CN109327449A - 一种攻击路径还原方法、电子装置和计算机可读存储介质 - Google Patents
一种攻击路径还原方法、电子装置和计算机可读存储介质 Download PDFInfo
- Publication number
- CN109327449A CN109327449A CN201811252653.3A CN201811252653A CN109327449A CN 109327449 A CN109327449 A CN 109327449A CN 201811252653 A CN201811252653 A CN 201811252653A CN 109327449 A CN109327449 A CN 109327449A
- Authority
- CN
- China
- Prior art keywords
- attack
- event
- target
- assets
- restored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种攻击路径还原方法、电子装置和计算机可读存储介质,通过在基于告警产生的攻击事件中,获取与待还原资产相关的目标攻击事件,确定各目标攻击事件中待还原资产的身份为源IP还是目的IP,从而确定待还原资产为受害者的目标攻击事件,以及该目标攻击事件的攻击阶段;继而基于待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段,还原待还原资产的被攻击路径。基于上述描述可知,本申请是基于资产在目标攻击事件中的角色,及目标攻击事件的发生时间和攻击阶段,还原被攻击路径,鉴于目标攻击事件发生在一段时间内,还原的被攻击路径可反映一定时间内资产上遭受的攻击的规律,有利于提高网络的威胁感知能力和预测能力。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种攻击路径还原方法、电子装置和计算机可读存储介质。
背景技术
入侵攻击链(Intrusion Kill Chain),是洛克希德·马丁(Lockheed Martin)公司的安全专家,在2011年提出来的用来保护计算机及网络安全的框架。他们提到,网络攻击是分阶段发生,并可以通过在每个阶段建立有效的防御机制中断攻击行为。而当前关于攻击发现的方法主要还依靠入侵检测设备或算法模型对流量进行分析,这种发现攻击的方式有以下缺点:
1.攻击发现感知到的基本为单点、单一时刻的威胁;
2.使用这种攻击发现威胁的方法使得网络安全响应对高级持续性威胁(AdvancedPersistent Threat,APT)感知无效。
发明内容
本申请实施例提供一种攻击路径还原方法、电子装置和计算机可读存储介质,可以还原资产被入侵的历史痕迹,有效提高威胁感知和预测能力。
本申请实施例第一方面提供一种攻击路径还原方法,该方法包括:
在基于告警产生的攻击事件中,获取与待还原资产相关的目标攻击事件,其中,所述告警基于所述待还原资产所处的网络中被感知到的网络攻击产生,对每个所述告警分别生成了对应的攻击事件,网络攻击被划分为预设阶数的攻击阶段;
确定各所述目标攻击事件中所述待还原资产的身份为源IP还是目的IP;
基于各所述目标攻击事件中所述待还原资产的身份,确定所述待还原资产为受害者的目标攻击事件,以及所述目标攻击事件的攻击阶段;
基于所述待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段,还原所述待还原资产的被攻击路径,其中,同一条被攻击路径中在先的目标攻击事件比在后的目标攻击事件的发生时间更早,攻击阶段更低。
可选的,所述基于各所述目标攻击事件中所述待还原资产的身份,确定所述待还原资产为受害者的目标攻击事件,以及所述目标攻击事件的攻击阶段包括:
若所述待还原资产在某目标攻击事件中的身份为源IP,则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件,所述目标攻击事件的攻击阶段为预设的高阶攻击阶段内的阶段;
若所述待还原资产在某目标攻击事件中的身份为目的IP,则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件,所述目标攻击事件的攻击阶段为所述目标攻击事件对应的网络攻击的攻击阶段。
可选的,所述若所述待还原资产在某目标攻击事件中的身份为源IP,则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件,所述目标攻击事件的攻击阶段为预设的高阶攻击阶段内的阶段包括:
若所述待还原资产在某目标攻击事件的身份为源IP,则对所述待还原资产而言,将所述目标攻击事件的攻击者标记为预设IP,受害者标记为所述源IP,将所述目标攻击事件的状态标记为攻陷状态,若所述目标攻击事件对应的网络攻击的攻击阶段不在预设的高阶攻击阶段内,则将所述目标攻击事件的攻击阶段标记为预设的高阶攻击阶段中最高阶的攻击阶段,否则,将所述目标攻击事件的攻击阶段标记为所述目标攻击事件对应的网络攻击的攻击阶段;
所述若所述待还原资产在某目标攻击事件中的身份为目的IP,则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件,所述目标攻击事件的攻击阶段为所述目标攻击事件对应的网络攻击的攻击阶段包括:
若所述待还原资产在某目标攻击事件的身份为目的IP,则对所述待还原资而言,将所述目标攻击事件的攻击者标记为所述目标攻击事件的源IP,受害者标记为所述目的IP,所述目标攻击事件的攻击阶段标记为所述目标攻击事件对应的网络攻击的攻击阶段,若所述目标攻击事件对应的网络攻击的攻击阶段在预设的攻陷攻击阶段范围内,则将所述目标攻击事件的状态标记为攻陷状态,否则,标记为非攻陷状态。
可选的,在基于所述待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段,还原所述待还原资产的被攻击路径前,还包括:
对所述待还原资产为受害者的目标攻击事件,保留对还原所述待还原资产的被攻击路径的贡献程度相对较高的目标攻击事件,滤除其余的目标攻击事件。
可选的,所述对所述待还原资产为受害者的目标攻击事件,保留对还原所述待还原资产的被攻击路径的贡献程度相对较高的目标攻击事件包括:
对所述待还原资产为受害者的目标攻击事件,保留同一发生时间中攻击阶段相对较高的至少一个目标攻击事件;
或者,对所述待还原资产为受害者的目标攻击事件,保留同一发生时间中攻击阶段相对较高的至少一个目标攻击事件,对保留的目标攻击事件中,再保留相同攻击阶段下发生时间相对较早的至少一个目标攻击事件。
可选的,所述基于所述待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段,还原所述待还原资产的被攻击路径包括:
对所述待还原资产为受害者的目标攻击事件,基于各个目标攻击事件的发生时间和攻击阶段进行排序,其中,发生时间在前的目标攻击事件排列在前,若发生时间相同,则攻击阶段更低的目标攻击事件排列在前;
从第二个目标攻击事件开始遍历至最后一个目标攻击事件,将每一个遍历到的目标攻击事件与排列在前的没有父节点的目标攻击事件进行比较,将所述没有父节点的目标攻击事件中相较于所述遍历到的目标攻击事件,发生时间和攻击阶段均更低的目标攻击事件,作为所述遍历到的目标攻击事件的子节点;
在遍历结束后,根据各个子节点和父节点的对应关系,还原所述待还原资产的被攻击路径。
可选的,还包括:在所述告警持续生成的情况下,按照预设时间间隔更新所述待还原资产的被攻击路径。
本申请实施例第二方面提供一种电子装置,该电子装置包括:
事件获取模块,用于在基于告警产生的攻击事件中,获取与待还原资产相关的目标攻击事件,其中,所述告警基于所述待还原资产所处的网络中被感知到的网络攻击产生,对每个所述告警分别生成了对应的攻击事件,网络攻击被划分为预设阶数的攻击阶段;
身份确定模块,用于确定各所述目标攻击事件中所述待还原资产的身份为源IP还是目的IP;
事件确定模块,用于基于各所述目标攻击事件中所述待还原资产的身份,确定所述待还原资产为受害者的目标攻击事件,以及所述目标攻击事件的攻击阶段;
还原模块,用于基于所述待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段,还原所述待还原资产的被攻击路径,其中,同一条被攻击路径中在先的目标攻击事件比在后的目标攻击事件的发生时间更早,攻击阶段更低。
本申请实施例第三方面提供一种电子装置,该电子装置,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时,实现上述实施例第一方面提供的攻击路径还原方法中的步骤。
本申请实施例第四方面提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现上述实施例第一方面提供的攻击路径还原方法中的步骤。
本申请实施例提供了一种攻击路径还原方法、电子装置和计算机可读存储介质,通过在基于告警产生的攻击事件中,获取与待还原资产相关的目标攻击事件,确定各目标攻击事件中待还原资产的身份为源IP还是目的IP,从而确定待还原资产为受害者的目标攻击事件,以及该目标攻击事件的攻击阶段;继而基于待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段,还原待还原资产的被攻击路径,本申请实施例中,同一条被攻击路径中在先的目标攻击事件比在后的目标攻击事件的发生时间更早,攻击阶段更低。基于本申请的上述方案可知,本申请是从网络中的资产的角度考虑,基于资产在其相关的目标攻击事件中的角色,以及这些目标攻击事件的发生时间和攻击阶段,还原资产的被攻击路径,鉴于资产相关的目标攻击事件发生在一段时间之内,还原的被攻击路径一定程度上可以反映一定时间内资产上遭受的攻击的规律,尤其是APT的规律,有助于提高网络的威胁感知能力和威胁预测能力。
附图说明
图1为本申请提供的攻击路径还原方法的一个实施例流程示意图;
图2为本申请中标记目标攻击事件的方法示意图;
图3为本申请中目标攻击事件在坐标系中的分布示意图;
图4为本申请中归并目标攻击事件的方法示意图;
图5为本申请中确定目标攻击事件中子节点和父节点的方法示意图;
图6为本申请中还原的一待还原资产的被攻击路径的示意图;
图7为本申请提供的电子装置的一个实施例的结构示意图;
图8为本申请提供的电子装置的另一各实施例的结构示意图。
具体实施方式
为使得本申请的发明目的、特征、优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而非全部实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
现有技术中,针对入侵检测设备或算法模型流量分析,发现的基本是大量的单点、单一时刻的威胁,存在无法感知APT攻击的问题,本申请实施例提供了一种攻击路径还原方法,可以发现局域网等网络中资产的树状威胁拓扑,还原资产被入侵的痕迹,得到资产的被攻击路径,提升网络对资产的威胁预测能力和感知能力,尤其是提升对APT攻击的预测能力和感知能力。
参见图1,本实施例的攻击路径还原方法包括如下的步骤:
步骤101、在基于告警产生的攻击事件中,获取与待还原资产相关的目标攻击事件,其中,告警基于待还原资产所处的网络中被感知到的网络攻击产生,对每个告警分别生成了对应的攻击事件,网络攻击被划分为预设阶数的攻击阶段;
本实施例中,本实施例的方案可以是针对局域网中的资产进行攻击路径的还原,也可以是针对其他类型的网络中的资源进行被攻击路径的还原,本实施例对此没有限制。
本实施例中上述告警可以是传统入侵检测设备或算法模型,在检测到网络被入侵(或被攻击)时输出的告警。
本实施例的方案可以在待还原资产所在网络中的某个终端上实现,也可以在其他可用的终端上实现,本实施例对此没有限制。在基于告警产生的攻击事件中,获取与待还原资产相关的目标攻击事件的具体步骤包括:获取网络中基于被感知到的网络攻击产生的告警,根据这些告警生成攻击事件,获取资产IP列表,从资产IP列表中选择待还原资产,获取与待还原资产相关的攻击事件为目标攻击事件,其中,资产IP列表为网络中资产的IP的列表。本实施例中,对于获取告警和获取资产IP列表的步骤的顺序没有限制。
在根据告警生成攻击事件后,形成了告警与攻击事件之间对应的字典,可选的,每个攻击事件具有(或包含)触发其对应的告警的入侵发生的时间戳(也即各个攻击事件的发生时间),本实施例中的网络攻击被划分为预设阶数的攻击阶段,按照不同的划分标准,阶数可能不同,但是可以理解的是,阶数越高,对资产的入侵(或攻击)越严重。可选的,网络攻击的攻击阶段可以按照入侵攻击链,划分为7个阶段,从第1个攻击阶段到第7个攻击阶段分别为侦查、工具制作、投送、攻击渗透、安装工具、命令控制和恶意活动,攻击阶段越高,入侵越严重。
可选的,与待还原资产相关的目标攻击事件可以是待还原资产为目标攻击事件的源IP或目的IP的事件。
本实施例中,还可以为资产设置重要等级,例如将资产划分为3个等级,等级越高,资产越重要,然后对不同等级的资产,按照不同的时间间隔进行本实施例的攻击路径还原方法的步骤,对重要等级越高的资产,时间间隔可以约小,对重要等级越低的资产,时间间隔可以越大。可选的,在基于告警产生的攻击事件中,获取与待还原资产相关的目标攻击事件前,还包括:获取待还原资产的重要等级,获取待还原资产的重要等级对应的时间间隔。在基于告警产生的攻击事件中,获取与待还原资产相关的目标攻击事件可以是按照待还原资产的重要等级对应的时间间隔,在基于告警产生的攻击事件中,获取与待还原资产相关的目标攻击事件。
步骤102、确定各目标攻击事件中待还原资产的身份为源IP还是目的IP;
各目标攻击事件中待还原资产的身份为源IP还是目的IP,在目标攻击事件中有相关的记录。步骤103、基于各目标攻击事件中待还原资产的身份,确定待还原资产为受害者的目标攻击事件,以及目标攻击事件的攻击阶段;
本实施例中,若待还原资产在目标攻击事件中为源IP,可以理解的是,该待还原资产一般是在遭受了某种网络攻击之后才会发起攻击,为了便于感知待还原资产遭受的攻击,将待还原资产为源IP和目的IP的目标攻击事件,均作为待还原资产为受害者的目标攻击事件。
步骤104、基于待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段,还原待还原资产的被攻击路径,其中,同一条被攻击路径中在先的目标攻击事件比在后的目标攻击事件的发生时间更早,攻击阶段更低。
进一步的,本实施例中,考虑到目标攻击事件中,若待还原资产为源IP,则其肯定是在某个IP的控制下发起的攻击,待还原资产很大可能已经被入侵到很深的地步,所以本实施例中,将待还原资产为源IP的目标攻击事件的攻击阶段设置为比较高的阶段,有助于发现待还原资产在经受了什么样的攻击事件之后发起了目标攻击事件。
可选的,基于各目标攻击事件中待还原资产的身份,确定待还原资产为受害者的目标攻击事件,以及目标攻击事件的攻击阶段包括:
若待还原资产在某目标攻击事件中的身份为源IP,则确定目标攻击事件对待还原资产而言是待还原资产为受害者的目标攻击事件,目标攻击事件的攻击阶段设置为预设的高阶攻击阶段内的阶段;
若待还原资产在某目标攻击事件中的身份为目的IP,则确定目标攻击事件对待还原资产而言是待还原资产为受害者的目标攻击事件,目标攻击事件的攻击阶段为目标攻击事件对应的网络攻击的攻击阶段。
预设的高阶攻击阶段中,待还原资产已经在控制方的恶意控制下了。例如,针对于上述例举的7个攻击阶段,预设的高阶攻击阶段为6和7阶,若某目标攻击事件中待还原资产的身份为源IP,则其攻击阶段为6和7阶中的一个。
可选的,本实施例中可以采用如下的步骤确定待还原资产在某目标攻击事件中的身份为源IP时,目标攻击事件的攻击阶段设置在预设的高阶攻击阶段内的哪一阶:若待还原资产在某目标攻击事件中的身份为源IP,该目标攻击事件实际的攻击阶段不在预设的高阶攻击阶段内,则将该目标攻击事件的攻击阶段设为最高阶攻击阶段,如上述的7阶,若目标攻击事件实际的攻击阶段在预设的高阶攻击阶段内,则该目标攻击事件的攻击阶段为其实际的攻击阶段。但是应当理解的是,本实施例并不局限于上述的方案来确定目标攻击事件的攻击阶段。
本实施例中,可以在确定目标攻击事件的攻击阶段时,对目标攻击事件进行一系列的标记,可选的,若待还原资产在某目标攻击事件中的身份为源IP,则确定目标攻击事件对待还原资产而言是待还原资产为受害者的目标攻击事件,目标攻击事件的攻击阶段为预设的高阶攻击阶段内的阶段包括:
若所述待还原资产在某目标攻击事件的身份为源IP,则对所述待还原资产而言,将所述目标攻击事件的攻击者标记为预设IP,受害者标记为所述源IP,将所述目标攻击事件的状态标记为攻陷状态,若所述目标攻击事件对应的网络攻击的攻击阶段不在预设的高阶攻击阶段内,则将所述目标攻击事件的攻击阶段标记为预设的高阶攻击阶段中最高阶的攻击阶段,否则,将所述目标攻击事件的攻击阶段标记为所述目标攻击事件对应的网络攻击的攻击阶段;
若待还原资产在某目标攻击事件中的身份为目的IP,则确定目标攻击事件对待还原资产而言是待还原资产为受害者的目标攻击事件,目标攻击事件的攻击阶段为目标攻击事件对应的网络攻击的攻击阶段包括:
若所述待还原资产在某目标攻击事件的身份为目的IP,则对所述待还原资而言,将所述目标攻击事件的攻击者标记为所述目标攻击事件的源IP,受害者标记为所述目的IP,所述目标攻击事件的攻击阶段标记为所述目标攻击事件对应的网络攻击的攻击阶段,若所述目标攻击事件对应的网络攻击的攻击阶段在预设的攻陷攻击阶段范围内,则将所述目标攻击事件的状态标记为攻陷状态,否则,标记为非攻陷状态。
可选的,在预设的攻陷攻击阶段范围内,被还原资产至少已经处于被安装工具的阶段,从入侵攻击链的概念,本申请中,若目标攻击事件中资产作为目的IP,以攻击链阶段为5、6和7阶段的目标攻击事件为攻陷事件;若资产作为源IP发起目标攻击事件,则资产相关的事件为失陷事件。
下面结合图2,站在目标攻击事件的角度对上述的标记进行说明,参见图2,对于一个目标攻击事件而言,若是仅源IP为资产,则只进行图2右侧的标记,将攻击者attacker标记为0.0.0.0,受害者victim标记为sip即源IP(即待还原资产),将攻陷状态(fell)标记为1(目标攻击事件为攻陷事件),若目标攻击事件的实际攻击阶段低于6阶,则修改为7阶,否则保持阶数不变。对于一个目标攻击事件而言,若是仅目的IP为资产,则只进行图2左侧的标记,将攻击者(attacker)标记为源IP,受害者victim标记为目的IP(即dip),若目标攻击事件的实际攻击阶段低于5阶,将攻陷状态(fell)标记为0,若目标攻击事件的实际攻击阶段不低于5阶,将攻陷状态fell)标记为1(目标攻击事件为失陷事件)。
对于一个目标攻击事件而言,若其源IP和目的IP均为资产,则图2中右侧和左侧的标记均要进行,对于源IP而言,目标攻击事件的标记为右侧的标记,对于目的IP而言,目标攻击事件的标记为左侧的标记。
本实施例中,在确定各个目标攻击事件的发生时间和攻击阶段后,可以以时间为横轴、攻击阶段为竖轴建立坐标系,在坐标系中标出各个目标攻击事件的位置。例如,还是以入侵攻击链的阶段划分为例,图3示出了一个资产的多个目标攻击事件的坐标,图3中,一个方格表示一个目标攻击事件,s代表攻击阶段,取值1至7,t代表时间,类似于图3的每一张图记录了一个资产作为受害者的所有目标攻击事件。
可选的,本实施例中的告警可以是以秒或者毫秒为单位生成,可以理解的是,同一时刻中可能有不同阶段的告警产生,为了减少大量低价值的告警,减少消耗,本实施例中提出一种攻击事件归并方法,可选的,在基于待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段,还原待还原资产的被攻击路径前,还包括:对待还原资产为受害者的目标攻击事件,保留对还原待还原资产的被攻击路径的贡献程度相对较高的目标攻击事件,滤除其余的目标攻击事件。
在滤除一部分目标攻击事件之后,作为还原待还原资产的被攻击路径的目标攻击事件的数量得到了减少,降低了消耗。
进一步的,对待还原资产为受害者的目标攻击事件,保留对还原待还原资产的被攻击路径的贡献程度相对较高的目标攻击事件包括:对待还原资产为受害者的目标攻击事件,保留同一发生时间中攻击阶段相对较高的至少一个目标攻击事件;或者,对待还原资产为受害者的目标攻击事件,保留同一发生时间中攻击阶段相对较高的至少一个目标攻击事件,对保留的目标攻击事件中,再保留相同攻击阶段下发生时间相对较早的至少一个目标攻击事件。
图4是本实施例中对待还原资产为受害者的目标攻击事件的归并的示意图,参见图4,对标记之后的目标攻击事件而言,可以对同一时间片的目标攻击事件比较,保留同一时间片中攻击阶段的阶数相对较高的目标攻击事件,例如对图3中的t5时刻,保留阶段为7和5的目标攻击事件,在对每个时间片的目标攻击事件分别进行比对之后,可以比较同一攻击阶段中是否存在多个目标攻击事件,若是,只保留其中较先发生的目标攻击事件(例如保留最先发生的目标攻击事件)。
本实施例中,可以基于树结构的思想来还原被攻击路径,可选的,基于待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段,还原待还原资产的被攻击路径包括:
对待还原资产为受害者的目标攻击事件,基于各个目标攻击事件的发生时间和攻击阶段进行排序,其中,发生时间在前的目标攻击事件排列在前,若发生时间相同,则攻击阶段更低的目标攻击事件排列在前;
从第二个目标攻击事件开始遍历至最后一个目标攻击事件,将每一个遍历到的目标攻击事件与排列在前的没有父节点的目标攻击事件进行比较,将没有父节点的目标攻击事件中相较于遍历到的目标攻击事件,发生时间和攻击阶段均更低的目标攻击事件,作为遍历到的目标攻击事件的子节点;
在遍历结束后,根据各个子节点和父节点的对应关系,还原待还原资产的被攻击路径。
参见图5,图5中示出了对归并之后的事件如何确定子节点和父节点的过程,在确定目标攻击事件中当前到遍历的节点a之后,寻找排列在该节点a之前的所有无父节点的节点b,对于每一个节点b,比较a与b的攻击阶段(stage)和发生时间(time),若a.stage>b.stage且a.time>b.time,则修改该b节点为a的子节点,即图5中的修改b节点B.fatherld=a.logid,之后更新节点a之前的节点的状态,直到a之前无父节点的各节点b都与节点a进行了上述的比较后,对节点a之后的节点,进行与上述类似的操作。
在遍历了所有的目标攻击事件之后,对子节点和父节点进行相应的连接,可以得到至少一条从子节点指向对应的父节点的被攻击路径,子节点和父节点构成的被攻击路径的示意图如图6所示。可选的,本实施例中,为了降低消耗,在告警持续生成的情况下,可以按照预设时间间隔更新待还原资产的被攻击路径,即按照一定的时间间隔对告警生成攻击事件,避免过于频繁更新资产被攻击路径带来的大量消耗。
为解决现有技术中的问题,本申请实施例还提供一种电子装置,参见图7,该电子装置包括:
事件获取模块701,用于在基于告警产生的攻击事件中,获取与待还原资产相关的目标攻击事件,其中,告警基于待还原资产所处的网络中被感知到的网络攻击产生,对每个告警分别生成了对应的攻击事件,网络攻击被划分为预设阶数的攻击阶段;
身份确定模块702,用于确定各目标攻击事件中待还原资产的身份为源IP还是目的IP;
事件确定模块703,用于基于各目标攻击事件中待还原资产的身份,确定待还原资产为受害者的目标攻击事件,以及目标攻击事件的攻击阶段;
还原模块704,用于基于待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段,还原待还原资产的被攻击路径,其中,同一条被攻击路径中在先的目标攻击事件比在后的目标攻击事件的发生时间更早,攻击阶段更低。
可选的,事件确定模块703,用于若所述待还原资产在某目标攻击事件中的身份为源IP,则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件,所述目标攻击事件的攻击阶段为预设的高阶攻击阶段内的阶段;若所述待还原资产在某目标攻击事件中的身份为目的IP,则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件,所述目标攻击事件的攻击阶段为所述目标攻击事件对应的网络攻击的攻击阶段。
可选的,事件确定模块703,用于若所述待还原资产在某目标攻击事件的身份为源IP,则对所述待还原资产而言,将所述目标攻击事件的攻击者标记为预设IP,受害者标记为所述源IP,将所述目标攻击事件的状态标记为攻陷状态,若所述目标攻击事件对应的网络攻击的攻击阶段不在预设的高阶攻击阶段内,则将所述目标攻击事件的攻击阶段标记为预设的高阶攻击阶段中最高阶的攻击阶段,否则,将所述目标攻击事件的攻击阶段标记为所述目标攻击事件对应的网络攻击的攻击阶段。事件确定模块703,用于若所述待还原资产在某目标攻击事件的身份为目的IP,则对所述待还原资而言,将所述目标攻击事件的攻击者标记为所述目标攻击事件的源IP,受害者标记为所述目的IP,所述目标攻击事件的攻击阶段标记为所述目标攻击事件对应的网络攻击的攻击阶段,若所述目标攻击事件对应的网络攻击的攻击阶段在预设的攻陷攻击阶段范围内,则将所述目标攻击事件的状态标记为攻陷状态,否则,标记为非攻陷状态。
可选的,电子装置还包括事件归并模块,该事件归并模块,用于对待还原资产为受害者的目标攻击事件,保留对还原待还原资产的被攻击路径的贡献程度相对较高的目标攻击事件,滤除其余的目标攻击事件。
可选的,事件归并模块,用于对待还原资产为受害者的目标攻击事件,保留同一发生时间中攻击阶段相对较高的至少一个目标攻击事件;或者,对待还原资产为受害者的目标攻击事件,保留同一发生时间中攻击阶段相对较高的至少一个目标攻击事件,对保留的目标攻击事件中,再保留相同攻击阶段下发生时间相对较早的至少一个目标攻击事件。
可选的,还原模块704,用于对待还原资产为受害者的目标攻击事件,基于各个目标攻击事件的发生时间和攻击阶段进行排序,其中,发生时间在前的目标攻击事件排列在前,若发生时间相同,则攻击阶段更低的目标攻击事件排列在前;从第二个目标攻击事件开始遍历至最后一个目标攻击事件,将每一个遍历到的目标攻击事件与排列在前的没有父节点的目标攻击事件进行比较,将没有父节点的目标攻击事件中相较于遍历到的目标攻击事件,发生时间和攻击阶段均更低的目标攻击事件,作为遍历到的目标攻击事件的子节点;在遍历结束后,根据各个子节点和父节点的对应关系,还原待还原资产的被攻击路径。
可选的,电子装置还包括更新模块,用于在告警持续生成的情况下,控制电子装置按照预设时间间隔更新待还原资产的被攻击路径。
图8为本申请实施例提供一种电子装置。该电子装置可用于实现图1所示实施例中的攻击路径还原方法。如图8所示,该电子装置主要包括:
存储器801、处理器802及存储在存储器801上并可在处理器802上运行的计算机程序,处理器802执行该计算机程序时,实现图1所示实施例中的攻击路径还原方法。
上述存储器801和处理器802,通过总线803连接。
存储器801可以是高速随机存取记忆体(RAM,Random Access Memory)存储器,也可为非不稳定的存储器(non-volatile memory),例如磁盘存储器。存储器801用于存储一组可执行程序代码,处理器802与存储器801耦合。
由上可见,本申请方案是基于资产在目标攻击事件中的角色,及目标攻击事件的发生时间和攻击阶段,还原被攻击路径,鉴于目标攻击事件发生在一段时间内,还原的被攻击路径可反映一定时间内资产上遭受的攻击的规律,有利于提高网络的威胁感知能力和预测能力。
进一步的,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质可以是设置于上述各实施例中的电子装置中,该计算机可读存储介质可以是前述图8所示实施例中的存储器。该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现图1所示实施例中的攻击路径还原方法。进一步的,该计算机可存储介质还可以是U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的可读存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本申请所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上为对本申请所提供的攻击路径还原方法、电子装置及计算机可读存储介质的描述,对于本领域的技术人员,依据本申请实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种攻击路径还原方法,其特征在于,包括:
在基于告警产生的攻击事件中,获取与待还原资产相关的目标攻击事件,其中,所述告警基于所述待还原资产所处的网络中被感知到的网络攻击产生,对每个所述告警分别生成了对应的攻击事件,网络攻击被划分为预设阶数的攻击阶段;
确定各所述目标攻击事件中所述待还原资产的身份为源IP还是目的IP;
基于各所述目标攻击事件中所述待还原资产的身份,确定所述待还原资产为受害者的目标攻击事件,以及所述目标攻击事件的攻击阶段;
基于所述待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段,还原所述待还原资产的被攻击路径,其中,同一条被攻击路径中在先的目标攻击事件比在后的目标攻击事件的发生时间更早,攻击阶段更低。
2.根据权利要求1所述的攻击路径还原方法,其特征在于,所述基于各所述目标攻击事件中所述待还原资产的身份,确定所述待还原资产为受害者的目标攻击事件,以及所述目标攻击事件的攻击阶段包括:
若所述待还原资产在某目标攻击事件中的身份为源IP,则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件,所述目标攻击事件的攻击阶段为预设的高阶攻击阶段内的阶段;
若所述待还原资产在某目标攻击事件中的身份为目的IP,则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件,所述目标攻击事件的攻击阶段为所述目标攻击事件对应的网络攻击的攻击阶段。
3.根据权利要求2所述的攻击路径还原方法,其特征在于,所述若所述待还原资产在某目标攻击事件中的身份为源IP,则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件,所述目标攻击事件的攻击阶段为预设的高阶攻击阶段内的阶段包括:
若所述待还原资产在某目标攻击事件的身份为源IP,则对所述待还原资产而言,将所述目标攻击事件的攻击者标记为预设IP,受害者标记为所述源IP,将所述目标攻击事件的状态标记为攻陷状态,若所述目标攻击事件对应的网络攻击的攻击阶段不在预设的高阶攻击阶段内,则将所述目标攻击事件的攻击阶段标记为预设的高阶攻击阶段中最高阶的攻击阶段,否则,将所述目标攻击事件的攻击阶段标记为所述目标攻击事件对应的网络攻击的攻击阶段;
所述若所述待还原资产在某目标攻击事件中的身份为目的IP,则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件,所述目标攻击事件的攻击阶段为所述目标攻击事件对应的网络攻击的攻击阶段包括:
若所述待还原资产在某目标攻击事件的身份为目的IP,则对所述待还原资而言,将所述目标攻击事件的攻击者标记为所述目标攻击事件的源IP,受害者标记为所述目的IP,所述目标攻击事件的攻击阶段标记为所述目标攻击事件对应的网络攻击的攻击阶段,若所述目标攻击事件对应的网络攻击的攻击阶段在预设的攻陷攻击阶段范围内,则将所述目标攻击事件的状态标记为攻陷状态,否则,标记为非攻陷状态。
4.根据权利要求1所述的攻击路径还原方法,其特征在于,在基于所述待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段,还原所述待还原资产的被攻击路径前,还包括:
对所述待还原资产为受害者的目标攻击事件,保留对还原所述待还原资产的被攻击路径的贡献程度相对较高的目标攻击事件,滤除其余的目标攻击事件。
5.根据权利要求4所述的攻击路径还原方法,其特征在于,所述对所述待还原资产为受害者的目标攻击事件,保留对还原所述待还原资产的被攻击路径的贡献程度相对较高的目标攻击事件包括:
对所述待还原资产为受害者的目标攻击事件,保留同一发生时间中攻击阶段相对较高的至少一个目标攻击事件;
或者,对所述待还原资产为受害者的目标攻击事件,保留同一发生时间中攻击阶段相对较高的至少一个目标攻击事件,对保留的目标攻击事件中,再保留相同攻击阶段下发生时间相对较早的至少一个目标攻击事件。
6.根据权利要求1-5任一项所述的攻击路径还原方法,其特征在于,所述基于所述待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段,还原所述待还原资产的被攻击路径包括:
对所述待还原资产为受害者的目标攻击事件,基于各个目标攻击事件的发生时间和攻击阶段进行排序,其中,发生时间在前的目标攻击事件排列在前,若发生时间相同,则攻击阶段更低的目标攻击事件排列在前;
从第二个目标攻击事件开始遍历至最后一个目标攻击事件,将每一个遍历到的目标攻击事件与排列在前的没有父节点的目标攻击事件进行比较,将所述没有父节点的目标攻击事件中相较于所述遍历到的目标攻击事件,发生时间和攻击阶段均更低的目标攻击事件,作为所述遍历到的目标攻击事件的子节点;
在遍历结束后,根据各个子节点和父节点的对应关系,还原所述待还原资产的被攻击路径。
7.根据权利要求1-5任一项所述的攻击路径还原方法,其特征在于,还包括:在所述告警持续生成的情况下,按照预设时间间隔更新所述待还原资产的被攻击路径。
8.一种电子装置,其特征在于,包括:
事件获取模块,用于在基于告警产生的攻击事件中,获取与待还原资产相关的目标攻击事件,其中,所述告警基于所述待还原资产所处的网络中被感知到的网络攻击产生,对每个所述告警分别生成了对应的攻击事件,网络攻击被划分为预设阶数的攻击阶段;
身份确定模块,用于确定各所述目标攻击事件中所述待还原资产的身份为源IP还是目的IP;
事件确定模块,用于基于各所述目标攻击事件中所述待还原资产的身份,确定所述待还原资产为受害者的目标攻击事件,以及所述目标攻击事件的攻击阶段;
还原模块,用于基于所述待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段,还原所述待还原资产的被攻击路径,其中,同一条被攻击路径中在先的目标攻击事件比在后的目标攻击事件的发生时间更早,攻击阶段更低。
9.一种电子装置,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时,实现权利要求1至7中任意一项所述方法中的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至7中的任意一项所述方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811252653.3A CN109327449B (zh) | 2018-10-25 | 2018-10-25 | 一种攻击路径还原方法、电子装置和计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811252653.3A CN109327449B (zh) | 2018-10-25 | 2018-10-25 | 一种攻击路径还原方法、电子装置和计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109327449A true CN109327449A (zh) | 2019-02-12 |
CN109327449B CN109327449B (zh) | 2021-10-12 |
Family
ID=65261685
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811252653.3A Expired - Fee Related CN109327449B (zh) | 2018-10-25 | 2018-10-25 | 一种攻击路径还原方法、电子装置和计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109327449B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110958257A (zh) * | 2019-12-06 | 2020-04-03 | 北京中睿天下信息技术有限公司 | 一种内网渗透过程还原方法和*** |
CN111147504A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
CN111277561A (zh) * | 2019-12-27 | 2020-06-12 | 北京威努特技术有限公司 | 网络攻击路径预测方法、装置及安全管理平台 |
CN113312625A (zh) * | 2021-06-21 | 2021-08-27 | 深信服科技股份有限公司 | 一种攻击路径图构建方法、装置、设备、介质 |
CN113364780A (zh) * | 2021-06-08 | 2021-09-07 | 国家计算机网络与信息安全管理中心 | 网络攻击受害者确定方法、设备、存储介质及装置 |
US11399036B2 (en) * | 2019-07-17 | 2022-07-26 | AO Kaspersky Lab | Systems and methods for correlating events to detect an information security incident |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060140127A1 (en) * | 2004-12-29 | 2006-06-29 | Hee-Jo Lee | Apparatus for displaying network status |
KR20060088420A (ko) * | 2005-02-01 | 2006-08-04 | 최용락 | 아이피 헤더 마킹기법을 이용한 공격자 역추적 시스템 및방법 |
CN105337951A (zh) * | 2014-08-15 | 2016-02-17 | 中国电信股份有限公司 | 对***攻击进行路径回溯的方法与装置 |
CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | ***通信集团广东有限公司 | 攻击路径还原方法及装置 |
-
2018
- 2018-10-25 CN CN201811252653.3A patent/CN109327449B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060140127A1 (en) * | 2004-12-29 | 2006-06-29 | Hee-Jo Lee | Apparatus for displaying network status |
KR20060088420A (ko) * | 2005-02-01 | 2006-08-04 | 최용락 | 아이피 헤더 마킹기법을 이용한 공격자 역추적 시스템 및방법 |
CN105337951A (zh) * | 2014-08-15 | 2016-02-17 | 中国电信股份有限公司 | 对***攻击进行路径回溯的方法与装置 |
CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | ***通信集团广东有限公司 | 攻击路径还原方法及装置 |
Non-Patent Citations (1)
Title |
---|
陈晨 等: "政府网站综合防护***攻击事件回溯关键技术研究", 《警察技术》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11399036B2 (en) * | 2019-07-17 | 2022-07-26 | AO Kaspersky Lab | Systems and methods for correlating events to detect an information security incident |
CN110958257A (zh) * | 2019-12-06 | 2020-04-03 | 北京中睿天下信息技术有限公司 | 一种内网渗透过程还原方法和*** |
CN111147504A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
CN111277561A (zh) * | 2019-12-27 | 2020-06-12 | 北京威努特技术有限公司 | 网络攻击路径预测方法、装置及安全管理平台 |
CN113364780A (zh) * | 2021-06-08 | 2021-09-07 | 国家计算机网络与信息安全管理中心 | 网络攻击受害者确定方法、设备、存储介质及装置 |
CN113364780B (zh) * | 2021-06-08 | 2022-11-04 | 国家计算机网络与信息安全管理中心 | 网络攻击受害者确定方法、设备、存储介质及装置 |
CN113312625A (zh) * | 2021-06-21 | 2021-08-27 | 深信服科技股份有限公司 | 一种攻击路径图构建方法、装置、设备、介质 |
CN113312625B (zh) * | 2021-06-21 | 2024-01-02 | 深信服科技股份有限公司 | 一种攻击路径图构建方法、装置、设备、介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109327449B (zh) | 2021-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109327449A (zh) | 一种攻击路径还原方法、电子装置和计算机可读存储介质 | |
JP7167240B2 (ja) | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム | |
CN103532949B (zh) | 基于动态反馈的自适应木马通信行为检测方法 | |
US11895124B2 (en) | Method of data-efficient threat detection in a computer network | |
CN102882881B (zh) | 针对dns服务的拒绝服务攻击的数据过滤方法 | |
CN106330964A (zh) | 一种网络入侵探测与主动防御联动控制装置 | |
CN110839031B (zh) | 一种基于强化学习的恶意用户行为智能检测*** | |
Yang et al. | Distributed agents model for intrusion detection based on AIS | |
CN109784043A (zh) | 攻击事件还原方法、装置、电子设备及存储介质 | |
Savenko et al. | Botnet detection technique for corporate area network | |
CN106973051B (zh) | 建立检测网络威胁模型的方法、装置和存储介质 | |
WO2017176676A1 (en) | Graph-based fusing of heterogeneous alerts | |
Bahareth et al. | Constructing attack scenario using sequential pattern mining with correlated candidate sequences | |
Zhang et al. | IDS alert classification model construction using decision support techniques | |
CN113114489B (zh) | 一种网络安全态势评估方法、装置、设备及存储介质 | |
Beynier | Cooperative multiagent patrolling for detecting multiple illegal actions under uncertainty | |
CN115801458B (zh) | 一种针对多步攻击的实时攻击场景重构方法、***与设备 | |
CN113518062B (zh) | 攻击检测方法、装置及计算机设备 | |
Belej et al. | Development of a network attack detection system based on hybrid neuro-fuzzy algorithms. | |
Suthaharan | An iterative ellipsoid-based anomaly detection technique for intrusion detection systems | |
Lopez–Yepez et al. | Increasing attacker engagement on SSH honeypots using semantic embeddings of cyber-attack patterns and deep reinforcement learning | |
Maruhashi et al. | Multiaspectspotting: spotting anomalous behavior within count data using tensor | |
Mai et al. | When hackers err: The impacts of false positives on information security games | |
Shen et al. | An adaptive Markov game model for cyber threat intent inference | |
Sangeetha et al. | Fuzzy rule-base based intrusion detection system on application layer |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20211012 Termination date: 20211025 |