[发明专利]一种网络攻击图的生成方法、装置及电子设备

说明书

本发明实施例公开一种网络攻击图的生成方法、装置及电子设备，涉及网络信息安全领域，能够较快地生成网络攻击图。所述网络攻击图的生成方法，包括：在目标网络环境中，确定目标资产的各关联资产节点；确定各关联资产节点所存在的漏洞；确定具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系；若具有直接网络连接关系的关联资产节点的漏洞之间存在逻辑关系，则将存在逻辑关系的漏洞进行逻辑关联，建立关联资产节点之间的漏洞逻辑关系；依据关联资产节点之间的漏洞逻辑关系，建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图。所述装置及电子设备包括用于执行所述方法的模块。本发明适用于生成网络攻击图。

技术领域

本发明涉及网络信息安全领域，尤其涉及一种网络攻击图的生成方法、装置及电子设备。

背景技术

随着计算机网络的广泛应用，以及安全事件的频繁发生，网络安全称为一个日益突出的问题。解决网络安全问题的一个有效途径是对网路的安全性进行评价分析。现有的网络资产脆弱性分析的方法中，大多数都是把关注资产所在的网络中的所有资产进行遍历，进而获取到与关注资产有连接的资产，其次再从已获取的资产信息中提取存在漏洞关联的资产。

现有生成攻击图的方法存在对网络资产节点的树状结构进行的广度遍历，涵盖了一些与关注资产没有连接关系的资产，造成没有必要的计算代价；并且生成攻击图的前提要进行一个最大攻击深度的设定和最大攻击代价阈值的设定。当最大攻击深度设置过小时，生成的攻击图结果存在一定的疏漏性；当最大攻击深度设置过大时，在攻击图生成的过程中，会造成计算时间的不必要消耗、存储资源的过度开销以及存在计算节点爆炸等问题。

发明内容

有鉴于此，本发明实施例提供一种网络攻击图的生成方法、装置及电子设备，能够较快地生成网络攻击图。

第一方面，本发明实施例提供一种网络攻击图的生成方法，包括：确定目标网络环境中的需要保护的目标资产；在所述目标网络环境中，确定所述目标资产的各关联资产节点；所述关联资产节点为与所述目标资产具有直接网络连接关系或间接网络连接关系的资产节点；确定各关联资产节点所存在的漏洞；确定具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系；若具有直接网络连接关系的关联资产节点的漏洞之间存在逻辑关系，则将存在逻辑关系的漏洞进行逻辑关联，建立关联资产节点之间的漏洞逻辑关系；依据关联资产节点之间的漏洞逻辑关系，建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图。

根据本发明实施例的一种具体实现方式，所述在所述目标网络环境中，确定所述目标资产的各关联资产节点，包括：在所述目标网络环境中，将能够与所述目标资产进行通信的资产节点，确定为一级关联资产节点；其中，所述一级关联资产节点与所述目标资产具有直接网络连接关系；将除所述目标资产之外，能够与所述一级关联资产节点进行通信的资产节点，确定为二级关联资产节点；其中，所述二级关联资产节点与所述目标资产具有间接网络连接关系。

根据本发明实施例的一种具体实现方式，所述确定具有直接网络连接关系的关联资产节点的漏洞之间是否存在逻辑关系，包括：确定具有直接网络连接关系的关联资产节点中，前一关联资产节点的漏洞被成功利用，能否成为后一关联资产节点的漏洞被成功利用的前提条件；若前一关联资产节点的漏洞被成功利用，能够成为后一关联资产节点的漏洞被成功利用的前提条件，则确定所述前一关联资产节点的漏洞和所述后一关联资产节点的漏洞之间存在逻辑关系。

根据本发明实施例的一种具体实现方式，在依据关联资产节点之间的漏洞逻辑关系，建立基于所述目标网络环境的、以所述目标资产为攻击目标的网络攻击图之后，所述的网络攻击图的生成方法，还包括：计算前一关联资产节点的漏洞被成功利用后，成功利用后一关联资产节点的漏洞的概率；将所述概率，在所述网络攻击图中、自所述前一关联资产节点指向所述后一关联资产节点的攻击路径上进行标注。