[发明专利]网络攻击预测的方法、装置及存储介质

权利要求书

1.一种网络攻击预测的方法，应用于包含多个网络设备的网络中，其特征在于，包括：

根据所述网络中存在攻击行为的第一网络设备与相邻的各个网络设备的相似度，确定所述第一网络设备的风险传播值；

将所述风险传播值累加到每个所述网络设备的风险值中；

根据当前各个网络设备的风险值，构建以所述第一网络设备为起点的攻击链路，将所述攻击链路作为所述网络中存在网络攻击的预测结果；

其中，根据所述网络中存在攻击行为的第一网络设备与相邻的各个网络设备的相似度，确定所述第一网络设备的风险传播值，包括；

根据各个所述网络设备对应的安全告警，确定存在所述攻击行为的网络设备，并将之作为所述第一网络设备；

计算所述第一网络设备与相邻的各个网络设备的相似度，并从计算出的所有相似度中确定出最大相似度；

对所述第一网络设备的风险值，与所述第一网络设备相邻的网络设备的总数量及所述最大相似度三者进行积运算，获得所述第一网络设备的风险传播值；

根据各个所述网络设备对应的安全告警，确定存在所述攻击行为的网络设备，包括：

获取当前所述网络中所有的安全告警；

将各个所述网络设备的指纹信息与每个安全告警对应的漏洞信息进行比对，获得每个所述网络设备对应的安全告警；其中，所述指纹信息包括所述网络设备当前提供的服务、所述服务的端口、漏洞列表；

根据每个所述网络设备对应的安全告警对应的相关信息，确定对应网络设备中存在与对应安全告警相对的攻击行为的置信度；

若所述置信度大于置信度阈值，则确定对应的网络设备中存在所述攻击行为，并将存在所述攻击行为的网络设备的风险值更新为设定值。

2.如权利要求1所述的方法，其特征在于，获取当前所述网络中所有的安全告警之前，还包括：

获取所述网络的网络拓扑图；其中，所述网络拓扑图中一个节点对应所述网络设备中的一个所述网络设备；

确定所述网络拓扑图中每个节点对应网络设备初始的风险值。

3.如权利要求2所述的方法，其特征在于，获取所述网络的网络拓扑图，包括：

根据所述网络中各个所述网络设备的属性，构建对应的节点；

根据不同所述网络设备间的通信关系，构建不同节点间的连线，获得所述网络拓扑图。

4.如权利要求3所述的方法，其特征在于，确定所述网络拓扑图中每个节点对应网络设备初始的风险值，包括：

根据每个网络设备包含的漏洞等级，及各个漏洞等级对应的漏洞数量及漏洞的风险值，确定对应网络设备的脆弱性值；

根据每个网络设备包含的安全告警的置信度、威胁等级及安全告警的总数量，确定对应的威胁风险值；

将每个所述网络设备对应的所述脆弱性值和所述威胁风险值的和值确定为对应网络设备初始的风险值。

5.如权利要求1所述的方法，其特征在于，当所述第一网络设备有多个时，将所述风险传播值累加到每个所述网络设备的风险值中，包括：

将每个所述第一网络设备的风险传播值都累加到每个所述网络设备的风险值中。

6.如权利要求1-5任一项所述的方法，其特征在于，根据当前各个网络设备的风险值，构建以所述第一网络设备为起点的攻击链路，包括：

从所述第一网络设备开始，将所述第一网络设备作为所述攻击链路中的当前节点，选取与所述当前节点相邻的各网络设备中当前最大的风险值大于风险阈值的网络设备作为所述当前节点的下一个节点，直至所述当前节点的相邻的网络设备中最大的风险值小于所述风险阈值，获得攻击链路。

7.一种网络攻击预测的装置，其特征在于，包括：

至少一个处理器，以及

与所述至少一个处理器连接的存储器；

其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令，执行如权利要求1-6任一项所述的方法。

8.一种可读存储介质，其特征在于，包括存储器，

所述存储器用于存储指令，当所述指令被处理器执行时，使得包括所述可读存储介质的装置完成如权利要求1～6中任一项所述的方法。