本技术涉及网络安全,尤其涉及一种网络威胁确定方法、装置、设备、存储介质及产品。
背景技术:
1、随着各行各业的数字化转型和云计算的发展,各种信息系统趋向复杂化,极大加剧了网络暴露面管理工作的压力,同时系统中还可能形成新型的攻击面。对于越来越复杂的系统,急需改变目前攻击面处于“不可知不可控”的状态。网络安全领域需要将单纯的预防方法转变为更成熟的、具有检测及响应能力的战略增强型预防控制。
2、目前的暴露面管理技术,分别从外部资产管理、资产关联的威胁情报信息,端口扫描、指纹匹配等不同角度进行资产识别,来实现攻击面管理,但现有的相关技术中,没有统一的对数字资产信息进行获取,导致获得的数字资产信息之间相互独立。得到的信息分散,无法全面、完整的进行网络暴露面识别,在暴露面的发现上容易出现遗漏。
技术实现思路
1、本技术实施例提供一种网络威胁确定方法、装置、设备、存储介质及产品,能够进行全面的网络暴露面识别。
2、第一方面,本技术提供一种网络威胁确定方法,所述方法包括:
3、获取与目标域名信息关联的网际协议地址信息;
4、对所述网际协议地址信息进行网络资产探查,得到所述网际协议地址信息对应的数字资产信息;
5、对所述数字资产信息进行网络风险评估,得到潜在风险信息;
6、对所述潜在风险信息进行可利用性验证;
7、将可利用性验证结果为可利用的潜在风险信息,作为威胁信息。
8、在一些可能的实现方式中,所述对所述潜在风险信息进行可利用性验证,包括:
9、获取所述潜在风险信息对应的网际协议地址信息;
10、根据所述网际协议地址信息进行漏洞扫描,得到漏洞信息;
11、将所述漏洞信息中各个漏洞的相关数据,输入预设漏洞验证模型,得到各个所述漏洞对应的利用成功概率;
12、按照各个所述漏洞对应的利用成功概率的大小,对各个所述漏洞进行排序;
13、通过各个所述漏洞对应的预设验证流程脚本,基于所述排序的顺序,对各个所述漏洞进行测试,以验证各个所述漏洞的可利用性。
14、在一些可能的实现方式中,所述根据所述网际协议地址信息进行漏洞扫描,得到漏洞信息,包括:
15、获取所述网际协议地址信息对应的设备信息,所述设备信息包括网络端口和/或软件版本信息;
16、查询与所述设备信息对应的潜在漏洞信息;
17、在所述潜在漏洞信息中存在网络服务漏洞的情况下,通过爬虫获取所述网络服务漏洞的详细信息;
18、合并所述设备信息、所述潜在漏洞信息和所述网络服务漏洞的详细信息,得到漏洞信息。
19、在一些可能的实现方式中,所述查询与所述设备信息对应的潜在漏洞信息,包括:
20、根据所述设备信息对目标设备进行扫描,得到对应的软件详细信息;
21、根据所述软件详细信息,在漏洞数据库中执行启发式搜索,得到对应的潜在漏洞信息。
22、在一些可能的实现方式中,在所述将所述可利用性验证的结果为可利用的所述潜在风险信息确定为网络威胁信息之后,所述方法还包括:
23、从预设漏洞监测工具中获取当前会话列表;
24、将所述当前会话列表中的各个会话与预设威胁特征进行匹配;
25、将所述当前会话列表中,与预设威胁特征相匹配的会话的详细信息,作为网络威胁信息。
26、在一些可能的实现方式中,在所述从预设漏洞监测工具中获取当前会话列表之后,所述方法还包括:
27、提取所述当前会话列表中各个会话的唯一会话标识;
28、根据所述唯一会话标识,向对应的会话发送验证命令;
29、接收与所述验证命令对应的返回信息;
30、在所述返回信息不为空且不包含命令执行失败信息的情况下,将对应的会话标记为真实会话;
31、所述将所述当前会话列表中的各个会话与预设威胁特征进行匹配,包括:
32、将所述当前会话列表中的各个标记为真实会话的会话,与预设威胁特征进行匹配。
33、在一些可能的实现方式中,所述对所述网际协议地址信息进行网络资产探查,得到所述网际协议地址信息对应的数字资产信息,包括:
34、基于所述网际协议地址信息,进行端口扫描,得到目标端口;
35、通过爬虫爬取所述目标端口对应的统一资源定位符和网络服务信息;
36、将所述目标域名信息、所述网际协议地址信息、所述统一资源定位符和所述网络服务信息整合为网络资产集合;
37、基于所述网际协议地址信息,获取对应的应用程序编程接口信息,所述应用程序编程接口信息包括接口名称、接口地址或请求方式;
38、将得到的应用程序编程接口信息整合为应用程序编程接口资产集合;
39、合并所述网络资产集合和所述应用程序编程接口资产集合,得到数字资产信息。
40、在一些可能的实现方式中,所述对所述数字资产信息进行网络风险评估,得到潜在风险信息,包括:
41、基于预设漏洞库,对所述网络资产集合进行安全隐患分析,得到网络安全风险信息;
42、将所述应用程序编程接口资产集合与预设应用程序编程接口基线库中的数据进行比对;
43、根据所述应用程序编程接口资产集合中,与预设应用程序编程接口基线库不同的数据,得到应用程序编程接口安全风险信息;
44、合并所述网络安全风险信息和所述应用程序编程接口安全风险信息,得到潜在风险信息。
45、在一些可能的实现方式中,所述基于预设漏洞库,对所述网络资产集合进行安全隐患分析,得到网络安全风险信息,包括:
46、获取预设漏洞库中的失陷情报,所述失陷情报为己遭受网络安全风险的网络资产信息;
47、将所述失陷情报与所述网络资产集合中的所述网际协议地址信息和所述统一资源定位符进行匹配,得到资产失陷风险;
48、在预设网络平台上,基于所述网络资产集合中的目标域名信息进行敏感数据搜索,确定数据泄露风险;
49、基于所述网络资产集合中的所述网际协议地址信息和所述统一资源定位符,进行相应端口的漏洞扫描,得到安全配置风险;
50、将所述网络资产集合中的所述网络服务信息,与预设安全基线库进行比对,确定非必要开放的端口和/或服务,并作为资产暴露风险;
51、合并所述资产失陷风险、所述数据泄露风险、所述安全配置风险和所述资产暴露风险,得到网络安全风险信息。
52、在一些可能的实现方式中,所述将所述可利用性验证的结果为可利用的所述潜在风险信息确定为网络威胁信息之后,所述方法还包括:
53、提取所述网际协议地址信息中与预设攻击起始节点和预设攻击终点节点和连通的网络节点,得到攻击相关节点信息;
54、查找所述网络威胁信息中与所述攻击相关节点信息中各网络节点相关的漏洞信息,得到所述攻击相关节点信息中各网络节点的漏洞权重;
55、查找所述数字资产信息中与所述攻击相关节点信息中各网络节点相关的资产信息,得到所述攻击相关节点信息中各网络节点的资产权重;
56、基于所述漏洞权重和所述资产权重,得到所述攻击相关节点信息中各网络节点的威胁权重;
57、根据所述各网络节点之间的连通关系和所述各网络节点对应的威胁权重,形成攻击路径图,所述攻击路径图表示从所述预设攻击起始节点到达所述预设攻击终点节点的可能路径;
58、通过q学习算法,得到所述攻击路径图中的最短路径。
59、在一些可能的实现方式中,所述通过q学习算法,得到所述攻击路径图中的最短路径,包括:
60、将攻击路径图中的所述预设攻击起始节点作为当前节点;
61、基于所述当前节点,根据当前的q值确定目标节点;
62、根据所述目标节点对应的威胁权重,更新所述q值;
63、记录所述当前节点至所述目标节点的路径,并将所述目标节点更新为当前节点;
64、判断所述当前节点是否为所述预设攻击终点节点,若不是,根据q值重新确定目标节点与当前节点,并记录对应的路径,直至当前节点为所述预设攻击终点节点,将所述路径作为所述攻击路径图中的最短路径。
65、第二方面,本技术还提供一种网络威胁确定装置,所述装置包括:
66、获取模块,用于获取与目标域名信息关联的网际协议地址信息;
67、探查模块,用于对所述网际协议地址信息进行网络资产探查,得到所述网际协议地址信息对应的数字资产信息;
68、评估模块,用于对所述数字资产信息进行网络风险评估,得到潜在风险信息;
69、验证模块,用于对所述潜在风险信息进行可利用性验证;
70、确定模块,用于将可利用性验证结果为可利用的潜在风险信息,作为威胁信息。
71、第三方面,本技术提供一种网络威胁确定设备,所述设备包括:处理器,以及存储有计算机程序指令的存储器;所述处理器读取并执行所述计算机程序指令,以实现如上文描述的网络威胁确定方法。
72、第四方面,本技术提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如上文描述的网络威胁确定方法。
73、第五方面,本技术提供一种计算机程序产品,所述计算机程序产品中的指令由电子设备的处理器执行时,使得所述电子设备执行如上文描述的网络威胁确定方法。
74、本技术的提供的网络威胁确定方法、装置、设备、存储介质及产品,通过在获取与目标域名信息关联的网际协议地址信息之后,进行网络资产探查,对应的数字资产信息,然后对所述数字资产信息进行网络风险评估,得到潜在风险信息。之后对所述潜在风险信息进行可利用性验证,确定威胁信息。本技术的上述实施方式全面获取了目标域名信息关联的所有数字资产信息,并进行整体的风险评估。在评估之后,对每一个可能的潜在风险进行可利用性验证,准确的确定实际能够造成威胁的风险。本技术的提供的网络威胁确定方法、装置、设备、存储介质及产品,能够进行全面的网络暴露面识别,准确的确定威胁信息。
1.一种网络威胁确定方法,其特征在于,所述方法包括:
2.根据权利要求1所述的网络威胁确定方法,其特征在于,所述对所述潜在风险信息进行可利用性验证,包括:
3.根据权利要求2所述的网络威胁确定方法,其特征在于,所述根据所述网际协议地址信息进行漏洞扫描,得到漏洞信息,包括:
4.根据权利要求3所述的网络威胁确定方法,其特征在于,所述查询与所述设备信息对应的潜在漏洞信息,包括:
5.根据权利要求1所述的网络威胁确定方法,其特征在于,在所述将可利用性验证结果为可利用的潜在风险信息,作为威胁信息之后,所述方法还包括:
6.根据权利要求5所述的网络威胁确定方法,其特征在于,在所述从预设漏洞监测工具中获取当前会话列表之后,所述方法还包括:
7.根据权利要求1所述的网络威胁确定方法,其特征在于,所述对所述网际协议地址信息进行网络资产探查,得到所述网际协议地址信息对应的数字资产信息,包括:
8.根据权利要求7所述的网络威胁确定方法,其特征在于,所述对所述数字资产信息进行网络风险评估,得到潜在风险信息,包括:
9.根据权利要求8所述的网络威胁确定方法,其特征在于,所述基于预设漏洞库,对所述网络资产集合进行安全隐患分析,得到网络安全风险信息,包括:
10.根据权利要求1至9任一项所述的网络威胁确定方法,其特征在于,所述将可利用性验证结果为可利用的潜在风险信息,作为威胁信息之后,所述方法还包括:
11.根据权利要求10所述的网络威胁确定方法,其特征在于,所述通过q学习算法,得到所述攻击路径图中的最短路径,包括
12.一种网络威胁确定装置,其特征在于,所述装置包括:
13.一种网络威胁确定设备,其特征在于,所述设备包括:处理器,以及存储有计算机程序指令的存储器;所述处理器读取并执行所述计算机程序指令,以实现如权利要求1-11任意一项所述的网络威胁确定方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-11任意一项所述的网络威胁确定方法。
15.一种计算机程序产品,其特征在于,所述计算机程序产品中的指令由电子设备的处理器执行时,使得所述电子设备执行如权利要求1-11任意一项所述的网络威胁确定方法。
