CN117527342A - 数据处理方法和装置、电子设备、计算机可读介质 - Google Patents
数据处理方法和装置、电子设备、计算机可读介质 Download PDFInfo
- Publication number
- CN117527342A CN117527342A CN202311466253.3A CN202311466253A CN117527342A CN 117527342 A CN117527342 A CN 117527342A CN 202311466253 A CN202311466253 A CN 202311466253A CN 117527342 A CN117527342 A CN 117527342A
- Authority
- CN
- China
- Prior art keywords
- network
- target host
- risk
- security
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title abstract description 19
- 238000000034 method Methods 0.000 claims abstract description 29
- 238000010586 diagram Methods 0.000 claims description 46
- 230000004044 response Effects 0.000 claims description 22
- 238000012545 processing Methods 0.000 claims description 15
- 238000003860 storage Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 9
- 230000008439 repair process Effects 0.000 claims description 9
- 238000001514 detection method Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 7
- 238000002955 isolation Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013486 operation strategy Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提供了一种数据处理方法和装置。该方法的一具体实施方式包括:对云网络主机进行安全漏洞扫描,得到安全风险数据;基于安全风险数据,确定具有风险的目标主机以及目标主机的入网策略;基于目标主机的网络结构和入网策略,检测目标主机是否可被公网访问到;响应于目标主机可被公网访问到,基于网络设备的配置信息,遍历自目标主机开始具有连接关系的网络设备,直至没有相连的网络设备为止;基于网络设备,得到并输出包括至少一个路径节点的攻击路径图。该实施方式提升了埋点数据采集的准确性。
Description
技术领域
本公开涉及计算机技术领域,具体涉及数据处理方法和装置、电子设备以及计算机可读介质。
背景技术
随着互联网行业的快速发展,网络环境遭受入侵攻击的事件也在日渐升高,各组织在组织内部及边界部署大量的主动扫描类安全产品(如网站威胁扫描、主机安全等),用来检测其内部潜在的网络安全威胁。
由于主动扫描类型安全产品扫描会产生大量安全风险数据,而实际很多云网络主机并未直接对外暴露,通过安全运营中心等产品控制台也无法确认是否可直接被外部攻击。
发明内容
本公开的实施例提出了数据处理方法和装置、电子设备、计算机可读介质。
第一方面,本公开的实施例提供了一种数据处理方法,该方法包括:对云网络主机进行安全漏洞扫描,得到安全风险数据;基于安全风险数据,确定具有风险的目标主机以及目标主机的入网策略;基于目标主机的网络结构和入网策略,检测目标主机是否可被公网访问到;响应于目标主机可被公网访问到,基于网络设备的配置信息,遍历自目标主机开始具有连接关系的网络设备,直至没有相连的网络设备为止;基于网络设备,得到并输出包括至少一个路径节点的攻击路径图。
在一些实施例中,上述方法还包括:基于安全风险数据,确定风险特征;基于风险特征,对目标主机进行修复。
在一些实施例中,上述基于目标主机的网络结构和入网策略,检测目标主机是否可被公网访问到包括:基于目标主机的网络结构,确定目标主机的风险端口;基于风险端口,检测目标主机是否可被相邻的网络设备访问到;响应于目标主机可以被相邻的网络设备访问到,基于入网策略,检测目标主机是否可被公网访问到。
在一些实施例中,上述响应于目标主机可以被相邻的网络设备访问到,基于入网策略,检测目标主机是否可被公网访问到包括:基于入网策略中的安全组配置信息、访问控制列表以及路由表信息,检测目标主机是否可被公网访问到。
在一些实施例中,上述基于网络设备,得到并输出包括至少一个路径节点的攻击路径图包括:确定网络设备的地址和端口;按照网络设备中各个设备自内层到外层的顺序,依次连接与各个设备对应的路径节点,得到自目标主机至公网之间的初始有向图;在初始有向图上增加各个设备的地址和端口,得到包括至少一个路径节点的攻击路径图。
在一些实施例中,安全风险数据包括:目标主机的风险等级,基于网络设备,得到并输出包括至少一个路径节点的攻击路径图还包括:从为多个风险等级的标识集中选取与目标主机的风险等级对应的目标标识;采用与目标标识标注攻击路径图,得到标注完成的攻击路径图。
第二方面,本公开的实施例提供了一种数据处理装置,该装置包括:扫描单元,被配置成对云网络主机进行安全漏洞扫描,得到安全风险数据;确定单元,被配置成基于安全风险数据,确定具有风险的目标主机以及目标主机的入网策略;检测单元,被配置成基于目标主机的网络结构和入网策略,检测目标主机是否可被公网访问到;排序单元,被配置成响应于目标主机可被公网访问到,基于网络设备的配置信息,遍历自目标主机开始具有连接关系的网络设备,直至没有相连的网络设备为止;输出单元,被配置成基于网络设备,得到并输出包括至少一个路径节点的攻击路径图。
在一些实施例中,上述装置还包括:修复单元,被配置成基于安全风险数据,确定风险特征;基于风险特征,对目标主机进行修复。
在一些实施例中,上述检测单元进一步被配置成:基于目标主机的网络结构,确定目标主机的风险端口;基于风险端口,检测目标主机是否可被相邻的网络设备访问到;响应于目标主机可以被相邻的网络设备访问到,基于入网策略,检测目标主机是否可被公网访问到。
在一些实施例中,上述检测单元进一步被配置成:基于入网策略中的安全组配置信息、访问控制列表以及路由表信息,检测目标主机是否可被公网访问到。
在一些实施例中,上述输出单元进一步被配置成:确定网络设备的地址和端口;按照网络设备中各个设备自内层到外层的顺序,依次连接与各个设备对应的路径节点,得到自目标主机至公网之间的初始有向图;在初始有向图上增加各个设备的地址和端口,得到包括至少一个路径节点的攻击路径图。
在一些实施例中,上述安全风险数据包括:目标主机的风险等级,上述输出单元进一步被配置成:从为多个风险等级的标识集中选取与目标主机的风险等级对应的目标标识;采用与目标标识标注攻击路径图,得到标注完成的攻击路径图。
第三方面,本公开的实施例提供了一种电子设备,该电子设备包括:一个或多个处理器;存储装置,其上存储有一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面中任一实施例描述的方法。
第四方面,本公开的实施例提供了一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面中任一实施例描述的方法。
本公开的实施例提供的数据处理方法和装置,首先,对云网络主机进行安全漏洞扫描,得到安全风险数据;其次,基于安全风险数据,确定具有风险的目标主机以及目标主机的入网策略;再次,基于目标主机的网络结构和入网策略,检测目标主机是否可被公网访问到;从次,响应于目标主机可被公网访问到,基于网络设备的配置信息,遍历自目标主机开始具有连接关系的网络设备,直至没有相连的网络设备为止;最后,基于网络设备,得到并输出包括至少一个路径节点的攻击路径图。由此,通过扫描风险主机,自动对具有风险的目标主机进行攻击路径测绘,解决了安全运营者可能对云上网络拓扑及产品部署架构、网络策略不清晰,导致在大量风险主机存在情况下反复与运维方、系统业务方了解沟通而造成较高的沟通成本的问题。通过攻击路径图,可以快速对风险主机进行研判,以排列出优先级并进行修复响应或结合更加准确的结合安全产品对安全风险进行快速缓解。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本公开的其它特征、目的和优点将会变得更明显:
图1是本公开的一个实施例可以应用于其中的示例性系统架构图;
图2是根据本公开的数据处理方法的一个实施例的流程图;
图3是本公开云网络至公网的一种结构示意图;
图4是根据本公开的数据处理装置的一个实施例的结构示意图;
图5是适于用来实现本公开的实施例的电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
图1示出了可以应用本公开的数据处理方法的示例性系统架构100。如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,通常可以包括无线通信链路等等。
终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如即时通信工具、邮箱客户端等。
终端设备101、102、103可以是硬件,也可以是软件;当终端设备101、102、103为硬件时,可以是具有通信和控制功能的用户设备,上述用户设备可与服务器105进行通信。当终端设备101、102、103为软件时,可以安装在上述用户设备中;终端设备101、102、103可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
终端设备101、102、103中安装有至少一个云网络主机,或者部署有主动扫描类安全产品、网络设备等,终端设备101、102、103将主动扫描类安全产品的扫描得到的安全风险数据发送给服务器105。
服务器105可以是提供各种服务的服务器,例如为终端设备101、102、103上的云网络主机提供攻击路径图的后台服务器。后台服务器对云网络主机进行安全漏洞扫描,得到安全风险数据;基于安全风险数据,确定具有风险的目标主机以及目标主机的入网策略;基于目标主机的网络结构和入网策略,检测目标主机是否可被公网访问到;响应于目标主机可被公网访问到,基于网络设备的配置信息,遍历自目标主机开始具有连接关系的网络设备,直至没有相连的网络设备为止;基于网络设备,得到并输出包括至少一个路径节点的攻击路径图,并将攻击路径图反馈给终端设备101、102、103。
需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
需要说明的是,本公开的实施例所提供的一个数据处理方法一般由服务器105执行;本公开的实施例所提供的一个数据处理装置一般设置在服务器105中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
传统技术中,安全运营者无法针对云上安全风险数据进行风险的优先级排序,需要拉通各业务方及运维方获取网络策略、业务架构,进行综合研究判断才可以进行准确的风险优先级排序,并确认其可能潜在的攻击路径,可能导致错失攻击防护或风险闭环的最佳时期。
传统技术中,安全产品控制台及安全运营中心仅显示漏洞主机及漏洞描述,通过查询云网络主机也仅仅显示云网络主机的产品信息,包括IP、归属等。如需要对存在的漏洞的产品进一步确认是否可被直接利用,还需要结合网络产品、子网策略等各控制台或产品页面进行分析,但是由于网络产品、子网策略可能涉及到多个产品的权限,并且在实际的生产环境中,安全运营人员并无权限,无法直接获得漏洞涉及产品对应的风险状况。
本公开提供了一种数据处理方法,可以解决传统技术中无法在云网络主机具有风险分析与该目标主机相关的整个云网络和公网通信的时网路的风险的问题。如图2,示出了根据本公开的数据处理方法的一个实施例的流程200,该数据处理方法包括以下步骤:
步骤201,对云网络主机进行安全漏洞扫描,得到安全风险数据。
本实施例中,安全漏洞是硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,通过该缺陷攻击者能够在未授权的情况下访问或破坏系统。安全漏洞也是受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点,通过本公开的数据处理方法可以确定攻击者的具体攻击路径,并且该攻击路径以攻击路径图的形式进行展示。
本实施例中,安全漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测行为。
本实施例中,安全风险数据是指影响云网络主机安全的安全漏洞数据,通过安全风险数据可以确定出现安全漏洞的风险的云网络主机;安全风险数据包括:出现安全漏洞的云网络主机,该云网络主机的漏洞风险分布以及该云网络主机的安全漏洞的检测时间等,为了表征不同云网络主机出现的安全漏洞对云网络主机的影响,该云网络主机的漏洞还可以具有不同安全风险等级,如,严重、高危、中危以及低危。
本实施例中,通过漏洞扫描工具可以对云网络的产品或资产进行安全漏洞扫描,可以得到漏洞扫描工具的对云网络中各个云网络主机的漏洞扫描结果,当安全漏洞扫描结果为无安全漏洞时,无安全风险数据。当安全漏洞扫描结果为具有安全漏洞时,得到对应不同云网络主机的安全风险数据。
步骤202,基于安全风险数据,确定具有风险的目标主机以及目标主机的入网策略。
本实施例中,安全风险数据包括:出现安全漏洞的云网络主机,该出现安全漏洞的云网络主机为目标主机,具有出现安全漏洞的情况,目标主机的个数可以是一个,也可以是多个。上述步骤202包括:基于安全风险数据,确定出现安全漏洞的云网络主机,将该出现安全漏洞的云网络主机作为目标主机,基于目标主机在云网络中的配置信息,确定目标主机的入网策略。
本实施例中,云网络主机是整合了计算、存储与网络资源的IT基础设施能力租用服务,能提供基于云计算模式的按需使用和按需付费能力的服务器租用服务。客户可以通过WEB界面的自助服务平台,部署所需的服务器环境。
本实施例中,入网策略是目标主机在云网络中与各个云网络主机进行网络通信,以及目标主机与公网中各个网络设备进行网络通信的策略。例如,入网策略包括:与公网进行通信,其中公网是与云网络具有区别的互联网,如图3中,公网区域是公网所在的区域,通过Web应用防火墙可以对公网和内网进行有效地隔离。
为了更好地对不同的目标主机进行风险定级,安全风险数据还包括:安全风险等级,如,严重、高危、中危以及低危。上述步骤202还包括:基于安全风险数据,确定目标主机的安全风险等级。上述数据处理方法还包括:将安全风险等级作为攻击路径图的等级,并输出该攻击路径图的等级。
步骤203,基于目标主机的网络结构和入网策略,检测目标主机是否可被公网访问到。
本实施例中,上述步骤203包括:检测入网策略中是否记载有目标主机与公网连接的子策略;响应于入网策略中记载有目标主机与公网连接子策略,基于目标主机的网络结构,检测目标主机是否具有与相邻的网络设备连接的端口,响应于目标主机具有与相邻的网络设备连接端口,确定目标主机可被公网访问到。
可选地,上述步骤203还包括:响应于目标主机不具有与相邻的网络设备连接的端口,确定目标主机不可被公网访问到,不再执行步骤204-205,直接退出对数据的处理。
本实施例中,云网络主机是云网络中的主机,云网络包括私有云、公有云、混合云及行业云等,如图3所示的内网区域是一种私有云的区域,在图3中,内网区域包括:多个子网区域和隔离区,其中隔离区用于隔离公网区域与多个子网区域,多个子网区域中的各个子网区域基于业务需求,可以将各个子网分别设置应用区、数据区以及IT管理区,各个子网区域具有至少一个云网络主机。
步骤204,响应于目标主机可被公网访问到,基于网络设备的配置信息,遍历自目标主机开始具有连接关系的网络设备,直至没有相连的网络设备为止。
本实施例中,在确定目标主机可以被公网访问到之后,可以从目标主机开始自云网络至公网依次与目标主机相关的网络设备,具体地上述步骤204包括:响应于目标主机可被公网访问到,基于与目标主机相连的第一网络设备的配置信息,检测外层的与第一网络设备连接的第二网络设备是否存在,若第二网络设备存在,获取第二网络设备的配置信息,并基于第二网络设备的配置信息,确定外层的与第二网络设备连接的第三网络设备是否存在,若第三网络设备存在,继续寻找外层的网络设备,直至确定出最后的网络设备为公网的设备为止,确定第一网络设备、第二网络设备、第三网络设备、最后的网络设备为与目标主机依次相连的网络设备。
步骤205,基于网络设备,得到并输出包括至少一个路径节点的攻击路径图。
本实施例中,网络设备有至少一个,每个网络设备按照内网(云网络)到公网(互联网)的顺序排列,上述步骤205包括:为目标主机以及每个网络设备设置相应的路径节点,各个路径节点上设置有目标主机的名称以及各个网络设备的相应的名称,连接所有的路径节点,得到攻击路径图。
本实施例中,网络设备可以是云网络设备,也可以公网设备,基于各个网络设备的配置信息可以得到攻击路径上,各个网络设备的端口和地址。上述步骤205还可以包括:在与各个网络设备对应的路径节点上增加各个网络设备的端口和地址,通过攻击路径图可以确定影响目标主机的公网的网络设备。
本实施例提供的数据处理方法,首先,对云网络主机进行安全漏洞扫描,得到安全风险数据;其次,基于安全风险数据,确定具有风险的目标主机以及目标主机的入网策略;再次,基于目标主机的网络结构和入网策略,检测目标主机是否可被公网访问到;从次,响应于目标主机可被公网访问到,基于网络设备的配置信息,遍历自目标主机开始具有连接关系的网络设备,直至没有相连的网络设备为止;最后,基于网络设备,得到并输出包括至少一个路径节点的攻击路径图。由此,通过扫描风险主机,自动对具有风险的目标主机进行攻击路径测绘,解决了安全运营者可能对云上网络拓扑及产品部署架构、网络策略不清晰,导致在大量风险主机存在情况下反复与运维方、系统业务方了解沟通而造成较高的沟通成本的问题。通过攻击路径图,可以快速对风险主机进行研判,以排列出优先级并进行修复响应或结合更加准确的结合安全产品对安全风险进行快速缓解。
在本公开的一些实施例中,上述方法还包括:基于安全风险数据,确定风险特征;基于风险特征,对目标主机进行修复。
本实施例中,风险特征是安全风险数据的特征,通过对风险特征进行分析,可以确定安全风险数据的特点,从而采取相应的手段,避免安全风险数据。风险特征包括:可隔离特征、可规则配置特征,其中,可隔离特征是指目标主机的安全漏洞是可以通过隔离手段(比如,隔离工具或者隔离代码)进行隔离的漏洞,在对目标主机进行修复,可以采用隔离手段对目标主机所暴露的安全漏洞进行隔离。可规则配置特征是指通过对目标主机进行通信规则配置,目标主机通过采用该通信规则,可以有效地的避免的安全漏洞。
本实施例提供的数据处理方法,基于安全风险数据,确定风险特征;基于风险特征,对目标主机进行修复,可以有效地保证目标主机不会因安全漏洞而影响正常运行,提高了目标主机运行的安全性。
可选地,上述方法还包括:在对目标主机进行修复时,控制网络设备按照临时运行策略运行,直到目标主机修复完成为止。
可选地,上述方法还包括:基于安全风险数据,确定攻击路径上与目标主机的安全漏洞完全相关的网络设备,对该网络设备进行隔离或者规则设置,以使该网络设备不会对目标主机具有实质的影响。
在本公开的一些可选实现方式中,上述基于目标主机的网络结构和入网策略,检测目标主机是否可被公网访问到包括:基于目标主机的网络结构,确定目标主机的风险端口;基于风险端口,检测目标主机是否可被相邻的网络设备访问到;响应于目标主机可以被相邻的网络设备访问到,基于入网策略,检测目标主机是否可被公网访问到。
本可选实现方式中,上述基于风险端口,检测目标主机是否可被相邻的网络设备访问到包括:基于风险端口,检测是否具有与该目标主机的风险端口相连的网络设备;若具有与目标主机的风险端口相邻的网络设备,说明目标主机的风险端口连接有相应的网络设备,通过目标主机的入网策略,可以确定目标主机是否开通了公网访问权限,若通过入网策略确定目标主机开通了公网访问权限,确定目标主机可被公网访问到。
可选地,响应于目标主机的入网策略中未开通公网访问策略,则确定目标主机不可被公网访问到,无需生成攻击路径图。
本可选实现方式中,在得到目标主机之后,基于目标主机的网络结构,确定目标主机的风险端口,基于风险端口确定目标主机是否可被相邻的网络设备访问到;响应于目标主机可以被相邻的网络设备访问到,基于目标主机的入网策略,检测目标主机是否可被公网访问到。由此,提高了目标主机的公网访问判断的可靠性。
可选地,上述基于目标主机的网络结构和入网策略,检测目标主机是否可被公网访问到包括:基于目标主机的网络结构,确定目标主机的子网区域,如图3中的一种子网区域为“数据区”;基于目标主机的入网策略,检测子网的入网策略(如子网对应的安全组、子网ACL(Access Control List,访问控制列表)、子网路由表)是否开通了公网访问权限,响应于子网策略开通了公网访问权限,确定目标主机可被公网访问到。
在本公开的一些可选实现方式中,上述响应于目标主机可以被相邻的网络设备访问到,基于入网策略,检测目标主机是否可被公网访问到包括:基于入网策略中的安全组配置信息、访问控制列表以及路由表信息,检测目标主机是否可被公网访问到。
本可选实现方式中,入网策略中的安全组配置信息、访问控制列表以及路由表信息是目标主机的子网的策略,目标主机通过虚拟私有云实现网络的灵活控制,通过虚拟私有云可以实现云中的网络规划,包括创建子网、配置安全组、连接公网,或者与企业数据中心互联。
本可选实现方式中,子网是用于管理目标主机网络平面的一个网络,通过子网的入网的策略可以确定目标主机是否能公网访问到。
本可选实现方式中,通过安全组配置信息可以检测子网是否能被公网的网关访问到,在通过安全组配置信息确定子网能被公网的网关访问到时,检测访问控制列表中是否具有被公网访问的基本手段,该基本手段为是开通与公网进行地址或端口映射的功能,响应于访问控制列表中具有被公网访问的基本手段;检测子网的路由表信息中是否存储有指向外网的网络地址的路径,响应于路由信息中具有指向外网的网络地址的路径,确定目标主机是否可被公网访问到。
需要说明的是,在子网的安全组配置信息、访问控制列表以及路由表信息三项中任何一项均不满足要求时,确定目标主机无法被公网访问到。
本可选实现方式提供的检测目标主机是否可被公网访问到的方法,通过目标主机的安全组配置信息、访问控制列表以及路由表信息中记录的信息,确定目标主机是否能被公网访问到,提高了目标主机信息确定的可靠性。
在本公开的一些可选实现方式中,上述基于网络设备,得到并输出包括至少一个路径节点的攻击路径图包括:确定网络设备的地址和端口;按照网络设备中各个设备自内层到外层的顺序,依次连接与各个设备对应的路径节点,得到自目标主机至公网之间的初始有向图;在初始有向图上增加各个设备的地址和端口,得到包括至少一个路径节点的攻击路径图。
本可选实现方式中,上述自内层到外层的顺序是指:自云网络实现的内外至公网之间的方向。
本可选实现方式中,通过攻击路径图可以确定因目标主机的安全漏洞存在,而会对目标主机具有攻击影响的所有的网络设备,该网络设备可以云网络中的设备,也可以是公网中的设备。
具体地,如图3所示,对内网区域进行安全漏洞扫描,当存在具有安全漏洞的目标主机A时,目标主机A的子网名称为“数据区”,首先通过目标主机A的网络结构,确认当前目标主机A漏洞所影响对外的端口,再检查其子网的入网策略(如安全组、Acl、路由表等),再通过子网的最近的上层云设备“Web应用防火墙(负载均衡版)”的配置信息,确定与“Web应用防火墙(负载均衡版)”是否存在,如果存在,遍历该网络设备,继续检查上层的LB、云防火墙、Web应用防火墙等网络设备的配置情况,如存在继续记录,最终得到攻击路径图并进行输出。其中,LB是一种负载均衡技术模块;Web应用防火墙(负载均衡版):通过绑定LB来对LB后端业务中的Web系统进行安全防护。
本可选实现方式提供的得到攻击路径图的方法,首先确定网络设备的地址和端口,按序连接各个网络设备对应的路径节点,得到初始有向图,在初始有向图上增加各个设备的地址和端口,得到包括至少一个路径节点的攻击路径图,为攻击路径图的实现提供了一种可靠的实现方式,提高了攻击路径图实现的可靠性。
可选地,上述基于网络设备,得到并输出包括至少一个路径节点的攻击路径图包括:确定网络设备中各个设备的名称、地址以及与网络设备中其他设备相连接的端口;以网络设备中各个设备的名称、地址以及端口作为路径节点的具体信息,绘制并连接所有路径节点,得到包括至少一个路径节点的攻击路径图。
在本公开的一些可选实现方式中,上述安全风险数据包括:目标主机的风险等级,基于网络设备,得到并输出包括至少一个路径节点的攻击路径图还包括:从为多个风险等级的标识集中选取与目标主机的风险等级对应的目标标识;采用与目标标识标注攻击路径图,得到标注完成的攻击路径图。
本可选实现方式中,风险等级包括:高等级、中等级、低等级,在标识集中具有方块、圆形、三角共三种标识,各个标识依次代表上述不同风险等级,当安全风险数据中的风险等级为高等级时,从标识集选取方块,并采用方块标识攻击路径图,得到标注完成的攻击路径图。通过标注完成的攻击路径图,可以使安全运营者快速对风险主机进行研究判断,以排列出优先级并进行修复响应或结合更加准确的结合安全产品对安全风险进行快速缓解。
本可选实现方式提供的得到攻击路径图的方法,基于安全风险数据的风险等级,确定目标标识,采用目标标识标志攻击路径图,可以有效地区分攻击路径图对应的目标主机和网络设备的安全程度,为安全运营者对目标主机和网络设备进行修复提供了可靠的风险依据。由此安全运营者能够直截了当的通过自动化分析攻击路径图,快速对风险主机进行研究判断,以排列出优先级并进行修复响应或结合更加准确的结合安全产品对安全风险进行快速缓解,提高其安全运营者的工作效率。
可选地,安全风险数据包括:目标主机的风险等级,基于网络设备,得到并输出包括至少一个路径节点的攻击路径图还包括:基于网络设备的配置信息,为网络设备中的各个设备分配路径节点;基于风险等级,从对应不同等级的颜色中选取连线颜色,采用连线颜色,并且按照网络设备中各个设备自内网至公网的排列顺序,连接各个设备的路径节点,得到包括至少一个路径节点的攻击路径图。
本公开提供的数据处理方法的一个具体示例中,云平台系统(数据处理运行方法运行于其上的执行主体)采用扫描工具对云网络资产进行扫描,并产生大量数据后,通过该大量数据,点击存在风险的目标主机,此时云平台系统对目标主机进行潜在攻击路径测绘。
首先检查其云主机网络结构及策略,从子网策略开始,依次检查子网对应的安全组信息、子网Acl信息、子网路由表等信息确定当前风险主机是否可被公网访问到。
其次,通过依次检查Web应用防火墙(负载均衡版)所绑定的LB及子网信息、寻找LB对应的转发策略、云防火墙的配置信息、Web应用防火墙源站信息、DDos高防回源信息等确定网络设备,基于网络设备依次为各个网络设备分配路径节点,对路径节点并进行有向连接得到包括至少一个路径节点、有向的攻击路径图。
进一步参考图4,作为对上述各图所示数据处理方法的实现,本公开提供了数据处理装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图4所示,本公开的实施例提供了一种数据处理装置400,该装置400包括:扫描单元401、确定单元402、检测单元403、排序单元404、输出单元405。其中,上述扫描单元401,可以被配置成对云网络主机进行安全漏洞扫描,得到安全风险数据。上述确定单元402,可以被配置成基于安全风险数据,确定具有风险的目标主机以及目标主机的入网策略。上述检测单元403,可以被配置成基于目标主机的网络结构和入网策略,检测目标主机是否可被公网访问到。上述排序单元404,可以被配置成响应于目标主机可被公网访问到,基于网络设备的配置信息,遍历自目标主机开始具有连接关系的网络设备,直至没有相连的网络设备为止。上述输出单元405,可以被配置成基于网络设备,得到并输出包括至少一个路径节点的攻击路径图。
在本实施例中,数据处理装置400中,扫描单元401、确定单元402、检测单元403、排序单元404、输出单元405的具体处理及其所带来的技术效果可分别参考图2对应实施例中的步骤201、步骤202、步骤203、步骤204、步骤205。
在一些实施例中,上述装置400还包括:修复单元(图中未示出),可以被配置成基于安全风险数据,确定风险特征;基于风险特征,对目标主机进行修复。
在一些实施例中,上述检测单元403进一步被配置成:基于目标主机的网络结构,确定目标主机的风险端口;基于风险端口,检测目标主机是否可被相邻的网络设备访问到;响应于目标主机可以被相邻的网络设备访问到,基于入网策略,检测目标主机是否可被公网访问到。
在一些实施例中,上述检测单元403进一步被配置成:基于入网策略中的安全组配置信息、访问控制列表以及路由表信息,检测目标主机是否可被公网访问到。
在一些实施例中,上述输出单元405进一步被配置成:确定网络设备的地址和端口;按照网络设备中各个设备自内层到外层的顺序,依次连接与各个设备对应的路径节点,得到自目标主机至公网之间的初始有向图;在初始有向图上增加各个设备的地址和端口,得到包括至少一个路径节点的攻击路径图。
在一些实施例中,上述安全风险数据包括:目标主机的风险等级,上述输出单元405进一步被配置成:从为多个风险等级的标识集中选取与目标主机的风险等级对应的目标标识;采用与目标标识标注攻击路径图,得到标注完成的攻击路径图。
本公开的实施例提供的数据处理装置,首先,扫描单元401对云网络主机进行安全漏洞扫描,得到安全风险数据;其次,确定单元402基于安全风险数据,确定具有风险的目标主机以及目标主机的入网策略;再次,检测单元403基于目标主机的网络结构和入网策略,检测目标主机是否可被公网访问到;从次,排序单元404响应于目标主机可被公网访问到,基于网络设备的配置信息,遍历自目标主机开始具有连接关系的网络设备,直至没有相连的网络设备为止;最后,输出单元405基于网络设备,得到并输出包括至少一个路径节点的攻击路径图。由此,通过扫描风险主机,自动对具有风险的目标主机进行攻击路径测绘,解决了安全运营者可能对云上网络拓扑及产品部署架构、网络策略不清晰,导致在大量风险主机存在情况下反复与运维方、系统业务方了解沟通而造成较高的沟通成本的问题。通过攻击路径图,可以快速对风险主机进行研判,以排列出优先级并进行修复响应或结合更加准确的结合安全产品对安全风险进行快速缓解。
下面参考图5,其示出了适于用来实现本公开的实施例的电子设备500的结构示意图。
如图5所示,电子设备500可以包括处理装置(例如中央处理器、图形处理器等)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储装置508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM503中,还存储有电子设备500操作所需的各种程序和数据。处理装置501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
通常,以下装置可以连接至I/O接口505:包括例如触摸屏、触摸板、键盘、鼠标、等的输入装置506;包括例如液晶显示器(LCD,Liquid Crystal Display)、扬声器、振动器等的输出装置507;包括例如磁带、硬盘等的存储装置508;以及通信装置509。通信装置509可以允许电子设备500与其他设备进行无线或有线通信以交换数据。虽然图5示出了具有各种装置的电子设备500,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图5中示出的每个方框可以代表一个装置,也可以根据需要代表多个装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置509从网络上被下载和安装,或者从存储装置508被安装,或者从ROM 502被安装。在该计算机程序被处理装置501执行时,执行本公开的实施例的方法中限定的上述功能。
需要说明的是,本公开的实施例的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开的实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开的实施例中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(Radio Frequency,射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述服务器中所包含的;也可以是单独存在,而未装配入该服务器中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该服务器执行时,使得该服务器:对云网络主机进行安全漏洞扫描,得到安全风险数据;基于安全风险数据,确定具有风险的目标主机以及目标主机的入网策略;基于目标主机的网络结构和入网策略,检测目标主机是否可被公网访问到;响应于目标主机可被公网访问到,基于网络设备的配置信息,遍历自目标主机开始具有连接关系的网络设备,直至没有相连的网络设备为止;基于网络设备,得到并输出包括至少一个路径节点的攻击路径图。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的实施例的操作的计算机程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开的各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开的实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器,包括扫描单元、确定单元、检测单元、排序单元、输出单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,扫描单元还可以被描述为“被配置成对云网络主机进行安全漏洞扫描,得到安全风险数据”的单元。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开的实施例中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种数据处理方法,所述方法包括:
对云网络主机进行安全漏洞扫描,得到安全风险数据;
基于所述安全风险数据,确定具有风险的目标主机以及所述目标主机的入网策略;
基于所述目标主机的网络结构和所述入网策略,检测所述目标主机是否可被公网访问到;
响应于所述目标主机可被公网访问到,基于网络设备的配置信息,遍历自所述目标主机开始具有连接关系的网络设备,直至没有相连的网络设备为止;
基于所述网络设备,得到并输出包括至少一个路径节点的攻击路径图。
2.根据权利要求1所述的方法,所述方法还包括:
基于所述安全风险数据,确定风险特征;
基于所述风险特征,对所述目标主机进行修复。
3.根据权利要求1所述的方法,其中,所述基于所述目标主机的网络结构和所述入网策略,检测所述目标主机是否可被公网访问到包括:
基于所述目标主机的网络结构,确定所述目标主机的风险端口;
基于所述风险端口,检测所述目标主机是否可被相邻的网络设备访问到;
响应于所述目标主机可以被相邻的网络设备访问到,基于所述入网策略,检测所述目标主机是否可被公网访问到。
4.根据权利要求3所述的方法,其中,所述响应于所述目标主机可以被相邻的网络设备访问到,基于所述入网策略,检测所述目标主机是否可被公网访问到包括:
基于所述入网策略中的安全组配置信息、访问控制列表以及路由表信息,检测所述目标主机是否可被公网访问到。
5.根据权利要求1-4之一所述的方法,其中,所述基于所述网络设备,得到并输出包括至少一个路径节点的攻击路径图包括:
确定所述网络设备的地址和端口;
按照所述网络设备中各个设备自内层到外层的顺序,依次连接与各个设备对应的路径节点,得到自所述目标主机至所述公网之间的初始有向图;
在所述初始有向图上增加各个设备的地址和端口,得到包括至少一个路径节点的攻击路径图。
6.根据权利要求5所述的方法,其中,所述安全风险数据包括:所述目标主机的风险等级,所述基于所述网络设备,得到并输出包括至少一个路径节点的攻击路径图还包括:
从为多个风险等级的标识集中选取与所述目标主机的风险等级对应的目标标识;
采用与所述目标标识标注所述攻击路径图,得到标注完成的攻击路径图。
7.一种数据处理装置,所述装置包括:
扫描单元,被配置成对云网络主机进行安全漏洞扫描,得到安全风险数据;
确定单元,被配置成基于所述安全风险数据,确定具有风险的目标主机以及所述目标主机的入网策略;
检测单元,被配置成基于所述目标主机的网络结构和所述入网策略,检测所述目标主机是否可被公网访问到;
排序单元,被配置成响应于所述目标主机可被公网访问到,基于网络设备的配置信息,遍历自所述目标主机开始具有连接关系的网络设备,直至没有相连的网络设备为止;
输出单元,被配置成基于所述网络设备,得到并输出包括至少一个路径节点的攻击路径图。
8.根据权利要求7所述的装置,所述装置还包括:
修复单元,被配置成基于所述安全风险数据,确定风险特征;基于所述风险特征,对所述目标主机进行修复。
9.一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6中任一项所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现如权利要求1-6中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311466253.3A CN117527342A (zh) | 2023-11-06 | 2023-11-06 | 数据处理方法和装置、电子设备、计算机可读介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311466253.3A CN117527342A (zh) | 2023-11-06 | 2023-11-06 | 数据处理方法和装置、电子设备、计算机可读介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117527342A true CN117527342A (zh) | 2024-02-06 |
Family
ID=89741093
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311466253.3A Pending CN117527342A (zh) | 2023-11-06 | 2023-11-06 | 数据处理方法和装置、电子设备、计算机可读介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117527342A (zh) |
-
2023
- 2023-11-06 CN CN202311466253.3A patent/CN117527342A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9888025B2 (en) | Method and system for providing an efficient asset management and verification service | |
US20210105304A1 (en) | Network asset lifecycle management | |
US9742794B2 (en) | Method and apparatus for automating threat model generation and pattern identification | |
US11509690B2 (en) | Management of botnet attacks to a computer network | |
US9667657B2 (en) | System and method of utilizing a dedicated computer security service | |
JP6785225B2 (ja) | 分散型トラフィック管理システムおよび技術 | |
US20170026401A1 (en) | System and method for threat visualization and risk correlation of connected software applications | |
Detken et al. | SIEM approach for a higher level of IT security in enterprise networks | |
US9450974B2 (en) | Intrusion management | |
CN111934922B (zh) | 一种网络拓扑的构建方法、装置、设备、存储介质 | |
US11956279B2 (en) | Cyber-security in heterogeneous networks | |
AU2015200808B2 (en) | Method and system for providing a robust and efficient virtual asset vulnerability management and verification service | |
US20240022606A1 (en) | An improved computer implemented system and method for cybersecurity management platform of a monitored network | |
US11811736B2 (en) | Generating network infastructure firewalls | |
KR20180130202A (ko) | 집단 지능 기반 악의적 기기 탐지 장치 및 방법 | |
CN106161362A (zh) | 一种网络应用防护方法与设备 | |
Yermalovich et al. | Formalization of attack prediction problem | |
CN117527342A (zh) | 数据处理方法和装置、电子设备、计算机可读介质 | |
US11240120B2 (en) | Simulating multiple paths of a course of action executed in an information technology environment | |
Liatifis et al. | Dynamic risk assessment and certification in the power grid: a collaborative approach | |
Amin et al. | Edge-computing with graph computation: A novel mechanism to handle network intrusion and address spoofing in SDN | |
US20230353535A1 (en) | Securing metrics for a pod | |
Eremeev et al. | A Procedure for Improving Information System Audit Quality by Enhancing Cyberthreat Simulation in Practice | |
Wübbeling et al. | Reclaim your prefix: mitigation of prefix hijacking using IPsec tunnels | |
Sharma et al. | STADS: Security Threats Assessment and Diagnostic System in Software Defined Networking (SDN) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |