入侵响应措施确定方法及装置与流程

本发明涉及信息安全技术领域，尤其涉及一种入侵响应措施确定方法及装置。

背景技术：

网络攻击技术越来越复杂和多样化，使得攻击者利用多条路径入侵目标成为可能。例如，为了窃取数据，攻击者可以同时使用sql注入攻击和中间人攻击。因此，设计一个合适的入侵响应系统(irs)来应对复杂的攻击极其重要。由于应对措施会同时带来正面影响(如提高安全性能)和负面效应(如服务质量下降)，从而如何选取响应措施至关重要。传统的入侵响应措施通过权衡攻击损失和响应代价以动态识别最优响应措施。然而，该方法忽略了一个事实，即攻击者可能通过多条攻击路径来实现对目标的入侵，从而增加成功的可能性。

由于单一的响应措施难以满足对多条攻击路径的应对需求，因此我们需要为每条被利用的攻击路径选取一个合理的响应措施。考虑到多条攻击路径的情况，目前的方法通过独立地针对每条路径选取的最优响应措施来应对攻击，但该方法忽略了多条攻击路径的响应措施之间的相互影响。

技术实现要素：

为了解决上述问题，本发明实施例提供一种入侵响应措施确定方法及装置。

第一方面，本发明实施例提供一种入侵响应措施确定方法，包括：根据攻击树中各节点及节点关系，确定一条或多条攻击路径；确定可用于阻断攻击路径的候选响应措施的安全效用；基于贪心算法的多次迭代，为每条攻击路径选取安全效用最大的候选响应措施构成措施集合，以供实现入侵防御；其中，每次迭代过程中，从待阻断的攻击路径的候选响应措施中选取最大安全效用的候选响应措施，并将本次选取的响应措施作为已部署措施，重新计算剩余待阻断的攻击路径的候选响应措施的安全效用，用于下次迭代选取。

第二方面，本发明实施例提供一种入侵响应措施确定装置，包括：路径获取模块，用于根据攻击树中各节点及节点关系，确定一条或多条攻击路径；效用评估模块，用于确定可用于阻断攻击路径的候选响应措施的安全效用；措施确定模块，用于基于贪心算法的多次迭代，为每条攻击路径选取安全效用最大的候选响应措施构成措施集合，以供实现入侵防御；其中，每次迭代过程中，从待阻断的攻击路径的候选响应措施中选取最大安全效用的候选响应措施，并将本次选取的响应措施作为已部署措施，重新计算剩余待阻断的攻击路径的候选响应措施的安全效用，用于下次迭代选取。

第三方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时实现本发明第一方面入侵响应措施确定方法的步骤。

本发明实施例提供的入侵响应措施确定方法及装置，基于贪心算法，确定使整体安全效用最高的候选响应措施集合，以供实现入侵防御。由于在贪心过程中，在每一轮迭代选取过程中，将上一轮迭代选取得到的响应措施作为已部署措施，且在计算措施的安全效用时，将待部署措施与已部署措施的重叠安全收益进行去除，避免了安全收益的重复计算，从而能够最大限度地提高应对多条攻击路径时的整体安全效用，实现对多路径攻击的最佳应对。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的入侵响应措施确定方法流程图；

图2为本发明实施例提供的响应措施的有效覆盖能力示意图；

图3为本发明实施例提供的入侵响应措施确定装置结构图；

图4为本发明实施例提供的一种电子设备的实体结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前的多路径的入侵响应措施生产方法通过独立地针对每条路径选取的最优响应措施来应对攻击，该方法忽略了多条攻击路径的响应措施之间的相互影响。为解决这一问题，本发明实施例提供一种入侵响应措施确定方法。该方法对应的执行主体可以为服务器、网关及终端等设备，本发明实施例对此不作具体限定。为了便于说明，本发明实施例以执行主体为服务器为例，对本发明实施例提供的方法进行阐述。应当理解的是，本发明实施例中所述“多个”、“多条”，如非特别说明，数量为两个及以上。

图1为本发明实施例提供的入侵响应措施确定方法流程图，如图1所示，本发明实施例提供一种入侵响应措施确定方法，包括：

101，根据攻击树中各节点及节点关系，确定一条或多条攻击路径。

在101中，攻击树(attacktrees)提供了一种正式而条理清晰的方法来描述系统所面临的安全威胁和系统可能受到的多种原子攻击及其关系。用树型结构来表示系统面临的攻击及攻击之间的关系，其中根节点代表被攻击的目标，非根节点表示原子攻击，即攻击者攻击行为的最小单位，在本发明中，原子攻击可以是漏洞利用、暴力破解、存活性探测等。

根据攻击树中各节点及节点关系，可以确定多条攻击者可能利用的，从叶子节点到根节点的攻击路径。

节点关系包括但不限于：父子关系、and关系和or关系。

父子关系指节点对应的原子攻击发生具有条件性，即只有当子节点对应的原子攻击发生，父节点对应的原子攻击才有可能发生；

and关系指原子攻击作为同一父节点的子节点对应的原子攻击时，必须同时发生，其父节点对应的原子攻击才有可能发生；

or关系指原子攻击作为同一父节点的子节点对应的原子攻击时，只要有一个或以上发生，其父节点对应的原子攻击就有可能发生。

102、确定可用于阻断攻击路径的候选响应措施的安全效用。

在102中，针对阻断每一攻击路径有着对应的多个候选响应措施，确定可用于阻断每一攻击路径的所有候选响应措施的安全效用，安全效用反应响应措施能获得的安全收益，以及实施该措施带来的开销。

103，基于贪心算法的多次迭代，为每条攻击路径选取安全效用最大的候选响应措施构成措施集合，以供实现入侵防御，每次迭代中，从待阻断的攻击路径的候选响应措施中选取最大安全效用的候选响应措施，并将本次选取的响应措施作为已部署措施，重新计算剩余待阻断的攻击路径的候选响应措施的安全效用，用于下次迭代选取。

在103中，在应对多攻击路径时，不应当对各路径分别进行响应。多攻击路径的响应目标是找到具有最大安全效用的响应措施集。随着攻击路径数量的增加，选取响应措施集所需的时间开销会急剧增加，本发明实施例中采用贪心算法对该选取问题进行求解。

贪心策略为在每一轮迭代中从待阻断路径的候选响应措施中选取具有最大安全效用的候选响应措施，在每轮迭代选取中，将上一轮迭代选取确定的响应措施作为已部署措施，并重新计算得到每条攻击路径的最优响应措施，这些响应措施构成本轮选取的候选措施集合，在所述候选措施集合中选取安全效用最大的一个作为本轮选取的响应措施，并将该措施对应的攻击路径从待阻断路径集合中删除。确定使所有攻击路径安全效用最高的候选响应措施集合，确定的响应措施用于实现入侵防御。

本实施例提供的入侵响应措施确定方法，基于贪心算法，确定使整体安全效用最高的候选响应措施集合，以供实现入侵防御。由于在贪心过程中，在每一轮迭代选取过程中，将上一轮迭代选取得到的响应措施作为已部署措施，且在计算措施的安全效用时，将待部署措施与已部署措施的重叠安全收益进行去除，避免了安全收益的重复计算，从而能够最大限度地提高应对多条攻击路径时的整体安全效用，实现对多路径攻击的最佳应对。

基于上述实施例的内容，作为一种可选实施例，根据攻击树中各节点及节点关系，确定一条或多条攻击路径，包括：根据攻击树中各节点及节点关系，确定多条候选攻击路径；根据每一候选攻击路径中的节点关系以及节点的原子攻击发生的概率，确定相应候选攻击路径被利用的概率，选取被利用概率大于预设阈值的候选攻击路径，作为攻击路径。

利用各节点原子攻击发生的概率，根据攻击路径中各原子攻击节点之间的关系，计算各攻击路径被利用的概率。将该概率与用户预先设定的阈值进行比较，抽取出各可能的攻击路径，从而减小计算复杂度。

一种计算攻击路径被利用概率的方式为：将路径上的各节点的置信度相乘，并除以路径上节点总数。其中，攻击路径的定义为：攻击路径是原子攻击节点或其集合的一个序列path＝atk1,…,atkj,…,atkn，其中atkj表示攻击树中的某一节点或者是具有and关系的节点的集合。atk1表示攻击树中的叶子节点或其集合，atkn表示攻击树的根节点的子节点或其集合。

本实施例提供的入侵响应措施确定方法，根据每一候选攻击路径中原子攻击发生的概率，确定相应候选攻击路径被利用的概率，选取利用概率大于预设阈值的候选攻击路径，作为攻击路径，从而无需对所有路径进行考虑，减小计算复杂度，并使得最终的响应策略具有针对性。

基于上述实施例的内容，作为一种可选实施例，确定可用于阻断攻击路径的候选响应措施的安全效用，包括：根据候选响应措施的安全收益、措施对服务质量的负面影响及措施的部署成本，综合确定候选响应措施的安全效用。

措施的安全收益指措施部署后被保护网络或系统在安全方面的变化情况，例如，遭受攻击的可能性降低、使得某些攻击失效等。

措施对服务质量的负面影响分为直接负面影响和间接负面影响。直接负面影响指措施部署后会直接影响到服务，例如，当部署的措施为关闭web服务器时，该web服务的用户将无法再访问该服务器，综合考虑服务的重要性、措施的运行时间和使用该服务的用户数等对直接负面影响进行评估。间接负面影响指措施部署后某些服务直接被影响，依赖于这些服务的服务也会受到影响，例如，当部署的措施为关闭数据库服务器时，会导致依赖于该数据库服务的web服务用户无法访问web服务，综合考虑被间接影响的服务的重要性、对直接被影响服务的依赖程度、措施的运行时间、和使用该服务的用户数等对间接负面影响进行评估。

计算措施的部署成本，措施的部署成本指部署该措施所需消耗的资源，综合考虑措施的部署时长、消耗的计算存储资源、部署该措施的设备的重要性等计算得到。措施的部署时长指部署指令下发到部署完成所花费的时长，包括：通信时长和执行时长。消耗的计算存储资源指部署该措施所消耗的cpu、内存等资源。部署该措施的设备的重要性指设备的重要程度，可综合考虑设备资产价值等得到。本发明实施例对综合确定候选响应措施的安全效用的方法不作具体限定，包括但不限于：利用多目标优化方法确定。

利用多目标优化方法对该措施针对某一攻击路径的安全效用进行计算。针对单一攻击路径的响应措施选取的目标是最大化安全收益、最小化对服务质量的负面影响、最小化部署成本。然而这三个目标之间相互矛盾且难以同时满足，因此单一攻击路径的响应措施选取问题可以作为一个多目标优化问题进行解决。从而实现根据候选措施的安全收益、措施对服务质量的负面影响及措施的部署成本，综合确定候选响应措施的安全效用。

基于上述实施例的内容，作为一种可选实施例，综合确定候选响应措施的安全效用，包括：根据攻击损失确定安全收益的权值，通过加权法确定候选响应措施的安全效用。

本发明实施例中采用简单加权平均等已有方式对该问题进行求解，其中安全收益的权重的一种设定方式可以是将对应攻击路径的攻击损失作为权重，各目标的权重也可以由用户动态设定。

基于上述实施例的内容，作为一种可选实施例，根据攻击损失确定安全收益的权值之前，还包括：根据路径中，原子攻击发生的概率、原子攻击对相应设备造成的损失以及受损失设备的重要性，确定相应攻击路径的攻击损失。

可以通过评估攻击路径中各原子攻击造成的损失总和来评估每条可能被利用的攻击路径所带来的损失。换言之，攻击路径造成的攻击损失是路径中所有原子攻击造成的总损失。

如果原子攻击是漏洞利用，可将基于公共漏洞评分系统(commonvulnerabilityscoringsystem，cvss)对每一设备由原子攻击造成的损失进行评估。cvss提供了一种良好的方法来描述脆弱性的关键特征，并生成一个量化的分数来反映其严重性。若不是，则由原子攻击引起的损失根据经验值设定对每一设备由原子攻击造成的损失。在cvss中，basescore定义了漏洞的一些固有特性，包括可开利用性指标(exploitabilitymetrics)和影响指标(impactmetrics)。可利用指标反映了利用该漏洞的困难和技术手段；影响指标则代表了成功利用该漏洞造成的直接后果和在安全维度的结果，因此可以使用basescore来表示漏洞利用的攻击损害。

为了便于描述，无论原子攻击是漏洞利用或其他原子攻击，使用basescore来表示原子攻击造成的攻击损失，即原子攻击对相应设备造成的损失。需要说明的是，可以使用其它方法来定量描述原子攻击对相应设备造成的损失，本发明实施例中不一一列举。在basescore中未考虑受原子攻击影响的设备的重要性和原子攻击发生的置信度。因此，本发明实施例中，根据basescore、设备的重要性和攻击路径中原子攻击发生的概率来计算单一攻击路径造成的攻击损失。

一种可行的计算方式如下：

其中，d表示攻击路径pathi所经过的设备的数量；devi,j表示路径pathi经过的设备；im(devi,j)表示设备devi,j的重要性；adp(devi,j)表示攻击路径pathi利用对设备devi,j造成的损失，指攻击路径pathi上的各原子攻击devi,j给设备造成的损失的最大值，给设备造成的损失可通过原子攻击的basescore乘以该原子攻击的发生概率得到。

本实施例提供的入侵响应措施确定方法，考虑到原子攻击所对应设备的重要程度以及原子攻击发生的概率，结合每一设备由原子攻击造成的损失，确定每一攻击路径的攻击损失，使得获取的攻击路径的攻击损失更为客观。

基于上述实施例的内容，作为一种可选实施例，确定可用于阻断攻击路径的候选响应措施的安全效用之前，还包括：根据每一候选响应措施与已部署响应措施所覆盖的原子攻击之间的覆盖关系、原子攻击发生的概率以及原子攻击间的and关系，确定候选响应措施的攻击覆盖面增量，并将攻击覆盖面增量作为对应候选措施的安全收益；其中，所述原子攻击间的and关系为，原子攻击作为同一父节点的子节点对应的原子攻击时，必须同时发生，其父节点对应的原子攻击才会发生。

通过响应措施的部署可实现原子攻击的覆盖，本发明实施例中，响应措施覆盖原子攻击，是指措施部署并执行后，原子攻击将无法再发生，或发生可能性降低。

安全收益是响应措施的正向影响，本发明实施例中定义为攻击覆盖面增量。攻击覆盖面(attackssurfacecoverage，asc)增量指响应措施相较于已部署措施所增量覆盖的原子攻击的置信度的和，被响应措施cmi所覆盖的原子攻击的集合表示为atk(cmi)。因为在实际网络中，原子攻击发生的概率不等于1，因此在计算过程中应当考虑原子攻击的置信度(即原子攻击发生的概率)而不仅仅是数量。此外，如果仅简单的对所有覆盖的原子攻击的置信度求和，原子攻击之间的and关系可能导致覆盖面的重复计算，且部分原子攻击可能被已部署响应措施所覆盖。因此，我们基于原子攻击置信度、已覆盖原子攻击、不同原子攻击间的and关系计算asc。已覆盖原子攻击被已部署措施所覆盖。

图2为本发明实施例提供的响应措施的有效覆盖能力示意图，以图2为例对措施的有效覆盖能力进行介绍，其中cm1和cm2为已部署的响应措施，cm3为待部署的响应措施，即候选响应措施。其中原子攻击a6到a15被cm3所覆盖，且a6和a7，a4和a11，a12和a13，a5、a9和a10各自之间具有and关系；a1到a9已经被已部署措施cm1和cm2所覆盖。为了准确理解部署响应措施cm3后安全收益的提升，需要根据原子攻击是否被已部署措施所覆盖以及相互之间是否有and关系对待部署措施(在图2所示例子中即为cm3)所覆盖的原子攻击进行分类讨论。

a类：指那些不与其他原子攻击具有and关系，且未被已部署措施所覆盖的原子攻击，在图2所示例子中即为a14和a15。待部署措施覆盖a类原子攻击中的每个原子攻击的安全收益为攻击置信度乘以待部署措施的历史有效性。

b类：指那些与其他原子攻击具有and关系，且所有这些相互之间具有and关系的原子攻击均未被已部署措施所覆盖的原子攻击构成的集合，在图2所示例子中即为{a12，a13}。待部署措施覆盖b类原子攻击中每个原子攻击集合的安全收益为这些原子攻击集合中安全收益最大的原子攻击。

c类：指那些与其他原子攻击具有and关系，且这些相互之间具有and关系的原子攻击中至少有一个被已部署措施所覆盖的原子攻击构成的集合，在图2所示例子中即为{a6,a7}、{a8,a10}和{a11}。待部署措施覆盖c类原子攻击中每个原子攻击集合的安全收益为相应集合中的原子攻击的安全收益最大值减去与这些原子攻击有and但被已部署措施所覆盖的原子攻击的安全收益最大值的(此为大于零时的情况，反之安全收益为零)。

d类：指那些不与其他原子攻击具有and关系，但被已部署措施所覆盖的原子攻击，在图2所示例子中即为a9。待部署措施覆盖d类原子攻击中每个原子攻击的安全收益为待覆盖措施的历史有效性乘以该原子攻击的置信度减去已部署措施的最大历史有效性乘以该原子攻击的历史有效性(此为大于零时的情况，反之安全收益为零)。

最终得到待部署措施的安全收益为措施对上述4类原子攻击的安全收益之和。其中，措施的历史有效性指措施部署前后对应攻击路径被利用可能性的变化程度，可通过措施部署后是否还接收到同类报警信息判断得到。

本实施例提供的入侵响应措施确定方法，根据每一候选响应措施与已部署响应措施所覆盖的原子攻击之间的覆盖关系、原子攻击发生的概率以及原子攻击间的and关系，确定候选响应措施的增量攻击覆盖面，从而实现准确评估安全效益。

基于上述实施例的内容，作为一种可选实施例，根据攻击树中各节点及节点关系，确定一条或多条攻击路径之前，还包括：根据接收到的报警信息与原子攻击之间的映射关系及概率知识库，获取攻击树中各原子攻击发生的概率。

系统接收到报警信息后，需确定攻击树中具体的原子攻击节点。可根据报警信息与原子攻击之间的映射关系确定具体的原子攻击节点，由于报警信息存在时，对应的原子攻击并不一定发生，从而确定的是攻击树中各原子攻击发生的概率。该概率可以从概率知识库中获取，概率知识库中包含原子攻击发生的概率，或包含能够计算原子攻击发生概率的相应事件的概率。这些映射关系和概率可以是已知的，也可以根据历史经验计算。

例如，概率知识库中包括但不限于：在给定报警信息的前提下原子攻击发生的概率；原子攻击发生的先验概率；在原子攻击发生的情况下，收到报警信息的可能性；表示在原子攻击未发生的情况下，收到报警信息的可能性；攻击树中子节点对应的原子攻击发生前提下父节点对应原子攻击发生的概率；父节点对应的原子攻击与子节点对应的原子攻击同时发生的概率。

基于上述实施例的内容，作为一种可选实施例，根据接收到的报警信息与原子攻击之间的映射关系及概率知识库，确定攻击树中各原子攻击发生的概率，包括：根据报警信息与原子攻击之间的映射关系及概率知识库，确定原子攻击的第一发生概率；基于子节点对应的原子攻击对父节点对应的原子攻击的影响，确定父节点对应的原子攻击的第二发生概率；将攻击树中叶子节点对应的原子攻击的第一发生概率作为相应叶子节点对应的原子攻击发生的概率，将攻击树中非叶子节点对应的原子攻击的第一发生概率和第二发生概率中的较大者作为攻击树中相应的非叶子节点对应的原子攻击发生的概率。

子节点对应的原子攻击对父节点对应的原子攻击的影响，包括：子节点对应的原子攻击必须同时发生，其父节点对应的原子攻击才有可能发生；子节点对应的原子攻击只要其中任意一个或多个发生，其父节点对应的原子攻击就有可能发生。

为了便于描述本方案，将本发明实施例中的攻击树定义为：概率攻击树(probabilisticattacktree，pat)。所提的概率攻击树是一个六元组，pat＝{g、atk、τ、alerts、f、p}，其中：

g表示是树的根节点，表示网络中被保护的服务、设备等，即攻击者的攻击目标。

atk表示概率攻击树中所有原子攻击的集合，其中i表示原子攻击节点在树中所属的层次(根节点的层次为0)；j表示在树的同一层次中原子攻击的编号。

τ表示由多个原子攻击关系二元组<atki,di>组成的集合，表示atki中的元素(即原子攻击)具有di关系。其中，di∈{and,or}，di是and表示atki中的所有元素具有相同的父原子攻击节点，且必须同时被利用成功，其父原子攻击节点才有可能发生；di是or表示atki中的所有元素具有相同的父原子攻击节点，且只要其中任意一个或多个元素发生，其父原子攻击节点就有可能发生。需注意的是，当di为and时，atki的元素是单个原子攻击；当di为or时，atki的元素有可能是具有and关系的原子攻击集合。

表示pat中所有可能的报警信息构成的集合，表示与原子攻击具有映射关系的报警信息组成的集合，m表示与该原子攻击具有映射关系的报警信息的数量。

表示报警信息与原子攻击之间具有映射关系。

p是一组离散的概率分布，表示各原子攻击节点真实发生的置信度，也即原子攻击发生的概率。

例如，基于报警信息和原子攻击之间的映射关系，采用条件概率进行计算原子攻击的第一发生概率如下：

其中，表示接收到的针对原子攻击的报警信息集合，表示在给定报警信息的前提下原子攻击发生的概率；表示原子攻击发生的先验概率；表示在原子攻击发生的情况下，收到报警信息的可能性；表示在原子攻击未发生的情况下，收到报警信息的可能性。

在实际网络中，某些原子攻击之间的发生具有一定关联性，即某一子节点对应的原子攻击发生时，其父节点对应的原子攻击也有可能发生，这意味着可以通过子节点对应的原子攻击发生的可能性来推断其父节点对应的原子攻击发生的可能性。

因此，本发明实施例中，根据报警信息获取对应的原子攻击发生的概率之外，还基于原子攻击节点之间的上述and和or关系，即子节点对应的原子攻击对父节点对应的原子攻击的影响，确定原子攻击的第二发生概率如下：

其中，是的父节点；表示原子攻击发生前提下原子攻击发生的概率；表示原子攻击与原子攻击同时发生的概率。

将攻击树中叶子节点的第一发生概率作为这些节点的发生置信度；对于非叶子节点，对原子攻击第一发生概率和第二发生概率进行比较，将较大的值作为这些节点的发生置信度，即原子攻击发生的概率。

本实施例提供的入侵响应措施确定方法，将第一发生概率和第二发生概率中的较大者作为攻击树中对应的非叶子节点原子攻击发生的概率，从而更全面的考虑到了原子攻击节点之间的关系，减少了不准确报警带来的影响，使确定的攻击树中各原子攻击发生的概率更为准确。

图3为本发明实施例提供的入侵响应措施确定装置结构图，如图3所示，该入侵响应措施确定装置包括：路径获取模块301、效用评估模块302以及措施确定模块303。其中，路径获取模块301用于根据攻击树中各节点及节点关系，确定一条或多条攻击路径；效用评估模块302用于确定可用于阻断攻击路径的候选响应措施的安全效用；措施确定模块303用于基于贪心算法的多次迭代，为每条攻击路径选取安全效用最大的候选响应措施构成措施集合，以供实现入侵防御，每次迭代中，从待阻断的攻击路径的候选响应措施中选取最大安全效用的候选响应措施，并将本次选取的响应措施作为已部署措施，重新计算剩余待阻断的攻击路径的候选响应措施的安全效用，用于下次迭代选取。

路径获取模块301根据攻击树中各节点及节点关系，确定多条攻击者可能利用的，到根节点的攻击路径。

效用评估模块302针对每一攻击路径有着对应的多个候选响应措施，确定每一条攻击路径的所有候选响应措施的安全效用，安全效用反应响应措施能获得的安全收益，以及实施该措施带来的开销。

在应对多攻击路径时，不应当对各路径分别进行响应。多攻击路径的响应目标是找到具有最大安全效用的响应措施集。随着攻击路径数量的增加，选取响应措施集所需的时间开销会急剧增加，本发明实施例中措施确定模块303采用贪心算法对该选取问题进行求解。

贪心策略为在每一轮迭代中从待阻断路径的候选响应措施中选取具有最大安全效用的候选响应措施，在每轮迭代选取中，措施确定模块303将上一轮迭代选取确定的响应措施作为已部署措施，并重新计算得到每条攻击路径的最优响应措施，这些响应措施构成本轮选取的候选措施集合，在所述候选措施集合中选取安全效用最大的一个作为本轮选取的响应措施，并将该措施对应的攻击路径从待阻断路径集合中删除。确定使所有攻击路径安全效用最高的候选响应措施集合，确定的响应措施用于实现入侵防御。

本发明实施例提供的装置实施例是为了实现上述各方法实施例的，具体流程和详细内容请参照上述方法实施例，此处不再赘述。

本发明实施例提供的入侵响应措施确定装置，基于贪心算法，确定使整体安全效用最高的候选响应措施集合，以供实现入侵防御。由于在贪心过程中，在每一轮迭代选取过程中，将上一轮迭代选取得到的响应措施作为已部署措施，且在计算措施的安全效用时，将待部署措施与已部署措施的重叠安全收益进行去除，避免了安全收益的重复计算，从而能够最大限度地提高应对多条攻击路径时的整体安全效用，实现对多路径攻击的最佳应对。

图4为本发明实施例提供的一种电子设备的实体结构示意图，如图4所示，该电子设备可以包括：处理器(processor)401、通信接口(communicationsinterface)402、存储器(memory)403和总线404，其中，处理器401，通信接口402，存储器403通过总线404完成相互间的通信。通信接口402可以用于电子设备的信息传输。处理器401可以调用存储器403中的逻辑指令，以执行包括如下的方法：根据攻击树中各节点及节点关系，确定一条或多条攻击路径；确定可用于阻断攻击路径的候选响应措施的安全效用；基于贪心算法的多次迭代，为每条攻击路径选取安全效用最大的候选响应措施构成措施集合，以供实现入侵防御，每次迭代中，从待阻断的攻击路径的候选响应措施中选取最大安全效用的候选响应措施，并将本次选取的响应措施作为已部署措施，重新计算剩余待阻断的攻击路径的候选响应措施的安全效用，用于下次迭代选取。

此外，上述的存储器403中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明上述各方法实施例的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的方法，例如包括：根据攻击树中各节点及节点关系，确定一条或多条攻击路径；确定可用于阻断攻击路径的候选响应措施的安全效用；基于贪心算法的多次迭代，为每条攻击路径选取安全效用最大的候选响应措施构成措施集合，以供实现入侵防御，每次迭代中，从待阻断的攻击路径的候选响应措施中选取最大安全效用的候选响应措施，并将本次选取的响应措施作为已部署措施，重新计算剩余待阻断的攻击路径的候选响应措施的安全效用，用于下次迭代选取。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。