[发明专利]一种主机风险评估方法和装置

权利要求书

1.一种主机风险评估方法，其特征在于，包括：

步骤一、检测网络中所有主机的漏洞信息和网络连通性信息；

步骤二、根据所述漏洞信息和网络连通性信息确定网络中的攻击路径；

步骤三、基于所述漏洞信息和所述攻击路径确定任一目标主机的总风险。

2.根据权利要求1所述主机风险评估方法，其特征在于，所述步骤一中，所述检测网络中所有主机的漏洞信息，具体包括：

通过扫描获取主机的系统软件配置信息，将所述系统软件配置信息与漏洞软件数据库文件进行对比，得出所述主机上存在的漏洞信息，所述漏洞信息包括本地漏洞软件和远程漏洞软件，其中，每个远程漏洞软件分别对应所述主机上的一个固定端口。

3.根据权利要求1或2所述主机风险评估方法，其特征在于，所述步骤一中，所述检测网络中所有主机的网络连通性信息，具体包括：网络中的每台主机扫描其邻接主机，得到若干条连通性数据，每条连通性数据包括：主机通过邻接主机上开放的端口访问所述邻接主机。

汇总所有连通性数据得到网络连通性信息，其中，所述网络连通性信息包含任意两台主机之间连通性信息的主机被访问列表。

4.根据权利要求1或2所述主机风险评估方法，其特征在于，所述步骤一中，所述检测网络中所有主机的网络连通性信息，具体包括：从网络中与主机相连的防火墙或者网关设备处获取网络控制数据；

基于网络控制数据得到网络连通性信息，其中，所述网络连通性信息包含任意两台主机之间连通性信息的主机被访问列表。

5.根据权利要求2所述主机风险评估方法，其特征在于，所述步骤二具体包括：

步骤A1、通过将所述网络连通性信息与所述漏洞信息中的远程漏洞软件进行匹配，确定网络中所有相邻主机之间的攻击关系；

步骤A2、根据所有相邻主机之间的攻击关系生成攻击路径。

6.根据权利要求5所述主机风险评估方法，其特征在于，设攻击路径中，访问主机是被访问主机的前向主机；

所述步骤A2，具体包括：以没有前向主机的主机为起点，基于所述相邻主机之间的攻击关系递归生成攻击路径。

7.根据权利要求2或5或6所述主机风险评估方法，其特征在于，设攻击路径中，访问主机是被访问主机的前向主机；

所述步骤三，具体包括：

步骤B1、由目标主机自身的属性与漏洞信息确定目标主机的独立风险；

步骤B2、在目标主机所在的攻击路径中递归计算前向主机对目标主机的前向攻击风险；

步骤B3、将目标主机的前向攻击风险与目标主机的独立风险进行加权求和得到目标主机的总风险。

8.根据权利要求7所述主机风险评估方法，其特征在于，所述前向主机包括：直接前向主机和间接前向主机；

所述前向攻击风险的计算方法为：将直接前向主机的总风险与所述直接前向主机对目标主机的前向攻击的发生概率相乘，再对所有直接前向主机对应的上述乘积求和；

所述直接前向主机对目标主机的前向攻击的发生概率由所述目标主机的远程漏洞软件对应的攻击难易程度决定。

任一主机的总风险为：所述主机的前向攻击风险与所述主机的独立风险的加权和。

9.一种主机风险评估装置，其特征在于，包括：

检测模块，用于检测网络中所有主机的漏洞信息和网络连通性信息；

路径生成模块，用于根据所述漏洞信息和网络连通性信息确定网络中的攻击路径；

风险评估模块，用于基于所述漏洞信息和所述攻击路径确定任一目标主机的总风险。

10.根据权利要求9所述主机风险评估装置，其特征在于，所述漏洞信息包括本地漏洞软件和远程漏洞软件；

所述路径生成模块，具体包括：

邻接主机攻击关系生成模块，用于将所述网络连通性信息与所述漏洞信息中的远程漏洞软件进行匹配，确定网络中所有相邻主机之间的攻击关系；

攻击路径生成模块，用于根据所有相邻主机之间的攻击关系生成攻击路径。