本發(fā)明涉及信息網(wǎng)絡(luò)漏洞整改
技術(shù)領(lǐng)域：
，更具體地說，涉及一種基于攻擊鏈的漏洞整改順序確定方法及系統(tǒng)。
背景技術(shù)：
：目前，傳統(tǒng)的靜態(tài)漏洞評(píng)分體系是孤立的，基于單主機(jī)的，不依賴于網(wǎng)絡(luò)結(jié)構(gòu)、資產(chǎn)價(jià)值等其它信息進(jìn)行評(píng)估。通常只評(píng)價(jià)緊急、高危、中危、低危等級(jí)別，且傳統(tǒng)的靜態(tài)漏洞評(píng)分體系僅局限于對(duì)單一主機(jī)的靜態(tài)評(píng)價(jià)，不能依據(jù)網(wǎng)絡(luò)拓?fù)溆?jì)算漏洞的危害性。然而在組織內(nèi)部信息網(wǎng)絡(luò)中，深層內(nèi)網(wǎng)的數(shù)據(jù)往往價(jià)值較高，一旦泄露損失巨大，另一方面，經(jīng)過多次防火墻過濾后，黑客滲透到內(nèi)網(wǎng)的概率又會(huì)降低，從而降低了損失期望。例如：如果內(nèi)網(wǎng)主機(jī)與互聯(lián)網(wǎng)主機(jī)進(jìn)行了邏輯強(qiáng)隔離，即使內(nèi)網(wǎng)主機(jī)有較多傳統(tǒng)意義上的高危漏洞，也不會(huì)有很大的風(fēng)險(xiǎn)。而在互聯(lián)網(wǎng)上的網(wǎng)關(guān)主機(jī)即使有中危級(jí)別的漏洞，由于網(wǎng)關(guān)一旦被攻破后將使內(nèi)部網(wǎng)絡(luò)大量主機(jī)暴露在網(wǎng)關(guān)跳板下，即使僅僅是傳統(tǒng)意義上的中危漏洞也需要迅速修復(fù)。因此，如何對(duì)漏洞進(jìn)行評(píng)估，確定信息網(wǎng)絡(luò)中最急需解決的漏洞，使運(yùn)維人員優(yōu)先整改能迅速提升網(wǎng)絡(luò)整體安全的漏洞，是本領(lǐng)域技術(shù)人員需要解決的。技術(shù)實(shí)現(xiàn)要素：本發(fā)明的目的在于提供一種基于攻擊鏈的漏洞整改順序確定方法及系統(tǒng)，以實(shí)現(xiàn)對(duì)漏洞進(jìn)行評(píng)估，確定信息網(wǎng)絡(luò)中最急需解決的漏洞，使運(yùn)維人員優(yōu)先整改能迅速提升網(wǎng)絡(luò)整體安全的漏洞。為實(shí)現(xiàn)上述目的，本發(fā)明實(shí)施例提供了如下技術(shù)方案：一種基于攻擊鏈的漏洞整改順序確定方法，包括：獲取信息網(wǎng)絡(luò)的訪問性連通結(jié)構(gòu)，所述訪問性連通結(jié)構(gòu)包括各個(gè)主機(jī)之間訪問順序的攻擊鏈信息；根據(jù)所述攻擊鏈信息，確定與每個(gè)主機(jī)對(duì)應(yīng)的間接損失系數(shù)；利用每個(gè)主機(jī)的間接損失系數(shù)及每個(gè)主機(jī)的直接損失系數(shù)，確定每個(gè)主機(jī)的總損失系數(shù)；根據(jù)每個(gè)漏洞所對(duì)應(yīng)的主機(jī)的總損失系數(shù)及每個(gè)漏洞的權(quán)重系數(shù)，確定每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分，所述最終評(píng)分與漏洞的危害程度成正比；根據(jù)每個(gè)漏洞的最終評(píng)分確定漏洞的整改順序。其中，所述獲取信息網(wǎng)絡(luò)的訪問性連通結(jié)構(gòu)之后，還包括：根據(jù)所述攻擊鏈信息確定每個(gè)主機(jī)的目標(biāo)主機(jī)；利用每個(gè)主機(jī)攻擊至對(duì)應(yīng)目標(biāo)主機(jī)的預(yù)期得手概率確定每個(gè)主機(jī)至對(duì)應(yīng)目標(biāo)主機(jī)的攻擊路徑長(zhǎng)度信息；根據(jù)每個(gè)主機(jī)至對(duì)應(yīng)目標(biāo)主機(jī)的攻擊路徑長(zhǎng)度信息，確定信息網(wǎng)絡(luò)的拓?fù)渑判颍⒏鶕?jù)所述拓?fù)渑判虼_定總損失系數(shù)的確定順序。其中，根據(jù)所述訪問性連通結(jié)構(gòu)攜帶的攻擊鏈信息，確定與每個(gè)主機(jī)對(duì)應(yīng)的間接損失系數(shù)包括：根據(jù)攻擊鏈信息確定每個(gè)主機(jī)的目標(biāo)主機(jī)；利用每個(gè)主機(jī)攻擊至對(duì)應(yīng)目標(biāo)主機(jī)的預(yù)期得手概率，以及每個(gè)主機(jī)對(duì)應(yīng)的目標(biāo)主機(jī)的直接損失系數(shù)，確定每個(gè)主機(jī)的間接損失系數(shù)。其中，所述根據(jù)每個(gè)漏洞所對(duì)應(yīng)的主機(jī)的總損失系數(shù)及每個(gè)漏洞的權(quán)重系數(shù)，確定每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分，包括：將每個(gè)漏洞所對(duì)應(yīng)的主機(jī)的總損失系數(shù)與每個(gè)漏洞的權(quán)重系數(shù)的乘積，作為每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分。其中，根據(jù)每個(gè)漏洞所對(duì)應(yīng)的主機(jī)的總損失系數(shù)及每個(gè)漏洞的權(quán)重系數(shù)，確定每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分之后，還包括：根據(jù)每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分確定每個(gè)漏洞的危險(xiǎn)程度，并根據(jù)每個(gè)漏洞的危險(xiǎn)程度確定漏洞的整改順序。一種基于攻擊鏈的漏洞整改順序確定系統(tǒng)，包括：訪問性連通結(jié)構(gòu)獲取模塊，用于獲取信息網(wǎng)絡(luò)的訪問性連通結(jié)構(gòu)，所述訪問性連通結(jié)構(gòu)包括各個(gè)主機(jī)之間訪問順序的攻擊鏈信息；間接損失系數(shù)確定模塊，用于根據(jù)所述攻擊鏈信息，確定與每個(gè)主機(jī)對(duì)應(yīng)的間接損失系數(shù)；總損失系數(shù)確定模塊，用于利用每個(gè)主機(jī)的間接損失系數(shù)及每個(gè)主機(jī)的直接損失系數(shù)，確定每個(gè)主機(jī)的總損失系數(shù)；漏洞評(píng)分確定模塊，用于根據(jù)每個(gè)漏洞所對(duì)應(yīng)的主機(jī)的總損失系數(shù)及每個(gè)漏洞的權(quán)重系數(shù)，確定每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分，所述最終評(píng)分與漏洞的危害程度成正比；整改順序確定模塊，用于根據(jù)每個(gè)漏洞的最終評(píng)分確定漏洞的整改順序。其中，本方案還包括：目標(biāo)主機(jī)確定模塊，用于在所述獲取信息網(wǎng)絡(luò)的訪問性連通結(jié)構(gòu)之后，根據(jù)所述攻擊鏈信息確定每個(gè)主機(jī)的目標(biāo)主機(jī)；攻擊路徑長(zhǎng)度信息確定模塊，用于利用每個(gè)主機(jī)攻擊至對(duì)應(yīng)目標(biāo)主機(jī)的預(yù)期得手概率確定每個(gè)主機(jī)至對(duì)應(yīng)目標(biāo)主機(jī)的攻擊路徑長(zhǎng)度信息；總損失系數(shù)順序確定模塊，用于根據(jù)每個(gè)主機(jī)至對(duì)應(yīng)目標(biāo)主機(jī)的攻擊路徑長(zhǎng)度信息，確定信息網(wǎng)絡(luò)的拓?fù)渑判?，以使所述總損失系數(shù)確定模塊根據(jù)所述拓?fù)渑判虼_定總損失系數(shù)。其中，所述間接損失系數(shù)確定模塊包括：目標(biāo)主機(jī)確定單元，用于根據(jù)攻擊鏈信息確定每個(gè)主機(jī)的目標(biāo)主機(jī)；間接損失系數(shù)確定單元，用于利用每個(gè)主機(jī)攻擊至對(duì)應(yīng)目標(biāo)主機(jī)的預(yù)期得手概率，以及每個(gè)主機(jī)對(duì)應(yīng)的目標(biāo)主機(jī)的直接損失系數(shù)，確定每個(gè)主機(jī)的間接損失系數(shù)。其中，所述漏洞評(píng)分確定模塊將每個(gè)漏洞所對(duì)應(yīng)的主機(jī)的總損失系數(shù)與每個(gè)漏洞的權(quán)重系數(shù)的乘積，作為每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分。其中，本方案還包括：危險(xiǎn)程度確定模塊，用于在所述漏洞評(píng)分確定模塊根據(jù)每個(gè)漏洞所對(duì)應(yīng)的主機(jī)的總損失系數(shù)及每個(gè)漏洞的權(quán)重系數(shù)，確定每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分之后，根據(jù)每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分確定每個(gè)漏洞的危險(xiǎn)程度；所述整改順序確定模塊根據(jù)每個(gè)漏洞的危險(xiǎn)程度確定漏洞的整改順序。通過以上方案可知，本發(fā)明實(shí)施例提供的一種基于攻擊鏈的漏洞整改順序確定方法及系統(tǒng)，包括：獲取信息網(wǎng)絡(luò)的訪問性連通結(jié)構(gòu)，所述訪問性連通結(jié)構(gòu)包括各個(gè)主機(jī)之間訪問順序的攻擊鏈信息；根據(jù)所述攻擊鏈信息，確定與每個(gè)主機(jī)對(duì)應(yīng)的間接損失系數(shù)；利用每個(gè)主機(jī)的間接損失系數(shù)及每個(gè)主機(jī)的直接損失系數(shù)，確定每個(gè)主機(jī)的總損失系數(shù)；根據(jù)每個(gè)漏洞所對(duì)應(yīng)的主機(jī)的總損失系數(shù)及每個(gè)漏洞的權(quán)重系數(shù)，確定每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分，所述最終評(píng)分與漏洞的危害程度成正比；根據(jù)每個(gè)漏洞的最終評(píng)分確定漏洞的整改順序；可見，在本實(shí)施例中，通過結(jié)合信息網(wǎng)絡(luò)的攻擊鏈信息對(duì)不同的漏洞進(jìn)行評(píng)分，可依據(jù)漏洞本身的危害性與拓?fù)浣Y(jié)構(gòu)推算漏洞和主機(jī)的危害性評(píng)分，從而在人力有限的狀況下區(qū)分出最急需修復(fù)的漏洞與主機(jī)，避免運(yùn)維人員過度關(guān)注幾乎不可能被利用的內(nèi)網(wǎng)高危漏洞，卻忽視了更加危險(xiǎn)的外網(wǎng)高危漏洞。附圖說明為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明實(shí)施例公開的一種基于攻擊鏈的漏洞整改順序確定方法流程示意圖；圖2為本發(fā)明實(shí)施例公開的企業(yè)網(wǎng)路拓?fù)浣Y(jié)構(gòu)示意圖；圖3為本發(fā)明實(shí)施例公開的一種基于攻擊鏈的漏洞整改順序確定系統(tǒng)結(jié)構(gòu)示意圖。具體實(shí)施方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。本發(fā)明實(shí)施例公開了一種基于攻擊鏈的漏洞整改順序確定方法及系統(tǒng)，以實(shí)現(xiàn)對(duì)漏洞進(jìn)行評(píng)估，確定信息網(wǎng)絡(luò)中最急需解決的漏洞，使運(yùn)維人員優(yōu)先整改能迅速提升網(wǎng)絡(luò)整體安全的漏洞。參見圖1，本發(fā)明實(shí)施例提供的一種基于攻擊鏈的漏洞整改順序確定方法，包括：S101、獲取信息網(wǎng)絡(luò)的訪問性連通結(jié)構(gòu)，所述訪問性連通結(jié)構(gòu)包括各個(gè)主機(jī)之間訪問順序的攻擊鏈信息；具體的，參見圖2，在本實(shí)施例中，首先需要定義信息網(wǎng)絡(luò)的訪問性連通結(jié)構(gòu)，這里的訪問性連通結(jié)構(gòu)為包括攻擊鏈信息的有向的拓?fù)鋱D。需要說明的是，黑客能直接訪問的主機(jī)有限，通常是公網(wǎng)服務(wù)器主機(jī)，一般運(yùn)行了HTTP、FTP等服務(wù)。參見圖2，首先將黑客定義為起始點(diǎn)S，依照主機(jī)間的訪問關(guān)系，如果A能主動(dòng)訪問B，則定義有向邊A—>B。網(wǎng)絡(luò)中可能存在若干主機(jī)外加端口防火墻、隔離裝置等組成網(wǎng)絡(luò)，因而最終可以定義出一張如圖2所述的訪問性連通結(jié)構(gòu)圖，在此以圖2為例對(duì)本方案進(jìn)行說明。圖2是典型的企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，邊上的數(shù)字為通過生命周期評(píng)價(jià)法，或者其他評(píng)價(jià)法計(jì)算出的攻擊預(yù)期得手概率，需要說明的是，若黑客從主機(jī)S訪問主機(jī)D的路徑為S—>B—>D，則S—>B—>D這條路徑就是主機(jī)S訪問主機(jī)D的攻擊鏈。其中，所述獲取信息網(wǎng)絡(luò)的訪問性連通結(jié)構(gòu)之后，還包括：根據(jù)所述攻擊鏈信息確定每個(gè)主機(jī)的目標(biāo)主機(jī)；利用每個(gè)主機(jī)攻擊至對(duì)應(yīng)目標(biāo)主機(jī)的預(yù)期得手概率確定每個(gè)主機(jī)至對(duì)應(yīng)目標(biāo)主機(jī)的攻擊路徑長(zhǎng)度信息；根據(jù)每個(gè)主機(jī)至對(duì)應(yīng)目標(biāo)主機(jī)的攻擊路徑長(zhǎng)度信息，確定信息網(wǎng)絡(luò)的拓?fù)渑判?，并根?jù)所述拓?fù)渑判虼_定總損失系數(shù)的確定順序。具體的，由于黑客攻擊一般遵循先易后難得原則，因此在本實(shí)施例中攻擊路徑長(zhǎng)度L＝1-預(yù)期得手概率，需要說明的是，攻擊路徑長(zhǎng)度也可以套用其它公式，只要能根據(jù)攻擊路徑的長(zhǎng)度反應(yīng)出黑客攻擊得手的難易度即可；隨后采用最短路徑算法計(jì)算黑客S到每臺(tái)主機(jī)的攻擊路徑，并獲取拓?fù)渑判颉＠鐓⒁妶D2，各主機(jī)的攻擊鏈與攻擊鏈路徑長(zhǎng)度為：S-A(0.2)S-B(0.3)S-A-C(0.3)S-B-D(0.4)S-A-C-E(0.8)S-A-C-F(1)S-A-C-F-G(1)S-A-C-F-H(1.8)S-A-C-F-H-J(2)拓?fù)渑判蚪Y(jié)果為：JHGFECADBS。需要說明的是，拓?fù)渑判蚪Y(jié)果為依據(jù)上述攻擊鏈反推的拓?fù)渑判颍诒緦?shí)施例中只列舉出其中一種拓?fù)渑判?，但排序結(jié)果不影響后面的流程。S102、根據(jù)所述攻擊鏈信息，確定與每個(gè)主機(jī)對(duì)應(yīng)的間接損失系數(shù)；其中，根據(jù)所述訪問性連通結(jié)構(gòu)攜帶的攻擊鏈信息，確定與每個(gè)主機(jī)對(duì)應(yīng)的間接損失系數(shù)包括：根據(jù)攻擊鏈信息確定每個(gè)主機(jī)的目標(biāo)主機(jī)；利用每個(gè)主機(jī)攻擊至對(duì)應(yīng)目標(biāo)主機(jī)的預(yù)期得手概率，以及每個(gè)主機(jī)對(duì)應(yīng)的目標(biāo)主機(jī)的直接損失系數(shù)，確定每個(gè)主機(jī)的間接損失系數(shù)。具體的，圖2中每個(gè)主機(jī)的直接損失參見表1，在本實(shí)施例中，損失系數(shù)以每個(gè)主機(jī)被攻陷后的損失為依據(jù)，但是在實(shí)際運(yùn)用中，也可以通過其它方法評(píng)估每個(gè)主機(jī)的預(yù)期損失。表1主機(jī)損失(萬元)A100B10C50D50E200F200G1000H0J3000S103、利用每個(gè)主機(jī)的間接損失系數(shù)及每個(gè)主機(jī)的直接損失系數(shù)，確定每個(gè)主機(jī)的總損失系數(shù)；具體的，總損失系數(shù)可以通過制定的規(guī)則求取，在本實(shí)施例中提供的總損失系數(shù)確定規(guī)則為：其中，Vx為該節(jié)點(diǎn)總損失，Dx為該節(jié)點(diǎn)直接損失，為該節(jié)點(diǎn)間接損失，pi為x節(jié)點(diǎn)攻陷i節(jié)點(diǎn)的概率，即x節(jié)點(diǎn)的總損失為該節(jié)點(diǎn)的直接損失加上該節(jié)點(diǎn)所有最短路子節(jié)點(diǎn)的間接損失的和，間接損失為直接損失與攻陷概率的乘積，依照上述確定規(guī)則，及上文確定的拓?fù)渑判?，依次確定每個(gè)主機(jī)的總損失系數(shù)，參見表2：表2主機(jī)直接損失計(jì)算公式總損失(主機(jī)評(píng)分)J30003000H00+0.8*30002400G10001000F200200+0.2H+1G1680E200200+0.2*G400C5050+0.5E+0.3F+0.8D260A100100+0.9C688.6D5050+0.5E+0.1G250B1010+0.9D55S0.8A+0.7B589.38從表2可以看出，最緊急的是保密區(qū)的漏洞；保密區(qū)漏洞評(píng)分高的主要原因是直接損失高，雖然黑客很難通過間接攻擊的方式攻陷保密區(qū)，但依然存在間諜直接滲透到保密區(qū)進(jìn)行攻擊的可能。因而保密主機(jī)J的漏洞最急于修復(fù)。例如：若主機(jī)J上存放的是國(guó)家軍事情報(bào)，那么，即使黑客幾乎不可能滲透到這里，也必須立即修復(fù)。并且通過表2也可以看出，主機(jī)E的直接損失大于主機(jī)A，但A主機(jī)修復(fù)的優(yōu)先級(jí)要大于E，這是因?yàn)楫?dāng)主機(jī)A成為跳板時(shí)，可以滲透到許多其它主機(jī)，從而形成較高的間接損失，及時(shí)修復(fù)主機(jī)A的漏洞可以迅速的將潛在損失降低；其中，跳板為黑客已經(jīng)攻陷的主機(jī)；盡管信息網(wǎng)絡(luò)中的防火墻會(huì)阻擋未被授權(quán)外部的訪問；但為了業(yè)務(wù)系統(tǒng)正常運(yùn)行，防火墻通常會(huì)放行網(wǎng)絡(luò)中特定主機(jī)的訪問；不妨設(shè)防火墻會(huì)放行特定主機(jī)A到內(nèi)網(wǎng)主機(jī)B的訪問，并攔截黑客S到內(nèi)網(wǎng)主機(jī)B的訪問。此時(shí)，黑客可以先利用漏洞攻破主機(jī)A，然后從A上發(fā)動(dòng)向深層內(nèi)網(wǎng)主機(jī)B的滲透，由于防火墻不會(huì)攔截A到B的滲透，因而黑客可以從S利用主機(jī)A間接訪問B，從而形成攻擊鏈S-A-B。此時(shí)A的作用就是跳板。S104、根據(jù)每個(gè)漏洞所對(duì)應(yīng)的主機(jī)的總損失系數(shù)及每個(gè)漏洞的權(quán)重系數(shù)，確定每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分，所述最終評(píng)分與漏洞的危害程度成正比；其中，所述根據(jù)每個(gè)漏洞所對(duì)應(yīng)的主機(jī)的總損失系數(shù)及每個(gè)漏洞的權(quán)重系數(shù)，確定每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分，包括：將每個(gè)漏洞所對(duì)應(yīng)的主機(jī)的總損失系數(shù)與每個(gè)漏洞的權(quán)重系數(shù)的乘積，作為每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分。需要說明的是，若主機(jī)存在多個(gè)漏洞時(shí)，可以根據(jù)每個(gè)漏洞的權(quán)重系數(shù)確定每個(gè)漏洞的最終評(píng)分，并在，在本方案中通過總損失系數(shù)與權(quán)重系數(shù)乘積的形式反映漏洞的最終評(píng)分，但是也可以構(gòu)造其它公式區(qū)分漏洞的優(yōu)先級(jí)。例如：主機(jī)A存在兩個(gè)高危漏洞。漏洞M為2004年發(fā)現(xiàn)的，漏洞N為剛剛發(fā)現(xiàn)1個(gè)月，則通過評(píng)價(jià)技術(shù)可以得出漏洞M比漏洞N危害性更大的結(jié)論，因?yàn)榘l(fā)現(xiàn)的久遠(yuǎn)意味著被更多的人知道、工具更全面。因此設(shè)漏洞M評(píng)分為10，漏洞N評(píng)分為0.5，在這里也可以說漏洞M的權(quán)重系數(shù)10，漏洞N的權(quán)重系數(shù)為0.5。那么漏洞M的最終評(píng)分為10*688.6＝6886，漏洞N最終評(píng)分為0.5*688.6＝344.3；假設(shè)主機(jī)J的漏洞P為剛剛發(fā)現(xiàn)的高危漏洞，生命周期評(píng)分為0.2，則漏洞P的最終評(píng)分為0.2*3000＝600；這里的評(píng)價(jià)技術(shù)可以為生命周期技術(shù)。S105、根據(jù)每個(gè)漏洞的最終評(píng)分確定漏洞的整改順序。可以理解的是，在本方案中的最終評(píng)分是根據(jù)漏洞所在的主機(jī)的損失計(jì)算的，因此，最終評(píng)分越高則代表漏洞造成的影響越大，越需要首先更改；例如上文中的：M的最終評(píng)分為6886，漏洞N最終評(píng)分為344.3，漏洞P的最終評(píng)分為600，那么由于最終評(píng)分：M>P>N，所以整改順序應(yīng)當(dāng)是A主機(jī)的漏洞M、J主機(jī)的漏洞P、A主機(jī)的漏洞N?；谏鲜黾夹g(shù)方案，根據(jù)每個(gè)漏洞所對(duì)應(yīng)的主機(jī)的總損失系數(shù)及每個(gè)漏洞的權(quán)重系數(shù)，確定每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分之后，還包括：根據(jù)每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分確定每個(gè)漏洞的危險(xiǎn)程度，并根據(jù)每個(gè)漏洞的危險(xiǎn)程度確定漏洞的整改順序。需要說明的是，在本方案中求出每個(gè)漏洞的最終評(píng)分后，可以根據(jù)評(píng)分確定漏洞對(duì)應(yīng)的危險(xiǎn)程度，根據(jù)不同漏洞的危險(xiǎn)程度確定最終的整改順序。下面對(duì)本發(fā)明實(shí)施例提供的漏洞整改順序確定系統(tǒng)進(jìn)行介紹，下文描述的漏洞整改順序確定系統(tǒng)與上文描述的漏洞整改順序確定方法可以相互參照。參見圖3，本發(fā)明實(shí)施例提供的一種基于攻擊鏈的漏洞整改順序確定系統(tǒng)，包括：訪問性連通結(jié)構(gòu)獲取模塊100，用于獲取信息網(wǎng)絡(luò)的訪問性連通結(jié)構(gòu)，所述訪問性連通結(jié)構(gòu)包括各個(gè)主機(jī)之間訪問順序的攻擊鏈信息；間接損失系數(shù)確定模塊200，用于根據(jù)所述攻擊鏈信息，確定與每個(gè)主機(jī)對(duì)應(yīng)的間接損失系數(shù)；總損失系數(shù)確定模塊300，用于利用每個(gè)主機(jī)的間接損失系數(shù)及每個(gè)主機(jī)的直接損失系數(shù)，確定每個(gè)主機(jī)的總損失系數(shù)；漏洞評(píng)分確定模塊400，用于根據(jù)每個(gè)漏洞所對(duì)應(yīng)的主機(jī)的總損失系數(shù)及每個(gè)漏洞的權(quán)重系數(shù)，確定每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分，所述最終評(píng)分與漏洞的危害程度成正比；整改順序確定模塊500，用于根據(jù)每個(gè)漏洞的最終評(píng)分確定漏洞的整改順序?；谏鲜黾夹g(shù)方案，本方案還包括：目標(biāo)主機(jī)確定模塊，用于在所述獲取信息網(wǎng)絡(luò)的訪問性連通結(jié)構(gòu)之后，根據(jù)所述攻擊鏈信息確定每個(gè)主機(jī)的目標(biāo)主機(jī)；攻擊路徑長(zhǎng)度信息確定模塊，用于利用每個(gè)主機(jī)攻擊至對(duì)應(yīng)目標(biāo)主機(jī)的預(yù)期得手概率確定每個(gè)主機(jī)至對(duì)應(yīng)目標(biāo)主機(jī)的攻擊路徑長(zhǎng)度信息；總損失系數(shù)順序確定模塊，用于根據(jù)每個(gè)主機(jī)至對(duì)應(yīng)目標(biāo)主機(jī)的攻擊路徑長(zhǎng)度信息，確定信息網(wǎng)絡(luò)的拓?fù)渑判颍允顾隹倱p失系數(shù)確定模塊根據(jù)所述拓?fù)渑判虼_定總損失系數(shù)。基于上述技術(shù)方案，所述間接損失系數(shù)確定模塊包括：目標(biāo)主機(jī)確定單元，用于根據(jù)攻擊鏈信息確定每個(gè)主機(jī)的目標(biāo)主機(jī)；間接損失系數(shù)確定單元，用于利用每個(gè)主機(jī)攻擊至對(duì)應(yīng)目標(biāo)主機(jī)的預(yù)期得手概率，以及每個(gè)主機(jī)對(duì)應(yīng)的目標(biāo)主機(jī)的直接損失系數(shù)，確定每個(gè)主機(jī)的間接損失系數(shù)?；谏鲜黾夹g(shù)方案，所述漏洞評(píng)分確定模塊將每個(gè)漏洞所對(duì)應(yīng)的主機(jī)的總損失系數(shù)與每個(gè)漏洞的權(quán)重系數(shù)的乘積，作為每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分?；谏鲜黾夹g(shù)方案，本方案還包括：危險(xiǎn)程度確定模塊，用于在所述漏洞評(píng)分確定模塊根據(jù)每個(gè)漏洞所對(duì)應(yīng)的主機(jī)的總損失系數(shù)及每個(gè)漏洞的權(quán)重系數(shù)，確定每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分之后，根據(jù)每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分確定每個(gè)漏洞的危險(xiǎn)程度；所述整改順序確定模塊根據(jù)每個(gè)漏洞的危險(xiǎn)程度確定漏洞的整改順序。本發(fā)明實(shí)施例提供的一種基于攻擊鏈的漏洞整改順序確定方法及系統(tǒng)，包括：獲取信息網(wǎng)絡(luò)的訪問性連通結(jié)構(gòu)，所述訪問性連通結(jié)構(gòu)包括各個(gè)主機(jī)之間訪問順序的攻擊鏈信息；根據(jù)所述攻擊鏈信息，確定與每個(gè)主機(jī)對(duì)應(yīng)的間接損失系數(shù)；利用每個(gè)主機(jī)的間接損失系數(shù)及每個(gè)主機(jī)的直接損失系數(shù)，確定每個(gè)主機(jī)的總損失系數(shù)；根據(jù)每個(gè)漏洞所對(duì)應(yīng)的主機(jī)的總損失系數(shù)及每個(gè)漏洞的權(quán)重系數(shù)，確定每個(gè)漏洞對(duì)應(yīng)的最終評(píng)分，所述最終評(píng)分與漏洞的危害程度成正比；根據(jù)每個(gè)漏洞的最終評(píng)分確定漏洞的整改順序；可見，在本實(shí)施例中，通過結(jié)合信息網(wǎng)絡(luò)的攻擊鏈信息對(duì)不同的漏洞進(jìn)行評(píng)分，可依據(jù)漏洞本身的危害性與拓?fù)浣Y(jié)構(gòu)推算漏洞和主機(jī)的危害性評(píng)分，從而在人力有限的狀況下區(qū)分出最急需修復(fù)的漏洞與主機(jī)，避免運(yùn)維人員過度關(guān)注幾乎不可能被利用的內(nèi)網(wǎng)高危漏洞，卻忽視了更加危險(xiǎn)的外網(wǎng)高危漏洞。本說明書中各個(gè)實(shí)施例采用遞進(jìn)的方式描述，每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處，各個(gè)實(shí)施例之間相同相似部分互相參見即可。對(duì)所公開的實(shí)施例的上述說明，使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對(duì)這些實(shí)施例的多種修改對(duì)本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實(shí)施例中實(shí)現(xiàn)。因此，本發(fā)明將不會(huì)被限制于本文所示的這些實(shí)施例，而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最寬的范圍。當(dāng)前第1頁(yè)1 2 3