本發明公開了一種網絡攻擊路徑預測方法、裝置及安全管理平臺，該方法包括：獲取網絡運行中產生的各類告警信息，該告警信息至少包括：未知設備告警信息、外設告警信息，各告警信息中包括告警時間、源資產IP和目的資產IP；將各告警信息按時間進行排序，以未知設備告警信息、外設告警信息中的目的資產IP作為攻擊路徑起點，構建多條攻擊路徑；根據各攻擊路徑及預設概率計算規則，計算各攻擊路徑的攻擊概率；將攻擊概率最大的攻擊路徑確定為最優攻擊路徑。該方法確定的最優攻擊路徑，可以清晰查看到攻擊的來源、去向、受到攻擊的資產、存在安全隱患的設備，從而可以對攻擊過程中的所有資產進行具體的分析，對可能受到攻擊的資產進行安全防護。

技術領域

本發明涉及信息技術的網絡安全技術領域，具體涉及一種網絡攻擊路徑預測方法、裝置及安全管理平臺。

背景技術

在工業控制系統(簡稱工控系統)網絡安全實踐中，由于工業控制系統的進程、通訊和數據相對單一、穩定，工業控制系統對業務的可靠性、連續性有嚴格要求，因此工業控制環境下的白名單或黑名單技術被引入進來。

目前，對于工業級資產設備的攻擊分析都是基于黑名單技術，基于黑名單技術的攻擊分析都是針對已知的安全漏洞、已經受到攻擊的資產進行分析，而對于攻擊過程中的攻擊路徑沒有整體的認知，不能對攻擊路徑進行預測，不利于對資產進行安全防護。

發明內容

有鑒于此，本發明實施例提供了一種網絡攻擊路徑預測方法、裝置及安全管理平臺，以解決現有攻擊分析中對于攻擊過程中的攻擊路徑沒有整體的認知，不能對攻擊路徑進行預測，不利于后續對資產進行安全防護的問題。

根據第一方面，本發明實施例提供了一種網絡攻擊路徑預測方法，包括：獲取網絡運行中產生的各類告警信息，告警信息至少包括：未知設備告警信息、外設告警信息，各告警信息中包括告警時間、源資產IP和目的資產IP；將各告警信息按時間進行排序，以未知設備告警信息、外設告警信息中的目的資產IP作為攻擊路徑起點，構建多條攻擊路徑；根據各攻擊路徑及預設概率計算規則，計算各攻擊路徑的攻擊概率；將攻擊概率最大的攻擊路徑確定為最優攻擊路徑。

可選地，根據各攻擊路徑及預設概率計算規則，計算各攻擊路徑的攻擊概率，包括：將各攻擊路徑中各資產IP的權重進行相加得到各攻擊路徑的攻擊概率。

可選地，根據各攻擊路徑及預設概率計算規則，計算各攻擊路徑的攻擊概率，還包括：判斷各攻擊路徑中是否包括第三方病毒引擎告警的資產IP；將包括第三方病毒引擎告警的資產IP的攻擊路徑的攻擊概率增加第一預設值。

可選地，根據各攻擊路徑及預設概率計算規則，計算各攻擊路徑的攻擊概率，還包括：判斷各攻擊路徑中是否包括預設高危端口產生的告警資產IP；將包括預設高危端口產生的告警資產IP的攻擊路徑的攻擊概率增加第二預設值。

根據第二方面，本發明實施例提供了一種網絡攻擊路徑預測裝置，包括：獲取單元，用于獲取網絡運行中產生的各類告警信息，告警信息至少包括：未知設備告警信息、外設告警信息，各告警信息中包括告警時間、源資產IP和目的資產IP；構建單元，用于將各告警信息按時間進行排序，以未知設備告警信息、外設告警信息中的目的資產IP作為攻擊路徑起點，構建多條攻擊路徑；計算單元，用于根據各攻擊路徑及預設概率計算規則，計算各攻擊路徑的攻擊概率；確定單元，用于將攻擊概率最大的攻擊路徑確定為最優攻擊路徑。

可選地，計算單元包括：相加子單元，用于將各攻擊路徑中各資產IP的權重進行相加得到各攻擊路徑的攻擊概率。

可選地，計算單元還包括：第一判斷子單元，用于判斷各攻擊路徑中是否包括第三方病毒引擎告警的資產IP；第一增加子單元，用于將包括第三方病毒引擎告警的資產IP的攻擊路徑的攻擊概率增加第一預設值。

可選地，計算單元還包括：第二判斷子單元，用于判斷各攻擊路徑中是否包括預設高危端口產生的告警資產IP；第二增加子單元，用于將包括預設高危端口產生的告警資產IP的攻擊路徑的攻擊概率增加第二預設值。