(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111481979.5 (22)申请日 2021.12.07 (71)申请人 绿盟科技 集团股份有限公司 地址 100089 北京市海淀区北洼路4 号益泰 大厦5层 申请人 北京神州绿盟科技有限公司 (72)发明人 赵恒　郭兰杰　杨逸斐　高辉力　 晁璐　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 代理人 高金金 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/36(2019.01) G06F 21/55(2013.01)G06F 21/56(2013.01) (54)发明名称 一种网络攻击关系图的生成方法及装置 (57)摘要 本申请提供一种网络攻击关系图的生成方 法及装置， 其中方法包括： 接收生成请求， 该生成 请求用于请求生成企业内网中的目标主机的网 络攻击关系图； 根据攻击链中间数据表和攻击关 系数据表， 确定与所述目标主机相关的一条或多 条攻击链， 所述攻击链中包括所述目标主机的一 个或多个外部攻击者、 所述外部攻击者在所述企 业内网中的一个或多个直接攻击对象、 所述目标 主机以及所述目标主机的一个或多个直接攻击 对象； 根据所述一条或多条攻击链， 生成所述目 标主机的网络攻击关系图并展示。 该方法无需进 行复杂的递归运算， 效率较高， 而且容易发现外 部威胁以及外部威胁在企业内网中的攻击渗透 路径， 从而 有效提升企业内网的安全分析能力。 权利要求书2页 说明书16页 附图4页 CN 114363002 A 2022.04.15 CN 114363002 A 1.一种网络攻击关系图的生成方法， 其特 征在于， 所述方法包括： 接收生成请求， 所述生成请求用于请求生成企业内网中的目标主机的网络攻击关系 图； 根据攻击链中间数据表和攻击关系数据表， 确定与所述目标主机相关的一条或多条攻 击链， 所述攻击链中包括所述 目标主机的一个或多个外部攻击者、 所述外部攻击者在所述 企业内网中的一个或多个直接攻击对象、 所述目标主机以及所述目标主机的一个或多个直 接攻击对象； 根据所述 一条或多条攻击链， 生成所述目标主机的网络攻击关系图并展示。 2.根据权利要求1所述的方法， 其特征在于， 所述攻击链中间数据表中记录有所述企业 内网中受到过攻击的各个主机的信息和每个主机对应的内部攻击者列表， 一个主机的对应 的内部攻击者列 表中包括所述主机的一个或多个内部攻击者的信息， 所述内部攻击者为所 述企业内网中攻击过 所述主机的其 他主机； 所述攻击关系数据表中记录有所述企业内网中发生的安全事件涉及的攻击关系， 所述 攻击关系包括 攻击者的信息、 被攻击者的信息和关联的安全 事件的相关信息 。 3.根据权利要求2所述的方法， 其特征在于， 所述根据攻击链中间数据表和攻击关系数 据表， 确定与所述目标主机相关的一条或多条攻击链， 包括： 根据所述目标主机的信息， 查询所述攻击链中间数据表， 确定所述目标主机对应的内 部攻击者列表； 针对所述目标主机的每个内部攻击者， 根据所述内部攻击者的信息， 查询所述攻击关 系数据表， 确定当所述内部攻击者作为被攻击者时， 攻击所述内部攻击者的一个或多个外 部攻击者； 将攻击所述目标主机的内部攻击者的一个或多个外部攻击者， 确定为所述目标主机的 外部攻击者。 4.根据权利要求3所述的方法， 其特征在于， 所述根据攻击链中间数据表和攻击关系数 据表， 确定与所述目标主机相关的一条或多条攻击链， 包括： 针对所述目标主机的每个外部攻击者， 根据所述外部攻击者的信息， 查询所述攻击关 系数据表， 确定所述外部攻击者在所述企业内网中的一个或多个直接攻击对 象， 所述直接 攻击对象为所述企业内网中的主机 。 5.根据权利要求2所述的方法， 其特征在于， 所述根据攻击链中间数据表和攻击关系数 据表， 确定与所述目标主机相关的一条或多条攻击链， 包括： 根据所述目标主机的信息， 查询所述攻击关系数据表， 确定所述目标主机的一个或多 个直接攻击对象， 所述直接攻击对象为所述 企业内网中的其他主机或所述企业内网之外的 其他主机。 6.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 实时从安全 事件数据源获取安全 事件； 针对获取到的每个安全事件， 若所述安全事件涉及所述企业内网中的主机， 则提取与 所述安全事件相关的攻击关系， 并存 储到所述 攻击关系数据表中。 7.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 针对提取到的每条攻击关系， 若所述攻击关系中的被攻击者为所述企业内网中的主权　利　要　求　书 1/2 页 2 CN 114363002 A 2机， 则在所述攻击链中间数据表中创建所述被攻击者的表项， 并将所述被攻击者作为所述 企业内网中受到过攻击的主机写入所述 攻击链中间数据表中； 若在所述被攻击者为所述企业内网中的主机的同时， 所述攻击关系中的攻击者也为所 述企业内网中的主机， 则将所述攻击者作为所述被攻击者的内部攻击者， 写入所述攻击链 中间数据表中所述被攻击者对应的内部攻击者列表中。 8.根据权利要求7 所述的方法， 其特 征在于， 所述方法还 包括： 若所述攻击链中间数据表中存在所述攻击者的表项， 且所述攻击者对应的内部攻击者 列表不为空， 则将所述攻击者对应的内部攻击者列表中的各个内部攻击者， 写入所述被攻 击者对应的内部攻击者列表中。 9.根据权利要求8所述的方法， 其特 征在于， 所述方法还 包括： 若所述攻击链中间数据表中所述攻击者对应的内部攻击者列表进行了更新， 则同步更 新所述被攻击者对应的内部攻击者列表。 10.一种网络攻击关系图的生成装置， 其特 征在于， 包括： 收发模块， 用于接收生成请求， 所述生成请求用于请求生成企业内网中的目标主机的 网络攻击关系图； 处理模块， 用于根据攻击链中间数据表和攻击关系数据表， 确定与所述目标主机相关 的一条或多条攻击链， 所述攻击链中包括所述 目标主机的一个或多个外部攻击者、 所述外 部攻击者在所述 企业内网中的一个或多个直接攻击对象、 所述目标主机以及所述目标主机 的一个或多个直接攻击对象； 所述处理模块， 还用于根据所述一条或多条攻击链， 生成所述目标主机的网络攻击关 系图并展示。 11.一种计算设备， 其特 征在于， 包括： 存储器， 用于存 储程序指令； 处理器， 用于调用所述存储器中存储的程序指令， 按照获得的程序指令执行如权利要 求1至9中任一项所述的方法。 12.一种计算机可读存储介质， 其特征在于， 包括计算机可读指令， 当计算机读取并执 行所述计算机可读指令时， 使得计算机执 行如权利要求1至9中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114363002 A 3