网络攻击预测的方法、装置及存储介质与流程

1.本发明涉及网络安全领域，尤其是涉及网络攻击预测的方法、装置及存储介质。


背景技术：

2.随着网络的普及，网络安全问题也日益严重。
3.各企业、机构等为了维护其网络安全，通过会引入安全分析平台对企业内部接入网络的设备(通常被称之为网络资产)告警信息进行收集、分析进而预测潜在的网络攻击。
4.在现有技术中，网络攻击的预测方法基本都是基于网络的结构的相似性或者机器学习算法实现的。这种方式只适应于静态的数据结构，无法感知到真实的威胁情况，导致对网络攻击的预测不够准确。
5.鉴于此，如何提高预测网络攻击的准确性成为一个亟待解决的技术问题。


技术实现要素：

6.本发明提供一种网络攻击预测的方法、装置及存储介质，用以解决现有技术中存在的网络攻击预测准确度不高的技术问题。
7.第一方面，为解决上述技术问题，本发明实施例提供的一种网络攻击预测的方法，应用于包含多个网络设备的网络中，该方法的技术方案如下：
8.根据所述网络中存在攻击行为的第一网络设备与相邻的各个网络设备的相似度，确定所述第一网络设备的风险传播值；
9.将所述风险传播值累加到每个所述网络设备的风险值中；
10.根据当前各个网络设备的风险值，构建以所述第一网络设备为起点的攻击链路，将所述攻击链路作为所述网络中存在网络攻击的预测结果。
11.一种可能的实施方式，根据所述网络中存在攻击行为的第一网络设备与相邻的各个网络设备的相似度，确定所述第一网络设备的风险传播值，包括；
12.根据各个所述网络设备对应的安全告警，确定存在所述攻击行为的网络设备，并将之作为所述第一网络设备；
13.计算所述第一网络设备与相邻的各个网络设备的相似度，并从计算出的所有相似度中确定出最大相似度；
14.对所述第一网络设备的风险值，与所述第一网络设备相邻的网络设备的总数量及所述最大相似度三者进行积运算，获得所述第一网络设备的风险传播值。
15.一种可能的实施方式，根据各个所述网络设备对应的安全告警，确定存在所述攻击行为的网络设备，包括：
16.获取当前所述网络中所有的安全告警；
17.将各个所述网络设备的指纹信息与每个安全告警对应的漏洞信息进行比对，获得每个所述网络设备对应的安全告警；其中，所述指纹信息包括所述网络设备当前提供的服务、所述服务的端口、漏洞列表；
18.根据每个所述网络设备对应的安全告警对应的相关信息，确定对应网络设备中存在与对应安全告警相对的攻击行为的置信度；
19.若所述置信度大于置信度阈值，则确定对应的网络设备中存在所述攻击行为，并将存在所述攻击行为的网络设备的风险值更新为设定值。
20.一种可能的实施方式，获取当前所述网络中所有的安全告警之前，还包括：
21.获取所述网络的网络拓扑图；其中，所述网络拓扑图中一个节点对应所述网络设备中的一个所述网络设备；
22.确定所述网络拓扑图中每个节点对应网络设备初始的风险值。
23.一种可能的实施方式，获取所述网络的网络拓扑图，包括：
24.根据所述网络中各个所述网络设备的属性，构建对应的节点；
25.根据不同所述网络设备间的通信关系，构建不同节点间的连线，获得所述网络拓扑图。
26.一种可能的实施方式，确定所述网络拓扑图中每个节点对应网络设备初始的风险值，包括：
27.根据每个网络设备包含的漏洞等级，及各个漏洞等级对应的漏洞数量及漏洞的风险值，确定对应网络设备的脆弱性值；
28.根据每个网络设备包含的安全告警的置信度、威胁等级及安全告警的总数量，确定对应的威胁风险值；
29.将每个所述网络设备对应的所述脆弱性值和所述威胁性风险值的和值确定为对应网络设备初始的风险值。
30.一种可能的实施方式，当所述第一网络设备有多个时，将所述风险传播值累加到每个所述网络设备的风险值中，包括：
31.将每个所述第一网络设备的风险传播值都累加到每个所述网络设备的风险值中。
32.一种可能的实施方式，根据当前各个网络设备的风险值，构建以所述第一网络设备为起点的攻击链路，包括：
33.从所述第一网络设备开始，将所述第一网络设备作为所述攻击链路中的当前节点，选取与所述当前节点相邻的各网络设备中当前最大的风险值大于风险阈值的网络设备作为所述当前节点的下一个节点，直至所述当前节点的相邻的网络设备中最大的风险值小于所述风险阈值，获得攻击链路。
34.第二方面，本发明实施例还提供一种网络攻击预测的装置，包括：
35.至少一个处理器，以及
36.与所述至少一个处理器连接的存储器；
37.其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令，执行如上述第一方面所述的方法。
38.第三方面，本发明实施例还提供一种可读存储介质，包括：
39.存储器，
40.所述存储器用于存储指令，当所述指令被处理器执行时，使得包括所述可读存储介质的装置完成如上述第一方面所述的方法。
41.通过本发明实施例的上述一个或多个实施例中的技术方案，本发明实施例至少具
有如下技术效果：
42.在本发明提供的实施例中，通过计算存在攻击行为的第一网络设备的传播风险值，并将传播风险值累加到网络中的各个网络设备既有的风险值中，让根据当前各个网络设备的风险值，构建以第一网络设备为起点的攻击链路，将功能攻击链路作为网络中存在网络攻击的预测结果，这样能够动态感知网络中真实存在的威胁情况，从而提高预测网络攻击的准确度。
附图说明
43.图1为本发明实施例提供的一种网络结构示意图；
44.图2为本发明实施例提供的生成网络拓扑图的示意图；
45.图3为本发明实施例提供的一种网络攻击预测方法的流程图；
46.图4为本发明实施例提供的一种形成攻击链路的示意图。
具体实施方式
47.本发明实施列提供一种网络攻击预测的方法、装置及存储介质，用以解决现有技术中存在的预测网络攻击的准确度不高的技术问题。
48.为了更好的理解上述技术方案，下面通过附图以及具体实施例对本发明技术方案做详细的说明，应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详细的说明，而不是对本发明技术方案的限定，在不冲突的情况下，本发明实施例以及实施例中的技术特征可以相互组合。
49.本技术实施例涉及的网络通常是指一个公司、机构、部门的内部网络，在该内部网络中通常部署有安全分析平台，通过该安全分析平台可以收集网络中各个网络设备的海量安全日志，并加以分析和存储，进行威胁分析，威胁分析通常是以安全告警的形式进行存储或向用户展示。
50.本技术实施例涉及的网络设备可以包括计算机、服务器、存储设备、打印机等，每个网络设备的属性包括基本信息、主机信息、服务信息、应用信息。其中，基本信息可以包括网络设备的ip地址、网络设备的名称、地理威胁、重要性等；主机信息可以包括操作系统类型、版本、型号、登录账号、密码等信息；服务信息可以包括网络设备提供服务的端口、协议、服务名称等；应用信息可以包括网络设备中应用的名称、版本、厂商等。由于网络设备使用的操作系统中可能存在系统漏洞、安装的应用中可能存在业务逻辑漏洞等原因，使得网络设备在网络中容易受到网络攻击，网络设备受到网络攻击的可能性(或概率)在本实施例中用风险值来表示。
51.在本实施例中，每个网络设备都具有各自的风险值，这个风险值应被理解为一个变量，在不同时期网络设备的风险值可能不同。如在初始时，网络设备具有初始的风险值，随着网络中被确定出存在被攻击的网络设备(本实施例中称之为存在攻击行为的第一网络设备)后，需要将第一网络设备的风险值设置为高风险对应的设定值，而第一网络设备中存在的攻击行为可能以第一网络设备为跳板扩散到其它网络设备，这将影响到其它网络设备的风险值发生变化，这种影响在本实施例中通过第一设备的风险传播值来体现，利用风险传播值对网络中的每个网络设备的风险值进行再次更新，使每个网络设备的风险值都能动
态反应其当前被攻击的概率。
52.请参考图1为本发明实施例提供的一种网络结构示意图。
53.在图1所示的网络中，包括5个网络设备(网络设备1～网络设备5)，用户可以根据网络中各网络设备的连接关系及网络设备的属性，直接绘制网络拓扑图。
54.网络拓扑图也可以是采用下列方式直接生成：
55.根据网络中各个网络设备的属性，构建对应的节点；根据不同网络设备间的通信关系，构建不同节点间的连线，获得网络拓扑图。
56.例如，请参见图2为本发明实施例提供的生成网络拓扑图的示意图。图2是以图1的网络结构示意图为例，生成对应的网络拓扑图。
57.将网络中的每个网络设备构建为网络拓扑图中的一个节点，并让节点继承对应网络设备的属性，如将图1中的网络设备1构建为图2中的节点1，该节点1具有与网络设备1相同的属性，同理可以构建出网络设备2～网络设备5对应的节点2～节点5。
58.在构建出网络拓扑图中的节点后，还需要构建不同节点间的连线，具体可以根据不同设备间的通信关系进行构建。如可以通过获取会话日志，从中确定出会话双方分别对应的网络设备名称/ip地址，进而根据会话双方的会话关系(即通信关系)构建对应两个节点(网络设备)的连线，同理，可以构建其它不同节点间的连线，最终得到完整的网络拓扑图。
59.在本发明提供的实施例中，通过网络设备的属性构建对应的节点，然后根据不同网络设备的通信关系构建不同节点的连线，可以自动完成网络拓扑图的构建，当网络中的网络设备增加或减少时，采用上述网络拓扑图的构建方式还能及时更新网络拓扑图。
60.需要理解的是，网络拓扑图通常在初次完成整个网络的搭建后获取，在完成搭建后若网络中新增后减少了网络设备，也需要采用上述方式再次获取。
61.不管采用上述直接由用户输入的方式获取网络拓扑图，还是自动构建网络拓扑图的方式获取网络拓扑图之后，都需要确定网络拓扑图中每个节点对应网络设备初始的风险值，具体可以采用下列方式实现：
62.根据每个网络设备包含的漏洞等级，及各个漏洞等级对应的漏洞数量及漏洞的风险值，确定对应网络设备的脆弱性值；根据每个网络设备包含的安全告警的置信度、威胁等级及安全告警的总数量，确定对应的威胁风险值；将每个网络设备对应的脆弱性值和威胁性风险值的和值确定为对应网络设备初始的风险值。
63.例如，漏洞等级包括高危漏洞、中危漏洞、低危漏洞，它们在其中任一个网络设备中对应的漏洞数量、漏洞的风险值依次为：高危漏洞数、中危漏洞数、低危漏洞数，高危风险值、中危风险值、低危风险值，通常高危风险值、中危风险值、低危风险值为常量。则该网络设备的脆弱性值可以采用下列公式计算：
64.脆弱性值＝(高危漏洞数
×
高危风险值 中危漏洞数
×
中危风险值 低危漏洞数
×
低危风险值)/总漏洞数(1)；
65.其中，总漏洞数为高危漏洞数、中危漏洞数、低危漏洞数三者的和值。
66.假设安全告警的威胁等级被分为三级，网络中一个网络设备包含的安全告警有n条(即安全告警的总数量)，n为大于1的自然数，n条安全告警中第i条安全告警的置信度为m
i
、对应的威胁等级为k
i
，则该网络设备的威胁风险值(记为f
w
)为：
[0067][0068]
将上述脆弱性值与威胁风险值的和值，作为对应网络设备初始的风险值(即也可以称之为风险值的初始值)。
[0069]
同样的方式，可以计算出网络中其它网络设备初始的风险值。
[0070]
需要理解的是，网络设备初始的风险值的确定，不仅是在获取网络拓扑图后确定，当网络设备中对应的漏洞被封堵、消除一段时间后，也需要再次采用上述方式重新确定网络设备初始的风险值。
[0071]
在为网络中的每个网络设备确定各自初始的风险值之后，便可根据网络设备中是否存在攻击行为对网络设备的风险值进行动态更新。
[0072]
请参见图3为本发明实施例提供一种网络攻击预测的方法，应用于包含多个网络设备的网络中，该方法的处理过程如下。
[0073]
步骤301：根据网络中存在攻击行为的第一网络设备与相邻的各个网络设备的相似度，确定第一网络设备的风险传播值。
[0074]
在本发明提供的实施例中将存在攻击行为的网络设备称之为第一网络设备，确定第一网络设备的风险传播值可以通过下列方式实现：
[0075]
s10：根据各个网络设备对应的安全告警，确定存在攻击行为的网络设备，并将之作为第一网络设备。
[0076]
在s10中，确定存在攻击行为的网络设备，可以通过下列方式实现：
[0077]
获取当前网络中所有的安全告警；将各个网络设备的指纹信息与每个安全告警对应的漏洞信息进行比对，获得每个网络设备对应的安全告警；其中，指纹信息包括网络设备当前提供的服务、服务的端口、漏洞列表；根据每个网络设备对应的安全告警对应的相关信息，确定对应网络设备中存在与其包含的安全告警相对的攻击行为的置信度；若置信度大于置信度阈值，则确定对应的网络设备中存在攻击行为，并将存在攻击行为的网络设备的风险值更新为设定值。
[0078]
其中，安全告警对应的相关信息包括告警的响应码(如响应码为200，则表示请求成功)、安全告警的载荷(payload)特征是否命中漏洞特征、在网络设备中可能存在的阻断信息和/或威胁情报命中信息等。
[0079]
安全告警对应的漏洞信息，可以根据告警规则以及安全告警的名称获取漏洞的标识(如cve_id)、漏洞的名称，进而获取对应的漏洞信息，通常漏洞信息包括漏洞利用的服务、端口等信息。
[0080]
例如，网络中包括3个网络设备(记为网络设备1～网络设备3)，当前获取到网络中的安全告警有50条，将这50条安全告警对应的漏洞信息与这3个网络设备的指纹信息进行比对，确定出与网络设备1的指纹信息比对成功的安全告警有10条，与网络设备2比对成功的安全告警有15条，与网络设备3比对成功的安全告警有25条。然后根据网络设备1对应的15条安全告警对应的相关信息，确定网络设备中存在攻击行为的置信度，若该置信度大于置信度阈值，则确定网络设备1中存在攻击行为，将网络设备1的风险值更新为设定值，该设定值为高风险对应的常量值，此时将网络设备1作为第一网络设备。同理可以确定网络设备
2、网络设备3中是否存在攻击行为，若不存在，则它们的风险值保持不变；若存在，则它们的风险值也会被更新为设定值，相应的它们也会被作为第一网络设备。
[0081]
s20：计算第一网络设备与相邻的各个网络设备的相似度，并从计算出的所有相似度中确定出最大相似度。
[0082]
相似度的计算可以采用常用的相似度计算方式进行计算，如欧几里得距离、曼哈顿距离、明可夫斯基距离、余弦相似度等。
[0083]
以采用余弦相似度计算相似度为例，获取第一网络设备及其相邻的网络设备对应的漏洞标识、漏洞对应的服务名称、漏洞对应开方的端口等，将这些漏洞特征作为特征向量，计算第一网络设备与每个相邻的网络设备的余弦相似度，计算公式为：
[0084][0085]
其中，ρ为第一网络设备与其相邻的第i个网络设备的相似度，x
i
为与第一网络设备相邻的第i个网络设备的漏洞标识，x为第一网络设备的漏洞标识，y
i
为与第一网络设备相邻的第i个网络设备对应漏洞的端口，y为第一网络设备对应漏洞的端口。上述公式(3)中的漏洞标识也可以替换为漏洞对应的服务名称。
[0086]
通过上述方式可以计算出第一网设备与其相邻的每个网络设备的相似度，并从中选出最大的相似度(简称为最大相似度)，之后便可执行s30计算第一网络设备的风险传播值。该风险传播值可以表征第一网络设备受到的攻击行为传播到其它网络设备的概率。
[0087]
s30：对第一网络设备的风险值，与第一网络设备相邻的网络设备的总数量及最大相似度三者进行积运算，获得第一网络设备的风险传播值。
[0088]
将风险传播值记为f
c
，第一网络设备当前的风险值记为f，与第一网络设备相邻的网络设备的总数量记为n，则第一网络设备的风险传播值为：
[0089]
f
c
＝n
×
ρ
×
f
ꢀꢀ
(4)。
[0090]
需要说明的是，在网络中，存在攻击行为的第一网络设备的数量可能有多个，每个第一网络设备的风险传播值的计算方式都可以采用公式(4)计算得到。
[0091]
在本发明提供的实施例中，通过将相邻的网络设备中与第一网络设备的最大相似度引入计算风险传播值的计算过程，利用最大相似度来衡量相邻的网络设备具有与第一网络设备相同被利用漏洞特征的相似程度，进而结合第一网络设备的风险值、以及与第一网络设备相邻的网络设备的总数量，使计算出的第一网络设备的风险传播值，能动态反映第一网络设备中的攻击行为对其它网络设备造成的潜在风险。
[0092]
由于网络中出现了确定存在攻击行为的第一网络设备，该第一网络设备中的攻击行为存在传播到其它网络设备的风险，此时需要对网络中每个网络设备的风险值进行重新评估，具体采用步骤302实现。
[0093]
步骤302：将风险传播值累加到每个网络设备的风险值中。
[0094]
例如，假设确定网络中存在攻击行为的网络设备有1个(即只有一个第一网络设备)，则将该第一网络设备的风险传播值累加到每个网络设备的风险值中：
[0095]
f’＝f f
c
(5)；
[0096]
其中，f’为任一个网络设备累加风传播值后的风险值(即当前的风险值)，f为上述
任一个网络设备累加风险传播值前的风险值(即原有的风险值)，f
c
为第一网络设备的风险传播值。
[0097]
需要理解的是，f可能为对应网络设备初始的风险值，也可能为设定值，当一个网络设备未被确定为存在攻击行为(不是第一网络设备)时，其f为初始的风险值，当一个网络设备被确定为存在攻击行为(即为第一网络设备)时，其f为设定值。
[0098]
一种可能的实施方式，当第一网络设备有多个时，将风险传播值累加到每个网络设备的风险值中，可以采用下列方式实现：
[0099]
将每个第一网络设备的风险传播值都累加到每个网络设备的风险值中。
[0100]
例如，确定网络中存在攻击行为的网络设备有n个(即有n个第一网络设备)，则将这n个第一网络设备的风险传播值累加到每个网络设备的风险值中：
[0101][0102]
其中，f
ci
为第i个第一网络设备的风险传播值，其它参数与公式(5)中的参数含义相同，不再一一赘述。
[0103]
在将第一网络设备的风险传播值都累加到网络中的每个网络设备之后，便可构建以第一网络设备为起点的攻击链路，具体请见步骤303。
[0104]
步骤303：根据当前各个网络设备的风险值，构建以第一网络设备为起点的攻击链路。
[0105]
构建以第一网络设备为起点的攻击链路可以通过下列方式实现：
[0106]
从第一网络设备开始，将第一网络设备作为攻击链路中的当前节点，选取与当前节点相邻的各网络设备中当前最大的风险值大于风险阈值的网络设备作为当前节点的下一个节点，直至当前节点的相邻的网络设备中最大的风险值小于风险阈值，获得攻击链路。
[0107]
请参见图4为本发明实施例提供的一种形成攻击链路的示意图。
[0108]
在图4所示的网络中包括5个网络设备1～5对应的节点(为避免混淆，图4中未示出各节点之间的连接关系，它们的连接关系为图1所示的连接关系)，假设通过前面的方法确定网络设备5中存在攻击行为，将网络设备5确定为第一网络设备，并且利用网络设备5的风险传播值对网络中的每个网络设备的风险值进行了累加，得到网络设备1～网络设备5当前的风险值依次为风险值1～风险值5。
[0109]
从网络设备5(第一网络设备)开始，将网络设备5作为攻击链路中的当前节点，确定与当前节点(网络设备5)相邻的网络设备包括网络设备4，假设风险值4大于风险阈值，则与网络设备5相邻的所有网络设备中网络设备4当前的风险值大于风险阈值，将网络设备4确定为当前节点(网络设备5)的下一个节点；之后将网络设备4作为当前节点，确定与当前节点(网络设备4)相邻的网络设备包括网络设备5、网络设备2、网络设备3，由于已经确定网络设备5为攻击链路中的节点，因此从网络设置2和网络设备3中选出当前的风险值大于风险阈值的最大值对应的网络设备作为当前节点的下一个节点，假设风险值2和风险值3均大于风险阈值，且风险值3最大，则将网络设备3确定为当前节点(网络设备4)的下一个节点，同理，可以确定网络设备2为网络设备3的下一个节点，假设网络设备1的风险值1小于风险阈值，则确定攻击链路构建完成，该攻击链路为网络设备5
→
网络设备4
→
网络设备3
→
网络设备2。
[0110]
在获得上述攻击链路后，将攻击链路(网络设备5
→
网络设备4
→
网络设备3
→
网络设备2)作为网络中存在网络攻击的预测结果，并将预测结果展示给用户。
[0111]
若与上述网络设备4相邻的网络设备中没有一个的风险值大于风险阈值，则攻击链路仅由网络设备4组成。
[0112]
当对攻击链路中的网络设备对应的漏洞进行封堵、消除后，需要重新确定各个网络设备的风险值，确定的方式采用前面介绍确定初始的风险值相同的方式，故对此不再赘述。
[0113]
本发明实施例提供的上述方法可以应用于安全分析平台中，作为安全分析平台中的功能组成部分之一，也可以用于第三方平台、应用中，具体不做限定。
[0114]
在本发明提供的实施例中，通过计算存在攻击行为的第一网络设备的传播风险值，并将传播风险值累加到网络中的各个网络设备既有的风险值中，让根据当前各个网络设备的风险值，构建以第一网络设备为起点的攻击链路，将功能攻击链路作为网络中存在网络攻击的预测结果，这样能够动态感知网络中真实存在的威胁情况，从而提高预测网络攻击的准确度。
[0115]
基于同一发明构思，本发明实施例中提供了一种网络攻击预测的装置，包括：至少一个处理器，以及
[0116]
与所述至少一个处理器连接的存储器；
[0117]
其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令，执行如上所述的网络攻击预测的方法。
[0118]
基于同一发明构思，本发明实施例还提一种可读存储介质，包括：
[0119]
存储器，
[0120]
所述存储器用于存储指令，当所述指令被处理器执行时，使得包括所述可读存储介质的装置完成如上所述的网络攻击预测的方法。
[0121]
本领域内的技术人员应明白，本发明实施例可提供为方法、系统、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
[0122]
本发明实施例是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0123]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0124]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0125]
显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。