(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210068422.7 (22)申请日 2022.01.20 (71)申请人 中国联合网络通信集团有限公司 地址 100033 北京市西城区金融大街21号 (72)发明人 周婧莹　曾楚轩　黎宇　薛松荃　 林兵　张晓东　杨世标　苏轶　 张志安　黄仪松　肖嘉晔　 (74)专利代理 机构 北京同立钧成知识产权代理 有限公司 1 1205 代理人 车晓军　黄健 (51)Int.Cl. G06F 21/57(2013.01) G06F 16/36(2019.01) G06F 21/56(2013.01) (54)发明名称 渗透路径规划方法、 装置、 计算机和存储介 质 (57)摘要 本申请提供一种渗透路径规划方法、 装置、 计算机和存储介质， 该方法中， 通过获取多个节 点的标识以及多个节点对应的多个漏洞信息， 并 根据多个节点的标识以及多个节点对应的多个 漏洞信息， 确定至少一个攻击路径、 至少一个攻 击路径的相关分数、 以及至少一个攻击路径的危 险系数， 之后根据至少一个攻击路径的危险系数 和至少一个攻击路径的相关分数， 确定至少一个 攻击路径的路径威胁度， 最后根据至少一个攻击 路径的路径威胁度， 确定出目标攻击路径， 目标 攻击路径为至少一个攻击路径中路径威胁度最 大的攻击路径。 该方法从攻击 路径的路径威胁度 出发， 确定出了最优攻击路径， 从而从全局的角 度评估出了目标网络的安全状况。 权利要求书2页 说明书10页 附图2页 CN 114398643 A 2022.04.26 CN 114398643 A 1.一种渗透路径规划方法， 其特 征在于， 包括： 获取多个节点的标识以及所述多个节点对应的多个漏洞信 息， 所述多个节点包括相互 通信的源节点、 至少一个中间节点以及目标节点， 所述多个漏洞信息包括多个漏洞以及所 述多个漏洞分别对应的属 性数据， 所述属 性数据标示漏洞对节点的风险影响， 所述多个节 点为设备或软件； 根据所述多个节点的标识以及所述多个节点对应的多个漏洞信 息， 确定至少一个攻击 路径、 所述至少一个攻击 路径的相关分数、 以及所述至少一个攻击 路径的危险系数， 所述相 关分数为所述至少一个攻击路径上的源节点对应的漏洞与所述至少一个攻击路径上的中 间节点、 所述目标节点对应的漏洞之间攻击意图的关系的重要程度； 根据所述至少一个攻击路径的危险系数和所述至少一个攻击路径的相关分数， 确定所 述至少一个攻击路径的路径威胁度； 根据所述至少一个攻击路径的路径威胁度， 确定出目标攻击路径， 所述目标攻击路径 为所述至少一个攻击路径中路径威胁度最大的攻击路径。 2.根据权利要求1所述的方法， 其特征在于， 所述属性数据包括： 所述漏洞的预定义的 漏洞评分系统分数； 相应的， 所述根据所述多个节点的标识以及所述多个节点对应的多个漏洞信息， 确定 至少一个攻击路径、 所述至少一个攻击路径的危险系数， 包括： 根据所述源节点、 所述至少一个 中间节点、 以及所述目标节点， 确定所述至少一个攻击 路径； 针对每个攻击路径， 在所述源节点、 在所述攻击路径上的中间节点、 以及目标节点对应 的多个属性数据中， 获取至少一个与所述源节点相关联的漏洞的漏洞评分系统分数； 根据所述至少一个漏洞评分系统分数， 确定攻击路径的危险系数。 3.根据权利要求2所述的方法， 其特 征在于， 所述属性数据包括所述漏洞的攻击意图； 相应的， 所述根据所述多个节点的标识以及所述多个节点对应的多个漏洞信息， 确定 所述至少一个攻击路径的相关 分数， 包括： 针对每个攻击路径， 获取所述源节点对应的漏洞的攻击意图与 所述攻击路径上的中间 节点、 所述目标节点对应的漏洞的攻击意图； 根据所述源节点对应的漏洞的攻击意图与 所述至少一个中间节点、 所述目标节点对应 的漏洞的攻击意图， 确定所述源节点对应的漏洞与所述至少一个中间节点、 所述 目标节点 对应的漏洞的共有攻击意图的数量以及所述源节点对应的漏洞的攻击意图的总数； 根据所述共有攻击意图的数量以及所述 攻击意图的总数， 确定所述相关 分数。 4.根据权利要求1或2所述的方法， 其特征在于， 所述根据所述至少一个攻击路径的危 险系数和所述至少一个攻击路径的相关分数， 确定所述至少一个攻击路径的路径威胁度， 包括： 针对每个攻击路径， 将所述攻击路径的危险系数和所述攻击路径的相关分数相乘， 得 到所述攻击路径的路径威胁度。 5.根据权利要求1或2所述的方法， 其特征在于， 所述获取多个节点的标识以及所述多 个节点对应的多个漏洞 信息， 包括： 从不同类型的数据源中抽取所述多个节点的标识以及所述多个节点对应的多个漏洞权　利　要　求　书 1/2 页 2 CN 114398643 A 2信息。 6.根据权利要求3所述的方法， 其特征在于， 所述攻击意图包括如下至少一项： 身份验 证、 可注入参数的标识、 联合查询、 绕过身份验证、 数据提取、 捎带查询、 数据提取、 数据修 改、 拒绝服务、 远程命令 。 7.一种渗透路径规划装置， 其特 征在于， 包括： 获取模块， 用于获取多个节点的标识以及所述多个节点对应的多个漏洞信息， 所述多 个节点包括相互通信的源节点、 至少一个中间节点以及目标节点， 所述多个漏洞信息包括 多个漏洞以及所述多个漏洞分别对应的属性数据， 所述属性数据标示漏洞对节点的风险影 响， 所述多个节点 为设备或软件； 确定模块， 用于根据所述多个节点的标识以及所述多个节点对应的多个漏洞信息， 确 定至少一个攻击路径、 所述至少一个攻击路径的相关分数、 以及所述至少一个攻击路径的 危险系数， 所述相关分数为所述至少一个攻击路径上的源节点对应的漏洞与所述至少一个 攻击路径上的中间节点、 所述目标节点对应的漏洞之间攻击意图的关系的重要程度； 处理模块， 用于根据 所述至少一个攻击路径的危险系数和所述至少一个攻击路径的相 关分数， 确定所述至少一个攻击路径的路径威胁度， 并根据所述至少一个攻击路径的路径 威胁度， 确定出目标攻击路径， 所述 目标攻击路径为所述至少一个攻击路径中路径威胁度 最大的攻击路径。 8.一种计算机， 包括： 处理器、 存储器及存储在所述存储器上并可在处理器上运行的计 算机程序指令， 其特征在于， 所述处理器执行所述计算机程序指令时实现如上述权利要求 1 至6任一项所述的渗透路径规划方法。 9.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质中存储有计算机 执行指令， 所述计算机执行指令被处理器执行时用于实现如上述权利要求 1至6任一项所述 的渗透路径规划方法。 10.一种计算机程序产品， 包括计算机程序， 其特征在于， 所述计算机程序被处理器执 行时用于实现如上述权利要求1至 6任一项所述的渗透路径规划方法。权　利　要　求　书 2/2 页 3 CN 114398643 A 3