CN115664863B - 一种网络攻击事件处理方法、装置、存储介质及设备 - Google Patents
一种网络攻击事件处理方法、装置、存储介质及设备 Download PDFInfo
- Publication number
- CN115664863B CN115664863B CN202211679280.4A CN202211679280A CN115664863B CN 115664863 B CN115664863 B CN 115664863B CN 202211679280 A CN202211679280 A CN 202211679280A CN 115664863 B CN115664863 B CN 115664863B
- Authority
- CN
- China
- Prior art keywords
- node
- data structure
- information
- target
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供一种网络攻击事件处理方法、装置、存储介质及设备,该方法中,以目标攻击事件发生的进程或主机为起点来建立可视化图,并按照进程的调用关系添加节点,以还原整个事件的发生过程,之后,将可视化图转换为抽象的数据结构,再输入存储有多个预先定义的网络攻击事件的数据结构的分析判断***,以获取针对该目标攻击事件的判定结果。如此,通过可视化操作,强化了对特异的网络攻击事件的归纳处理,而且,通过转换出的抽象数据结构与分析判断***的联合使用,可以有效防御下一次类似入侵事件的攻击。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种网络攻击事件处理方法、装置、存储介质以及电子设备。
背景技术
网络攻击事件是指通过网络或其他技术手段,利用信息***的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息***实施攻击,并造成信息***异常或对信息***当前运行造成潜在危害的信息安全事件。对网络攻击事件进行处理,是打击网络攻击行为的一种常用且有效的手段。
目前,相关技术中针对网络攻击事件的告警方式,主要集中于日志式的反映。然而,这一方式仅能对具有已公开的入侵方式及其日志关联结构,或者经过分析师研判后,可预判出入侵路径及其日志关联结构的网络攻击事件进行自动化判定处置,无法高效处理特异的、未归纳分析的网络攻击事件。
发明内容
本申请实施例的目的在于提供一种网络攻击事件处理方法、装置、存储介质及设备,旨在解决相关技术中存在的无法高效处理特异的、未归纳分析的网络攻击事件的问题。
第一方面,本申请实施例提供的一种网络攻击事件处理方法,所述方法包括:
以目标攻击事件发生的进程或主机为起始节点,建立所述目标攻击事件的可视化图,并按照进程的调用关系,在所述可视化图中添加节点;
将所述可视化图转换为目标数据结构;所述目标数据结构是所述可视化图中包含的节点信息以及节点关联信息的抽象表示;
将所述目标数据结构输入分析判断***,得到针对所述目标攻击事件的判定结果;所述分析判断***中存储有多个预先定义的网络攻击事件的数据结构。
在上述实现过程中,以目标攻击事件发生的进程或主机为起点来建立可视化图,并按照进程的调用关系添加节点,以还原整个事件的发生过程,之后,将可视化图转换为抽象的数据结构,再输入存储有多个预先定义的网络攻击事件的数据结构的分析判断***,以获取针对该目标攻击事件的判定结果。如此,通过可视化操作,强化了对特异的网络攻击事件的归纳处理,而且,通过转换出的抽象数据结构与分析判断***的联合使用,可以有效防御下一次类似入侵事件的攻击。
进一步地,在一些实施例中,所述方法还包括:
按照节点的外部信息,在所述可视化图中添加节点;
所述外部信息是通过外部数据源查询到的针对各节点的信息。
在上述实现过程中,通过补充外部信息,可以完善出整个事件树,从而反映出目标攻击事件的发生过程。
进一步地,在一些实施例中,所述按照节点的外部信息,在所述可视化图中添加节点,包括:
若当前节点包括对应的外部信息,将所述外部信息确定为所述可视化图中的新的节点并关联所述当前节点。
在上述实现过程中,通过外部信息的联动完善对应节点,可以准确还原整个入侵事件的发生、发展过程。
进一步地,在一些实施例中,所述按照进程的调用关系,在所述可视化图中添加节点,包括:
将当前节点调用的进程,确定为所述当前节点的下一级节点。
在上述实现过程中,按照事件进程调用的上下级结构逐步添加节点,可以准确还原整个入侵事件的发生、发展过程。
进一步地,在一些实施例中,所述方法还包括:
基于所述目标数据结构生成溯源页面,所述溯源页面用于对可视化图进行修正;修正的方式有:
增加,包括增加新的节点,增加新的节点信息,增加新的节点关联信息;
删除,包括删除现有节点,删除现有节点信息,删除现有节点关联信息;
修改,包括修改现有节点信息,修改现有节点关联信息。
在上述实现过程中,通过数据回溯生成反映整个入侵攻击过程的实体的溯源页面,可以方便***运维人员的总结分析。
进一步地,在一些实施例中,所述节点信息包括节点的基础信息,所述节点关联信息包括节点间的调用、注释、利用、访问、预期调用关系。
在上述实现过程中,基于对节点的基础信息以及节点间的调用、注释、利用、访问、预期调用关系对目标攻击事件进行分析处理,强化对特异的网络攻击事件的归纳处理。
进一步地,在一些实施例中,所述分析判断***用于计算所述目标数据结构和存储的数据结构之间的相似度;所述判定结果是指示所述目标数据结构和存储的数据结构之间的相似度的判定分值;
所述方法还包括:
若针对所述目标攻击事件的判定分值超过预设阈值,输出告警。
在上述实现过程中,分析判断***比对目标攻击事件与预先定义的多种网络攻击事件之间的特征相似程度并输出相似度评分,实现抽象数据结构与分析判断***的联合使用,可以有效防御下一次类似入侵事件的攻击。
第二方面,本申请实施例提供的一种网络攻击事件处理装置,所述装置包括:
建立模块,用于以目标攻击事件发生的进程或主机为起始节点,建立所述目标攻击事件的可视化图,并按照进程的调用关系以及外部信息,在所述可视化图中添加节点;所述外部信息是通过外部数据源查询到的针对各进程或主机的信息;
转换模块,用于将所述可视化图转换为目标数据结构;所述目标数据结构是所述可视化图中包含的节点信息以及节点关联信息的抽象表示;
输入模块,用于将所述目标数据结构输入分析判断***,得到针对所述目标攻击事件的判定结果;所述分析判断***中存储有多个预先定义的网络攻击事件的数据结构。
第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
第四方面,本申请实施例提供的一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
第五方面,本申请实施例提供的一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面任一项所述的方法。
本申请公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本申请公开的上述技术即可得知。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络攻击事件处理方法的流程图;
图2为本申请实施例提供的一种入侵事件溯源分析方案的工作流程的示意图;
图3为本申请实施例提供的一种网络攻击事件处理装置的框图;
图4为本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
如背景技术记载,相关技术中存在着无法高效处理特异的、未归纳分析的网络攻击事件的问题。基于此,本申请实施例提供一种网络攻击事件处理方案,以解决这一问题。
接下来对本申请实施例进行介绍:
如图1所示,图1是本申请实施例提供的一种网络攻击事件处理方法的流程图,所述方法可以应用于需要对网络攻击事件进行防御的设备。
所述方法包括:
在步骤101、以目标攻击事件发生的进程或主机为起始节点,建立所述目标攻击事件的可视化图,并按照进程的调用关系,在所述可视化图中添加节点;
本步骤中提到的目标攻击事件可以是一个未自动化处置或自动化处置不完全的网络攻击事件。目标攻击事件的可视化图是指通过可视化技术产生的图,可视化(Visualization)是利用计算机图形学和图像处理技术,将数据转换成图形或图像在屏幕上显示出来,再进行交互处理的理论、方法和技术。本实施例中,在建立目标攻击事件的可视化图时,首先选取关键的处理节点作为起点,该关键的处理节点可以是该目标攻击事件发生的进程,也可以是起始受到攻击的主机。这一起始节点可以是通过监控日志检索***确定的,该监控日志检索***通常用于存储监控日志,当进程或主机受到攻击时,该监控日志检索***中会生成相应的日志记录,因此,设备可以在该监控日志检索***中,查找分析监控日志,从而确定目标攻击事件发生的进程或主机。
在确定起始节点后,按照进程的调用关系添加节点,从而逐步完善可视化图,得到可用于入侵溯源的、以进程为主干的可视化图。在一些实施例中,其可以包括:将当前节点调用的进程,确定为所述当前节点的下一级节点。也就是说,以受攻击主机或进程为起始节点,再按照进程的调用关系逐步添加节点,例如,运行在受攻击主机上的关键进程有进程1和进程2,则可以将进程1和进程2作为起始节点的下一级节点,之后,将进程1调用的进程3作为进程1的下一级节点,将进程2调用的进程4作为进程2的下一级节点,以此类推。这样,按照事件进程调用的上下级结构逐步添加节点,可以准确还原整个入侵事件的发生、发展过程。
在一些实施例中,上述方法还可以包括:按照节点的外部信息,在所述可视化图中添加节点;所述外部信息是通过外部数据源查询到的针对各节点的信息。这里的外部信息是通过外部数据源查询到的针对各进程或主机的信息,因此,其可以反映该目标攻击事件发生的过程,包含重要的关联辅助信息。可选地,该外部数据源可以包括以下至少一种:沙箱、漏洞库、云查杀引擎。也就是说,该外部信息可以是沙箱获取的信息,如预期攻击进程、调用API(Application Programming Interface,应用程序编程接口)等,也可以是漏洞库信息,如漏洞类型、危害等级等,还可以是云查杀信息,如木马家族、外连IP等。通过在可视化图中添加上述信息,可以完善出整个事件树,从而反映出目标攻击事件的发生过程。
可选地,前面提到的按照节点的外部信息,在所述可视化图中添加节点可以包括:若所述当前节点包括对应的外部信息,将所述外部信息确定为所述可视化图中的新的节点并关联所述当前节点。也就是说,在已有的进程节点中,部分节点可能有通过外部数据源可查询到的辅助数据,即对应的外部信息,则将对应的外部信息也确定为新的节点,并建立关联关系,例如,通过漏洞库查找到对应于受攻击主机这一起始节点的辅助数据,则将该辅助数据确定为新的节点,并将该新的节点关联该起始节点。如此,可以进一步地准确还原整个入侵事件的发生、发展过程。
需要说明的是,前面提到的进程可以包括正常进程,还可以包括异常进程;另外,在完善该可视化图时,设备可以接收***运维人员输入的编辑指令,对该可视化图进行相应的编辑操作。也就是说,***运维人员可以对该可视化图进行人工干预,包括编辑节点内容、新增节点、删除节点等,如此,借助***运维人员的调整,使得该可视化图更为精准。
在步骤102、将所述可视化图转换为目标数据结构;所述目标数据结构是所述可视化图中包含的节点信息以及节点关联信息的抽象表示;
本步骤是指:完善目标攻击事件的可视化图后,生成该可视化图的抽象数据结构,为后续的自动化处理做好数据准备。本步骤中提到的目标数据结构是可视化图中包含的节点信息以及节点关联信息的抽象表示,也就是说,该目标数据结构可以认为是一种包含了Node数据和Link数据的数据模型,这里的Node数据是表征可视化图中包含的节点的数据,而Link数据是表征节点间的关联关系的数据。这一数据模型反映了类似事件的具体结构,相当于该类型的网络攻击事件的特征指标,有重要的后期运用意义。
在一些实施例中,本步骤中提到的节点信息可以包括节点的基础信息,本步骤中提到的节点关联信息可以包括节点间的调用、注释、利用、访问、预期调用关系。其中,节点的基础信息可以包括内部信息和外部信息。该内部信息可以包括主机信息,如主机的ID、IP地址和MAC地址等,还可以包括进程信息,如进程的唯一标识(包括进程ID、进程的MD5或SHA256值)、进程名、调用进程的命令行、指示进程是否网络连接的信息以及进程是网络连接时的连接地址、指示进程是否写文件的信息以及进程是写文件时的文件名、进程定时器调用的频率等。该外部信息可以包括通过漏洞库查找到的信息,如漏洞名称、威胁等级等基本信息;也可以包括通过沙箱查找到的信息,如预期调用进程的进程信息、API地址的调用信息等;还可以包括通过云查杀引擎查找到的信息,如木马名称、家族、攻击类型,等,以及外连IP的基本信息等。相应地,进程及外部信息节点的关联信息可以包括木马注释、漏洞利用、API调用、IP访问、进程预期调用等关联关系。这些信息可以准确、完整地反映出目标攻击事件的发生过程。
在一些实施例中,该目标数据结构可以是基于力导向算法的数据结构。力导向算法是一种图布局的算法,其通常包含以下步骤:对网络型数据进行力学建模,通过一定的时间模拟,得到一个稳定的布局。具体地,力导向算法通过对每个节点的计算,算出引力和排斥力综合的合力,再由此合力来移动节点的位置。基于力导向算法的数据结构有良好的对称性和局部聚合性,可以较为清晰地展示出节点之间的亲疏关系。因此,将目标攻击事件的可视化图中的节点关键数据用力导向数据结构储存,可以更好地反映出目标攻击事件的主要结构。
在步骤103、将所述目标数据结构输入分析判断***,得到针对所述目标攻击事件的判定结果;所述分析判断***中存储有多个预先定义的网络攻击事件的数据结构。
本步骤中提到的分析判断***可以认为是一个对目标数据结构进行自动化处理的工具或模块。该分析判断***中存储有多个预先定义的网络攻击事件的数据结构,这些预先定义的数据结构可以是***运维人员根据各种网络攻击事件的特征指标而定义出来的,即是由***运维人员预判的数据结构,其对应的网络攻击事件可以包括已有的网络攻击事件,也可以包括特异的网络攻击事件。设备将目标数据结构输入该分析判断***后,该分析判断***可以将该目标数据结构与这些预先定义的数据结构进行对比,从而输出针对目标攻击事件的判定结果,这样,这一判定结果可以体现出该目标攻击事件的威胁程度,设备可以基于这一判定结果执行后续的处置操作,***运维人员也可以基于这一判定结果采取相应的措施。
具体地,在一些实施例中,该分析判断***可以用于计算该目标数据结构和存储的数据结构之间的相似度;该判定结果是指示该目标数据和存储的数据结构之间的相似度的判定分值。也就是说,该分析判断***可以计算目标数据结构和存储的数据结构之间的相似度,以此输出判定分值,该判定分值越高,表明主机受到了相同的入侵的可能性越大。其中,两个数据结构之间的相似度可以是基于传统方式的力导向点线匹配度算法计算得到,也可以是基于神经引擎图算法计算得到,本申请对此不作限制。另外,若针对目标攻击事件的判定分值超过预设阈值,设备可以输出告警。这里的预设阈值可以根据具体场景的需求进行设定,当得到的判定分值超过预设阈值时,表明主机极大概率遭遇到了相同的网络攻击事件,由于网络攻击往往是多次实施,因此,设备可以输出告警,用以防范下次类似的网络攻击事件。
还有,通过可视化操作的数据结构可以转化为预先定义的数据结构,也就是说,当分析判断***针对目标数据结构输出的判定分值超过预设阈值时,分析判断***可以存储该目标数据结构,将该目标数据结构也作为预先定义的数据结构的一部分,用以对后续输入的数据结构进行判定。此外,在一些实施例中,设备可以跳过可视化步骤,直接基于目标攻击事件发生的进程或主机、相关进程的调用关系、外部信息等转化得到抽象数据结构,设备在防御下一次入侵时,可以基于直接转化得到的数据结构与预先定义的数据结构之间的对比结果来实现。如此,有效提升设备对下次类似的入侵事件的处理效率。
进一步地,在一些实施例中,上述方法还可以包括:基于所述目标数据结构生成溯源页面,所述溯源页面用于对可视化图进行修正;修正的方式有:增加,包括增加新的节点,增加新的节点信息,增加新的节点关联信息;删除,包括删除现有节点,删除现有节点信息,删除现有节点关联信息;修改,包括修改现有节点信息,修改现有节点关联信息。也就是说,除了自动化处理以外,设备还可以在完善可视化图后,保存该可视化图中包含的节点信息以及节点关联信息,通过数据回溯生成反映整个入侵攻击过程的实体的溯源页面,以方便***运维人员的总结分析。并且,***运维人员可以通过该溯源页面,对该可视化图进行修正,包括对节点的增删,以及对节点信息和节点关联信息的增删改,这样,在目标攻击事件发生后,先通过本实例方案对该目标攻击事件进行立即归纳与处置,再提供溯源页面供***运维人员进行后期的修正,从而优化了对入侵事件的判定。需要说明的是,在增加节点关联信息时,还可以由***运维人员标注权重,该权重用于反映相应的节点关联信息的重要程度,例如,可以将节点关联信息分为重点、普通、无关三种等级,在可视化图上采用实线、虚线、点化线来分别表示这三种等级的节点关联信息所对应的边,或者采用不同数值来表示相应的边的权值。如此,可以增加对应进程/信息在分析判断***的评分优先级,从而提高***输出的判定分值的精度。
并且,该溯源页面可以是HTML(Hyper Text Markup Language,超文本标记语言)格式的页面,在一些场景中,该溯源页面可以由告警列表、进程关系、事件实体三个部分组成,其中,告警列表这一部分可用于展示***目前的分析出的威胁态势,辅助判定处置的优先度;进程关系这一部分可用于展示可视化图,并提供对可视化图进行编辑的功能;事件实体这一部分可用于从目标数据结构中查找出可以直接控制的节点,还可用于深度查询更详细的日志,也可用于执行阻断/隔离操作。还有,前面提到的目标数据结构可以是JSON格式,其可以认为是可视化图的基干,内含可以查找到保存的节点信息及节点关联信息的检索ID,这样,在使用时,设备可以利用目标数据结构查找到对应的节点信息及节点关联信息,以此生成溯源页面。
本申请实施例,以目标攻击事件发生的进程或主机为起点来建立可视化图,并按照进程的调用关系添加节点,以还原整个事件的发生过程,之后,将可视化图转换为抽象的数据结构,再输入存储有多个预先定义的网络攻击事件的数据结构的分析判断***,以获取针对该目标攻击事件的判定结果。如此,通过可视化操作,强化了对特异的网络攻击事件的归纳处理,而且,通过转换出的抽象数据结构与分析判断***的联合使用,可以有效防御下一次类似入侵事件的攻击。
为了对本申请的方案做更为详细的说明,接下来介绍一具体实施例:
本实施例涉及计算机网络入侵防御场景,在本实施例之前,针对网络入侵威胁采用的告警方式,主要集中于日志式的反映,通过算法合并日志,计算日志关联的入侵事件(即网络攻击事件)。然而,由于其事件分析采用的是对已有的入侵事件、已知的入侵事件结构进行自动化判定处置,无法有效对最新的、未知的入侵威胁产生有效的自动化处置,而且在遇到非常规的入侵事件时,***运维人员缺乏一种及时迅速的手段对其进行归纳与处理。基于此,本实施例提供一种入侵事件溯源分析方案,用以提升分析和处理网络安全问题的能力。
该方案的工作流程如图2所示,包括:
S201、建立当前入侵事件的可视化图;具体地,利用监控日志检索***和外部信息调用***,查找分析监控日志及外部的情报信息,并按照视图编辑操作(增删改查节点)将这些信息以节点方式加入可视化图,将整个入侵事件过程反映出来;例如,当发生一个未自动化处置或自动化处置不完全的入侵事件时,首先选取关键的处理节点,可以是入侵事件发生的进程,也可以是起始受到攻击的主机,以此为起点,建立此次入侵的事件并开启新的可视化图,开始对此次入侵事件进行还原,之后,在视图处理***中,可以按照事件进程调用的上下级结构逐步添加节点,并可以通过外部数据,如漏洞库信息、沙箱信息、云查杀信息等的联动完善对应节点,还原整个入侵事件的发生、发展过程;
S202、生成抽象数据结构;具体地,在完成录入入侵事件的可视化图后,保存各节点的关键数据,并用力导向(点对点的力导向)数据结构储存,其中,保存的关键数据包括进程的ID、主机的网络位置、进程定时器调用的频率、进程前后的调用关系、云查杀获取的木马家族和外连IP、沙箱获取的预期攻击进程和调用API等等;
S203、生成实体溯源页面;具体地,根据保存的关键数据,联合监控日志、外部信息等关联数据,通过数据回溯生成反映整个入侵攻击过程的实体溯源页面,方便后期修正、分析;
S204、对入侵事件的自动化处理;具体地,将抽象数据结构送入预定的分析判断***中,由该分析判断***比对该抽象数据结构与预先定义的多个入侵事件的特征之间的相似程度并输出相似度评分,该评分越高,意味着受到了相同的入侵可能性越大;例如,该分析判断***中存储有四个进程树,分别为进程树A、B、C、D,每个进程树对应一种特异的入侵事件,若当前入侵事件的可视化图转换成的抽象数据结构为D1,且D1与进程树D的相似度评分为73,超过预设阈值70,则表明当前入侵事件应与进程树D对应的特异入侵事件是相同的,如此,可以采用防御***对此类事件进行阻断,从而有效防御下一次类似入侵事件的攻击。
需要说明的是,S203和S204没有固定的前后顺序。
由上可知,本申请实施例通过可视化操作和外部数据补充,强化了对特异的入侵事件的归纳处理,至少具有以下优点:第一、借助可视化操作,将监控日志与外部信息整合,方便运维人员推导还原出当次入侵事件的整理过程;第二、转换出的抽象数据结构里拥有本次事件进程的关联关系,外部重要信息,反映了类似事件的具体结构,相当于该类型入侵事件的特征指标,有重要的后期运用意义;第三、通过转换出的抽象数据结构与自动化防御***联合使用,可以有效防御下一次类似入侵事件的攻击;第四、转换出的抽象数据结构可以重新展示溯源页面,方便分析人员归纳总结,优化对入侵事件的规则判定。
与前述方法的实施例相对应,本申请还提供网络攻击事件处理装置及其应用的终端的实施例:
如图3所示,图3是本申请实施例提供的一种网络攻击事件处理装置的框图,所述装置包括:
建立模块31,用于以目标攻击事件发生的进程或主机为起始节点,建立所述目标攻击事件的可视化图,并按照进程的调用关系以及外部信息,在所述可视化图中添加节点;所述外部信息是通过外部数据源查询到的针对各进程或主机的信息;
转换模块32,用于将所述可视化图转换为目标数据结构;所述目标数据结构是所述可视化图中包含的节点信息以及节点关联信息的抽象表示;
输入模块33,用于将所述目标数据结构输入分析判断***,得到针对所述目标攻击事件的判定结果;所述分析判断***中存储有多个预先定义的网络攻击事件的数据结构。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
本申请还提供一种电子设备,请参见图4,图4为本申请实施例提供的一种电子设备的结构框图。电子设备可以包括处理器410、通信接口420、存储器430和至少一个通信总线440。其中,通信总线440用于实现这些组件直接的连接通信。其中,本申请实施例中电子设备的通信接口420用于与其他节点设备进行信令或数据的通信。处理器410可以是一种集成电路芯片,具有信号的处理能力。
上述的处理器410可以是通用处理器,包括中央处理器(CPU,Central ProcessingUnit)、网络处理器(NP,Network Processor)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器410也可以是任何常规的处理器等。
存储器430可以是,但不限于,随机存取存储器(RAM,Random Access Memory),只读存储器(ROM,Read Only Memory),可编程只读存储器(PROM ,Programmable Read-OnlyMemory),可擦除只读存储器(EPROM ,Erasable Programmable Read-Only Memory),电可擦除只读存储器(EEPROM ,Electric Erasable Programmable Read-Only Memory)等。存储器430中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器410执行时,电子设备可以执行上述图1方法实施例涉及的各个步骤。
可选地,电子设备还可以包括存储控制器、输入输出单元。
所述存储器430、存储控制器、处理器410、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线440实现电性连接。所述处理器410用于执行存储器430中存储的可执行模块,例如电子设备包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。所述输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图4所示的结构仅为示意,所述电子设备还可包括比图4中所示更多或者更少的组件,或者具有与图4所示不同的配置。图4中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供一种存储介质,所述存储介质上存储有指令,当所述指令在计算机上运行时,所述计算机程序被处理器执行时实现方法实施例所述的方法,为避免重复,此处不再赘述。
本申请还提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (9)
1.一种网络攻击事件处理方法,其特征在于,所述方法包括:
以目标攻击事件发生的进程或主机为起始节点,建立所述目标攻击事件的可视化图,并按照进程的调用关系,在所述可视化图中添加节点,以及按照节点的外部信息,在所述可视化图中添加节点;所述外部信息是通过外部数据源查询到的针对各节点的信息;
将所述可视化图转换为目标数据结构;所述目标数据结构是所述可视化图中包含的节点信息以及节点关联信息的抽象表示;所述目标数据结构是基于力导向算法的数据结构;
将所述目标数据结构输入分析判断***,得到针对所述目标攻击事件的判定结果;所述分析判断***中存储有多个预先定义的网络攻击事件的数据结构;所述分析判断***用于计算所述目标数据结构和存储的数据结构之间的相似度。
2.根据权利要求1所述的方法,其特征在于,所述按照节点的外部信息,在所述可视化图中添加节点,包括:
若当前节点包括对应的外部信息,将所述外部信息确定为所述可视化图中的新节点并关联所述当前节点。
3.根据权利要求1所述的方法,其特征在于,所述按照进程的调用关系,在所述可视化图中添加节点,包括:
将当前节点调用的进程,确定为所述当前节点的下一级节点。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述目标数据结构生成溯源页面,所述溯源页面用于对可视化图进行修正;修正的方式有:
增加,包括增加新的节点,增加新的节点信息,增加新的节点关联信息;
删除,包括删除现有节点,删除现有节点信息,删除现有节点关联信息;
修改,包括修改现有节点信息,修改现有节点关联信息。
5.根据权利要求1所述的方法,其特征在于,所述节点信息包括节点的基础信息,所述节点关联信息包括节点间的调用、注释、利用、访问、预期调用关系。
6.根据权利要求1所述的方法,其特征在于,所述判定结果是指示所述目标数据结构和存储的数据结构之间的相似度的判定分值;
所述方法还包括:
若针对所述目标攻击事件的判定分值超过预设阈值,输出告警。
7.一种网络攻击事件处理装置,其特征在于,所述装置包括:
建立模块,用于以目标攻击事件发生的进程或主机为起始节点,建立所述目标攻击事件的可视化图,并按照进程的调用关系以及外部信息,在所述可视化图中添加节点;所述外部信息是通过外部数据源查询到的针对各进程或主机的信息;
转换模块,用于将所述可视化图转换为目标数据结构;所述目标数据结构是所述可视化图中包含的节点信息以及节点关联信息的抽象表示;所述目标数据结构是基于力导向算法的数据结构;
输入模块,用于将所述目标数据结构输入分析判断***,得到针对所述目标攻击事件的判定结果;所述分析判断***中存储有多个预先定义的网络攻击事件的数据结构;所述分析判断***用于计算所述目标数据结构和存储的数据结构之间的相似度。
8.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的方法。
9.一种电子设备,其特征在于,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211679280.4A CN115664863B (zh) | 2022-12-27 | 2022-12-27 | 一种网络攻击事件处理方法、装置、存储介质及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211679280.4A CN115664863B (zh) | 2022-12-27 | 2022-12-27 | 一种网络攻击事件处理方法、装置、存储介质及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115664863A CN115664863A (zh) | 2023-01-31 |
| CN115664863B true CN115664863B (zh) | 2023-04-21 |
Family
ID=85023419
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211679280.4A Active CN115664863B (zh) | 2022-12-27 | 2022-12-27 | 一种网络攻击事件处理方法、装置、存储介质及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115664863B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114363036A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种网络攻击路径获取方法、装置及电子设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112202759B (zh) * | 2020-09-28 | 2021-09-07 | 广州大学 | 基于同源性分析的apt攻击识别及归属方法、***和存储介质 |
| US11362996B2 (en) * | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
| CN114637892A (zh) * | 2022-01-28 | 2022-06-17 | 中国科学院信息工程研究所 | 用于攻击调查和还原的***日志依赖图的概要图生成方法 |
-
2022
- 2022-12-27 CN CN202211679280.4A patent/CN115664863B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114363036A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种网络攻击路径获取方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115664863A (zh) | 2023-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108520180B (zh) | 一种基于多维度的固件Web漏洞检测方法及*** | |
| JP2022529220A (ja) | ロギングによる機密データの暴露の検出 | |
| US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
| CN113162794B (zh) | 下一步攻击事件预测方法及相关设备 | |
| CN110929267A (zh) | 代码漏洞检测方法、装置、设备及存储介质 | |
| CN112131571B (zh) | 威胁溯源方法及相关设备 | |
| CN110109888A (zh) | 一种文件处理方法及装置 | |
| KR101696694B1 (ko) | 역추적을 이용한 소스 코드 취약점 분석 방법 및 장치 | |
| CN114944956A (zh) | 一种攻击链路检测方法、装置、电子设备及存储介质 | |
| CN115146263B (zh) | 用户账号的失陷检测方法、装置、电子设备及存储介质 | |
| CN115664863B (zh) | 一种网络攻击事件处理方法、装置、存储介质及设备 | |
| CN111104670B (zh) | 一种apt攻击的识别和防护方法 | |
| CN115361182A (zh) | 一种僵尸网络行为分析方法、装置、电子设备及介质 | |
| CN114186278A (zh) | 数据库异常操作识别方法、装置与电子设备 | |
| CN115859273A (zh) | 一种数据库异常访问的检测方法、装置、设备及存储介质 | |
| CN114003914A (zh) | 一种文件的安全性检测方法、装置、电子设备及存储介质 | |
| CN115473675A (zh) | 一种网络安全态势感知方法、装置、电子设备及介质 | |
| CN114528552A (zh) | 基于漏洞的安全事件关联方法及相关设备 | |
| CN116483735B (zh) | 一种代码变更的影响分析方法、装置、存储介质及设备 | |
| CN115481166B (zh) | 一种数据存储方法、装置、电子设备及计算机存储介质 | |
| CN114756401B (zh) | 基于日志的异常节点检测方法、装置、设备及介质 | |
| CN117294527B (zh) | 一种攻击判定方法、装置、存储介质及设备 | |
| CN113965414B (zh) | 一种网络监控方法、装置、电子设备和存储介质 | |
| WO2021255841A1 (ja) | 情報検索装置、情報検索方法、及びコンピュータ読み取り可能な記録媒体 | |
| CN117614643A (zh) | 一种威胁情报分析方法、***、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |