本文件涉及網(wǎng)絡(luò)安全，尤其涉及一種確定網(wǎng)絡(luò)安全風(fēng)險的方法、裝置、設(shè)備及存儲介質(zhì)。

背景技術(shù)：

1、在通信網(wǎng)絡(luò)中，常見設(shè)備可包括交換機、路由器、基站、光纖收發(fā)器、終端設(shè)備、網(wǎng)絡(luò)邊界設(shè)備、應(yīng)用服務(wù)器等。運營商的通信網(wǎng)絡(luò)中的設(shè)備硬件各式各樣、設(shè)備數(shù)量呈龐大的規(guī)模且規(guī)模存在變化，支持硬件的操作系統(tǒng)內(nèi)核、編譯庫、系統(tǒng)內(nèi)運行的程序、使用的協(xié)議等軟件產(chǎn)品覆蓋范圍非常廣泛，軟件和硬件都難以完美無缺，各設(shè)備存在被入侵利用和被攻擊的可能性，漏洞利用者潛伏監(jiān)聽、破壞設(shè)備等行為都會對通信網(wǎng)絡(luò)構(gòu)成安全風(fēng)險，通過及時的網(wǎng)絡(luò)維護(hù)操作可以大幅降低網(wǎng)絡(luò)風(fēng)險以及避免發(fā)生大規(guī)模損失，而明確網(wǎng)絡(luò)安全風(fēng)險是開展網(wǎng)絡(luò)維護(hù)的基礎(chǔ)。

2、目前，采用漏洞探測工具和代碼審計等人工評估方式，分析評估人員可以嘗試針對特定設(shè)備和特定軟件編寫對應(yīng)的測試?yán)?，并進(jìn)行探測、審計和打分，以經(jīng)驗估計特定設(shè)備、軟件存在的風(fēng)險。然而，在運營商的通信網(wǎng)絡(luò)中采用人工評估方式效率低下、成本過高，同時，漏洞種類、設(shè)備種類、漏洞在設(shè)備的分布等多漏洞與多設(shè)備同時并存的網(wǎng)絡(luò)實際情況會造成網(wǎng)絡(luò)風(fēng)險評估分析過于復(fù)雜，網(wǎng)絡(luò)風(fēng)險分析評估工作存在很大的挑戰(zhàn)。

技術(shù)實現(xiàn)思路

1、本說明書實施例目的是提供一種確定網(wǎng)絡(luò)安全風(fēng)險的方法、裝置、設(shè)備及存儲介質(zhì)，避免因通信網(wǎng)絡(luò)的規(guī)模以及規(guī)模變化而導(dǎo)致的網(wǎng)絡(luò)內(nèi)外部實際情況對當(dāng)前通信網(wǎng)絡(luò)的風(fēng)險損失的影響難以確定，進(jìn)而實現(xiàn)針對通信網(wǎng)絡(luò)的自動化風(fēng)險評估以及處置應(yīng)用，降低運維成本，支持實時網(wǎng)絡(luò)風(fēng)險評估應(yīng)用，并為開展網(wǎng)絡(luò)維護(hù)提供基礎(chǔ)。

2、為了實現(xiàn)上述目的，本說明書實施例采用下述方案：

3、第一方面，提供一種確定網(wǎng)絡(luò)安全風(fēng)險的方法，所述方法包括：

4、獲取通信網(wǎng)絡(luò)中各設(shè)備在所述通信網(wǎng)絡(luò)的拓?fù)溥B接結(jié)構(gòu)中的節(jié)點參數(shù)和各所述設(shè)備的各種漏洞嚴(yán)重程度的評估值；

5、基于所述通信網(wǎng)絡(luò)中各第一目標(biāo)設(shè)備的最大評估值與各對應(yīng)的關(guān)聯(lián)設(shè)備的最大評估值，確定受安全監(jiān)控的所述第一目標(biāo)設(shè)備的穩(wěn)定性以得到所述通信網(wǎng)絡(luò)的穩(wěn)定性，所述第一目標(biāo)設(shè)備與所述對應(yīng)的關(guān)聯(lián)設(shè)備在所述拓?fù)溥B接結(jié)構(gòu)中存在邊連接，所述通信網(wǎng)絡(luò)的穩(wěn)定性用于評估所述通信網(wǎng)絡(luò)內(nèi)部的漏洞影響程度；

6、基于所述通信網(wǎng)絡(luò)中各第二目標(biāo)設(shè)備的網(wǎng)絡(luò)攻擊日志，確定所述第二目標(biāo)設(shè)備的威脅值以得到所述通信網(wǎng)絡(luò)的威脅值，所述通信網(wǎng)絡(luò)的威脅值用于評估所述通信網(wǎng)絡(luò)外部的攻擊影響程度；

7、基于所述通信網(wǎng)絡(luò)中各第三目標(biāo)設(shè)備的安全級別與各對應(yīng)的關(guān)聯(lián)設(shè)備的安全級別，確定所述第三目標(biāo)設(shè)備的損失值以確定所述通信網(wǎng)絡(luò)的損失值，所述通信網(wǎng)絡(luò)的損失值用于評估所述通信網(wǎng)絡(luò)受影響的破壞程度；

8、基于所述通信網(wǎng)絡(luò)的指定參數(shù)指標(biāo)，確定所述通信網(wǎng)絡(luò)的網(wǎng)絡(luò)風(fēng)險值，所述指定參數(shù)指標(biāo)包括所述節(jié)點參數(shù)、以及所述通信網(wǎng)絡(luò)的穩(wěn)定性、威脅值和損失值；

9、基于所述通信網(wǎng)絡(luò)的網(wǎng)絡(luò)風(fēng)險值，進(jìn)行決策處理。

10、第二方面，提供一種網(wǎng)絡(luò)風(fēng)險處理裝置，所述網(wǎng)絡(luò)風(fēng)險處理裝置包括：

11、獲取模塊，用于獲取通信網(wǎng)絡(luò)中各設(shè)備在所述通信網(wǎng)絡(luò)的拓?fù)溥B接結(jié)構(gòu)中的節(jié)點參數(shù)和各所述設(shè)備的各種漏洞嚴(yán)重程度的評估值；

12、穩(wěn)定性評估模塊，用于基于所述通信網(wǎng)絡(luò)中各第一目標(biāo)設(shè)備的最大評估值與各對應(yīng)的關(guān)聯(lián)設(shè)備的最大評估值，確定受安全監(jiān)控的所述第一目標(biāo)設(shè)備的穩(wěn)定性以得到所述通信網(wǎng)絡(luò)的穩(wěn)定性，所述第一目標(biāo)設(shè)備與所述對應(yīng)的關(guān)聯(lián)設(shè)備在所述拓?fù)溥B接結(jié)構(gòu)中存在邊連接，所述通信網(wǎng)絡(luò)的穩(wěn)定性用于評估所述通信網(wǎng)絡(luò)內(nèi)部的漏洞影響程度；

13、威脅評估模塊，用于基于所述通信網(wǎng)絡(luò)中各第二目標(biāo)設(shè)備的網(wǎng)絡(luò)攻擊日志，確定所述第二目標(biāo)設(shè)備的威脅值以得到所述通信網(wǎng)絡(luò)的威脅值，所述通信網(wǎng)絡(luò)的威脅值用于評估所述通信網(wǎng)絡(luò)外部的攻擊影響程度；

14、損失評估模塊，用于基于所述通信網(wǎng)絡(luò)中各第三目標(biāo)設(shè)備的安全級別與各對應(yīng)的關(guān)聯(lián)設(shè)備的安全級別，確定所述第三目標(biāo)設(shè)備的損失值以確定所述通信網(wǎng)絡(luò)的損失值，所述通信網(wǎng)絡(luò)的損失值用于評估所述通信網(wǎng)絡(luò)受影響的破壞程度；

15、風(fēng)險確定模塊，用于基于所述通信網(wǎng)絡(luò)的指定參數(shù)指標(biāo)，確定所述通信網(wǎng)絡(luò)的網(wǎng)絡(luò)風(fēng)險值，所述指定參數(shù)指標(biāo)包括所述節(jié)點參數(shù)、以及所述通信網(wǎng)絡(luò)的穩(wěn)定性、威脅值和損失值；

16、決策處理模塊，用于基于所述通信網(wǎng)絡(luò)的網(wǎng)絡(luò)風(fēng)險值，進(jìn)行決策處理。

17、第三方面，提供一種電子設(shè)備，該電子設(shè)備包括：

18、至少一個處理器；

19、存儲器，與所述至少一個處理器連接；

20、其中，所述存儲器存儲有能被所述至少一個處理器執(zhí)行的指令，所述至少一個處理器通過執(zhí)行所述存儲器存儲的指令，所述至少一個處理器通過執(zhí)行所述存儲器存儲的指令實現(xiàn)前述的方法。

21、第四方面，提供一種機器可讀存儲介質(zhì)，存儲有機器指令，當(dāng)所述機器指令在機器上運行時，使得機器執(zhí)行前述的方法。

22、本說明書實施例的方案中，通信網(wǎng)絡(luò)的規(guī)模是變化的，設(shè)備間通信連接并不是恒定的，獲取的節(jié)點度能夠體現(xiàn)設(shè)備在通信網(wǎng)絡(luò)中當(dāng)前連接數(shù)量特點，為在網(wǎng)絡(luò)規(guī)?；A(chǔ)上確定風(fēng)險提供基礎(chǔ)，而不是采取固定拓?fù)鋱D中節(jié)點之間的路徑分析、節(jié)點層級分析；且因設(shè)備網(wǎng)絡(luò)角色、軟硬件不同等，設(shè)備實際存在的漏洞是不同的，獲取的評估值能夠體現(xiàn)設(shè)備在通信網(wǎng)絡(luò)中存在的漏洞的影響大小，為在復(fù)雜網(wǎng)絡(luò)實際情況中確定風(fēng)險提供基礎(chǔ)。

23、本說明書實施例的方案中，由于通信網(wǎng)絡(luò)中設(shè)備對網(wǎng)絡(luò)的風(fēng)險表現(xiàn)在設(shè)備對相連接的設(shè)備的影響，則通過在相連的設(shè)備間的最大評估值，能夠在通信網(wǎng)絡(luò)中受安全監(jiān)控的第一目標(biāo)設(shè)備的監(jiān)控漏洞分布的基礎(chǔ)上，確定第一目標(biāo)設(shè)備的穩(wěn)定性以及得到通信網(wǎng)絡(luò)的穩(wěn)定性，能夠自動化地評估通信網(wǎng)絡(luò)內(nèi)部的漏洞影響程度，而不是采用漏洞的評估值描述本地設(shè)備的漏洞風(fēng)險，不需要構(gòu)建各設(shè)備的漏洞利用行為的經(jīng)驗值。

24、本說明書實施例的方案中，通信網(wǎng)絡(luò)受到的網(wǎng)絡(luò)攻擊有隨機性，網(wǎng)絡(luò)攻擊對通信網(wǎng)絡(luò)中設(shè)備的影響表現(xiàn)受攻擊行為作用的各設(shè)備，通過第二目標(biāo)設(shè)備的網(wǎng)絡(luò)攻擊日志確定設(shè)備及網(wǎng)絡(luò)的威脅值，能夠自動化地評估通信網(wǎng)絡(luò)外部的攻擊影響程度，而不是指定使用特定軟件/硬件類型、層級的設(shè)備經(jīng)驗表現(xiàn)網(wǎng)絡(luò)受攻擊的影響。

25、本說明書實施例的方案中，通信網(wǎng)絡(luò)內(nèi)各設(shè)備的安全級別，與各設(shè)備在出現(xiàn)風(fēng)險事件時的損失值大小存在靜態(tài)的映射關(guān)系，安全級別越高，損失值越大，從而為前述評估的復(fù)雜通信網(wǎng)絡(luò)內(nèi)部實際(漏洞分布)的漏洞影響程度和外部實際(攻擊行為)的攻擊影響程度提供設(shè)備的靜態(tài)基準(zhǔn)和參考。

26、本說明書實施例的方案中，在實際網(wǎng)絡(luò)規(guī)模(節(jié)點參數(shù)可攜帶的連接數(shù)以及節(jié)點規(guī)模信息)中，在通信網(wǎng)絡(luò)的損失值基礎(chǔ)上，綜合復(fù)雜通信網(wǎng)絡(luò)內(nèi)部實際(漏洞分布)的漏洞影響程度和外部實際(攻擊行為)的攻擊影響程度，得到網(wǎng)絡(luò)風(fēng)險值，能夠避免采用固定規(guī)模、經(jīng)驗值和固定路徑經(jīng)驗造成與通信網(wǎng)絡(luò)的實際網(wǎng)絡(luò)風(fēng)險的偏差，從而利用網(wǎng)絡(luò)風(fēng)險值，進(jìn)行決策處理，實現(xiàn)風(fēng)險處置應(yīng)用。

27、本說明書實施例的其它特征和優(yōu)點將在隨后的具體實施方式部分予以詳細(xì)說明。