本申請提供一種滲透路徑規劃方法、裝置、計算機和存儲介質，該方法中，通過獲取多個節點的標識以及多個節點對應的多個漏洞信息，并根據多個節點的標識以及多個節點對應的多個漏洞信息，確定至少一個攻擊路徑、至少一個攻擊路徑的相關分數、以及至少一個攻擊路徑的危險系數，之后根據至少一個攻擊路徑的危險系數和至少一個攻擊路徑的相關分數，確定至少一個攻擊路徑的路徑威脅度，最后根據至少一個攻擊路徑的路徑威脅度，確定出目標攻擊路徑，目標攻擊路徑為至少一個攻擊路徑中路徑威脅度最大的攻擊路徑。該方法從攻擊路徑的路徑威脅度出發，確定出了最優攻擊路徑，從而從全局的角度評估出了目標網絡的安全狀況。

技術領域

本申請涉及計算機技術領域，尤其涉及一種滲透路徑規劃方法、裝置、計算機和存儲介質。

背景技術

隨著網絡技術的不斷發展，網絡中的安全隱患越來越多，而消除計算機網絡的脆弱性和薄弱性等安全隱患成為了亟待解決的技術問題，由于受到了軟硬件環境、時間和經濟開銷等因素的影響，修復網絡中所有已知脆弱性和薄弱性幾乎是無法實現的。要消除這些威脅計算機網絡的安全隱患，首先需要發現威脅源，而發現威脅源常用的方法就是滲透測試。

在現有技術中，基于滲透測試的評估方法，大多都是測試人員對單個漏洞進行的風險進行評估，以確定出單個漏洞可能的滲透路徑。

然而，傳統的滲透測試方法只能對孤立的漏洞進行評估，并且受滲透測試人員的專業技術水平高低的影響，無法從全局評估目標網絡的安全狀況等問題。

發明內容

本申請實施例提供一種滲透路徑規劃方法、裝置、計算機和存儲介質，用以解決現有技術無法從全局評估目標網絡的安全狀況的問題。

第一方面，本申請提供一種滲透路徑規劃方法，包括：

獲取多個節點的標識以及所述多個節點對應的多個漏洞信息，所述多個節點包括相互通信的源節點、至少一個中間節點以及目標節點，所述多個漏洞信息包括多個漏洞以及所述多個漏洞分別對應的屬性數據，所述屬性數據標示漏洞對節點的風險影響，所述多個節點為設備或軟件；

根據所述多個節點的標識以及所述多個節點對應的多個漏洞信息，確定至少一個攻擊路徑、所述至少一個攻擊路徑的相關分數、以及所述至少一個攻擊路徑的危險系數，所述相關分數為所述至少一個攻擊路徑上的源節點對應的漏洞與所述至少一個攻擊路徑上的中間節點、所述目標節點對應的漏洞之間攻擊意圖的關系的重要程度；

根據所述至少一個攻擊路徑的危險系數和所述至少一個攻擊路徑的相關分數，確定所述至少一個攻擊路徑的路徑威脅度；

根據所述至少一個攻擊路徑的路徑威脅度，確定出目標攻擊路徑，所述目標攻擊路徑為所述至少一個攻擊路徑中路徑威脅度最大的攻擊路徑。

在第一方面一種可能的設計中，所述屬性數據包括：所述漏洞的預定義的漏洞評分系統分數；

相應的，所述根據所述多個節點的標識以及所述多個節點對應的多個漏洞信息，確定至少一個攻擊路徑、所述至少一個攻擊路徑的危險系數，包括：

根據所述源節點、所述至少一個中間節點、以及所述目標節點，確定所述至少一個攻擊路徑；

針對每個攻擊路徑，在所述源節點、在所述攻擊路徑上的中間節點、以及目標節點對應的多個屬性數據中，獲取至少一個與所述源節點相關聯的漏洞的漏洞評分系統分數；

根據所述至少一個漏洞評分系統分數，確定攻擊路徑的危險系數。

在第一方面另一種可能的設計中，所述屬性數據包括所述漏洞的攻擊意圖；

相應的，所述根據所述多個節點的標識以及所述多個節點對應的多個漏洞信息，確定所述至少一個攻擊路徑的相關分數，包括：