CN114915475B

CN114915475B - 攻击路径的确定方法、装置、设备及存储介质

Info

Publication number: CN114915475B
Application number: CN202210543814.4A
Authority: CN
Inventors: 黎宇; 曾楚轩; 周婧莹; 张晓东; 叶晓斌; 杨志贞; 段霞光; 黄坤; 黄增栩; 冯嘉文; 程丽明
Original assignee: China United Network Communications Group Co Ltd
Current assignee: China United Network Communications Group Co Ltd
Priority date: 2022-05-18
Filing date: 2022-05-18
Publication date: 2023-06-27
Anticipated expiration: 2042-05-18
Also published as: CN114915475A

Abstract

本申请提供一种攻击路径的确定方法、装置、设备及存储介质，该方法包括：通过根据目标网络的网络特征以及渗透规则，构建目标网络的知识图谱，根据目标网络中的目标节点的目标漏洞以及知识图谱，获取多个攻击路径，根据知识图谱以及每个攻击路径中各漏洞的攻击意图，确定每个攻击路径的风险评估分数，根据每个攻击路径的风险评估分数，从多个攻击路径中确定出目标攻击路径，其中，该风险评估分数用于表示攻击路径被攻击者选中的可能性。在该方案中，计算每个攻击路径的风险评估分数，并根据该风险评估方法确定目标攻击路径，从而代替人工处理过程，提高了处理的准确性和速度。

Description

攻击路径的确定方法、装置、设备及存储介质

技术领域

本申请涉及网络安全技术领域，尤其涉及一种攻击路径的确定方法、装置、设备及存储介质。

背景技术

随着网络技术的不断进步，计算机网络规模和应用急剧扩大，而计算机网络资源管理分散，导致网络中存在一定的漏洞。攻击者会利用这些漏洞之间的关联关系，将不同主机的若干独立的漏洞进行关联，形成攻击路径，从而根据该攻击路径一步一步地达到攻击目标。因此，如何确定攻击路径是亟待解决的问题。

目前，确定攻击路径的方式主要是通过攻击图技术把网络中各主机的脆弱性进行关联，从而生成多个威胁网络安全的攻击路径并用图的方式进行展现，以使安全管理人员能够从生成的多个攻击路径中确定出攻击者会进攻的目标攻击路径，推断攻击者的攻击意图。

然而，由于现有技术需要人工确定目标攻击路径，存在处理的准确度较低的问题。

发明内容

本申请提供一种攻击路径的确定方法、装置、设备及存储介质，以解决现有技术需要人工确定目标攻击路径，无法保证人工处理过程的严谨性，存在处理的准确度较低的问题。

第一方面，本申请提供一种攻击路径的确定方法，包括：

根据目标网络的网络特征以及渗透规则，构建所述目标网络的知识图谱，所述网络特征用于表征所述目标网络中各节点的漏洞信息以及各节点间的连接关系，所述渗透规则是根据渗透专家的渗透经验生成的规则；

根据所述目标网络中的目标节点的目标漏洞以及所述知识图谱，获取多个攻击路径；

根据所述知识图谱以及每个攻击路径中各漏洞的攻击意图，确定每个攻击路径的风险评估分数，所述风险评估分数用于表示所述攻击路径被攻击者选中的可能性；

根据每个攻击路径的风险评估分数，从所述多个攻击路径中确定出目标攻击路径。

在第一方面的一种可能设计中，所述根据所述知识图谱以及每个攻击路径中各漏洞的攻击意图，确定每个攻击路径的风险评估分数，包括：

根据所述知识图谱，得到每个攻击路径的脆弱度；

根据每个攻击路径中各漏洞的攻击意图，得到每个攻击路径的漏洞关联性；

根据每个攻击路径的脆弱度以及每个攻击路径的漏洞关联性，确定每个攻击路径的风险评估分数。

可选的，所述根据所述知识图谱，得到每个攻击路径的脆弱度，包括：

根据所述知识图谱，确定每个攻击路径中各节点的权重，所述权重用于表示每个攻击路径中各节点的重要程度；

将每个攻击路径中各节点的权重与各节点的漏洞评分相乘，获取各节点的子脆弱度；

将每个攻击路径中各节点的子脆弱度加和，得到每个攻击路径的脆弱度。

可选的，所述根据每个攻击路径中各漏洞的攻击意图，得到每个攻击路径的漏洞关联性，包括：

根据每个攻击路径中各漏洞的攻击意图，计算相邻漏洞间的子漏洞关联性；

将每个攻击路径的多个子漏洞关联性相乘，得到每个攻击路径的漏洞关联性。

可选的，所述根据每个攻击路径的脆弱度以及每个攻击路径的漏洞关联性，确定每个攻击路径的风险评估分数，包括：

将每个攻击路径的脆弱度和所述攻击路径的漏洞关联性相加，获取每个攻击路径的风险评估分数。

在第一方面的另一种可能设计中，在所述根据目标网络的网络特征以及渗透规则，构建所述目标网络的知识图谱之前，所述方法还包括：

对所述目标网络中各节点进行端口探测，获取所述目标网络中各节点的漏洞信息，以及获取目标网络中各节点的连接关系，得到所述目标网络的网络特征。

可选的，所述对所述目标网络中各节点进行端口探测，获取所述目标网络中各节点的漏洞信息，包括：

对所述目标网络中各节点进行端口探测，获取所述目标网络中各节点的初始漏洞信息；

对所述目标网络中各节点的所述初始漏洞信息进行漏洞验证，将各节点中通过验证的初始漏洞信息确定为漏洞信息。

第二方面，本申请提供一种攻击路径的确定装置，包括：

构建模块，用于根据目标网络的网络特征以及渗透规则，构建所述目标网络的知识图谱，所述网络特征用于表征所述目标网络中各节点的漏洞信息以及各节点间的连接关系，所述渗透规则是根据渗透专家的渗透经验生成的规则；

决策推理模块，用于根据所述目标网络中的目标节点的目标漏洞以及所述知识图谱，获取多个攻击路径；

处理模块，用于根据所述知识图谱以及每个攻击路径中各漏洞的攻击意图，确定每个攻击路径的风险评估分数，所述风险评估分数用于表示所述攻击路径被攻击者选中的可能性；

所述处理模块，还用于根据每个攻击路径的风险评估分数，从所述多个攻击路径中确定出目标攻击路径。

在第二方面的一种可能设计中，所述处理模块，具体用于：

根据所述知识图谱，得到每个攻击路径的脆弱度；

可选的，所述处理模块，具体用于：

在第二方面的另一种可能设计中，在所述根据目标网络的网络特征以及渗透规则，构建所述目标网络的知识图谱之前，所述装置还包括：

获取模块，对所述目标网络中各节点进行端口探测，获取所述目标网络中各节点的漏洞信息，以及获取目标网络中各节点的连接关系，得到所述目标网络的网络特征。

可选的，所述获取模块，具体用于：

第三方面，本申请提供一种电子设备，包括：处理器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序指令，所述处理器执行所述计算机程序指令时用于实现第一方面以及各可能设计提供的方法。

第四方面，本申请可提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现第一方面以及各可能设计提供的方法。

第五方面，本申请提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时用于实现第一方面以及各可能设计提供的方法。

本申请提供的攻击路径的确定方法、装置、设备及存储介质，该方法包括：通过根据目标网络的网络特征以及渗透规则，构建目标网络的知识图谱，根据目标网络中的目标节点的目标漏洞以及知识图谱，获取多个攻击路径，根据知识图谱以及每个攻击路径中各漏洞的攻击意图，确定每个攻击路径的风险评估分数，根据每个攻击路径的风险评估分数，从多个攻击路径中确定出目标攻击路径，其中，该风险评估分数用于表示攻击路径被攻击者选中的可能性。在该方案中，计算每个攻击路径的风险评估分数，并根据该风险评估方法确定目标攻击路径，从而代替人工处理过程，提高了处理的准确性和速度。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1为本申请实施例提供的攻击路径的确定方法的一种应用场景示意图；

图2为本申请实施例提供的攻击路径的确定方法实施例一的流程示意图；

图3为本申请实施例提供的攻击路径的确定方法实施例二的流程示意图；

图4为本申请实施例提供的攻击路径的确定装置的结构示意图；

图5为本申请实施例提供的电子设备的结构示意图。

通过上述附图，已示出本公开明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围，而是通过参考特定实施例为本领域技术人员说明本公开的概念。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

在介绍本申请的实施例之前，首先对本申请实施例的应用背景进行解释：

传统的网络风险评估方法大多只考虑了单个主机的孤立脆弱性给网络安全带来的影响，没有将脆弱性间的依赖关系进行评估。然而，漏洞之间存在着一定的关联关系，一个漏洞可以是下一个漏洞被利用的前提条件，也有可能是上一个漏洞被利用的结果。攻击者会利用这些漏洞之间的关联关系，将不同主机的若干独立的漏洞进行关联，形成攻击路径，从而根据该攻击路径一步一步地达到攻击目标。

目前，为了不忽视这些重要的漏洞之间的关系，更客观的对网络脆弱性进行分析和评估，主要是通过攻击图模型把网络中各主机的脆弱性进行关联，从而生成多个威胁网络安全的攻击路径。与传统模型相比，攻击图模型结合了网络中脆弱性和网络拓扑等配置信息与漏洞之间的依赖关系，使其已成为描述网络环境以及对网络进行风险评估的主要方法。

然而，现有技术中存在以下问题：

(1)、在攻击图模型输出多条攻击路径时，需要人工确定攻击者会选择的目标进攻路径，从而不能准确的推断攻击者的意图，存在处理的准确度较低的问题。

(2)、对漏洞的评分不够精确，导致对网络节点和攻击路径的风险分析结果不够精确。随着攻击技术的不断发展以及漏洞数量的日渐增多，传统的基于通用漏洞评分系统(Common Vulnerability Scoring System，CVSS)的漏洞评估方式越来越难以精确地反映漏洞的影响程度。主要表现为部分高危漏洞的评分较低，同时也存在部分低危漏洞的评分较高的现象，导致不能对某个特定的漏洞根据其所处的软硬件环境进行具体分析和评估，从而难以精确地反映节点和攻击路径的风险程度，使得防御方采取的防御措施难以有效阻止攻击者的攻击。

(3)、难以适应网络攻防态势的快速变化。随着大数据分析、威胁情报等技术的发展，大量新漏洞和新攻击方式在互联网上被快速公开。同时，新的防御手段也在对已知漏洞的利用难度和利用方式产生影响。这些信息既为安全研究人员及相关厂商提供了帮助，也为攻击者提供了新思路和新手段。在这种现状下，攻防双方对攻击图的自动构建以及精确评估等能力提出了更高的要求，传统的攻击图构建方法由于输入信息种类少、信息源单一等原因，已难以满足需求。

所以，本申请提供的一种攻击路径的确定方法、装置、设备及存储介质，在基于渗透专家的渗透经验构建目标网络的知识图谱，根据该知识图谱获取多个攻击路径之后，可以根据该知识图谱以及攻击路径中各漏洞的攻击意图，计算每个攻击路径被攻击者选中的可能性(风险评估分数)，就可以根据上述风险评估分数从多个攻击路径中确定出目标攻击路径，从而代替人工处理过程，提高了处理过程的准确性。

示例性的，本申请实施例提供的攻击路径的确定方法可以应用于图1所示的一种应用场景示意图中。图1为本申请实施例提供的攻击路径的确定方法的一种应用场景示意图，用以解决上述技术问题。如图1所示，该应用场景可以包括：网络(如图1中的网络设备101、网络设备102和网络设备103)和第一电子设备104，第二电子设备105。

在本实施例中，第一电子设备104可以运行有专家经验系统，该专家经验系统为一种模拟人类专家解决领域问题的系统，专家经验系统应用的条件是某领域的知识是有限集，可以将该领域知识的有限集录入到第一电子设备104中，再经过推理决策，从而达到模拟人类思维解决问题的目的。其中，本实施例中的专家经验系统存储有大量的渗透经验，其能够为漏洞提供一个或多个渗透专家的知识和经验，以便解决那些需要渗透专家处理的复杂问题。第一电子设备104根据输入的渗透专家的渗透经验，通过DPL(Decision PlanLanguage)黑客语言，使用规则语言进行描述，转化成第一电子设备104可识别的渗透规则，并将该渗透规则存储在专家经验系统中。

其中，第二电子设备105可以分别对网络设备101、网络设备102和网络设备103进行信息采集，从而获取网络的网络特征；还可以从第一电子设备104中获取渗透规则，根据上述网络的网络特征以及上述渗透规则，构建网络的知识图谱，并根据该知识图谱以及网络的目标节点，确定出目标攻击路径。

可选的，第二电子设备105可以通过存储调度实现数据存储和相关插件的调用，存储调度包括对评估任务数据、状态数据、临时结果、长效结果的数据进行存储，同时完成决策推理模块对工具的调度。

应理解，第一电子设备104和第二电子设备105可以是独立的不同的物理设备，还可以是将第一电子设备104的功能与第二电子设备105的功能集成在同一个物理设备上，还可以是一个物理设备上集成了部分的第一电子设备104的功能和部分的第二电子设备105的功能，本实施例对此不进行具体限制。

可以理解的是，本申请实施例的执行主体可以是终端设备，例如，计算机、平板电脑等，也可以是服务器，例如，后台的处理平台等。因而，本实施例以终端设备和服务器统称为第一电子设备进行解释说明，关于该第一电子设备具体为终端设备，还是服务器，其可以实际情况确定。

下面，通过具体实施例对本申请的技术方案进行详细说明。

需要说明的是，下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。

图2为本申请实施例提供的攻击路径的确定方法实施例一的流程示意图。如图2所示，该攻击路径的确定方法可以包括如下步骤：

S201、根据目标网络的网络特征以及渗透规则，构建目标网络的知识图谱。

其中，网络特征用于表征目标网络中各节点的漏洞信息以及各节点间的连接关系，渗透规则是根据渗透专家的渗透经验生成的规则。

在一种可实现的方式中，从目标网络的网络特征中抽取实体和关系，并从渗透规则中抽取属性，从而构建知识图谱。也就是说，该目标网络的知识图谱的实体为节点或漏洞，关系为节点间的连接，属性为渗透规则。

可选的，该节点可以为服务器、路由器、交换机、计算机等硬件设备，也包括操作系统或应用程序等软件，本申请实施例对此不进行具体限制。

示例性的，渗透规则的属性和值可以通过表1进行表示：

表1：渗透规则

其中，漏洞编号是用于对漏洞进行标记的漏洞身份标识号(Identity Document，ID)，由于各漏洞库收录的漏洞不完全相同，且每个漏洞库都有独立的漏洞ID编码方式。因此渗透规则中的漏洞编号应尽可能采用某个漏洞收录全面、应用范围广泛、评分方式公认合理的数据库的漏洞ID。

其中，漏洞评分可以参考CVSS对漏洞的评分标准，建立漏洞的严重程度初步量化级，以确定所需反应的紧急度和重要度。应理解，漏洞评分还可以参考其他的漏洞评分系统中获取，本申请实施例对此不进行具体限制。

其中，触发条件指的是能够触发该漏洞的条件，如能够触发该漏洞的漏洞A；后续动作指的是该漏洞能够触发的其他动作，如该漏洞能够触发的漏洞B。

在一种可能的实现方式中，在S201之前，还可以对目标网络中各节点进行端口探测，获取目标网络中各节点的漏洞信息，以及获取目标网络中各节点的连接关系，得到目标网络的网络特征。本方式通过对目标网络中各节点进行端口探测，提高了采集漏洞信息的便捷性。

可选的，可以预先在目标网络的各节点中设置常用端口，以使能够对该常用端口进行端口探测。在端口探测过程中未发现常用端口时，还可以自动扫描该节点的其他未测试的端口，从而解决遗漏采集节点的漏洞信息的问题，降低节点中漏洞的未发现率。

在该方式中，对目标网络中各节点进行端口探测，获取目标网络中各节点的漏洞信息可以通过以下步骤实现：对目标网络中各节点进行端口探测，获取目标网络中各节点的初始漏洞信息。之后对目标网络中各节点的初始漏洞信息进行漏洞验证，将各节点中通过验证的初始漏洞信息确定为漏洞信息。

可选的，可以通过开放式Web应用程序安全项目(Open Web ApplicationSecurity Project，OWASP)常规漏洞类和组件式漏洞类，对目标网络中各节点的初始漏洞信息进行漏洞验证。同时，还可以生成验证漏洞的关键收发报文，并向用户展示，以使用户能够通过该关键收发报文来判断漏洞的准确性，还能够利用该关键收发报文重现漏洞。

可选的，可以根据渗透专家的渗透经验对渗透规则进行更新，还可以按照预设频率对目标网络的网络特征进行更新，以使在构建该目标网络的知识图谱后可以根据更新后的网络特征和/或更新后的渗透规则，对该知识图谱进行更新，从而实现渗透能力的持续提升。

S202、根据目标网络中的目标节点的目标漏洞以及知识图谱，获取多个攻击路径。

在一种可能的实现方式中，可以将该目标漏洞ID以及目标节点ID输入至该知识图谱中，从而获取知识图谱输出的触发条件和后续动作，之后根据触发条件对知识图谱进行深度遍历，确定源节点ID；同时根据后续动作对知识图谱进行深度遍历，确定终节点ID，从而获取多个攻击路径。

其中，根据触发条件对知识图谱进行深度遍历，确定源节点ID可以通过以下步骤实现：根据知识图谱，获取目标节点的相邻节点，并依次访问每一个相邻节点，匹配相邻节点中是否存在触发条件的一级前置漏洞，若存在，则将匹配的第一前置节点保存至相应的攻击路径中。进一步的，依次访问第一前置节点的每一个相邻节点，匹配相邻节点中是否存在触发条件的二级前置漏洞，若存在，则将匹配的第二前置节点保存至相应的攻击路径中，重复上述步骤，直到确认出源节点，该源节点的相邻节点不存在具有触发条件的前置漏洞。

其中，根据后续动作对知识图谱进行深度遍历，确定终节点ID可以通过以下步骤实现：根据知识图谱，获取目标节点的相邻节点，并依次访问每一个相邻节点，匹配相邻节点中是否存在后续动作的一级后置漏洞，若存在，则将匹配的第一后置节点保存至相应的攻击路径中。进一步的，依次访问第一后置节点的每一个相邻节点，匹配相邻节点中是否存在后续动作的二级后置漏洞，若存在，则将匹配的第二后置节点保存至相应的攻击路径中，重复上述步骤，直到确认出终节点，该终节点的相邻节点不存在具有后续动作的后置漏洞。

示例性的，攻击路径的表示形式可以为：源节点-源节点漏洞-节点1-漏洞1-节点2-漏洞2-……-节点n-漏洞n-终节点。

S203、根据知识图谱以及每个攻击路径中各漏洞的攻击意图，确定每个攻击路径的风险评估分数。

由于攻击者通过攻击路径进行攻击时，该攻击路径中的各漏洞的攻击意图相似，且脆弱性较大。因此可以通过知识图谱以及每个攻击路径中各漏洞的攻击意图，计算得到每个攻击路径的风险评估分数，以使后续根据该风险评估分数确定出目标攻击路径。其中，风险评估分数用于表示攻击路径被攻击者选中的可能性。

其中，该步骤的具体实现方式和原理可以参照图3所示实施例的内容，在此不再赘述。

S204、根据每个攻击路径的风险评估分数，从多个攻击路径中确定出目标攻击路径。

可选的，可以将被攻击者选中的可能性最大的多个攻击路径确定为目标攻击路径，还可以将被攻击者选中的可能性最大的一个攻击路径确定为目标攻击路径，本申请实施例不对目标攻击路径的数量进行限定。

可选的，在确定出目标攻击路径后，还可以通过路径认证模块对攻击路径进行认证，并向用户显示认证结果。

可选的，还可以生成执行攻击路径的确定方法的渗透记录，并向用户进行显示。该渗透记录包括每个模块的执行时间、结束时间和执行位置等。可以通过查看渗透测试记录实现对渗透测试溯源。

本申请实施例提供的攻击路径的确定方法，通过根据目标网络的网络特征以及渗透规则，构建目标网络的知识图谱，根据目标网络中的目标节点的目标漏洞以及知识图谱，获取多个攻击路径，根据知识图谱以及每个攻击路径中各漏洞的攻击意图，确定每个攻击路径的风险评估分数，根据每个攻击路径的风险评估分数，从多个攻击路径中确定出目标攻击路径，其中，该风险评估分数用于表示攻击路径被攻击者选中的可能性。在该方案中，计算每个攻击路径的风险评估分数，并根据该风险评估方法确定目标攻击路径，从而代替人工处理过程，提高了处理的准确性和速度。

同时，本实施例利用知识图谱技术的多源信息融合特性将来自多个独立信息源的同一漏洞的相关信息进行互相印证或驳斥，避免错误评估漏洞的影响程度。其信息抽取和推理技术可用于及时发现互联网上公开的新漏洞和新攻击方法，并指导知识图谱的更新，提高知识图谱的时效性。通过知识图谱可以更精确、更及时地反映当前网络的安全状态，为防御方采取更合理的防御策略或为攻击方制定更好的攻击策略提供依据。基于知识图谱的连接性，能够将漏洞进行组合及链式利用，即当检测到某个漏洞时，基于当前漏洞的知识图谱的连接性，发现当前漏洞能进一步利用时进行下一步的渗透，从而实现漏洞间的组合利用；同时，能够把其他漏洞作为自己的触发输入，达到将多个低危漏洞组合成高危漏洞的效果，实现对漏洞更深入全面的检测。

进一步的，知识图谱的关联性可以将渗透专家的渗透经验进行有效关联，知识图谱的节点越多，覆盖的网络安全风险评估思路和方法就越全面，而节点间的关联越多，网络安全风险评估就越深入，尤其是多种漏洞间的组合关联，实现将多个低危漏洞组合成高危漏洞的效果。节点之间的关联产生出多种不同的网络攻击路径，通过节点间的风险评估分数，能找到最快的渗透路径。同时，本方案将网络安全风险评估的流程“确定目标”、“信息收集”、“漏洞探测”、“漏洞利用”、“后渗透”进行重构，实现了后期评估步骤为前期评估步骤提供数据和支撑的目的，提高了确定目标攻击路径的灵活性。

总结来说，本申请实施例通过渗透专家的渗透经验构建知识图谱，能够对漏洞进行组合和链式利用。实现多个低危漏洞组合成高危漏洞，达到1+1>2的渗透测试效果，当某漏洞存在可深入发掘的机会时，系统将对漏洞进行深入探测和利用，实现单漏洞价值最大化。漏洞组合利用和漏洞链式利用能够更全面更深入的发现漏洞，从而提高渗透测试的全面性。

图3为本申请实施例提供的攻击路径的确定方法实施例二的流程示意图。如图3所示，在上述任一实施例的基础上，S203可以通过如下步骤实现：

S301、根据知识图谱，得到每个攻击路径的脆弱度。

在一种可能的实现方式中，根据知识图谱，确定每个攻击路径中各节点的权重，将每个攻击路径中各节点的权重与各节点的漏洞评分相乘，获取各节点的子脆弱度，将每个攻击路径中各节点的子脆弱度加和，得到每个攻击路径的脆弱度。其中，权重用于表示每个攻击路径中各节点的重要程度。

其中，可以通过公式：

计算各节点的权重；∑A_i为节点i的相邻节点中与触发条件匹配的相邻节点总数，∑B_j为节点i的相邻节点中与后续动作匹配的相邻节点总数，Z为节点i的相邻节点总数，Q_i为节点i的权重。

其中，可以通过公式：l_i＝Q_i×P_i计算各节点的子脆弱度；l_i为节点i的子脆弱度，P_i为节点i的漏洞评分。

其中，可以通过公式：

计算攻击路径中源节点i到终节点j的脆弱度。

本申请实施例通过知识图谱中各节点的连接关系以及渗透规则计算每个攻击路径的各节点的权重，从而根据各节点的权重大小以及节点的漏洞评分确定每个攻击路径的脆弱度，有效提高了计算的准确性。

S302、根据每个攻击路径中各漏洞的攻击意图，得到每个攻击路径的漏洞关联性；

在一种可能的实现方式中，可以根据每个攻击路径中各漏洞的攻击意图，计算相邻漏洞间的子漏洞关联性，将每个攻击路径的多个子漏洞关联性相乘，得到每个攻击路径的漏洞关联性。

其中，可以通过公式：

计算子漏洞关联性；CS为子漏洞关联性，V0和Vn为相邻节点。

可选的，可以基于预设的更新周期，每个攻击路径的各节点可以分别向相邻节点发送该子漏洞关联性，并将存储的其他节点发送的子漏洞关联性发送给相邻节点，以使通过预设的更新周期对攻击路径的漏洞关联性进行更新。

示例性的，漏洞可以有一个或多个攻击意图，其中，攻击意图可以包括身份验证、可注入参数的标识、联合查询、绕过身份验证、数据提取、捎带查询、数据提取、数据修改、磁盘操作系统(Disk Operating System，DoS)、远程命令等。

根据每个攻击路径中各漏洞的攻击意图确定相邻节点的子漏洞关联性，并根据子漏洞关联性确定每个攻击路径的漏洞关联性，提高了确定的漏洞关联性的准确度，从而提高了后续确定攻击路径的风险评估分数的准确性。

S303、根据每个攻击路径的脆弱度以及每个攻击路径的漏洞关联性，确定每个攻击路径的风险评估分数。

在一种可实现的方式中，将每个攻击路径的脆弱度和攻击路径的漏洞关联性相加，获取每个攻击路径的风险评估分数，以使能够通过该风险评估分数确定该攻击路径被攻击者选中的可能性。

本申请实施例提供的攻击路径的确定方法，通过根据知识图谱，得到每个攻击路径的脆弱度，根据每个攻击路径中各漏洞的攻击意图，得到每个攻击路径的漏洞关联性，根据每个攻击路径的脆弱度以及每个攻击路径的漏洞关联性，确定每个攻击路径的风险评估分数，根据知识图谱中各节点的连接关系以及渗透规则，准确的确定出用于表示攻击路径被攻击者选中的可能性的风险评估分数，从而提高后续确定的目标攻击路径的准确度。

下述为本申请装置实施例，可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节，请参照本申请方法实施例。

图4为本申请实施例提供的攻击路径的确定装置的结构示意图。如图4所示，该攻击路径的确定装置包括：

构建模块41，用于根据目标网络的网络特征以及渗透规则，构建目标网络的知识图谱，网络特征用于表征目标网络中各节点的漏洞信息以及各节点间的连接关系，渗透规则是根据渗透专家的渗透经验生成的规则；

决策推理模块42，用于根据目标网络中的目标节点的目标漏洞以及知识图谱，获取多个攻击路径；

处理模块43，用于根据知识图谱以及每个攻击路径中各漏洞的攻击意图，确定每个攻击路径的风险评估分数，风险评估分数用于表示攻击路径被攻击者选中的可能性；

处理模块43，还用于根据每个攻击路径的风险评估分数，从多个攻击路径中确定出目标攻击路径。

在本申请实施例的一种可能设计中，处理模块43，具体用于：

根据知识图谱，得到每个攻击路径的脆弱度；

可选的，处理模块43，具体用于：

根据知识图谱，确定每个攻击路径中各节点的权重，权重用于表示每个攻击路径中各节点的重要程度；

可选的，处理模块43，具体用于：

将每个攻击路径的脆弱度和攻击路径的漏洞关联性相加，获取每个攻击路径的风险评估分数。

在本申请实施例的另一种可能设计中，在根据目标网络的网络特征以及渗透规则，构建目标网络的知识图谱之前，装置还包括：

获取模块，对目标网络中各节点进行端口探测，获取目标网络中各节点的漏洞信息，以及获取目标网络中各节点的连接关系，得到目标网络的网络特征。

可选的，获取模块，具体用于：

对目标网络中各节点进行端口探测，获取目标网络中各节点的初始漏洞信息；

对目标网络中各节点的初始漏洞信息进行漏洞验证，将各节点中通过验证的初始漏洞信息确定为漏洞信息。

本申请实施例提供的攻击路径的确定装置，可用于执行上述任一实施例中的攻击路径的确定方法，其实现原理和技术效果类似，在此不再赘述。

需要说明的是，应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现；也可以全部以硬件的形式实现；还可以部分模块通过处理元件调用软件的形式实现，部分模块通过硬件的形式实现。此外，这些模块全部或部分可以集成在一起，也可以独立实现。这里的处理元件可以是一种集成电路，具有信号的处理能力。在实现过程中，上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。

图5为本申请实施例提供的电子设备的结构示意图。如图5所示，该电子设备可以包括：处理器51、存储器52及存储在存储器52上并可在处理器51上运行的计算机程序指令，处理器51执行计算机程序指令时实现前述任一实施例提供的攻击路径的确定方法。

可选的，该电子设备的上述各个器件之间可以通过系统总线连接。

存储器52可以是单独的存储单元，也可以是集成在处理器中的存储单元。处理器的数量为一个或者多个。

可选的，电子设备还可以包括与其他设备进行交互的接口。

应理解，处理器51可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

系统总线可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。系统总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。存储器可能包括随机存取存储器(randomaccess memory，RAM)，也可能还包括非易失性存储器(non-volatile memory，NVM)，例如至少一个磁盘存储器。

实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一可读取存储器中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储器(存储介质)包括：只读存储器(read-only memory，ROM)、RAM、快闪存储器、硬盘、固态硬盘、磁带(英文：magnetic tape)、软盘(英文：floppy disk)、光盘(英文：optical disc)及其任意组合。

本申请实施例提供的电子设备，可用于执行上述任一方法实施例提供的攻击路径的确定方法，其实现原理和技术效果类似，在此不再赘述。

本申请实施例提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机指令，当该计算机指令在计算机上运行时，使得计算机执行上述攻击路径的确定方法。

上述的计算机可读存储介质，上述可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器，电可擦除可编程只读存储器，可擦除可编程只读存储器，可编程只读存储器，只读存储器，磁存储器，快闪存储器，磁盘或光盘。可读存储介质可以是通用或专用计算机能够存取的任何可用介质。

可选的，将可读存储介质耦合至处理器，从而使处理器能够从该可读存储介质读取信息，且可向该可读存储介质写入信息。当然，可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(Application Specific IntegratedCircuits，ASIC)中。当然，处理器和可读存储介质也可以作为分立组件存在于设备中。

本申请实施例还提供一种计算机程序产品，该计算机程序产品包括计算机程序，该计算机程序存储在计算机可读存储介质中，至少一个处理器可以从该计算机可读存储介质中读取该计算机程序，至少一个处理器执行计算机程序时可实现上述攻击路径的确定方法。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求书来限制。

Claims

1.一种攻击路径的确定方法，其特征在于，包括：

根据每个攻击路径的风险评估分数，从所述多个攻击路径中确定出目标攻击路径；

所述根据所述知识图谱以及每个攻击路径中各漏洞的攻击意图，确定每个攻击路径的风险评估分数，包括：

根据所述知识图谱，得到每个攻击路径的脆弱度；

2.根据权利要求1所述的方法，其特征在于，所述根据所述知识图谱，得到每个攻击路径的脆弱度，包括：

3.根据权利要求1所述的方法，其特征在于，所述根据每个攻击路径中各漏洞的攻击意图，得到每个攻击路径的漏洞关联性，包括：

4.根据权利要求1所述的方法，其特征在于，所述根据每个攻击路径的脆弱度以及每个攻击路径的漏洞关联性，确定每个攻击路径的风险评估分数，包括：

5.根据权利要求1至4任一项所述的方法，其特征在于，在所述根据目标网络的网络特征以及渗透规则，构建所述目标网络的知识图谱之前，所述方法还包括：

6.根据权利要求5所述的方法，其特征在于，所述对所述目标网络中各节点进行端口探测，获取所述目标网络中各节点的漏洞信息，包括：

7.一种攻击路径的确定装置，其特征在于，包括：

所述处理模块，还用于根据每个攻击路径的风险评估分数，从所述多个攻击路径中确定出目标攻击路径；

所述处理模块，具体用于根据所述知识图谱，得到每个攻击路径的脆弱度；

8.一种电子设备，包括：处理器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序指令，其特征在于，所述处理器执行所述计算机程序指令时用于实现如权利要求1至6任一项所述的攻击路径的确定方法。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如权利要求1至6任一项所述的攻击路径的确定方法。