[发明专利]渗透路径规划方法、装置、计算机和存储介质

说明书

本申请提供一种渗透路径规划方法、装置、计算机和存储介质，该方法中，通过获取多个节点的标识以及多个节点对应的多个漏洞信息，并根据多个节点的标识以及多个节点对应的多个漏洞信息，确定至少一个攻击路径、至少一个攻击路径的相关分数、以及至少一个攻击路径的危险系数，之后根据至少一个攻击路径的危险系数和至少一个攻击路径的相关分数，确定至少一个攻击路径的路径威胁度，最后根据至少一个攻击路径的路径威胁度，确定出目标攻击路径，目标攻击路径为至少一个攻击路径中路径威胁度最大的攻击路径。该方法从攻击路径的路径威胁度出发，确定出了最优攻击路径，从而从全局的角度评估出了目标网络的安全状况。

技术领域

本申请涉及计算机技术领域，尤其涉及一种渗透路径规划方法、装置、计算机和存储介质。

背景技术

随着网络技术的不断发展，网络中的安全隐患越来越多，而消除计算机网络的脆弱性和薄弱性等安全隐患成为了亟待解决的技术问题，由于受到了软硬件环境、时间和经济开销等因素的影响，修复网络中所有已知脆弱性和薄弱性几乎是无法实现的。要消除这些威胁计算机网络的安全隐患，首先需要发现威胁源，而发现威胁源常用的方法就是渗透测试。

在现有技术中，基于渗透测试的评估方法，大多都是测试人员对单个漏洞进行的风险进行评估，以确定出单个漏洞可能的渗透路径。

然而，传统的渗透测试方法只能对孤立的漏洞进行评估，并且受渗透测试人员的专业技术水平高低的影响，无法从全局评估目标网络的安全状况等问题。

发明内容

本申请实施例提供一种渗透路径规划方法、装置、计算机和存储介质，用以解决现有技术无法从全局评估目标网络的安全状况的问题。

第一方面，本申请提供一种渗透路径规划方法，包括：

获取多个节点的标识以及所述多个节点对应的多个漏洞信息，所述多个节点包括相互通信的源节点、至少一个中间节点以及目标节点，所述多个漏洞信息包括多个漏洞以及所述多个漏洞分别对应的属性数据，所述属性数据标示漏洞对节点的风险影响，所述多个节点为设备或软件；

根据所述多个节点的标识以及所述多个节点对应的多个漏洞信息，确定至少一个攻击路径、所述至少一个攻击路径的相关分数、以及所述至少一个攻击路径的危险系数，所述相关分数为所述至少一个攻击路径上的源节点对应的漏洞与所述至少一个攻击路径上的中间节点、所述目标节点对应的漏洞之间攻击意图的关系的重要程度；

根据所述至少一个攻击路径的危险系数和所述至少一个攻击路径的相关分数，确定所述至少一个攻击路径的路径威胁度；

根据所述至少一个攻击路径的路径威胁度，确定出目标攻击路径，所述目标攻击路径为所述至少一个攻击路径中路径威胁度最大的攻击路径。

在第一方面一种可能的设计中，所述属性数据包括：所述漏洞的预定义的漏洞评分系统分数；

相应的，所述根据所述多个节点的标识以及所述多个节点对应的多个漏洞信息，确定至少一个攻击路径、所述至少一个攻击路径的危险系数，包括：

根据所述源节点、所述至少一个中间节点、以及所述目标节点，确定所述至少一个攻击路径；

针对每个攻击路径，在所述源节点、在所述攻击路径上的中间节点、以及目标节点对应的多个属性数据中，获取至少一个与所述源节点相关联的漏洞的漏洞评分系统分数；

根据所述至少一个漏洞评分系统分数，确定攻击路径的危险系数。

在第一方面另一种可能的设计中，所述属性数据包括所述漏洞的攻击意图；

相应的，所述根据所述多个节点的标识以及所述多个节点对应的多个漏洞信息，确定所述至少一个攻击路径的相关分数，包括：