一种主机防护方法、装置、计算机设备及存储介质与流程

本公开涉及计算机，具体而言，涉及一种主机防护方法、装置、计算机设备及存储介质。

背景技术：

1、通常，在主机集群中会部署有多台主机，每台主机上部署的业务以及主机所处的环境可能各有不同，因此，这些主机可能面临着多种多样的风险。多数情况下，主机集群的环境较为复杂，用户不知如何进行安全防护，很难掌握主机的具体情况，导致用户难以发现主机存在的风险，或者在发现主机存在风险时，由于不了解主机的具体情况，不知如何确定各个主机的处置优先级，在发现风险时，应该从哪一台风险主机开始修复仍是困扰用户的难题。

技术实现思路

1、本公开实施例至少提供一种主机防护方法、装置以及系统。

2、第一方面，本公开实施例提供了一种主机防护方法，包括：

3、获取目标主机集群的风险拓扑图；所述风险拓扑图包含多个主机对应的节点，所述节点之间由根据所述节点之间的通信关系确定的、指示可攻击方向的连接边连接；所述风险拓扑图还指示有所述节点的第一风险评分，以及所述连接边的第二风险评分；

4、获取所述目标主机集群中各个节点的至少一种重要程度评分；

5、针对任一所述节点，基于所述节点的第一风险评分、与所述节点连接的各个连接边的第二风险评分、所述节点的所述至少一种重要程度评分，确定所述节点的防护优先级评分；

6、基于各个所述节点的所述防护优先级评分，确定所述目标主机集群中的各个节点的防护顺序，并基于所述防护顺序，对各个所述节点进行防护加强。

7、一种可选的实施方式中，通过以下步骤生成所述风险拓扑图：

8、获取所述目标主机集群中各节点的资产信息、网络参数信息以及通信传输数据；

9、基于所述资产信息、所述网络参数信息和所述通信传输数据，构建初始风险拓扑图；

10、对所述初始风险拓扑图中的各个所述节点以及连接边进行风险评估，并基于所述风险评估得到的风险评分对所述初始风险拓扑图进行更新，得到所述风险拓扑图。

11、一种可选的实施方式中，所述基于所述资产信息、所述网络参数信息和所述通信传输数据，构建初始风险拓扑图，包括：

12、基于所述网络参数信息以及所述通信传输数据，构建所述目标主机集群的主机网络通信拓扑图；以及，针对所述资产信息中的任一类资产信息，基于该类资产信息，构建该类资产信息的资产风险拓扑图；所述资产信息的类型包括主机免密登录关系信息、可访问资产信息中的至少一种；

13、基于各类所述资产数据对应的资产风险拓扑图以及所述主机网络通信拓扑图，构建所述初始风险拓扑图。

14、一种可选的实施方式中，所述重要程度评分包括以下评分中的至少一种：

15、业务关联评分、关键数据评分、系统影响程度评分、网络位置评分、功能重要程度评分、网络连接评分。

16、一种可选的实施方式中，通过以下步骤确定所述重要程度评分：

17、在所述重要程度评分包括业务关联评分的情况下，基于当前节点所承载的目标业务信息，以及与所述目标业务相关联的关联业务信息，确定所述当前节点的业务关联评分；

18、在所述重要程度评分包括关键数据评分的情况下，基于所述当前节点对应的关键数据的数量，确定所述当前节点的关键数据评分；

19、在所述重要程度评分包括系统影响程度评分的情况下，基于所述当前节点在所述目标主机集群中的关联节点数量，确定所述当前节点的系统影响程度评分；

20、在所述重要程度评分包括网络位置评分的情况下，基于所述当前节点在所述目标主机集群的网络拓扑图中，距离网络边界节点的跳转距离，确定所述当前节点的网络位置评分；

21、在所述重要程度评分包括功能重要程度评分的情况下，基于所述当前节点的功能特征标签，以及各类功能的重要程度信息，确定所述当前节点的功能重要程度评分；

22、在所述重要程度评分包括网络连接评分的情况下，基于与所述当前节点连接的其他节点的数量，确定所述当前节点的网络连接评分。

23、一种可选的实施方式中，所述基于所述节点的第一风险评分、与所述节点连接的各个连接边的第二风险评分、所述节点的所述至少一种重要程度评分，确定所述节点的防护优先级评分，包括：

24、获取所述第一风险评分的第一权重、所述第二风险评分的第二权重，以及所述节点的各种重要程度评分分别对应的第三权重；

25、利用所述第一权重、所述第二权重，以及所述第三权重，对所述第一风险评分、所述第二风险评分以及所述重要程度评分进行加权求和，得到所述防护优先级评分。

26、一种可选的实施方式中，所述基于所述节点的第一风险评分、与所述节点连接的各个连接边的第二风险评分、所述节点的所述至少一种重要程度评分，确定所述节点的防护优先级评分，包括：

27、利用决策树模型，基于所述第一风险评分、所述第二风险评分以及所述重要程度评分，对所述节点进行分类，得到所述节点对应的风险类型；

28、基于所述风险类型，确定所述节点的防护优先级评分。

29、一种可选的实施方式中，所述基于所述节点的第一风险评分、与所述节点连接的各个连接边的第二风险评分、所述节点的所述至少一种重要程度评分，确定所述节点的防护优先级评分，包括：

30、将所述第一风险评分、所述第二风险评分以及所述重要程度评分输入至训练好的神经网络模型，得到所述神经网络模型输出的所述节点的防护优先级评分。

31、第二方面，本公开实施例还提供一种主机防护装置，包括：

32、第一获取模块，用于获取目标主机集群的风险拓扑图；所述风险拓扑图包含多个主机对应的节点，所述节点之间由根据所述节点之间的通信关系确定的、指示可攻击方向的连接边连接；所述风险拓扑图还指示有所述节点的第一风险评分，以及所述连接边的第二风险评分；

33、第二获取模块，用于获取所述目标主机集群中各个节点的至少一种重要程度评分；

34、评分模块，用于针对任一所述节点，基于所述节点的第一风险评分、与所述节点连接的各个连接边的第二风险评分、所述节点的所述至少一种重要程度评分，确定所述节点的防护优先级评分；

35、防护模块，用于基于各个所述节点的所述防护优先级评分，确定所述目标主机集群中的各个节点的防护顺序，并基于所述防护顺序，对各个所述节点进行防护加强。

36、一种可选的实施方式中，所述装置还包括生成模块，用于：

37、获取所述目标主机集群中各节点的资产信息、网络参数信息以及通信传输数据；

38、基于所述资产信息、所述网络参数信息和所述通信传输数据，构建初始风险拓扑图；

39、对所述初始风险拓扑图中的各个所述节点以及连接边进行风险评估，并基于所述风险评估得到的风险评分对所述初始风险拓扑图进行更新，得到所述风险拓扑图。

40、一种可选的实施方式中，所述生成模块在基于所述资产信息、所述网络参数信息和所述通信传输数据，构建初始风险拓扑图时，用于：

41、基于所述网络参数信息以及所述通信传输数据，构建所述目标主机集群的主机网络通信拓扑图；以及，针对所述资产信息中的任一类资产信息，基于该类资产信息，构建该类资产信息的资产风险拓扑图；所述资产信息的类型包括主机免密登录关系信息、可访问资产信息中的至少一种；

42、基于各类所述资产数据对应的资产风险拓扑图以及所述主机网络通信拓扑图，构建所述初始风险拓扑图。

43、一种可选的实施方式中，所述重要程度评分包括以下评分中的至少一种：

44、业务关联评分、关键数据评分、系统影响程度评分、网络位置评分、功能重要程度评分、网络连接评分。

45、一种可选的实施方式中，所述装置还包括确定模块，用于：

46、在所述重要程度评分包括业务关联评分的情况下，基于当前节点所承载的目标业务信息，以及与所述目标业务相关联的关联业务信息，确定所述当前节点的业务关联评分；

47、在所述重要程度评分包括关键数据评分的情况下，基于所述当前节点对应的关键数据的数量，确定所述当前节点的关键数据评分；

48、在所述重要程度评分包括系统影响程度评分的情况下，基于所述当前节点在所述目标主机集群中的关联节点数量，确定所述当前节点的系统影响程度评分；

49、在所述重要程度评分包括网络位置评分的情况下，基于所述当前节点在所述目标主机集群的网络拓扑图中，距离网络边界节点的跳转距离，确定所述当前节点的网络位置评分；

50、在所述重要程度评分包括功能重要程度评分的情况下，基于所述当前节点的功能特征标签，以及各类功能的重要程度信息，确定所述当前节点的功能重要程度评分；

51、在所述重要程度评分包括网络连接评分的情况下，基于与所述当前节点连接的其他节点的数量，确定所述当前节点的网络连接评分。

52、一种可选的实施方式中，所述评分模块具体用于：

53、获取所述第一风险评分的第一权重、所述第二风险评分的第二权重，以及所述节点的各种重要程度评分分别对应的第三权重；

54、利用所述第一权重、所述第二权重，以及所述第三权重，对所述第一风险评分、所述第二风险评分以及所述重要程度评分进行加权求和，得到所述防护优先级评分。

55、一种可选的实施方式中，所述评分模块具体用于：

56、利用决策树模型，基于所述第一风险评分、所述第二风险评分以及所述重要程度评分，对所述节点进行分类，得到所述节点对应的风险类型；

57、基于所述风险类型，确定所述节点的防护优先级评分。

58、一种可选的实施方式中，所述评分模块具体用于：

59、将所述第一风险评分、所述第二风险评分以及所述重要程度评分输入至训练好的神经网络模型，得到所述神经网络模型输出的所述节点的防护优先级评分。

60、第三方面，本公开可选实现方式还提供一种计算机设备，处理器、存储器，所述存储器存储有所述处理器可执行的机器可读指令，所述处理器用于执行所述存储器中存储的机器可读指令，所述机器可读指令被所述处理器执行时，所述机器可读指令被所述处理器执行时执行上述第一方面，或第一方面中任一种可能的实施方式中的步骤。

61、第四方面，本公开可选实现方式还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被运行时执行上述第一方面，或第一方面中任一种可能的实施方式中的步骤。

62、关于上述主机防护装置、计算机设备、及计算机可读存储介质的效果描述参见上述主机防护方法的说明，这里不再赘述。

63、应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，而非限制本公开的技术方案。

64、本公开实施例提供的主机防护方法、装置、计算机设备及存储介质，能够利用目标主机集群的风险拓扑图，确定出目标主机集群内各个节点的风险评分，以及节点之间通信关系的风险评分，从而找到目标主机集群中存在风险的节点，并利用节点的重要程度评分，综合上述节点及通信关系的风险评分，确定出各个节点的防护优先级评分，从而实现优先防护风险程度高、又对用户重要的节点，降低被攻击时的损失，提高目标主机集群的安全程度。

65、为使本公开的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。