网络攻击方案的确定方法、装置、设备和存储介质与流程
1.本公开涉及网络安全领域,尤其涉及一种网络攻击方案的确定方法、装置、设备和存储介质。
背景技术:
2.近年来,网络攻击事件频发,互联网上的木马、蠕虫、勒索攻击层出不穷,这对网络安全形成了严重的威胁。因此,需要对网络进行攻防测试,测试网络的防护能力。但是目前在网络攻防测试中,主要依靠攻击人员的个人能力与经验,制定固定的攻击方案,效率较低。
技术实现要素:
3.本公开提供了一种网络攻击方案的确定方法、装置、设备和存储介质,可以提高网络攻击方案的确定效率。
4.第一方面,本公开实施例提供了一种网络攻击方案的确定方法,该方法,包括:
5.获取攻击源主机的资源信息和攻击目的主机的主机信息;
6.根据攻击源主机的资源信息和攻击目的主机的主机信息,从网络攻击知识图谱中确定目标网络攻击方案;其中,网络攻击知识图谱是根据网络攻击三元组构建的知识图谱,网络攻击三元组包括网络攻击方案对应的攻击源主机的资源信息、网络攻击方案和网络攻击方案对应的攻击目的主机的主机信息。
7.在第一方面的一些可实现方式中,获取攻击源主机的资源信息和攻击目的主机的主机信息,包括:
8.执行资源信息对应的查询指令,获取攻击源主机的资源信息;
9.对攻击目的主机进行主机扫描,获取攻击目的主机的主机信息。
10.在第一方面的一些可实现方式中,网络攻击知识图谱的建立过程包括:
11.获取网络攻击行为数据;
12.对网络攻击行为数据进行知识提取,得到网络攻击三元组;
13.对网络攻击三元组进行知识融合、知识加工,得到网络攻击知识图谱。
14.在第一方面的一些可实现方式中,根据攻击源主机的资源信息和攻击目的主机的主机信息,从网络攻击知识图谱中确定目标网络攻击方案,包括:
15.根据攻击源主机的资源信息和攻击目的主机的主机信息,从网络攻击知识图谱中确定与资源信息和主机信息匹配的一个或多个候选网络攻击方案;
16.计算每个候选网络攻击方案的攻击系数;
17.确定攻击系数满足预设攻击条件的候选网络攻击方案为目标网络攻击方案。
18.在第一方面的一些可实现方式中,计算每个候选网络攻击方案的攻击系数,包括:
19.从预设的多个攻击指标中确定每个候选网络攻击方案符合的攻击指标;
20.根据每个候选网络攻击方案符合的攻击指标对应的权值,计算每个候选网络攻击
方案的权值之和,并将每个候选网络攻击方案的权值之和作为每个候选网络攻击方案的攻击系数。
21.在第一方面的一些可实现方式中,确定攻击系数满足预设攻击条件的候选网络攻击方案为目标网络攻击方案,包括:
22.确定攻击系数大于或等于预设阈值的候选网络攻击方案为目标网络攻击方案;或者,
23.按照攻击系数从大到小的顺序对多个候选网络攻击方案进行排序,确定前n个候选网络攻击方案为目标网络攻击方案,n为大于等于1的正整数。
24.在第一方面的一些可实现方式中,该方法还包括:
25.输出目标网络攻击方案的提示信息,提示用户执行对应攻击操作。
26.第二方面,本公开实施例提供了一种网络攻击方案的确定装置,该装置包括:
27.获取模块,用于获取攻击源主机的资源信息和攻击目的主机的主机信息;
28.确定模块,用于根据攻击源主机的资源信息和攻击目的主机的主机信息从网络攻击知识图谱中确定目标网络攻击方案;其中,网络攻击知识图谱是根据网络攻击三元组构建的知识图谱,网络攻击三元组包括网络攻击方案对应的攻击源主机的资源信息、网络攻击方案和网络攻击方案对应的攻击目的主机的主机信息。
29.第三方面,本公开实施例提供了一种电子设备,该电子设备包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如以上所述的方法。
30.第四方面,本公开实施例提供了一种存储有计算机指令的非瞬时计算机可读存储介质,计算机指令用于使计算机执行如以上所述的方法。
31.第五方面,本公开实施例提供了一种计算机程序产品,该计算机程序产品包括计算机程序,计算机程序在被处理器执行时实现如以上所述的方法。
32.在本公开中,可以根据攻击源主机的资源信息和攻击目的主机的主机信息从网络攻击知识图谱中自动快速地确定适合攻击双方的目标网络攻击方案,提高网络攻击方案的确定效率,便于后续开展网络攻防测试。
33.应当理解,发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
34.结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案,不构成对本公开的限定在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
35.图1示出了一种能够在其中实现本公开的实施例的示例性运行环境的示意图;
36.图2示出了本公开实施例提供的一种网络攻击方案的确定方法的流程图;
37.图3示出了本公开实施例提供的另一种网络攻击方案的确定方法的流程图;
38.图4示出了本公开实施例提供的一种网络攻击方案的确定装置的结构图;
39.图5示出了一种能够实施本公开的实施例的示例性电子设备的结构图。
具体实施方式
40.为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
41.另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,a和/或b,可以表示:单独存在a,同时存在a和b,单独存在b这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
42.针对背景技术中出现的问题,本公开实施例提供了一种网络攻击方案的确定方法、装置、设备和存储介质。具体地,可以根据攻击源主机的资源信息和攻击目的主机的主机信息从网络攻击知识图谱中自动快速地确定适合攻击双方的目标网络攻击方案,提高网络攻击方案的确定效率,便于后续开展网络攻防测试。
43.下面结合附图,通过具体的实施例对本公开实施例提供的网络攻击方案的确定方法、装置、设备和存储介质进行详细地说明。
44.图1示出了一种能够在其中实现本公开的实施例的示例性运行环境100的示意图,如图1所示,运行环境100中可以包括电子设备110、攻击源主机120和攻击目的主机130,且电子设备110可以通过有线网络或无线网络与攻击源主机120和攻击目的主机130通信连接。
45.其中,电子设备110可以是移动电子设备,也可以是非移动电子设备。例如,移动电子设备可以是平板电脑、笔记本电脑、掌上电脑或者超级移动个人计算机(ultra-mobile personal computer,umpc)等,非移动电子设备可以是个人计算机(personal computer,pc)或者服务器等。攻击源主机120是发起攻击的主机,攻击目的主机130是被攻击的主机。可选地,电子设备110也可以作为攻击源主机120,在此不做限制。
46.作为一个示例,电子设备110可以获取攻击源主机120的资源信息和攻击目的主机130的主机信息,可以将资源信息作为资源实体的属性用于表征资源实体,可以将主机信息作为主机实体的属性用于表征主机实体。
47.然后根据攻击源主机的资源信息和攻击目的主机的主机信息,从网络攻击知识图谱中自动快速地确定适合攻击双方的目标网络攻击方案,提高网络攻击方案的确定效率。其中,网络攻击知识图谱是根据网络攻击三元组构建的知识图谱也即知识库,网络攻击三元组包括网络攻击方案对应的攻击源主机的资源信息、网络攻击方案和网络攻击方案对应的攻击目的主机的主机信息。在网络攻击知识图谱中,资源信息作为属性用于表征资源实体、网络攻击方案作为属性用于表征攻击行为也即关系、主机信息作为属性用于表征主机实体。
48.下面将详细介绍本公开实施例提供的网络攻击方案的确定方法,其中,该确定方法的执行主体可以是图1所示的电子设备110。
49.图2示出了本公开实施例提供的一种网络攻击方案的确定方法200的流程图,如图2所示,确定方法200可以包括以下步骤:
50.s210,获取攻击源主机的资源信息和攻击目的主机的主机信息。
51.具体地,可以执行资源信息对应的查询指令,快速获取攻击源主机的资源信息。其
中,资源信息可以包括攻击利用工具、用户登录凭证等,可以将其作为资源实体的属性用于表征资源实体。
52.可以对攻击目的主机进行主机扫描,快速获取攻击目的主机的主机信息。其中,主机信息可以包括操作系统信息、端口服务信息、权限等级信息、应用程序信息等,可以将其作为主机实体的属性用于表征主机实体。
53.需要注意的是,主机实体的属性均为在本次攻击活动中获取,资源实体的属性大部分由攻击人员积累与少部分通过本次攻击活动中生成。
54.s220,根据攻击源主机的资源信息和攻击目的主机的主机信息,从网络攻击知识图谱中确定目标网络攻击方案。
55.其中,网络攻击知识图谱是根据网络攻击三元组构建的知识图谱,网络攻击三元组包括网络攻击方案对应的攻击源主机的资源信息、网络攻击方案和网络攻击方案对应的攻击目的主机的主机信息。在网络攻击知识图谱中,资源信息作为属性用于表征资源实体、网络攻击方案作为属性用于表征攻击行为也即关系、主机信息作为属性用于表征主机实体。也就是说,资源信息与主机信息基于网络攻击方案关联。
56.如此一来,可以从网络攻击知识图谱中确定与当前攻击源主机的资源信息和当前攻击目的主机的主机信息匹配的目标网络攻击方案。
57.在一些实施例中,可以根据攻击源主机的资源信息和攻击目的主机的主机信息,从网络攻击知识图谱中确定与资源信息和主机信息匹配的一个或多个候选网络攻击方案。
58.然后计算每个候选网络攻击方案的攻击系数。具体地,可以从预设的多个攻击指标中确定每个候选网络攻击方案符合的攻击指标,根据每个候选网络攻击方案符合的攻击指标对应的权值,计算每个候选网络攻击方案的权值之和,并将每个候选网络攻击方案的权值之和作为每个候选网络攻击方案的攻击系数。如此一来,可以结合攻击指标快速计算每个候选网络攻击方案的攻击系数。
59.可选地,可以通过预设求和公式计算每个候选网络攻击方案的权值之和,其中,预设求和公式可以如下所示:
[0060][0061]
其中,s表示候选网络攻击方案的权值之和,n表示评价指标数量,ki表示第i个评价指标的权值,xi表示候选网络攻击方案相对于第i个评价指标的布尔值,具体地,候选网络攻击方案符合第i个评价指标,则第i个评价指标的布尔值为1,候选网络攻击方案不符合第i个评价指标,则第i个评价指标的布尔值为0。
[0062]
可选地,评价指标的权值可以根据实际攻击原则进行设置,例如权限驻留优先于其他操作,跨网段的攻击优先于网段内的攻击,基于合法用户凭证获取其他主机权限优先于漏洞利用攻击,基于主机自身的被动信息收集优先于主动的网络扫描,在此不做限制。
[0063]
假设设有攻击指标1-4,具体如下:
[0064]
攻击指标1:是否在网络中进行了权限驻留操作;
[0065]
攻击指标2:是否是跨网段攻击;
[0066]
攻击指标3:是否触发入侵检测告警;
[0067]
攻击指标4:攻击过程中会不会失败。
[0068]
按照上面的攻击原则设置评价指标的权值,考虑到网络环境的影响,使攻击指标1的权值为0.4,攻击指标2的权值为0.3,攻击指标3的权值为0.2,攻击指标4的权值为0.1。
[0069]
接着确定攻击系数满足预设攻击条件的候选网络攻击方案为目标网络攻击方案。具体地,可以确定攻击系数大于或等于预设阈值的候选网络攻击方案为目标网络攻击方案。也可以按照攻击系数从大到小的顺序对多个候选网络攻击方案进行排序,确定前n个候选网络攻击方案为所述目标网络攻击方案,n为大于等于1的正整数。如此一来,可以基于攻击系数从至少一个候选网络攻击方案中,选择攻击效果突出的网络攻击方案为目标网络攻击方案。
[0070]
在一些实施例中,网络攻击知识图谱的建立过程可以包括:
[0071]
获取网络攻击行为数据,例如从网络安全论坛、百科文库、新闻资讯或者对话中获取网络攻击行为数据。对网络攻击行为数据进行知识提取,得到网络攻击三元组,进而对网络攻击三元组进行知识融合、知识加工,得到网络攻击知识图谱。如此一来,可以基于大量的网络攻击行为数据快速构建辅助用户进行网络攻防测试的知识库。
[0072]
根据本公开实施例,可以根据攻击源主机的资源信息和攻击目的主机的主机信息从网络攻击知识图谱中自动快速地确定适合攻击双方的目标网络攻击方案,提高网络攻击方案的确定效率,便于后续开展网络攻防测试。
[0073]
在一些实施例中,还可以输出目标网络攻击方案的提示信息,提示用户执行对应攻击操作,便于用户执行网络攻防测试。
[0074]
下面可以结合图3,对本公开实施例提供的确定方法200进行详细介绍,具体如下:
[0075]
如图3所示,可以获取攻击源主机的操作系统信息、端口服务信息、权限等级信息等,以及攻击目的主机的攻击利用工具、用户登录凭证等,并将操作系统信息、端口服务信息、权限等级信息作为主机实体的属性,将攻击利用工具、用户登录凭证作为资源实体的属性。
[0076]
然后将资源实体的属性和主机实体的属性输入网络攻击知识图谱,从网络攻击知识图谱中确定候选网络攻击方案,假设候选网络攻击方案包括攻击方案1、攻击方案2、攻击方案3。接着计算攻击方案1、攻击方案2、攻击方案3的攻击系数,其中,攻击方案3的攻击系数大于攻击方案1,攻击方案1的攻击系数大于攻击方案2,按照攻击系数从大到小的顺序输出攻击方案3、攻击方案1、攻击方案2。进而完成网络攻击方案的确定。
[0077]
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本公开并不受所描述的动作顺序的限制,因为依据本公开,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本公开所必须的。
[0078]
以上是关于方法实施例的介绍,以下通过装置实施例,对本公开所述方案进行进一步说明。
[0079]
图4示出了根据本公开的实施例提供的一种网络攻击方案的确定装置400的结构图,如图4所示,确定装置400可以包括:
[0080]
获取模块410,用于获取攻击源主机的资源信息和攻击目的主机的主机信息。
[0081]
确定模块420,用于根据攻击源主机的资源信息和攻击目的主机的主机信息从网络攻击知识图谱中确定目标网络攻击方案。其中,网络攻击知识图谱是根据网络攻击三元组构建的知识图谱,网络攻击三元组包括网络攻击方案对应的攻击源主机的资源信息、网络攻击方案和网络攻击方案对应的攻击目的主机的主机信息。
[0082]
在一些实施例中,获取模块410具体用于:
[0083]
执行资源信息对应的查询指令,获取攻击源主机的资源信息。
[0084]
对攻击目的主机进行主机扫描,获取攻击目的主机的主机信息。
[0085]
在一些实施例中,网络攻击知识图谱的建立过程包括:
[0086]
获取网络攻击行为数据;
[0087]
对网络攻击行为数据进行知识提取,得到网络攻击三元组;
[0088]
对网络攻击三元组进行知识融合、知识加工,得到网络攻击知识图谱。
[0089]
在一些实施例中,确定模块420具体用于:
[0090]
根据攻击源主机的资源信息和攻击目的主机的主机信息,从网络攻击知识图谱中确定与资源信息和主机信息匹配的一个或多个候选网络攻击方案。
[0091]
计算每个候选网络攻击方案的攻击系数。
[0092]
确定攻击系数满足预设攻击条件的候选网络攻击方案为目标网络攻击方案。
[0093]
在一些实施例中,确定模块420具体用于:
[0094]
从预设的多个攻击指标中确定每个候选网络攻击方案符合的攻击指标。
[0095]
根据每个候选网络攻击方案符合的攻击指标对应的权值,计算每个候选网络攻击方案的权值之和,并将每个候选网络攻击方案的权值之和作为每个候选网络攻击方案的攻击系数。
[0096]
在一些实施例中,确定模块420具体用于:
[0097]
确定攻击系数大于或等于预设阈值的候选网络攻击方案为目标网络攻击方案;或者,
[0098]
按照攻击系数从大到小的顺序对多个候选网络攻击方案进行排序,确定前n个候选网络攻击方案为目标网络攻击方案,n为大于等于1的正整数。
[0099]
在一些实施例中,确定装置400还包括:
[0100]
输出模块,用于输出目标网络攻击方案的提示信息,提示用户执行对应攻击操作。
[0101]
可以理解的是,图4所示确定装置400中的各个模块/单元具有实现本公开实施例提供的确定方法200中的各个步骤的功能,并能达到其相应的技术效果,为了简洁,在此不再赘述。
[0102]
图5示出了一种可以用来实施本公开的实施例的电子设备500的结构图。电子设备500旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备500还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
[0103]
如图5所示,电子设备500可以包括计算单元501,其可以根据存储在只读存储器(rom)502中的计算机程序或者从存储单元508加载到随机访问存储器(ram)503中的计算机
程序,来执行各种适当的动作和处理。在ram503中,还可存储电子设备500操作所需的各种程序和数据。计算单元501、rom502以及ram503通过总线504彼此相连。输入/输出(i/o)接口505也连接至总线504。
[0104]
电子设备500中的多个部件连接至i/o接口505,包括:输入单元506,例如键盘、鼠标等;输出单元507,例如各种类型的显示器、扬声器等;存储单元508,例如磁盘、光盘等;以及通信单元509,例如网卡、调制解调器、无线通信收发机等。通信单元509允许电子设备500通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
[0105]
计算单元501可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元501的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。计算单元501执行上文所描述的各个方法和处理,例如方法200。例如,在一些实施例中,方法200可被实现为计算机程序产品,包括计算机程序,其被有形地包含于计算机可读介质,例如存储单元508。在一些实施例中,计算机程序的部分或者全部可以经由rom502和/或通信单元509而被载入和/或安装到设备500上。当计算机程序加载到ram503并由计算单元501执行时,可以执行上文描述的方法200的一个或多个步骤。备选地,在其他实施例中,计算单元501可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法200。
[0106]
本文中以上描述的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、片上系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
[0107]
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
[0108]
在本公开的上下文中,计算机可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。计算机可读介质可以是计算机可读信号介质或计算机可读储存介质。计算机可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。计算机可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
[0109]
需要注意的是,本公开还提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行方法200,并达到本公开实施例执行其方法达到
的相应技术效果,为简洁描述,在此不再赘述。
[0110]
另外,本公开还提供了一种计算机程序产品,该计算机程序产品包括计算机程序,计算机程序在被处理器执行时实现方法200。
[0111]
为了提供与用户的交互,可以在计算机上实施以上描述的实施例,该计算机具有:用于向用户显示信息的显示装置(例如,crt(阴极射线管)或者lcd(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
[0112]
可以将以上描述的实施例实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(lan)、广域网(wan)和互联网。
[0113]
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
[0114]
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
[0115]
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
技术特征:
1.一种网络攻击方案的确定方法,其特征在于,所述方法包括:获取攻击源主机的资源信息和攻击目的主机的主机信息;根据所述攻击源主机的资源信息和所述攻击目的主机的主机信息,从网络攻击知识图谱中确定目标网络攻击方案;其中,所述网络攻击知识图谱是根据网络攻击三元组构建的知识图谱,所述网络攻击三元组包括网络攻击方案对应的攻击源主机的资源信息、网络攻击方案和网络攻击方案对应的攻击目的主机的主机信息。2.根据权利要求1所述的方法,其特征在于,所述获取攻击源主机的资源信息和攻击目的主机的主机信息,包括:执行所述资源信息对应的查询指令,获取攻击源主机的资源信息;对攻击目的主机进行主机扫描,获取攻击目的主机的主机信息。3.根据权利要求1所述的方法,其特征在于,所述网络攻击知识图谱的建立过程包括:获取网络攻击行为数据;对所述网络攻击行为数据进行知识提取,得到所述网络攻击三元组;对所述网络攻击三元组进行知识融合、知识加工,得到所述网络攻击知识图谱。4.根据权利要求1所述的方法,其特征在于,所述根据所述攻击源主机的资源信息和所述攻击目的主机的主机信息,从网络攻击知识图谱中确定目标网络攻击方案,包括:根据所述攻击源主机的资源信息和所述攻击目的主机的主机信息,从所述网络攻击知识图谱中确定与所述资源信息和所述主机信息匹配的一个或多个候选网络攻击方案;计算每个候选网络攻击方案的攻击系数;确定攻击系数满足预设攻击条件的候选网络攻击方案为所述目标网络攻击方案。5.根据权利要求4所述的方法,其特征在于,所述计算每个候选网络攻击方案的攻击系数,包括:从预设的多个攻击指标中确定每个候选网络攻击方案符合的攻击指标;根据每个候选网络攻击方案符合的攻击指标对应的权值,计算每个候选网络攻击方案的权值之和,并将每个候选网络攻击方案的权值之和作为每个候选网络攻击方案的攻击系数。6.根据权利要求4所述的方法,其特征在于,所述确定攻击系数满足预设攻击条件的候选网络攻击方案为所述目标网络攻击方案,包括:确定攻击系数大于或等于预设阈值的候选网络攻击方案为所述目标网络攻击方案;或者,按照攻击系数从大到小的顺序对多个候选网络攻击方案进行排序,确定前n个候选网络攻击方案为所述目标网络攻击方案,n为大于等于1的正整数。7.根据权利要求1-6任意一项所述的方法,其特征在于,所述方法还包括:输出所述目标网络攻击方案的提示信息,提示用户执行对应攻击操作。8.一种网络攻击方案的确定装置,其特征在于,所述装置包括:获取模块,用于获取攻击源主机的资源信息和攻击目的主机的主机信息;确定模块,用于根据所述攻击源主机的资源信息和所述攻击目的主机的主机信息从网络攻击知识图谱中确定目标网络攻击方案;其中,所述网络攻击知识图谱是根据网络攻击三元组构建的知识图谱,所述网络攻击三元组包括网络攻击方案对应的攻击源主机的资源
信息、网络攻击方案和网络攻击方案对应的攻击目的主机的主机信息。9.一种电子设备,其特征在于,所述电子设备包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的方法。10.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使计算机执行根据权利要求1-7中任一项所述的方法。
技术总结
本公开的实施例提供了一种网络攻击方案的确定方法、装置、设备和存储介质。该方法包括:获取攻击源主机的资源信息和攻击目的主机的主机信息;根据攻击源主机的资源信息和攻击目的主机的主机信息从网络攻击知识图谱中确定目标网络攻击方案;其中,网络攻击知识图谱是根据网络攻击三元组构建的知识图谱,网络攻击三元组包括网络攻击方案对应的攻击源主机的资源信息、网络攻击方案和网络攻击方案对应的攻击目的主机的主机信息。以此方式,可以基于网络攻击知识图谱自动快速地确定适合攻击双方的目标网络攻击方案,提高网络攻击方案的确定效率。确定效率。确定效率。
技术研发人员:赵正罡 沈传宝 杨星 王闰婷 白兴伟
受保护的技术使用者:北京华云安信息技术有限公司
技术研发日:2021.12.01
技术公布日:2022/3/8
最新回复(0)