一种网络安全防护方法及装置与流程

电子通信装置的制造及其应用技术1.本技术涉及网络安全领域，尤其涉及一种网络安全防护方法及装置。背景技术：2.随着网络技术的发展，互联网(internet)实现了全球范围内数以亿计的主机(host)的互联互通，网络服务也已经渗透到生产和生活的方方面面。但是，随之而来的网络安全问题也日益突出，攻击者例如网络黑客可以通过对网络进行攻击，来影响网络服务的正常运行。3.因此，如何保证网络安全，是目前亟待解决的问题。技术实现要素：4.本技术实施例提供了一种网络安全防护方法及装置，可以有效提升网络安全。5.第一方面，本技术实施例提供了一种网络安全防护方法，该方法可以由控制管理实体执行。在一个示例中，为了提升目标网络的网络安全，控制管理实体可以周期性获取目标网络的网络信息，并根据获取到的所述网络信息确定所述目标网络在当前状态下的目标攻击路径。此处提及的目标攻击路径，用于实现攻击目标。也就是说，所述目标攻击路径是达到攻击目标攻击者有可能采取的攻击路径。控制管理实体确定所述目标攻击路径之后，可以根据所述目标攻击路径动态部署安全防护策略。由此可见，利用本技术实施例的方法，控制管理实体可以根据目标网络的网络信息，预测攻击者可能对目标网络采取的攻击手段，并动态部署对应的安全防护策略，从而有效防止网络攻击，以提升目标网络的网络安全。作为一个示例，控制管理实体可以在目标网络内动态调整蜜罐的安全防护策略，从而引导攻击者攻击蜜罐，从而减少攻击者对目标网络中的通信装置的攻击，以提升目标网络的网络安全。由于在不同的采集时间点，所采集的目标网络的状态信息可能不同，相应的所得到目标攻击手段也不同，进一步地，部署的安全防护策略也不同。因此，利用本方案，可以动态的基于目标网络的网络信息，部署安全防护策略，从而有效保护网络安全。6.在一种可能的实现方式中，考虑到攻击者一般会利用该网络的漏洞和/或该网络开放的端口信息对网络进行攻击。因此，所述目标网络的网络信息，可以包括目标网络的漏洞信息和/或目标网络开放的端口信息。控制管理实体获取到所述漏洞信息和开放的端口信息之后，可以根据所获取到的漏洞信息和开放的端口信息，确定目标攻击路径。7.在一种可能的实现方式中，考虑到对于攻击者而言，其能够获得的与目标网络相关的信息越多，越有利于其对目标网络进行分析，从而确定攻击行为。因此，所述目标网络的网络信息，除了包括签署漏洞信息和/或开放的端口信息之外，还可以包括其它信息。一方面，目标网络的告警信息在一定程度上也能暴露目标网络的脆弱点，攻击者可以利用告警信息来确定攻击行为，因此，所述目标网络的网络信息，还可以包括告警信息。另一个方面，对于目标网络而言，若攻击者获得了目标网络的拓扑信息以及目标网络的设备配置信息，则攻击者也可以利用所述拓扑信息和设备配置信息，针对性的对所述目标网络进行精准攻击，因此，所述目标网络的网络信息，还可以包括所述目标网络的设备配置信息和/或拓扑信息。8.在一种可能的实现方式中，由于对于当前状态下的目标网络而言，若要实现攻击目标，攻击者所能采取的攻击路径可能不止一个。因此，控制管理设备获取目标网络的网络信息之后，可以根据获取到的网络信息，确定第一攻击路径集合，第一攻击路径集合是能够实现所述攻击目标的多个攻击路径的集合。确定所述第一攻击路径集合之后，可以从所述第一攻击路径集合中选择所述目标攻击路径。在一个示例中，可以根据所述网络信息对攻击者能够实施的攻击路径进行遍历，以得到所述第一攻击路径集合。在又一个示例中，可以根据目标网络的网络信息，得到目标网络的第一攻击图，并进一步根据第一攻击图得到所述第一攻击路径集合。9.在一种可能的实现方式中，可以从所述第一攻击路径集合中随机选择一个或者多个攻击路径作为所述目标攻击路径。10.在一种可能的实现方式中，考虑到虽然所述第一攻击路径集合中的所有攻击路径均能够实现所述攻击目标，但是各个攻击路径对应的攻击代价可能并不相同。而攻击者在对网络进行攻击时，往往更加倾向于采用较小的攻击代价实现攻击目标。因此，可以从所述第一攻击路径集合中选择出一个或者多个攻击代价较小的攻击路径作为所述目标攻击路径。可以理解的是，对于所述第一攻击路径集合中的攻击路径而言，攻击者采用攻击代价最小的攻击路径对目标网络进行攻击的可能性最大，因此，在一个示例中，所述目标攻击路径可以是所述第一攻击路径集合中对应攻击代价最小的攻击路径。其中，所述第一攻击路径集合中对应攻击代价最小的攻击路径，也可以被称为最优攻击路径。11.在一种可能的实现方式中，根据所述目标攻击路径动态部署安全防护策略在具体实现时，可以根据所述目标攻击路径，在目标网络内动态调整蜜罐的安全防护策略，从而使得蜜罐能够引诱更多的攻击流量，从而达到保护目标网络的目的。12.在一种可能的实现方式中，若所述目标网络中已经部署有蜜罐，则可以对该已有蜜罐的安全防护策略进行调整。在另一些实施例中，还可以在所述目标网络中新增蜜罐。例如，目标网络中原本没有部署蜜罐，则可以新增蜜罐以引诱攻击流量；又如，目标网络中原本虽然已经部署蜜罐，但是已有蜜罐的安全防护策略不适合进行调整，故而可以新增蜜罐以引诱攻击流量。13.在一种可能的实现方式中，控制管理实体根据获取到的网络信息确定目标攻击路径在具体实现时，可以首先根据获取到的所述网络信息，得到目标网络的第一攻击图。所述第一攻击图可以体现目标网络的各个漏洞之间的关联关系、以及能够达到攻击目标的攻击路径。因此，得到所述第一攻击图之后，可以利用所述第一攻击图得到所述目标攻击路径。14.在一种可能的实现方式中，考虑到若计算目标攻击路径的攻击图中存在的信息可能会比较多，则会导致根据该攻击图计算所述目标攻击路径的计算量较大。为了降低计算所述目标攻击路径的计算量。可以首先根据所述获取到的所述网络信息，得到目标网络的第二攻击图，而后，去除所述第二攻击图中的冗余信息，得到第一攻击图。可以理解的是，所述第一攻击图与第二攻击图相比，数据量更少，但是却保留了第二攻击图中的有效信息。采用这种方式，可以有效减少计算所述目标攻击路径的计算量。15.在一种可能的实现方式中，所述目标攻击路径可以为前述第一攻击路径集合中对应攻击代价较小的一个或者多个攻击路径。在一个示例中，为确定所述目标攻击路径，可以结合特定的算法或者模型和所述第一攻击图，得到所述目标攻击路径。其中，前述特点的算法可以确定第一攻击路径集合中各攻击路径的攻击代价。16.在一种可能的实现方式中，可以利用多臂赌博机模型和所述第一攻击图得到所述目标攻击路径。其中，多臂赌博机模型对应的是强化学习中的单步强化学习任务，基于多臂赌博机模型能够确定对应攻击代价较小的攻击路径。在一个示例中，根据多臂赌博机模型和所述第一攻击图，确定目标网络的目标攻击路径在具体实现时，可以根据目标网络的当前状态(即：第一状态)、达成攻击目标时目标网络的状态(即：第二状态)以及所述第一攻击图，得到能够使得所述目标网络由第一状态转移为第二状态的第一攻击路径集合。可以理解的是，对于第一攻击路径集合中的任意一个攻击路径，均可以使得目标网络由第一状态转移为第二状态。而后，利用多臂赌博机模型计算所述第一攻击路径集合中各个攻击路径的报酬，然后，根据所述各个攻击路径的报酬，从第一攻击路径集合中选择所述目标攻击路径。17.在一种可能的实现方式中，根据所述各个攻击路径的报酬，从第一攻击路径集合中选择所述目标攻击路径在具体实现时，可以将所述第一路径集合中的对应报酬由高到低排序靠前的n个攻击路径，确定为所述目标路径。此处提及的n为大于或者等于1的整数。当所述n的值为1时，所述目标路径实际上为实现攻击目标的最优攻击路径。18.第二方面，本技术提供了一种控制管理实体，包括：收发单元和处理单元。所述收发单元用于执行以上第一方面以及第一方面任意一项所述的控制管理实体执行的收发操作，所述处理单元用于执行以上第一方面以及第一方面任意一项所述的控制管理实体执行的除收发操作之外的其它操作。19.第三方面，本技术提供了一种控制管理实体，所述控制管理实体包括存储器和处理器；所述存储器，用于存储程序代码；所述处理器，用于运行所述程序代码中的指令，使得所述控制管理实体执行以上第一方面以及第一方面任意一项所述的方法。20.第四方面，本技术提供了一种控制管理实体，所述控制管理实体包括通信接口和处理器，所述通信接口用于执行以上第一方面以及第一方面任意一项所述的控制管理实体执行的收发操作，所述处理器用于执行以上第一方面以及第一方面任意一项所述的控制管理实体执行的除收发操作之外的其它操作。21.第五方面，本技术提供了一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，当处理器运行所述指令时，实现以上第一方面以及第一方面任意一项所述的方法。22.第六方面，本技术提供了一种计算机程序产品，包括计算机程序，当处理器运行所述程序时，实现以上第一方面以及第一方面任意一项所述的方法。附图说明23.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。24.图1为部署了蜜罐的网络系统的示意图；25.图2为本技术实施例提供的一种网络安全防护方法的流程示意图；26.图3为本技术实施例提供的一种控制管理实体的结构示意图；27.图4为本技术实施例提供的一种控制管理实体的结构示意图；28.图5为本技术实施例提供的一种控制管理实体的结构示意图。具体实施方式29.本技术实施例提供了一种网络安全防护方法及装置，能够有效提升网络安全。30.为方便理解，首先对网络安全防护的相关知识以及本技术实施例可能的应用场景进行介绍。31.随着网络技术的发展，网络安全问题也日益突出，网络黑客可以通过对网络进行攻击，来影响网络服务的正常运行。32.目前，为了保证网络安全，可以基于网络架构构建防御体系，通过多种不同的防御措施进行组合，实现网络安全防御。其中，前述防御体系例如可以是防火墙、入侵检测、安全网关、防病毒软件、数据加密、访问控制、用户认证等等，此处不一一列举说明。然而，这种防御体系的构建依赖于已有网络攻击的先验知识，是一种被动的防御技术。换言之，这种防御体系即只能拦截已知的攻击，而无法拦截未知的攻击。因此，这种防御体系并不能有效防止网络攻击。33.鉴于前述防御体系不能有效防止网络攻击，蜜罐技术应运而生。蜜罐技术通过部署诱饵通信装置，诱使攻击者对诱饵通信装置实施攻击，从而减少攻击者对真实通信装置的攻击流量，进一步保护网络安全。另外，还可以对诱饵通信装置所受到的攻击进行分析，得到攻击者的攻击意图，并作出相应的应对措施，从而有效延缓、乃至阻止网络攻击，从而达到保护网络安全的目的。其中，诱饵通信装置也可以被称为蜜罐。34.图1为部署了蜜罐的网络系统的示意图。如图1所示，数据收集、处理、分析模块可以收集针对诱饵通信装置的攻击信息，并对该攻击信息进行分析，从而得到攻击者的攻击意图，根据该攻击意图可以进一步采取相应的应对措施以保护真实通信装置。35.对于待保护的网络而言，可以为其部署多台蜜罐，并且蜜罐技术还可以和前述防御系统相结合，从而保护网络安全。其中：蜜罐技术和前述防御系统相结合，也可以被称为密网技术。在密网技术中，为了引诱更多的攻击流量，所述蜜罐可以与待保护的网络中的通信装置部署相同的系统。例如，待保护网络中的主机部署有windows系统，则所述蜜罐也可以部署windows系统。而且，为降低密网技术的部署成本，蜜网的防御策略可以动态调整。例如，在第一通信周期内，开放蜜罐的1号端口至10号端口，在第二通信周期内，开放蜜罐的11号端口至20号端口。36.但是，目前的密网技术只能根据已经捕获到的攻击来调整密网的防御措施。可以理解的是，当检测到攻击之后再去调整蜜网的防御策略，一方面攻击已经发生，此时再去调整蜜网的防御策略，无法起到完全、有效的保护；另一方面，网络中所存在的攻击繁多，仅基于已经捕获的攻击去调整蜜网防御策略，很难防范高危、隐蔽的攻击。换言之，目前的密网技术也不能有效保护网络安全。37.鉴于此，本技术实施例提供了一种网络安全防护方法，该方法可以根据目标网络的网络信息预测攻击者可能采取的攻击手段，并动态部署安全防护策略，从而有效防止网络攻击，提升网络安全。38.本技术实施例中提及的通信装置，可以是交换机、路由器等网络设备，也可以是网络设备上的一部分组件，例如是网络设备上的单板，线卡，还可以是网络设备上的一个功能模块，本技术实施例不做具体限定。通信装置还可以是用户设备。通信装置之间例如可以但不限于通过以太网线或光缆直接连接。39.图2为本技术实施例提供的一种网络安全防护方法的流程示意图。图2所示的网络安全防护方法100，可以由控制管理实体执行。40.本技术实施例中提及的控制管理实体例如可以为运行了网络管理系统(network manage system，nms)的设备，又如可以为控制器。控制管理实体，可以是实现控制和/或管理功能的功能模块，也可以是运行了相关功能模块的物理实体，上述物理实体例如可以是安装了相关软件的服务器，通信装置等，所述相关软件用于实现控制管理实体的功能。本技术实施例不做具体限定。41.图2所示的方法100，例如可以包括如下s101-s103。42.s101：周期性的获取目标网络的网络信息。43.在本技术实施例中，目标网络是待保护的网络，目标网络中可以包括网络设备和/或用户设备。目标网络中网络设备的可以属于接入网，也可以属于汇聚网，还可以属于核心网，此处不做具体限定。44.目标网络的状态信息用于指示目标网络的状态。攻击者可以通过对目标网络的网络信息进行分析，从而采取相应的攻击行为。在本技术实施例中，为了有效保护目标网络的网络安全，可以首先获取所述目标网络的网络信息，并进一步根据所获取到的网络信息，预测攻击者对所述目标网络可能采取的攻击行为。45.在一些实施例中，考虑到攻击者一般会利用该网络的漏洞和/或该网络开放的端口信息对网络进行攻击。因此，在一个示例中，所述目标网络的网络信息，可以包括目标网络的漏洞信息和/或目标网络开放的端口信息。其中，目标网络开放的端口信息，可以是目标网络中的通信装置上开放的协议端口号。在本技术实施例中，可以利用漏洞分析工具获得所述目标网络的漏洞信息，可以利用端口扫描工具获得所述目标网络开放的端口信息。关于漏洞分析工具和端口扫描工具，此处不做限定。46.在一些实施例中，考虑到对于攻击者而言，其能够获得的与目标网络相关的信息越多，越有利于其对目标网络进行分析，从而确定攻击行为。因此，所述目标网络的网络信息，除了包括签署漏洞信息和/或开放的端口信息之外，还可以包括其它信息。作为一个示例，考虑到目标网络的告警信息在一定程度上也能暴露目标网络的脆弱点，攻击者可以利用告警信息来确定攻击行为，因此，所述目标网络的网络信息，还可以包括告警信息。作为另一个示例，对于目标网络而言，若攻击者获得了目标网络的拓扑信息以及目标网络的设备配置信息，则攻击者也可以利用所述拓扑信息和设备配置信息，针对性的对所述目标网络进行精准攻击，因此，所述目标网络的网络信息，还可以包括所述目标网络的设备配置信息和/或拓扑信息。其中：目标网络的设备配置信息，可以是目标网络中的通信装置的配置信息，通信装置的配置信息，例如可以包括通信装置支持的通信协议、通信装置开放的端口信息、以及通信装置提供的服务等。47.s102：根据获取到的所述网络信息确定目标网络在当前状态下的目标攻击路径，所述目标攻击路径用于实现攻击目标。48.获得目标网络的网络信息之后，可以根据所获取的网络信息确定目标网络在当前状态下的目标攻击路径。其中，目标攻击路径指的是为达到攻击目标攻击者有可能采取的攻击路径。所谓攻击路径，可以认为是攻击者按照一定顺序执行的多个攻击行为的集合。举例说明：攻击者利用漏洞a，攻陷了通信装置a。然后，在攻陷通信装置a的基础上，利用漏洞b，攻陷了通信装置b。最后在攻陷通信装置b的基础上，利用漏洞c，达到了攻击目标。对于这种情况，攻击者所采用的攻击路径包括按照执行的3个攻击行为，这三个攻击行为分别为：利用漏洞a攻击通信装置a、利用漏洞b攻击通信装置b、利用漏洞c进行攻击以实现攻击目标。此处提及的攻击目标，例如可以为攻陷某一通信装置。49.可以理解的是，对于当前状态下的目标网络而言，若要实现攻击目标，攻击者所能采取的攻击路径可能不止一个。在一个示例中，s102在具体实现时，可以根据获取到的网络信息，确定第一攻击路径集合，第一攻击路径集合是能够实现所述攻击目标的多个攻击路径的集合。换言之，所述第一攻击路径集合中的所有攻击路径均能实现所述攻击目标。正是由于第一攻击路径集合中的所有攻击路径均能够实现所述攻击目标，因此，当攻击者希望实现所述攻击目标时，攻击者可能会利用所述第一攻击路径集合中的任意一个或者多个攻击路径对所述目标网络进行攻击。因此，确定所述第一攻击路径集合之后，可以从所述第一攻击路径集合中选择所述目标攻击路径。50.在一个示例中，根据获取到的网络信息，确定第一攻击路径集合在具体实现时，可以根据所述网络信息对攻击者能够实施的攻击路径进行遍历，以得到所述第一攻击路径集合。在又一个示例中，可以根据目标网络的网络信息，得到目标网络的第一攻击图，并进一步根据第一攻击图得到所述第一攻击路径集合。关于第一攻击图以及根据第一攻击图得到第一攻击路径集合的具体实现，可以参考下文的相关描述部分，此处不做详述。51.在一个示例中，可以从所述第一攻击路径集合中随机选择一个或者多个攻击路径作为所述目标攻击路径。52.在又一个示例中，考虑到虽然所述第一攻击路径集合中的所有攻击路径均能够实现所述攻击目标，但是各个攻击路径对应的攻击代价可能并不相同。举例说明：第一攻击路径集合中包括攻击路径1和攻击路径2，其中，攻击路径1仅利用一个端口即可实现攻击目标，而攻击路径2则需要攻陷3个通信装置才能实现攻击目标，显然，攻击路径1的攻击代价小于攻击路径2的攻击代价。而攻击者在对网络进行攻击时，往往更加倾向于采用较小的攻击代价实现攻击目标。因此，在一种实现方式中，可以从所述第一攻击路径集合中选择出一个或者多个攻击代价较小的攻击路径作为所述目标攻击路径。例如，可以对所述第一攻击路径集合中的攻击路径按照攻击代价由小到大进行排序，将排序靠前的一定数目个攻击路径作为所述目标攻击路径。可以理解的是，对于所述第一攻击路径集合中的攻击路径而言，攻击者采用攻击代价最小的攻击路径对目标网络进行攻击的可能性最大，因此，在一个示例中，所述目标攻击路径可以是所述第一攻击路径集合中对应攻击代价最小的攻击路径。其中，所述第一攻击路径集合中对应攻击代价最小的攻击路径，也可以被称为最优攻击路径。53.s103：根据所述目标攻击路径动态部署安全防护策略。54.得到所述目标攻击路径之后，可以根据所述目标攻击路径动态部署安全防护策略。由于所述目标攻击路径是攻击者可能采取的攻击手段，因此，根据所述目标攻击路径动态部署安全防护策略，可以有效拦截攻击流量，从而保护目标网络的网络安全。55.在s103的一种实现方式中，可以根据所述目标攻击路径，在目标网络内动态调整蜜罐的安全防护策略，从而使得蜜罐能够引诱更多的攻击流量，从而达到保护目标网络的目的。在一些实施例中，若所述目标网络中已经部署有蜜罐，则可以对该已有蜜罐的安全防护策略进行调整。例如：目标攻击路径指示攻击者可能会基于xx端口实现攻击目标，则可以在已有蜜罐上开放该xx端口以达到引诱攻击流量的目的。又如，目标攻击路径指示攻击者可能会基于已有的漏洞x实现攻击目标，则可以在蜜罐上部署该漏洞x，从而达到引诱攻击流量、保护真实通信装置的目的。在另一些实施例中，还可以在所述目标网络中新增蜜罐。例如，目标网络中原本没有部署蜜罐，则可以新增蜜罐以引诱攻击流量；又如，目标网络中原本虽然已经部署蜜罐，但是已有蜜罐的安全防护策略不适合进行调整，故而可以新增蜜罐以引诱攻击流量。56.在s103的又一种实现方式中，可以在防火墙部署针对所述目标攻击路径对应的攻击流量的防护策略。在一个示例中，可以根据目标攻击路径对攻击流量可能具备的特征进行分析，得到攻击流量的特征之后，可以在防火墙上部署针对该攻击流量的拦截策略。在又一个示例中，基于目标攻击路径在目标网络内动态调整蜜罐的安全防护策略之后，控制管理实体可以收集蜜罐所受到的攻击，并对蜜罐所受到的攻击进行分析，进一步根据分析结果在防火墙上部署对应的防护策略。举例说明：蜜罐接收到大量针对xx端口的攻击流量，则可以在防火墙上部署针对xx端口的流量校验策略。57.通过以上描述可知，利用方法100，控制管理实体可以根据目标网络的状态信息，预测攻击者可能对目标网络采取的攻击手段，并动态部署对应的安全防护策略，从而有效防止网络攻击，以提升目标网络的网络安全。而且，在不同的采集时间点，所采集的目标网络的状态信息可能不同，相应的所得到目标攻击手段也不同，进一步地，部署的安全防护策略也不同。换言之，利用本方案，可以动态的基于目标网络的网络信息，部署安全防护策略，从而有效保护网络安全。58.接下来对s102的可能的实现方式进行介绍。59.在一个示例中，s102可以通过如下步骤a和步骤b实现。60.步骤a：控制管理实体根据获取到的所述网络信息，得到目标网络的第一攻击图。61.首先，对攻击图进行简单介绍。62.网络中总是存在一定的安全漏洞，同时这些漏洞之间可能存在一定的关联关系，即当一个漏洞被成功利用后，可能为另一漏洞的利用创造有利条件。例如：利用漏洞a攻陷通信装置a之后，即可利用漏洞b攻陷通信装置b。为了能够彻底找出所有关联关系，可以通过模拟攻击者对存在安全漏洞的网络攻击过程，找到所有能够到达攻击目标的攻击路径，同时将这些路径以图的形式表现，这种图就是攻击图。63.此处提及的第一攻击图，可以体现目标网络的各个漏洞之间的关联关系、以及能够达到攻击目标的攻击路径。可以理解的是，所述第一攻击图在一定程度上可以体现目标网络潜在的高危威胁。64.在一个示例中，攻击图生成工具能够基于所述目标网络的网络信息输出所述第一攻击图，因此，可以利用所述攻击图生成工具生成第一攻击图。本技术实施例不具体限定所述攻击图生成工具，所述攻击图生成工具例如可以为多阶段漏洞分析(multi-host multi-stage vulnerability analysis，mulval)工具。65.在一个示例中，考虑到一些攻击图生成工具生成的攻击图中存在的信息可能会比较多，从而使得根据该攻击图计算所述目标攻击路径的计算量较大。为了降低计算所述目标攻击路径的计算量。可以首先根据所述获取到的所述网络信息，得到目标网络的第二攻击图，而后，去除所述第二攻击图中的冗余信息，得到第一攻击图。例如，可以利用mulval工具生成第二攻击图，并利用重构攻击图算法(algorithm to refine attack graph,arag)对所述第一攻击图进行重构，以去除所述第二攻击图中的冗余信息，得到所述第一攻击图。可以理解的是，所述第一攻击图与第二攻击图相比，数据量更少，但是却保留了第二攻击图中的有效信息。66.步骤b：控制管理实体根据所述第一攻击图确定所述目标攻击路径。67.如前所述，第一攻击图，可以体现目标网络的各个漏洞之间的关联关系、以及能够达到攻击目标的攻击路径。因此，可以利用所述第一攻击图得到所述目标攻击路径。68.如前文对于目标攻击路径的描述可知，所述目标攻击路径可以为第一攻击路径集合中对应攻击代价较小的一个或者多个攻击路径。在一个示例中，为确定所述目标攻击路径，可以结合特定的算法或者模型和所述第一攻击图，得到所述目标攻击路径。其中，前述特点的算法可以确定第一攻击路径集合中各攻击路径的攻击代价。69.在一个示例中：可以利用隐马尔科夫模型和所述第一攻击图得到所述目标攻击路径。举例说明:可以将目标网络中已知的漏洞、开放的端口和使用的协议作为观察态，目标网络遭受攻击或者目标网络遭受攻击的状态作为隐式态，目标网络的观察态和隐式态之间基于某个概率相关联。基于隐马尔科夫模型，系统的下一个状态可基于观察态的值预测出来。最后基于脆弱性评分和防御成本，并利用维特比算法可计算出最有可能的攻击序列进而得到目标攻击路径。70.在又一个示例中，可以利用贝叶斯网络和所述第一攻击图得到所述目标攻击路径。其中：贝叶斯网络是一种概率图网络，其基于先验知识并结合因果关系得到某一未知事情的发生概率。可以利用贝叶斯网络和第一攻击图得到基于贝叶斯网络的攻击图。基于贝叶斯网络的攻击图由三元组{节点，连接线、概率矩阵}组成，其中，节点表示目标网络中已知的漏洞、暴露的端口等信息；连接线表示节点间的依赖关系；概率矩阵表示节点被攻击的条件概率。最后基于贝叶斯公示可求解目标攻击路径。71.在另一个示例中，可以利用多臂赌博机模型和所述第一攻击图得到所述目标攻击路径。考虑到多臂赌博机模型对应的是强化学习中的单步强化学习任务，基于多臂赌博机模型能够确定对应攻击代价较小的攻击路径，而前述隐马尔可夫模型和贝叶斯网络只能求解得到能够实现攻击目标的攻击路径，不能确定实现攻击目标且对应攻击代价较小的攻击路径。因此，在一个优选的实现方式中，步骤b在实现时，可以利用多臂赌博机模型和所述第一攻击图，确定所述目标攻击路径。72.首先，对多臂赌博机模型进行简单介绍。73.多臂赌博机模型对应的是强化学习中的单步强化学习任务。多臂赌博机问题可描述如下：一个具有多个摇臂的赌博机，每次只能拉动其中的一个摇臂，且获得一定报酬，但拉动各个摇臂所对应的报酬未知。多臂赌博机问题是指：在各个决策时刻，按照怎样的策略拉动摇臂，才能使得自己获得的报酬最大。换言之，按照怎样的步骤拉动多臂赌博机的摇臂，才能获得最大的报酬。74.将多臂赌博机模型应用于目标攻击路径确定的场景中时，可以将问题总结为:对于能够实现攻击目标的各种攻击路径，哪些攻击路径对应的报酬较大，报酬越大，对应该攻击路径的攻击代价越小。75.其中：一个攻击路径可以包括多个攻击行为，每个攻击行为均对应一个攻击报酬，对于一个攻击路径，例如对于第一攻击路径而言，可以根据第一攻击路径包括的各个攻击行为的报酬确定所述第一攻击路径的报酬。76.在一个示例中，根据多臂赌博机模型和所述第一攻击图，确定目标网络的目标攻击路径在具体实现时，可以根据目标网络的当前状态(以下简称第一状态)、达成攻击目标时所述目标网络的状态(以下简称第二状态)以及所述第一攻击图，得到能够使得所述目标网络由第一状态转移为第二状态的第一攻击路径集合。可以理解的是，对于第一攻击路径集合中的任意一个攻击路径，均可以使得目标网络由第一状态转移为第二状态。而后，利用多臂赌博机模型计算所述第一攻击路径集合中各个攻击路径的报酬，然后，根据所述各个攻击路径的报酬，从第一攻击路径集合中选择所述目标攻击路径。77.关于第一状态和第二状态，需要说明的是，在一个示例中，当目标网络处于第一状态时，攻击者能够采取的攻击手段可以构成第二攻击路径集合，第二攻击路径集合中的部分攻击路径可以使得目标网络由第一状态转移为第二状态，第二攻击路径集合中的另外一些攻击路径可以使得目标网络由第一状态转移为其它状态例如第三状态。如前文描述可知，能够使得目标网络由第一状态转移为第二状态的攻击路径可以构成第一攻击路径集合，因此，第一攻击路径集合为第二攻击路径集合的子集。第一状态还可以指示当前攻击者已经实现的攻击目标。类似的，第二状态可以指示目标网络处于第二状态时攻击者已经实现的攻击目标。在一个示例中，攻击路径的报酬可以通过如下公式(1)确定。[0078][0079]在公式(1)中:[0080]构成一个攻击路径，指的是在该攻击路径中的第(n+1)个攻击行为，n的取值在0和(l-1)之间；[0081]其中：l的取值大于或者等于1，l用于指示攻击路径中包括的攻击行为的数量；当l等于1时，攻击路径仅包括一个攻击行为当l等于2时，攻击路径包括攻击行为当l等于2时，攻击路径包括攻击行为当l等于3时，攻击路径包括攻击行为当l等于4时，攻击路径包括攻击行为依此类推；[0082]为攻击路径的报酬，用于指示该攻击路径的攻击代价；e为期望值计算标识符；[0083]标识当目标网络的状态为s(n)时，采取攻击行为能够使得目标网络的状态转移为s(n+1)；[0084]为采取攻击行为使得目标网络的状态由s(n)转移为s(n+1)所得到的报酬；[0085]βn为的折扣因子，该折扣因子可以是一个经验值，具体取值此处不做限定。[0086]可以理解的是，目标网络的当前状态为s(0)，即第一状态为s(0)。采取攻击行为之后，目标网络的状态可以转移至s(1)，继续采取攻击行为目标网络的状态可以转移至s(2)，依此类推，前述攻击路径执行完成之后，目标网络的状态转移至s(l)，此时，实现攻击目标。也就是说，所述状态s(l)能够指示攻击目标，状态s(l)即为前述第二状态。[0087]根据公式(1)可知，为确定目标攻击路径，实际上是为了确定所述第一路径集合中对应报酬靠前的n个攻击路径。换言之，将所述第一路径集合中对应报酬靠前的n个攻击路径，确定为所述目标路径。可以理解的是，当所述n的值为1时，所述目标路径实际上为实现攻击目标的最优攻击路径。n为大于或者等于1的整数。[0088]在一个示例中，可以利用gittins定理和状态消除算法(state-elimination algorithm，sea)计算各个攻击行为例如的gittins指标，从而根据各个攻击行为的gittins指标，得到目标攻击路径。关于gittins定理和sea，由于是成熟的算法，故而此处不做详细说明。[0089]此外，本技术实施例还提供了一种控制管理实体300，参见图3所示。图3为本技术实施例提供的一种控制管理实体的结构示意图。该控制管理实体300包括收发单元301和处理单元302。[0090]在一个示例中，所述控制管理实体300可以执行以上实施例中的方法100，当控制管理实体300用于执行以上实施例中的方法100时，控制管理实体300相当于方法100中的控制管理实体。收发单元301用于执行方法100中控制管理实体执行的收发操作。处理单元302用于执行方法100中控制管理实体执行的除收发操作之外的操作。例如：收发单元301用于周期性的获取目标网络的网络信息；处理单元302用于根据获取到的所述网络信息确定所述目标网络在当前状态下的目标攻击路径，所述目标攻击路径用于实现攻击目标，并根据所述目标攻击路径动态部署安全防护策略。[0091]此外，本技术实施例还提供了一种控制管理实体400，参见图4所示，图4为本技术实施例提供的一种通信装置的结构示意图。该控制管理实体400包括通信接口401和与通信接口401连接的处理器402。[0092]在一个示例中，所述控制管理实体400可以执行以上实施例中的方法100，当控制管理实体400用于执行以上实施例中的方法100时，控制管理实体400相当于方法100中的控制管理实体。通信接口401用于执行方法100中控制管理实体执行的收发操作。处理器402用于执行方法100中控制管理实体执行的除收发操作之外的操作。例如：通信接口401用于周期性的获取目标网络的网络信息；处理器402用于根据获取到的所述网络信息确定所述目标网络在当前状态下的目标攻击路径，所述目标攻击路径用于实现攻击目标，并根据所述目标攻击路径动态部署安全防护策略。[0093]此外，本技术实施例还提供了一种控制管理实体500，参见图5所示，图5为本技术实施例提供的一种通信装置的结构示意图。[0094]该控制管理实体500可以用于执行以上实施例中的方法100。[0095]如图5所示，控制管理实体500可以包括处理器510，与所述处理器510耦合连接的存储器520，收发器530。收发器530例如可以是通信接口，光模块等。处理器510可以是中央处理器(英文：central processing unit，缩写：cpu)，网络处理器(英文：network processor，缩写：np)或者cpu和np的组合。处理器还可以是专用集成电路(英文：application-specific integrated circuit，缩写：asic)，可编程逻辑器件(英文：programmable logic device，缩写：pld)或其组合。上述pld可以是复杂可编程逻辑器件(英文：complex programmable logic device，缩写：cpld)，现场可编程逻辑门阵列(英文：field-programmable gate array，缩写：fpga)，通用阵列逻辑(英文：generic array logic,缩写：gal)或其任意组合。处理器510可以是指一个处理器，也可以包括多个处理器。存储器520可以包括易失性存储器(英文：volatile memory)，例如随机存取存储器(英文：random-access memory，缩写：ram)；存储器也可以包括非易失性存储器(英文：non-volatile memory)，例如只读存储器(英文：read-only memory，缩写：rom)，快闪存储器(英文：flash memory)，硬盘(英文：hard disk drive，缩写：hdd)或固态硬盘(英文：solid-state drive，缩写：ssd)；存储器520还可以包括上述种类的存储器的组合。存储器520可以是指一个存储器，也可以包括多个存储器。在一个实施方式中，存储器520中存储有计算机可读指令，所述计算机可读指令包括多个软件模块，例如发送模块521，处理模块522和接收模块523。处理器510执行各个软件模块后可以按照各个软件模块的指示进行相应的操作。在本实施例中，一个软件模块所执行的操作实际上是指处理器510根据所述软件模块的指示而执行的操作。[0096]在一个示例中，所述控制管理实体500可以执行以上实施例中的方法100，当控制管理实体500用于执行以上实施例中的方法100时，控制管理实体500相当于方法100中的控制管理实体。收发器530用于执行方法100中控制管理实体执行的收发操作。处理器510用于执行方法100中控制管理实体执行的除收发操作之外的操作。例如：收发器530用于周期性的获取目标网络的网络信息；处理器510用于根据获取到的所述网络信息确定所述目标网络在当前状态下的目标攻击路径，所述目标攻击路径用于实现攻击目标，并根据所述目标攻击路径动态部署安全防护策略。[0097]本技术还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得所述计算机执行前述实施例所述的方法(例如，方法100)中任意一个或多个操作。[0098]本技术还提供了一种计算机程序产品，包括计算机程序，当其在计算机上运行时，使得所述计算机执行前述实施例所述的方法(例如，方法100)中任意一个或多个操作。[0099]本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。[0100]所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。[0101]在本技术所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑业务划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。[0102]作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。[0103]另外，在本技术各个实施例中的各业务单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件业务单元的形式实现。[0104]集成的单元如果以软件业务单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。[0105]本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的业务可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些业务存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。[0106]以上的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上仅为本发明的具体实施方式而已。[0107]以上，以上实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的范围。









图片声明：本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!




内容声明：本文中引用的各种信息及资料（包括但不限于文字、数据、图表及超链接等）均来源于该信息及资料的相关主体（包括但不限于公司、媒体、协会等机构）的官方网站或公开发表的信息。部分内容参考包括:(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供参考使用,不准确地方联系删除处理！本站为非盈利性质站点,发布内容不收取任何费用也不接任何广告!




免责声明：我们致力于保护作者版权，注重分享，被刊用文章因无法核实真实出处，未能及时与作者取得联系，或有版权异议的，请联系管理员，我们会立即处理，本文部分文字与图片资源来自于网络，部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!的,若有来源标注错误或侵犯了您的合法权益，请立即通知我们，情况属实，我们会第一时间予以删除，并同时向您表示歉意,谢谢!