CN117097524A - 网络设备漏洞的验证方法、装置、设备以及存储介质 - Google Patents
网络设备漏洞的验证方法、装置、设备以及存储介质 Download PDFInfo
- Publication number
- CN117097524A CN117097524A CN202311035184.0A CN202311035184A CN117097524A CN 117097524 A CN117097524 A CN 117097524A CN 202311035184 A CN202311035184 A CN 202311035184A CN 117097524 A CN117097524 A CN 117097524A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- target
- network equipment
- asset
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000012795 verification Methods 0.000 title description 14
- 238000013507 mapping Methods 0.000 claims abstract description 13
- 230000002093 peripheral effect Effects 0.000 claims description 21
- 238000010586 diagram Methods 0.000 claims description 18
- 230000006378 damage Effects 0.000 claims description 17
- 230000035515 penetration Effects 0.000 claims description 16
- 238000012360 testing method Methods 0.000 claims description 16
- 238000010276 construction Methods 0.000 claims description 6
- 230000008439 repair process Effects 0.000 abstract description 8
- 230000009286 beneficial effect Effects 0.000 abstract description 7
- 238000004590 computer program Methods 0.000 description 15
- 238000004891 communication Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000001960 triggered effect Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络设备漏洞的验证方法、装置、设备以及存储介质。其中,该方法包括:获取目标系统的资产分布信息,基于所述资产分布信息构建网络设备拓扑图,其中,所述网络设备拓扑图包括网络设备和网络设备之间的连接链路;将所述目标系统的系统漏洞映射到所述网络设备拓扑图中,获取引发目标危害结果时在所述网络设备拓扑图中的至少一个漏洞触发路径;分别确定引发所述目标危害结果的每个所述漏洞触发路径的价值度,基于所述价值度确定所述系统漏洞中引发所述目标危害结果的目标漏洞。取得了准确验证漏洞的真实性及衡量漏洞修复紧迫性,以便对漏洞进行及时修复,进而避免目标系统处于被攻击风险之中的有益效果。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络设备漏洞的验证方法、装置、设备以及存储介质。
背景技术
为提高企业的安全防护能力,企业会定期对其系统进行渗透测试。通过渗透测试,可以发现企业中含有的漏洞并对漏洞进行及时的修复,以避免黑客入侵情况的发生。
渗透测试所得到的漏洞及其危害结果有多种,一个危害结果对应至少一个漏洞,黑客攻击时往往会同时针对多个漏洞。因此,技术人员无法预测黑客在攻击某一个漏洞时的真实意图。
现有技术,针对特定危害结果,往往基于人工验证判断应该对哪一个漏洞进行修复。然而,人工验证存在一定的出错率,导致漏洞未能及时修复而被黑客入侵系统。
发明内容
本发明提供了一种网络设备漏洞的验证方法、装置、设备以及存储介质,以解决采用人工方式进行系统漏洞修复验证时,验证结果不准确的问题。
根据本发明的一方面,提供了一种网络设备漏洞的验证方法,该方法包括:
获取目标系统的资产分布信息,基于资产分布信息构建网络设备拓扑图,其中,网络设备拓扑图包括网络设备和网络设备之间的连接链路;
将目标系统的系统漏洞映射到网络设备拓扑图中,获取引发目标危害结果时在网络设备拓扑图中的至少一个漏洞触发路径;
分别确定引发目标危害结果的每个漏洞触发路径的价值度,基于价值度确定系统漏洞中引发目标危害结果的目标漏洞。
根据本发明的另一方面,提供了一种网络设备漏洞的验证装置,该装置包括:
拓扑图构建模块,用于获取目标系统的资产分布信息,基于资产分布信息构建网络设备拓扑图,其中,网络设备拓扑图包括网络设备、网络设备之间的连接链路以及外围链路;
触发路径获取模块,用于将目标系统的系统漏洞映射到网络设备拓扑图中,获取引发目标危害结果时在网络设备拓扑图中的至少一个漏洞触发路径;
目标漏洞确定模块,用于分别确定引发目标危害结果的每个漏洞触发路径的价值度,基于价值度确定系统漏洞中引发目标危害结果的目标漏洞。
根据本发明的另一方面,提供了一种电子设备,电子设备包括:
至少一个处理器;以及
与至少一个处理器通信连接的存储器;其中,
存储器存储有可被至少一个处理器执行的计算机程序,计算机程序被至少一个处理器执行,以使至少一个处理器能够执行本发明任一实施例的网络设备漏洞的验证方法。
根据本发明的另一方面,提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,计算机指令用于使处理器执行时实现本发明任一实施例的网络设备漏洞的验证方法。
本发明实施例的技术方案,通过获取目标系统的资产分布信息,基于资产分布信息构建网络设备拓扑图,其中,网络设备拓扑图包括网络设备和网络设备之间的连接链路,实现了对目标系统中的网络设备拓扑结构的分析。然后将目标系统的系统漏洞映射到网络设备拓扑图中,获取引发目标危害结果时在网络设备拓扑图中的至少一个漏洞触发路径,为进一步分析判断触发路径的指标提供了依据。最后分别确定引发目标危害结果的每个漏洞触发路径的价值度,基于价值度确定系统漏洞中引发目标危害结果的目标漏洞。采用人工方式进行系统漏洞修复验证时,验证结果不准确的问题。取得了准确验证漏洞的真实性及衡量漏洞修复紧迫性,以便对漏洞进行及时修复,进而避免目标系统处于被攻击风险之中的有益效果。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例一提供的一种网络设备漏洞的验证方法的流程图;
图2是根据本发明实施例二提供的一种网络设备漏洞的验证方法的流程图;
图3是根据本发明实施例三提供的一种网络设备漏洞的验证方法的流程图;
图4是根据本发明实施例四提供的一种网络设备漏洞的验证装置的结构示意图;
图5是可以用来实施本发明的实施例的电子设备10的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”以及“目标”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1为本发明实施例一提供了一种网络设备漏洞的验证方法的流程图,本实施例可适用于验证网络设备漏洞情况,该方法可以由网络设备漏洞的验证装置来执行,该网络设备漏洞的验证装置可以采用硬件和/或软件的形式实现,该网络设备漏洞的验证装置可配置于电子设备中。如图1所示,该方法包括:
S110、获取目标系统的资产分布信息,基于资产分布信息构建网络设备拓扑图。
本实施例中,目标系统可以是信息技术(Information Technology,IT)系统。具体地,目标系统可以是一个业务系统,例如银行、图书馆、超市以及行政单位等组织的特定业务办理系统。目标系统也可以是组织中全部信息技术系统的总和,例如医院的结算系统、挂号系统、电子病历系统、病床管理系统以及放射线检查系统等诸多系统的总和。资产分布信息可以是目标系统中的IT资产的物理位置、用途、价格、硬件性能以及外观尺寸等资产状况以及位置分布的信息。网络设备拓扑图可以是目标网络中,相关设备的物理布局结构图。连接链路可以是目标网络中两个节点之间的物理线路,如电缆或光纤。
其中,网络设备拓扑图包括网络设备和网络设备之间的连接链路。进一步地,网络设备拓扑图还包括网络设备的外围链路。
S120、将目标系统的系统漏洞映射到网络设备拓扑图中,获取引发目标危害结果时在网络设备拓扑图中的至少一个漏洞触发路径。
本实施例中,目标系统的系统漏洞可以是经过检测等手段提前获取的,目标系统中的各个网络设备软硬件相关的已知系统漏洞,和/或,目标系统的架构相关的已知系统漏洞。目标系统的系统漏洞可以是一个或多个。系统漏洞映射可以是获取系统漏洞在拓扑图中的攻击路径图,其中,攻击路径图用于描述入侵行为节点之间的传递关系。目标危害结果可以是已知系统漏洞所能够引发的所有危害结果中的其中一种危害结果。可选的,可以根据漏洞种类与互联网上公开的漏洞信息进行对比,获取系统漏洞公开的危害结果。漏洞触发路径可以是漏洞被触发时,攻击路径所涉及到的网络设备以及链路。
具体的,可以将目标系统中的所有已知系统漏洞映射至网络设备拓扑图中,获取已知系统漏洞在拓扑图中的多个攻击路径图。然后可以获取已知系统漏洞所能够引发的全部危害结果。可以理解的,由于信息技术系统的复杂性,可以存在一个系统漏洞能够对应多个危害结果以及以多个系统漏洞能够导致同一危害结果的情况。可以选取一个目标危害结果,然后获取目标危害结果对应的至少一个漏洞触发路径。
示例性的,将某企业IT系统的系统漏洞映射到该企业全部网络设备的拓扑图中,可以获取IT系统的所有的漏洞触发路径以及危害结果。当目标危害结果以工资单被恶意篡改为例时,可以获取触发员工工资单被恶意篡改的危害结果相关的所有漏洞触发路径。例如,由人事业务终端PC开始,经由人事部门业务服务器,至工资单存储服务器的路径。以及,由财务部门业务终端PC开始,经由财务业务服务器,至工资单存储服务器的路径。
S130、分别确定引发目标危害结果的每个漏洞触发路径的价值度,基于价值度确定系统漏洞中引发目标危害结果的目标漏洞。
本实施例中,漏洞触发路径的价值度可以是与黑客通过入侵该漏洞触发路径实现特定入侵目的时的难易程度以及入侵获得的预期收益相关。入侵行为越容易,入侵行为的预期收益越大,则价值度可以越高。反之,价值度可以越低。目标漏洞可以是根据漏洞触发路径的价值度来判断的,需要优先修复的系统漏洞。
具体的,可以根据目标危害结果,分别确定引发目标危害结果的每个漏洞触发路径,以及每个漏洞触发路径所遭受黑客入侵时的容易程度,确定每个漏洞触发路径的价值度。然后可以基于每个漏洞触发路径的价值度的高低确定需要优先修复的目标漏洞。
可选的,分别确定引发目标危害结果的每个漏洞触发路径的价值度,包括:针对引发目标危害结果的每个漏洞触发路径,在网络设备拓扑图中确定与漏洞触发路径对应的网络设备之间的连接链路;计算连接链路的可通行性分数,基于连接链路的可通行性分数确定漏洞触发路径的价值度。
本实施例中,链路的可通行性分数可以是漏洞触发时可以从该连接链路通行的可能性量化分数。计算连接链路的可通行性分数可以基于连接链路上网络设备的资产价值、通信关系。
具体的,可以基于漏洞触发路径上的服务器的性能参数、财产价值、具体用途、存储数据种类度以及数据敏感度等指标,以及通过服务器与漏洞触发路径(连接链路)上其余网络设备之间关联性等指标,综合确定假设遭受黑客攻击时的预期损失(也即黑客攻击时的预期收益),并计算连接链路的可通行性分数。然后可以基于连接链路的可通行性分数,确定漏洞触发路径的价值度。
具体的,可以针对某一目标危害结果,确定引发目标危害结果的所有漏洞触发路径。然后可以根据确定的所有漏洞触发路径在网络设备拓扑图中确定对应的网络设备连接链路。
可选的,基于资产分布信息构建网络设备拓扑图,包括:根据资产分布信息划分资产区块,将目标系统中的网络设备按照工作区域添加到资产区块中,并建立网络设备之间的连接链路,以得到目标系统的网络设备拓扑图。
本实施例中,资产区块可以是IT资产按照分布信息划分的区块,例如,可以是某企业A栋2楼西侧办公设备区,B栋3楼东侧301房间机房区等方式命名并划分资产区块。
具体的,可以根据目标系统中资产分布的信息将系统划分为一个以上的资产区块。然后可以将目标系统中的PC、交换机、服务器以及路由器等网络设备按照工作区域添加到资产区块中,并根据资产的物理连接实际情况建立网络设备的连接链路。最后可以根据连接链路以及网络设备的资产信息以及位置信息等建立目标网络系统的网络设备拓扑图。
可选的,计算连接链路的可通行性分数,包括:获取目标系统的资产重要性,根据资产重要性对资产区块进行量化,得到与资产区块的对应的重要分数;获取目标系统的资产相关性,根据资产相关性获取任意两个资产区块的相关分数;将位于连接链路两端的网络设备所处的资产区块之间的相关分数赋权到对应资产区块的重要分数上,对赋权后的重要分数进行求和,得到连接链路的可通行性分数。
本实施例中,资产重要性可以是综合考虑资产本身的商品价格、资产中存储信息的价值,以及资产在目标系统中的度中心性(Degree Centrality,DC)等因素,对资产重要程度的量化指标。可以理解的,可以根据资产的重要性确定资产对应的重要分数。可以理解的,可以根据资产区块中所有资产的重要性总和得到与资产区块对应的重要分数。
本实施例中,资产相关性可以是资产之间的关联难易程度。可以理解的,目标系统中的各个资产之间虽然并非相对独立,但也具备一定的联系壁垒,资产与资产之间的联系程度不同。因此,网络设备通过连接链路进行关联的难易度也不同。资产区块之间的相关分数,可以是根据位于资产区块中的,资产之间的关联的难易度确定的相关性量化指标。资产区块之间的相关分数的计算方法可以采用最大熵计算方法、相关系数计算法等。
例如,位于数据库服务器机房的DB server(数据库服务器)1和位于应用服务器机房的AP server(应用服务器)1,具有客户端-服务器关系,并且都使用数据库通信协议通过网络连接相互通信,因此具有较高的相关程度。此时可以根据DB server 1和AP server 1的相关程度较高,确定并获取数据库服务器机房区块与应用服务器机房区块之间的,一个较高的相关分数。将位于连接链路两端的网络设备所处的资产区块之间的相关分数赋权到对应资产区块的重要分数上,可以是将资产区块之间的相关分数作为系数与资产区块的重要分数相乘或相加,本发明对此不做限定。可以理解的,资产区块之间的相关分数根据资产区块的数量,可以是C(N,2)个,其中N为资产区块的数量。将位于连接链路两端的网络设备所处的资产区块之间的相关分数赋权到对应资产区块的重要分数上,可以是分多次,将C(N,2)个相关分数分别赋权到对应资产区块的重要分数上,也可以是将C(N,2)个相关分数通过求均值等方式1次赋权到对应资产区块的重要分数上,本发明对此不做限定。
示例性的,在计算目标系统的3个相互连接的资产区块之间,连接链路的可通行性分数P时,首先可以获取目标系统的资产重要性并根据资产重要性对3个资产区块进行量化,得到3个与资产区块的对应的重要分数P1、P2以及P3;然后可以获取目标系统的资产相关性,根据资产相关性获取资产区块两两之间的3个相关分数A1、A2以及A3;然后可以将位于连接链路两端的网络设备所处的资产区块之间的3个相关分数分别通过相关系数乘积的方式,赋权到对应资产区块的3个重要分数上,得到A1*(P1+P2)、A2*(P2+P3)以及A3*(P3+P1)。最后可以对赋权后的3个重要分数进行求和,得到连接链路的可通行性分数P=P1*(A1+A3)+P2*(A1+A2)+P3*(A2+A3)。
在网络设备拓扑图还包括网络设备的外围链路的情况下,可选的,基于连接链路的可通行性分数确定漏洞触发路径的价值度,包括:获取网络设备拓扑图中与漏洞触发路径对应的网络设备的外围链路,将位于外围链路两端的网络设备所处的资产区块之间的相关分数赋权到对应资产区块的重要分数上,得到初次赋权分数;对初次赋权分数进行二次赋权后再进行求和,得到外围链路的可通行性分数,其中,二次赋权采用的赋权因子高于相关分数。
本实施例中,外围链路可以是网络设备外围存在的链路,漏洞在触发时,可以绕过网络设备本身,通过外围链路进入到其他资产区块中。赋权因子可以是对初次赋权的资产区块的重要分数进行二次赋权时采用的赋权系数。可以理解的,漏洞通过外围链路进行触发时会绕过目标系统中网络设备的防护,此时的漏洞攻击性较强、引起的危害也会较大,因此,需要对初次赋权的资产区块的重要分数进行二次赋权,二次赋权采用的赋权因子高于相关分数。
其中,价值度可以用于表征系统漏洞引发的目标危害结果的严重程度,一般地,价值度越高目标危害结果越严重。可选的,基于价值度确定系统漏洞中引发目标危害结果的目标漏洞,包括:将价值度最高的漏洞触发路径对应的系统漏洞作为引发目标危害结果的目标漏洞。针对特定危害结果,可以将价值度最高的漏洞触发路径对应的系统漏洞作为引发目标危害结果的目标漏洞后进行优先处理,从而及时修复漏洞,避免被黑客以特定目的入侵系统而造成财产损失。
本实施例的技术方案,通过获取目标系统的资产分布信息,基于资产分布信息构建网络设备拓扑图,并将目标系统的系统漏洞映射到网络设备拓扑图中,获取引发目标危害结果时在网络设备拓扑图中的至少一个漏洞触发路径。然后分别确定引发目标危害结果的每个漏洞触发路径的价值度,基于价值度确定系统漏洞中引发目标危害结果的目标漏洞,其中,价值度与入侵该漏洞触发路径时的难易程度以及入侵获得的预期收益相关。取得了准确验证漏洞的真实性及衡量漏洞修复紧迫性,以便对漏洞进行及时修复,进而避免目标系统处于被攻击风险之中的有益效果。
实施例二
图2为本发明实施例二提供的一种网络设备漏洞的验证方法的流程图,本实施例是在上述各实施例的基础上,具体说明基于网络设备的防护分数和连接链路的可通行性分数确定漏洞触发路径的价值度的方法。具体实施方式可以参见本实施例的说明。其中,与前述实施例相同或相似的技术特征在此不再赘述。如图2所示,该方法包括:
S210、获取目标系统的资产分布信息,基于资产分布信息构建网络设备拓扑图,其中,网络设备拓扑图包括网络设备和网络设备之间的连接链路。
S220、基于预先构建的结果数据库中存储的已知危害结果确定与系统漏洞对应的目标危害结果。
本实施例中,预先构建的结果数据库可以是位于目标系统中的数据库,也可以是位于目标系统外部,网络设备漏洞的验证方提供的数据库。结果数据库中可以存储目标系统的系统漏洞,以及系统漏洞对应的已知危害结果。可以理解的,由于系统漏洞对应可以对应多个危害结果,确定目标危害结果的同时,也可以从数据库中确定与目标危害结果对应的系统漏洞。
S230、将目标系统的系统漏洞映射到网络设备拓扑图中,获取引发目标危害结果时在网络设备拓扑图中的至少一个漏洞触发路径。
S240、针对引发目标危害结果的每个漏洞触发路径,在网络设备拓扑图中确定与漏洞触发路径对应的网络设备之间的连接链路,并计算连接链路的可通行性分数。
S250、获取连接链路中的网络设备的历史防护数据,根据历史防护数据确定网络设备的防护分数。
本实施例中,历史防护数据可以是根据网络设备的防护日志数据获取的,过去网络设备的防护数据记录。
具体的,可以基于网络设备的历史防护数据,为网络设备的防护能力进行打分,得到网络设备的防护分数。
S260、基于网络设备的防护分数和连接链路的可通行性分数确定漏洞触发路径的价值度。
本实施例中,可以基于网络设备的防护分数和连接链路的可通行性分数之和确定漏洞触发路径的价值度。还可以根据将基于网络设备的防护分数和连接链路的可通行性分数经过预先制定的规则加权处理后进行求和或求乘积运算,得到漏洞触发路径的价值度。
S270、基于价值度确定系统漏洞中引发目标危害结果的目标漏洞。
本实施例的技术方案,通过获取目标系统的资产分布信息,基于资产分布信息构建网络设备拓扑图,并将目标系统的系统漏洞映射到网络设备拓扑图中,基于预先构建的结果数据库中存储的已知危害结果确定与系统漏洞对应的目标危害结果。获取引发目标危害结果时在网络设备拓扑图中的至少一个漏洞触发路径。获取连接链路中的网络设备的历史防护数据,根据历史防护数据确定网络设备的防护分数。基于网络设备的防护分数和连接链路的可通行性分数确定漏洞触发路径的价值度。基于价值度确定系统漏洞中引发目标危害结果的目标漏洞。可以根据网络设备的防护水平以及被攻击的可通行性,准确验证漏洞的真实性及衡量漏洞修复紧迫性。从而取得了对漏洞进行及时修复,进而避免目标系统处于被攻击风险之中的有益效果。
实施例三
图3为本发明实施例二提供的一种网络设备漏洞的验证方法的流程图,本实施例是在上述各实施例的基础上,具体说明确定与系统漏洞对应的目标危害结果的方法。具体实施方式可以参见本实施例的说明。其中,与前述实施例相同或相似的技术特征在此不再赘述。如图3所示,该方法包括:
S310、获取目标系统的资产分布信息,基于资产分布信息构建网络设备拓扑图,其中,网络设备拓扑图包括网络设备和网络设备之间的连接链路。
S320、对目标系统进行渗透测试,得到目标系统的系统漏洞。
本实施例中,渗透测试可以是以对目标系统进行安全性评估为目的,在目标系统上进行的授权模拟攻击。渗透测试可以发现和挖掘目标系统中存在的系统漏洞,然后输出渗透测试报告并提交给目标系统所有者。
可选地,获取目标系统的基础架构,确定攻击目标,并获取攻击目标的特征信息,基于所述基础架构和所述特征信息进行漏洞探测和利用后得到漏洞。
具体地,对于目标系统而言,需要对其进行渗透测试的话,首先需要获取其基础架构,该基础架构可包括目标系统的各应用层、所使用的安全防护系统等基础信息。而后,在进行渗透测试时,需要首先确定攻击目标,并对应的获取攻击目标的特征信息后,采用漏洞探测和漏洞利用获得系统漏洞。
S330、获取系统漏洞引发的已知危害结果,根据已知危害结果构建结果数据库。
由于漏洞具备多种种类,而在互联网当中会公开有多种漏洞,在获得系统漏洞中,可以确定系统漏洞的,进而,将系统漏洞的种类与互联网公开的漏洞种类进行对比后,可以得到渗透测试的漏洞所引发的已知危害结果。一般地,不同的危害结果对于目标系统的影响程度不同,在获取已知危害结果后,可构建结果数据库,以便于后续进行漏洞验证时调用结果数据库当中的已知危害结果。
S340、基于预先构建的结果数据库中存储的已知危害结果确定与系统漏洞对应的目标危害结果。
S350、将目标系统的系统漏洞映射到网络设备拓扑图中,获取引发目标危害结果时在网络设备拓扑图中的至少一个漏洞触发路径。
S360、针对引发目标危害结果的每个漏洞触发路径,在网络设备拓扑图中确定与漏洞触发路径对应的网络设备之间的连接链路,计算连接链路的可通行性分数。
S370、获取连接链路中的网络设备的历史防护数据,根据历史防护数据确定网络设备的防护分数。
S380、基于网络设备的防护分数和连接链路的可通行性分数确定漏洞触发路径的价值度。
本实施例的技术方案,通过获取目标系统的资产分布信息,基于资产分布信息构建网络设备拓扑图,对目标系统进行渗透测试,得到目标系统的系统漏洞。然后将目标系统的系统漏洞映射到网络设备拓扑图中,基于预先构建的结果数据库中存储的已知危害结果确定与系统漏洞对应的目标危害结果。获取引发目标危害结果时在网络设备拓扑图中的至少一个漏洞触发路径。获取连接链路中的网络设备的历史防护数据,根据历史防护数据确定网络设备的防护分数。基于网络设备的防护分数和连接链路的可通行性分数确定漏洞触发路径的价值度。基于价值度确定系统漏洞中引发目标危害结果的目标漏洞。可以通过渗透测试获取目标系统中的漏洞,然后根据网络设备的防护水平以及被攻击的可通行性,准确验证漏洞的真实性及衡量漏洞修复紧迫性。从而取得了对漏洞进行及时修复,进而避免目标系统处于被攻击风险之中的有益效果。
实施例四
图4为本发明实施例四提供的一种网络设备漏洞的验证装置的结构示意图。如图4所示,该装置包括:拓扑图构建模块410、触发路径获取模块420目标漏洞确定模块430。
其中,拓扑图构建模块410,用于获取目标系统的资产分布信息,基于所述资产分布信息构建网络设备拓扑图,其中,所述网络设备拓扑图包括网络设备、网络设备之间的连接链路以及外围链路;触发路径获取模块420,用于将所述目标系统的系统漏洞映射到所述网络设备拓扑图中,获取引发目标危害结果时在所述网络设备拓扑图中的至少一个漏洞触发路径;目标漏洞确定模块430,用于分别确定引发所述目标危害结果的每个所述漏洞触发路径的价值度,基于所述价值度确定所述系统漏洞中引发所述目标危害结果的目标漏洞。
本发明实施例的技术方案,通过获取目标系统的资产分布信息,基于资产分布信息构建网络设备拓扑图,其中,网络设备拓扑图包括网络设备和网络设备之间的连接链路,实现了对目标系统中的网络设备拓扑结构的分析。然后将目标系统的系统漏洞映射到网络设备拓扑图中,获取引发目标危害结果时在网络设备拓扑图中的至少一个漏洞触发路径,为进一步分析判断触发路径的指标提供了依据。最后分别确定引发目标危害结果的每个漏洞触发路径的价值度,基于价值度确定系统漏洞中引发目标危害结果的目标漏洞。采用人工方式进行系统漏洞修复验证时,验证结果不准确的问题。取得了准确验证漏洞的真实性及衡量漏洞修复紧迫性,以便对漏洞进行及时修复,进而避免目标系统处于被攻击风险之中的有益效果。
在上述技术方案的基础上,可选的,目标漏洞确定模块430包括价值度确定单元。
其中,价值度确定单元,用于针对引发目标危害结果的每个漏洞触发路径,在网络设备拓扑图中确定与漏洞触发路径对应的网络设备之间的连接链路;计算连接链路的可通行性分数,基于连接链路的可通行性分数确定漏洞触发路径的价值度。
在上述技术方案的基础上,进一步的,拓扑图构建模块410,具体用于根据资产分布信息划分资产区块,将目标系统中的网络设备按照工作区域添加到资产区块中,并建立网络设备之间的连接链路,以得到目标系统的网络设备拓扑图。
在上述技术方案的基础上,进一步的,价值度确定单元具体包括可通行性分数计算子单元。
其中,可通行性分数计算子单元,具体用于获取目标系统的资产重要性,根据资产重要性对资产区块进行量化,得到与资产区块的对应的重要分数;获取目标系统的资产相关性,根据资产相关性获取任意两个资产区块的相关分数;将位于连接链路两端的网络设备所处的资产区块之间的相关分数赋权到对应资产区块的重要分数上,对赋权后的重要分数进行求和,得到连接链路的可通行性分数。
在上述技术方案的基础上,可选的,网络设备拓扑图还包括网络设备的外围链路。拓扑图构建模块410还包括外围链路可通行性分数计算子单元。其中,外围链路可通行性分数计算子单元,用于获取网络设备拓扑图中与漏洞触发路径对应的网络设备的外围链路,将位于外围链路两端的网络设备所处的资产区块之间的相关分数赋权到对应资产区块的重要分数上,得到初次赋权分数;对初次赋权分数进行二次赋权后再进行求和,得到外围链路的可通行性分数,其中,二次赋权采用的赋权因子高于相关分数。
在上述技术方案的基础上,可选的,价值度确定单元还用于获取连接链路中的网络设备的历史防护数据,根据历史防护数据确定网络设备的防护分数;基于网络设备的防护分数和连接链路的可通行性分数确定漏洞触发路径的价值度。
在上述技术方案的基础上,可选的,触发路径获取模块420还包括目标危害结果确定单元。
其中目标危害结果确定单元,用于在获取引发目标危害结果时在网络设备拓扑图中的至少一个漏洞触发路径之前,基于预先构建的结果数据库中存储的已知危害结果确定与系统漏洞对应的目标危害结果。
在上述技术方案的基础上,可选的,触发路径获取模块420还包括渗透测试单元。
其中,渗透测试单元用于在基于预先构建的结果数据库中存储的已知危害结果确定与系统漏洞对应的目标危害结果之前,对目标系统进行渗透测试,得到目标系统的系统漏洞;获取系统漏洞引发的已知危害结果,根据已知危害结果构建结果数据库。
在上述技术方案的基础上,进一步的,目标漏洞确定模块430具体用于将价值度最高的漏洞触发路径对应的系统漏洞作为引发目标危害结果的目标漏洞。
本发明实施例所提供的网络设备漏洞的验证装置可执行本发明任意实施例所提供的网络设备漏洞的验证方法,具备执行方法相应的功能模块和有益效果。
实施例5
图5示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图5所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如网络设备漏洞的验证方法。
在一些实施例中,网络设备漏洞的验证方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的网络设备漏洞的验证方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行网络设备漏洞的验证方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种网络设备漏洞的验证方法,其特征在于,包括:
获取目标系统的资产分布信息,基于所述资产分布信息构建网络设备拓扑图,其中,所述网络设备拓扑图包括网络设备和网络设备之间的连接链路;
将所述目标系统的系统漏洞映射到所述网络设备拓扑图中,获取引发目标危害结果时在所述网络设备拓扑图中的至少一个漏洞触发路径;
分别确定引发所述目标危害结果的每个所述漏洞触发路径的价值度,基于所述价值度确定所述系统漏洞中引发所述目标危害结果的目标漏洞。
2.根据权利要求1所述的网络设备漏洞的验证方法,其特征在于,所述分别确定引发所述目标危害结果的每个所述漏洞触发路径的价值度,包括:
针对引发所述目标危害结果的每个所述漏洞触发路径,在所述网络设备拓扑图中确定与所述漏洞触发路径对应的网络设备之间的连接链路;
计算所述连接链路的可通行性分数,基于所述连接链路的可通行性分数确定所述漏洞触发路径的价值度。
3.根据权利要求2所述的网络设备漏洞的验证方法,其特征在于,所述基于所述资产分布信息构建网络设备拓扑图,包括:
根据资产分布信息划分资产区块,将所述目标系统中的网络设备按照工作区域添加到所述资产区块中,并建立所述网络设备之间的连接链路,以得到所述目标系统的网络设备拓扑图。
4.根据权利要求3所述的网络设备漏洞的验证方法,其特征在于,所述计算所述连接链路的可通行性分数,包括:
获取目标系统的资产重要性,根据资产重要性对资产区块进行量化,得到与所述资产区块的对应的重要分数;
获取所述目标系统的资产相关性,根据所述资产相关性获取任意两个资产区块的相关分数;
将位于所述连接链路两端的所述网络设备所处的资产区块之间的相关分数赋权到对应资产区块的重要分数上,对赋权后的重要分数进行求和,得到连接链路的可通行性分数。
5.根据权利要求4所述的网络设备漏洞的验证方法,其特征在于,所述网络设备拓扑图还包括网络设备的外围链路;所述基于所述连接链路的可通行性分数确定所述漏洞触发路径的价值度,包括:
获取所述网络设备拓扑图中与所述漏洞触发路径对应的所述网络设备的外围链路,将位于所述外围链路两端的所述网络设备所处的所述资产区块之间的相关分数赋权到对应所述资产区块的重要分数上,得到初次赋权分数;
对所述初次赋权分数进行二次赋权后再进行求和,得到所述外围链路的可通行性分数,其中,二次赋权采用的赋权因子高于所述相关分数。
6.根据权利要求2所述的网络设备漏洞的验证方法,其特征在于,所述基于所述连接链路的可通行性分数确定所述漏洞触发路径的价值度,包括:
获取所述连接链路中的所述网络设备的历史防护数据,根据所述历史防护数据确定所述网络设备的防护分数;
基于所述网络设备的防护分数和所述连接链路的可通行性分数确定所述漏洞触发路径的价值度。
7.根据权利要求2所述的网络设备漏洞的验证方法,其特征在于,在所述获取引发目标危害结果时在所述网络设备拓扑图中的至少一个漏洞触发路径之前,还包括:
基于预先构建的结果数据库中存储的已知危害结果确定与所述系统漏洞对应的目标危害结果。
8.根据权利要求7所述的网络设备漏洞的验证方法,其特征在于,在基于所述基于预先构建的结果数据库中存储的已知危害结果确定与所述系统漏洞对应的目标危害结果之前,还包括:
对目标系统进行渗透测试,得到所述目标系统的系统漏洞;
获取所述系统漏洞引发的已知危害结果,根据所述已知危害结果构建结果数据库。
9.根据权利要求1所述的网络设备漏洞的验证方法,其特征在于,所述基于所述价值度确定所述系统漏洞中引发所述目标危害结果的目标漏洞,包括:
将所述价值度最高的所述漏洞触发路径对应的所述系统漏洞作为引发所述目标危害结果的目标漏洞。
10.一种网络设备漏洞的验证装置,其特征在于,包括:
拓扑图构建模块,用于获取目标系统的资产分布信息,基于所述资产分布信息构建网络设备拓扑图,其中,所述网络设备拓扑图包括网络设备、网络设备之间的连接链路以及外围链路;
触发路径获取模块,用于将所述目标系统的系统漏洞映射到所述网络设备拓扑图中,获取引发目标危害结果时在所述网络设备拓扑图中的至少一个漏洞触发路径;
目标漏洞确定模块,用于分别确定引发所述目标危害结果的每个所述漏洞触发路径的价值度,基于所述价值度确定所述系统漏洞中引发所述目标危害结果的目标漏洞。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311035184.0A CN117097524A (zh) | 2023-08-16 | 2023-08-16 | 网络设备漏洞的验证方法、装置、设备以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311035184.0A CN117097524A (zh) | 2023-08-16 | 2023-08-16 | 网络设备漏洞的验证方法、装置、设备以及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117097524A true CN117097524A (zh) | 2023-11-21 |
Family
ID=88782853
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311035184.0A Pending CN117097524A (zh) | 2023-08-16 | 2023-08-16 | 网络设备漏洞的验证方法、装置、设备以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117097524A (zh) |
-
2023
- 2023-08-16 CN CN202311035184.0A patent/CN117097524A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2020199621A1 (zh) | 基于知识图谱检测欺诈 | |
| US20240267402A1 (en) | Detecting kerberos ticket attacks within a domain | |
| CN109922032B (zh) | 用于确定登录账户的风险的方法、装置、设备及存储介质 | |
| US20230362200A1 (en) | Dynamic cybersecurity scoring and operational risk reduction assessment | |
| US20180013771A1 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
| US20210136120A1 (en) | Universal computing asset registry | |
| US20180253737A1 (en) | Dynamicall Evaluating Fraud Risk | |
| CN107122669A (zh) | 一种评估数据泄露风险的方法和装置 | |
| CN111552973A (zh) | 对设备进行风险评估的方法、装置、电子设备及介质 | |
| US20160269431A1 (en) | Predictive analytics utilizing real time events | |
| CN112953938A (zh) | 网络攻击防御方法、装置、电子设备及可读存储介质 | |
| CN115225384B (zh) | 一种网络威胁度评估方法、装置、电子设备及存储介质 | |
| CN116628705A (zh) | 一种数据安全处理方法、系统、电子设备及存储介质 | |
| Janiszewski et al. | A novel approach to national-level cyber risk assessment based on vulnerability management and threat intelligence | |
| CN116915463B (zh) | 一种调用链数据安全分析方法、装置、设备及存储介质 | |
| CN117609992A (zh) | 一种数据泄密检测方法、装置及存储介质 | |
| Ma et al. | Frequency and severity estimation of cyber attacks using spatial clustering analysis | |
| CN117499148A (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
| EP4111666A1 (en) | Systems, methods, and storage media for calculating the frequency of cyber risk loss within computing systems | |
| CN115134386B (zh) | 一种物联网态势感知系统、方法、设备及介质 | |
| CN116015811A (zh) | 评估网络安全的方法、装置、存储介质以及电子设备 | |
| CN116204843A (zh) | 一种异常账户的检测方法、装置、电子设备及存储介质 | |
| CN116226644A (zh) | 设备故障类型的确定方法、装置、电子设备及存储介质 | |
| CN117097524A (zh) | 网络设备漏洞的验证方法、装置、设备以及存储介质 | |
| CN113518086A (zh) | 网络攻击预测的方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |