CN115842670A

CN115842670A - 网络攻击面的处理方法、装置、设备及存储介质

Info

Publication number: CN115842670A
Application number: CN202211483554.2A
Authority: CN
Inventors: 罗煜璇; 蔡新儒; 尹志杰; 马紫凯; 陈杰; 崔兆栋
Original assignee: Shanghai Pudong Development Bank Co Ltd
Current assignee: Shanghai Pudong Development Bank Co Ltd
Priority date: 2022-11-24
Filing date: 2022-11-24
Publication date: 2023-03-24

Abstract

本发明公开了一种网络攻击面的处理方法、装置、设备及存储介质。该方法包括：获取原始网络攻击面；其中，所述原始网络攻击面包括至少一条潜在攻击路径，所述潜在攻击路径包括多个原始指标，所述原始指标中部分为核心指标；基于所述原始网络攻击面确定新增指标；基于所述核心指标和新增指标进行网络攻击面的测绘，获得新增网络攻击面；将所述新增网络攻击面添加至所述原始网络攻击面中，获得目标网络攻击面。通过本发明的技术方案，可以快速准确的检测网络攻击面，提高网络的安全性。

Description

网络攻击面的处理方法、装置、设备及存储介质

技术领域

本发明实施例涉及网络信息安全技术领域，尤其涉及一种网络攻击面的处理方法、装置、设备及存储介质。

背景技术

网络攻击面是指恶意攻击者可以尝试非法进入组织网络环境的信息总和，涉及暴露和面向于外部的互联网各类信息，包括但不限于网站、互联网协议(Internet Protocol，IP)地址、域名、应用程序接口(Application Program Interface，API)、数字证书、云服务配置信息、暴露的数据库、可被利用的漏洞等。随着新兴技术应用和远程办公的兴起，企业为了满足业务快速发展需求，会忽视对网络攻击面的管理，导致一些未知的网络攻击面被攻击者利用导致损失。因此，如何及时发现网络攻击面是现代化组织数字转型过程中亟需解决的问题。

发明内容

本发明实施例提供一种网络攻击面的处理方法、装置、设备及存储介质，可以快速准确的检测网络攻击面，提高网络的安全性。

根据本发明的一方面，提供了一种网络攻击面的处理方法，包括：

获取原始网络攻击面；其中，所述原始网络攻击面包括至少一条潜在攻击路径，所述潜在攻击路径包括多个原始指标；所述原始指标中部分为核心指标；

基于所述原始网络攻击面确定新增指标；

基于所述核心指标和所述新增指标进行网络攻击面的测绘，获得新增网络攻击面；

将所述新增网络攻击面添加至所述原始网络攻击面中，获得目标网络攻击面。

可选的，基于所述原始网络攻击面确定新增指标，包括：

从所述原始网络攻击面中提取与核心指标不同的指标，作为候选指标；

将所述候选指标作为搜索条件搜索历史攻击面；

根据所述历史攻击面和所述原始网络攻击面判断所述候选指标是否为新增指标。

可选的，根据所述历史攻击面和所述原始网络攻击面判断所述候选指标是否为新增指标，包括：

获取所述历史攻击面和所述原始网络攻击面的重叠攻击面的数量；

根据所述重叠攻击面的数量与所述历史攻击面的数量间的占比判断所述候选指标是否为新增指标。

可选的，根据所述重叠攻击面的数量与所述历史攻击面的数量间的占比判断所述候选指标是否为新增指标，包括：

若所述占比大于或等于第一设定阈值，则将所述候选指标确定为新增指标；

若所述占比小于所述第一设定阈值，则从所述历史攻击面确定所述目标网络的攻击面，且所述目标网络的攻击面的数量占所述历史攻击面的占比大于或等于第二设定阈值，则将所述候选指标确定为新增指标。

可选的，基于所述核心指标和所述新增指标进行网络攻击面的测绘，获得新增网络攻击面，包括：

将所述核心指标和所述新增指标配置于多个网络空间测绘应用中，以通过所述多个网络空间测绘应用进行网络攻击面的测绘，获得新增网络攻击面。

可选的，将所述新增网络攻击面添加至所述原始网络攻击面中，获得目标网络攻击面，包括：

对所述新增网络攻击面进行去重处理；

对去重处理后的新增网络攻击面进行连通性测试；

从连通性测试通过的新增网络攻击面筛选出所述目标网络对应的新增网络攻击面；

将筛选出的新增网络攻击面添加至所述原始网络攻击面中，获得目标网络攻击面。

可选的，将所述新增网络攻击面添加至所述原始网络攻击面中之后，还包括：

对所述新增网络攻击面进行脆弱性检测，获得脆弱性类别及脆弱性等级。

根据本发明的另一方面，提供了一种网络攻击面的处理装置，包括：

原始网络攻击面获取模块，用于获取原始网络攻击面；其中，所述原始网络攻击面包括至少一条潜在攻击路径，所述潜在攻击路径包括多个原始指标；所述原始指标中部分为核心指标；

新增指标确定模块，用于基于所述原始网络攻击面确定新增指标；

新增网络攻击面获取模块，用于基于所述核心指标和所述新增指标进行网络攻击面的测绘，获得新增网络攻击面；

目标网络攻击面获取模块，用于将所述新增网络攻击面添加至所述原始网络攻击面中，获得目标网络攻击面。

根据本发明的另一方面，提供了一种电子设备，所述电子设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明任一实施例所述的网络攻击面的处理方法。

根据本发明的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明任一实施例所述的网络攻击面的处理方法。

本发明通过获取原始网络攻击面；其中，所述原始网络攻击面包括至少一条潜在攻击路径，所述潜在攻击路径包括多个原始指标；基于所述原始网络攻击面确定新增指标；基于所述核心指标和所述新增指标进行网络攻击面的测绘，获得新增网络攻击面；将所述新增网络攻击面添加至所述原始网络攻击面中，获得目标网络攻击面。通过本发明的技术方案，可以快速准确的检测网络攻击面，提高网络的安全性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是根据本发明实施例一提供的一种网络攻击面的处理方法的流程图；

图2是根据本发明实施例二提供的一种网络攻击面的处理方法的流程图；

图3是根据本发明实施例三提供的一种网络攻击面的处理装置的结构示意图；

图4是根据本发明实施例四提供的一种电子设备的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例一

图1是根据本发明实施例一提供的一种网络攻击面的处理方法的流程图，本实施例可适用于对网络攻击的检测情况，该方法可以由一种网络攻击的检测装置来执行，具体包括如下步骤：

步骤110、获取原始网络攻击面。

其中，所述原始网络攻击面可以包括至少一条潜在攻击路径，所述潜在攻击路径包括多个原始指标，原始指标中部分为核心指标。本实施例中原始网络攻击面可以包括多条攻击路径，每条攻击路径可以由不同的指标组成。原始指标可以包括网络攻击面基本要素和/或数字特征中的任一指标。本实施例中，网络攻击面可以是真实的网络边界信息或者仿冒的网络边界信息。本实施例中组织的外部攻击面(EASM，External attack surfacemanagement)管理，主要为组织互联网上的数字资产管理，其中很大一部分是可以对组织进行入侵的攻击路径，本实施例中方法还会发现一些仿冒组织数字资产的场景(此种场景会对组织的声誉造成影响，也可以认定为是外部攻击面的一种)。

其中，网络攻击面基本要素可以包括IP地址、端口、域名、服务、URL、连通性以及攻击面属性等指标；网络攻击面数字特征可以包括ICON、网站title、域名注册信息、ICP备案信息、数字证书申请人信息、数字证书申请邮箱信息、数字证书域名、自治系统编号以及whois信息等指标。示例性的，攻击路径可以是基本要素中的指标结合数字特征中的指标组成的，例如，攻击路径可以是由IP地址、端口以及网站title等指标构成的，可以有多种攻击路径的组成方式。本实施例中的原始网络攻击面可以是系统中原始存储的网络攻击面。本实施例中可以获取原始网络攻击面。

步骤120、基于所述原始网络攻击面确定新增指标。

其中，新增指标可以理解为新增加的指标数据，也就是系统中原始攻击面中并未存储的指标。新增指标可以是该组织原始攻击面区别于其他组织网络攻击面的独特特征。本实施例中可以基于原始网络攻击面确定新增指标。

步骤130、基于所述核心指标和所述新增指标进行网络攻击面的测绘，获得新增网络攻击面。

其中，网络攻击面的测绘可以理解为基于核心指标和新增指标进行全网测绘以发现网络攻击面。本实施例中的网络攻击面的测绘可以通过测绘工具或者应用进行网络攻击面的测绘。新增网络攻击面可以是由新增指标组成的网络攻击面。新增网络攻击面可以包括至少一条潜在攻击路径，可以包括多个新增指标，其中，攻击路径可以为能够获取目标网络的数据的路径。本实施例中可以基于核心指标和新增指标进行网络攻击面的测绘，以获得新增网络攻击面。

在本实施例中，可选的，基于所述核心指标和所述新增指标进行网络攻击面的测绘，获得新增网络攻击面，包括：将所述核心指标和新增指标配置于多个网络空间测绘应用中，以通过所述多个网络空间测绘应用进行网络攻击面的测绘，获得新增网络攻击面。

其中，网络空间测绘应用是指可以用于搜索获取网络空间数据资源的工具应用，可以有多个。示例性的，网络空间测绘应用可以是shodan、fofa以及zoomeye等应用工具。本实施例中可以将核心指标和新增指标配置于多个网络空间测绘应用中，然后开展自动化组织全网攻击面探测。新增网络攻击面可以包括多条攻击路径。新增网络攻击面可以是通过多个网络空间测绘应用进行网络攻击面的测绘得到的。

示例性的，网络攻击面会存在一个或多个可以标识该攻击面归属某一网络攻击面的要素或特征，例如某企业的站点可能属于该企业的IP地址段，同时站点存在该企业商标icon，title中包含该企业全称或简称。而网络攻击面的测绘过程中网络攻击面通常可以基于某一或少数个别数字的指标特征组合发现某一新增网络攻击面。本实施例中，通过异构的自动化网络空间测绘实现对已知的原始网络攻击面和未知新增攻击面的全面及时管理。

本实施例中可以将核心指标和新增指标配置于多个网络空间测绘应用中，以通过多个网络空间应用进行网络攻击面的测绘，以获得新增网络攻击面。本实施例中通过这样的设置，可以通过网络空间测绘应用进行网络攻击面的测绘获取新增网络攻击面，从而可以高效的探测到新增网络攻击面，提高网络的安全性。

步骤140、将所述新增网络攻击面添加至所述原始网络攻击面中，获得目标网络攻击面。

其中，目标网络攻击面可以是将新增网络攻击面添加到原始网络攻击面中得到的网络攻击面。本实施例中可以将新增网络攻击面添加到系统原始存储的网络攻击面中，从而获得目标网络攻击面。

在本实施例中，可选的，将所述新增网络攻击面添加至所述原始网络攻击面中之后，还包括：对所述新增网络攻击面进行脆弱性检测，获得脆弱性类别及脆弱性等级。

其中，脆弱性检测可以是针对新增网络攻击面的安全属性，采取动态的手段进行问题发现、符合性和有效性验证。脆弱性检测可以理解包括对脆弱性的类别以及脆弱性等级的检测，还可以包括脆弱性的名称等信息。

示例性的，本实施例中对于新增网络攻击面，基于网络探测工具进行服务和端口探测，对新增网络攻击面进行深度探测，全面发现其他未能通过测绘发现的开放服务和端口，同时基于漏扫工具和目录探测工具探测和发现新增网络攻击面是否存在潜在脆弱性，相关结果数据在数据管理模块中补全。

本实施中可以在将新增网络攻击面添加至原始网络攻击面中之后，对新增网络攻击面进行脆弱性检测，从而获得脆弱性类别及脆弱性等级信息。本实施例中通过这样的设置，可以对新增网络安全面进行脆弱性检测，进一步提高了提高网络的安全性。

实施例二

图2是根据本发明实施例二提供的一种网络攻击的检测方法的流程图，本实施例以上述实施例为基础进行优化。具体优化为：基于所述原始网络攻击面确定新增指标，包括：从所述原始网络攻击面中提取与核心指标不同的指标，作为候选指标；将所述候选指标作为搜索条件搜索历史攻击面；根据所述历史攻击面和所述原始网络攻击面判断所述候选指标是否为新增指标。

步骤210、获取原始网络攻击面。

其中，所述原始网络攻击面可以包括至少一条潜在攻击路径，所述潜在攻击路径包括多个原始指标。

步骤220、从原始网络攻击面中提取与核心指标不同的指标，作为候选指标。

其中，核心指标可以是技术人员标识的指标为核心指标。核心指标可以为一个或者多个，可以根据实际需求进行设置。本实施例中可以将已存储的原始指标中的部分指标确定为核心指标，例如基本要素和/数字特征中的个别指标被标识为核心指标。本实施例中可以从原始网络攻击面中提取与核心指标不同的指标，作为候选指标。

步骤230、将所述候选指标作为搜索条件搜索历史攻击面。

其中，搜索条件可以是基于候选指标作为搜索的条件。历史攻击面包括多条攻击路径。历史攻击面可以理解为基于搜索条件搜索得到的攻击路径。本实施例中可以将候选指标作为搜索条件进行搜索历史攻击面。

其中，历史攻击面中可以包括对不同网络的攻击路径。示例性的，若核心指标为IP地址，则基于指标为IP地址进行搜索时，由于不同的网络可能使用同一个IP地址，也就是这些网络的指标可能是一样的，所以本实施例中基于候选指标作为搜索条件搜索的历史攻击面，可以搜索到不同网络对应的攻击面。例如，本实施例中可以基于指标为IP地址进行搜索时，可以搜索到对于网络A、网络B以及网络C这几个网络的攻击路径，当目标网络为网络B时，就可以只获取搜索到的攻击网络B的攻击路径的数量。同样的，本实施例中基于候选指标进行搜索时，也可以得到不同网络对应的攻击路径，也就是攻击面。

步骤240、根据所述历史攻击面和所述原始网络攻击面判断所述候选指标是否为新增指标。

本实施例中可以根据历史攻击面和原始网络攻击面中的指标判断候选指标是否为新增指标。

在本实施例中，可选的，根据所述历史攻击面和所述原始网络攻击面判断所述候选指标是否为新增指标，包括：获取所述历史攻击面和所述原始网络攻击面的重叠攻击面的数量；根据所述重叠攻击面的数量与所述历史攻击面的数量间的占比判断所述候选指标是否为新增指标。

其中，历史攻击面中可以包括对不同网络的攻击路径。重叠攻击面可以理解为历史攻击面和原始网络攻击面中重复的攻击路径。重叠攻击面的数量可以是历史攻击面和原始网络攻击面中重复的攻击路径的数量。本实施例中可以根据重复攻击面的数量与历史攻击面的数量间的占比判断候选指标是否为新增指标。

示例性的，当原始网络攻击面的数量为15条，历史攻击面的数据为10条，重叠攻击面的数量为5条，则本实施例中通过候选指标是否为新增指标可以根据重叠攻击面的数量与历史攻击面的数量间的占比进行判断，也就是通过5与10的占比为50％进行判断。

本实施例中可以通过获取所述历史攻击面和所述原始网络攻击面的重叠攻击面的数量；根据重叠攻击面的数量与历史攻击面的数量间的占比判断候选指标是否为新增指标。本实施例中通过这样的设置可以判断候选指标是否为新增指标，便于准确的确认新增指标。

在本实施例中，可选的，根据所述重叠攻击面的数量与所述历史攻击面的数量间的占比判断所述候选指标是否为新增指标，包括：若所述占比大于或等于第一设定阈值，则将所述候选指标确定为新增指标；若所述占比小于所述第一设定阈值，则从所述历史攻击面确定所述目标网络的攻击面，且所述目标网络的攻击面的数量占所述历史攻击面的占比大于或等于第二设定阈值，则将所述候选指标确定为新增指标。

其中，第一设定阈值可以是技术人员预先设置的，可以根据实际需求进行设置。本实施例中若重叠攻击面的数量与历史攻击面的数量间的占比大于或者等于第一设定阈值，则可以将候选指标确定为新增指标。示例性的，若第一设定阈值为60％，则当重叠攻击面的数量与历史攻击面的数量间的占比大于或等于60％时，则将候选指标确定为新增指标。

其中，历史攻击面可以理解为包括针对不同的网络的全部的攻击路径。攻击面可以理解为在历史攻击面中对目标网络对应的攻击路径。攻击面的数量可以理解为在历史攻击面中对目标网络对应的攻击路径的数量。第二设定阈值可以是技术人员预先设置的，可以根据实际需求进行设置。本实施例中若重叠攻击面的数量与历史攻击面的数量间的占比小于第一设定阈值，则从历史攻击面确定目标网络的攻击面，且攻击面的数量占历史攻击面的占比大于或等于第二设定阈值，则将候选指标确定为新增指标。示例性的，当历史攻击面中的攻击路径数量为30条，攻击面中的攻击路径数量为15条，重叠攻击面中的攻击路径数量为5条，则当若重叠攻击面的数量与历史攻击面的数量间的占比小于第一设定阈值，则从历史攻击面确定目标网络的攻击面，且攻击面的数量占历史攻击面的占比大于或等于第二设定阈值，则候选指标确定为新增指标。本实施例中攻击面的数量占历史攻击面的占比大于或等于第二设定阈值，也就是判断15与30的比例是否大于或等于第二设定阈值，若占比大于或等于第二设定阈值，则将候选指标确定为新增指标；若占比小于第二设定阈值，则说明候选指标不是新增指标。

本实施例中通过这样的设置，可以灵活的设置不同的阈值，从而判断候选指标是否为新增指标，对指标数据判断的更加全面。

步骤250、基于所述核心指标和所述新增指标进行网络攻击面的测绘，获得新增网络攻击面。

步骤260、将所述新增网络攻击面添加至所述原始网络攻击面中，获得目标网络攻击面。

在本实施例中，可选的，将所述新增网络攻击面添加至所述原始网络攻击面中，获得目标网络攻击面，包括：对所述新增网络攻击面进行去重处理；对去重处理后的新增网络攻击面进行连通性测试；从连通性测试通过的新增网络攻击面筛选出所述目标网络对应的新增网络攻击面；将筛选出的新增网络攻击面添加至所述原始网络攻击面中，获得目标网络攻击面。

其中，去重处理可以理解为将重复的潜在攻击路径进行去除处理。由于多个网络空间测绘应用进行网络攻击面的测绘，可能根据每个网络空间测绘应用的性能不同，多个网络空间测绘应用会探测到相同新增网络攻击面，因此就需要对新增网络攻击面中的攻击路径进行去重处理操作。示例性的，本实施例中可以基于域名、IP地址以及端口对新增网络攻击面进行去重处理，并对得到的重复结果数据进行格式化。

具体的，可以将新增网络攻击面与基于域名、IP地址以及端口进行对比，对于新增网络攻击面通过编排的自动化流程进行确认，若确认为组织(即目标网络)暴露的外部攻击面，也就是未存储的网络攻击面，将新增网络攻击面加入原始网络攻击面的数据管理模块中，实现未知攻击面补全。本实施例中对于发现的非原始组织攻击面则提炼探测白名单，并在后续网络探测过程中排除。此外，本实施例中通过对去重处理后的新增网络攻击面进行连通性测试，还可以通过结合脆弱性信息的数字特征发现功能对网络空间测绘应用未能收集的数字特征进行补全。

其中，连通性测试可以理解为用于测试新增网络攻击面中的攻击路径是否可以获取网络的数据的测试。目标网络攻击面可以理解为将连通性测试通过的新增网络攻击面添加至原始网络攻击面中得到的网络攻击面。

本实施中对新增网络攻击面进行去重处理；对去重处理后的新增网络攻击面进行连通性测试，从连通性测试通过的新增网络攻击面筛选出所述目标网络对应的新增网络攻击面，将筛选出的新增网络攻击面添加至原始网络攻击面中，获得目标网络攻击面。本实施例中通过这样的设置，对新增网络攻击面进行去重处理以及连通性测试，从而得到目标网络攻击面，使得到的目标网络攻击面更加准确。

本发明通过获取原始网络攻击面；从所述原始网络攻击面中提取与核心指标不同的指标，作为候选指标；将所述候选指标作为搜索条件搜索历史攻击面；根据所述历史攻击面和所述原始网络攻击面判断所述候选指标是否为新增指标；基于所述核心指标和所述新增指标进行网络攻击面的测绘，获得新增网络攻击面；将所述新增网络攻击面添加至所述原始网络攻击面中，获得目标网络攻击面。通过本发明的技术方案，可以快速准确的检测网络攻击面，提高网络的安全性。

实施例三

图3是根据本发明实施例三提供的一种网络攻击面的处理装置的结构示意图，该装置可执行本发明任意实施例所提供的网络攻击面的处理方法，具备执行方法相应的功能模块和有益效果。如图3所示，该装置包括：

原始网络攻击面获取模块310，用于获取原始网络攻击面；其中，所述原始网络攻击面包括至少一条潜在攻击路径，所述潜在攻击路径包括多个原始指标。

新增指标确定模块320，用于基于所述原始网络攻击面确定新增指标；

新增网络攻击面获取模块330，用于基于所述核心指标和所述新增指标进行网络攻击面的测绘，获得新增网络攻击面；

目标网络攻击面获取模块340，用于将所述新增网络攻击面添加至所述原始网络攻击面中，获得目标网络攻击面。

可选的，新增指标确定模块320，包括：

候选指标提取单元，用于从所述原始网络攻击面中提取与核心指标不同的指标，作为候选指标；其中，所述候选指标与所述核心指标不同；

搜索单元，用于将所述候选指标作为搜索条件搜索历史攻击面；

新增指标判断单元，用于根据所述历史攻击面和所述原始网络攻击面判断所述候选指标是否为新增指标。

可选的，新增指标判断单元，包括：

重叠攻击面的数量获取子单元，用于获取所述历史攻击面和所述原始网络攻击面的重叠攻击面的数量；

占比判断子单元，用于根据所述重叠攻击面的数量与所述历史攻击面的数量间的占比判断所述候选指标是否为新增指标。

可选的，占比判断子单元，具体用于：

若所述占比小于所述第一设定阈值，则从所述历史攻击面确定所述目标网络的攻击面，且所述攻击面的数量占所述历史攻击面的占比大于或等于第二设定阈值，则将所述候选指标确定为新增指标。

可选的，新增网络攻击面获取模块330，具体用于：

可选的，目标网络攻击面获取模块340，具体用于：

对所述新增网络攻击面进行去重处理；

对去重处理后的新增网络攻击面进行连通性测试；

可选的，所述装置，还包括：脆弱性检测模块，用于将所述新增网络攻击面添加至所述原始网络攻击面中之后，对所述新增网络攻击面进行脆弱性检测，获得脆弱性类别及脆弱性等级。

上述装置可执行本发明前述所有实施例所提供的方法，具备执行上述方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本发明前述所有实施例所提供的方法。

实施例四

图4是根据本发明实施例四提供的一种电子设备的结构示意图。电子设备10旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。

如图4所示，电子设备10包括至少一个处理器11，以及与至少一个处理器11通信连接的存储器，如只读存储器(ROM)12、随机访问存储器(RAM)13等，其中，存储器存储有可被至少一个处理器执行的计算机程序，处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序，来执行各种适当的动作和处理。在RAM 13中，还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。

电子设备10中的多个部件连接至I/O接口15，包括：输入单元16，例如键盘、鼠标等；输出单元17，例如各种类型的显示器、扬声器等；存储单元18，例如磁盘、光盘等；以及通信单元19，例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理，例如网络攻击面的处理方法。

在一些实施例中，网络攻击面的处理方法可被实现为计算机程序，其被有形地包含于计算机可读存储介质，例如存储单元18。在一些实施例中，计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时，可以执行上文描述的网络攻击面的处理方法的一个或多个步骤。备选地，在其他实施例中，处理器11可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行网络攻击面的处理方法。

本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本发明的上下文中，计算机可读存储介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。备选地，计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在电子设备上实施此处描述的系统和技术，该电子设备具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)、区块链网络和互联网。

计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与VPS服务中，存在的管理难度大，业务扩展性弱的缺陷。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。

Claims

1.一种网络攻击面的处理方法，其特征在于，包括：

基于所述原始网络攻击面确定新增指标；

2.根据权利要求1所述的方法，其特征在于，基于所述原始网络攻击面确定新增指标，包括：

将所述候选指标作为搜索条件搜索历史攻击面；

根据所述历史攻击面和所述原始网络攻击面判断所述候选指标是否为新增指标；其中，所述新增指标为新增的核心指标。

3.根据权利要求2所述的方法，其特征在于，根据所述历史攻击面和所述原始网络攻击面判断所述候选指标是否为新增指标，包括：

4.根据权利要求3所述的方法，其特征在于，根据所述重叠攻击面的数量与所述历史攻击面的数量间的占比判断所述候选指标是否为新增指标，包括：

5.根据权利要求1所述的方法，其特征在于，基于所述核心指标和所述新增指标进行网络攻击面的测绘，获得新增网络攻击面，包括：

6.根据权利要求2所述的方法，其特征在于，将所述新增网络攻击面添加至所述原始网络攻击面中，获得目标网络攻击面，包括：

对所述新增网络攻击面进行去重处理；

对去重处理后的新增网络攻击面进行连通性测试；

7.根据权利要求1所述的方法，其特征在于，将所述新增网络攻击面添加至所述原始网络攻击面中之后，还包括：

8.一种网络攻击面的处理装置，其特征在于，包括：

9.一种电子设备，其特征在于，所述电子设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-7中任一项所述的网络攻击面的处理方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的网络攻击面的处理方法。