CN116723052B - 一种网络攻击响应方法、装置、计算机设备及存储介质 - Google Patents

一种网络攻击响应方法、装置、计算机设备及存储介质 Download PDF

Info

Publication number
CN116723052B
CN116723052B CN202310982227.XA CN202310982227A CN116723052B CN 116723052 B CN116723052 B CN 116723052B CN 202310982227 A CN202310982227 A CN 202310982227A CN 116723052 B CN116723052 B CN 116723052B
Authority
CN
China
Prior art keywords
risk
node
information
influence
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310982227.XA
Other languages
English (en)
Other versions
CN116723052A (zh
Inventor
陈杰
王蕴澎
任政
童兆丰
薛锋
熊天翼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ThreatBook Technology Co Ltd
Original Assignee
Beijing ThreatBook Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing ThreatBook Technology Co Ltd filed Critical Beijing ThreatBook Technology Co Ltd
Priority to CN202310982227.XA priority Critical patent/CN116723052B/zh
Publication of CN116723052A publication Critical patent/CN116723052A/zh
Application granted granted Critical
Publication of CN116723052B publication Critical patent/CN116723052B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本公开提供了一种网络攻击响应方法、装置、计算机设备及存储介质,涉及计算机技术领域,该方法能够利用风险拓扑图体现目标主机集群中各个节点以及连接边的风险评分,以及节点之间的通信结构,从而利用风险拓扑图中的信息确定网络攻击的至少一种网络攻击的影响信息,再根据确定的影响信息确定网络攻击的响应策略,响应策略能够对主机防护进行指导,使得防护过程能够更符合网络攻击与目标主机集群的实际情况,从而降低目标主机集群受到网路攻击的损害。

Description

一种网络攻击响应方法、装置、计算机设备及存储介质
技术领域
本公开涉及计算机技术领域,具体而言,涉及一种网络攻击响应方法、装置、计算机设备及存储介质。
背景技术
目前在企业安全防护过程中,会出现多种多样的问题,企业针对出现的问题通常都没有很好的解决思路。例如,面对威胁入侵一台主机,用户不知道主机被入侵带来的影响面有多大,也不知道攻击者会从哪些方向进攻过来,从而无法做出有效的应对,可能导致损失进一步扩大。
发明内容
本公开实施例至少提供一种网络攻击响应方法、装置、计算机设备及存储介质。
第一方面,本公开实施例提供了一种网络攻击响应方法,包括:
获取目标主机集群的风险拓扑图;所述风险拓扑图含多个主机对应的节点,所述节点之间由根据所述节点之间的通信关系确定的、指示可攻击方向的连接边连接;所述风险拓扑图还指示有所述节点的第一风险评分,以及所述连接边的第二风险评分;
响应于所述目标主机集群中任一主机节点受到网络攻击,确定至少一种影响信息;所述影响信息用于指示所述网络攻击对所述目标主机集群造成的影响;
基于所述影响信息,确定所述网络攻击的响应策略;所述响应策略用于对所述目标主机集群中的主机进行防护;
其中,任一种所述影响信息通过如下步骤计算得到:从所述风险拓扑图中,获取与所述影响信息关联的风险信息,并基于所述风险信息进行计算,得到所述影响信息。
一种可选的实施方式中,通过以下步骤生成所述风险拓扑图:
获取所述目标主机集群中各节点的资产信息、网络参数信息以及通信传输数据;
基于所述资产信息、所述网络参数信息和所述通信传输数据,构建初始风险拓扑图;
对所述初始风险拓扑图中的各个所述节点以及连接边进行风险评估,并基于所述风险评估得到的风险评分对所述初始风险拓扑图进行更新,得到所述风险拓扑图。
一种可选的实施方式中,所述基于所述资产信息、所述网络参数信息和所述通信传输数据,构建初始风险拓扑图,包括:
基于所述网络参数信息以及所述通信传输数据,构建所述目标主机集群的主机网络通信拓扑图;以及,针对所述资产信息中的任一类资产信息,基于该类资产信息,构建该类资产信息的资产风险拓扑图;所述资产信息的类型包括主机免密登录关系信息、可访问资产信息中的至少一种;
基于各类所述资产信息对应的资产风险拓扑图以及所述主机网络通信拓扑图,构建所述初始风险拓扑图。
一种可选的实施方式中,所述影响信息包括以下信息中的至少一种:
至少一个节点与受到网络攻击的被攻击节点之间的风险相关度;所述网络攻击对所述目标主机集群的影响覆盖范围;所述被攻击节点至目标节点之间的攻击路径。
一种可选的实施方式中,所述从所述风险拓扑图中,获取与所述影响信息关联的风险信息,并基于所述风险信息进行计算,得到所述影响信息,包括:
在所述影响信息为至少一个节点与受到网络攻击的被攻击节点之间的风险相关度的情况下,确定所述节点与所述被攻击节点之间的最短连接路径;
基于所述节点以及所述被攻击节点的第一风险评分、所述最短连接路径中各连接边的第二风险评分,以及所述节点与被攻击节点在所述风险拓扑图中的连接关系,确定所述节点与所述被攻击节点之间的风险相关度。
一种可选的实施方式中,所述从所述风险拓扑图中,获取与所述影响信息关联的风险信息,并基于所述风险信息进行计算,得到所述影响信息,包括:
在所述影响信息为所述网络攻击对所述目标主机集群的影响覆盖范围的情况下,基于所述目标主机集群中各个所述节点的所述第一风险评分,以及所述风险拓扑图中的连接关系,对所述目标主机集群进行区域划分,得到第一风险评分之和最大的目标区域;
将所述目标区域作为所述影响覆盖范围。
一种可选的实施方式中,所述从所述风险拓扑图中,获取与所述影响信息关联的风险信息,并基于所述风险信息进行计算,得到所述影响信息,包括:
在所述影响信息为被攻击节点至目标节点之间的攻击路径的情况下,基于各个节点的第一风险评分,以及所述风险拓扑图中的连接关系,确定所述被攻击节点至所述目标节点的多个候选攻击路径;
从所述多个候选攻击路径中筛选出最短路径,并将所述最短路径中各个节点的第一风险评分之和最高的候选攻击路径作为所述攻击路径。
一种可选的实施方式中,所述基于所述影响信息,确定所述网络攻击的响应策略,包括:
基于所述影响信息以及历史网络攻击信息,对所述下一个受到网络攻击的节点进行预测;
基于预测结果,确定所述网络攻击的响应策略。
第二方面,本公开实施例还提供一种网络攻击响应装置,包括:
获取模块,用于获取目标主机集群的风险拓扑图;所述风险拓扑图含多个主机对应的节点,所述节点之间由根据所述节点之间的通信关系确定的、指示可攻击方向的连接边连接;所述风险拓扑图还指示有所述节点的第一风险评分,以及所述连接边的第二风险评分;
第一确定模块,用于响应于所述目标主机集群中任一主机节点受到网络攻击,确定至少一种影响信息;所述影响信息用于指示所述网络攻击对所述目标主机集群造成的影响;
第二确定模块,用于基于所述影响信息,确定所述网络攻击的响应策略;所述响应策略用于对所述目标主机集群中的主机进行防护;
其中,所述第一确定模块在确定任一种影响信息时,具体用于:针对任一种影响信息,从所述风险拓扑图中,获取与所述影响信息关联的风险信息,并基于所述风险信息进行计算,得到所述影响信息。
一种可选的实施方式中,所述装置还包括生成模块,用于:
获取所述目标主机集群中各节点的资产信息、网络参数信息以及通信传输数据;
基于所述资产信息、所述网络参数信息和所述通信传输数据,构建初始风险拓扑图;
对所述初始风险拓扑图中的各个所述节点以及连接边进行风险评估,并基于所述风险评估得到的风险评分对所述初始风险拓扑图进行更新,得到所述风险拓扑图。
一种可选的实施方式中,所述生成模块在基于所述资产信息、所述网络参数信息和所述通信传输数据,构建初始风险拓扑图时,用于:
基于所述网络参数信息以及所述通信传输数据,构建所述目标主机集群的主机网络通信拓扑图;以及,针对所述资产信息中的任一类资产信息,基于该类资产信息,构建该类资产信息的资产风险拓扑图;所述资产信息的类型包括主机免密登录关系信息、可访问资产信息中的至少一种;
基于各类所述资产信息对应的资产风险拓扑图以及所述主机网络通信拓扑图,构建所述初始风险拓扑图。
一种可选的实施方式中,所述影响信息包括以下信息中的至少一种:
至少一个节点与受到网络攻击的被攻击节点之间的风险相关度;所述网络攻击对所述目标主机集群的影响覆盖范围;所述被攻击节点至目标节点之间的攻击路径。
一种可选的实施方式中,所述第一确定模块具体用于:
在所述影响信息为至少一个节点与受到网络攻击的被攻击节点之间的风险相关度的情况下,确定所述节点与所述被攻击节点之间的最短连接路径;
基于所述节点以及所述被攻击节点的第一风险评分、所述最短连接路径中各连接边的第二风险评分,以及所述节点与被攻击节点在所述风险拓扑图中的连接关系,确定所述节点与所述被攻击节点之间的风险相关度。
一种可选的实施方式中,所述第一确定模块具体用于:
在所述影响信息为所述网络攻击对所述目标主机集群的影响覆盖范围的情况下,基于所述目标主机集群中各个所述节点的所述第一风险评分,以及所述风险拓扑图中的连接关系,对所述目标主机集群进行区域划分,得到第一风险评分之和最大的目标区域;
将所述目标区域作为所述影响覆盖范围。
一种可选的实施方式中,所述第一确定模块具体用于:
在所述影响信息为被攻击节点至目标节点之间的攻击路径的情况下,基于各个节点的第一风险评分,以及所述风险拓扑图中的连接关系,确定所述被攻击节点至所述目标节点的多个候选攻击路径;
从所述多个候选攻击路径中筛选出最短路径,并将所述最短路径中各个节点的第一风险评分之和最高的候选攻击路径作为所述攻击路径。
一种可选的实施方式中,所述第二确定模块具体用于:
基于所述影响信息以及历史网络攻击信息,对所述下一个受到网络攻击的节点进行预测;
基于预测结果,确定所述网络攻击的响应策略。
第三方面,本公开可选实现方式还提供一种计算机设备,处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,所述处理器用于执行所述存储器中存储的机器可读指令,所述机器可读指令被所述处理器执行时,所述机器可读指令被所述处理器执行时执行上述第一方面,或第一方面中任一种可能的实施方式中的步骤。
第四方面,本公开可选实现方式还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被运行时执行上述第一方面,或第一方面中任一种可能的实施方式中的步骤。
关于上述网络攻击响应装置、计算机设备、及计算机可读存储介质的效果描述参见上述网络攻击响应方法的说明,这里不再赘述。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本公开的技术方案。
本公开实施例提供的网络攻击响应方法、装置、计算机设备及存储介质,能够利用风险拓扑图体现目标主机集群中各个节点以及连接边的风险评分,以及节点之间的通信结构,从而利用风险拓扑图中的信息确定网络攻击的至少一种网络攻击的影响信息,再根据确定的影响信息确定网络攻击的响应策略,响应策略能够对主机防护进行指导,使得防护过程能够更符合网络攻击与目标主机集群的实际情况,从而降低目标主机集群受到网路攻击的损害。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,此处的附图被并入说明书中并构成本说明书中的一部分,这些附图示出了符合本公开的实施例,并与说明书一起用于说明本公开的技术方案。应当理解,以下附图仅示出了本公开的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本公开一些实施例所提供的网络攻击响应方法的流程图;
图2示出了本公开一些实施例所提供的风险拓扑图的示意图;
图3示出了本公开一些实施例所提供的网络攻击响应装置的示意图;
图4示出了本公开一些实施例所提供的计算机设备的示意图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。通常在此处描述和示出的本公开实施例的组件可以以各种不同的配置来布置和设计。因此,以下对本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围,而是仅仅表示本公开的选定实施例。基于本公开的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本公开保护的范围。
值得注意的是,可以理解的是,在使用本公开各实施例公开的技术方案之前,均应当依据相关法律法规通过恰当的方式对本公开所涉及个人信息的类型、使用范围、使用场景等告知用户并获得用户的授权。
例如,在响应于接收到用户的主动请求时,向用户发送提示信息,以明确地提示用户,其请求执行的操作将需要获取和使用到用户的个人信息。从而,使得用户可以根据提示信息来自主地选择是否向执行本公开技术方案的操作的电子设备、应用程序、服务器或存储介质等软件或硬件提供个人信息。
作为一种可选的但非限定性的实现方式,响应于接收到用户的主动请求,向用户发送提示信息的方式例如可以是弹窗的方式,弹窗中可以以文字的方式呈现提示信息。此外,弹窗中还可以承载供用户选择“同意”或者“不同意”向电子设备提供个人信息的选择控件。
可以理解的是,上述通知和获取用户授权过程仅是示意性的,不对本公开的实现方式构成限定,其它满足相关法律法规的方式也可应用于本公开的实现方式中。
经研究发现,由于企业的主机集群通常具有复杂的网络及业务结构,在主机遭受到网络攻击时,用户不知道主机被入侵带来的影响面有多大,也不知道攻击者会从哪些方向进攻过来,从而无法做出有效的应对,可能导致损失进一步扩大。
基于上述研究,本公开提供了一种网络攻击响应方法,能够利用风险拓扑图体现目标主机集群中各个节点以及连接边的风险评分,以及节点之间的通信结构,从而利用风险拓扑图中的信息确定网络攻击的至少一种网络攻击的影响信息,再根据确定的影响信息确定网络攻击的响应策略,响应策略能够对主机防护进行指导,使得防护过程能够更符合网络攻击与目标主机集群的实际情况,从而降低目标主机集群受到网路攻击的损害。
针对以上方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本公开针对上述问题所提出的解决方案,都应该是发明人在本公开过程中对本公开做出的贡献。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
为便于对本实施例进行理解,首先对本公开实施例所公开的一种网络攻击响应方法进行详细介绍,本公开实施例所提供的网络攻击响应方法的执行主体一般为具有一定计算能力的计算机设备,该计算机设备例如包括:终端设备或服务器或其它处理设备。在一些可能的实现方式中,该网络攻击响应方法可以通过处理器调用存储器中存储的计算机可读指令的方式来实现。
下面以执行主体为目标主机集群中的终端设备为例对本公开实施例提供的网络攻击响应方法加以说明。
参见图1所示,为本公开实施例提供的网络攻击响应方法的流程图,该方法包括步骤S101~S104,其中:
S101、获取目标主机集群的风险拓扑图;风险拓扑图含多个主机对应的节点,节点之间由根据节点之间的通信关系确定的、指示可攻击方向的连接边连接;风险拓扑图还指示有节点的第一风险评分,以及连接边的第二风险评分。
其中,目标主机集群中可以包含多个主机,上述主机通常为具有一定计算能力的计算设备,主机上可以部署有一种或多种服务,主机之间若需要进行通信,则可以根据需求设置网络通信连接,形成通信关系。上述网络通信连接可供主机之间传输数据,从而满足目标主机集群的业务需求。然而,一旦主机被黑客所攻陷,则与其存在通信关系的其它主机也可能被攻陷,比如,若主机A与主机B之间存在网络通信连接,主机B与主机C之间存在网络通信连接,若黑客攻陷了主机A,则可以通过与主机B的网络通信连接进而攻陷主机B,再通过主机B与主机C的网络通信连接攻陷主机C。
主机上通常会存储一些资产信息,如文本、图片、音频、视频、数据表、应用程序等,这些资产信息通常与主机所提供的业务服务相关,黑客攻陷主机后,通常可以获取到主机上存储的资产信息,或者抢夺对主机的控制权,导致资产信息的泄漏。
主机上通常会存在一些风险,容易被黑客利用,因此,需要对主机进行防护加强,然而,主机数量众多,风险也有多种,各个主机上风险的威胁程度也不同,若先行对风险较小的主机进行防护加强,而更重要的主机未能及时进行防护加强,则使更加重要的主机更长时间处于风险之中,不利于重要主机的安全防护。
为此,可以先获取目标主机集群的风险拓扑图,并利用风险拓扑图识别出防护优先级更高的主机,从而更加有效地进行主机防护,降低目标主机集群的风险暴露范围。
参见图2所示,为本公开实施例所提供的风险拓扑图的示意图。上述风险拓扑图可以由节点与连接边组成,风险拓扑图中的节点用于表示主机,连接边则根据主机之间的通信关系确定,上述连接边可以是有向的,指示有主机之间的可攻击方向,比如,若主机A能够获取主机B的信息,或向主机B发送数据,则在主机A被攻陷后,可能从主机A再向主机B发起网络攻击,则主机A与主机B对应的节点之间的连接边,则可以由主机A指向主机B。
上述风险拓扑图中还指示有节点的第一风险评分,以及连接边的第二风险评分,从而体现节点与连接边的风险程度。
上述风险拓扑图可以根据各个主机上存储的数据,以及各个主机的网络通信信息确定。可以根据主机上存储的数据类型、数据数量、主机的网络结构等信息生成风险拓扑图。
在一种可能的实施方式中,可以通过以下步骤生成风险拓扑图:
获取目标主机集群中各节点的资产信息、网络参数信息以及通信传输数据;基于资产信息、网络参数信息和通信传输数据,构建初始风险拓扑图;对初始风险拓扑图中的各个节点以及连接边进行风险评估,并基于风险评估得到的风险评分对初始风险拓扑图进行更新,得到风险拓扑图。
上述步骤中,可以先获取目标主机集群中各节点的资产信息、网络参数信息以及通信传输数据。上述资产信息可以包括以下至少一种信息:
主机资产、***账号、开放端口、Web服务器、Web应用、Web框架、Web站点、数据库、应用服务、安装包、依赖库、内核模块、计划任务、启动项、环境变量等。
上述网络参数信息则可以包括以下至少一种信息:IP、域名、Web组件、上传接口、服务名等。
上述通信传输数据则可以包括主机之间通信传输的具体数据、数据类型、传输对象等。
根据上述资产信息、网络参数信息以及通信传输数据,即可构建目标主机集群的风险拓扑图。
示例性的,可以基于网络参数信息以及通信传输数据,构建目标主机集群的主机网络通信拓扑图;以及,针对资产信息中的任一类资产信息,基于该类资产信息,构建该类资产信息的资产风险拓扑图。
该步骤中,可以基于上述网络参数信息以及通信传输数据,确定节点之间的通信关系,从而得到能够表示可攻击及攻击方向的连接边,形成主机网络通信拓扑图。
示例性的,可以基于网络参数信息和通信传输数据,确定主机、端口以及访问控制设备之间的通信关系,然后将主机、端口以及访问控制设备确定为节点,将通信关系确定为连接边,其中,可以将主机和访问控制设备对应的节点和连接边确定为普通节点以及普通连接边,将与端口对应的节点和连接边确定为特殊节点和特殊连接边,上述普通节点和普通连接边可以对用户可见,能够直接反映在风险拓扑图中,而端口对应的特殊节点和特殊连接边则可以将其体现在节点和连接边的风险评分当中。
这样,即可得到包含普通节点、特殊节点、普通连接边及特殊连接边的主机网络通信拓扑图。
同时,还可以利用针对资产信息中的任一类资产信息,基于该类资产信息,构建该类资产信息的资产风险拓扑图。
上述资产信息可以包括主机资产、***账号、开放端口、Web服务器、Web应用、Web框架、Web站点、数据库、应用服务、安装包、依赖库、内核模块、计划任务、启动项、环境变量等,根据资产信息的用途,还可以对其进行分类,比如,可以将上述资产信息分类为主机免密登录关系信息、可访问资产信息、安全漏洞信息、关键资产信息等。
本实施例中,资产信息中还可以包括资产运行状态信息,该类资产信息可以包括运行进程,该运行进程包括:主机IP、操作***、主机名、业务组、角色标签、进程名、进程分类、进程状态、进程路径、PID、命令行、运行用户、进程启动时间、首次采集时间、最后一次采集时间、单例进程、进程新增时间、高权限进程、进程稀有程度、常驻进程。
示例性的,上述主机免密登录信息,可以包括主机资产、***账号、免密登录公钥配置等资产信息,可以通过主机资产和***账号信息,确定账号与主机之间的免密关系,再通过账号与主机之间的免密关系,以及免密登录公钥配置,构建主机与主机之间的免密关系,并将主机之间的免密关系作为普通连接边,将主机作为节点,将账号与主机之间的免密关系作为特殊连接边,构建主机免密登录对应的资产风险拓扑图。
再比如,上述可访问资产信息,则可以包括主机资产、漏洞信息等,并基于上述主机网络通信拓扑图,构建可访问资产信息的资产风险拓扑图。
在得到各种资产风险拓扑图以及主机网络通信拓扑图之后,即可基于各种资产风险拓扑图以及主机网络通信拓扑图,生成初始风险拓扑图。
在生成初始风险拓扑图时,可以将各个资产风险拓扑图以及主机网络通信拓扑图合并,将表示相同主机的节点合并,并将与该节点相关的特殊节点及特殊连接边与该节点关联,普通连接边则可以进行合并。
在合并连接边时,可以将表示相同可攻击路径的连接边合并,根据连接边合并的数量,可以确定该普通连接边对应的合并权重,以供计算该合并后的连接边的风险评分时使用。
然后,可以对初始风险拓扑图中的各个节点以及连接边进行风险评估,并基于风险评估得到的风险评分对初始风险拓扑图进行更新,得到风险拓扑图。
示例性的,对于节点,可以根据节点的资产信息,使用不同方式对该节点进行风险评估,从而得到节点在不同维度的评分指标,再将该节点的各评分指标进行合并,得到节点的第一风险评分。
示例性的,上述风险评估可以确定节点的风险要素评分、初始风险拓扑重要度评分及初始风险拓扑图节点排序评分等。在确定上述评分时,可以根据主机的资产信息,以及与该节点关联的特殊节点的相关信息进行确定。
对于连接边,则可以根据连接边的合并权重(连接边的深度信息,根据连接边合并时的连接边数量确定),确定连接边的第二风险评分。
在一种可能的实施方式中,还可以根据其相连的节点的第一风险评分确定第二风险评分。
这样,即可得到上述风险拓扑图。
S102、响应于目标主机集群中任一主机节点受到网络攻击,确定至少一种影响信息;影响信息用于指示网络攻击对目标主机集群造成的影响。
该步骤中,终端设备可以对目标主机集群进行安全检测,以确定主机是否安全。网络攻击可能包括分布式拒绝服务攻击、恶意软件、钓鱼攻击等,一些网络攻击可能会获取主机的控制权限,能够利用主机上存储的密码信息或免密登录信息,进行关键信息的访问,甚至还能通过被攻击主机对其他的主机进行网络攻击。
在一个主机被攻击后,该主机会对集群造成一定影响,但由于集群中主机的结构复杂,用户不了解主机被攻击对网络安全带来的影响,也不清楚如何进行网络安全防护,将网络攻击的影响降低,为此,本公开实施例可以为用户计算多种网络攻击的影响信息。
在具体实施过程中,网络攻击的影响信息可以包括多种类型,用户可以预先从多种类型中选取出至少部分需要的信息,或者,也可以确定全量的影响信息。为了计算效率,可以选取对网络安全影响较大的类型,作为上述影响信息。
示例性的,可以影响信息包括以下信息中的至少一种:
至少一个节点与受到网络攻击的被攻击节点之间的风险相关度;网络攻击对目标主机集群的影响覆盖范围;被攻击节点至目标节点之间的攻击路径。
上述节点与受到网络攻击的被攻击节点之间的风险相关度,可以体现一节点在被网络攻击之后,另一节点是否会被影响,被攻击的可能性有多高。
上述网络攻击目标主机对目标主机集群的影响覆盖范围,可以表示受到被攻击后,目标主机集群中有多少主机会被影响。
上述被攻击节点至目标节点之间的攻击路径,可以指从被攻击节点对目标节点的攻击路线,攻击路径上可以至少有一个主机节点,攻击路径上的主机之间具有通信关系,被攻击的主机可能借助上述通信关系攻击与其通信的主机,最终攻击到目标节点。
上述目标节点可以为目标主机集群中的靶标主机,靶标主机可以为需要保护的重要主机,是目标主机集群中的重要节点,因此,需要确定被攻击主机是否有攻击目标主机的路线,以及攻击路径途经的主机。
在确定任一种影响信息时,可以针对任一种影响信息,从风险拓扑图中,获取与影响信息关联的风险信息,并基于风险信息进行计算,得到影响信息。
在确定需要确定的影响信息之后,即可从风险拓扑图中获取与影响信息关联的风险信息,并基于风险信息进行计算,得到上述影响信息。
在一种可能的实施方式中,在上述影响信息为至少一个节点与受到网络攻击的被攻击节点之间的风险相关度的情况下,可以先确定上述节点与被攻击节点之间的最短连接路径,上述最短连接路径可以由风险拓扑图中的节点与连接边组成,在得到最短连接路径后,即可基于被攻击节点的第一风险评分、最短连接路径中各连接边的第二风险评分,以及上述节点与被攻击节点在风险拓扑图中的连接关系,确定节点与被攻击节点之间的风险相关度。
为了衡量两个节点在某一节点失陷(是否被网络攻击夺取控制权)时,对另一处于同一主机集群的节点风险相关度,可以在进行相关性衡量时,主要考虑以两个节点之间相关特征的权重以及该失陷节点本身的度中心性作为评判指标。
示例性的,上述风险相关度可以根据以下公式确定:
其中,代表被攻击节点/>对节点j的风险相关性评分,/>代表节点i风险拓扑图中本身的度,/>代表上述最短连接路径上的连接边的第二风险评分之和,/>代表被攻击节点i和节点j的最短路径中的距离(如连接边的数量),该最短路径可以由不限于Dijkstra算法或者深度优先遍历等算法求得。/>和/>代表节点i和节点j各自的主机节点的第一风险评分,N代表风险拓扑图中节点的总数量,I代表该节点是否失陷,可以由0或1表示,0代表未失陷,1代表失陷,/>为节点i的度中心性,k代表图中不包含i的某个其他节点,g代表图中所有节点数,/>代表节点i和节点k的节点连接数量,/>越大,代表节点i对节点j的风险相关性越高。上述节点的度可以为与节点相连的连接边的数量。
在影响信息为网络攻击对目标主机集群的影响覆盖范围的情况下,可以基于目标主机集群中各个节点的第一风险评分,以及风险拓扑图中的连接关系,对目标主机集群进行区域划分,得到第一风险评分之和最大的目标区域,并将目标区域作为影响覆盖范围。
示例性的,在一节点被网络攻击后,可以确定其在风险拓扑图中的相邻节点,并利用三角形计算,确定相邻节点的三角度,并获取相邻节点的第一风险评分,该第一风险评分可以由节点的弱密码分数、红色数据分数、漏洞分数、免密登录分数等确定,获取到这些数据之后,可以将这些数据作为标签,利用标签传递算法、规则方式或社区发现等算法,对风险拓扑图中的节点进行区域划分,使区域内的第一风险评分之和最大,将目标区域作为影响覆盖范围。
其中,三角形计算是一种图算法,常用于社交网络发现、社区识别、紧密度分析、稳定性分析等。不同节点之间所构成的三角形数量能够表示节点之间的连通度和连接紧密程度。
由于一些节点可能具有通信封禁策略,在一节点网络攻击后,可以采用周围节点的通信封禁策略,从而将这些节点的网络通信阻断,对于网络通信阻断的节点,可以将其连接关系从风险拓扑图上隐藏,再利用隐藏连接关系(也即连接边)确定影响覆盖范围。
在影响信息为被攻击节点至目标节点之间的攻击路径的情况下,基于各个节点的第一风险评分,以及风险拓扑图中的连接关系,确定被攻击节点至目标节点的多个候选攻击路径;从多个候选攻击路径中筛选出最短路径,并将最短路径中各个节点的第一风险评分之和最高的候选攻击路径作为攻击路径。
在确定一主机为目标节点之后,可以确定其相邻节点的三角度,并获取相邻节点的第一风险评分,再利用标签传递等算法,将三角度以及第一风险评分作为输入,从而确定出多各候选攻击路径,再从多个候选攻击路径中筛选出最短路径,并将最短路径中各个节点的第一风险评分之和最高的候选攻击路径作为上述攻击路径。
相似的,在确定上述攻击路径时,也可以采用通信封禁策略,对节点进行通信封禁处理,并将其对应的连接边从风险拓扑图上隐藏,利用隐藏连接边后的风险拓扑图计算攻击路径。
S103、基于影响信息,确定网络攻击的响应策略;响应策略用于对目标主机集群中的主机进行防护。
在获取到上述多种影响信息之后,即可确定网络攻击的响应策略。示例性的,可以先根据上述影响信息,以及历史网络攻击信息,对下一个受到网络攻击的节点进行预测,并基于预测结果,确定网络攻击的响应策略。
示例性的,在确定网络攻击的响应策略时,可以对风险拓扑图进行实时更新,将各个节点的状态更新到风险拓扑图上,节点的状态可以包括被攻击状态、已失陷状态、未被攻击状态等,对于被攻击和已失陷状态,可以标记出当前被攻击的攻击类型,如风险、告警、异常等。
在确定上述影响信息之后,还可以利用上述影响信息对风险拓扑图进行更新,将影响信息反映在上述风险拓扑图上。
在将上述信息更新在风险拓扑图上之后,可以将该风险拓扑图以及利用历史网络攻击信息更新的风险拓扑图输入至预测模型之中,从而对下一个受到网络攻击的节点进行预测。
上述风险拓扑图同样可以根据节点的网络封禁策略对连接边进行隐藏,并隐去无连接边连接的节点。
上述预测模型可以使用图神经网络、序列模型等。
本公开实施例提供的网络攻击响应方法,能够利用风险拓扑图体现目标主机集群中各个节点以及连接边的风险评分,以及节点之间的通信结构,从而利用风险拓扑图中的信息确定网络攻击的至少一种网络攻击的影响信息,再根据确定的影响信息确定网络攻击的响应策略,响应策略能够对主机防护进行指导,使得防护过程能够更符合网络攻击与目标主机集群的实际情况,从而降低目标主机集群受到网路攻击的损害。
本领域技术人员可以理解,在具体实施方式的上述方法中,各步骤的撰写顺序并不意味着严格的执行顺序而对实施过程构成任何限定,各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。
基于同一发明构思,本公开实施例中还提供了与网络攻击响应方法对应的网络攻击响应装置,由于本公开实施例中的装置解决问题的原理与本公开实施例上述网络攻击响应方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
参照图3所示,为本公开实施例提供的一种网络攻击响应装置的示意图,该装置包括:
获取模块310,用于获取目标主机集群的风险拓扑图;风险拓扑图含多个主机对应的节点,节点之间由根据节点之间的通信关系确定的、指示可攻击方向的连接边连接;风险拓扑图还指示有节点的第一风险评分,以及连接边的第二风险评分;
第一确定模块320,用于响应于目标主机集群中任一主机节点受到网络攻击,确定至少一种影响信息;影响信息用于指示网络攻击对目标主机集群造成的影响;
第二确定模块340,用于基于影响信息,确定网络攻击的响应策略;响应策略用于对目标主机集群中的主机进行防护;
其中,所述第一确定模块在确定任一种影响信息时,具体用于:针对任一种影响信息,从所述风险拓扑图中,获取与所述影响信息关联的风险信息,并基于所述风险信息进行计算,得到所述影响信息。
一种可选的实施方式中,装置还包括生成模块,用于:
获取目标主机集群中各节点的资产信息、网络参数信息以及通信传输数据;
基于资产信息、网络参数信息和通信传输数据,构建初始风险拓扑图;
对初始风险拓扑图中的各个节点以及连接边进行风险评估,并基于风险评估得到的风险评分对初始风险拓扑图进行更新,得到风险拓扑图。
一种可选的实施方式中,生成模块在基于资产信息、网络参数信息和通信传输数据,构建初始风险拓扑图时,用于:
基于网络参数信息以及通信传输数据,构建目标主机集群的主机网络通信拓扑图;以及,针对资产信息中的任一类资产信息,基于该类资产信息,构建该类资产信息的资产风险拓扑图;资产信息的类型包括主机免密登录关系信息、可访问资产信息中的至少一种;
基于各类资产信息对应的资产风险拓扑图以及主机网络通信拓扑图,构建初始风险拓扑图。
一种可选的实施方式中,影响信息包括以下信息中的至少一种:
至少一个节点与受到网络攻击的被攻击节点之间的风险相关度;网络攻击对目标主机集群的影响覆盖范围;被攻击节点至目标节点之间的攻击路径。
一种可选的实施方式中,第一确定模块320具体用于:
在影响信息为至少一个节点与受到网络攻击的被攻击节点之间的风险相关度的情况下,确定节点与被攻击节点之间的最短连接路径;
基于节点以及被攻击节点的第一风险评分、最短连接路径中各连接边的第二风险评分,以及节点与被攻击节点在风险拓扑图中的连接关系,确定节点与被攻击节点之间的风险相关度。
一种可选的实施方式中,第一确定模块320具体用于:
在影响信息为网络攻击对目标主机集群的影响覆盖范围的情况下,基于目标主机集群中各个节点的第一风险评分,以及风险拓扑图中的连接关系,对目标主机集群进行区域划分,得到第一风险评分之和最大的目标区域;
将目标区域作为影响覆盖范围。
一种可选的实施方式中,第一确定模块320具体用于:
在影响信息为被攻击节点至目标节点之间的攻击路径的情况下,基于各个节点的第一风险评分,以及风险拓扑图中的连接关系,确定被攻击节点至目标节点的多个候选攻击路径;
从多个候选攻击路径中筛选出最短路径,并将最短路径中各个节点的第一风险评分之和最高的候选攻击路径作为攻击路径。
一种可选的实施方式中,第二确定模块330具体用于:
基于影响信息以及历史网络攻击信息,对下一个受到网络攻击的节点进行预测;
基于预测结果,确定网络攻击的响应策略。
关于装置中的各模块的处理流程、以及各模块之间的交互流程的描述可以参照上述方法实施例中的相关说明,这里不再详述。
本公开实施例还提供了一种计算机设备,如图4所示,为本公开实施例提供的计算机设备结构示意图,包括:
处理器41和存储器42;存储器42存储有处理器41可执行的机器可读指令,处理器41用于执行存储器42中存储的机器可读指令,机器可读指令被处理器41执行时,处理器41执行下述步骤:
获取目标主机集群的风险拓扑图;风险拓扑图含多个主机对应的节点,节点之间由根据节点之间的通信关系确定的、指示可攻击方向的连接边连接;风险拓扑图还指示有节点的第一风险评分,以及连接边的第二风险评分;
响应于所述目标主机集群中任一主机节点受到网络攻击,确定至少一种影响信息;所述影响信息用于指示所述网络攻击对所述目标主机集群造成的影响;
基于所述影响信息,确定所述网络攻击的响应策略;所述响应策略用于对所述目标主机集群中的主机进行防护;
其中,任一种所述影响信息通过如下步骤计算得到:从所述风险拓扑图中,获取与所述影响信息关联的风险信息,并基于所述风险信息进行计算,得到所述影响信息。
上述存储器42包括内存421和外部存储器422;这里的内存421也称内存储器,用于暂时存放处理器41中的运算数据,以及与硬盘等外部存储器422交换的数据,处理器41通过内存421与外部存储器422进行数据交换。
上述指令的具体执行过程可以参考本公开实施例中的网络攻击响应方法的步骤,此处不再赘述。
本公开实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法实施例中的网络攻击响应方法的步骤。其中,该存储介质可以是易失性或非易失的计算机可读取存储介质。
本公开实施例还提供一种计算机程序产品,该计算机程序产品承载有程序代码,程序代码包括的指令可用于执行上述方法实施例中的网络攻击响应方法的步骤,具体可参见上述方法实施例,在此不再赘述。
其中,上述计算机程序产品可以具体通过硬件、软件或其结合的方式实现。在一个可选实施例中,计算机程序产品具体体现为计算机存储介质,在另一个可选实施例中,计算机程序产品具体体现为软件产品,例如软件开发包(Software Development Kit,SDK)等等。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。在本公开所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本公开各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例,仅为本公开的具体实施方式,用以说明本公开的技术方案,而非对其限制,本公开的保护范围并不局限于此,尽管参照前述实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本公开实施例技术方案的精神和范围,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应以权利要求的保护范围为准。

Claims (7)

1.一种网络攻击响应方法,其特征在于,包括:
获取目标主机集群的风险拓扑图;所述风险拓扑图含多个主机对应的节点,所述节点之间由根据所述节点之间的通信关系确定的、指示可攻击方向的连接边连接;所述风险拓扑图还指示有所述节点的第一风险评分,以及所述连接边的第二风险评分;
响应于所述目标主机集群中任一主机节点受到网络攻击,确定至少一种影响信息;所述影响信息用于指示所述网络攻击对所述目标主机集群造成的影响;
基于所述影响信息,确定所述网络攻击的响应策略;所述响应策略用于对所述目标主机集群中的主机进行防护;
其中,任一种所述影响信息通过如下步骤计算得到:从所述风险拓扑图中,获取与所述影响信息关联的风险信息,并基于所述风险信息进行计算,得到所述影响信息;
所述影响信息包括以下信息中的至少一种:
至少一个节点与受到网络攻击的被攻击节点之间的风险相关度;所述网络攻击对所述目标主机集群的影响覆盖范围;所述被攻击节点至目标节点之间的攻击路径;
所述从所述风险拓扑图中,获取与所述影响信息关联的风险信息,并基于所述风险信息进行计算,得到所述影响信息,包括:
在所述影响信息为至少一个节点与受到网络攻击的被攻击节点之间的风险相关度的情况下,确定所述节点与所述被攻击节点之间的最短连接路径;基于所述节点以及所述被攻击节点的第一风险评分、所述最短连接路径中各连接边的第二风险评分,以及所述节点与被攻击节点在所述风险拓扑图中的连接关系,确定所述节点与所述被攻击节点之间的风险相关度;
在所述影响信息为所述网络攻击对所述目标主机集群的影响覆盖范围的情况下,基于所述目标主机集群中各个所述节点的所述第一风险评分,以及所述风险拓扑图中的连接关系,对所述目标主机集群进行区域划分,得到第一风险评分之和最大的目标区域;将所述目标区域作为所述影响覆盖范围;
在所述影响信息为被攻击节点至目标节点之间的攻击路径的情况下,基于各个节点的第一风险评分,以及所述风险拓扑图中的连接关系,确定所述被攻击节点至所述目标节点的多个候选攻击路径;从所述多个候选攻击路径中筛选出最短路径,并将所述最短路径中各个节点的第一风险评分之和最高的候选攻击路径作为所述攻击路径。
2.根据权利要求1所述的方法,其特征在于,通过以下步骤生成所述风险拓扑图:
获取所述目标主机集群中各节点的资产信息、网络参数信息以及通信传输数据;
基于所述资产信息、所述网络参数信息和所述通信传输数据,构建初始风险拓扑图;
对所述初始风险拓扑图中的各个所述节点以及连接边进行风险评估,并基于所述风险评估得到的风险评分对所述初始风险拓扑图进行更新,得到所述风险拓扑图。
3.根据权利要求2所述的方法,其特征在于,所述基于所述资产信息、所述网络参数信息和所述通信传输数据,构建初始风险拓扑图,包括:
基于所述网络参数信息以及所述通信传输数据,构建所述目标主机集群的主机网络通信拓扑图;以及,针对所述资产信息中的任一类资产信息,基于该类资产信息,构建该类资产信息的资产风险拓扑图;所述资产信息的类型包括主机免密登录关系信息、可访问资产信息中的至少一种;
基于各类所述资产信息对应的资产风险拓扑图以及所述主机网络通信拓扑图,构建所述初始风险拓扑图。
4.根据权利要求1所述的方法,其特征在于,所述基于所述影响信息,确定所述网络攻击的响应策略,包括:
基于所述影响信息以及历史网络攻击信息,对下一个受到网络攻击的节点进行预测;
基于预测结果,确定所述网络攻击的响应策略。
5.一种网络攻击响应装置,其特征在于,包括:
获取模块,用于获取目标主机集群的风险拓扑图;所述风险拓扑图含多个主机对应的节点,所述节点之间由根据所述节点之间的通信关系确定的、指示可攻击方向的连接边连接;所述风险拓扑图还指示有所述节点的第一风险评分,以及所述连接边的第二风险评分;
第一确定模块,用于响应于所述目标主机集群中任一主机节点受到网络攻击,确定至少一种影响信息;所述影响信息用于指示所述网络攻击对所述目标主机集群造成的影响;
第二确定模块,用于基于所述影响信息,确定所述网络攻击的响应策略;所述响应策略用于对所述目标主机集群中的主机进行防护;
其中,所述第一确定模块在确定任一种影响信息时,具体用于:针对任一种影响信息,从所述风险拓扑图中,获取与所述影响信息关联的风险信息,并基于所述风险信息进行计算,得到所述影响信息;
所述影响信息包括以下信息中的至少一种:
至少一个节点与受到网络攻击的被攻击节点之间的风险相关度;所述网络攻击对所述目标主机集群的影响覆盖范围;所述被攻击节点至目标节点之间的攻击路径;
所述第一确定模块具体用于:
在所述影响信息为至少一个节点与受到网络攻击的被攻击节点之间的风险相关度的情况下,确定所述节点与所述被攻击节点之间的最短连接路径;基于所述节点以及所述被攻击节点的第一风险评分、所述最短连接路径中各连接边的第二风险评分,以及所述节点与被攻击节点在所述风险拓扑图中的连接关系,确定所述节点与所述被攻击节点之间的风险相关度;
在所述影响信息为所述网络攻击对所述目标主机集群的影响覆盖范围的情况下,基于所述目标主机集群中各个所述节点的所述第一风险评分,以及所述风险拓扑图中的连接关系,对所述目标主机集群进行区域划分,得到第一风险评分之和最大的目标区域;将所述目标区域作为所述影响覆盖范围;
在所述影响信息为被攻击节点至目标节点之间的攻击路径的情况下,基于各个节点的第一风险评分,以及所述风险拓扑图中的连接关系,确定所述被攻击节点至所述目标节点的多个候选攻击路径;从所述多个候选攻击路径中筛选出最短路径,并将所述最短路径中各个节点的第一风险评分之和最高的候选攻击路径作为所述攻击路径。
6.一种计算机设备,其特征在于,包括:处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,所述处理器用于执行所述存储器中存储的机器可读指令,所述机器可读指令被所述处理器执行时,所述处理器执行如权利要求1至4任一项所述的网络攻击响应方法的步骤。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机设备运行时,所述计算机设备执行如权利要求1至4任意一项所述的网络攻击响应方法的步骤。
CN202310982227.XA 2023-08-04 2023-08-04 一种网络攻击响应方法、装置、计算机设备及存储介质 Active CN116723052B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310982227.XA CN116723052B (zh) 2023-08-04 2023-08-04 一种网络攻击响应方法、装置、计算机设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310982227.XA CN116723052B (zh) 2023-08-04 2023-08-04 一种网络攻击响应方法、装置、计算机设备及存储介质

Publications (2)

Publication Number Publication Date
CN116723052A CN116723052A (zh) 2023-09-08
CN116723052B true CN116723052B (zh) 2023-10-20

Family

ID=87866404

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310982227.XA Active CN116723052B (zh) 2023-08-04 2023-08-04 一种网络攻击响应方法、装置、计算机设备及存储介质

Country Status (1)

Country Link
CN (1) CN116723052B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109191326A (zh) * 2018-08-23 2019-01-11 东北大学 基于攻击方视角的配电网cps相依存***网络攻击风险评估方法
CN114915476A (zh) * 2022-05-19 2022-08-16 南京南瑞信息通信科技有限公司 一种基于网络安全测评过程的攻击推演图生成方法及***
CN116016198A (zh) * 2022-12-26 2023-04-25 中国电子信息产业集团有限公司第六研究所 一种工控网络拓扑安全评估方法、装置及计算机设备
CN116527288A (zh) * 2022-01-21 2023-08-01 上海交通大学 基于知识图谱的网络攻击安全风险评估***及方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10185832B2 (en) * 2015-08-12 2019-01-22 The United States Of America As Represented By The Secretary Of The Army Methods and systems for defending cyber attack in real-time
US11734636B2 (en) * 2019-02-27 2023-08-22 University Of Maryland, College Park System and method for assessing, measuring, managing, and/or optimizing cyber risk

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109191326A (zh) * 2018-08-23 2019-01-11 东北大学 基于攻击方视角的配电网cps相依存***网络攻击风险评估方法
CN116527288A (zh) * 2022-01-21 2023-08-01 上海交通大学 基于知识图谱的网络攻击安全风险评估***及方法
CN114915476A (zh) * 2022-05-19 2022-08-16 南京南瑞信息通信科技有限公司 一种基于网络安全测评过程的攻击推演图生成方法及***
CN116016198A (zh) * 2022-12-26 2023-04-25 中国电子信息产业集团有限公司第六研究所 一种工控网络拓扑安全评估方法、装置及计算机设备

Also Published As

Publication number Publication date
CN116723052A (zh) 2023-09-08

Similar Documents

Publication Publication Date Title
US11277432B2 (en) Generating attack graphs in agile security platforms
Ganin et al. Multicriteria decision framework for cybersecurity risk assessment and management
US11252175B2 (en) Criticality analysis of attack graphs
US11831675B2 (en) Process risk calculation based on hardness of attack paths
US20220263855A1 (en) Automated prioritization of process-aware cyber risk mitigation
US20230076372A1 (en) Automated prioritization of cyber risk mitigation by simulating exploits
Çeker et al. Deception-based game theoretical approach to mitigate DoS attacks
US9239908B1 (en) Managing organization based security risks
US10104112B2 (en) Rating threat submitter
Ahmad et al. A review on c3i systems’ security: Vulnerabilities, attacks, and countermeasures
CN111581643A (zh) 渗透攻击评价方法和装置、以及电子设备和可读存储介质
Lazarovitz Deconstructing the solarwinds breach
US20170134418A1 (en) System and method for a uniform measure and assessement of an institution's aggregate cyber security risk and of the institution's cybersecurity confidence index.
MUSMAN et al. A game oriented approach to minimizing cybersecurity risk
CN110289995A (zh) 基于利用属性攻击图的社交网络行为监控方法及装置
US10320829B1 (en) Comprehensive modeling and mitigation of security risk vulnerabilities in an enterprise network
CN116702159B (zh) 一种主机防护方法、装置、计算机设备及存储介质
Pawlicki et al. The survey and meta-analysis of the attacks, transgressions, countermeasures and security aspects common to the Cloud, Edge and IoT
Enoch et al. Automated security investment analysis of dynamic networks
CN116723052B (zh) 一种网络攻击响应方法、装置、计算机设备及存储介质
US10313384B1 (en) Mitigation of security risk vulnerabilities in an enterprise network
Chejara et al. Vulnerability analysis in attack graphs using conditional probability
Nicol Cyber risk of coordinated attacks in critical infrastructures
CN114372269A (zh) 一种基于***网络拓扑结构的风险评估方法
Manoj Banks’ holistic approach to cyber security: tools to mitigate cyber risk

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant