服务系统修复优先级的确定方法、装置、设备及介质与流程

1.本发明涉及网络安全技术领域，尤其涉及一种服务系统修复优先级的确定方法、装置、电子设备、介质及程序。


背景技术：

2.服务系统用于向用户提供多种具体业务场景的服务，服务系统中通常存在多台主机，在进行漏洞扫描时扫描出的高中低危漏洞数量比较多，修复工作量大，修复周期长，且漏洞修复过程中也容易被攻击。为此针对服务系统中高风险的主机进行优先修复显得尤为重要。
3.现有技术只是根据漏洞cve(通用漏洞纰漏)确定漏洞本身的cvss评分(通用漏洞评分)来推荐主机的修复优先级，然而仅根据cvss评分推荐服务系统中主机的修复优先级会导致失真。
4.对此本发明提供一种服务系统修复优先级的确定方法、装置、电子设备、介质及程序，以精准地推荐服务系统中主机的修复优先级。


技术实现要素：

5.本发明提供一种服务系统修复优先级的确定方法、装置、电子设备、介质及程序，用以解决现有技术中服务系统主机的修复优先级失真的缺陷。
6.本发明提供一种服务系统修复优先级的确定方法，包括：
7.获取服务系统的网络拓扑图；其中，所述服务系统中包括多个主机；
8.根据所述网络拓扑图确定所述服务系统中每一主机的暴露面评分；
9.获取所述服务系统中每一主机的漏洞评分；
10.根据所述服务系统中每一主机的暴露面评分以及所述服务系统中每一主机的漏洞评分，确定目标主机的修复优先级。
11.根据本发明提供的一种服务系统修复优先级的确定方法，所述获取服务系统的网络拓扑图，包括：
12.利用探测接口程序，通过发送探测数据包的方式获取所述网络拓扑图；或，
13.利用流量分析程序，通过被动流量分析的方式获取所述网络拓扑图；或，
14.通过线下接收的方式获取所述网络拓扑图。
15.根据本发明提供的一种服务系统修复优先级的确定方法，所述根据所述网络拓扑图确定所述服务系统中每一主机的暴露面评分，包括：
16.s121、从所述服务系统中包括的多个主机中选取一个未确定暴露面评分的主机，作为待评分主机；
17.s122、根据所述网络拓扑图确定所述待评分主机的南北向暴露面和所述待评分主机的东西向暴露面；其中，所述南北向暴露面是指能够被外部互联网直接访问的端口，所述东西暴露面是指能够被外部互联网通过所述服务系统中其他主机访问的端口；
18.s123、根据所述待评分主机的南北向暴露面和所述待评分主机的东西向暴露面，结合预设的暴露面加权值确定所述待评分主机的暴露面评分；其中，所述预设的暴露面加权值包括南北向暴露面加权值、东西向暴露面加权值；所述暴露面评分用于衡量主机受到网络攻击的可能性；
19.s124、重复执行上述步骤s121～s123，直至得到所述服务系统中每一主机的暴露面评分。
20.根据本发明提供的一种服务系统修复优先级的确定方法，所述获取所述服务系统中每一主机的漏洞评分，包括：
21.s131、从所述服务系统中包括的多个主机中选取一个未确定漏洞评分的主机，作为待评分主机；
22.s132、获取所述待评分主机中提供的每一服务进程对应的漏洞评分；其中，所述第二主机运行有多个服务进程，通过对应的服务端口提供服务；
23.s133、累加所述待评分主机中提供的每一服务进程对应的漏洞评分，得到所述待评分主机的漏洞评分；
24.s134、重复执行上述步骤s131～s133，直至得到所述服务系统中每一主机的漏洞评分。
25.根据本发明提供的一种服务系统修复优先级的确定方法，所述根据所述服务系统中每一主机的暴露面评分以及所述服务系统中每一主机的漏洞评分，确定目标主机的修复优先级，包括：
26.根据所述服务系统中每一主机的暴露面评分和漏洞评分，组成所述每一主机的风险向量；
27.根据所述服务系统中每一主机的风险向量的大小排序，确定目标主机的修复优先级。
28.根据本发明提供的一种服务系统修复优先级的确定方法，所述根据所述服务系统中每一主机的风险向量的大小排序，确定目标主机的修复优先级，包括：
29.计算所述服务系统中每一主机的风险向量对应的起始点和终点之间的欧式距离，所述欧式距离用于表征相应的风险向量的大小；
30.将计算得到的欧式距离按照大小顺序排序，得到第一排序结果，其中，所述按照大小顺序排序包括：按照由大到小排序，或者，按照由小到大排序；
31.当按照由大到小排序时，将所述目标主机对应的欧式距离在所述第一排序结果中的次序，确定为所述目标主机的修复优先级；
32.当按照由小到大排序时，将所述目标主机对应的欧式距离在所述第一排序结果中按照逆序计数得到的次序，确定为所述目标主机的修复优先级。
33.根据本发明提供的一种服务系统修复优先级的确定方法，在根据所述服务系统中每一主机的暴露面评分以及所述服务系统中每一主机的漏洞评分，确定目标主机的修复优先级之后，方法还包括：
34.确定所述目标主机中第一服务进程对应的第一服务端口；其中，所第一服务进程是所述目标主机中运行的多个服务进程中的一个；
35.确定所述第一服务端口对应的暴露面加权值；
36.根据所述第一服务端口对应的暴露面加权值，对所述第一服务进程对应的漏洞评分进行加权，得到所述第一服务进程的加权漏洞评分；
37.将所述目标主机中的各服务进程对应的加权漏洞评分按照由大到小的顺序排序，得到第二排序结果；
38.将所述第一服务进程的加权漏洞评分在所述第二排序结果中的次序确定为所述第一服务进程在所述目标主机修复过程中的修复优先级。
39.根据本发明提供的一种服务系统修复优先级的确定方法，在根据所述服务系统中每一主机的暴露面评分以及所述服务系统中每一主机的漏洞评分，确定目标主机的修复优先级之后，方法还包括：
40.在检测到所述服务系统的网络拓扑结构变化的情况下，重新执行上述获取服务系统的网络拓扑图至确定目标主机的修复优先级的步骤。
41.本发明还提供一种服务系统修复优先级的确定装置，包括：
42.拓扑图获取模块，用于获取服务系统的网络拓扑图；其中，所述服务系统中包括多个主机；
43.暴露面评分模块，用于根据所述网络拓扑图确定所述服务系统中每一主机的暴露面评分；
44.漏洞评分模块，用于获取所述服务系统中每一主机的漏洞评分；
45.优先级确定模块，用于根据所述服务系统中每一主机的暴露面评分以及所述服务系统中每一主机的漏洞评分，确定目标主机的修复优先级。
46.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述服务系统修复优先级的确定方法的全部或部分步骤。
47.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述服务系统修复优先级的确定方法的全部或部分步骤。
48.本发明还提供一种计算机程序产品，所述计算机程序产品包括计算机可执行指令，所述指令在被执行时用于实现如上述任一种所述服务系统修复优先级的确定方法的全部或部分步骤。
49.本发明提供的一种服务系统修复优先级的确定方法、装置、电子设备、介质及程序，利用服务系统的网络拓扑图确定服务系统中每一主机的暴露面评分，衡量了主机受到网络攻击的可能性；通过获取服务系统中每一主机的漏洞评分，衡量了主机中服务进程的漏洞严重程度；综合主机的暴露面评分和漏洞评分，合理精确地确定了服务系统中主机的修复优先级，提升了服务系统的安全性。
附图说明
50.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
51.图1是本发明提供的一种服务系统修复优先级的确定方法的流程示意图；
52.图2是本发明提供的一种服务系统修复优先级的确定装置的结构示意图；
53.图3是本发明提供的电子设备的结构示意图。
具体实施方式
54.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
55.下面结合图1-图3描述本发明的一种服务系统修复优先级的确定方法、装置、电子设备、介质及程序。
56.图1是本发明提供的一种服务系统修复优先级的确定方法的流程示意图，如图1所示，该方法包括：
57.s11、获取服务系统的网络拓扑图；其中，所述服务系统中包括多个主机；
58.具体地，服务系统用于向用户提供多种具体业务场景的服务，服务系统提供的服务可以是云服务，例如云存储、云计算、云安全等等，也可以是本地服务，例如，企业内网服务的数据中心，办公系统服务器等等。服务系统中通常存在多台主机，多台主机可以是服务器集群(各主机实现的功能相同，以集群的方式满足高并发需求)，也可以是分布式服务器(各主机实现的功能不同，协作完成服务系统的具体服务功能)，本发明对服务系统的部署位置、业务种类、架构形式不作限制。
59.服务系统的网络拓扑图描述了服务系统中各主机及其他网络设备(如路由器、交换机、网关等)的数据交互关系，获取服务系统的网络拓扑图用于进一步地确定主机修复优先级。
60.s12、根据所述网络拓扑图确定所述服务系统中每一主机的暴露面评分；
61.具体地，暴露在攻击者视线范围内，可以被利用进行入侵的系统、设备、信息等，都属于暴露面。对于服务系统中的一台主机而言，主机运行服务进程，并通过端口(逻辑端口)对外提供服务，那么主机的端口有可能直接或间接地暴露于互联网，进而有可能被攻击者利用。
62.主机的暴露面，例如主机a的一个“信息查询服务”端口挂载在企业信息门户(enterprise information portal，简称eip)上，则主机a通过挂载在企业信息门户上的“信息查询服务”端口暴露了自己；又例如主机a的“数据存储服务”端口通过网络地址转换设备(network address translation，简称nat)对外接收/发送数据包，则主机a的“数据存储服务”端口通过nat设备暴露于互联网；再例如，主机a与主机b为相邻主机，协作完成“订单处理服务”，而主机b暴露于互联网，则主机a的“订单处理服务”端口通过主机b间接地暴露于互联网。
63.暴露面评分用于衡量主机受到网络攻击的可能性，通过网络拓扑图可以确定服务系统中每一主机的暴露面状况，进而确定服务系统中每一主机的暴露面评分。可以理解的是，主机暴露的端口越多，则该主机受到网络攻击的可能性越高，相应地，该主机的暴露面评分也越高；主机与互联网的信息交互路径越短(越直接地暴露于互联网)，则该主机受到
网络攻击的可能性越高，相应地，该主机的暴露面评分也越高。
64.另外，需要说明的是，上述企业信息门户(enterprise information portal，简称eip)是指在internet的环境下，把各种应用系统、数据资源和互联网资源统一集成到企业信息门户之下，根据每个用户使用特点和角色的不同，形成个性化的应用界面，并通过对事件和消息的处理、传输把用户有机地联系在一起。网络地址转换(network address translation，简称nat)也叫做网络掩蔽或者ip掩蔽(ip masquerading)，是一种在ip数据包通过路由器或防火墙时重写来源ip地址或目的ip地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有ip地址访问因特网的私有网络中。
65.s13、获取所述服务系统中每一主机的漏洞评分；
66.具体地，主机中运行了各种服务进程，对各服务进程进行漏洞检测，并进行汇总，可以确定主机整体的漏洞评分，主机的漏洞评分用于衡量主机中服务进程的漏洞严重程度。主机的漏洞评分越高，说明主机受到攻击后造成的后果越严重，主机的漏洞评分越低，说明主机受到攻击后造成的后果越轻微。
67.s14、根据所述服务系统中每一主机的暴露面评分以及所述服务系统中每一主机的漏洞评分，确定目标主机的修复优先级。
68.具体地，综合主机的暴露面评分和主机的漏洞评分确定目标主机的修复优先级。主机的暴露面评分越高，则修复优先级越高，主机的暴露面评分越低，则修复优先级越低。并且还结合主机的漏洞评分确定主机的修复优先级，主机的漏洞评分越高，则修复优先级越高，主机的漏洞评分越低，则修复优先级越低。
69.综合主机的暴露面评分和主机的漏洞评分确定目标主机的修复优先级，使得确定出的目标主机的修复优先级更为合理精确。例如，一个在vpc(virtual private cloud，虚拟私有云)网络里面的云主机c虽然有高危漏洞，但云主机c没有挂载eip或者不能访问互联网，此时确定出的云主机c的修复优先级应该较低，反而，如果一个挂载了eip的云主机d，如果发现了中危漏洞，此时确定出的云主机d的修复优先级比云主机c的修复优先级高。
70.另外，需要说明的是本发明提供的一种服务系统修复优先级的确定方法的应用位置可以灵活设置，例如可以以软件形式部署于服务系统中的主机中、网关设备中等等，还可以以专用设备(安全设备)的形式部署在服务系统中。本发明得到的目标主机的修复优先级是为用户推荐的修复优先级，供用户在维护服务系统时参考。
71.本实施例中利用服务系统的网络拓扑图确定服务系统中每一主机的暴露面评分，衡量了主机受到网络攻击的可能性；通过获取服务系统中每一主机的漏洞评分，衡量了主机中服务进程的漏洞严重程度；综合主机的暴露面评分和漏洞评分，合理精确地确定了服务系统中主机的修复优先级，提升了服务系统的安全性。
72.基于上述任一实施例，在一个实施例中，所述获取服务系统的网络拓扑图，包括：
73.利用探测接口程序，通过发送探测数据包的方式获取所述网络拓扑图；或，
74.利用流量分析程序，通过被动流量分析的方式获取所述网络拓扑图；或，
75.通过线下接收的方式获取所述网络拓扑图。
76.具体地，获取服务系统的网络拓扑图可以有多种。可以利用探测接口程序，向服务系统中各网络节点发送探测数据包，根据反馈数据确定各节点的资产信息、路径信息，从而确定服务系统的网络拓扑图；还可以利用流量分析程序，通过被动流量分析的方式获取网
络拓扑图，被动流量分析即通过交换机/路由器等设备通过网络流量镜像的方式获取服务系统中的网络流量，并对网络流量进行分析获取服务系统的网络拓扑图，利用流量分析程序，通过被动流量分析的方式获取网络拓扑图能够避免对服务系统正常业务的干扰；还可以通过线下接收的方式获取服务系统的网络拓扑图，即接收其他设备传输的网络拓扑图，而不需要自行分析获取。
77.本实施例中提供多种网络拓扑获取方式，便捷准确地获取了服务系统的网络拓扑图。
78.基于上述任一实施例，在一个实施例中，所述根据所述网络拓扑图确定所述服务系统中每一主机的暴露面评分，包括：
79.s121、从所述服务系统中包括的多个主机中选取一个未确定暴露面评分的主机，作为待评分主机；
80.s122、根据所述网络拓扑图确定所述待评分主机的南北向暴露面和所述待评分主机的东西向暴露面；其中，所述南北向暴露面是指能够被外部互联网直接访问的端口，所述东西暴露面是指能够被外部互联网通过所述服务系统中其他主机访问的端口；
81.s123、根据所述待评分主机的南北向暴露面和所述待评分主机的东西向暴露面，结合预设的暴露面加权值确定所述待评分主机的暴露面评分；其中，所述预设的暴露面加权值包括南北向暴露面加权值、东西向暴露面加权值；所述暴露面评分用于衡量主机受到网络攻击的可能性；
82.s124、重复执行上述步骤s121～s123，直至得到所述服务系统中每一主机的暴露面评分。
83.具体地，需要确定服务系统中每一主机的暴露面评分，用于确定主机修复优先级。从服务系统的多个主机中选取未确定暴露面评分的主机，作为待评分主机，根据网络拓扑图确定待评分主机的端口是否能够被互联网直接访问到，如果是，则该端口属于待评分主机的南北向暴露面，确定待评分主机的端口是否能够被互联网通过服务系统中的其他主机访问到，如果是，则该端口属于待评分主机的东西向暴露面。例如，根据网络拓扑图，确定互联网可以通过企业信息门户(enterprise information portal，简称eip)访问待评分主机的“信息查询服务”端口，则该“信息查询服务”端口是待评分主机的一个南北向暴露面；又例如，根据网络拓扑图，确定互联网可以通过网络地址转换设备访问待评分主机的“数据存储服务”端口，则该“数据存储服务”端口是待评分主机的一个南北向暴露面；又例如，根据网络拓扑图，确定互联网可以通过待评分主机的相邻主机访问待评分主机的“订单处理服务”端口，则该“订单处理服务”端口是待评分主机的一个东西向暴露面。
84.此外，主机的南北向暴露面和东西向暴露面遭受网络攻击的可能性不同，为此预设了暴露面加权值以确定主机的暴露面评分，包括南北向暴露面加权值、东西向暴露面加权值。南北向暴露面受到网络攻击的可能性更高，相应地，可以设置为南北向暴露面加权值大于东西向暴露面加权值。例如，设置南北向暴露面加权值为0.6，设置东西向暴露面加权值为0.4。根据南北向暴露面、东西向暴露面的数量结合预设的暴露面加权值即可确定待评分主机的暴露面评分，暴露面评分衡量了主机受到网络攻击的可能性。重复以上步骤，直至得到服务系统中每一主机的暴露面评分。
85.本实施例中通过网络拓扑图便捷地确定了每一主机的南北向暴露面和东西向暴
露面，结合预设的暴露面加权值准确地获取了衡量每一主机受到网络攻击的可能性的暴露面评分，为合理确定服务系统中主机的修复优先级奠定了基础。
86.基于上述任一实施例，在一个实施例中，所述获取所述服务系统中每一主机的漏洞评分，包括：
87.s131、从所述服务系统中包括的多个主机中选取一个未确定漏洞评分的主机，作为待评分主机；
88.s132、获取所述待评分主机中提供的每一服务进程对应的漏洞评分；其中，所述待评分主机运行有多个服务进程，通过对应的服务端口提供服务；
89.s133、累加所述待评分主机中提供的每一服务进程对应的漏洞评分，得到所述待评分主机的漏洞评分；
90.s134、重复执行上述步骤s131～s133，直至得到所述服务系统中每一主机的漏洞评分。
91.具体地，需要确定服务系统中每一主机的漏洞评分，用于确定主机修复优先级。从服务系统的多个主机中选取未确定漏洞评分的主机，作为待评分主机，待评分主机中运行了各种服务进程，对各服务进程进行漏洞检测获取相应的漏洞评分，获取待评分主机中提供的每一服务进程对应的漏洞评分的方式可以是基于通用漏洞披露(common vulnerabilities&exposures，简称cve)，利用通用漏洞评分系统(common vulnerability scoring system，简称cvss)来获取待评分主机中提供的每一服务进程对应的漏洞评分。通用漏洞披露(cve)就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据。通用漏洞评分系统(cvss)，是一个行业公开标准，其被设计用来评测漏洞的严重程度，通过给出cvss评分帮助确定漏洞的紧急度和重要度。
92.参照上述方式获取待评分主机中提供的每一服务进程对应的漏洞评分，并进行累加汇总，即可得到待评分主机的漏洞评分。重复执行上述步骤，直至得到服务系统中每一主机的漏洞评分。主机的漏洞评分用于衡量主机中服务进程的漏洞严重程度。主机的漏洞评分越高，说明主机受到攻击后造成的后果越严重，主机的漏洞评分越低，说明主机受到攻击后造成的后果越轻微。
93.本实施例中根据主机中运行的每一服务进程的漏洞评分确定了主机整体的漏洞评分，衡量了主机中服务进程的漏洞严重程度，便于准确地确定服务系统中主机的修复优先级。
94.基于上述任一实施例，在一个实施例中，所述根据所述服务系统中每一主机的暴露面评分以及所述服务系统中每一主机的漏洞评分，确定目标主机的修复优先级，包括：
95.根据所述服务系统中每一主机的暴露面评分和漏洞评分，组成所述每一主机的风险向量；
96.根据所述服务系统中每一主机的风险向量的大小排序，确定目标主机的修复优先级。
97.具体地，将服务系统中每一主机的暴露面评分以及漏洞评分分别作为风险向量的一个分量，得到服务系统中的每一主机的风险向量。风险向量综合描述了主机的风险程度，且便于各主机之间的对比。
98.根据服务系统中每一主机的风险向量的大小排序，确定目标主机的修复优先级，风险向量越大，其对应的主机的修复优先级越高，风险向量越小，其对应的主机的修复优先级越低。
99.进一步地，为便于直观地了解服务系统中各主机风险向量之间的差异，可以将各风险向量的暴露面评分进行归一化，将最小暴露面评分缩放至“0”，将最大暴露面评分缩放至“1”，同理，还可以将各风险向量的漏洞评分进行归一化，便于直观地了解服务系统中各主机风险向量之间的差异对比以及后续的风险向量的大小排序，且消除了量纲不同带来的影响。
100.本实施例中通过风险向量综合描述了服务系统中各主机的风险程度，且便于各主机之间的对比；根据服务系统中每一主机的风险向量的大小排序，准确地确定了目标主机的修复优先级，提升了服务系统的安全性。
101.基于上述任一实施例，在一个实施例中，所述根据所述服务系统中每一主机的风险向量的大小排序，确定目标主机的修复优先级，包括：
102.计算所述服务系统中每一主机的风险向量对应的起始点和终点之间的欧式距离，所述欧式距离用于表征相应的风险向量的大小；
103.将计算得到的欧式距离按照大小顺序排序，得到第一排序结果，其中，所述按照大小顺序排序包括：按照由大到小排序，或者，按照由小到大排序；
104.当按照由大到小排序时，将所述目标主机对应的欧式距离在所述第一排序结果中的次序，确定为所述目标主机的修复优先级；
105.当按照由小到大排序时，将所述目标主机对应的欧式距离在所述第一排序结果中按照逆序计数得到的次序，确定为所述目标主机的修复优先级。
106.具体地，计算服务系统中每一主机的风险向量对应的起始点和终点之间的欧式距离，其中，目标主机的风险向量对应的起始点可以为原点(0，0)，而终点则可以通过暴露面评分和漏洞评分共同确定的坐标点确定。在计算欧式距离时，可以将每个风险向量的各分量(纵坐标、横坐标)求平方和，然后再开方得到欧式距离。然后对欧式距离进行排序，在具体实施时，可以按照由大到小或者由小到大任意一种方式进行排序，基于排序结果确定相应主机的修复优先级。
107.需要说明的是，当选择按照由大到小排序时，目标主机对应的欧式距离在第一排序结果中的次序(该次序按照由大到小进行计数)，即为该目标主机的修复优先级；相反地，当选择按照由小到大排序时，目标主机对应的欧式距离在第一排序结果中的次序(按照由小到大计数得到的次序)，并非目标主机对应的修复优先级，需要将按照逆序计数达到的次序(按照由大到小顺序计数得到的次序)，确定为目标主机对应的修复优先级。由此可见，无论按照何种方式排序，都是将排序后的欧式距离按照由大到小计数得到的次序，确定为相应主机的优先级，由此确定目标主机对应的修复优先级即可。
108.本实施例中基于欧式距离对服务系统中各主机的风险向量排序，准确地确定了目标主机的修复优先级。
109.基于上述任一实施例，在一个实施例中，在根据所述服务系统中每一主机的暴露面评分以及所述服务系统中每一主机的漏洞评分，确定目标主机的修复优先级之后，方法还包括：
110.确定所述目标主机中第一服务进程对应的第一服务端口；其中，所第一服务进程是所述目标主机中运行的多个服务进程中的一个；
111.确定所述第一服务端口对应的暴露面加权值；
112.根据所述第一服务端口对应的暴露面加权值，对所述第一服务进程对应的漏洞评分进行加权，得到所述第一服务进程的加权漏洞评分；
113.将所述目标主机中的各服务进程对应的加权漏洞评分按照由大到小的顺序排序，得到第二排序结果；
114.将所述第一服务进程的加权漏洞评分在所述第二排序结果中的次序确定为所述第一服务进程在所述目标主机修复过程中的修复优先级。
115.具体地，在确定目标主机的修复优先级后，进一步确定目标主机中各服务进程的修复优先级。确定目标主机中第一服务进程对应的第一服务端口，结合网络拓扑图确定第一服务端口的暴露面类型(南北向暴露面，东西向暴露面，非暴露面)，进而确定第一服务端口对应的暴露面加权值，暴露面加权值是预设的数值，例如，设置南北向暴露面加权值为0.7，设置东西向暴露面加权值为0.3。可以理解的是，对于非暴露面，其不造成受到网络攻击的可能性，相应地，非暴露面加权值设置为0。
116.根据第一服务端口对应的暴露面加权值，对所述第一服务进程对应的漏洞评分进行加权，得到所述第一服务进程的加权漏洞评分。第一服务进程对应的漏洞评分的方式可以是基于通用漏洞披露(common vulnerabilities&exposures，简称cve)，利用通用漏洞评分系统(common vulnerability scoring system，简称cvss)来获取第一服务进程对应的漏洞评分。第一服务进程的加权漏洞评分结合受到网络攻击可能性衡量了第一服务进程的风险程度。
117.将目标主机中的各服务进程对应的加权漏洞评分按照由大到小的顺序排序，得到第二排序结果，第二排序结果即为对应的服务进程的修复优先级。将第一服务进程的加权漏洞评分在第二排序结果中的次序确定为第一服务进程在目标主机修复过程中的修复优先级。
118.本实施例中在确定目标主机的修复优先级后，进一步结合服务进程对应的暴露面加权值和服务进程的漏洞评分准确地确定了目标主机中各服务进程的修复优先级，提升了服务系统的安全性。
119.下面通过一个优选实施例说明确定目标主机中漏洞修复优先级的过程：
120.通过服务系统的网路拓扑图，确定目标主机e通过服务系统的eip(企业信息门户)、dnat(目的网络地址转换)网关和slb(负载均衡)服务暴露了自己；
121.通过分析目标主机e所处的网路拓扑位置，从互联网一面评估可以到达目标主机e的访问路径，最后绘制出目标主机e对外暴露的端口列表(暴露面列表)；
122.扫描目标主机e上所有的漏洞，得到目标主机e的所有漏洞以及漏洞的cvss(通用漏洞评分系统)评分；
123.根据漏洞找到目标主机e对应的服务进程以及端口列表；
124.评估每个漏洞的风险，即如果漏洞本身的cvss评分高，同时漏洞对应的服务端口出现在目标主机e对外暴露的端口列表里面，则这个漏洞非常危险，应该高优先级修复；另外如果只是cvss高但端口并没有暴露，修复的优先级可以降低；
125.所有的漏洞按照cvss评分结合目标主机e对外暴露的端口列表计算完成后进行排序，给出所有漏洞的修复优先级顺序。
126.本实施例基于云主机所处上下文环境(网络拓扑环境)，计算云主机南北向暴露面和东西向暴露面，并结合漏洞本身的cvss评分算出云主机的风险向量，解决了有大量漏洞时漏洞修复优先级的问题，提升了云主机的安全性。
127.基于上述任一实施例，在一个实施例中，在根据所述服务系统中每一主机的暴露面评分以及所述服务系统中每一主机的漏洞评分，确定目标主机的修复优先级之后，方法还包括：
128.在检测到所述服务系统的网络拓扑结构变化的情况下，重新执行上述获取服务系统的网络拓扑图至确定目标主机的修复优先级的步骤。
129.具体地，服务系统的网络拓扑结构变化则服务系统中各主机的暴露面可能相应发生了变化，需要重新确定服务系统的网络拓扑图，并重新确定目标主机的修复优先级。
130.此外，当漏洞识别规则发生了变化，例如“通用漏洞纰漏(cve)”对现有已披露的漏洞库进行了更新，相应地，需要重新确定每一主机中的漏洞，以及每一漏洞对应的通用漏洞评分系统评分(cvss评分)，进而更新主机的漏洞评分，并重新确定目标主机的修复优先级。
131.本实施例在检测到服务系统的网络拓扑结构变化的情况下重新执行获取服务系统的网络拓扑图至确定目标主机的修复优先级的步骤，在漏洞识别规则发生了变化的情况下，重新确定了主机的漏洞评分，对目标主机的修复优先级进行了及时更新，进一步提升了服务系统的安全性。
132.下面对本发明提供的服务系统修复优先级的确定装置进行描述，下文描述的服务系统修复优先级的确定装置与上文描述的服务系统修复优先级的确定方法可相互对应参照。
133.图2是本发明提供的一种服务系统修复优先级的确定装置的结构示意图，如图2所示，该装置包括：
134.拓扑图获取模块21，用于获取服务系统的网络拓扑图；其中，所述服务系统中包括多个主机；
135.暴露面评分模块22，用于根据所述网络拓扑图确定所述服务系统中每一主机的暴露面评分；
136.漏洞评分模块23，用于获取所述服务系统中每一主机的漏洞评分；
137.优先级确定模块24，用于根据所述服务系统中每一主机的暴露面评分以及所述服务系统中每一主机的漏洞评分，确定目标主机的修复优先级。
138.本实施例中利用服务系统的网络拓扑图确定服务系统中每一主机的暴露面评分，衡量了主机受到网络攻击的可能性；通过获取服务系统中每一主机的漏洞评分，衡量了主机中服务进程的漏洞严重程度；综合主机的暴露面评分和漏洞评分，合理精确地确定了服务系统中主机的修复优先级，提升了服务系统的安全性。
139.基于上述任一实施例，在一个实施例中，所述拓扑图获取模块21包括：
140.第一拓扑图获取单元，用于利用探测接口程序，通过发送探测数据包的方式获取所述网络拓扑图；
141.第二拓扑图获取单元，用于利用流量分析程序，通过被动流量分析的方式获取所
述网络拓扑图；
142.第三拓扑图获取单元，用于通过线下接收的方式获取所述网络拓扑图。
143.本实施例中提供多种网络拓扑获取方式，便捷准确地获取了服务系统的网络拓扑图。
144.基于上述任一实施例，在一个实施例中，所述暴露面评分模块22包括：
145.第一选取单元，用于从所述服务系统中包括的多个主机中选取一个未确定暴露面评分的主机，作为待评分主机；
146.暴露面确定单元，用于根据所述网络拓扑图确定第一主机的南北向暴露面和所述第一主机的东西向暴露面；其中，所述第一主机是所述服务系统中包括的多个主机中的一个；所述南北向暴露面是指能够被外部互联网直接访问的端口，所述东西暴露面是指能够被外部互联网通过所述服务系统中其他主机访问的端口；
147.暴露面评分单元，用于根据所述第一主机的南北向暴露面和所述第一主机的东西向暴露面，结合预设的暴露面加权值确定所述第一主机的暴露面评分；其中，所述预设的暴露面加权值包括南北向暴露面加权值、东西向暴露面加权值；所述暴露面评分用于衡量主机受到网络攻击的可能性；
148.第一循环评分单元，用于利用所述第一选取单元、暴露面确定单元、暴露面评分单元，得到所述服务系统中每一主机的暴露面评分。
149.本实施例中通过网络拓扑图便捷地确定了每一主机的南北向暴露面和东西向暴露面，结合预设的暴露面加权值准确地获取了衡量每一主机受到网络攻击的可能性的暴露面评分，为合理确定服务系统中主机的修复优先级奠定了基础。
150.基于上述任一实施例，在一个实施例中，所述漏洞评分模块23包括：
151.第二选取单元，用于从所述服务系统中包括的多个主机中选取一个未确定漏洞评分的主机，作为待评分主机；
152.进程漏洞评分单元，用于获取第二主机中提供的每一服务进程对应的漏洞评分；其中，所述第二主机是所述服务系统中包括的多个主机中的一个；所述第二主机运行有多个服务进程，通过对应的服务端口提供服务；
153.主机漏洞评分单元，用于累加所述第二主机中提供的每一服务进程对应的漏洞评分，得到所述第二主机的漏洞评分；
154.第二循环评分单元，用于利用所述第二选取单元、进程漏洞评分单元、主机漏洞评分单元，得到所述服务系统中每一主机的漏洞评分。
155.本实施例中根据主机中运行的每一服务进程的漏洞评分确定了主机整体的漏洞评分，衡量了主机中服务进程的漏洞严重程度，便于准确地确定服务系统中主机的修复优先级。
156.基于上述任一实施例，在一个实施例中，所述优先级确定模块24包括：
157.风险向量组成单元，用于根据所述服务系统中每一主机的暴露面评分和漏洞评分，组成所述每一主机的风险向量；
158.风险向量排序单元，用于根据所述服务系统中每一主机的风险向量的大小排序，确定目标主机的修复优先级。
159.本实施例中通过风险向量综合描述了服务系统中各主机的风险程度，且便于各主
机之间的对比；根据服务系统中每一主机的风险向量的大小排序，准确地确定了目标主机的修复优先级，提升了服务系统的安全性。
160.基于上述任一实施例，在一个实施例中，所述风险向量排序单元包括：
161.第一排序子单元，用于计算所述服务系统中每一主机的风险向量对应的起始点和终点之间的欧式距离，所述欧式距离用于表征相应的风险向量的大小；
162.第二排序子单元，用于将计算得到的欧式距离按照大小顺序排序，得到第一排序结果，其中，所述按照大小顺序排序包括：按照由大到小排序，或者，按照由小到大排序；
163.第三排序子单元，用于当按照由大到小排序时，将所述目标主机对应的欧式距离在所述第一排序结果中的次序，确定为所述目标主机的修复优先级；当按照由小到大排序时，将所述目标主机对应的欧式距离在所述第一排序结果中按照逆序计数得到的次序，确定为所述目标主机的修复优先级。
164.本实施例中基于欧式距离对服务系统中各主机的风险向量进行排序，准确地确定了目标主机的修复优先级。
165.基于上述任一实施例，在一个实施例中，装置还包括：
166.端口确定模块，用于确定所述目标主机中第一服务进程对应的第一服务端口；其中，所第一服务进程是所述目标主机中运行的多个服务进程中的一个；
167.加权值确定模块，用于确定所述第一服务端口对应的暴露面加权值；
168.加权评分模块，用于根据所述第一服务端口对应的暴露面加权值，对所述第一服务进程对应的漏洞评分进行加权，得到所述第一服务进程的加权漏洞评分；
169.评分排序模块，用于将所述目标主机中的各服务进程对应的加权漏洞评分按照由大到小的顺序排序，得到第二排序结果；
170.漏洞优先级确定模块，用于将所述第一服务进程的加权漏洞评分在所述第二排序结果中的次序确定为所述第一服务进程在所述目标主机修复过程中的修复优先级。
171.本实施例中在确定目标主机的修复优先级后，进一步结合服务进程对应的暴露面加权值和服务进程的漏洞评分准确地确定了目标主机中各服务进程的修复优先级，提升了服务系统的安全性。
172.基于上述任一实施例，在一个实施例中，装置还包括：
173.更新模块，用于在检测到所述服务系统的网络拓扑结构变化的情况下，重新执行上述获取服务系统的网络拓扑图至确定目标主机的修复优先级的步骤。
174.本实施例在检测到服务系统的网络拓扑结构变化的情况下重新执行获取服务系统的网络拓扑图至确定目标主机的修复优先级的步骤，在漏洞识别规则发生了变化的情况下，重新确定了主机的漏洞评分，对目标主机的修复优先级进行了及时更新，进一步提升了服务系统的安全性。
175.图3示例了一种电子设备的实体结构示意图，如图3所示，该电子设备可以包括：处理器(processor)310、通信接口(communications interface)320、存储器(memory)330和通信总线340，其中，处理器310，通信接口320，存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令，以执行上述各提供的服务系统修复优先级的确定方法的全部或部分步骤，该方法包括：获取服务系统的网络拓扑图；其中，所述服务系统中包括多个主机；根据所述网络拓扑图确定所述服务系统中每一主机的暴露面评
分；获取所述服务系统中每一主机的漏洞评分；根据所述服务系统中每一主机的暴露面评分以及所述服务系统中每一主机的漏洞评分，确定目标主机的修复优先级。
176.此外，上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
177.另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各提供的服务系统修复优先级的确定方法的全部或部分步骤，该方法包括：获取服务系统的网络拓扑图；其中，所述服务系统中包括多个主机；根据所述网络拓扑图确定所述服务系统中每一主机的暴露面评分；获取所述服务系统中每一主机的漏洞评分；根据所述服务系统中每一主机的暴露面评分以及所述服务系统中每一主机的漏洞评分，确定目标主机的修复优先级。
178.又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各提供的服务系统修复优先级的确定方法的全部或部分步骤，该方法包括：获取服务系统的网络拓扑图；其中，所述服务系统中包括多个主机；根据所述网络拓扑图确定所述服务系统中每一主机的暴露面评分；获取所述服务系统中每一主机的漏洞评分；根据所述服务系统中每一主机的暴露面评分以及所述服务系统中每一主机的漏洞评分，确定目标主机的修复优先级。
179.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
180.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
181.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。