基于知识图谱的网络资产攻击面管理方法、系统、装置及存储介质

技术领域

本发明涉及网络技术领域，尤其涉及一种基于知识图谱的网络资产攻击面管理方法、系统、装置及存储介质。

背景技术

伴随数字化转型的深入持续推进，企业业务应用的云化、移动化、社交化是已是企业必经之路。然而其所依赖的信息技术的高速发展在通过网络信息系统等为企业带来高效与便利的同时，也使得网络资产爆炸式增长、网络边界逐渐模糊，数量巨大的资产攻击面暴露在网络当中，时刻遭受着高阶威胁，被动的网络防御逐渐沦为一种失效的安全策略，使企业网络空间安全面临全新而巨大的挑战。

企业网络资产规模整体呈快速增长态势，资产数量巨大、种类繁多。而目前针对各类型网络资产及其弱点呈碎片化管理仍是多数企业的常态，各类型资产及漏洞数据分散存储于态势感知、EDR、CMDB、资产测绘、云管平台、漏洞扫描等多种系统当中，形成数据孤岛，缺乏对资产及弱点数据的集中化、全面性的管控，更无法从攻击者视角对资产所暴露的攻击面进行有效、快速的梳理。由此，导致在安全运营当中难以快速准确定位资产，降低人工及自动化运营效率；难以统计有多少资产需要保护、现有的防护手段覆盖程度，防御体系缺漏查补困难；难以精准收敛企业所暴露的攻击面，漏洞发现及响应效率迟缓；难以对攻击者的攻击目标、攻击手法、攻击路径进行预判，防御始终处于被动地位。

2021年7月Gartner首次提出了攻击面管理(Attack Surface Management,ASM)概念，其初衷在于从攻击者视角，对资产及其漏洞、暴露面进行梳理管控，从而开展动态的主动防御。然而在目前企业实际的应用当中，这一概念并未得到准确定义，攻击面管理目标主要侧重于对漏洞全生命周期的管理，而弱化了攻击者视角的资产与攻击路径。

知识图谱通过数据知识抽取获取丰富的实例信息并对实例进行关系展示，能够实现对实例数据间的关系路径的发现及因果推理，如资产与资产间的访问关系、资产与漏洞间的影响关系、内外部资产间的映射关系等。

发明内容

本发明目的在于针对现有技术的不足，提出一种基于知识图谱的网络资产攻击面管理方法、系统、装置及存储介质。

本发明的目的是通过以下技术方案来实现的：第一方面，本发明提供了一种基于知识图谱的网络资产攻击面管理方法，该方法包括如下步骤：

(1)知识图谱构建：定义攻击面管理范畴为“资产-路径-弱点”的三元组合，并依此从企业结构化数据中获取攻击面管理领域知识图谱命名实体与关系，其中资产为互联网资产及内网资产，具体资产类型通过与对应的资产类型实体关联来表示；路径由知识图谱“关系”进行表达，包括资产间可访问关系、资产弱点关联关系、内外部资产映射关系；弱点包括内网主机因服务与版本问题所带来的固有漏洞，各业务系统面向公网所暴露的可利用漏洞、高危端口和配置错误项；

(2)资产攻击面梳理：基于步骤(1)构建的攻击面管理领域知识图谱，得到内外部资产映射关系和资产弱点关联关系，将来源于互联网侧弱点探测信息与来源于内网可验证的EDR、漏扫弱点数据进行关联，实现对暴露攻击面的交叉验证，明确对互联网暴露的攻击面的形成原因，映射暴露攻击面与内网主机；

(3)渗透攻击路径预测：基于资产攻击面梳理结果，通过知识图谱定位遭受攻击的失陷资产及可达的相关资产，关联受影响弱点，实现攻击目标的预判并采取合理措施进行止损。

进一步地，步骤(1)中，攻击面管理领域知识图谱所关联的资产、路径及弱点知识以结构化数据的形式存储在企业各系统的关系型数据库中，得到授权后能够直接获取，实现知识图谱的知识抽取。

进一步地，步骤(1)中，攻击面管理领域知识图谱构建完成后，利用Neo4j图数据库对知识图谱进行可视化展示。

进一步地，步骤(3)中，渗透攻击路径预测具体为：基于资产攻击面梳理结果，从事前角度出发，通过知识图谱实时展示失陷资产相关的资产可达路径，并关联各可达资产的受影响弱点，从而预判攻击者下一步可能选择的攻击目标及利用的攻击手法；从事后角度出发，基于知识图谱梳理内网虚实地址转换关系、业务系统关联，从而定位真实遭受攻击及失陷的资产，并评估响应措施影响范围，及时采取合理措施进行止损。

第二方面，本发明还提供了一种基于知识图谱的网络资产攻击面管理系统，该系统包括知识图谱构建模块、资产攻击面梳理模块和渗透攻击路径预测模块；

所述知识图谱构建模块用于根据所定义的攻击面管理范畴为“资产-路径-弱点”的三元组合从企业结构化数据中获取攻击面管理领域知识图谱命名实体与关系，其中资产为互联网资产及内网资产，具体资产类型通过与对应的资产类型实体关联来表示，路径由知识图谱“关系”进行表达，包括资产间可访问关系、资产弱点关联关系、内外部资产映射关系；弱点包括内网主机因服务与版本问题所带来的固有漏洞，各业务系统面向公网所暴露的可利用漏洞、高危端口和配置错误项；

所述资产攻击面梳理模块用于基于构建的攻击面管理领域知识图谱，得到内外部资产映射关系和资产弱点关联关系，将来源于互联网侧弱点探测信息与来源于内网可验证的EDR、漏扫弱点数据进行关联，实现对暴露攻击面的交叉验证，明确对互联网暴露的攻击面的形成原因，映射暴露攻击面与内网主机；

所述渗透攻击路径预测模块用于基于资产攻击面梳理结果，通过知识图谱定位遭受攻击的失陷资产及可达的相关资产，关联受影响弱点，实现攻击目标的预判并采取合理措施进行止损。

第三方面，本发明还提供了一种基于知识图谱的网络资产攻击面管理装置，包括存储器和一个或多个处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现所述的一种基于知识图谱的网络资产攻击面管理方法。

第四方面，本发明还提供了一种计算机可读存储介质，其上存储有程序，所述程序被处理器执行时，实现所述的一种基于知识图谱的网络资产攻击面管理方法。

本发明的有益效果：本发明从资产出发，以攻击者视角梳理互联网及内网资产可被利用的弱点及渗透的路径。综合考量资产及弱点管理痛点，提出“资产-路径-弱点”三位一体的攻击面管理方法，完善其管理范畴，联动内外部资产，为企业网络安全防御与运营提供支撑。利用知识图谱在攻击面管理中实现资产攻击面梳理、渗透攻击路径预测，为企业提供一种基于攻击者视角的、多源数据融合的自动化、可视化资产、路径及弱点治理方案。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动前提下，还可以根据这些附图获得其他附图。

图1为知识图谱构建模式层与数据层示意图；

图2为静态NAT知识抽取示例示意图；

图3为iptables配置知识抽取示例示意图；

图4为特定资产“外部资产-漏洞-内部资产”实体关联查询结果示意图；

图5为图谱(局部)内网资产可达关系查询结果示意图；

图6为可利用弱点情况、所属系统及安全设备防护覆盖情况示意图；

图7是本发明一种基于知识图谱的网络资产攻击面管理装置的结构图。

具体实施方式

以下结合附图对本发明具体实施方式作进一步详细说明。

如图1所示，本发明提供的一种基于知识图谱的网络资产攻击面管理方法，该方法具体包括如下步骤：

1、知识图谱构建：针对企业网络资产及攻击暴露面管理方面的需求，为企业提供一种基于攻击者视角的、多源数据融合的自动化、可视化资产、路径及弱点治理方案，其核心在于攻击面管理领域知识图谱的构建。图谱由两部分构成：模式层，即数据组织的范式，以及数据层，即根据模式层范式生成的实体、关系及属性的实例集合。模式层指导数据层<实体-关系-属性>三元组的生成，同时，在数据层建设中持续的知识获取也不断对模式层结构进行反馈优化，如图1所示。

(1.1)模式层构建

模式层构建为攻击面管理领域知识图谱构建过程的基础，核心内容为针对攻击面管理领域知识进行形式化定义，以对攻击面管理实体及关系进行准确描述。本发明定义攻击面管理范畴为“资产-路径-弱点”的三元组合，其中“路径”藉由知识图谱“关系”进行表达，因此知识图谱实体应充分覆盖“资产”及“弱点”内容。

企业网络资产类型多样，从实际需求出发，可将其归为互联网资产及内网资产两大类别，其具体资产类型通过与对应的资产类型实体关联来表示；同时，从安全视角出发，知识图谱实体应当包含网络安全运营及威胁研判响应过程当中需要重点关注的信息，包括资产类型、操作系统、所关联的业务系统、所属网络区域等。弱点层面，既需要关注内网主机因服务与版本问题所带来的固有漏洞，同时也需关注各系统面向公网所暴露的可利用漏洞、高危端口、配置错误项。

进一步地，定义实体类型集合Entity＝{互联网资产，内网资产，安全设备，业务系统，操作系统，网络域，资产类型，漏洞，配置风险，高危端口}，共10种实体类型；定义关系类型集合Relation＝{映射，可达，归属，类型，覆盖，属于，操作系统(OS)，受影响，存在，开放}，共10种关系类型。实体及关系具体如表1所示。

表1攻击面管理领域知识图谱实体及实体间关系

(1.2)数据层构建

数据层构建的核心为信息抽取，包括命名实体识别和关系抽取。得益企业内部的网络及安全基础建设，攻击面管理领域知识图谱所关联的资产、路径及弱点等知识以结构化数据的形式存储在关系型数据库中，授权后可以直接获取，这使得攻击面管理领域知识图谱命名实体与关系能够从结构化数据中获得，知识抽取难度极大降低。

资产层面命名实体的识别依赖于企业资产管理类系统所提供的结构化数据，如内网资产及其所属业务系统、网络域、资产类型等数据来源于资产管理系统、CMDB、EDR、API网关、云管平台等，同时上述设备结合网络测绘系统能够全面梳理互联网资产。弱点层面，命名实体及实体间关系的识别依赖EDR及漏洞扫描器所提供的漏洞、高危端口及配置风险等数据。上述数据一方面将数据对应字段映射为知识图谱实体，另一方面对资产及其属性进行关联。

关系<互联网资产,映射,内网资产>的提取依赖于NAT、负载均衡等的策略采集和人工关联。NAT包括静态NAT以及动态NAT等配置方式，可通过正则匹配从NAT配置中抽取互联网资产与内网资产的映射关系，如图2所示。对于NAT、负载均衡策略无法正常采集的情况，则需要由人工录入映射关系。

关系<内网资产,可达,内网资产>可从ACL、iptables配置或防火墙网络访问控制策略中获取，基于iptables配置提取内网资产可达关系如图3所示，同样通过正则从配置文本中提取信息。

(1.3)图谱可视化

利用Neo4j图数据库对图谱进行可视化展示。Neo4j图数据库是一种非关系型数据库，其借助三元组数据模型和资源描述框架来处理并展示海量数据间的复杂关系。基于可视化攻击面管理领域知识图谱的构建，能够形成相对完备的“资产-路径-弱点”数据库。

2、资产攻击面管理：

攻击面管理领域知识图谱汇集内外部资产映射关系、资产弱点关联关系等知识，提供了一种以单一的真实数据来源获取所有网络资产、资产弱点的完整可见性的方案，将内外部资产及弱点有机关联。一方面，将来源于互联网侧弱点探测信息与来源于内网可验证的EDR、漏扫弱点数据进行关联，实现对暴露攻击面的交叉验证，同时有助于明确对互联网暴露的攻击面的形成原因；另一方面，直接映射暴露攻击面与内网主机，从而省略繁复的确认受弱点影响主机流程，为快速完成风险的定位及闭环提供支持。

所构建知识图谱涵盖了互联网资产、内网资产及漏洞实体，同时突出了内外部资产间映射关系、以及资产与漏洞间受影响关系的关联分析结果。以内部资产“内网资产12”为例，查询其所映射的互联网资产，并提取内外部资产间的共有漏洞，如图4所示，展示了以该资产为目标的“外部资产-漏洞-内部资产”实体关联的查询结果。通过图谱查询结果可视化展示，能够实现暴露攻击面的准确梳理，以及受弱点影响主机的敏捷确认。

3、渗透攻击路径预测：

攻击面管理领域知识图谱基于网络设备网络访问控制策略抽取知识，从而对企业网络资产间可访问关系以图谱形式进行可视化展示，串联网络数据流动路径，形成资产数字地图。从事前角度出发，在攻击者通过实现资产发起横向渗透前，通过知识图谱能够实时展示失陷资产相关的资产可达路径，并关联各可达资产的受影响弱点，从而预判攻击者下一步可能选择的攻击目标及利用的攻击手法，以进行针对性防范。从事后角度出发，基于知识图谱能够帮助安全分析人员梳理内网虚实地址转换关系、业务系统关联，从而快速定位真实遭受攻击及失陷资产，并评估响应措施影响范围，及时采取合理措施进行止损。

图5展示了部分内网资产可达关系的查询结果，该结果初步描绘了部分资产间数据流动的方向。在此基础上，能够进一步查询特定资产“内网资产3”的实体关联关系，如图6所示，展示了存在的可利用弱点情况、所属系统及安全设备防护覆盖情况。基于这一结果，当上级节点“内网资产20”失陷后，就需要考虑“内网资产3”的遭受进一步攻击的可能性；同时，该资产部署了EDR防护，若其失陷则可评估实施微隔离处置的可行性。通常，根据企业实际需求，资产间可达关系可进一步细化至可访问端口，从而更为清晰地梳理数据流转路径及排查可利用弱点。

另一方面，本发明还提供了一种基于知识图谱的网络资产攻击面管理系统，该系统包括知识图谱构建模块、资产攻击面梳理模块和渗透攻击路径预测模块；

所述知识图谱构建模块用于根据所定义的攻击面管理的“资产-路径-弱点”三元组合范畴从企业结构化数据中获取攻击面管理领域知识图谱命名实体与关系，其中资产为互联网资产及内网资产，具体资产类型通过与对应的资产类型实体关联来表示，路径由知识图谱“关系”进行表达，包括资产间可访问关系、资产弱点关联关系、内外部资产映射关系；弱点包括内网主机因服务与版本问题所带来的固有漏洞，各业务系统面向公网所暴露的可利用漏洞、高危端口和配置错误项；

所述资产攻击面梳理模块用于基于构建的攻击面管理领域知识图谱，得到内外部资产映射关系和资产弱点关联关系，将来源于互联网侧弱点探测信息与来源于内网可验证的EDR、漏扫弱点数据进行关联，实现对暴露攻击面的交叉验证，明确对互联网暴露的攻击面的形成原因，映射暴露攻击面与内网主机；

所述渗透攻击路径预测模块用于基于资产攻击面梳理结果，通过知识图谱定位遭受攻击的失陷资产及可达的相关资产，关联受影响弱点，实现攻击目标的预判并采取合理措施进行止损。

与前述一种基于知识图谱的网络资产攻击面管理方法的实施例相对应，本发明还提供了一种基于知识图谱的网络资产攻击面管理装置的实施例。

参见图7，本发明实施例提供的一种基于知识图谱的网络资产攻击面管理装置，包括存储器和一个或多个处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，用于实现上述实施例中的一种基于知识图谱的网络资产攻击面管理方法。

本发明提供的一种基于知识图谱的网络资产攻击面管理装置的实施例可以应用在任意具备数据处理能力的设备上，该任意具备数据处理能力的设备可以为诸如计算机等设备或装置。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在任意具备数据处理能力的设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图7所示，为本发明提供的一种基于知识图谱的网络资产攻击面管理装置所在任意具备数据处理能力的设备的一种硬件结构图，除了图7所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的任意具备数据处理能力的设备通常根据该任意具备数据处理能力的设备的实际功能，还可以包括其他硬件，对此不再赘述。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本发明实施例还提供一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时，实现上述实施例中的一种基于知识图谱的网络资产攻击面管理方法。

所述计算机可读存储介质可以是前述任一实施例所述的任意具备数据处理能力的设备的内部存储单元，例如硬盘或内存。所述计算机可读存储介质也可以是任意具备数据处理能力的设备的外部存储设备，例如所述设备上配备的插接式硬盘、智能存储卡(Smart Media Card，SMC)、SD卡、闪存卡(Flash Card)等。进一步的，所述计算机可读存储介质还可以既包括任意具备数据处理能力的设备的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述任意具备数据处理能力的设备所需的其他程序和数据，还可以用于暂时地存储已经输出或者将要输出的数据。

上述实施例用来解释说明本发明，而不是对本发明进行限制，在本发明的精神和权利要求的保护范围内，对本发明作出的任何修改和改变，都落入本发明的保护范围。