CN114978750A - 一种攻击路径的确定方法及装置、电子设备、存储介质 - Google Patents

一种攻击路径的确定方法及装置、电子设备、存储介质 Download PDF

Info

Publication number
CN114978750A
CN114978750A CN202210676876.2A CN202210676876A CN114978750A CN 114978750 A CN114978750 A CN 114978750A CN 202210676876 A CN202210676876 A CN 202210676876A CN 114978750 A CN114978750 A CN 114978750A
Authority
CN
China
Prior art keywords
attack
determining
sub
path
attacker
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210676876.2A
Other languages
English (en)
Inventor
陈伟
徐钟豪
谢忱
刘伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Douxiang Information Technology Co ltd
Original Assignee
Shanghai Douxiang Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Douxiang Information Technology Co ltd filed Critical Shanghai Douxiang Information Technology Co ltd
Priority to CN202210676876.2A priority Critical patent/CN114978750A/zh
Publication of CN114978750A publication Critical patent/CN114978750A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请提供一种攻击路径的确定方法及装置、电子设备、存储介质。攻击路径的确定方法包括:获取被攻击设备对应的多个风险事件;确定多个风险事件对应的起始攻击者;基于起始攻击者,确定多个风险事件对应的多个子攻击路径;各个子攻击路径包括攻击者和被攻击者;确定各个子攻击路径对应的攻击代价;基于各个子攻击路径对应的攻击代价确定从起始攻击者至被攻击设备的最小攻击代价攻击路径;确定各个子攻击路径对应的关联度;关联度用于表征不同的子攻击路径对应的源攻击者是同一个攻击者的概率;基于各个子攻击路径对应的关联度确定从起始攻击者至被攻击设备的最大关联度攻击路径。该确定方法用以实现低成本且高效的网络攻击溯源。

Description

一种攻击路径的确定方法及装置、电子设备、存储介质
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种攻击路径的确定方法及装置、电子设备、存储介质。
背景技术
随着网络技术的不断发展,一些不法分子利用网络漏洞窃取用户的重要信息,攻击者会向目标主机发送特定的攻击数据包或执行恶意行为。通过网络溯源技术,可以追踪这些攻击数据包的来源,定位攻击者的真实位置,以采取相应的应对措施,有利于网络安全。
现有的网络溯源技术,主要靠人工分析,即通过对不同设备上检出的风险事件进行分析,提取其中的攻击者信息,通过对比是否有相同的攻击来确定攻击是否同一人所为。这种方式需要分析人员分析海量的风险检出数据,才能得出一定的结论,耗时巨大,对于大型网络,每日检出上万条风险数据,进行人为分析会耗费大量人力物力才能得到结果。
因此,现有的攻击路径的确定方式的人力成本和时间成本都较高。
发明内容
本申请实施例的目的在于提供一种攻击路径的确定方法及装置、电子设备、存储介质,用以实现低成本且高效的网络攻击溯源。
第一方面,本申请实施例提供一种攻击路径的确定方法,包括:获取被攻击设备对应的多个风险事件;确定所述多个风险事件对应的起始攻击者;基于所述起始攻击者,确定所述多个风险事件对应的多个子攻击路径;各个子攻击路径包括攻击者和被攻击者;确定各个子攻击路径对应的攻击代价;基于各个子攻击路径对应的攻击代价确定从所述起始攻击者至所述被攻击设备的最小攻击代价攻击路径;确定各个子攻击路径对应的关联度;所述关联度用于表征不同的子攻击路径对应的源攻击者是同一个攻击者的概率;基于各个子攻击路径对应的关联度确定从所述起始攻击者至所述被攻击设备的最大关联度攻击路径。
在本申请实施例中,基于被攻击设备对应的多个风险事件,先确定出起始攻击者,再基于起始攻击者构建多个子攻击路径。基于多个子攻击路径,通过确定对应的攻击代价,实现最小攻击代价攻击路径的确定。以及通过确定对应的关联度,实现最大关联度攻击路径的确定。这种网络攻击溯源的方式,不再需要依赖于人工的分析,减少了时间成本和人力成本,实现高效的网络攻击溯源。并且,通过最小攻击代价攻击路径和最大关联度攻击路径的分别确定,实现更全面和更准确的网络攻击溯源。
作为一种可能的实现方式,所述确定所述多个风险事件对应的起始攻击者,包括:将所述多个风险事件按照时间先后顺序进行排序;将时间最早的风险事件对应的攻击者确定为所述起始攻击者。
在本申请实施例中,通过将多个风险事件按照时间先后顺序排序,将时间最早的风险事件对应的攻击者便为起始攻击者,实现起始攻击者的简单且有效的确定。
作为一种可能的实现方式,所述基于所述起始攻击者,确定所述多个风险事件对应的多个子攻击路径,包括:基于所述起始攻击者、所述多个风险事件的排序和各个风险事件中的攻击者和被攻击者生成攻击图;从所述攻击图中确定出所述多个子攻击路径。
在本申请实施例中,通过构建攻击图,实现多个子攻击路径的简单且有效的确定。
作为一种可能的实现方式,所述确定各个子攻击路径对应的攻击代价,包括:针对任意一个子攻击路径,确定该子攻击路径对应的风险事件的攻击阶段和攻击复杂度,以及确定该子攻击路径的被攻击者的资产安全性;基于所述攻击阶段、所述攻击复杂度和所述资产安全性,根据预设的不同的攻击阶段对应的攻击代价评分、预设的不同的攻击复杂度对应的攻击代价评分以及预设的不同的资产安全性对应的攻击代价评分,确定该子攻击路径对应的攻击代价。
在本申请实施例中,通过子攻击路径对应的风险事件的攻击阶段、攻击复杂度和被攻击者的资产安全性,实现子攻击路径的攻击代价的准确且有效的确定。
作为一种可能的实现方式,所述不同的攻击阶段包括:扫描探测、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、目标达成;其中,扫描探测和武器构建对应的攻击代价评分为第一评分,载荷投递、漏洞利用和安装植入对应的攻击代价评分为第二评分,命令与控制和目标达成对应的攻击代价评分为第三评分;所述第一评分小于所述第二评分,所述第二评分小于所述第三评分。
在本申请实施例中,通过上述不同的攻击阶段,设置不同的评分,使攻击阶段该维度的攻击代价更为准确。
作为一种可能的实现方式,所述确定该子攻击路径对应的攻击代价,包括:将所述攻击阶段对应的攻击代价评分、所述攻击复杂度对应的攻击代价评分和所述资产安全性对应的攻击代价评分的和确定为该子攻击路径对应的攻击代价。
在本申请实施例中,将不同维度的攻击代价评分的和确定为子攻击路径的攻击代价,实现攻击代价的简单且准确的确定。
作为一种可能的实现方式,所述确定各个子攻击路径对应的关联度,包括:针对任意一个子攻击路径,获取该子攻击路径与该子攻击路径对应的关联攻击路径中的两个被攻击者分别对应的风险事件;确定该两个被攻击者分别对应的风险事件中的相似风险事件的数量;根据所述相似风险事件的数量确定风险关联度;确定该两个被攻击者分别对应的风险事件中的相同攻击工具和相同攻击数据数量;根据所述相同攻击工具和相同攻击数据数量确定攻击手法关联度;确定该子攻击路径与该关联攻击路径分别对应的风险事件之间的时间间隔;根据所述时间间隔确定时空关联度;根据所述风险关联度、所述攻击手法关联度和所述时空关联度确定该子攻击路径对应的关联度。
在本申请实施例中,通过风险关联度、攻击手法关联度和时空关联度,实现子攻击路径对应的关联度的有效且准确的确定。
作为一种可能的实现方式,该子攻击路径对应的关联度为所述风险关联度、所述攻击手法关联度和所述时空关联度的和。
在本申请实施例中,将风险关联度、攻击手法关联度和时空关联度的和确定为最终的关联度,实现子攻击路径对应的关联度的简单且准确的确定。
第二方面,本申请实施例提供一种攻击路径的确定装置,包括:用于实现第一方面以及第一方面的任意一种可能的实现方式中所述的攻击路径的确定方法的各个功能模块。
第三方面,本申请实施例提供一种电子设备,包括:处理器;与所述处理器通信连接的存储器;其中,所述存储器存储有可被所述处理器执行的指令,所述指令被所述处理器执行,以使所述处理器能够执行如第一方面以及第一方面的任意一种可能的实现方式中所述的攻击路径的确定方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行如第一方面以及第一方面的任意一种可能的实现方式中所述的攻击路径的确定方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的攻击路径的确定方法的流程图;
图2为本申请实施例提供的攻击图的示例图;
图3为本申请实施例提供的攻击路径的确定装置的结构示意图;
图4为本申请实施例提供的电子设备的结构示意图。
图标:300-攻击路径的确定装置;310-获取模块;320-处理模块;400-电子设备;410-处理器;420-存储器。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
本申请实施例提供的技术方案可以应用于各种需要进行网络攻击路径的确定的应用场景中,可以理解,攻击者在进行网络攻击时,会优先攻击容易被攻击的设备,再以此为跳板继续寻找容易的攻击目标。即,对于攻击者,至最终的攻击设备之间,可能还存在其他的被攻击设备。基于此,需要确定的网络攻击路径为从攻击者到被攻击设备之间的完整攻击路径。
在本申请实施例中,网路攻击路径的确定基于两个维度,一个是攻击代价的维度,另一个的关联度的维度。攻击代价的维度考虑的是攻击者在进行跳板式的攻击时,所需付出的攻击代价。关联度的维度考虑的是攻击者在进行跳板式的攻击时,不同的攻击路径之间的关联度。
基于上述的应用场景,本申请实施例的技术方案的目的是找到从攻击者到被攻击者之间的网络攻击路径,因此,该技术方案的硬件运行环境可以是被攻击者,或者被攻击者的监测设备,或者其他需要获知网络攻击路径的设备。
基于上述应用场景,接下来请参照图1,为本申请实施例提供的攻击路径的确定方法的流程图,该确定方法包括:
步骤110:获取被攻击设备对应的多个风险事件。
步骤120:确定多个风险事件对应的起始攻击者。
步骤130:基于起始攻击者,确定多个风险事件对应的多个子攻击路径。各个子攻击路径包括攻击者和被攻击者。
步骤140:确定各个子攻击路径对应的攻击代价。
步骤150:基于各个子攻击路径对应的攻击代价确定从起始攻击者至被攻击设备的最小攻击代价攻击路径。
步骤160:确定各个子攻击路径对应的关联度。关联度用于表征不同的子攻击路径对应的源攻击者是同一个攻击者的概率。
步骤170:基于各个子攻击路径对应的关联度确定从起始攻击者至被攻击设备的最大关联度攻击路径。
在本申请实施例中,基于被攻击设备对应的多个风险事件,先确定出起始攻击者,再基于起始攻击者构建多个子攻击路径。基于多个子攻击路径,通过确定对应的攻击代价,实现最小攻击代价攻击路径的确定。以及通过确定对应的关联度,实现最大关联度攻击路径的确定。这种网络攻击溯源的方式,不再需要依赖于人工的分析,减少了时间成本和人力成本,实现高效的网络攻击溯源。并且,通过最小攻击代价攻击路径和最大关联度攻击路径的分别确定,实现更全面和更准确的网络攻击溯源。
接下来对该确定方法的详细实施方式进行介绍。
在步骤110中,被攻击设备可以理解为当前需要进行网络攻击路径确定的设备,该设备对应的多个风险事件可以是预设时间段内的风险事件。例如:最近10天内的风险事件、最近一个月内的风险事件等。
该预设时间段的设置可结合被攻击设备的历史被攻击情况进行配置。例如:若该被攻击设备经常被攻击,则该预设时间段可设置的较短;若该被攻击设备不是经常被攻击,则该预设时间段可设置的较长。
被攻击设备对应的多个风险事件,可以理解为涉及到对被攻击设备进行攻击的风险事件,包括直接攻击或者间接攻击。
直接攻击,例如:A设备直接攻击被攻击设备。间接攻击,例如:A设备先攻击B设备,然后再通过B设备攻击被攻击设备,此时的B设备即为前述的跳板,当然,其中还可能包括更多的跳板。
不管是哪种风险事件,在风险事件中,包括攻击者和被攻击者,以及相关的攻击信息,例如:攻击手段、攻击时间、攻击阶段等,在此不作限定。
在步骤120中,确定多个风险事件对应的起始攻击者。可以理解,这多个风险事件是一段时间内发生的风险事件,起始攻击者相当于待确定的攻击路径的起点,被攻击设备相当于待确定的攻击路径的终点,因此,需要先进行起始攻击者的定位,才能进行攻击路径的搜寻。
作为一种可选的实施方式,步骤120包括:将多个风险事件按照时间先后顺序进行排序;将时间最早的风险事件对应的攻击者确定为起始攻击者。
结合前述实施例的介绍可知,多个风险事件具有对应的时间信息,基于该时间信息,可以将多个风险事件按照时间的先后进行排序,然后时间最早的风险事件对应的攻击者可确定为起始攻击者。
在本申请实施例中,通过将多个风险事件按照时间先后顺序排序,将时间最早的风险事件对应的攻击者便为起始攻击者,实现起始攻击者的简单且有效的确定。
在步骤130中,基于起始攻击者,确定多个风险事件对应的子攻击路径。在该步骤中,将起始攻击者作为攻击起点,将被攻击设备作为攻击终点,便可确定出多个子攻击路径,各个子攻击路径均包括攻击者和被攻击者。
在一些子攻击路径中,攻击者和被攻击者可能均不是被攻击设备,即,攻击者和被攻击者都是中间攻击设备。在另一些子攻击路径中,被攻击者可能是被攻击设备,但是攻击者是不同的攻击者,说明起始攻击者以不同的攻击者为跳板攻击被攻击设备。
结合上述的步骤120的实施方式,作为一种可选的实施方式,步骤130包括:基于起始攻击者、多个风险事件的排序和各个风险事件中的攻击者和被攻击者生成攻击图;从攻击图中确定出多个子攻击路径。
在这种实施方式中,为了便于数据的处理,可以先生成攻击图,然后便可以从攻击图中快速的确定出各个子攻击路径。
可以理解,攻击图只是作为一种数据的处理形式,在另一些实施例中,还可以采用其他的数据处理形式,只要便于直观的确定出各个子攻击路径即可。
在一些实施例中,可以结合neo4j等图数据库实现攻击图模型的构建。
在本申请实施例中,通过构建攻击图,实现多个子攻击路径的简单且有效的确定。
为了便于理解,请参照图2,为本申请实施例提供的一种攻击图的示意图,从图2中可以看出,从起始攻击者到被攻击设备之间,涉及到多个攻击者和被攻击者,也涉及到多个子攻击路径,通过对一些子攻击路径进行组合,可得到从起始攻击者到被攻击设备之间的完整攻击路径。
但是,这些完整攻击路径具有不同的特性,比如:有的路径较短、有的路径成本较低等。因此,需要基于这些子攻击路径,找到可能性较大的完整攻击路径,实现攻击路径的还原。
在本申请实施例中,将两个维度的攻击路径作为起始攻击者最有可能采用的攻击路径。步骤140-步骤150对应第一种维度的攻击路径的确定,步骤160-步骤170对应第二种维度的公式路径的确定,在实际应用中,步骤140-步骤150和步骤160-步骤170的执行顺序不限,例如:步骤160-步骤170也可以在步骤140-步骤150之前执行。
在步骤140中,确定各个子攻击路径对应的攻击代价。作为一种可选的实施方式,步骤140包括:针对任意一个子攻击路径,确定该子攻击路径对应的风险事件的攻击阶段和攻击复杂度,以及确定该子攻击路径的被攻击者的资产安全性;基于攻击阶段、攻击复杂度和资产安全性,根据预设的不同的攻击阶段对应的攻击代价评分、预设的不同的攻击复杂度对应的攻击代价评分以及预设的不同的资产安全性对应的攻击代价评分,确定该子攻击路径对应的攻击代价。
在这种实施方式中,从攻击阶段、攻击复杂度和资产安全性三个维度考量攻击路径的攻击代价。
其中,攻击阶段可以理解为网络杀伤链中的不同阶段,也可以理解为攻击类型。在一些实施例中,不同的攻击阶段可以包括:扫描探测、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、目标达成。这种实施方式只是一种常见的场景下的一些攻击阶段,若在其他的场景中,也可以是其他的攻击阶段,在此不作限定。
攻击复杂度可以理解为攻击的难易程度,可以由攻击漏洞决定,若攻击漏洞利用起来较简单,则攻击复杂度较低,若攻击漏洞利用起来较难,则攻击复杂度较高。
资产安全性可以理解为被攻击者的硬件特性,通常是固定的。在一些实施例中,若暴露的端口较多、应用服务较多、漏洞越多,则资产安全性越低。
因此,可以预设不同的攻击阶段对应的攻击代价评分,以及不同的攻击复杂度对应的攻击代价评分,不同的攻击复杂度对应的攻击代价评分。
进而,针对任一个子攻击路径,当确定该子攻击路径对应的攻击阶段、攻击复杂度和资产安全性之后,便可以查找到该子攻击路径对应的攻击阶段的攻击代价评分,对应的攻击复杂度的攻击代价评分,以及对应的资产安全性的攻击代价评分。
基于确定的各个维度的评分,便可以实现该子攻击路径的攻击代价的确定。
在本申请实施例中,通过子攻击路径对应的风险事件的攻击阶段、攻击复杂度和被攻击者的资产安全性,实现子攻击路径的攻击代价的准确且有效的确定。
在一些实施例中,扫描探测和武器构建对应的攻击代价评分为第一评分,载荷投递、漏洞利用和安装植入对应的攻击代价评分为第二评分,命令与控制和目标达成对应的攻击代价评分为第三评分;第一评分小于第二评分,第二评分小于第三评分。
在本申请实施例中,通过上述不同的攻击阶段,设置不同的评分,使攻击阶段该维度的攻击代价更为准确。
作为举例,第一评分可以是0.395,第二评分可以是0.646,第三评分可以是1.0,此处仅作举例介绍,不构成对这些评分的限定。
在一些实施例中,攻击复杂度可以分为高、中和低,对应的攻击代价评分从高到低。例如:高复杂度、中复杂度和低复杂度对应的攻击代价评分依次为:0.91、0.61、0.35,此处同样是举例介绍,不构成具体的分值的限定。
在一些实施例中,资产安全性结合暴露的端口+服务+漏洞的总数量确定,总数量越高,攻击代价评分越低;总数量越低,攻击代价评分越高。
举例来说,总数量大于100,攻击代价评分为0.45;总数量大于10小于100,攻击代价评分为0.56;总数量小于10,攻击代价评分为0.83。
进一步地,确定该子攻击路径对应的攻击代价,包括:将攻击阶段对应的攻击代价评分、攻击复杂度对应的攻击代价评分和资产安全性对应的攻击代价评分的和确定为该子攻击路径对应的攻击代价。
即,对于一次攻击的攻击代价的计算公式可表示为:AC=PAP+PAC+PAS,其中,AC表示攻击代价,PAP代表攻击阶段对应的攻击代价评分,PAC代表攻击复杂度对应的攻击代价评分,PAS代表资产安全性对应的攻击代价评分。
在这种实施方式中,将不同维度的攻击代价评分的和确定为子攻击路径的攻击代价,实现攻击代价的简单且准确的确定。
在另一些实施例中,也可以分别设置不同的维度的权重,然后将不同的维度的攻击代价评分进行加权求和,确定最终的攻击代价评分;或者其他可行的实施方式,在此不作限定。
在确定各个子攻击路径对应的攻击代价之后,在步骤150中,可以基于蚁群算法,以攻击代价为信息素,遍历如图2所示的攻击图中的各个子攻击路径,以找到从起始攻击者至被攻击设备的最小攻击代价攻击路径。
例如:以起始攻击者为起点,然后搜寻各种能够攻击到被攻击设备的路径,并基于各个子攻击路径的攻击代价确定搜寻到的路径的总攻击代价。比较不同的路径的总攻击代价,将总攻击代价最小的路径确定为最小攻击代价路径。
或者,也可以采用其他实施方式实现最小攻击代价路径的查找,在此不作限定。总之,在各个子攻击路径的攻击代价已知的情况下,可以利用各种遍历算法实现最小攻击代价路径的简单确定。
在步骤160中,确定各个子攻击路径对应的关联度。该关联度可以表征不同的子攻击路径对应的源攻击者是同一个攻击者的概率。因此,在确定各个子攻击路径对应的关联度时,需要基于一个参照的子攻击路径进行确定。其中,源攻击者可以理解为起点攻击者,可以是直接攻击者,也可以是间接攻击者。
作为一种可选的实施方式,步骤160包括:针对任意一个子攻击路径,获取该子攻击路径与该子攻击路径对应的关联攻击路径中的两个被攻击者分别对应的风险事件;确定该两个被攻击者分别对应的风险事件中的相似风险事件的数量;根据相似风险事件的数量确定风险关联度;确定该两个被攻击者分别对应的风险事件中的相同攻击工具和相同攻击数据数量;根据相同攻击工具和相同攻击数据数量确定攻击手法关联度;确定该子攻击路径与该关联攻击路径分别对应的风险事件之间的时间间隔;根据时间间隔确定时空关联度;根据风险关联度、攻击手法关联度和时空关联度确定该子攻击路径对应的关联度。
在这种实施方式中,子攻击路径对应的关联攻击路径可以是:前一个已确定关联度的子攻击路径;或者,子攻击路径的攻击者是其关联攻击路径的被攻击者;或者,攻击者相同的子攻击路径,在此不作限定。
基于子攻击路径和关联攻击路径,从三个维度确定关联度。对于风险关联度该维度,可以获取两个子攻击路径中的两个被攻击者分别对应的风险事件,然后确定这些风险事件中的相似风险事件的数量,基于该数量确定风险关联度。此处的风险事件,可以是与被攻击设备无关的风险事件。
对于攻击手法关联度该维度,需要从前述的风险事件中查找相同攻击工具和相同攻击数据的数量,然后基于该数量确定关联度。其中,相同攻击数据,指的是有效载荷数据。
对于时空关联度该维度,确定两个子攻击路径之间的时间间隔,基于该时间间隔可确定时空关联度。
最终,结合三个维度的关联度可确定子攻击路径对应的关联度。
在一些实施例中,预设不同的相似风险事件数量分别对应的关联度评分,当确定相似风险事件数量之后,查找对应的关联度即可。
举例来说:相似风险事件数量大于5时,关联度为0.93;相似风险事件数量大于2小于5为时,关联度0.56;相似风险事件数量小于2时,关联度为0.23。此处仅作举例,不构成对本申请实施例的限定,在实际应用中,可灵活配置。
在一些实施例中,预设不同的相同攻击工具和相同攻击数据数量分别对应的关联度评分,当确定相同攻击工具和相同攻击数据数量之后,查找对应的关联度即可。
举例来说,相同攻击工具和相同攻击数据数量大于3时,关联度为0.98;相同攻击工具和相同攻击数据数量大于1小于3时,关联度为0.52;相同攻击工具和相同攻击数据数量小于1时,关联度为0.15。此处仅作举例,不构成对本申请实施例的限定,在实际应用中,可灵活配置。
在一些实施例中,预设不同的时间间隔分别对应的关联度评分,当确定时间间隔之后,查找对应的关联度即可。
举例来说,时间间隔小于1分钟时,关联度为1.0;时间间隔大于1分钟小于5分钟时,关联度为0.635;时间间隔大于5分钟时,关联度为0.132。此处仅作举例,不构成对本申请实施例的限定,在实际应用中,可灵活配置。
进一步地,基于风险关联度、攻击手法关联度和时空关联度,可确定关联度。
在本申请实施例中,通过风险关联度、攻击手法关联度和时空关联度,实现子攻击路径对应的关联度的有效且准确的确定。
在一些实施例中,子攻击路径对应的关联度为风险关联度、攻击手法关联度和时空关联度的和。
即,对于两次攻击是同一攻击者所为的关联度的计算公式可表示为:AD=PTD+PRD+PMD,其中,PTD代表关联度,PRD代表风险关联度,PMD代表攻击手法关联度,代表时空关联度。
在本申请实施例中,将风险关联度、攻击手法关联度和时空关联度的和确定为最终的关联度,实现子攻击路径对应的关联度的简单且准确的确定。
在另一些实施例中,可以分别设置不同的维度的权重,然后将不同的维度的关联度进行加权求和,确定最终的关联度;或者其他可行的实施方式,在此不作限定。
在确定各个子攻击路径对应的关联度之后,在步骤170中,可以基于蚁群算法,以关联度为信息素,遍历如图2所示的攻击图中的各个子攻击路径,以找到从起始攻击者至被攻击设备的最大关联度攻击路径。
例如:以起始攻击者为起点,然后搜寻各种能够攻击到被攻击设备的路径,并基于各个子攻击路径的关联度确定搜寻到的路径的总关联度。比较不同的路径的总关联度,将总关联度最大的路径确定为最大关联度攻击路径。
或者,也可以采用其他实施方式实现最大关联度攻击路径的查找,在此不作限定。总之,在各个子攻击路径的关联度已知的情况下,可以利用各种遍历算法实现最大关联度攻击路径的简单确定。
在分别确定最小攻击代价攻击路径和最大关联度攻击路径之后,可以对其进行应用。例如:这两种路径可以代表起始攻击者的最可能的攻击路径,因此,可以对这两种路径中的各个设备进行漏洞筛查、端口修复等,以避免攻击者再次利用该路径对被攻击者进行攻击。
或者,也可以通过对这两种路径进行分析,分析起始攻击者的一些攻击手段,或者攻击方式,以制定对起始攻击者的安全防护措施等,在此不作限定。
基于同一发明构思,请参照图3,本申请实施例中还提供一种攻击路径的确定装置300,包括:获取模块310和处理模块320。
获取模块310用于获取被攻击设备对应的多个风险事件。处理模块320用于:确定所述多个风险事件对应的起始攻击者;基于所述起始攻击者,确定所述多个风险事件对应的多个子攻击路径;各个子攻击路径包括攻击者和被攻击者;确定各个子攻击路径对应的攻击代价;基于各个子攻击路径对应的攻击代价确定从所述起始攻击者至所述被攻击设备的最小攻击代价攻击路径;确定各个子攻击路径对应的关联度;所述关联度用于表征不同的子攻击路径对应的源攻击者是同一个攻击者的概率;基于各个子攻击路径对应的关联度确定从所述起始攻击者至所述被攻击设备的最大关联度攻击路径。
在本申请实施例中,处理模块320具体用于:将所述多个风险事件按照时间先后顺序进行排序;将时间最早的风险事件对应的攻击者确定为所述起始攻击者。
在本申请实施例中,处理模块320具体用于:基于所述起始攻击者、所述多个风险事件的排序和各个风险事件中的攻击者和被攻击者生成攻击图;从所述攻击图中确定出所述多个子攻击路径。
在本申请实施例中,处理模块320具体用于:针对任意一个子攻击路径,确定该子攻击路径对应的风险事件的攻击阶段和攻击复杂度,以及确定该子攻击路径的被攻击者的资产安全性;基于所述攻击阶段、所述攻击复杂度和所述资产安全性,根据预设的不同的攻击阶段对应的攻击代价评分、预设的不同的攻击复杂度对应的攻击代价评分以及预设的不同的资产安全性对应的攻击代价评分,确定该子攻击路径对应的攻击代价。
在本申请实施例中,处理模块320具体用于:将所述攻击阶段对应的攻击代价评分、所述攻击复杂度对应的攻击代价评分和所述资产安全性对应的攻击代价评分的和确定为该子攻击路径对应的攻击代价。
在本申请实施例中,处理模块320具体用于:针对任意一个子攻击路径,获取该子攻击路径与该子攻击路径对应的关联攻击路径中的两个被攻击者分别对应的风险事件;确定该两个被攻击者分别对应的风险事件中的相似风险事件的数量;根据所述相似风险事件的数量确定风险关联度;确定该两个被攻击者分别对应的风险事件中的相同攻击工具和相同攻击数据数量;根据所述相同攻击工具和相同攻击数据数量确定攻击手法关联度;确定该子攻击路径与该关联攻击路径分别对应的风险事件之间的时间间隔;根据所述时间间隔确定时空关联度;根据所述风险关联度、所述攻击手法关联度和所述时空关联度确定该子攻击路径对应的关联度。
攻击路径的确定装置300与前述的攻击路径的确定方法对应,因此,各个功能模块的实施方式参照方法的各个步骤的实施方式,在此不再重复介绍。
请参照图4,本申请实施例还提供一种电子设备400,其可以作为前述的攻击路径的确定方法的执行主体,包括:处理器410和与处理器410通信连接的存储器420。
其中,存储器420存储有可被处理器410执行的指令,指令被处理器410执行,以使处理器410能够执行前述实施例中的信息监测方法。
处理器410和存储器420可以通过通信总线连接。
可以理解,电子设备400还可以包括更多自身所需的通用模块,在本申请实施例不作一一介绍。
本申请实施例还提供一种计算机可读介质,计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行前述实施例中所述的攻击路径的确定方法。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (11)

1.一种攻击路径的确定方法,其特征在于,包括:
获取被攻击设备对应的多个风险事件;
确定所述多个风险事件对应的起始攻击者;
基于所述起始攻击者,确定所述多个风险事件对应的多个子攻击路径;各个子攻击路径包括攻击者和被攻击者;
确定各个子攻击路径对应的攻击代价;
基于各个子攻击路径对应的攻击代价确定从所述起始攻击者至所述被攻击设备的最小攻击代价攻击路径;
确定各个子攻击路径对应的关联度;所述关联度用于表征不同的子攻击路径对应的源攻击者是同一个攻击者的概率;
基于各个子攻击路径对应的关联度确定从所述起始攻击者至所述被攻击设备的最大关联度攻击路径。
2.根据权利要求1所述的确定方法,其特征在于,所述确定所述多个风险事件对应的起始攻击者,包括:
将所述多个风险事件按照时间先后顺序进行排序;
将时间最早的风险事件对应的攻击者确定为所述起始攻击者。
3.根据权利要求2所述的确定方法,其特征在于,所述基于所述起始攻击者,确定所述多个风险事件对应的多个子攻击路径,包括:
基于所述起始攻击者、所述多个风险事件的排序和各个风险事件中的攻击者和被攻击者生成攻击图;
从所述攻击图中确定出所述多个子攻击路径。
4.根据权利要求1所述的确定方法,其特征在于,所述确定各个子攻击路径对应的攻击代价,包括:
针对任意一个子攻击路径,确定该子攻击路径对应的风险事件的攻击阶段和攻击复杂度,以及确定该子攻击路径的被攻击者的资产安全性;
基于所述攻击阶段、所述攻击复杂度和所述资产安全性,根据预设的不同的攻击阶段对应的攻击代价评分、预设的不同的攻击复杂度对应的攻击代价评分以及预设的不同的资产安全性对应的攻击代价评分,确定该子攻击路径对应的攻击代价。
5.根据权利要求4所述的确定方法,其特征在于,所述不同的攻击阶段包括:扫描探测、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、目标达成;其中,扫描探测和武器构建对应的攻击代价评分为第一评分,载荷投递、漏洞利用和安装植入对应的攻击代价评分为第二评分,命令与控制和目标达成对应的攻击代价评分为第三评分;所述第一评分小于所述第二评分,所述第二评分小于所述第三评分。
6.根据权利要求4或者5所述的确定方法,其特征在于,所述确定该子攻击路径对应的攻击代价,包括:
将所述攻击阶段对应的攻击代价评分、所述攻击复杂度对应的攻击代价评分和所述资产安全性对应的攻击代价评分的和确定为该子攻击路径对应的攻击代价。
7.根据权利要求1所述的确定方法,其特征在于,所述确定各个子攻击路径对应的关联度,包括:
针对任意一个子攻击路径,获取该子攻击路径与该子攻击路径对应的关联攻击路径中的两个被攻击者分别对应的风险事件;
确定该两个被攻击者分别对应的风险事件中的相似风险事件的数量;
根据所述相似风险事件的数量确定风险关联度;
确定该两个被攻击者分别对应的风险事件中的相同攻击工具和相同攻击数据数量;
根据所述相同攻击工具和相同攻击数据数量确定攻击手法关联度;
确定该子攻击路径与该关联攻击路径分别对应的风险事件之间的时间间隔;
根据所述时间间隔确定时空关联度;
根据所述风险关联度、所述攻击手法关联度和所述时空关联度确定该子攻击路径对应的关联度。
8.根据权利要求7所述的确定方法,其特征在于,该子攻击路径对应的关联度为所述风险关联度、所述攻击手法关联度和所述时空关联度的和。
9.一种攻击路径的确定装置,其特征在于,包括:
获取模块,用于获取被攻击设备对应的多个风险事件;
处理模块,用于:
确定所述多个风险事件对应的起始攻击者;
基于所述起始攻击者,确定所述多个风险事件对应的多个子攻击路径;各个子攻击路径包括攻击者和被攻击者;
确定各个子攻击路径对应的攻击代价;
基于各个子攻击路径对应的攻击代价确定从所述起始攻击者至所述被攻击设备的最小攻击代价攻击路径;
确定各个子攻击路径对应的关联度;所述关联度用于表征不同的子攻击路径对应的源攻击者是同一个攻击者的概率;
基于各个子攻击路径对应的关联度确定从所述起始攻击者至所述被攻击设备的最大关联度攻击路径。
10.一种电子设备,其特征在于,包括:
处理器;与所述处理器通信连接的存储器;
其中,所述存储器存储有可被所述处理器执行的指令,所述指令被所述处理器执行,以使所述处理器能够执行如权利要求1至8任一项所述的攻击路径的确定方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行如权利要求1至8任一项所述的攻击路径的确定方法。
CN202210676876.2A 2022-06-15 2022-06-15 一种攻击路径的确定方法及装置、电子设备、存储介质 Pending CN114978750A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210676876.2A CN114978750A (zh) 2022-06-15 2022-06-15 一种攻击路径的确定方法及装置、电子设备、存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210676876.2A CN114978750A (zh) 2022-06-15 2022-06-15 一种攻击路径的确定方法及装置、电子设备、存储介质

Publications (1)

Publication Number Publication Date
CN114978750A true CN114978750A (zh) 2022-08-30

Family

ID=82964223

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210676876.2A Pending CN114978750A (zh) 2022-06-15 2022-06-15 一种攻击路径的确定方法及装置、电子设备、存储介质

Country Status (1)

Country Link
CN (1) CN114978750A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109218276A (zh) * 2017-08-01 2019-01-15 全球能源互联网研究院 一种网络攻击图生成方法和系统
CN111818055A (zh) * 2020-07-09 2020-10-23 西安电子科技大学 基于动态反馈的网络攻击路径分析方法
CN112804208A (zh) * 2020-12-30 2021-05-14 北京理工大学 一种基于攻击者特性指标的网络攻击路径预测方法
US20210258334A1 (en) * 2020-01-27 2021-08-19 Xm Cyber Ltd. Systems and methods for displaying an attack vector available to an attacker of a networked system
CN114363036A (zh) * 2021-12-30 2022-04-15 绿盟科技集团股份有限公司 一种网络攻击路径获取方法、装置及电子设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109218276A (zh) * 2017-08-01 2019-01-15 全球能源互联网研究院 一种网络攻击图生成方法和系统
US20210258334A1 (en) * 2020-01-27 2021-08-19 Xm Cyber Ltd. Systems and methods for displaying an attack vector available to an attacker of a networked system
CN111818055A (zh) * 2020-07-09 2020-10-23 西安电子科技大学 基于动态反馈的网络攻击路径分析方法
CN112804208A (zh) * 2020-12-30 2021-05-14 北京理工大学 一种基于攻击者特性指标的网络攻击路径预测方法
CN114363036A (zh) * 2021-12-30 2022-04-15 绿盟科技集团股份有限公司 一种网络攻击路径获取方法、装置及电子设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
李玲娟;孙光辉;: "网络攻击图生成算法研究", 计算机技术与发展, no. 10 *
王会梅;鲜明;王国玉;: "基于扩展网络攻击图的网络攻击策略生成算法", 电子与信息学报 *

Similar Documents

Publication Publication Date Title
CN106790186B (zh) 基于多源异常事件关联分析的多步攻击检测方法
US7530105B2 (en) Tactical and strategic attack detection and prediction
CN108471429B (zh) 一种网络攻击告警方法及系统
CN111786950B (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
Fava et al. Projecting cyberattacks through variable-length markov models
US11522902B2 (en) Reliability calculation apparatus, reliability calculation method and program
JP6557774B2 (ja) プロセストレースを用いたグラフベースの侵入検知
CN108833185B (zh) 一种网络攻击路线还原方法及系统
CN112115183B (zh) 一种基于图的蜜罐系统威胁情报分析方法
CN111884989B (zh) 一种针对电力web系统的漏洞探测方法和系统
Lakhno et al. Design of adaptive system of detection of cyber-attacks, based on the model of logical procedures and the coverage matrices of features
CN114357447A (zh) 攻击者威胁评分方法及相关装置
WO2018071356A1 (en) Graph-based attack chain discovery in enterprise security systems
CN116566674A (zh) 自动化渗透测试方法、系统、电子设备及存储介质
CN114157450A (zh) 基于物联网蜜罐的网络攻击诱导方法及装置
Nguyen et al. Human-in-the-loop XAI-enabled vulnerability detection, investigation, and mitigation
CN111859374A (zh) 社会工程学攻击事件的检测方法、装置以及系统
CN115208643A (zh) 一种基于web动态防御的追踪溯源方法及装置
CN115567325B (zh) 一种基于图匹配的威胁狩猎方法
CN112070161A (zh) 一种网络攻击事件分类方法、装置、终端及存储介质
CN112751863B (zh) 一种攻击行为分析方法及装置
CN114978750A (zh) 一种攻击路径的确定方法及装置、电子设备、存储介质
CN115827379A (zh) 异常进程检测方法、装置、设备和介质
KR102433581B1 (ko) 시계열 학습형 앙상블 인공지능 기법을 이용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법
CN115865519B (zh) 适用于网络攻防虚拟仿真的数据处理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination