[发明专利]一种网络攻击图的生成方法、装置及电子设备

权利要求书

1.一种网络攻击图的生成方法，其特征在于，包括：

确定目标网络环境中的需要保护的目标资产；

在所述目标网络环境中，确定所述目标资产的各关联资产节点；所述关联资产节点为与所述目标资产具有直接网络连接关系或间接网络连接关系的资产节点；

确定各关联资产节点所存在的漏洞；

确定具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系；所述确定具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系，包括：确定具有直接网络连接关系的关联资产节点中，前一关联资产节点的漏洞被成功利用，能否成为后一关联资产节点的漏洞被成功利用的前提条件；若前一关联资产节点的漏洞被成功利用，能够成为后一关联资产节点的漏洞被成功利用的前提条件，则确定所述前一关联资产节点的漏洞和所述后一关联资产节点的漏洞之间存在逻辑关系；

若具有直接网络连接关系的关联资产节点的漏洞之间存在逻辑关系，则将存在逻辑关系的漏洞进行逻辑关联，建立关联资产节点之间的漏洞逻辑关系；

依据关联资产节点之间的漏洞逻辑关系，建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图。

2.根据权利要求1所述的网络攻击图的生成方法，其特征在于，所述在所述目标网络环境中，确定所述目标资产的各关联资产节点，包括：

在所述目标网络环境中，将能够与所述目标资产进行通信的资产节点，确定为一级关联资产节点；其中，所述一级关联资产节点与所述目标资产具有直接网络连接关系；

将除所述目标资产之外，能够与所述一级关联资产节点进行通信的资产节点，确定为二级关联资产节点；其中，所述二级关联资产节点与所述目标资产具有间接网络连接关系。

3.根据权利要求1所述的网络攻击图的生成方法，其特征在于，在依据关联资产节点之间的漏洞逻辑关系，建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图之后，所述方法还包括：

计算前一关联资产节点的漏洞被成功利用后，成功利用后一关联资产节点的漏洞的概率；

将所述概率，在所述网络攻击图中、自所述前一关联资产节点指向所述后一关联资产节点的攻击路径上进行标注。

4.根据权利要求1所述的网络攻击图的生成方法，其特征在于，在依据关联资产节点之间的漏洞逻辑关系，建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图之后，所述方法还包括：

在所述网络攻击图中，计算攻击者利用每条攻击路径成功攻击所述目标资产的成功概率；和/或

在所述网络攻击图中，计算攻击者利用每条攻击路径成功攻击所述目标资产的攻击代价。

5.根据权利要求4所述的网络攻击图的生成方法，其特征在于，将所述成功概率和/或攻击代价，标注在所述网络攻击图中的相应攻击路径上。

6.一种生成网络攻击图的装置，其特征在于，包括：

目标资产确定模块：用于确定目标网络环境中的需要保护的目标资产；

确定关联资产节点模块：用于在所述目标网络环境中，确定所述目标资产的各关联资产节点；所述关联资产节点为与所述目标资产具有直接网络连接关系或间接网络连接关系的资产节点；

漏洞确定模块：用于确定各关联资产节点所存在的漏洞；

逻辑关系判断模块：用于确定具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系；所述逻辑关系判断模块，包括：逻辑关系判断子模块：用于确定具有直接网络连接关系的关联资产节点中，前一关联资产节点的漏洞被成功利用，能否成为后一关联资产节点的漏洞被成功利用的前提条件；逻辑关系确定子模块：若前一关联资产节点的漏洞被成功利用，能够成为后一关联资产节点的漏洞被成功利用的前提条件，则确定所述前一关联资产节点的漏洞和所述后一关联资产节点的漏洞之间存在逻辑关系；

逻辑关系建立模块：用于若具有直接网络连接关系的关联资产节点的漏洞之间存在逻辑关系，则将存在逻辑关系的漏洞进行逻辑关联，建立关联资产节点之间的漏洞逻辑关系；

网络攻击图生成模块：用于依据关联资产节点之间的漏洞逻辑关系，建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图。