点作为源节点的后继节点，也即后继节点与源节点可能形成漏洞利用对。将符合攻击条件的全部相邻节点找出来，作为源节点的后继节点集合。

在一些实施例中，所述遍历与该节点直接相连的每一个相邻节点内的全部漏铜，响应于确定攻击条件满足其中一个漏洞，则将该漏洞对应的所述相邻节点作为该节点的后继节点，包括：

获取该节点与其所述相邻节点的连接关系，若所述连接关系满足所述相邻节点内的其中一个所述漏洞的所述攻击距离，且入侵所述相邻节点的权限满足该漏洞的所述攻击权限，则将所述相邻节点作为该节点的后继节点。

具体的，每个漏洞的漏洞属性信息均包括漏洞利用前提，漏洞利用前提包括攻击距离和攻击权限，获取源节点与其一个相邻节点的连接关系，例如，所述连接关系是本地连接，如果相邻节点的漏洞对应的攻击距离属性是本地利用，则攻击者对源节点成功实现攻击后，可以利用该漏洞直接对该相邻节点进行攻击，说明连接关系符合该漏洞的攻击距离属性前提；如果相邻节点的漏洞对应的攻击距离属性是邻域利用或网络利用中的任意一个，则攻击者对源节点成功实现攻击后，不能利用该漏洞继续对该相邻节点进行攻击，说明连接关系不符合该漏洞的攻击距离属性前提。如果所述连接关系是网络连接，相邻节点的漏洞对应的攻击距离属性是本地利用、邻域利用或网络利用中的任意一个，则攻击者对源节点成功实现攻击后，可以利用该漏洞直接对该相邻节点进行攻击，说明连接关系符合该漏洞攻击距离属性前提。

当攻击权限为管理员权限时，攻击者需要得到漏洞依存的设备的管理员权限。当攻击权限为普通用户权限时，攻击者需要得到漏洞依存的设备的普通用户权限。当攻击权限为游客权限时，攻击者需要得到漏洞依存的设备的游客权限。属性漏洞利用后果属于完全破坏完整性时，认为攻击者可以提升至管理员权限，属于部分破坏完整性时，认为攻击者可以提升至普通用户权限，属于无破坏完整性时，认为攻击者没有提升权限。攻击者对源节点进行攻击后，可能会获取到更高的权限，以继续对其相邻节点进行攻击。

入侵所述相邻节点的权限满足该漏洞的所述攻击权限，具体为如果漏洞的攻击权限为管理员权限、普通用户权限或游客权限中的任意一种，入侵所述相邻节点的权限为无权限，则攻击者不能利用该漏洞对相邻节点进行攻击，入侵所述相邻节点的权限属于不满足该漏洞的所述攻击权限。如果漏洞的攻击权限为游客权限，入侵所述相邻节点的权限为管理员权限、普通用户权限或游客权限中的任意一种，则攻击者成功攻击源节点提升权限后可以利用该漏洞对相邻节点进行攻击，也即表示攻击者入侵所述相邻节点的权限满足该漏洞的所述攻击权限。如果漏洞的攻击权限为普通用户权限，入侵所述相邻节点的权限需要为管理员权限或普通用户权限，才能成功实现对相邻节点的攻击，若入侵所述相邻节点的权限为游客权限，则不能实现对相邻节点的攻击。

攻击者成功攻击源节点之后，基于属性利用后果，其攻击权限可能提升或改变，致使该攻击者能够满足相邻节点的一个漏洞的属性利用前提中的攻击距离和攻击权限，并对该相邻节点发起攻击，则将该相邻节点作为源节点的后继节点。

在一些实施例中，所述关联规则包括：响应于确定一个所述漏洞的所述漏洞利用后果满足另一个所述漏洞的所述漏洞利用前提，则这两个所述漏洞相关联。

具体的，参考图2，漏洞利用因果关系可以定义为：成功利用漏洞A，获取到攻击收益，这些收益满足利用漏洞B的攻击前提，能够成功利用漏洞B，据此可以进行因果关联。

在一些实施例中，所述基于所述后继节点集合和预设关联规则获取所述目标网络的攻击路径集合，包括：

基于所述目标网络的拓扑结构确定入侵开始节点集合；

对所述入侵开始节点集合中的每一个入侵开始节点执行如下操作：

S1、将所述入侵开始节点作为攻击路径的起点，将所述起点置为当前节点；

S2、在当前节点对应的全部所述后继节点中进行遍历，基于关联规则将其中一个未经遍历的所述后继节点作为所述攻击路径的下一个节点；

S3、将该下一个节点作为新的当前节点，执行步骤S2，直至当前节点没有所述后继节点或全部所述节点均被遍历为止，将所述当前节点作为所述攻击路径的终点，以生成一个所述攻击路径；

S4、将所述终点的上一节点作为当前节点，若当前节点对应的未经遍历的全部所述后继节点中存在满足所述关联规则的所述后继节点，依次执行步骤S2和步骤S3，若当前节点对应的未经遍历的所述后继节点中不存在满足所述关联规则的所述后继节点或当前节点对应的全部所述后继节点均已被遍历，则将当前节点的前一节点作为新的当前节点，依次执行步骤S2和步骤S3；

S5、将经过步骤S1至步骤S4生成的全部所述攻击路径取并集作为所述攻击路径集合。

具体的，想要利用某一网络拓扑中的漏洞进行入侵，攻击者可以依据关联规则利用漏洞，进而发起攻击事件。一系列攻击事件串联起来就形成了攻击者的入侵路径。因此提出攻击路径生成方法，从漏洞利用的角度提前挖掘出网络中存在的安全隐患。依据得到的后继节点集合和关联规则，将后继节点转化为攻击路径。网络拓扑结构中存在一些节点，通过这些节点开始入侵该目标网络可以使得入侵收集最大，则将这些节点作为入侵开始节点，其集合作为入侵开始节点集合。在拓扑结构中，每一个入侵开始节点均可能对应多个不同的后继节点，每一个后继节点可能还包括对应的后继节点，也即将入侵开始节点作为定点，可以得到一个树形结构，从该树形结构中挖掘到以该入侵开始节点作为攻击路径起点的全部攻击路径。参考图3，具体的攻击路径构建方法为，将入侵开始节点A作为攻击路径的起点，节点A的后继节点分别为节点B、节点C和节点D，节点B的后继节点为节点E和节点F，节点C的后继节点为节点G，节点D的后继节点为节点J和节点K。首先，通过关联规则从节点A确定节点B作为攻击路径的第二节点，在通过关联规则确定节点E作为攻击路径的第三节点，此时节点E无后继节点，则将E作为一个攻击路径的终点，并将节点E标记为已遍历，由此生成攻击路径A-B-E。这时，将节点E的前一节点B作为当前节点，继续遍历B对应的全部未经遍历的后继节点，也即节点F，若F也符合关联规则且F无后继节点，则将F作为另一个攻击路径的终点，并将节点F标记为已遍历，由此生成攻击路径A-B-F。此时，将节点F的前一节点B作为当前节点继续遍历，但是节点B对应的全部后继节点均已完成遍历，则将节点B的前一节点A作为当前节点，对节点A对应的全部未经遍历的后继节点继续进行遍历，此时未遍历的后继节点为节点C和节点D，依此类推，按照上述方法继续对节点C和节点D的全部未遍历的后继节点进行遍历，若全部后继节点均符合关联规则，则得到攻击路径A-C-G、A-D-J和A-D-K。至此，将入侵开始节点A关联的全部攻击路径挖掘出来。再对入侵开始集合中的其他入侵开始节点的攻击路径进行挖掘，最后，将全部攻击路径合并作为所述攻击路径集合。

需要说明的是，本申请实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本申请实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。

需要说明的是，上述对本申请的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

基于同一发明构思，与上述任意实施例方法相对应的，本申请还提供了一种基于漏洞的安全事件关联装置。

参考图4，所述基于漏洞的安全事件关联装置，包括：

漏洞获取模块401，被配置为采用漏洞扫描器通过扫描获取目标网络的目标网络漏洞；

漏洞属性信息获取模块402，被配置为基于所述目标网络漏洞，从预先构建的漏洞属性知识库中获取与所述目标网络漏洞相关的漏洞属性信息；

后继节点确定模块403，被配置为基于所述目标网络的拓扑结构和所述漏洞属性信息，确定所述目标网络中的每一个节点的后继节点集合；

攻击路径确定模块404，被配置为基于所述后继节点集合和预设关联规则获取所述目标网络的攻击路径集合。

为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本申请时可以把各模块的功能在同一个或多个软件和/或硬件中实现。

上述实施例的装置用于实现前述任一实施例中相应的基于漏洞的安全事件关联方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

基于同一发明构思，与上述任意实施例方法相对应的，本申请还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上任意一实施例所述的基于漏洞的安全事件关联方法。

图5示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。

处理器1010可以采用通用的CPU(Central Processing Unit，中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit，ASIC)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。

存储器1020可以采用ROM(Read Only Memory，只读存储器)、RAM(Random AccessMemory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。

输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。

通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信，也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。

总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。

需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。

上述实施例的电子设备用于实现前述任一实施例中相应的基于漏洞的安全事件关联方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

基于同一发明构思，与上述任意实施例方法相对应的，本申请还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如上任一实施例所述的基于漏洞的安全事件关联方法。

本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的基于漏洞的安全事件关联方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本申请的范围(包括权利要求)被限于这些例子；在本申请的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本申请实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本申请实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本申请实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本申请实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本申请的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本申请实施例。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本申请的具体实施例对本申请进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态RAM(DRAM))可以使用所讨论的实施例。

本申请实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本申请实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (7)

1.一种基于漏洞的安全事件关联方法，其特征在于，包括：

采用漏洞扫描器通过扫描获取目标网络的目标网络漏洞；

基于所述目标网络漏洞，从预先构建的漏洞属性知识库中获取与所述目标网络漏洞相关的漏洞属性信息；

基于所述目标网络的拓扑结构和所述漏洞属性信息，确定所述目标网络中的每一个节点的后继节点集合，包括：

对所述拓扑结构中的每一个节点执行如下操作：

遍历与该节点直接相连的每一个相邻节点内的全部漏洞，获取该节点与其所述相邻节点的连接关系，若所述连接关系满足所述相邻节点内的其中一个所述漏洞的攻击距离，且入侵所述相邻节点的权限满足该漏洞的攻击权限，则将该漏洞对应的所述相邻节点作为该节点的后继节点，该节点的全部所述后继节点合并作为该节点的所述后继节点集合；

基于所述后继节点集合和预设关联规则获取所述目标网络的攻击路径集合，包括：

基于所述目标网络的拓扑结构确定入侵开始节点集合；

对所述入侵开始节点集合中的每一个入侵开始节点执行如下操作：

S1、将所述入侵开始节点作为攻击路径的起点，将所述起点置为当前节点；

S2、在当前节点对应的全部所述后继节点中进行遍历，基于关联规则将其中一个未经遍历的所述后继节点作为所述攻击路径的下一个节点；

S3、将该下一个节点作为新的当前节点，执行步骤S2，直至当前节点没有所述后继节点或全部所述节点均被遍历为止，将所述当前节点作为所述攻击路径的终点，以生成一个所述攻击路径；

S4、将所述终点的上一节点作为当前节点，若当前节点对应的未经遍历的全部所述后继节点中存在满足所述关联规则的所述后继节点，依次执行步骤S2和步骤S3，若当前节点对应的未经遍历的所述后继节点中不存在满足所述关联规则的所述后继节点或当前节点对应的全部所述后继节点均已被遍历，则将当前节点的前一节点作为新的当前节点，依次执行步骤S2和步骤S3；

S5、将经过步骤S1至步骤S4生成的全部所述攻击路径取并集作为所述攻击路径集合。

2.根据权利要求1所述的方法，其特征在于，所述漏洞属性知识库的构建方法包括：

获取网络漏洞；

根据所述网络漏洞的公共漏洞和暴露CVE编号，爬取与所述网络漏洞相关的所述漏洞属性信息；

基于所述漏洞属性信息构建所述漏洞属性知识库。

3.根据权利要求1所述的方法，其特征在于，所述漏洞属性信息包括：CVE编号、漏洞描述、通用漏洞评分系统CVSS危害值、漏洞利用前提和漏洞利用后果。

4.根据权利要求3所述的方法，其特征在于，所述漏洞利用前提包括攻击距离和攻击权限，所述漏洞利用后果包括保密性破坏程度、可用性破坏程度和完整性破坏程度。

5.根据权利要求3所述的方法，其特征在于，所述关联规则包括：

响应于确定一个所述漏洞的所述漏洞利用后果满足另一个所述漏洞的所述漏洞利用前提，则这两个所述漏洞相关联。

6.一种基于漏洞的安全事件关联装置，其特征在于，包括：

漏洞获取模块，被配置为采用漏洞扫描器通过扫描获取目标网络的目标网络漏洞；

漏洞属性信息获取模块，被配置为基于所述目标网络漏洞，从预先构建的漏洞属性知识库中获取与所述目标网络漏洞相关的漏洞属性信息；

后继节点确定模块，被配置为基于所述目标网络的拓扑结构和所述漏洞属性信息，确定所述目标网络中的每一个节点的后继节点集合，包括：

对所述拓扑结构中的每一个节点执行如下操作：

遍历与该节点直接相连的每一个相邻节点内的全部漏洞，获取该节点与其所述相邻节点的连接关系，若所述连接关系满足所述相邻节点内的其中一个所述漏洞的攻击距离，且入侵所述相邻节点的权限满足该漏洞的攻击权限，则将该漏洞对应的所述相邻节点作为该节点的后继节点，该节点的全部所述后继节点合并作为该节点的所述后继节点集合；

攻击路径确定模块，被配置为基于所述后继节点集合和预设关联规则获取所述目标网络的攻击路径集合，包括：

基于所述目标网络的拓扑结构确定入侵开始节点集合；

对所述入侵开始节点集合中的每一个入侵开始节点执行如下操作：

S1、将所述入侵开始节点作为攻击路径的起点，将所述起点置为当前节点；

S2、在当前节点对应的全部所述后继节点中进行遍历，基于关联规则将其中一个未经遍历的所述后继节点作为所述攻击路径的下一个节点；

S3、将该下一个节点作为新的当前节点，执行步骤S2，直至当前节点没有所述后继节点或全部所述节点均被遍历为止，将所述当前节点作为所述攻击路径的终点，以生成一个所述攻击路径；

S4、将所述终点的上一节点作为当前节点，若当前节点对应的未经遍历的全部所述后继节点中存在满足所述关联规则的所述后继节点，依次执行步骤S2和步骤S3，若当前节点对应的未经遍历的所述后继节点中不存在满足所述关联规则的所述后继节点或当前节点对应的全部所述后继节点均已被遍历，则将当前节点的前一节点作为新的当前节点，依次执行步骤S2和步骤S3；

S5、将经过步骤S1至步骤S4生成的全部所述攻击路径取并集作为所述攻击路径集合。

7.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至5任意一项所述的方法。