CN116702159B

CN116702159B - 一种主机防护方法、装置、计算机设备及存储介质

Info

Publication number: CN116702159B
Application number: CN202310982230.1A
Authority: CN
Inventors: 陈杰; 王蕴澎; 任政; 童兆丰; 薛锋; 熊天翼
Original assignee: Beijing ThreatBook Technology Co Ltd
Current assignee: Beijing ThreatBook Technology Co Ltd
Priority date: 2023-08-04
Filing date: 2023-08-04
Publication date: 2023-10-31
Anticipated expiration: 2043-08-04
Also published as: CN116702159A

Abstract

本公开提供了一种主机防护方法、装置、计算机设备及存储介质，涉及计算机技术领域，能够利用目标主机集群的风险拓扑图，确定出目标主机集群内各个节点的风险评分，以及节点之间通信关系的风险评分，从而找到目标主机集群中存在风险的节点，并利用节点的重要程度评分，综合上述节点及通信关系的风险评分，确定出各个节点的防护优先级评分，从而实现优先防护风险程度高、又对用户重要的节点，降低被攻击时的损失，提高目标主机集群的安全程度。

Description

一种主机防护方法、装置、计算机设备及存储介质

技术领域

本公开涉及计算机技术领域，具体而言，涉及一种主机防护方法、装置、计算机设备及存储介质。

背景技术

通常，在主机集群中会部署有多台主机，每台主机上部署的业务以及主机所处的环境可能各有不同，因此，这些主机可能面临着多种多样的风险。多数情况下，主机集群的环境较为复杂，用户不知如何进行安全防护，很难掌握主机的具体情况，导致用户难以发现主机存在的风险，或者在发现主机存在风险时，由于不了解主机的具体情况，不知如何确定各个主机的处置优先级，在发现风险时，应该从哪一台风险主机开始修复仍是困扰用户的难题。

发明内容

本公开实施例至少提供一种主机防护方法、装置以及系统。

第一方面，本公开实施例提供了一种主机防护方法，包括：

获取目标主机集群的风险拓扑图；所述风险拓扑图包含多个主机对应的节点，所述节点之间由根据所述节点之间的通信关系确定的、指示可攻击方向的连接边连接；所述风险拓扑图还指示有所述节点的第一风险评分，以及所述连接边的第二风险评分；

获取所述目标主机集群中各个节点的至少一种重要程度评分；

针对任一所述节点，基于所述节点的第一风险评分、与所述节点连接的各个连接边的第二风险评分、所述节点的所述至少一种重要程度评分，确定所述节点的防护优先级评分；

基于各个所述节点的所述防护优先级评分，确定所述目标主机集群中的各个节点的防护顺序，并基于所述防护顺序，对各个所述节点进行防护加强。

一种可选的实施方式中，通过以下步骤生成所述风险拓扑图：

获取所述目标主机集群中各节点的资产信息、网络参数信息以及通信传输数据；

基于所述资产信息、所述网络参数信息和所述通信传输数据，构建初始风险拓扑图；

对所述初始风险拓扑图中的各个所述节点以及连接边进行风险评估，并基于所述风险评估得到的风险评分对所述初始风险拓扑图进行更新，得到所述风险拓扑图。

一种可选的实施方式中，所述基于所述资产信息、所述网络参数信息和所述通信传输数据，构建初始风险拓扑图，包括：

基于所述网络参数信息以及所述通信传输数据，构建所述目标主机集群的主机网络通信拓扑图；以及，针对所述资产信息中的任一类资产信息，基于该类资产信息，构建该类资产信息的资产风险拓扑图；所述资产信息的类型包括主机免密登录关系信息、可访问资产信息中的至少一种；

基于各类所述资产数据对应的资产风险拓扑图以及所述主机网络通信拓扑图，构建所述初始风险拓扑图。

一种可选的实施方式中，所述重要程度评分包括以下评分中的至少一种：

业务关联评分、关键数据评分、系统影响程度评分、网络位置评分、功能重要程度评分、网络连接评分。

一种可选的实施方式中，通过以下步骤确定所述重要程度评分：

在所述重要程度评分包括业务关联评分的情况下，基于当前节点所承载的目标业务信息，以及与所述目标业务相关联的关联业务信息，确定所述当前节点的业务关联评分；

在所述重要程度评分包括关键数据评分的情况下，基于所述当前节点对应的关键数据的数量，确定所述当前节点的关键数据评分；

在所述重要程度评分包括系统影响程度评分的情况下，基于所述当前节点在所述目标主机集群中的关联节点数量，确定所述当前节点的系统影响程度评分；

在所述重要程度评分包括网络位置评分的情况下，基于所述当前节点在所述目标主机集群的网络拓扑图中，距离网络边界节点的跳转距离，确定所述当前节点的网络位置评分；

在所述重要程度评分包括功能重要程度评分的情况下，基于所述当前节点的功能特征标签，以及各类功能的重要程度信息，确定所述当前节点的功能重要程度评分；

在所述重要程度评分包括网络连接评分的情况下，基于与所述当前节点连接的其他节点的数量，确定所述当前节点的网络连接评分。

一种可选的实施方式中，所述基于所述节点的第一风险评分、与所述节点连接的各个连接边的第二风险评分、所述节点的所述至少一种重要程度评分，确定所述节点的防护优先级评分，包括：

获取所述第一风险评分的第一权重、所述第二风险评分的第二权重，以及所述节点的各种重要程度评分分别对应的第三权重；

利用所述第一权重、所述第二权重，以及所述第三权重，对所述第一风险评分、所述第二风险评分以及所述重要程度评分进行加权求和，得到所述防护优先级评分。

利用决策树模型，基于所述第一风险评分、所述第二风险评分以及所述重要程度评分，对所述节点进行分类，得到所述节点对应的风险类型；

基于所述风险类型，确定所述节点的防护优先级评分。

将所述第一风险评分、所述第二风险评分以及所述重要程度评分输入至训练好的神经网络模型，得到所述神经网络模型输出的所述节点的防护优先级评分。

第二方面，本公开实施例还提供一种主机防护装置，包括：

第一获取模块，用于获取目标主机集群的风险拓扑图；所述风险拓扑图包含多个主机对应的节点，所述节点之间由根据所述节点之间的通信关系确定的、指示可攻击方向的连接边连接；所述风险拓扑图还指示有所述节点的第一风险评分，以及所述连接边的第二风险评分；

第二获取模块，用于获取所述目标主机集群中各个节点的至少一种重要程度评分；

评分模块，用于针对任一所述节点，基于所述节点的第一风险评分、与所述节点连接的各个连接边的第二风险评分、所述节点的所述至少一种重要程度评分，确定所述节点的防护优先级评分；

防护模块，用于基于各个所述节点的所述防护优先级评分，确定所述目标主机集群中的各个节点的防护顺序，并基于所述防护顺序，对各个所述节点进行防护加强。

一种可选的实施方式中，所述装置还包括生成模块，用于：

一种可选的实施方式中，所述生成模块在基于所述资产信息、所述网络参数信息和所述通信传输数据，构建初始风险拓扑图时，用于：

一种可选的实施方式中，所述装置还包括确定模块，用于：

一种可选的实施方式中，所述评分模块具体用于：

基于所述风险类型，确定所述节点的防护优先级评分。

一种可选的实施方式中，所述评分模块具体用于：

第三方面，本公开可选实现方式还提供一种计算机设备，处理器、存储器，所述存储器存储有所述处理器可执行的机器可读指令，所述处理器用于执行所述存储器中存储的机器可读指令，所述机器可读指令被所述处理器执行时，所述机器可读指令被所述处理器执行时执行上述第一方面，或第一方面中任一种可能的实施方式中的步骤。

第四方面，本公开可选实现方式还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被运行时执行上述第一方面，或第一方面中任一种可能的实施方式中的步骤。

关于上述主机防护装置、计算机设备、及计算机可读存储介质的效果描述参见上述主机防护方法的说明，这里不再赘述。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，而非限制本公开的技术方案。

本公开实施例提供的主机防护方法、装置、计算机设备及存储介质，能够利用目标主机集群的风险拓扑图，确定出目标主机集群内各个节点的风险评分，以及节点之间通信关系的风险评分，从而找到目标主机集群中存在风险的节点，并利用节点的重要程度评分，综合上述节点及通信关系的风险评分，确定出各个节点的防护优先级评分，从而实现优先防护风险程度高、又对用户重要的节点，降低被攻击时的损失，提高目标主机集群的安全程度。

为使本公开的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本公开实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，此处的附图被并入说明书中并构成本说明书中的一部分，这些附图示出了符合本公开的实施例，并与说明书一起用于说明本公开的技术方案。应当理解，以下附图仅示出了本公开的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1示出了本公开一些实施例所提供的主机防护方法的流程图；

图2示出了本公开一些实施例所提供的风险拓扑图的示意图；

图3示出了本公开一些实施例所提供的主机防护装置的示意图；

图4示出了本公开一些实施例所提供的计算机设备的示意图。

具体实施方式

为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。通常在此处描述和示出的本公开实施例的组件可以以各种不同的配置来布置和设计。因此，以下对本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围，而是仅仅表示本公开的选定实施例。基于本公开的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本公开保护的范围。

值得注意的是，可以理解的是，在使用本公开各实施例公开的技术方案之前，均应当依据相关法律法规通过恰当的方式对本公开所涉及个人信息的类型、使用范围、使用场景等告知用户并获得用户的授权。

例如，在响应于接收到用户的主动请求时，向用户发送提示信息，以明确地提示用户，其请求执行的操作将需要获取和使用到用户的个人信息。从而，使得用户可以根据提示信息来自主地选择是否向执行本公开技术方案的操作的电子设备、应用程序、服务器或存储介质等软件或硬件提供个人信息。

作为一种可选的但非限定性的实现方式，响应于接收到用户的主动请求，向用户发送提示信息的方式例如可以是弹窗的方式，弹窗中可以以文字的方式呈现提示信息。此外，弹窗中还可以承载供用户选择“同意”或者“不同意”向电子设备提供个人信息的选择控件。

可以理解的是，上述通知和获取用户授权过程仅是示意性的，不对本公开的实现方式构成限定，其它满足相关法律法规的方式也可应用于本公开的实现方式中。

经研究发现，通常，在主机集群中会部署有多台主机，每台主机上部署的业务以及主机所处的环境可能各有不同，因此，这些主机可能面临着多种多样的风险。多数情况下，主机集群的环境较为复杂，用户不知如何进行安全防护，很难掌握主机的具体情况，导致用户难以发现主机存在的风险，或者在发现主机存在风险时，由于不了解主机的具体情况，不知如何确定各个主机的处置优先级，在发现风险时，应该从哪一台风险主机开始修复仍是困扰用户的难题。

基于上述研究，本公开提供了一种主机防护方法，能够利用目标主机集群的风险拓扑图，确定出目标主机集群内各个节点的风险评分，以及节点之间通信关系的风险评分，从而找到目标主机集群中存在风险的节点，并利用节点的重要程度评分，综合上述节点及通信关系的风险评分，确定出各个节点的防护优先级评分，从而实现优先防护风险程度高、又对用户重要的节点，降低被攻击时的损失，提高目标主机集群的安全程度。

针对以上方案所存在的缺陷，均是发明人在经过实践并仔细研究后得出的结果，因此，上述问题的发现过程以及下文中本公开针对上述问题所提出的解决方案，都应该是发明人在本公开过程中对本公开做出的贡献。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

为便于对本实施例进行理解，首先对本公开实施例所公开的一种主机防护方法进行详细介绍，本公开实施例所提供的主机防护方法的执行主体一般为具有一定计算能力的计算机设备，该计算机设备例如包括：终端设备或服务器或其它处理设备。在一些可能的实现方式中，该主机防护方法可以通过处理器调用存储器中存储的计算机可读指令的方式来实现。

下面以执行主体为终端设备为例对本公开实施例提供的主机防护方法加以说明。

参见图1所示，为本公开实施例提供的主机防护方法的流程图，该方法包括步骤S101~S104，其中：

S101、获取目标主机集群的风险拓扑图；风险拓扑图包含多个主机对应的节点，节点之间由根据节点之间的通信关系确定的、指示可攻击方向的连接边连接；风险拓扑图还指示有节点的第一风险评分，以及连接边的第二风险评分。

其中，目标主机集群中可以包含多个主机，上述主机通常为具有一定计算能力的计算设备，主机上可以部署有一种或多种服务，主机之间若需要进行通信，则可以根据需求设置网络通信连接，形成通信关系。上述网络通信连接可供主机之间传输数据，从而满足目标主机集群的业务需求。然而，一旦主机被黑客所攻陷，则与其存在通信关系的其它主机也可能被攻陷，比如，若主机A与主机B之间存在网络通信连接，主机B与主机C之间存在网络通信连接，若黑客攻陷了主机A，则可以通过与主机B的网络通信连接进而攻陷主机B，再通过主机B与主机C的网络通信连接攻陷主机C。

主机上通常会存储一些资产数据，如文本、图片、音频、视频、数据表、应用程序等，这些资产数据通常与主机所提供的业务服务相关，黑客攻陷主机后，通常可以获取到主机上存储的资产数据，或者抢夺对主机的控制权，导致资产数据的泄漏。

主机上通常会存在一些风险，容易被黑客利用，因此，需要对主机进行防护加强，然而，主机数量众多，风险也有多种，各个主机上风险的威胁程度也不同，若先行对风险较小的主机进行防护加强，而更重要的主机未能及时进行防护加强，则使更加重要的主机更长时间处于风险之中，不利于重要主机的安全防护。

为此，可以先获取目标主机集群的风险拓扑图，并利用风险拓扑图识别出防护优先级更高的主机，从而更加有效地进行主机防护，降低目标主机集群的风险暴露范围。

参见图2所示，为本公开实施例所提供的风险拓扑图的示意图。上述风险拓扑图可以由节点与连接边组成，风险拓扑图中的节点用于表示主机，连接边则根据主机之间的通信关系确定，上述连接边可以是有向的，指示有主机之间的可攻击方向，比如，若主机A能够获取主机B的信息，或向主机B发送数据，则在主机A被攻陷后，可能从主机A再向主机B发起网络攻击，则主机A与主机B对应的节点之间的连接边，则可以由主机A指向主机B。

上述风险拓扑图中还指示有节点的第一风险评分，以及连接边的第二风险评分，从而体现节点与连接边的风险程度。

上述风险拓扑图可以根据各个主机上存储的数据，以及各个主机的网络通信信息确定。可以根据主机上存储的数据类型、数据数量、主机的网络结构等信息生成风险拓扑图。

在一种可能的实施方式中，可以通过以下步骤生成风险拓扑图：

获取目标主机集群中各节点的资产信息、网络参数信息以及通信传输数据；基于资产信息、网络参数信息和通信传输数据，构建初始风险拓扑图；对初始风险拓扑图中的各个节点以及连接边进行风险评估，并基于风险评估得到的风险评分对初始风险拓扑图进行更新，得到风险拓扑图。

上述步骤中，可以先获取目标主机集群中各节点的资产信息、网络参数信息以及通信传输数据。上述资产信息可以包括以下至少一种信息：

主机资产、系统账号、开放端口、Web服务器、Web应用、Web框架、Web站点、数据库、应用服务、安装包、依赖库、内核模块、计划任务、启动项、环境变量等。

上述网络参数信息则可以包括以下至少一种信息：IP、域名、Web组件、上传接口、服务名等。

上述通信传输数据则可以包括主机之间通信传输的具体数据、数据类型、传输对象等。

根据上述资产信息、网络参数信息以及通信传输数据，即可构建目标主机集群的风险拓扑图。

示例性的，可以基于网络参数信息以及通信传输数据，构建目标主机集群的主机网络通信拓扑图；以及，针对资产信息中的任一类资产信息，基于该类资产信息，构建该类资产信息的资产风险拓扑图。

该步骤中，可以基于上述网络参数信息以及通信传输数据，确定节点之间的通信关系，从而得到能够表示可攻击及攻击方向的连接边，形成主机网络通信拓扑图。

示例性的，可以基于网络参数信息和通信传输数据，确定主机、端口以及访问控制设备之间的通信关系，然后将主机、端口以及访问控制设备确定为节点，将通信关系确定为连接边，其中，可以将主机和访问控制设备对应的节点和连接边确定为普通节点以及普通连接边，将与端口对应的节点和连接边确定为特殊节点和特殊连接边，上述普通节点和普通连接边可以对用户可见，能够直接反映在风险拓扑图中，而端口对应的特殊节点和特殊连接边则可以将其体现在节点和连接边的风险评分当中。

这样，即可得到包含普通节点、特殊节点、普通连接边及特殊连接边的主机网络通信拓扑图。

同时，还可以利用针对资产信息中的任一类资产信息，基于该类资产信息，构建该类资产信息的资产风险拓扑图。

上述资产信息可以包括主机资产、系统账号、开放端口、Web服务器、Web应用、Web框架、Web站点、数据库、应用服务、安装包、依赖库、内核模块、计划任务、启动项、环境变量等，根据资产信息的用途，还可以对其进行分类，比如，可以将上述资产信息分类为主机免密登录关系信息、可访问资产信息、安全漏洞信息、关键资产信息等。

本实施例中，资产数据中还可以包括资产运行状态信息，该类资产信息可以包括运行进程，该运行进程包括：主机IP、操作系统、主机名、业务组、角色标签、进程名、进程分类、进程状态、进程路径、PID、命令行、运行用户、进程启动时间、首次采集时间、最后一次采集时间、单例进程、进程新增时间、高权限进程、进程稀有程度、常驻进程。

示例性的，上述主机免密登录信息，可以包括主机资产、系统账号、免密登录公钥配置等资产信息，可以通过主机资产和系统账号信息，确定账号与主机之间的免密关系，再通过账号与主机之间的免密关系，以及免密登录公钥配置，构建主机与主机之间的免密关系，并将主机之间的免密关系作为普通连接边，将主机作为节点，将账号与主机之间的免密关系作为特殊连接边，构建主机免密登录对应的资产风险拓扑图。

再比如，上述可访问资产信息，则可以包括主机资产、漏洞信息等，并基于上述主机网络通信拓扑图，构建可访问资产信息的资产风险拓扑图。

在得到各种资产风险拓扑图以及主机网络通信拓扑图之后，即可基于各种资产风险拓扑图以及主机网络通信拓扑图，生成初始风险拓扑图。

在生成初始风险拓扑图时，可以将各个资产风险拓扑图以及主机网络通信拓扑图合并，将表示相同主机的节点合并，并将与该节点相关的特殊节点及特殊连接边与该节点关联，普通连接边则可以进行合并。

在合并连接边时，可以将表示相同可攻击路径的连接边合并，根据连接边合并的数量，可以确定该普通连接边对应的合并权重，以供计算该合并后的连接边的风险评分时使用。

然后，可以对初始风险拓扑图中的各个节点以及连接边进行风险评估，并基于风险评估得到的风险评分对初始风险拓扑图进行更新，得到风险拓扑图。

示例性的，对于节点，可以根据节点的资产信息，使用不同方式对该节点进行风险评估，从而得到节点在不同维度的评分指标，再将该节点的各评分指标进行合并，得到节点的第一风险评分。

示例性的，上述风险评估可以确定节点的风险要素评分、初始风险拓扑重要度评分及初始风险拓扑图节点排序评分等。在确定上述评分时，可以根据主机的资产信息，以及与该节点关联的特殊节点的相关信息进行确定。

对于连接边，则可以根据连接边的合并权重（连接边的深度信息，根据连接边合并时的连接边数量确定），确定连接边的第二风险评分。

在一种可能的实施方式中，还可以根据其相连的节点的第一风险评分确定第二风险评分。

这样，即可得到上述风险拓扑图。

S102、获取目标主机集群中各个节点的至少一种重要程度评分。

在得到上述风险拓扑图的同时，还可以获取目标主机集群中各个节点的重要程度评分，上述重要程度评分可以有多种，分别对应不同的维度，示例性的，上述重要程度评分可以包括以下至少一种：

上述业务关联分数能够反映主机与核心业务系统的关联程度。可以当前节点所承载的目标业务信息，以及与目标业务相关联的关联业务信息，从而判断主机是否承载关键应用程序或存储重要数据，判断主机是否是关键业务流程的一部分，得到业务关联评分。

上述关键数据评分可以反映主机上存储、传输或处理关键数据的多少，可以基于节点对应的关键数据的数量，确定节点的关键数据评分。

上述系统影响程度评分能够反映当前主机对目标主机集群的系统的影响程度，也即主机的可用程度。可以基于当前节点在目标主机集群中的关联节点数量，判断主机是否承担服务或网络设备，以及该主机被攻陷后对系统整体的影响程度，从而确定系统影响程度评分。

上述网络位置评分能够反映当前节点在目标主机集群的网络拓扑图中，距离网络边界节点的跳转距离，比如，主机A能够直接与外网进行通信，则该主机即为网络边界节点，主机C需要通过主机B作为桥梁，才能够与主机A进行通信，则主机C距离主机A的跳转距离则为2，可以根据该距离确定当前节点的网络位置评分，距离网络边界节点的跳转距离越近，则越容易被攻击，网络位置评分越高，距离网络边界节点的跳转距离越远，则越不容易被攻击，网络位置评分越低。

上述功能重要程度评分则可以反映主机上部署的业务在业务整体中的重要程度，有一些主机可能具有特殊角色，如跳板机（Bastion Host）、域控制器（DomainController）、堡垒机或网络设备管理主机等，这些主机对整个网络的安全和管理起着关键作用，通常具有更高的重要性，因此，可以基于当前节点的功能特征标签，以及各类功能的重要程度信息，确定当前节点的功能重要程度评分。

上述网络连接评分则能够反映与当前节点连接的其他节点的数量，与当前节点连接的节点越多，则该节点对应的主机的影响范围越大，因此，可以基于与当前节点连接的其他节点的数量，确定当前节点的网络连接评分。

S103、针对任一节点，基于节点的第一风险评分、与节点连接的各个连接边的第二风险评分、节点的至少一种重要程度评分，确定节点的防护优先级评分。

在获取到风险拓扑图以及上述多种重要程度评分之后，即可对各个节点进行防护优先级评价，得到各个节点的防护优先级评分。

在进行防护优先级评价时，有多种方式可以采用，比如加权法、决策树法、神经网络模型法等。

示例性的，在使用加权法时，可以获取第一风险评分的第一权重、第二风险评分的第二权重，以及节点的各种重要程度评分分别对应的第三权重，然后在利用获取到的权重，对上述第一风险评分、第二风险评分、第三风险重要程度评分分别进行加权，再将加权结果进行求和运算，即可得到上述防护优先级评分。

上述权重能够反映该评分对主机的防护优先级的相对重要性，可以由用户设置，也可以进行动态调整。

上述加权法较为依赖权重的准确程度，因此精确度可能偏低，但计算方式简单，效率更高。

为了追求更高的精确度，可以使用决策树法或神经网络模型法。

在使用决策树法时，可以利用预先设置的决策树模型，基于上述第一风险评分、第二风险评分以及重要程度评分，对节点进行分类，在各项评分均参与决策分类后，可以得到节点对应的风险类型，风险类型可以对应不同的防护优先级评分或防护优先级评分区间，可以再根据风险类型确定节点对应的防护优先级评分。

示例性的，上述风险类型可以包括低风险、中风险、高风险、特高风险等。

上述决策树模型可以基于历史数据或专家知识确定，每个决策树节点可以代表一个维度的评分，根据评分的取值范围可以进行判断和分支。示例性的，决策树模型中的判断条件可以包括如：若第一风险评分＞80，则跳转至高风险类型；或者，若第二风险评分＞70，则跳转至重要程度评分对应的分支，继续进行决策等。

上述决策树模型适合在数据较少的情况下使用，如重要程度评分的种类较少的情况。在数据量较大时，可以采用神经网络模型法确定防护优先级评分。

示例性的，可以使用多层感知机（Multilayer Perceptron，MLP）建模，将收集到的主机相关信息（如业务相关信息、关键数据信息、系统影响程度信息、网络位置评分信息、功能重要程度信息、网络连接信息）以及对应的维度的评分（如上述第一风险评分、第二风险评分及上述重要程度评分）作为输入特征，将主机（也即节点）的防护优先级评分进行编码，作为输出，得到模型的训练数据。

然后，可以定义一个包含多个隐藏层的MLP模型，每个隐藏层可以包含多个神经元，神经元的数量可以根据实际情况进行调整，并使用合适的激活函数（ReLU、Sigmoid），为神经网络模型引入非线性相关特征。

然后，即可对创建的神经网络模型进行训练，将训练数据分为训练集和验证集，使用训练集对模型进行训练，并通过验证集进行模型的调优和选择，并使用适当的损失函数（如交叉熵）和优化算法（如随机梯度下降），对模型进行优化。

在模型进行训练时，可以使用测试集评估训练好的模型的性能和准确度，在进行评估时，可以使用混淆矩阵、精确度、召回率等指标进行评估。

S104、基于各个节点的防护优先级评分，确定目标主机集群中的各个节点的防护顺序，并基于防护顺序，对各个节点进行防护加强。

在得到上述各个节点的防护优先级评分之后，即可基于防护优先级评分，对目标主机集群中各个节点进行排序，得到各个节点的防护顺序，并基于防护顺序，依次对节点进行防护加强。

在对节点（即主机）进行防护加强时，可以根据主机的具体风险进行加强，比如，主机中包含较多的弱密码，则可以对弱密码进行修改，增强密码的安全度。

本公开实施例提供的主机防护方法，能够利用目标主机集群的风险拓扑图，确定出目标主机集群内各个节点的风险评分，以及节点之间通信关系的风险评分，从而找到目标主机集群中存在风险的节点，并利用节点的重要程度评分，综合上述节点及通信关系的风险评分，确定出各个节点的防护优先级评分，从而实现优先防护风险程度高、又对用户重要的节点，降低被攻击时的损失，提高目标主机集群的安全程度。

本领域技术人员可以理解，在具体实施方式的上述方法中，各步骤的撰写顺序并不意味着严格的执行顺序而对实施过程构成任何限定，各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。

基于同一发明构思，本公开实施例中还提供了与主机防护方法对应的主机防护装置，由于本公开实施例中的装置解决问题的原理与本公开实施例上述主机防护方法相似，因此装置的实施可以参见方法的实施，重复之处不再赘述。

参照图3所示，为本公开实施例提供的一种主机防护装置的示意图，装置包括：

第一获取模块310，用于获取目标主机集群的风险拓扑图；风险拓扑图包含多个主机对应的节点，节点之间由根据节点之间的通信关系确定的、指示可攻击方向的连接边连接；风险拓扑图还指示有节点的第一风险评分，以及连接边的第二风险评分；

第二获取模块320，用于获取目标主机集群中各个节点的至少一种重要程度评分；

评分模块330，用于针对任一节点，基于节点的第一风险评分、与节点连接的各个连接边的第二风险评分、节点的至少一种重要程度评分，确定节点的防护优先级评分；

防护模块340，用于基于各个节点的防护优先级评分，确定目标主机集群中的各个节点的防护顺序，并基于防护顺序，对各个节点进行防护加强。

一种可选的实施方式中，装置还包括生成模块，用于：

获取目标主机集群中各节点的资产信息、网络参数信息以及通信传输数据；

基于资产信息、网络参数信息和通信传输数据，构建初始风险拓扑图；

对初始风险拓扑图中的各个节点以及连接边进行风险评估，并基于风险评估得到的风险评分对初始风险拓扑图进行更新，得到风险拓扑图。

一种可选的实施方式中，生成模块330在基于资产信息、网络参数信息和通信传输数据，构建初始风险拓扑图时，用于：

基于网络参数信息以及通信传输数据，构建目标主机集群的主机网络通信拓扑图；以及，针对资产信息中的任一类资产信息，基于该类资产信息，构建该类资产信息的资产风险拓扑图；资产信息的类型包括主机免密登录关系信息、可访问资产信息中的至少一种；

基于各类资产数据的资产风险拓扑图以及主机网络通信拓扑图，构建初始风险拓扑图。

一种可选的实施方式中，重要程度评分包括以下至少一种：

一种可选的实施方式中，装置还包括确定模块，用于：

在重要程度评分包括业务关联评分的情况下，基于当前节点所承载的目标业务信息，以及与目标业务相关联的关联业务信息，确定当前节点的业务关联评分；

在重要程度评分包括关键数据评分的情况下，基于当前节点对应的关键数据的数量，确定当前节点的关键数据评分；

在重要程度评分包括系统影响程度评分的情况下，基于当前节点在目标主机集群中的关联节点数量，确定当前节点的系统影响程度评分；

在重要程度评分包括网络位置评分的情况下，基于当前节点在目标主机集群的网络拓扑图中，距离网络边界节点的跳转距离，确定当前节点的网络位置评分；

在重要程度评分包括功能重要程度评分的情况下，基于当前节点的功能特征标签，以及各类功能的重要程度信息，确定当前节点的功能重要程度评分；

在重要程度评分包括网络连接评分的情况下，基于与当前节点连接的其他节点的数量，确定当前节点的网络连接评分。

一种可选的实施方式中，评分模块330具体用于：

获取第一风险评分的第一权重、第二风险评分的第二权重，以及节点的各种重要程度评分分别对应的第三权重；

利用第一权重、第二权重，以及第三权重，对第一风险评分、第二风险评分以及重要程度评分进行加权求和，得到防护优先级评分。

一种可选的实施方式中，评分模块330具体用于：

利用决策树模型，基于第一风险评分、第二风险评分以及重要程度评分，对节点进行分类，得到节点对应的风险类型；

基于风险类型，确定节点的防护优先级评分。

一种可选的实施方式中，评分模块330具体用于：

将第一风险评分、第二风险评分以及重要程度评分输入至训练好的神经网络模型，得到神经网络模型输出的节点的防护优先级评分。

关于装置中的各模块的处理流程、以及各模块之间的交互流程的描述可以参照上述方法实施例中的相关说明，这里不再详述。

本公开实施例还提供了一种计算机设备，如图4所示，为本公开实施例提供的计算机设备结构示意图，包括：

处理器41和存储器42；存储器42存储有处理器41可执行的机器可读指令，处理器41用于执行存储器42中存储的机器可读指令，机器可读指令被处理器41执行时，处理器41执行下述步骤：

获取目标主机集群的风险拓扑图；风险拓扑图包含多个主机对应的节点，节点之间由根据节点之间的通信关系确定的、指示可攻击方向的连接边连接；风险拓扑图还指示有节点的第一风险评分，以及连接边的第二风险评分；

获取目标主机集群中各个节点的至少一种重要程度评分；

针对任一节点，基于节点的第一风险评分、与节点连接的各个连接边的第二风险评分、节点的至少一种重要程度评分，确定节点的防护优先级评分；

基于各个节点的防护优先级评分，确定目标主机集群中的各个节点的防护顺序，并基于防护顺序，对各个节点进行防护加强。

一种可选的实施方式中，处理器41执行的指令中，还包括：

一种可选的实施方式中，处理器41执行的指令中，基于资产信息、网络参数信息和通信传输数据，构建初始风险拓扑图，包括：

一种可选的实施方式中，处理器41执行的指令中，重要程度评分包括以下至少一种：

一种可选的实施方式中，处理器41执行的指令中，还包括：

一种可选的实施方式中，处理器41执行的指令中，基于节点的第一风险评分、与节点连接的各个连接边的第二风险评分、节点的至少一种重要程度评分，确定节点的防护优先级评分，包括：

基于风险类型，确定节点的防护优先级评分。

上述存储器42包括内存421和外部存储器422；这里的内存421也称内存储器，用于暂时存放处理器41中的运算数据，以及与硬盘等外部存储器422交换的数据，处理器41通过内存421与外部存储器422进行数据交换。

上述指令的具体执行过程可以参考本公开实施例中所述的主机防护方法的步骤，此处不再赘述。

本公开实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行上述方法实施例中所述的主机防护方法的步骤。其中，该存储介质可以是易失性或非易失的计算机可读取存储介质。

本公开实施例还提供一种计算机程序产品，该计算机程序产品承载有程序代码，所述程序代码包括的指令可用于执行上述方法实施例中所述的主机防护方法的步骤，具体可参见上述方法实施例，在此不再赘述。

其中，上述计算机程序产品可以具体通过硬件、软件或其结合的方式实现。在一个可选实施例中，所述计算机程序产品具体体现为计算机存储介质，在另一个可选实施例中，计算机程序产品具体体现为软件产品，例如软件开发包（Software Development Kit，SDK）等等。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。在本公开所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本公开各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（Read-OnlyMemory，ROM）、随机存取存储器（Random Access Memory，RAM）、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本公开的具体实施方式，用以说明本公开的技术方案，而非对其限制，本公开的保护范围并不局限于此，尽管参照前述实施例对本公开进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本公开实施例技术方案的精神和范围，都应涵盖在本公开的保护范围之内。因此，本公开的保护范围应所述以权利要求的保护范围为准。

Claims

1.一种主机防护方法，其特征在于，包括：

合并各类所述资产信息对应的资产风险拓扑图以及所述主机网络通信拓扑图，构建初始风险拓扑图；

对所述初始风险拓扑图中的各个所述节点以及连接边进行风险评估，并基于所述风险评估得到的风险评分对所述初始风险拓扑图进行更新，得到风险拓扑图；

获取目标主机集群的风险拓扑图；

所述风险拓扑图包含多个主机对应的节点，所述节点之间由根据所述节点之间的通信关系确定的、指示可攻击方向的连接边连接；所述风险拓扑图还指示有所述节点的第一风险评分，以及所述连接边的第二风险评分；其中，根据所述连接边的合并权重，确定所述连接边的第二风险评分；所述连接边的合并权重根据所述连接边合并时的连接边数量确定；

2.根据权利要求1所述的方法，其特征在于，所述重要程度评分包括以下评分中的至少一种：

3.根据权利要求1所述的方法，其特征在于，通过以下步骤确定所述重要程度评分：

4.根据权利要求1所述的方法，其特征在于，所述基于所述节点的第一风险评分、与所述节点连接的各个连接边的第二风险评分、所述节点的所述至少一种重要程度评分，确定所述节点的防护优先级评分，包括：

5.根据权利要求1所述的方法，其特征在于，所述基于所述节点的第一风险评分、与所述节点连接的各个连接边的第二风险评分、所述节点的所述至少一种重要程度评分，确定所述节点的防护优先级评分，包括：

基于所述风险类型，确定所述节点的防护优先级评分。

6.根据权利要求1所述的方法，其特征在于，所述基于所述节点的第一风险评分、与所述节点连接的各个连接边的第二风险评分、所述节点的所述至少一种重要程度评分，确定所述节点的防护优先级评分，包括：

7.一种主机防护装置，其特征在于，包括：

生成模块，用于获取目标主机集群中各节点的资产信息、网络参数信息以及通信传输数据；基于所述网络参数信息以及所述通信传输数据，构建所述目标主机集群的主机网络通信拓扑图；以及，针对所述资产信息中的任一类资产信息，基于该类资产信息，构建该类资产信息的资产风险拓扑图；所述资产信息的类型包括主机免密登录关系信息、可访问资产信息中的至少一种；合并各类所述资产信息对应的资产风险拓扑图以及所述主机网络通信拓扑图，构建初始风险拓扑图；对所述初始风险拓扑图中的各个所述节点以及连接边进行风险评估，并基于所述风险评估得到的风险评分对所述初始风险拓扑图进行更新，得到风险拓扑图；

第一获取模块，用于获取目标主机集群的风险拓扑图；所述风险拓扑图包含多个主机对应的节点，所述节点之间由根据所述节点之间的通信关系确定的、指示可攻击方向的连接边连接；所述风险拓扑图还指示有所述节点的第一风险评分，以及所述连接边的第二风险评分；其中，根据所述连接边的合并权重，确定所述连接边的第二风险评分；所述连接边的合并权重根据所述连接边合并时的连接边数量确定；

8.一种计算机设备，其特征在于，包括：处理器、存储器，所述存储器存储有所述处理器可执行的机器可读指令，所述处理器用于执行所述存储器中存储的机器可读指令，所述机器可读指令被所述处理器执行时，所述处理器执行如权利要求1至6任一项所述的主机防护方法的步骤。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被计算机设备运行时，所述计算机设备执行如权利要求1至6任意一项所述的主机防护方法的步骤。