目标路径确定方法以及装置与流程

1.本说明书实施例涉及计算机技术领域，特别涉及一种目标路径确定方法。


背景技术：

2.随着互联网的发展，网络安全问题日益突出。为保障网络安全，互联网企业需要从被动的防御转变为主动的预测和防御，通过事前主动的模拟攻击预测，在发生攻击事件前发现可执行的攻击路径，做好相关修复和防御工作，因此，如何准确地预测出所有能够被覆盖的攻击路径成为了急需解决的问题。目前大多数网络攻击路径预测方法，是通过历史攻击案例和攻击经验确定的网络攻击路径，此种方式很难全面梳理网络中所有可能的攻击路径，进而，使得网络攻击的防御效果不佳。


技术实现要素：

3.有鉴于此，本说明书实施例提供了一种目标路径确定方法。本说明书一个或者多个实施例同时涉及一种目标路径确定装置，一种计算设备，一种计算机可读存储介质以及一种计算机程序，以解决现有技术中存在的技术缺陷。
4.根据本说明书实施例的第一方面，提供了一种目标路径确定方法，包括：
5.获取目标网络中至少两个资产节点的属性信息，基于所述属性信息确定所述至少两个资产节点之间的交互信息，其中，所述交互信息包括网络交互信息、物理交互信息和/或资源交互信息；
6.基于所述交互信息构建所述目标网络的所述至少两个资产节点之间的路径拓扑图；
7.在所述路径拓扑图中确定起始资产节点和目标资产节点的情况下，利用遍历算法计算所述起始资产节点和所述目标资产节点之间的所有目标路径。
8.根据本说明书实施例的第二方面，提供了一种目标路径确定装置，包括：
9.交互信息确定模块，被配置为获取目标网络中至少两个资产节点的属性信息，基于所述属性信息确定所述至少两个资产节点之间的交互信息，其中，所述交互信息包括网络交互信息、物理交互信息以及资源交互信息；
10.拓扑图构建模块，被配置为基于所述交互信息构建所述目标网络的所述至少两个资产节点之间的路径拓扑图；
11.路径确定模块，被配置为在所述路径拓扑图中确定起始资产节点和目标资产节点的情况下，利用遍历算法计算所述起始资产节点和所述目标资产节点之间的所有目标路径。
12.根据本说明书实施例的第三方面，提供了一种计算设备，包括：
13.存储器和处理器；
14.所述存储器用于存储计算机可执行指令，所述处理器用于执行所述计算机可执行指令，该计算机可执行指令被处理器执行时实现上述目标路径确定方法的步骤。
15.根据本说明书实施例的第四方面，提供了一种计算机可读存储介质，其存储有计算机可执行指令，该指令被处理器执行时实现上述目标路径确定方法的步骤。
16.根据本说明书实施例的第五方面，提供了一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行上述目标路径确定方法的步骤。
17.本说明书一个实施例提供了一种目标路径确定方法，获取目标网络中至少两个资产节点的属性信息，基于所述属性信息确定所述至少两个资产节点之间的交互信息，其中，所述交互信息包括网络交互信息、物理交互信息和/或资源交互信息；基于所述交互信息构建所述目标网络的所述至少两个资产节点之间的路径拓扑图；在所述路径拓扑图中确定起始资产节点和目标资产节点的情况下，利用遍历算法计算所述起始资产节点和所述目标资产节点之间的所有目标路径。
18.具体的，通过直接获取目标网络中的资产节点的属性信息，进而确定出每两个资产节点之间的交互信息，并构建路径拓扑图；在路径拓扑图中确定起始资产节点和目标资产节点之后，再利用遍历算法计算起始资产节点和目标资产节点之间的目标路径，通过该种方式，确定各个资产节点之间的可能存在的攻击关系，再计算任意两个资产节点之间所有的攻击路径，不仅避免了利用历史攻击案例和经验确定网络攻击路径所带来的不足，还能够确保不遗漏潜在的网络攻击路径，使得获知的网络攻击路径具有全面性，便于后续提高网络攻击的防御效果。
附图说明
19.图1是本说明书一个实施例提供的一种目标路径确定方法的应用场景示意图；
20.图2是本说明书一个实施例提供的一种目标路径确定方法的流程图；
21.图3是本说明书一个实施例提供的一种目标路径确定方法路径拓扑图的构建示意图；
22.图4是本说明书一个实施例提供的一种目标路径确定方法的处理示意图；
23.图5是本说明书一个实施例提供的一种目标路径确定装置的结构示意图；
24.图6是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
25.在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本说明书内涵的情况下做类似推广，因此本说明书不受下面公开的具体实施的限制。
26.在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
27.应当理解，尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书一个或多个实施例范围的情况下，第一也可以被称为第二，类
似地，第二也可以被称为第一。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
28.首先，对本说明书一个或多个实施例涉及的名词术语进行解释。
29.攻击路径：是指网络破坏者对网络中正常运行的设备或应用程序进行攻击破坏，所经过的攻击路径。
30.it资产：是指计算机、通讯及相关技术所涉及的设备资产，包括硬件设备以及软件设备。
31.拓扑图：可以理解为网络拓扑图，是由网络节点设备和通信介质构成的网络结构图。
32.遍历(traversal)：是指沿着某条搜索路线，依次对拓扑图中每个节点均做一次且仅做一次访问，访问节点所做的操作依赖于具体的应用问题。
33.堡垒机：可以理解为在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中监测、及时处理及审计定责。
34.域控：域控制器是windows(一种操作系统)在“域”模式下负责认证、管理等功能的服务器。
35.邮服：邮件服务器。
36.在对网络的安全水位评估的过程中，需要了解黑客都有哪些可能的攻击路径，然后再对可能的攻击路径进行实战模拟，从而检验网络中是否具有防御应对网络攻击的能力。目前，对于黑客的网络攻击，都是基于历史案例和攻击经验，对防御系统进行部署，很难全面地梳理所有可能的攻击路径，当前攻击路径确定方法通过主动或被动扫描绘制资产信息，以确定的拓扑图都会导致信息不全；或者还可通过收集网络资产信息，可行的网络漏洞信息建立拓扑图，都会导致拓扑图信息不全的情况发生，因此，上述方法的产出结果并没有能力覆盖所有黑客可能的攻击路径。基于此，本说明书实施例提供的目标路径确定方法，可通过直接从it系统获取资产节点，包括联网设备和非联网设备，以确保资产的全面性；同时，在建立拓扑图的过程中并不依赖漏洞信息，以使得网络中的拓扑图构建完善，便于后续在完善的拓扑图中确定黑客可能攻击的所有路径。
37.在本说明书中，提供了一种目标路径确定方法，本说明书同时涉及一种目标路径确定装置，一种计算设备，以及一种计算机可读存储介质，在下面的实施例中逐一进行详细说明。
38.需要说明的是，本说明书实施例提供的目标路径确定方法以黑客对网络中的资产节点进行攻击为例进行说明，以提出确定全面性的攻击路径的方案；同时，该目标路径确定方法中提及的黑客所攻击的目标网络的网络类型在此不做任何限定。
39.参见图1，图1示出了根据说明书一个实施例提供的一种目标路径确定方法的应用场景示意。
40.图1中包括服务器a、目标网络b、黑客c，以及攻击路径拓扑图。实际应用中，为了避免黑客c对目标网络b中的资产节点进行攻击破坏，服务器a对目标网络b中的所有资产节点之间可能会被黑客c所破坏的攻击路径进行事前确认；基于此，服务器a获取目标网络b中的所有资产节点的属性信息，并根据属性信息确定资产节点之间的交互信息，再根据交互信
息构建攻击路径拓扑图(如图1中右侧)，在确定攻击路径拓扑图之后，在该攻击路径拓扑图中确定起始攻击的节点和目标攻击的节点之后，可利用遍历算法计算两个资产节点之间的所有可能攻击的攻击路径；进而，服务器a可确定该攻击路径拓扑图中各个资产节点之间的所有攻击路径。
41.本说明书实施例提供的目标路径确定方法，通过确定目标网络中每个资产节点的属性信息，进而确定各个资产节点之间的交互信息，构建相应的攻击路径拓扑图，以实现获得黑客攻击的所有可能的攻击路径。
42.参见图2，图2示出了根据本说明书一个实施例提供的一种目标路径确定方法的流程图，具体包括以下步骤。
43.步骤202：获取目标网络中至少两个资产节点的属性信息，基于所述属性信息确定所述至少两个资产节点之间的交互信息。
44.其中，所述交互信息包括网络交互信息、物理交互信息和/或资源交互信息。
45.其中，目标网络可以理解为任意应用的网络系统，在此不做具体限定；资产节点可以理解为目标网络中的各个实体，包括应用节点、数据库节点、vpn节点、管理平台节点等等。
46.网络交互信息可以理解为目标网络中各个资产节点之间基于网络的数据发送的信息，比如，资产节点a通过http协议将数据发送到资产节点b(员工通过电脑访问内部网站)、资产节点a通过udp协议将数据发送到资产节点b(员工之间的视频会议通过udp进行数据传输)；物理交互信息可以理解为资产节点之间发生的物理设备交互的信息，比如，u盘、鼠标、键盘、数据线等设备接入电脑，蓝牙连接电脑终端的蓝牙接收器，无线电和车路抬杆系统的交互；资源交互信息可以理解为各个资产节点之间的历史连接信息，其具体的连接方式在此不做任何限定。
47.实际应用中，服务器在获取到目标网络的每个资产节点的属性信息之后，即可基于该属性信息确定每两个资产节点之间的交互信息，其中，资产节点的属性信息可以理解为资产节点的设备类型、配置属性信息、在网络中的连接状态信息等，进而，根据每个资产节点的属性信息，确定与该资产节点相连接或者具有交互关系的交互信息，其中，交互信息可以包括网络交互信息、物理交互信息和/或资源交互信息；需要说明的是，具体的交互信息在本说明书实施例中仅以上述三种类型为示例，不作任何限定。
48.为了避免在后续建立拓扑图中获取到的资产节点不全面，导致的黑客可能攻击的路径不全面，本说明书实施例提供的目标路径确定方法可直接从网络的资产库中确定资产节点，以建立更加全面的路径拓扑图；具体的，所述获取目标网络中至少两个资产节点的属性信息，包括：
49.从目标网络的资产库中确定至少两个资产节点，并获取每个资产节点的属性信息，其中，所述资产节点包括所述目标网络的联网设备和非联网设备。
50.其中，目标网络的资产库可以理解为目标网络中存储it设备的资产库，可包括当前网络中的联网设备和非联网设备。
51.实际应用中，服务器可从目标网络的资产库中确定所有的资产节点，包括目标网络中的联网设备和非联网设备，进而再获取每个资产节点(设备)对应的属性信息，比如，获取交易管理后台(资产节点)的处理数据的类型信息、后台运行状态信息、后台配置属性信
息、当前网络状态信息等等。
52.本说明书实施例提供是目标路径确定方法，对于资产节点的梳理方式，通过直接从it系统中直接获取，包括目标网络的联网设备和非联网设备，以保证资产节点的全面性，也为后续构建全面的路径拓扑图奠定了基础。
53.进一步地，所述基于所述属性信息确定所述至少两个资产节点之间的交互信息，包括：
54.基于所述属性信息确定每个资产节点的网络状态信息，基于所述网络状态信息确定所述至少两个资产节点之间的网络交互信息；
55.基于所述属性信息从预设信息库中获取每个资产节点的物理连接信息，并基于所述物理连接信息确定所述至少两个资产节点之间的物理交互信息；和/或
56.基于所述属性信息从预设信息库中确定每个资产节点的历史资源连接信息，并基于所述历史资源连接信息确定所述至少两个资产节点之间的资源交互信息。
57.实际应用中，任意两个资产节点之间的网络交互信息可以通过每个资产节点的个人属性信息确定网络状态信息，比如，数据传输所对应的网络协议、两个资产节点之间的网络连接状态等等；而对于物理交互信息以及资源交互信息，服务器都可通过从预设信息库中预先存储的各个资产节点之间的连接状态，比如数据线与服务器之间的连接状态、开发人员与数据库服务器之间的历史连接状态等等。
58.需要说明的是，网络交互信息、物理交互信息与资源交互信息的关系可以理解为和/或的关系，服务器根据获取到的各个资产节点之间的交互信息的具体内容，构建对应的路径拓扑图，获得的交互信息的不同，构建的路径拓扑图也会不相同。
59.本说明书实施例提供的目标路径确定方法，通过各个资产节点的属性信息确定资产节点之间的交互信息，进而根据交互信息构建路径拓扑图，该种方式并非采用历史黑客攻击的案例或者经验作为参考，而是采用全面覆盖资产节点的方式，确定各个资产节点之间的交互关系，以保证充分得知目标网路下各个资产节点之间的交互状态。
60.步骤204：基于所述交互信息构建所述目标网络的所述至少两个资产节点之间的路径拓扑图。
61.其中，路径拓扑图可以理解为网络拓扑图，拓扑图中对应的链路可表示各个资产节点之间的路径，即攻击路径。
62.实际应用中，服务器在确定目标网络中各个资产节点之间的交互信息之后，还可根据各个资产节点之间的交互信息构建该目标网络的路径拓扑图，其中，路径拓扑图中包括各个资产节点以及各个资产节点根据交互信息生成的链路。
63.参见图3，图3示出了本说明书实施例提供的目标路径确定方法路径拓扑图的构建示意图。
64.图3中包括两个部分，分别为(a)部分和(b)部分，且每个部分均包括资产节点a、资产节点b、资产节点c、资产节点d、资产节点e、资产节点f。
65.实际应用中，在服务器确定各个资产节点的属性信息之后，根据确定的各个资产节点之间的交互信息构建路径拓扑图，需要说明的是，路径拓扑图可以为具有有向关系的有向图(例如(a)所示)，也可以为仅具备连接关系的拓扑图(例如(b)所示)，其中，以图3中的(a)为例，其示出了建立各个资产节点之间的有向图，便于后续在该有向图的基础上，计
算任意两个资产节点之间的所有目标路径，即能够被黑客所攻击的攻击路径。
66.更进一步地，所述路径拓扑图根据从所述目标网络中实时确定的交互信息进行实时更新。
67.在实际应用中，服务器生成的目标网络的路径拓扑图并非是固定不变的，而是可以根据目标网络的各个资产节点的动态变换，改变了各个资产节点之间的交互信息，进而可实时地更新服务器生成的目标网络的路径拓扑图。
68.步骤206：在所述路径拓扑图中确定起始资产节点和目标资产节点的情况下，利用遍历算法计算所述起始资产节点和所述目标资产节点之间的所有目标路径。
69.其中，起始资产节点可以理解为黑客在目标网络中所攻击的起始资产节点，目标资产节点可以理解为黑客在目标网络中所攻击的终止资产节点，需要说明的，起始资产节点和目标资产节点可以为目标网络中所有资产节点的任意两个，在此不做具体限定。
70.实际应用中，服务器在路径拓扑图中，确定了起始资产节点和目标资产节点的情况下，可在路径拓扑图中利用遍历算法计算起始资产节点和目标资产节点之间的所有目标路径，进而，在保证了路径拓扑图中的资产节点比较全面的基础上，还能够保证任意两个资产节点之间可能的攻击路径的全面性。
71.本说明书实施例提供了第一种目标路径确定方法，通过在各个拓扑图中的资产节点之间的关联关系，确定任意两个资产节点之间的所有目标路径；具体的，所述在所述路径拓扑图中确定起始资产节点和目标资产节点的情况下，利用遍历算法计算所述起始资产节点和所述目标资产节点之间的所有目标路径，包括：
72.在所述路径拓扑图中确定起始资产节点和目标资产节点的情况下，从所述路径拓扑图中确定与所述起始资产节点和所述目标资产节点相关联的至少一个路径节点；
73.基于每个路径节点与其他节点之间的关联关系，利用遍历算法计算所述起始资产节点和所述目标资产节点之间的所有目标路径,
74.其中，其他节点包括除每个路径节点之外的其他路径节点、起始资产节点以及目标资产节点。
75.实际应用中，以路径拓扑图为仅具有关联关系的拓扑图为例，服务器在构建好的路径拓扑图中确定起始资产节点和目标资产节点的情况下，可在路径拓扑图中直接确定与该起始资产节点和目标资产节点相关联的至少一个路径节点，其中，与该起始资产节点和目标资产节点相关联的至少一个路径节点可以理解为在路径拓扑图中与起始资产节点具有链路关系的至少一个资产节点，以及与目标资产节点具有链路关系的至少一个资产节点；进一步地，服务器还可基于每个路径节点与其他节点之间的关联关系，再利用遍历算法计算起始资产节点和目标资产节点之间的所有目标路径；需要说明的是，上述其他节点可以理解为除每个路径节点之外的其他路径节点、起始资产节点以及目标资产节点。
76.例如，参考图3中(b)的路径拓扑图，资产节点a为起始资产节点,资产节点f为目标资产节点，进而，在路径拓扑图中确定与资产节点a相关联的路径节点为资产节点b、资产节点d；与资产节点f相关联的路径节点为资产节点b、资产节点c以及资产节点e。进而，再确定资产节点b与资产节点e、资产节点d、资产节点c的关联关系，利用遍历算法计算资产节点a和资产节点f之间的所有目标路径，其中，可所有目标路径包括a-b-e-f，a-b-f，a-b-c-f，a-d-c-f。
77.本说明书实施例提供的目标路径确定方法，可通过确定与起始资产节点和目标资产节点相关联的路径节点，进而确定路径节点之间的关联关系，再利用遍历算法计算起始资产节点和目标资产节点之间的所有目标路径，通过路径拓扑图保证黑客所能攻击的所有攻击路径被覆盖。
78.本说明书实施例提供了第二种目标路径确定方法，通过在各个拓扑图中的资产节点之间的有向关系，确定任意两个资产节点之间的所有目标路径；具体的，所述在所述路径拓扑图中确定起始资产节点和目标资产节点的情况下，利用遍历算法计算所述起始资产节点和所述目标资产节点之间的所有目标路径，包括：
79.在所述路径拓扑图中确定起始资产节点和目标资产节点的情况下，从所述路径拓扑图中确定与所述起始资产节点和所述目标资产节点相关联的至少一个路径节点；
80.基于每个路径节点与其他节点之间的有向关系，建立所述起始资产节点、所述目标资产节点、所述至少一个路径节点之间的邻接节点存储表，其中，其他节点包括除每个路径节点之外的其他路径节点、起始资产节点以及目标资产节点；
81.基于所述邻接节点存储表通过遍历算法计算所述起始资产节点和所述目标资产节点之间的所有目标路径。
82.其中，邻接节点存储表可以理解为基于路径拓扑图生成的相邻节点之间的存储表，在该存储表中可得知具有有向关系的节点之间的连接路径。
83.实际应用中，以路径拓扑图包括资产节点之间的有向关系为例，服务器不仅可在构建好的路径拓扑图中确定起始资产节点和目标资产节点，还可确定与起始资产节点和目标资产节点相关联的至少一个路径节点，同时还可基于每个路径节点与其他节点之间有向关系，建立起始资产节点、目标资产节点、至少一个路径节点之间的邻接节点存储表，以图3中的(a)路径拓扑图为例，邻接节点存储表中可包括下述表1的内容：
84.表1
85.ab
ꢀꢀ
abc abcfabe abefad
ꢀꢀ
adc adcf
86.需要说明的是，本实施例中提及的其他节点包括除每个路径节点之外的其他路径节点、起始资产节点以及目标资产节点；进一步地，服务器再基于该邻接节点存储表通过遍历算法计算起始资产节点和目标资产节点之间的所有目标路径。
87.本说明书实施例提供的目标路径确定方法，还可利用路径拓扑图中各个资产节点之间的有向关系，计算任意两个资产节点之间的所有目标路径，以实现在具有有向关系的路径拓扑图中能够确定覆盖所有黑客可能的攻击路径。
88.进一步地，所述基于所述邻接节点存储表通过遍历算法计算所述起始资产节点和所述目标资产节点之间的所有目标路径，包括：
89.基于所述邻接节点存储表中所述起始资产节点、所述目标资产节点、所述至少一个路径节点之间的关联关系，确定所述起始资产节点至所述目标资产节点之间的至少一个连接路径；
90.将所述起始资产节点至所述目标资产节点之间的至少一个连接路径，确定为所述起始资产节点和所述目标资产节点之间的所有目标路径。
91.实际应用中，服务器在确定的邻接节点存储表中即可明确起始资产节点、目标资产节点、至少一个路径节点之间的关联关系，进而，能够确定起始资产节点至目标资产节点之间的至少一个连接路径，沿用上例，其中，在上述邻接节点存储表中查询起始资产节点为a，目标资产节点为f的连接路径为a-b-c-f，a-b-e-f，a-d-c-f；进而，可将上述三条连接路径确定为起始资产节点a与目标资产节点f之间的所有目标路径；需要说明的是，本实施例中提及的遍历算法可以为有向图深度优先遍历算法。
92.本说明书实施例提供的目标路径确定方法，基于具有有向关系的路径拓扑图，建立对应的邻接节点存储表，进而判断起始资产节点和目标资产节点之间的至少一条连接路径，进而确定出所有可能被黑客所攻击的目标路径，该种方式能够较大限度地实现所有可能攻击路径的覆盖。
93.此外，服务器在确定目标网络中起始资产节点与目标资产节点之间的所有目标路径之后，还可对所有目标路径进行敏感性检测，以确定上述两个资产节点之间是否具有防御攻击的能力；具体的，所述利用遍历算法计算所述起始资产节点和所述目标资产节点之间的所有目标路径之后，还包括：
94.获取每条目标路径中各个资产节点的属性信息；
95.基于所述各个资产节点的属性信息确定路径检测策略，并基于所述路径检测策略对所述每条目标路径进行敏感检测；
96.基于敏感检测结果生成所述目标网络中所述起始资产节点与所述目标资产节点之间所有目标路径的敏感检测报告。
97.其中，路径检测策略可以理解为对每条资产节点之间的连接路径的检测方案，根据不同资产节点之间的连接方式、资产节点类型等属性信息，确定不同的防攻击检测策略。
98.实际应用中，服务器通过上述实施例中的方式能够确定出起始资产节点与目标资产节点之间的所有目标路径之后，可获取每条目标路径中所经过的各个资产节点的属性信息，以便于确定针对不同的目标路径的路径检测策略；为了更好地对每条目标路径进行网络攻击防护，服务器可根据不同的路径检测策略对相应的目标路径进行敏感检测，以判断当前目标路径中的防御能力，根据不同的防御能力确定每条目标路径对应的敏感检测结果，进而，基于该敏感检测结果生成该目标网络中起始资产节点与目标资产节点之间的所有目标路径的敏感检测报告。
99.需要说明的是，服务器可根据生成的敏感检测报告可对不同的目标路径实施后续的防御措施，以解决对目标网络的安全防御问题，本实施例中对具体的提高防御能力的实施方式在此则不作过多限定。
100.综上，本说明书实施例提供的目标路径确定方法，可通过直接从it系统获取资产节点，包括联网设备和非联网设备，以确保资产的全面性；同时，在建立拓扑图的过程中并不依赖漏洞信息，以使得网络中的拓扑图构建完善，便于后续在完善的拓扑图中能够覆盖
黑客可能攻击的所有路径。
101.下述结合附图4，以本说明书提供的目标路径确定方法在网络攻击的应用为例，对所述目标路径确定方法进行进一步说明。其中，图4示出了本说明书一个实施例提供的一种目标路径确定方法的处理过程示意图。
102.图4中包括多个资产节点，分别为黑客、客服、运维人员、开发人员、堡垒机、域控、邮服、vpn、应用1、应用2、应用3、应用4、应用5、应用6、应用7、应用9、自动化发布平台、配置管理平台、交易管理后台、数据库-客户信息、数据库备份服务器；还包括各个资产节点之间的连接链路，其中该连接链路中携带有向关系。
103.实际应用中，服务器可从目标网络的资产库中直接获取上述资产节点，并确定每个资产节点的属性信息，以构建图4中的具有有向关系的路径拓扑图，在确定黑客的资产节点为起始资产节点、数据库-客户信息节点为目标资产节点的情况下，可基于该路径拓扑图中的有向关系建立邻接节点存储表，在根据邻接节点存储表利用遍历算法确定黑客与数据库-客户信息之间的所有可能存在的目标路径，该目标路径即为黑客可能攻击的所有攻击路径。
104.进一步地，服务器还可对确定的所有攻击路径进行实战模拟，从而检验防御感知能力是否可以应对黑客的攻击，该种方式的产出结果将覆盖了所有黑客可能的攻击路径。
105.本说明书实施例提供的目标路径确定方法，通过直接获取每个资产节点的属性信息，保障目标网络中资产节点的全面性，进而通过路径拓扑图中各个资产节点之间的有向关系，利用遍历算法计算起始资产节点和目标资产节点之间的所有攻击路径，以获得攻击路径的全面性。
106.与上述方法实施例相对应，本说明书还提供了目标路径确定装置实施例，图5示出了本说明书一个实施例提供的一种目标路径确定装置的结构示意图。如图5所示，该装置包括：
107.交互信息确定模块502，被配置为获取目标网络中至少两个资产节点的属性信息，基于所述属性信息确定所述至少两个资产节点之间的交互信息，其中，所述交互信息包括网络交互信息、物理交互信息以及资源交互信息；
108.拓扑图构建模块504，被配置为基于所述交互信息构建所述目标网络的所述至少两个资产节点之间的路径拓扑图；
109.路径确定模块506，被配置为在所述路径拓扑图中确定起始资产节点和目标资产节点的情况下，利用遍历算法计算所述起始资产节点和所述目标资产节点之间的所有目标路径。
110.可选地，所述交互信息确定模块502，进一步被配置为：
111.基于所述属性信息确定每个资产节点的网络状态信息，基于所述网络状态信息确定所述至少两个资产节点之间的网络交互信息；
112.基于所述属性信息从预设信息库中获取每个资产节点的物理连接信息，并基于所述物理连接信息确定所述至少两个资产节点之间的物理交互信息；和/或
113.基于所述属性信息从预设信息库中确定每个资产节点的历史资源连接信息，并基于所述历史资源连接信息确定所述至少两个资产节点之间的资源交互信息。
114.可选地，所述交互信息确定模块502，进一步被配置为：
115.从目标网络的资产库中确定至少两个资产节点，并获取每个资产节点的属性信息，其中，所述资产节点包括所述目标网络的联网设备和非联网设备。
116.可选地，所述装置，还包括更新控制模块：
117.所述更新控制模块，被配置为控制所述路径拓扑图根据从所述目标网络中实时确定的交互信息进行实时更新。
118.可选地，所述路径确定模块506，进一步被配置为：
119.在所述路径拓扑图中确定起始资产节点和目标资产节点的情况下，从所述路径拓扑图中确定与所述起始资产节点和所述目标资产节点相关联的至少一个路径节点；
120.基于每个路径节点与其他节点之间的关联关系，利用遍历算法计算所述起始资产节点和所述目标资产节点之间的所有目标路径,
121.其中，其他节点包括除每个路径节点之外的其他路径节点、起始资产节点以及目标资产节点。
122.可选地，所述路径确定模块506，进一步被配置为：
123.在所述路径拓扑图中确定起始资产节点和目标资产节点的情况下，从所述路径拓扑图中确定与所述起始资产节点和所述目标资产节点相关联的至少一个路径节点；
124.基于每个路径节点与其他节点之间的有向关系，建立所述起始资产节点、所述目标资产节点、所述至少一个路径节点之间的邻接节点存储表，其中，其他节点包括除每个路径节点之外的其他路径节点、起始资产节点以及目标资产节点；
125.基于所述邻接节点存储表通过遍历算法计算所述起始资产节点和所述目标资产节点之间的所有目标路径。
126.可选地，所述路径确定模块506，进一步被配置为：
127.基于所述邻接节点存储表中所述起始资产节点、所述目标资产节点、所述至少一个路径节点之间的关联关系，确定所述起始资产节点至所述目标资产节点之间的至少一个连接路径；
128.将所述起始资产节点至所述目标资产节点之间的至少一个连接路径，确定为所述起始资产节点和所述目标资产节点之间的所有目标路径。
129.可选地，所述装置，还包括：
130.路径检测模块，被配置为获取每条目标路径中各个资产节点的属性信息；
131.基于所述各个资产节点的属性信息确定路径检测策略，并基于所述路径检测策略对所述每条目标路径进行敏感检测；
132.基于敏感检测结果生成所述目标网络中所述起始资产节点与所述目标资产节点之间所有目标路径的敏感检测报告。
133.本说明书实施例提供的目标路径确定装置，通过直接获取目标网络中的资产节点的属性信息，进而确定出每两个资产节点之间的交互信息，并构建路径拓扑图；在路径拓扑图中确定起始资产节点和目标资产节点之后，再利用遍历算法计算起始资产节点和目标资产节点之间的目标路径，通过该种方式，确定各个资产节点之间的可能存在的攻击关系，再计算任意两个资产节点之间所有的攻击路径，不仅避免了利用历史攻击案例和经验确定网络攻击路径所带来的不足，还能够确保不遗漏潜在的网络攻击路径，使得获知的网络攻击路径具有全面性，便于后续提高网络攻击的防御效果。
134.上述为本实施例的一种目标路径确定装置的示意性方案。需要说明的是，该目标路径确定装置的技术方案与上述的目标路径确定方法的技术方案属于同一构思，目标路径确定装置的技术方案未详细描述的细节内容，均可以参见上述目标路径确定方法的技术方案的描述。
135.图6示出了根据本说明书一个实施例提供的一种计算设备600的结构框图。该计算设备600的部件包括但不限于存储器610和处理器620。处理器620与存储器610通过总线630相连接，数据库650用于保存数据。
136.计算设备600还包括接入设备640，接入设备640使得计算设备600能够经由一个或多个网络660通信。这些网络的示例包括公用交换电话网(pstn)、局域网(lan)、广域网(wan)、个域网(pan)或诸如因特网的通信网络的组合。接入设备640可以包括有线或无线的任何类型的网络接口(例如，网络接口卡(nic))中的一个或多个，诸如ieee802.11无线局域网(wlan)无线接口、全球微波互联接入(wi-max)接口、以太网接口、通用串行总线(usb)接口、蜂窝网络接口、蓝牙接口、近场通信(nfc)接口，等等。
137.在本说明书的一个实施例中，计算设备600的上述部件以及图6中未示出的其他部件也可以彼此相连接，例如通过总线。应当理解，图6所示的计算设备结构框图仅仅是出于示例的目的，而不是对本说明书范围的限制。本领域技术人员可以根据需要，增添或替换其他部件。
138.计算设备600可以是任何类型的静止或移动计算设备，包括移动计算机或移动计算设备(例如，平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如，智能手机)、可佩戴的计算设备(例如，智能手表、智能眼镜等)或其他类型的移动设备，或者诸如台式计算机或pc的静止计算设备。计算设备600还可以是移动式或静止式的服务器。
139.其中，处理器620用于执行如下计算机可执行指令，该计算机可执行指令被处理器执行时实现上述目标路径确定方法的步骤。
140.上述为本实施例的一种计算设备的示意性方案。需要说明的是，该计算设备的技术方案与上述的目标路径确定方法的技术方案属于同一构思，计算设备的技术方案未详细描述的细节内容，均可以参见上述目标路径确定方法的技术方案的描述。
141.本说明书一实施例还提供一种计算机可读存储介质，其存储有计算机可执行指令，该计算机可执行指令被处理器执行时实现上述目标路径确定方法的步骤。
142.上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是，该存储介质的技术方案与上述的目标路径确定方法的技术方案属于同一构思，存储介质的技术方案未详细描述的细节内容，均可以参见上述目标路径确定方法的技术方案的描述。
143.本说明书一实施例还提供一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行上述目标路径确定方法的步骤。
144.上述为本实施例的一种计算机程序的示意性方案。需要说明的是，该计算机程序的技术方案与上述的目标路径确定方法的技术方案属于同一构思，计算机程序的技术方案未详细描述的细节内容，均可以参见上述目标路径确定方法的技术方案的描述。
145.上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来
执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
146.所述计算机指令包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。
147.需要说明的是，对于前述的各方法实施例，为了简便描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本说明书实施例并不受所描述的动作顺序的限制，因为依据本说明书实施例，某些步骤可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定都是本说明书实施例所必须的。
148.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。
149.以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书实施例的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本说明书实施例的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。