CN110868376A - 确定网络环境中易受攻击的资产序列的方法及装置 - Google Patents
确定网络环境中易受攻击的资产序列的方法及装置 Download PDFInfo
- Publication number
- CN110868376A CN110868376A CN201811448258.2A CN201811448258A CN110868376A CN 110868376 A CN110868376 A CN 110868376A CN 201811448258 A CN201811448258 A CN 201811448258A CN 110868376 A CN110868376 A CN 110868376A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- attack
- behavior path
- attack behavior
- path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例公开一种确定网络环境中易受攻击的资产序列的方法及装置,涉及网络信息安全领域,能够准确地确定出网络环境中易受攻击的资产序列。所述确定网络环境中易受攻击的资产序列的方法包括:根据目标网络的网络环境,构建所述目标网络的攻击图;根据所述攻击图,确定攻击行为路径;根据攻击行为路径,计算每条攻击行为路径对应的攻击代价;根据每条攻击行为路径对应的攻击代价,将攻击代价最小的攻击行为路径上的资产序列作为最易受攻击的资产序列。所述装置及电子设备包括用于执行所述方法的模块。本发明适用于确定网络环境中易受攻击的资产序列。
Description
技术领域
本发明涉及网络信息安全领域,尤其涉及一种确定网络环境中易受攻击的资产序列的方法、装置及电子设备。
背景技术
随着计算机的普及、网络技术的飞速发展,社会和个人对网络信息的依赖日益增长,然而人们在得益于计算机和计算机网络的同时,也面对信息安全问题带来的严峻考验。各种各样的信息站、电子站也越演越烈,并逐渐成为了国家与国家、企业与企业、公司与公司之间的竞争手段。因此网络安全问题已成为影响全国、全世界以及各行各业的重大问题。
网络安全问题近年来受到了极大的重视并以飞快的速度发展,特别是一些与之相关的,如网络攻击、入侵检测、防火墙等技术,不断地得到了更新与提高。随着信息化的不断推进,网络攻击手段也呈现出复杂化和多样化。
基于以上现状,每个网络环境都面临着巨大的潜在威胁。针对复杂的网络环境,且涉及的资产较多,依次修复每个资产的脆弱性,工程量巨大,可能一时无法完成。在网络环境中能够及时、准确地确定最易受攻击的资产序列成为维护网络安全的一个重要手段,网络安全管理者可以依据最易受攻击的资产序列对网络环境中的相应资产进行有针对性的修复,保障网络环境的相对安全。
发明内容
有鉴于此,本发明实施例提供一种确定网络环境中易受攻击的资产序列的方法、装置、电子设备及存储介质,能够准确地确定最易受攻击的资产序列。
第一方面,本发明实施例提供一种确定网络环境中易受攻击的资产序列的方法,包括:根据目标网络的网络环境,构建所述目标网络的攻击图;根据所述攻击图,确定攻击行为路径;根据攻击行为路径,计算每条攻击行为路径对应的攻击代价;根据每条攻击行为路径对应的攻击代价,将攻击代价最小的攻击行为路径上的资产序列作为最易受攻击的资产序列。
根据本发明实施例的一种具体实现方式,所述根据所述攻击行为路径,计算每条攻击行为路径对应的攻击代价包括:计算攻击行为路径上的每个弱点对应的攻击代价;将攻击行为路径上的每个弱点对应的攻击代价相加,得到所述攻击行为路径对应的攻击代价。
根据本发明实施例的一种具体实现方式,所述计算攻击行为路径上的每个弱点对应的攻击代价,包括:根据第一弱点的类型以及弱点类型与弱点复杂度的对应关系,确定第一弱点的弱点复杂度;根据从攻击行为路径的起始节点到所述第一弱点的攻击行为路径上,出现所述第一弱点的次数,确定所述第一弱点的弱点依赖系数;根据所述第一弱点在所述攻击行为路径中所处的深度,确定所述第一弱点的弱点深度系数;将所述第一弱点的弱点复杂度、弱点依赖系数和弱点深度系数相乘,得到所述第一弱点对应的攻击代价。
根据本发明实施例的一种具体实现方式,所述根据从攻击行为路径的起始节点到所述第一弱点的攻击行为路径上,出现所述第一弱点的次数,确定所述第一弱点的弱点依赖系数,包括:根据如下公式确定第一弱点的弱点依赖系数Di:
Di=Xi time-1
其中,i为第一弱点在攻击行为路径所处的深度;X为依赖因子;time为从攻击行为路径的起始节点到所述第一弱点的攻击行为路径上,出现所述第一弱点的次数。
第二方面,本发明实施例提供一种确定网络环境中易受攻击的资产序列的装置,包括:攻击图构建模块,用于根据目标网络的网络环境,构建所述目标网络的攻击图;攻击路径确定模块:用于根据所述攻击图,确定攻击行为路径;攻击代价计算模块:用于根据攻击行为路径,计算每条攻击行为路径对应的攻击代价;最易受攻击资产确定模块:用于根据每条攻击行为路径对应的攻击代价,将攻击代价最小的攻击行为路径上的资产序列作为最易受攻击的资产序列。
根据本发明实施例的一种具体实现方式,所述攻击代价计算模块包括:弱点攻击代价计算子模块:用于计算攻击行为路径上的每个弱点对应的攻击代价;弱点攻击代价累加子模块:用于将攻击行为路径上的每个弱点对应的攻击代价相加,得到所述攻击行为路径对应的攻击代价。
根据本发明实施例的一种具体实现方式,所述弱点攻击代价计算子模块包括:弱点复杂度确定子模块:用于根据第一弱点的类型以及弱点类型与弱点复杂度的对应关系,确定第一弱点的弱点复杂度;弱点依赖系数确定子模块:用于根据从攻击行为路径的起始节点到所述第一弱点的攻击行为路径上,出现所述第一弱点的次数,确定所述第一弱点的弱点依赖系数;弱点深度系数确定子模块:用于根据所述第一弱点在所述攻击行为路径中所处的深度,确定所述第一弱点的弱点深度系数;弱点攻击代价乘积子模块:用于将所述第一弱点的弱点复杂度、弱点依赖系数和弱点深度系数相乘,得到所述第一弱点对应的攻击代价。
根据本发明实施例的一种具体实现方式,所述弱点依赖系数确定子模块,具体用于:根据如下公式确定第一弱点的弱点依赖系数Di:
Di=Xi time-1
其中,i为第一弱点在攻击行为路径所处的深度;X为依赖因子;time为从攻击行为路径的起始节点到所述第一弱点的攻击行为路径上,出现所述第一弱点的次数。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实现方式所述的方法。
第四方面,本发明的实施例还提供一计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的方法。
本发明实施例提供的一种确定网络环境中易受攻击的资产序列的方法、装置、电子设备及存储介质,通过计算攻击行为路径对应的攻击代价,能够准确地确定最易受攻击的资产序列,网络安全管理者可以依据最易受攻击的资产序列对网络环境中的相应资产进行有针对性的修复,保障网络环境的相对安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明一实施例的确定网络环境中易受攻击的资产序列的方法流程示意图;
图2为本发明一实施例的计算每条攻击行为路径对应的攻击代价的流程示意图;
图3为本发明一实施例的计算攻击行为路径上的每个弱点对应的攻击代价的流程示意图;
图4为本发明一实施例的攻击图;
图5为本发明一实施例的确定网络环境中易受攻击的资产序列装置的结构示意图;
图6为本发明的一实施例的电子设备结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本实施例提供一种确定网络环境中易受攻击的资产序列的方法,能够准确地确定网络环境中易受攻击的资产序列。
图1为本发明实施例一的确定网络环境中易受攻击的资产序列的方法的流程示意图,如图1所示,本实施例的方法可以包括:
步骤101、根据目标网络的网络环境,构建所述目标网络的攻击图。
本实施例中,攻击图是通过模拟攻击者对存在安全漏洞的网络攻击过程,找到所有能够到达目标的攻击行为路径,同时将这些路径以图的形式表现;目标网络是需要在其中找到易受攻击的资产序列的网络。
步骤102、根据所述攻击图,确定攻击行为路径。
本实施例中,基于复杂的网络环境生成的攻击图,从起始节点出发到达攻击目标,会存在多条路径,每个路径都可能成为攻击者选择的攻击行为路径。攻击发生的前提条件是网络中存在着弱点,由于这些弱点之间存在着一定的关联性,资产也存在着相互信任关系,网络攻击者可以利用这些关联性或信任关系,在一次具体攻击完成后,进行后续攻击,因此,攻击路径通常是一种复杂的多步骤的过程。
步骤103、根据攻击行为路径,计算每条攻击行为路径对应的攻击代价。
本实施例中,攻击代价表示攻击行为完成后所花费的代价,可由攻击复杂度以及攻击被发现的风险两部分组成。
步骤104、根据每条攻击行为路径对应的攻击代价,将攻击代价最小的攻击行为路径上的资产序列作为最易受攻击的资产序列。
本实施例中,攻击行为路径对应的攻击代价越小,表示攻击行为完成的可能性越高,攻击行为路径对应的资产序列越危险。
本实施例,根据目标网络的网络环境,构建所述目标网络的攻击图,由所述攻击图,确定攻击行为路径,并计算每条攻击行为路径对应的攻击代价,能够准确地确定出最易受攻击的资产序列,网络安全管理者可以依据最易受攻击的资产序列对网络环境中的相应资产进行有针对性的修复,保障网络环境的相对安全。
为了能够准确地确定最易受攻击的资产序列,网络安全管理者依据最易受攻击的资产序列对网络环境中的相应资产进行有针对性的修复,保障网络环境的相对安全,本发明给出了计算每条攻击行为路径的计算方法,下面通过一个实施例介绍每条攻击行为路径的计算步骤。
图2为本发明一实施例的计算每条攻击行为路径对应的攻击代价的流程图,如图2所示,所述根据所述攻击行为路径,计算每条攻击行为路径对应的攻击代价包括:
步骤201、计算攻击行为路径上的每个弱点对应的攻击代价。
本实施例中,弱点可为信息安全漏洞。
步骤202、将攻击行为路径上的每个弱点对应的攻击代价相加,得到所述攻击行为路径对应的攻击代价。
本实施例中,确定了攻击行为路径上的每个弱点对应的攻击代价之后,就可以得到所述攻击行为路径对应的攻击代价。
本实施例,计算攻击行为路径上的每个弱点对应的攻击代价,就可以得到所述攻击行为路径对应的攻击代价,其它攻击行为路径依据该实施例的步骤均可以得到相应的攻击代价,进而可以及时、准确地确定最易受攻击的资产序列,为网络安全管理人员对相应资产进行修复提供依据,保证网络环境的相对安全。
在计算每条攻击行为路径对应的攻击代价的过程中,需要得到攻击行为路径上的每个弱点对应的攻击代价,下面通过一实施例,给出计算每个弱点对应的攻击代价的步骤。
图3为本发明一实施例的计算攻击行为路径上的每个弱点对应的攻击代价流程图,如图3所示,所述计算攻击行为路径上的每个弱点对应的攻击代价包括:
步骤301、根据第一弱点的类型以及弱点类型与弱点复杂度的对应关系,确定第一弱点的弱点复杂度。
本实施例中,弱点复杂度反映攻击者利用该漏洞实施攻击的复杂程度,描述攻击者利用漏洞时是否必须存在一些超出攻击者控制能力的软件、硬件或网络条件,如软件竞争条件、应用配置等。
弱点复杂度分为低和高两种情况。当漏洞的成功利用不存在专门的访问条件,攻击者可以重复利用漏洞时,弱点复杂度为低;当漏洞的成功利用依赖于某些攻击者不能控制的条件时,弱点复杂度为高。
例如,MySQL缓冲区溢出漏洞,弱点(漏洞)编号为CVE-2005-2558,威胁类型为本地,根据弱点(漏洞)的编号,可以查到更多漏洞信息,进行弱点复杂度分析。由于利用MySQL缓冲区溢出漏洞需要的条件不多且不复杂,只需要本地操作***成功调用这个库,控制权就会交给攻击者,所以弱点复杂度较低,取值范围为0~0.5。Apache mod_rewrite模块单字节缓冲区溢出,弱点(漏洞)编号为CVE-2006-3747,威胁类型为远程,根据该弱点(漏洞)的编号,查询漏洞信息,进行弱点复杂度分析,由于利用该弱点属于远程漏洞,攻击者需要远程攻击、模块进行函数分离等重要条件,所以弱点复杂度较高,取值范围为0.5~1。
步骤302、根据从攻击行为路径的起始节点到所述第一弱点的攻击行为路径上,出现所述第一弱点的次数,确定所述第一弱点的弱点依赖系数。
本实施例中,攻击行为路径上存在针对同一弱点发生的攻击行为,则后面的攻击行为看成前面攻击行为的相同攻击。那么后一次攻击行为所需要的代价比前面所需要代价小,故用弱点依赖系数来表示在一条攻击行为路径上发生相同攻击行为对攻击代价的影响。
步骤303、根据所述第一弱点在所述攻击行为路径中所处的深度,确定所述第一弱点的弱点深度系数。
本实施例中,随着攻击行为路径的深入,其暴露出来的特征越多,也就越容易被发现,故用弱点深度系数来表示第一弱点在所述攻击行为路径中所处的深度对攻击代价的影响。
步骤304、将所述第一弱点的弱点复杂度、弱点依赖系数和弱点深度系数相乘,得到所述第一弱点对应的攻击代价。
本实施例中,在所述第一弱点的弱点复杂度、弱点依赖系数和弱点深度系数得到之后,就可以得到所述第一弱点对应的攻击代价。
本实施例,通过计算攻击行为路径上的每个弱点对应的攻击代价,可以为计算攻击行为路径对应的攻击代价做准备,进而可以准确地确定最易受攻击的资产序列,为网络安全管理人员对相应资产进行修复提供依据,保证网络环境的相对安全。
在计算攻击行为路径上的每个弱点对应的攻击代价时,用弱点依赖系数表示在攻击行为路径上出现相同攻击行为时对攻击代价的影响,下面通过一实施例介绍弱点依赖系数的计算方法。
本发明一实施例的计算弱点依赖系数的方法包括:可根据如下公式确定第一弱点的弱点依赖系数Di:
Di=Xi time-1
其中,i为第一弱点在攻击行为路径所处的深度;X为依赖因子;time为从攻击行为路径的起始节点到所述第一弱点的攻击行为路径上,出现所述第一弱点的次数。
下面采用一个具体的实施例,对图1~图3中任一个所示方法实施例的技术方案进行详细说明。
攻击者要攻击一个网络环境,其中网络中有五台计算机,IP1、IP2、IP3、IP4和IP5,它们在同一网段内通过路由器相连,通过防火墙与外界隔开。IP1,IP2都是Linux主机,IP3、IP4和IP5都是Windows主机。其中,IP1开放FTP服务和SMTP服务,IP2开放HTTP服务,IP3开放FTP服务,IP4开放Telnet服务和SSH服务,IP5是关键主机,其上存储重要资料。外网的入侵者位于IP0主机上,并且对自己的主机IP0拥有Root权限。防火墙的访问策略是允许外部主机对IP2的HTTP服务进行访问,对于其它的访问均被阻止。这样,攻击者只有对IP2的访问权限,其他均被限制。每台主机存在的弱点及其弱点复杂度信息见表1和表2。
表1主机描述表
表2弱点复杂量化表
图4为依据网络环境生成的攻击图。图中IP0.IP2.11964表示IP0利用IP2上的11964漏洞获取IP2的权限。由攻击图可知,从IP0到IP5有6条攻击行为路径,其中一条攻击行为路径为path1:0→1→2→8,
弱点1对应的攻击代价11964的复杂度为0.7;弱点依赖系数D1=Xtime-11中,Xi数值大小,根据专家经验可以暂定为0.5,漏洞11964在从IP0到IP2的攻击行为路径中,只出现一次,所以time取1,故弱点1依赖系数D1=1;弱点深度系数θii,,弱点1所处path1的深度为1,θi根据专家经验可以暂定为2,故弱点1深度系数,θ1i=2;所以弱点1对应的攻击代价为0.7×1×2=1.4。
依照计算弱点对应的攻击代价计算公式,可以计算得到path1上每个弱点对应的攻击代价,弱点2对应的攻击代价为0.4,弱点8对应的攻击代价为4.
path1这条攻击行为路径对应的攻击代价为1.4+0.4+4=5.8
其它攻击行为路径对应的攻击代价分别为6.8,7.4,7.4,8.2,3.4
攻击代价最小值为3.4,对应的攻击行为路径path6:0→1→7,即path6为最易受攻击的攻击行为路径。
图5为本发明一实施例的确定网络环境中易受攻击的资产序列装置的结构示意图,如图5所示,本实施例的装置可以包括:攻击图构建模块11,攻击路径确定模块12,攻击代价计算模块13和最易受攻击资产确定模块14,其中,
攻击图构建模块模块11,用于根据目标网络的网络环境,构建所述目标网络的攻击图;
攻击路径确定模块12,用于根据所述攻击图,确定攻击行为路径;
攻击代价计算模块13,用于根据攻击行为路径,计算每条攻击行为路径对应的攻击代价;
最易受攻击资产确定模块14,用于根据每条攻击行为路径对应的攻击代价,将攻击代价最小的攻击行为路径上的资产序列作为最易受攻击的资产序列。
本实施例的装置,可以用于执行图1、图2或图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在本发明的一实施例中,所述攻击代价计算模块13,包括:弱点攻击代价计算子模块131和弱点攻击代价累加子模块132,其中,
弱点攻击代价计算子模块131,用于计算攻击行为路径上的每个弱点对应的攻击代价;
弱点攻击代价累加子模块132,用于将攻击行为路径上的每个弱点对应的攻击代价相加,得到所述攻击行为路径对应的攻击代价。
本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在本发明的一实施例中,所述弱点攻击代价计算子模块131,包括:弱点复杂度确定子模块131a,弱点依赖系数确定子模块131b,弱点深度系数确定子模块131c和弱点攻击代价乘积子模块131d,其中,
弱点复杂度确定子模块131a,用于根据第一弱点的类型以及弱点类型与弱点复杂度的对应关系,确定第一弱点的弱点复杂度;
弱点依赖系数确定子模块131b,用于根据从攻击行为路径的起始节点到所述第一弱点的攻击行为路径上,出现所述第一弱点的次数,确定所述第一弱点的弱点依赖系数;
弱点深度系数确定子模块131c,用于根据所述第一弱点在所述攻击行为路径中所处的深度,确定所述第一弱点的弱点深度系数;
弱点攻击代价乘积子模块131d,用于将所述第一弱点的弱点复杂度、弱点依赖系数和弱点深度系数相乘,得到所述第一弱点对应的攻击代价。
在本发明的一实施例中,所述弱点依赖系数确定子模块,具体用于:可根据如下公式确定第一弱点的弱点依赖系数Di:
Di=Xi time-1
其中,i为第一弱点在攻击行为路径所处的深度;X为依赖因子;time为从攻击行为路径的起始节点到所述第一弱点的攻击行为路径上,出现所述第一弱点的次数。
本实施例的装置,可用于执行图3所示方法的技术方案,其实现原理和技术效果类似,此处不再赘述。
第三方面,本发明实施例提供一种电子设备,可以实现本发明图1-3所示实施例的流程。
图6为本发明一个实施例的电子设备结构示意图,如图6所示,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1-3所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、***总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
第四方面,本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实施例所述的方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种确定网络环境中易受攻击的资产序列的方法,其特征在于,包括:
根据目标网络的网络环境,构建所述目标网络的攻击图;
根据所述攻击图,确定攻击行为路径;
根据攻击行为路径,计算每条攻击行为路径对应的攻击代价;
根据每条攻击行为路径对应的攻击代价,将攻击代价最小的攻击行为路径上的资产序列作为最易受攻击的资产序列。
2.根据权利要求1所述的方法,其特征在于,所述根据所述攻击行为路径,计算每条攻击行为路径对应的攻击代价包括:
计算攻击行为路径上的每个弱点对应的攻击代价;
将攻击行为路径上的每个弱点对应的攻击代价相加,得到所述攻击行为路径对应的攻击代价。
3.根据权利要求2所述的方法,其特征在于,所述计算攻击行为路径上的每个弱点对应的攻击代价,包括:
根据第一弱点的类型以及弱点类型与弱点复杂度的对应关系,确定第一弱点的弱点复杂度;
根据从攻击行为路径的起始节点到所述第一弱点的攻击行为路径上,出现所述第一弱点的次数,确定所述第一弱点的弱点依赖系数;
根据所述第一弱点在所述攻击行为路径中所处的深度,确定所述第一弱点的弱点深度系数;
将所述第一弱点的弱点复杂度、弱点依赖系数和弱点深度系数相乘,得到所述第一弱点对应的攻击代价。
4.根据权利要求3所述的方法,其特征在于,所述根据从攻击行为路径的起始节点到所述第一弱点的攻击行为路径上,出现所述第一弱点的次数,确定所述第一弱点的弱点依赖系数,包括:
根据如下公式确定第一弱点的弱点依赖系数Di:
Di=Xi time-1
其中,i为第一弱点在攻击行为路径所处的深度;X为依赖因子;time为从攻击行为路径的起始节点到所述第一弱点的攻击行为路径上,出现所述第一弱点的次数。
5.一种确定网络环境中易受攻击的资产序列的装置,其特征在于,包括:
攻击图构建模块,用于根据目标网络的网络环境,构建所述目标网络的攻击图;
攻击路径确定模块:用于根据所述攻击图,确定攻击行为路径;
攻击代价计算模块:用于根据攻击行为路径,计算每条攻击行为路径对应的攻击代价;
最易受攻击资产确定模块:用于根据每条攻击行为路径对应的攻击代价,将攻击代价最小的攻击行为路径上的资产序列作为最易受攻击的资产序列。
6.根据权利要求5所述的装置,其特征在于,所述攻击代价计算模块包括:
弱点攻击代价计算子模块:用于计算攻击行为路径上的每个弱点对应的攻击代价;
弱点攻击代价累加子模块:用于将攻击行为路径上的每个弱点对应的攻击代价相加,得到所述攻击行为路径对应的攻击代价。
7.根据权利要求6所述的装置,其特征在于,所述弱点攻击代价计算子模块包括:
弱点复杂度确定子模块:用于根据第一弱点的类型以及弱点类型与弱点复杂度的对应关系,确定第一弱点的弱点复杂度;
弱点依赖系数确定子模块:用于根据从攻击行为路径的起始节点到所述第一弱点的攻击行为路径上,出现所述第一弱点的次数,确定所述第一弱点的弱点依赖系数;
弱点深度系数确定子模块:用于根据所述第一弱点在所述攻击行为路径中所处的深度,确定所述第一弱点的弱点深度系数;
弱点攻击代价乘积子模块:用于将所述第一弱点的弱点复杂度、弱点依赖系数和弱点深度系数相乘,得到所述第一弱点对应的攻击代价。
8.根据权利要求7所述的装置,其特征在于,所述弱点依赖系数确定子模块,具体用于:根据如下公式确定第一弱点的弱点依赖系数Di:
Di=Xi time-1
其中,i为第一弱点在攻击行为路径所处的深度;X为依赖因子;time为从攻击行为路径的起始节点到所述第一弱点的攻击行为路径上,出现所述第一弱点的次数。
9.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一权利要求所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811448258.2A CN110868376A (zh) | 2018-11-29 | 2018-11-29 | 确定网络环境中易受攻击的资产序列的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811448258.2A CN110868376A (zh) | 2018-11-29 | 2018-11-29 | 确定网络环境中易受攻击的资产序列的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110868376A true CN110868376A (zh) | 2020-03-06 |
Family
ID=69651609
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811448258.2A Pending CN110868376A (zh) | 2018-11-29 | 2018-11-29 | 确定网络环境中易受攻击的资产序列的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110868376A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112437093A (zh) * | 2020-12-02 | 2021-03-02 | 新华三人工智能科技有限公司 | 安全状态的确定方法、装置及设备 |
| CN112804208A (zh) * | 2020-12-30 | 2021-05-14 | 北京理工大学 | 一种基于攻击者特性指标的网络攻击路径预测方法 |
| CN114143052A (zh) * | 2021-11-19 | 2022-03-04 | 北京灰度科技有限公司 | 基于可控入侵模拟的网络防御体系风险评估方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516177A (zh) * | 2015-12-28 | 2016-04-20 | 上海交通大学 | 基于sdn和nfv的5g网络多级攻击缓解方法 |
| CN106411576A (zh) * | 2016-08-30 | 2017-02-15 | 河南理工大学 | 基于状态转移网络攻击模型的攻击图生成方法 |
| CN106453217A (zh) * | 2016-04-13 | 2017-02-22 | 河南理工大学 | 一种基于路径收益计算的网络攻击路径行为的预测方法 |
| CN108683654A (zh) * | 2018-05-08 | 2018-10-19 | 北京理工大学 | 一种基于零日攻击图的网络脆弱性评估方法 |
-
2018
- 2018-11-29 CN CN201811448258.2A patent/CN110868376A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516177A (zh) * | 2015-12-28 | 2016-04-20 | 上海交通大学 | 基于sdn和nfv的5g网络多级攻击缓解方法 |
| CN106453217A (zh) * | 2016-04-13 | 2017-02-22 | 河南理工大学 | 一种基于路径收益计算的网络攻击路径行为的预测方法 |
| CN106411576A (zh) * | 2016-08-30 | 2017-02-15 | 河南理工大学 | 基于状态转移网络攻击模型的攻击图生成方法 |
| CN108683654A (zh) * | 2018-05-08 | 2018-10-19 | 北京理工大学 | 一种基于零日攻击图的网络脆弱性评估方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李玲娟等: "网络攻击图生成算法研究", 《计算机技术与发展》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112437093A (zh) * | 2020-12-02 | 2021-03-02 | 新华三人工智能科技有限公司 | 安全状态的确定方法、装置及设备 |
| CN112437093B (zh) * | 2020-12-02 | 2022-06-28 | 新华三人工智能科技有限公司 | 安全状态的确定方法、装置及设备 |
| CN112804208A (zh) * | 2020-12-30 | 2021-05-14 | 北京理工大学 | 一种基于攻击者特性指标的网络攻击路径预测方法 |
| CN112804208B (zh) * | 2020-12-30 | 2021-10-22 | 北京理工大学 | 一种基于攻击者特性指标的网络攻击路径预测方法 |
| CN114143052A (zh) * | 2021-11-19 | 2022-03-04 | 北京灰度科技有限公司 | 基于可控入侵模拟的网络防御体系风险评估方法 |
| CN114143052B (zh) * | 2021-11-19 | 2023-04-28 | 北京灰度科技有限公司 | 基于可控入侵模拟的网络防御体系风险评估方法、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111030986B (zh) | 一种攻击组织溯源分析的方法、装置及存储介质 | |
| CN110868377B (zh) | 一种网络攻击图的生成方法、装置及电子设备 | |
| CN110868376A (zh) | 确定网络环境中易受攻击的资产序列的方法及装置 | |
| CN113973012B (zh) | 一种威胁检测方法、装置、电子设备及可读存储介质 | |
| CN111030837B (zh) | 一种网络环境现状评估方法、装置、电子设备及存储介质 | |
| CN110868383A (zh) | 一种网站风险评估方法、装置、电子设备及存储介质 | |
| US20220053012A1 (en) | Attack Scenario Simulation Device, Attack Scenario Generation System, and Attack Scenario Generation Method | |
| CN111224953A (zh) | 基于异常点发现威胁组织攻击的方法、装置及存储介质 | |
| CN114205128A (zh) | 网络攻击分析方法、装置、电子设备及存储介质 | |
| CN115694970A (zh) | 网络安全攻防演练***、方法及可读存储介质 | |
| CN114915475A (zh) | 攻击路径的确定方法、装置、设备及存储介质 | |
| CN111030974A (zh) | 一种apt攻击事件检测方法、装置及存储介质 | |
| CN116702159B (zh) | 一种主机防护方法、装置、计算机设备及存储介质 | |
| CN111030977A (zh) | 一种攻击事件追踪方法、装置及存储介质 | |
| CN110875919B (zh) | 一种网络威胁的检测方法、装置、电子设备及存储介质 | |
| CN110868384B (zh) | 确定网络环境中易受攻击的资产的方法、装置及电子设备 | |
| CN114065160A (zh) | 一种资产管理***及终端设备 | |
| CN110868385B (zh) | 网站安全运营能力确定方法、装置、电子设备及存储介质 | |
| ALQAHTANI et al. | REVIEWING OF CYBERSECURITY THREATS, ATTACKS, AND MITIGATION TECHNIQUES IN CLOUD COMPUTING ENVIRONMENT | |
| CN112788121B (zh) | 互联网节点中全局信誉值计算方法、***及相关产品 | |
| CN115580452B (zh) | 一种攻防演练方法、装置、电子设备及计算机存储介质 | |
| CN115766285A (zh) | 网络攻击防御检测方法、装置、电子设备及存储介质 | |
| CN112437093B (zh) | 安全状态的确定方法、装置及设备 | |
| CN115865513A (zh) | 一种威胁情报数据处理方法、装置、电子设备及存储介质 | |
| US20180165446A1 (en) | Numerical verification code generation method and device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200306 |
|
| RJ01 | Rejection of invention patent application after publication |