本發明實施例涉及一種異常節點發現方法及裝置，包括：將當前網絡劃分為多個子網絡社區；獲取每個子網絡社區的內部信息，確定每個子網絡社區的節點與其對應的鄰居節點的攻擊關系；基于攻擊關系構建貝葉斯子攻擊圖；搜索貝葉斯子攻擊圖中的內部攻擊路徑，并基于內部攻擊路徑計算每個出完整的攻擊路徑的攻擊概率；基于攻擊概率確定攻擊概率閾值，并基于每個攻擊路徑中節點出現的次數確定節點出現頻次閾值；基于攻擊概率閾值和節點出現頻次閾值確定異常節點。由此，采用基于子攻擊圖的反向攻擊路徑搜索，優化了搜索效率，分別通過攻擊路徑攻擊概率與節點的出現頻次的數學期望來查找大規模變電站現場網絡中的異常節點，提高了查詢結果的全面性。

技術領域

本發明實施例涉及網絡安全技術領域，尤其涉及一種異常節點發現方法及裝置。

背景技術

隨著網絡技術的迅速發展和廣泛應用，網絡攻擊的發生頻率越來越高，攻擊的手段日趨復雜。在變電站現場，通過網絡中脆弱性之間的關聯關系進行網絡攻擊是常見的手段之一，為了有效防范攻擊者的攻擊行為，維護變電站現場的網絡安全，需要從整體上對網絡進行把控，找到網絡中的關鍵異常節點并采取防御措施。同時，變電站現場的網絡規模也日益擴大，在對大規模變電站網絡進行分析時，提高分析的效率也是必須考慮的問題。

現有的一種基于層次攻擊圖的攻擊路徑分析方法，首先通過社區劃分算法將網絡劃分為多個子網絡，然后從頂層的邏輯網絡和底層的物理節點兩個方面構建層次攻擊圖，通過層次攻擊圖進行攻擊路徑的搜索，選取攻擊概率最高的10條攻擊路徑，結合節點安全態勢公式分析出網絡中易受攻擊的節點。該方法采用層次化攻擊圖生成攻擊路徑集的時空效率優于搜索網絡全局攻擊圖，但是最后生成的攻擊路徑并不完全，同全局攻擊圖比起來還有一定的差距，因此該方法找到的易受攻擊節點不夠全面。

發明內容

鑒于此，為解決上述技術問題或部分技術問題，本發明實施例提供一種異常節點發現方法及裝置。

第一方面，本發明實施例提供一種異常節點發現方法，包括：

將當前網絡劃分為多個子網絡社區；

獲取每個子網絡社區的內部信息，確定每個子網絡社區的節點與其對應的鄰居節點的攻擊關系，其中，所述內部信息至少包括主機漏洞信息、主機間的網絡連接關系和主機運行服務信息；

基于所述攻擊關系構建貝葉斯子攻擊圖；

搜索所述貝葉斯子攻擊圖中的內部攻擊路徑，并基于內部攻擊路徑計算每個出完整的攻擊路徑的攻擊概率；

基于所述攻擊概率確定攻擊概率閾值，并基于攻擊路徑中節點出現的次數確定節點出現頻次閾值；

基于所述攻擊概率閾值和節點出現頻次閾值確定異常節點。

在一個可能的實施方式中，所述方法還包括：

基于漏洞評分系統量化節點的漏洞利用成功率以及父節點被攻擊后節點被攻擊的條件概率；

基于所述漏洞利用成功率和條件概率確定節點的無條件概率，構建貝葉斯子攻擊圖。

在一個可能的實施方式中，所述方法還包括：

使用in數組和out數組分別記錄每個貝葉斯子攻擊圖中節點的內部入度和內部出度；

其中，節點的內部入度為貝葉斯子攻擊圖中以該節點作為終點的有向邊的條數，內部出度為貝葉斯子攻擊圖中以該節點作為起點的有向邊的條數，有向邊僅包括貝葉斯子攻擊圖內部的有向邊，不包括貝葉斯子攻擊圖間的有向邊。

在一個可能的實施方式中，所述方法還包括：

針對每個貝葉斯子攻擊圖i，使用BFS算法搜尋其內部攻擊路徑并存入SubPath數組，以及使用數組Belong記錄起始節點所屬內部攻擊路徑；