一种网络安全分析方法、装置、计算机设备及存储介质制造方法及图纸

本申请公开了一种网络安全分析方法、装置、计算机设备及存储介质。包括将目标网络系统中的各类网络主体进行扫描得到参数并进行格式处理得到标准格式文件；根据标准格式文件通过网络拓扑自发现，生成网络拓扑结构图进而生成系统结构图；之后，根据各类网络主体的标准格式文件、系统结构图以及预设的脆弱性知识库生成渗透图模型；遍历渗透图模型中的所有渗透路径并执行杀伤链流程，最终确定目标网络主体的渗透路径，可以看出，本申请不仅从攻击者到核心资产服务器一整条线上的主机都进行漏洞验证，甚至去挖掘从攻击者到核心资产所有潜在的攻击路径上的主机并进行逐一渗透验证，基于此进行全局修复从而极大地提高网络系统的安全性。安全性。安全性。

【技术实现步骤摘要】
一种网络安全分析方法、装置、计算机设备及存储介质


[0001]本专利技术涉及网络安全领域，特别涉及一种网络安全分析方法、装置、计算机设备及存储介质。

技术介绍

[0002]在现实场景中，往往一个大型的网络系统中，可能存在多台主机都携带漏洞，漏洞等级也可能或高或低，如果系统面临紧急高危0day漏洞，短时间内难以修复，核心资产又面临巨大威胁，以硬碰硬的方式去抢修高危漏洞不一定是最佳的解决方案，漏洞修复时间过长导致企业损失是存在其可能性的，为了尽可能降低资产损失的风险，一套有效的全局的防御策略也必不可少。
[0003]当前主流漏洞扫描工具为基于孤立的主机进行漏洞扫描，扫描动作在同一时间往往只是发生在一台主机IP的一个开放的服务端口上，或者一个域名的URL上，先进些的工具则会先爬虫尽可能获取后台页面，然后逐个枚举扫描直到结束。更先进些的可以对漏洞进行逐一利用并验证。安全分析人员对于得到的扫描结果进行人工确认以及漏洞验证，然而这种网络安全分析方法无法保证整体网络系统的安全水平。

技术实现思路

[0004]基于此，本申请实施例提供了一种网络安全分析方法、装置、计算机设备及存储介质，可以进行网络系统全局修复从而极大地提高网络系统的安全性。
[0005]第一方面，提供了一种网络安全分析方法，该方法包括：
[0006]将目标网络系统中的各类网络主体进行扫描得到所述各类网络主体的参数，并对所述各类网络主体的参数进行格式处理得到所述各类网络主体的标准格式文件；所述各类网络主体包括至少一个目标网络主体；
[0007]根据所述各类网络主体的标准格式文件通过网络拓扑自发现，生成网络拓扑结构图；
[0008]基于所述网络拓扑结构图生成系统结构图；其中，所述系统结构图包括所述网络拓扑结构图中各类网络主体的依赖关系与路径；
[0009]根据所述各类网络主体的标准格式文件、所述系统结构图以及预设的脆弱性知识库生成渗透图模型；
[0010]遍历所述渗透图模型中的所有渗透路径，对于每条渗透路径执行杀伤链流程，确定所述目标网络主体的渗透路径。
[0011]可选地，所述将目标网络系统中的各类网络主体进行扫描得到所述各类网络主体的参数，包括：
[0012]对所述目标网络系统中的资产主体、防御主体以及威胁主体进行全方位扫描收集信息，得到各类网络主体的参数。
[0013]可选地，所述标准格式文件包括：csv、xml或json格式文件。
[0014]可选地，所述网络拓扑结构图，包括：目标网络系统中的各类网络主体的拓扑结构文件和结构图。
[0015]可选地，所述根据所述各类网络主体的标准格式文件、所述系统结构图以及预设的脆弱性知识库生成渗透图模型，包括：构建渗透图函数模型，生成所述渗透图函数模型中渗透路径，通过渗透图生成算法NEGA生成渗透图模型。
[0016]可选地，所述通过渗透图生成算法NEGA生成渗透图模型，包括：通过网络渗透图模型简化算法进行简化。
[0017]可选地，所述杀伤链流程包括：侦察跟踪、武器构建、载荷投递、漏洞利用、安装植入、命令控制、目标达成。
[0018]第二方面，提供了一种网络安全分析装置，该装置包括：
[0019]扫描模块，用于将目标网络系统中的各类网络主体进行扫描得到所述各类网络主体的参数，并对所述各类网络主体的参数进行格式处理得到所述各类网络主体的标准格式文件；所述各类网络主体包括至少一个目标网络主体；
[0020]第一生成模块，用于根据所述各类网络主体的标准格式文件通过网络拓扑自发现，生成网络拓扑结构图；
[0021]第二生成模块，用于将所述网络拓扑结构图生成系统结构图；其中，所述系统结构图包括所述网络拓扑结构图中各类网络主体的依赖关系与路径；
[0022]第三生成模块，用于根据所述各类网络主体的标准格式文件、所述系统结构图以及预设的脆弱性知识库生成渗透图模型；
[0023]确定模块，用于遍历所述渗透图模型中的所有渗透路径，对于每条渗透路径执行杀伤链流程，确定所述目标网络主体的渗透路径。
[0024]第三方面，提供了一种计算机设备，包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现上述第一方面任一所述的网络安全分析方法。
[0025]第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述第一方面任一所述的网络安全分析方法。
[0026]本申请不仅从攻击者到核心资产服务器一整条线上的主机都进行漏洞验证，甚至去挖掘从攻击者到核心资产所有潜在的攻击路径上的主机并进行逐一渗透验证，基于此进行全局修复从而极大地提高网络系统的安全性，可以看出本申请的有益效果包括：
[0027]1、提高了网络系统的全局安全性；
[0028]2、强化了网络系统面对紧急高危漏洞的应急响应能力；
[0029]3、攻击路径不依赖于渗透人员的经验，使渗透工作更加标准化，全面化；
[0030]4、进一步降低了渗透测试工作的复杂度；
[0031]5、减少对渗透人员技术或能力的依赖程度。
附图说明
[0032]图1为本申请实施例提供的一种网络安全分析方法的流程图；
[0033]图2为本申请实施例提供的流程示意图；
[0034]图3为本申请实施例提供的图形化的网络渗透图模型；
[0035]图4为本申请实施例提供的标准的图形化的网络渗透图模型；
[0036]图5为本申请实施例提供的NEG
‑
NSAM方法的概念框架；
[0037]图6为本申请实施例提供的一种网络安全分析装置的框图；
[0038]图7为本申请实施例提供的一种计算机设备的示意图。
具体实施方式
[0039]为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。
[0040]本申请实施例提供的一种网络安全分析方法，基于网络安全分析方法NEG
‑
NSAM并结合Lockheed Martin提出的网络安全威胁模型(Kill Chain
‑
杀伤链模型)的全景杀伤链模型。该模型为一种基于实训攻击的网络分析方法。
[0041]请参考图1，其示出了本申请实施例提供的一种网络安全分析方法的流程图，图2给出了本申请实施例的具体实施示意图，该方法可以包括以下步骤：
[0042]步骤101，将目标网络系统中的各类网络主体进行扫描得到各类网络主体的参数，并对各类网络主体的参数进行格式处理得到各类网络主体的标准格式文件。
[0043]其中，各类网络主体包括至少一个目标网络主体，目标网络主体可以是核心资产服务器或是其他待保护的网络主体。
[0044]在本申请实施例中，网络系统中的网络主体包括了资产主体、防御主体以及威胁主体，对系统内的所有网络主体进行全局信息参数扫描采集中，扫描技术包括本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络安全分析方法，其特征在于，所述方法包括：将目标网络系统中的各类网络主体进行扫描得到所述各类网络主体的参数，并对所述各类网络主体的参数进行格式处理得到所述各类网络主体的标准格式文件；所述各类网络主体包括至少一个目标网络主体；根据所述各类网络主体的标准格式文件通过网络拓扑自发现，生成网络拓扑结构图；基于所述网络拓扑结构图生成系统结构图；其中，所述系统结构图包括所述网络拓扑结构图中各类网络主体的依赖关系与路径；根据所述各类网络主体的标准格式文件、所述系统结构图以及预设的脆弱性知识库生成渗透图模型；遍历所述渗透图模型中的所有渗透路径，对于每条渗透路径执行杀伤链流程，确定所述目标网络主体的渗透路径。2.根据权利要求1所述的方法，其特征在于，所述将目标网络系统中的各类网络主体进行扫描得到所述各类网络主体的参数，包括：对所述目标网络系统中的资产主体、防御主体以及威胁主体进行全方位扫描收集信息，得到各类网络主体的参数。3.根据权利要求1所述的方法，其特征在于，所述标准格式文件包括：csv、xml或json格式文件。4.根据权利要求1所述的方法，其特征在于，所述网络拓扑结构图，包括：目标网络系统中的各类网络主体的拓扑结构文件和结构图。5.根据权利要求1所述的方法，其特征在于，所述根据所述各类网络主体的标准格式文件、所述系统结构图以及预设的脆弱性知识库生成渗透图模型，包括：构建渗透图函数模型，生成所述渗透图函数模型中渗透路径，通过渗透图生成算法NEGA生成渗透图模型...

【专利技术属性】
技术研发人员：董昊辰，李梓豪，范中磊，欧泽飞，徐磊，刘兵，谢鑫，
申请(专利权)人：北京墨云科技有限公司，
类型：发明
国别省市：