一种网络安全运营方法和装置与流程

本技术涉及网络安全，特别是涉及一种网络安全运营方法和装置。

背景技术：

1、活动目录(active directory,ad)域安全运营是网络安全中的一项关键任务，涉及到管理和维护组织的身份认证、授权和访问控制。大型组织通常拥有庞大的ad域结构，包含数千甚至数十万个对象，因此，管理和维护这些对象是一个复杂的挑战。并且，随着时间的变化可能出现人员组织架构或者网络设备的变动，为了稳定维护ad域的安全需要定期对ad域进行安全检查和风险报告。但是，定期由人工进行完整的ad域评估会耗费大量的人力物力，造成资源的浪费。

2、因此，如何提高网络安全运营的效率并降低网络安全运营成本，是亟需解决的问题。

技术实现思路

1、本技术提供了一种网络安全运营方法和装置，用于提高网络安全运营的效率并降低网络安全运营成本。

2、第一方面，本技术提供了一种网络安全运营方法，包括：

3、根据局域网的资产信息中的对象之间的关联关系构建第一知识图谱；

4、根据预设方法从第一知识图谱中获取目标节点集合；

5、根据目标节点集合输出至少一条第一类路径，至少一条第一类路径满足第一预设条件，删除至少一条第一类路径上的目标节点对应的对象及对象的关联关系；和/或，根据目标节点集合输出至少一条第二类路径，至少一条第二类路径满足第二预设条件，对至少一条第二类路径上的目标节点对应的对象及对象的关联关系执行告警。

6、在本方法中，通过对局域网的资产信息构建知识图谱，基于知识图谱识别安全风险，可以省去对不必要信息的关注，仅关注与网络安全相关的信息，并基于知识图谱，可以实现由设备自动化识别网络安全风险，例如输出至少一条第一类路径和/或至少一条第二类路径，可以提高网络安全运营的效率并降低网络安全运营成本；

7、并且，本方法针对不同风险采用不同的处理策略，例如针对可自动修复的风险，设备自动执行修复(如删除至少一条第一类路径)，针对不可自动修复的风险，则通过告警使得人工参与修复(如对至少一条第二类路径执行告警)，从而保障网络安全修复的可靠性。

8、可选的，资产信息包括以下的一项或多项：局域网中的对象、局域网中的对象的权限、局域网中的对象的属性、局域网中对象之间的关系、局域网的网络配置、局域网中的安全信息和/或局域网的管理策略。

9、可选的，根据局域网的资产信息中的对象之间的关联关系构建知识图谱，包括：为局域网中的每个对象创建对应的节点；根据局域网中对象之间的关联关系创建节点之间的路径关系；根据路径关系构建第一知识图谱。

10、可选的，根据路径关系构建知识图谱，还包括：根据节点之间的路径关系为节点之间的路径设置权重；权重与删除路径需要的操作数量、该路径关联的节点数量中的至少一项相关。

11、在本方式中，在构建知识图谱时为节点之间的路径设置权重，便于决策模块根据该权重大小，即修复风险的代价大小，作为确定至少一条第一类路径和/或至少一条第二类路径的一项条件，进而便于选择以较小的代价修复风险问题，可以提高网络安全运营的效率并降低网络安全运营成本。

12、可选的，根据预设方法从第一知识图谱中获取目标节点集合，包括：根据第一知识图谱中节点对应的对象的权限信息确定出一个或多个第一节点，得到第一节点集合；根据第一知识图谱中节点对应的对象的安全信息确定出一个或多个第二节点，得到第二节点集合；根据第一知识图谱中节点之间的路径关系从第二节点集合中确定出一个或多个目标节点，得到目标节点集合；其中，目标节点集合中的每个目标节点与第一节点集合中的至少一个第一节点连通。

13、可选的，第一知识图谱中节点对应的对象的权限信息包括以下一项或多项：局域网中默认高权限；局域网中的关键服务的控制权限；第一节点对应的对象关联的对象的数量超过预设数量。

14、可选的，第一知识图谱中节点对应的对象的安全信息包括：薄弱配置、安全漏洞中的至少一项。

15、可选的，第一预设条件包括以下一项或多项条件：至少一条第一类路径被删除后，目标节点集合中的每个目标节点和第一节点集合中的每个第一节点不连通；至少一条第一类路径中所有第一类路径的权重之和小于第一阈值；第一类路径的路径关系不包含业务依赖关系；业务依赖关系表示：第一类路径上的第一节点对应的对象实现的业务依赖于第一节点相连的目标节点对应的对象来实现。

16、可选的，目标节点既是第一节点也是第二节点，至少一条第一类路径包括该目标节点指向该目标节点的路径。

17、可选的，第二预设条件包括以下一项或多项条件：至少一条第二类路径被删除后，目标节点集合中的存在目标节点和第一节点集合中的至少一个第一节点连通；至少一条第二类路径中所有第二类路径的权重之和大于第二阈值；第二类路径的路径关系包含依赖关系；业务依赖关系表示：第一类路径上的第一节点对应的对象实现的业务依赖于第一节点相连的目标节点对应的对象来实现。

18、在本方式中，可以在不同的应用场景下根据实际需求选择，至少一条第一类路径或者至少一条第二类路径需要满足的条件，进而可以在当前场景不影响业务的情况下降低局域网整体的安全风险，提高网络安全运营的效率并降低网络安全运营成本。

19、可选的，根据目标节点集合输出至少一条第一类路径，包括：在至少一条第一类路径被删除后目标节点集合中的所有目标节点和第一节点不连通且第一类路径的路径关系不包含业务依赖关系的情况下，输出权重之和最小的第一类路径集合，至少一条第一类路径为第一类路径集合中的路径。

20、在本方式中，提供了一种修复安全风险的最优方案，使得至少一条第一类路径被删除后目标节点集合中的所有目标节点和第一节点不连通且第一类路径的路径关系不包含业务依赖关系的情况下，输出权重之和最小的第一类路径集合，可以实现在不影响业务的情况下降低局域网整体的安全风险且消耗的成本最小。

21、可选的，根据第一知识图谱中节点对应的对象的权限信息确定出一个或多个第一节点；根据第一知识图谱中节点对应的对象的安全信息确定出一个或多个第二节点，包括：遍历第一知识图谱中的所有节点，确定出一个或多个第一节点和一个或多个第二节点；或者，比较第一知识图谱和第二知识图谱，确定出差异部分；从差异部分中确定出至少一个第一节点，基于至少一个第一节点更新第四节点集合，得到第一节点集合，以及从差异部分确定出至少一个第二节点，基于至少一个第二节点更新第五节点集合，得到第二节点集合；

22、其中，第一知识图谱为第一时段构建的知识图谱；第二知识图谱为第二时段构建的知识图谱，第二时段位于第一时段之前；第四节点集合为基于所述第二知识图谱确定出的所有第一节点构成的集合；第五节点集合为基于所述第二知识图谱确定出的所有第二节点构成的集合。

23、在本方式中，通过比较第一知识图谱和第二知识图谱并输出差异部分中的至少一个第一节点和至少一个第二节点，仅对新增的节点进行判断，通过增量对比的方式可以减小风险识别范围，进一步提高效率，降低成本。

24、第二方面，本技术提供了一种网络安全运营装置，包括：

25、观察模块，用于：根据局域网的资产信息中的对象之间的关联关系构建第一知识图谱；根据预设方法从第一知识图谱中获取目标节点集合；

26、决策模块，用于：根据目标节点集合输出至少一条第一类路径；至少一条第一类路径满足第一预设条件；和/或，根据目标节点集合输出至少一条第二类路径；至少一条第二类路径满足第二预设条件；

27、行动模块，用于：删除至少一条第一类路径上的目标节点对应的对象及对象的关联关系；和/或，对至少一条第二类路径上的目标节点对应的对象及对象的关联关系执行告警。

28、可选的，资产信息包括以下的一项或多项：局域网中的对象、局域网中的对象的权限、局域网中的对象的属性、局域网中对象之间的关系、局域网的网络配置、局域网中的安全信息和/或局域网的管理策略。

29、可选的，观察模块在根据局域网的资产信息中的对象之间的关联关系构建知识图谱时，用于：为局域网中的每个对象创建对应的节点；根据局域网中对象之间的关联关系创建节点之间的路径关系；根据路径关系构建第一知识图谱。

30、可选的，观察模块在根据路径关系构建第一知识图谱时，用于：根据节点之间的路径关系为节点之间的路径设置权重；权重与删除路径需要的操作数量、该路径关联的节点数量中的至少一项相关。

31、可选的，观察模块在根据预设方法从第一知识图谱中获取目标节点集合时，用于：根据第一知识图谱中节点对应的对象的权限信息确定出一个或多个第一节点，得到第一节点集合；根据第一知识图谱中节点对应的对象的安全信息确定出一个或多个第二节点，得到第二节点集合；根据第一知识图谱中节点之间的路径关系从第二节点集合中确定出一个或多个目标节点，得到目标节点集合；其中，目标节点集合中的每个目标节点与第一节点集合中的至少一个第一节点连通。

32、可选的，第一知识图谱中节点对应的对象的权限信息包括以下一项或多项：局域网中默认高权限；局域网中的关键服务的控制权限；第一节点对应的对象关联的对象的数量超过预设数量。

33、可选的，第一知识图谱中节点对应的对象的安全信息包括：薄弱配置、安全漏洞中的至少一项。

34、可选的，第一预设条件包括以下一项或多项条件：至少一条第一类路径被删除后，目标节点集合中的每个目标节点和第一节点集合中的每个第一节点不连通；至少一条第一类路径中所有第一类路径的权重之和小于第一阈值；第一类路径的路径关系不包含业务依赖关系；业务依赖关系表示：第一类路径上的第一节点对应的对象实现的业务依赖于第一节点相连的目标节点对应的对象来实现。

35、可选的，目标节点既是第一节点也是第二节点时，至少一条第一类路径包括该目标节点指向该目标节点的路径。

36、可选的，第二预设条件包括以下一项或多项条件：至少一条第二类路径被删除后，目标节点集合中的存在目标节点和第一节点集合中的至少一个第一节点连通；至少一条第二类路径中所有第二类路径的权重之和大于第二阈值；第二类路径的路径关系包含依赖关系；业务依赖关系表示：第一类路径上的第一节点对应的对象实现的业务依赖于第一节点相连的目标节点对应的对象来实现。

37、可选的，决策模块在根据目标节点集合输出至少一条第一类路径时，用于：在至少一条第一类路径被删除后目标节点集合中的所有目标节点和第一节点不连通且第一类路径的路径关系不包含业务依赖关系的情况下，输出权重之和最小的第一类路径集合，至少一条第一类路径为第一类路径集合中的路径。

38、可选的，观察模块在根据第一知识图谱中节点对应的对象的权限信息确定出一个或多个第一节点；根据第一知识图谱中节点对应的对象的安全信息确定出一个或多个第二节点时，用于：遍历第一知识图谱中的所有节点，确定出一个或多个第一节点和一个或多个第二节点；

39、或者，该装置还包括调整模块，调整模块用于：比较第一知识图谱和第二知识图谱，确定出差异部分；从差异部分中确定出至少一个第一节点，基于至少一个第一节点更新第四节点集合，得到第一节点集合，以及从差异部分确定出至少一个第二节点，基于至少一个第二节点更新第五节点集合，得到第二节点集合；其中，第一知识图谱为第一时段构建的知识图谱；第二知识图谱为第二时段构建的知识图谱，第二时段位于第一时段之前；第四节点集合为基于所述第二知识图谱确定出的所有第一节点构成的集合；第五节点集合为基于所述第二知识图谱确定出的所有第二节点构成的集合；

40、第三方面，本技术提供一种电子设备，包括至少一个处理器，该至少一个处理器用于执行存储器中存储的计算机程序时实现如第一方面或第一方面任一项可选的实施方式中的方法被实现。

41、第四方面，本技术提供一种计算机可读存储介质，该计算机可读存储介质用于存储指令，当指令被执行时，使如第一方面或第一方面任一项可选的实施方式中的方法被实现。

42、本技术实施例中第二、第三、以及第四方面中提供的一个或多个技术方案所具有的技术效果或优点，均可以由第一方面中提供的对应的一个或多个技术方案所具有的技术效果或优点对应解释。