本申請(qǐng)?zhí)峁┝艘环N漏洞風(fēng)險(xiǎn)評(píng)估方法及裝置，所述方法包括：針對(duì)所監(jiān)控網(wǎng)絡(luò)中的每個(gè)資產(chǎn)，獲取該資產(chǎn)的漏洞屬性信息和該資產(chǎn)的網(wǎng)絡(luò)訪問關(guān)系信息；根據(jù)每個(gè)資產(chǎn)的漏洞屬性信息和網(wǎng)絡(luò)訪問關(guān)系信息，生成該資產(chǎn)的攻擊圖；對(duì)每個(gè)攻擊圖進(jìn)行簡化處理，得到該攻擊圖對(duì)應(yīng)的網(wǎng)絡(luò)行為依賴圖；基于各個(gè)網(wǎng)絡(luò)行為依賴圖，生成網(wǎng)絡(luò)行為關(guān)系圖；利用預(yù)設(shè)算法計(jì)算網(wǎng)絡(luò)行為關(guān)系圖中每個(gè)漏洞被利用的概率；根據(jù)各個(gè)漏洞被利用的概率，對(duì)所監(jiān)控網(wǎng)絡(luò)中的漏洞進(jìn)行風(fēng)險(xiǎn)評(píng)估。在進(jìn)行漏洞風(fēng)險(xiǎn)評(píng)估時(shí)，除了考慮所監(jiān)控網(wǎng)絡(luò)中每個(gè)資產(chǎn)的漏洞屬性信息，還結(jié)合了網(wǎng)絡(luò)中網(wǎng)絡(luò)訪問關(guān)系信息，也即網(wǎng)絡(luò)的具體環(huán)境，從而提高了網(wǎng)絡(luò)中漏洞評(píng)估結(jié)果的準(zhǔn)確性。

技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種漏洞風(fēng)險(xiǎn)評(píng)估方法及裝置。

背景技術(shù)

在網(wǎng)絡(luò)環(huán)境中，由于漏洞補(bǔ)丁不及時(shí)，軟硬件兼容性，漏洞修復(fù)開銷大，甚至部分漏洞的修復(fù)需要暫停或者重啟服務(wù)等原因，再加上新漏洞的不斷出現(xiàn)，因此對(duì)網(wǎng)絡(luò)中的所有已知漏洞進(jìn)行修復(fù)幾乎是不可能的。或者說，網(wǎng)絡(luò)中總是存在一定數(shù)量的漏洞，不同漏洞被利用的難度是不同的，其對(duì)網(wǎng)絡(luò)造成的危害也不同。目前常用的做法是利用通用漏洞評(píng)分系統(tǒng)(Common Vulnerability Scoring System，CVSS)對(duì)漏洞進(jìn)行評(píng)分，包括漏洞危害程度、利用難度等多個(gè)角度，然而CVSS評(píng)分從全局角度描述漏洞的風(fēng)險(xiǎn)因素，并沒有和網(wǎng)絡(luò)的具體環(huán)境相結(jié)合，從而導(dǎo)致漏洞風(fēng)險(xiǎn)評(píng)估結(jié)果不準(zhǔn)確。

因此，如何提高漏洞風(fēng)險(xiǎn)評(píng)估結(jié)果的準(zhǔn)確性是值得考慮的技術(shù)問題之一。

發(fā)明內(nèi)容

有鑒于此，本申請(qǐng)?zhí)峁┮环N漏洞風(fēng)險(xiǎn)評(píng)估方法及裝置，用以提高漏洞風(fēng)險(xiǎn)評(píng)估結(jié)果的準(zhǔn)確性。

具體地，本申請(qǐng)是通過如下技術(shù)方案實(shí)現(xiàn)的：

根據(jù)本申請(qǐng)的第一方面，提供一種漏洞風(fēng)險(xiǎn)評(píng)估方法，應(yīng)用于網(wǎng)絡(luò)設(shè)備中，所述方法，包括：

針對(duì)所監(jiān)控網(wǎng)絡(luò)中的每個(gè)資產(chǎn)，獲取該資產(chǎn)的漏洞屬性信息和該資產(chǎn)的網(wǎng)絡(luò)訪問關(guān)系信息；

根據(jù)每個(gè)資產(chǎn)的漏洞屬性信息和網(wǎng)絡(luò)訪問關(guān)系信息，生成該資產(chǎn)的攻擊圖；

對(duì)每個(gè)攻擊圖進(jìn)行簡化處理，得到該攻擊圖對(duì)應(yīng)的網(wǎng)絡(luò)行為依賴圖；

基于各個(gè)網(wǎng)絡(luò)行為依賴圖，生成網(wǎng)絡(luò)行為關(guān)系圖；

利用預(yù)設(shè)算法計(jì)算所述網(wǎng)絡(luò)行為關(guān)系圖中每個(gè)漏洞被利用的概率；

根據(jù)各個(gè)漏洞被利用的概率，對(duì)所述所監(jiān)控網(wǎng)絡(luò)中的漏洞進(jìn)行風(fēng)險(xiǎn)評(píng)估。

根據(jù)本申請(qǐng)的第二方面，提供一種漏洞風(fēng)險(xiǎn)評(píng)估裝置，設(shè)置于網(wǎng)絡(luò)設(shè)備中，所述裝置，包括：

獲取模塊，用于針對(duì)所監(jiān)控網(wǎng)絡(luò)中的每個(gè)資產(chǎn)，獲取該資產(chǎn)的漏洞屬性信息和該資產(chǎn)的網(wǎng)絡(luò)訪問關(guān)系信息；

第一生成模塊，用于根據(jù)每個(gè)資產(chǎn)的漏洞屬性信息和網(wǎng)絡(luò)訪問關(guān)系信息，生成該資產(chǎn)的攻擊圖；

簡化處理模塊，用于對(duì)每個(gè)攻擊圖進(jìn)行簡化處理，得到該攻擊圖對(duì)應(yīng)的網(wǎng)絡(luò)行為依賴圖；

第二生成模塊，用于基于各個(gè)網(wǎng)絡(luò)行為依賴圖，生成網(wǎng)絡(luò)行為關(guān)系圖；

計(jì)算模塊，用于利用預(yù)設(shè)算法計(jì)算所述網(wǎng)絡(luò)行為關(guān)系圖中每個(gè)漏洞被利用的概率；

風(fēng)險(xiǎn)評(píng)估模塊，用于根據(jù)各個(gè)漏洞被利用的概率，對(duì)所述所監(jiān)控網(wǎng)絡(luò)中的漏洞進(jìn)行風(fēng)險(xiǎn)評(píng)估。

根據(jù)本申請(qǐng)的第三方面，提供一種網(wǎng)絡(luò)設(shè)備，包括處理器和機(jī)器可讀存儲(chǔ)介質(zhì)，機(jī)器可讀存儲(chǔ)介質(zhì)存儲(chǔ)有能夠被處理器執(zhí)行的計(jì)算機(jī)程序，處理器被計(jì)算機(jī)程序促使執(zhí)行本申請(qǐng)實(shí)施例第一方面所提供的方法。

根據(jù)本申請(qǐng)的第四方面，提供一種機(jī)器可讀存儲(chǔ)介質(zhì)，機(jī)器可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序，在被處理器調(diào)用和執(zhí)行時(shí)，計(jì)算機(jī)程序促使處理器執(zhí)行本申請(qǐng)實(shí)施例第一方面所提供的方法。