本申請?zhí)峁┮环N網絡攻擊關系圖的生成方法及裝置，其中方法包括：接收生成請求，該生成請求用于請求生成企業(yè)內網中的目標主機的網絡攻擊關系圖；根據(jù)攻擊鏈中間數(shù)據(jù)表和攻擊關系數(shù)據(jù)表，確定與所述目標主機相關的一條或多條攻擊鏈，所述攻擊鏈中包括所述目標主機的一個或多個外部攻擊者、所述外部攻擊者在所述企業(yè)內網中的一個或多個直接攻擊對象、所述目標主機以及所述目標主機的一個或多個直接攻擊對象；根據(jù)所述一條或多條攻擊鏈，生成所述目標主機的網絡攻擊關系圖并展示。該方法無需進行復雜的遞歸運算，效率較高，而且容易發(fā)現(xiàn)外部威脅以及外部威脅在企業(yè)內網中的攻擊滲透路徑，從而有效提升企業(yè)內網的安全分析能力。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種網絡攻擊關系圖的生成方法及裝置。

背景技術

現(xiàn)有技術中的攻擊關系圖生成技術通常是對保存的攻擊關系數(shù)據(jù)進行實時迭代查找。此種算法的主要的弊端是，當攻擊關系復雜時，查詢速度極慢，很消耗系統(tǒng)整體的中央處理器(central?processing?unit，CPU)和輸入輸出(input/output，IO)資源，并且往往找不出最外層的威脅，也看不出外部威脅在內網中整體的攻擊滲透路徑。此外，一般都是通過限制層數(shù)的方式對攻擊關系圖進行限制，這會導致界面上看到的攻擊關系圖往往是片面的不全的，有用的信息無法全部顯示出來。

發(fā)明內容

本申請實施例提供一種網絡攻擊關系圖的生成方法及裝置，用以簡單高效找出企業(yè)內網中風險主機的外部威脅，以及外部威脅在企業(yè)內網中的攻擊滲透路徑，從而保障企業(yè)內網的網絡安全。

第一方面，本申請實施例提供一種網絡攻擊關系圖的生成方法，該方法可由一種網絡攻擊關系圖的生成裝置來執(zhí)行，例如，該裝置可以是計算設備或計算設備中配置的芯片或電路。

該方法包括：接收生成請求，該生成請求用于請求生成企業(yè)內網中的目標主機的網絡攻擊關系圖；根據(jù)攻擊鏈中間數(shù)據(jù)表和攻擊關系數(shù)據(jù)表，確定與所述目標主機相關的一條或多條攻擊鏈，所述攻擊鏈中包括所述目標主機的一個或多個外部攻擊者、所述外部攻擊者在所述企業(yè)內網中的一個或多個直接攻擊對象、所述目標主機以及所述目標主機的一個或多個直接攻擊對象；根據(jù)所述一條或多條攻擊鏈，生成所述目標主機的網絡攻擊關系圖并展示。

上述技術方案，當接收到為企業(yè)內網中的目標主機生成網絡攻擊關系圖的請求時，可根據(jù)攻擊鏈中間數(shù)據(jù)表和攻擊關系數(shù)據(jù)表，得到與目標主機相關的一條或多條攻擊鏈，進而將該一條或多條攻擊鏈通過網絡攻擊關系圖展示出來。該方法可以預先對提取到的攻擊關系進行處理得到攻擊鏈中間數(shù)據(jù)表和攻擊關系數(shù)據(jù)表，以便當需要生成網絡攻擊關系圖時供查詢，因此避免了實時遍歷海量的攻擊關系數(shù)據(jù)引入的復雜的遞歸運算，因此效率較高，而且容易發(fā)現(xiàn)外部威脅以及外部威脅在企業(yè)內網中的攻擊滲透路徑，從而有效提升企業(yè)內網的安全分析能力。

在一種可能的設計中，所述攻擊鏈中間數(shù)據(jù)表中記錄有所述企業(yè)內網中受到過攻擊的各個主機的信息和每個主機對應的內部攻擊者列表，一個主機對應的內部攻擊者列表中包括所述主機的一個或多個內部攻擊者的信息，所述內部攻擊者為所述企業(yè)內網中攻擊過所述主機的其他主機；所述攻擊關系數(shù)據(jù)表中記錄有所述企業(yè)內網中發(fā)生的安全事件涉及的攻擊關系，該攻擊關系包括攻擊者的信息、被攻擊者的信息和關聯(lián)的安全事件的相關信息。

在一種可能的設計中，所述根據(jù)攻擊鏈中間數(shù)據(jù)表和攻擊關系數(shù)據(jù)表，確定與所述目標主機相關的一條或多條攻擊鏈，包括：根據(jù)所述目標主機的信息，查詢所述攻擊鏈中間數(shù)據(jù)表，確定所述目標主機對應的內部攻擊者列表；針對所述目標主機的每個內部攻擊者，根據(jù)所述內部攻擊者的信息，查詢所述攻擊關系數(shù)據(jù)表，確定當所述內部攻擊者作為被攻擊者時，攻擊所述內部攻擊者的一個或多個外部攻擊者；將攻擊所述目標主機的內部攻擊者的一個或多個外部攻擊者，確定為所述目標主機的外部攻擊者。