CN117155665B - 一种攻击溯源方法、***、电子设备和存储介质 - Google Patents

Abstract

本发明提出一种攻击溯源方法和***。其中，方法包括：收集溯源事件的通联日志和告警信息；根据通联日志，构建以IP为节点的拓扑图，得到IP间的连接关系，并为每个IP节点设置属性；根据威胁情报与告警信息计算各IP节点的4个属性值；计算IP节点属性值的加权平均值，作为IP节点的异常评分；根据所述IP节点的异常评分和边的连接权值，应用Floyd算法计算每个IP节点到达受害者IP节点的路径威胁评分，找到异常IP路径，再根据所述异常IP路径和告警信息，得到攻击路径。本发明提出的方案解决了需要通过先验攻击知识关联攻击过程的问题，使溯源流程更加高效、灵活，同时可以发现未知攻击模式的攻击。

Description

一种攻击溯源方法、***、电子设备和存储介质

技术领域

本发明属于互联网领域，尤其涉及一种攻击溯源方法和***。

背景技术

在目前的攻击溯源中，无论是通联日志还是告警数据，我们看到的都是孤立的数据，而攻击者的攻击大多通过多个步骤完成，而且这些步骤具有一定的连续性。同时，攻击者通常会使用多个IP进行不同步骤的攻击，既实现了攻击的目的，又隐藏了自己的身份。攻击溯源就是将这些孤立的数据、IP连接起来，并通过人工或算法分析将攻击者以及攻击路径找出来，从而及时采取相应的防御措施，保护用户的财产安全。现有的研究大多依赖先验知识来实现攻击行为关联，进而得到攻击路径与攻击者。比如根据已知的攻击模式关联或者通过事先获取的规则关联。这样的关联方法对己知攻击模式检测具有很高的准确性。然而，由于这些方法严重依赖己知的攻击过程或先验的关联规则，对未知的或变异的攻击模式显得力不从心。

近年来，随着网络攻击的发展变化，网络空间安全形式也越来越严峻。网络攻击的动机已经从造成停机和清除***等损害发展到窃取专有信息、破坏***或通过使用各种复杂的工具和方法进行勒索，造成了日益严重的经济损失或社会影响。为了减少损失或预防未来潜在的攻击，需要对网络攻击事件进行溯源以实现对攻击者的挖掘追责。目前的溯源方法主要有以下几种：

方法一：基于规则匹配的攻击溯源算法

该方法根据溯源数据，对攻击事件的各阶段生成相应的告警，然后，根据告警属性规则匹配相关指标进行溯源，从而得到攻击者与攻击路径。

方法二：基于上下文的溯源算法

该方法将溯源过程中的攻击划分为六个阶段，并结合攻击树提出攻击金字塔模型。攻击目标(例如敏感数据等)是金字塔顶端，金字塔的平面是与攻击相关的环境即是攻击事件可能被记录的地方。其检测方案构建了一个上下文的框架，基于规则将记录的所有可能与安全相关的事件关联成为上下文以溯源整个攻击事件。

方法三：基于因果关系的攻击溯源算法

基于因果关系的检测中，核心是确定不同攻击阶段之间的因果关系。有些安全事件需要以其他安全事件为前提条件，如下载木马行为，可能需要以钓鱼攻击为先决条件。通过分析告警信息得到安全事件之间的关联和前后因果关系，用概率的方法来推测攻击者更可能执行的步骤，从而形成攻击路径。

上述几种方案都各自存在不足：

方法一：基于规则匹配的攻击溯源方法存在的不足如下：

目前的网络攻击是一种多步骤攻击，模板匹配可以关联单一的告警或攻击，从而找到攻击事件的攻击模式，但是由于攻击事件的具体攻击步骤具有不确定性，仅凭最后一步的攻击类型信息，很难将各个攻击步骤全部列出来，再加上现在新的攻击方法层出不穷，规则很难将所有的攻击模式全部涵盖，因此，对于未知的、没有先验知识的攻击模式无法起到作用。同时，先验知识需要大量的资源来提取、更新和维护，因此需要投入大量的人力、物力以应对不断变化的网络攻击。

方法二：基于上下文的溯源方法存在的不足如下：

该方法虽然结合了攻击树提出了攻击金字塔模型，并且构建了一个上下文框架，但是由于需要根据金字塔模型将每一层对应的攻击方法罗列出来，而异常检测发现的同一种攻击可能是普通攻击，也可能是某攻击事件中的一个子步骤攻击。例如，“Tornetwork连接”可以用于网络攻击中的数据泄漏，也可以合法使用“Tornetwork连接”来保护用户流量的保密性，因此，无法确定某异常是否为该攻击事件中的异常。而且，在同一攻击事件中涉及的攻击路径和攻击方法均不确定，甚至攻击者还会对相应的攻击目标设计有针对性的攻击路径及攻击工具，因此即使是将所有可能与安全相关的事件关联成上下文也无法将所有的攻击方法全部包含在内，该方法依然属于基于先验知识的规则匹配方法，对于新出现的攻击方法无法起到很好的作用。

方法三：基于因果关系的攻击溯源方法存在的不足如下：

该方法对告警数据的依赖程度很高，一旦攻击者在攻击时绕过了某些规则使告警数据不全面，可能导致在分析因果关系时事件关联出错，而且每个攻击者的攻击方式不同，导致事件之间的关联关系变化非常大，因此容易导致关联不准确。

发明内容

为解决上述技术问题，本发明提出一种攻击溯源方法的技术方案，以解决上述技术问题。

本发明第一方面公开了一种攻击溯源方法，所述方法包括：

步骤S1、收集溯源事件的通联日志和告警信息；

步骤S2、根据通联日志，构建以IP为节点的拓扑图，并为每个IP节点设置属性；

步骤S3、根据威胁情报与告警信息计算各IP节点的4个属性值；

步骤S4、计算IP节点属性的加权平均，作为IP节点的异常评分；

步骤S5、根据所述IP节点的异常评分和边的连接权值，应用Floyd算法计算每个IP节点到达受害者IP节点的路径威胁评分，找到异常IP路径，再根据所述异常IP路径和告警信息，得到攻击路径。

根据本发明第一方面的方法，在所述步骤S2中，IP节点的属性包括：

情报危险系数：匹配自动化威胁情报接口的结果数据，如果情报显示为恶意IP，赋值为1，否则值为0；

告警危险系数：对告警按风险等级分类，风险等级包括超危、高危、中危、低危和无风险；统计IP触发每个风险等级告警的事件类别数和告警总数，使用加权平均法计算告警危险系数；

外连IP危险系数：统计IP作为源IP，连接的目的IP中，威胁情报显示为恶意的IP所占的比例；

连入IP危险系数：统计IP作为目的IP，连接其的源IP中，威胁情报显示为恶意的IP所占的比例。

根据本发明第一方面的方法，在所述步骤S3中，所述根据威胁情报与告警信息计算各IP节点的属性值的方法包括：

使用自动化威胁情报查询接口查询IP是否为恶意IP，如果是恶意IP，则该IP的情报危险系数的属性值为1，否则为0，补充到对应IP节点的情报危险系数中；

告警危险系数：对告警按风险等级分类，风险等级包括超危、高危、中危、低危和无风险；统计IP触发每个风险等级告警的事件类别数和告警总数，使用加权平均法计算告警危险系数，并补充到对应IP节点中；

结合威胁情报信息，统计IP作为源IP，连接的目的IP中，威胁情报显示为恶意的IP的个数除以连接过的目的IP的总个数，补充到对应IP节点的外连IP危险系数中；

结合威胁情报信息，统计IP作为目的IP，连接其的源IP中，威胁情报显示为恶意的IP的个数除以连接其的源IP的总个数，补充到对应IP节点的连入IP危险系数中。

根据本发明第一方面的方法，在所述步骤S5中，边的连接权值表示IP节点间的相关性，用IP间的通信频率表示。

根据本发明第一方面的方法，在所述步骤S5中，在根据所述IP节点的异常评分和边的连接权值之前，所述方法还包括拓扑图剪枝：

依次遍历各IP节点与所述溯源事件的受害者IP节点是否有可达路径，如果没有可达路径，则删除这个节点，否则，保留所述节点。

根据本发明第一方面的方法，在所述步骤S5中，根据所述IP节点的异常评分和边的连接权值，应用Floyd算法计算每个IP节点到达受害者IP节点的路径威胁评分的方法包括：

将IP节点的异常评分以及边的连接权值加权平均，得到节点间路径威胁评分；

Floyd算法以所述节点间路径威胁评分为路径长度，计算每个IP节点到达受害者IP节点的路径威胁评分。

根据本发明第一方面的方法，在所述步骤S5中，所述根据路径威胁评分，得到攻击路径的方法包括：

判断威胁路径上的连接时间是否符合后一IP节点的时间大于等于前一IP节点的时间，如果符合，则把威胁路径与其路径威胁评分保存，最终选出路径威胁评分最大的路径为异常IP路径，异常IP路径上的IP节点即为所述溯源事件中的攻击者IP，根据异常IP路径上IP的告警信息，按时间顺序连接，得到攻击路径。

本发明第二方面公开了一种攻击溯源***，所述***包括：

第一处理模块，被配置为，收集溯源事件的通联日志和告警信息；

第二处理模块，被配置为，根据通联日志，构建以IP为节点的拓扑图，得到IP间的连接关系，并为每个IP节点设置属性

第三处理模块，被配置为，根据威胁情报与告警信息计算各IP节点的4个属性值；

第四处理模块，被配置为，计算IP节点属性的加权平均，作为IP节点的异常评分；

第五处理模块，被配置为，根据所述IP节点的异常评分和边的连接权值，应用Floyd算法计算每个IP节点到达受害者IP节点的路径威胁评分，找到异常IP路径，再根据所述异常IP路径和告警信息，得到攻击路径。

本发明第三方面公开了一种电子设备。电子设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时，实现本公开第一方面中任一项的一种攻击溯源方法中的步骤。

本发明第四方面公开了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，实现本公开第一方面中任一项的一种攻击溯源方法中的步骤。

综上，本发明提出的方案能够解决了需要通过先验攻击知识将攻击过程关联的不足，使溯源流程更加高效、灵活，同时可以发现未知攻击模式的攻击。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为根据本发明实施例的一种攻击溯源方法的流程图；

图2为根据本发明实施例的一种攻击溯源方法的具体流程图；

图3为根据本发明实施例的一种攻击溯源***的结构图；

图4为根据本发明实施例的一种电子设备的结构图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例只是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明第一方面公开了一种攻击溯源方法。图1为根据本发明实施例的一种攻击溯源方法的流程图，如图1和图2所示，所述方法包括：

步骤S1、收集溯源事件的通联日志和告警信息；

步骤S2、根据通联日志，构建以IP为节点的拓扑图，并为每个IP节点设置属性；

步骤S3、根据威胁情报与告警信息计算各IP节点的属性值；

威胁情报是指IP威胁情报：主要是对恶意IP地址的分析，可以查询特定IP地址的安全情况，了解该IP地址是否与恶意活动、攻击或破坏性行为相关联。用户可以获取与该IP地址相关的恶意文件、恶意URL链接和其他相关信息。

步骤S4、计算IP节点属性值的加权平均值，所述加权平均值作为IP节点的异常评分；

步骤S5、根据所述IP节点的异常评分和边的连接权值，应用Floyd算法计算每个IP节点到达受害者IP节点的路径威胁评分，找到异常IP路径，再根据所述异常IP路径和告警信息，得到攻击路径。

在步骤S2，根据通联日志，构建以IP为节点的拓扑图，并为每个IP节点设置属性；

在一些实施例中，在所述步骤S2中，IP节点的属性具体为IP节点的4个属性值，具体包括：

情报危险系数：匹配自动化威胁情报接口的结果数据，如果情报显示为恶意IP，赋值为1，否则值为0；

告警危险系数：对告警按风险等级分类，风险等级包括超危、高危、中危、低危和无风险；统计IP触发每个风险等级告警的事件类别数和告警总数，使用加权平均计算告警危险系数；

外连IP危险系数：统计IP作为源IP，连接的目的IP中，威胁情报显示为恶意的IP所占的比例；

连入IP危险系数：统计IP作为目的IP，连接其的源IP中，威胁情报显示为恶意的IP所占的比例。

在步骤S3，根据威胁情报与告警信息计算各IP节点的属性值。

在一些实施例中，在所述步骤S3中，所述根据威胁情报与告警信息计算各IP节点的属性值的方法包括：

使用自动化威胁情报查询接口查询IP是否为恶意IP，如果是恶意IP，则该IP的情报危险系数的属性值为1，否则为0，补充到对应IP节点的情报危险系数中；

告警危险系数：对告警按风险等级分类，风险等级包括超危、高危、中危、低危和无风险；统计IP触发每个风险等级告警的事件类别数和告警总数，使用加权平均法计算告警危险系数，并补充到对应IP节点中；

结合威胁情报信息，统计IP作为源IP，连接的目的IP中，威胁情报显示为恶意的IP的个数除以连接过的目的IP的总个数，补充到对应IP节点的外连IP危险系数中；

在步骤S4，计算IP节点的属性的加权平均，作为IP节点的异常评分。

具体地，加权平均的权重应用熵值法确定，具体方法如下：

补充IP节点的属性值：

构建拓扑图并定义节点属性之后，需要计算各节点的属性值并补充到图数据库中，具体属性值计算过程如下：

第一，使用自动化威胁情报查询接口查询IP是否为恶意IP，如果是恶意IP，则该IP的情报属性为1，否则为0，补充到对应节点的情报危险系数中；

第二，对告警按风险等级分类，等级分别为超危、高危、中危、低危、无风险。告警危险系数的计算共包含8个评价指标，分别为目标IP触发超危、高危、中危、低危告警的事件类别数，目标IP触发超危、高危、中危、低危告警的告警总数，使用加权平均计算告警危险系数，权重使用熵值法确定，并补充到对应节点中；

熵值法确定权重计算过程如下：

1)标准化处理

8个评价指标分别采用式(1)、(2)进行标准化处理。

其中，l_g,ij为标准化处理后评价指标，min(l_j)为评价指标j最小值，max(l_j)为评价指标j最大值。

2)评价指标比重、信息熵、信息熵冗余度

评价指标比重、信息熵、信息熵冗余度由下式确定：

r_j＝1-γ_j (5)

其中，R_ij表示IP为i，评价指标为j的比重，S表示IP的数量，r_j表示评价指标j的信息熵，e_j表示评价指标j的信息熵冗余度。

3)熵值法评价指标权重计算

熵值法评价指标权重计算如下：

其中，w_s,jr_j是熵值法评价指标j权重，t为评价指标数量，本文t为8。

加权平均法计算告警危险系数过程如下：

1)标准化处理

8个评价指标分别采用式(1)、(2)进行标准化处理。

2)求加权平均数

在求平均数时，根据各评价指标重要性的不同，分别分配不同的权重，再进行平均，公式如下所示：

其中，x表示评价指标的值，w表示评价指标的权重。

第三，结合威胁情报信息，统计每个节点IP作为源IP，连接的目的IP中，威胁情报显示为恶意的IP个数除以连接过的目的IP的总个数，补充到对应节点的外连IP危险系数中；

第四，结合威胁情报信息，统计每个节点IP作为目的IP，连接它的源IP中，威胁情报显示为恶意的IP个数除以连接它的源IP的总个数，补充到连入IP危险系数中。

在步骤S5，根据所述IP节点的异常评分和边的连接权值，应用Floyd算法计算每个IP节点到达受害者IP节点的路径威胁评分，找到异常IP路径，再根据所述异常IP路径和告警信息，得到攻击路径。

在一些实施例中，在所述步骤S5中，边的连接权值表示IP节点间的相关性，用IP间的通信频率表示。

在根据所述IP节点的异常评分和边的连接权值之前，所述方法还包括拓扑图剪枝：

依次遍历各IP节点与所述溯源事件的受害者IP节点是否有可达路径，如果没有可达路径，则删除这个节点，否则，保留所述节点。

IP间的通信频率计算过程如下：

首先设置滑动时间窗口，再计算两IP在各时间窗口内的平均连接次数，即为IP间的通信频率。

IP通信拓扑图剪枝过程如下：

依次遍历各节点与本次溯源事件的受害者IP是否有可达路径，如果没有则删除这个节点，否则，保留该节点。

根据所述IP节点的异常评分和边的连接权值，应用Floyd算法计算每个IP节点到达受害者IP节点的威胁路径以及总路径威胁评分的方法包括：

将IP节点的异常评分以及边的连接权值加权平均，得到节点间路径威胁评分；加权平均的权重应用熵值法确定；

Floyd算法以所述节点间路径威胁评分为路径长度，计算每个IP节点到达受害者IP节点的路径威胁评分。

所述根据所述总路径威胁评分，得到攻击路径的方法包括：

判断威胁路径上的连接时间是否符合后一IP节点的时间大于等于前一IP节点的时间，如果符合，则把威胁路径与其路径威胁评分保存，最终选出路径威胁评分最大的路径为异常IP路径，异常IP路径上的IP节点即为所述溯源事件中的攻击者IP，根据异常IP路径上IP的告警信息，按时间顺序连接，得到攻击路径。

使用融合时间序列信息的Floyd算法找到攻击路径，本方法Floyd算法中的路径长度用节点间路径威胁评分代替，计算方式为节点IP的异常评分以及边的连接权值加权平均，权值由熵值法确定。

使用Floyd算法计算每个IP到达受害者IP的路径威胁评分，并且判断这条路径上的连接时间是否符合后一节点的时间大于等于前一节点的时间，如果符合，则把这条路径与路径的威胁评分保存，最终选出威胁评分值最大的路径，该路径上的IP即为整个溯源事件中的攻击者IP，根据路径上IP的告警信息，按时间顺序连接，得到攻击路径。

Floyd算法过程如下：

1)IP通信拓扑图为D＝{v,w}，v表示图中节点，w表示节点间的连接，将IP通信拓扑图转化为赋权矩阵D，矩阵中第i行第j列元素表示从节点i到节点j的距离，当i＝j时，d_ij＝0；若节点i和节点j之间没有直接相连的线，则d_ij＝∞。

2)Floyd算法是计算两个节点间的最短路径，但是本专利是求两节点间的最长路径，同时满足后一节点的时间大于等于前一节点时间，因此Floyd算法修改为如下过程：

将赋权矩阵进行多次迭代，得到一个矩阵序列D₁、D₂、...、D_n，其中D的计算公式如式8，并且D中计算结果满足后一节点的时间大于等于前一节点时间:

迭代完成后，D_n中的元素就是最终从节点i到节点j的最长且非∞的路径，同时满足节点间，后一节点时间大于等于前一节点时间。其核心思想是让原始路径依次跨接v₁、v₂、...、v_n各个节点，即从跨接一个节点到跨接n个节点。每次迭代中保留距离较长且非∞的路径，完成所有迭代后即可找到任意两点之间的最长距离。

3)反向追踪，找到具体的路径。Floyd算法的一个原理是，假设P是从i到j最长路径，k是P上的一个节点，则沿着P从k到j，必然也是从k到j的最长路。因此，可以定义一个path矩阵，与赋权矩阵同时迭代，用来追踪最长路径。

根据异常IP路径上IP的告警信息，按时间顺序连接，得到攻击路径的具体过程如下：

在异常IP路径上每个IP可能包含多条告警，因此各IP的告警分别按时间从小到大排序后，取最后一条告警，然后判断异常IP路径上，后一个节点的告警时间是否大于等于前一个告警的时间，如果是，则保留该告警，如果不是，则丢弃，从而得到最终的攻击路径。

综上，本方案的主要优点在于：

(1)将孤立的数据、IP关联起来

根据通联数据，使用IP通信拓扑图将IP之间的连接表示出来，使每个IP不再是一个孤立的存在，方便之后根据IP之间的通联关系确定攻击IP以及攻击路径。

(2)将多源数据融合，使模型获得的信息更加丰富

IP节点不仅包含通联信息，还融合了威胁情报、告警作为属性，使IP画像中包含更丰富的信息，进而对IP的分析更加全面，使模型在寻找攻击者和攻击路径时更加准确。

(3)整个溯源过程无需先验知识

整个溯源过程无需加入先验知识，只需要根据IP通信拓扑图，使用Floyd算法将攻击IP识别出来，再结合告警数据找到攻击路径，从而实现在海量数据中溯源攻击IP和攻击路径的目的。

本发明第二方面公开了一种攻击溯源***。图3为根据本发明实施例的一种攻击溯源***的结构图；如图3所示，所述***100包括：

第一处理模块101，被配置为，收集溯源事件的通联日志和告警信息；

第二处理模块102，被配置为，根据通联日志，构建以IP为节点的拓扑图，并为每个IP节点设置属性；

第三处理模块103，被配置为，根据威胁情报与告警信息计算各IP节点的属性值；

第四处理模块104，被配置为，计算IP节点属性值的加权平均值，所述加权平均值作为IP节点的异常评分；

第五处理模块105，被配置为，根据所述IP节点的异常评分和边的连接权值，应用Floyd算法计算每个IP节点到达受害者IP节点的路径威胁评分，找到异常IP路径，再根据所述异常IP路径和告警信息，得到攻击路径。

根据本发明第二方面的***，所述第二处理模块102具体被配置为，IP节点的属性包括：

情报危险系数：匹配自动化威胁情报接口的结果数据，如果情报显示为恶意IP，赋值为1，否则值为0；

告警危险系数：对告警按风险等级分类，风险等级包括超危、高危、中危、低危和无风险；统计IP触发每个风险等级告警的事件类别数和告警总数，使用加权平均法计算告警危险系数；

外连IP危险系数：统计IP作为源IP，连接的目的IP中，威胁情报显示为恶意的IP所占的比例；

连入IP危险系数：统计IP作为目的IP，连接其的源IP中，威胁情报显示为恶意的IP所占的比例。

根据本发明第二方面的***，所述第三处理模块103具体被配置为，所述根据威胁情报与告警信息计算各IP节点的属性值的方法包括：

使用自动化威胁情报查询接口查询IP是否为恶意IP，如果是恶意IP，则该IP的情报危险系数的属性值为1，否则为0，补充到对应IP节点的情报危险系数中；

告警危险系数：对告警按风险等级分类，风险等级包括超危、高危、中危、低危和无风险；统计IP触发每个风险等级告警的事件类别数和告警总数，使用加权平均法计算告警危险系数，并补充到对应IP节点中；

结合威胁情报信息，统计IP作为源IP，连接的目的IP中，威胁情报显示为恶意的IP的个数除以连接过的目的IP的总个数，补充到对应IP节点的外连IP危险系数中；

结合威胁情报信息，统计IP作为目的IP，连接其的源IP中，威胁情报显示为恶意的IP的个数除以连接其的源IP的总个数，补充到对应IP节点的连入IP危险系数中。

根据本发明第二方面的***，所述第四处理模块104具体被配置为，加权平均的权重应用熵值法确定。

根据本发明第二方面的***，所述第五处理模块105具体被配置为，边的连接权值表示IP节点间的相关性，用IP间的通信频率表示。

在根据所述IP节点的异常评分和边的连接权值之前，所述方法还包括拓扑图剪枝：

依次遍历各IP节点与所述溯源事件的受害者IP节点是否有可达路径，如果没有可达路径，则删除这个节点，否则，保留所述节点。

根据所述IP节点的异常评分和边的连接权值，应用Floyd算法计算每个IP节点到达受害者IP节点的路径威胁评分的方法包括：

将IP节点的异常评分以及边的连接权值加权平均，计算得到节点间路径威胁评分；加权平均的权重应用熵值法确定；

Floyd算法以所述节点间路径威胁评分为路径长度，计算每个IP节点到达受害者IP节点的路径威胁评分。

所述根据所述总路径威胁评分，得到攻击路径的方法包括：

判断威胁路径上的连接时间是否符合后一IP节点的时间大于等于前一IP节点的时间，如果符合，则把威胁路径与其路径威胁评分保存，最终选出路径威胁评分最大的路径为异常IP路径，异常IP路径上的IP节点即为所述溯源事件中的攻击者IP，根据异常IP路径上IP的告警信息，按时间顺序连接，得到攻击路径。

本发明第三方面公开了一种电子设备。电子设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时，实现本发明公开第一方面中任一项的一种攻击溯源方法中的步骤。

图4为根据本发明实施例的一种电子设备的结构图，如图4所示，电子设备包括通过***总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***和计算机程序。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该电子设备的输入装置可以是显示屏上覆盖的触摸层，也可以是电子设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图4中示出的结构，仅仅是与本公开的技术方案相关的部分的结构图，并不构成对本申请方案所应用于其上的电子设备的限定，具体的电子设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

本发明第四方面公开了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，实现本发明公开第一方面中任一项的一种攻击溯源方法中的步骤中的步骤。

请注意，以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。以上实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (8)

1.一种攻击溯源方法，其特征在于，所述方法包括：

步骤S1、收集溯源事件的通联日志和告警信息；

步骤S2、根据所述通联日志，构建以IP为节点的拓扑图，并为每个IP节点设置属性；

步骤S3、根据威胁情报和告警信息，计算各IP节点的属性值；

步骤S4、计算IP节点属性值的加权平均值，并作为IP节点的异常评分；

步骤S5、根据所述IP节点的异常评分和边的连接权值，应用Floyd算法计算每个IP节点到达受害者IP节点的路径威胁评分，找到异常IP路径，再根据所述异常IP路径和告警信息，得到攻击路径；

在所述步骤S2中，IP节点的属性包括：

情报危险系数：匹配自动化威胁情报接口的结果数据，如果情报显示为恶意IP，赋值为1，否则值为0；

告警危险系数：对告警按风险等级分类，风险等级包括超危、高危、中危、低危和无风险；统计IP触发每个风险等级告警的事件类别数和告警总数，使用加权平均法计算告警危险系数；

外连IP危险系数：统计IP作为源IP，连接的目的IP中，威胁情报显示为恶意的IP所占的比例；

连入IP危险系数：统计IP作为目的IP，连接其的源IP中，威胁情报显示为恶意的IP所占的比例；

在所述步骤S3中，所述根据威胁情报与告警信息计算各IP节点的属性值的方法包括：

使用自动化威胁情报查询接口查询IP是否为恶意IP，如果是恶意IP，则该IP的情报危险系数的属性值为1，否则为0，补充到对应IP节点的情报危险系数中；

告警危险系数：对告警按风险等级分类，风险等级包括超危、高危、中危、低危和无风险；统计IP触发每个风险等级告警的事件类别数和告警总数，使用加权平均法计算告警危险系数，并补充到对应IP节点中；

结合威胁情报信息，统计IP作为源IP，连接的目的IP中，威胁情报显示为恶意的IP的个数除以连接过的目的IP的总个数，补充到对应IP节点的外连IP危险系数中；

结合威胁情报信息，统计IP作为目的IP，连接其的源IP中，威胁情报显示为恶意的IP的个数除以连接其的源IP的总个数，补充到对应IP节点的连入IP危险系数中。

2.根据权利要求1所述的一种攻击溯源方法，其特征在于，在所述步骤S5中，边的连接权值表示IP节点间的相关性，用IP间的通信频率表示。

3.根据权利要求2所述的一种攻击溯源方法，其特征在于，在所述步骤S5中，在根据所述IP节点的异常评分和边的连接权值之前，所述方法还包括拓扑图剪枝：

依次遍历各IP节点与所述溯源事件的受害者IP节点是否有可达路径，如果没有可达路径，则删除这个IP节点，否则，保留所述IP节点。

4.根据权利要求1所述的一种攻击溯源方法，其特征在于，在所述步骤S5中，根据所述IP节点的异常评分和边的连接权值，应用Floyd算法计算每个IP节点到达受害者IP节点的路径威胁评分的方法包括：

将IP节点的异常评分以及边的连接权值加权平均，得到节点间路径威胁评分；

Floyd算法以所述节点间路径威胁评分为路径长度，计算每个IP节点到达受害者IP节点的路径威胁评分。

5.根据权利要求1所述的一种攻击溯源方法，其特征在于，在所述步骤S5中，所述根据路径威胁评分，得到攻击路径的方法包括：判断威胁路径上的连接时间是否符合后一IP节点的时间大于等于前一IP节点的时间，如果符合，则把威胁路径与其路径威胁评分保存，最终选出路径威胁评分最大的路径为异常IP路径，异常IP路径上的IP节点即为所述溯源事件中的攻击者IP，根据异常IP路径上IP的告警信息，按时间顺序连接，得到攻击路径。

6.一种用于攻击溯源***，其特征在于，所述***包括：

第一处理模块，被配置为，收集溯源事件的通联日志和告警信息；

第二处理模块，被配置为，根据通联日志，构建以IP为节点的拓扑图，得到IP间的连接关系，并为每个IP节点设置属性；

IP节点的属性包括：

情报危险系数：匹配自动化威胁情报接口的结果数据，如果情报显示为恶意IP，赋值为1，否则值为0；

告警危险系数：对告警按风险等级分类，风险等级包括超危、高危、中危、低危和无风险；统计IP触发每个风险等级告警的事件类别数和告警总数，使用加权平均法计算告警危险系数；

外连IP危险系数：统计IP作为源IP，连接的目的IP中，威胁情报显示为恶意的IP所占的比例；

连入IP危险系数：统计IP作为目的IP，连接其的源IP中，威胁情报显示为恶意的IP所占的比例；

第三处理模块，被配置为，根据威胁情报与告警信息计算各IP节点的属性值；

所述根据威胁情报与告警信息计算各IP节点的属性值包括：

使用自动化威胁情报查询接口查询IP是否为恶意IP，如果是恶意IP，则该IP的情报危险系数的属性值为1，否则为0，补充到对应IP节点的情报危险系数中；

告警危险系数：对告警按风险等级分类，风险等级包括超危、高危、中危、低危和无风险；统计IP触发每个风险等级告警的事件类别数和告警总数，使用加权平均法计算告警危险系数，并补充到对应IP节点中；

结合威胁情报信息，统计IP作为源IP，连接的目的IP中，威胁情报显示为恶意的IP的个数除以连接过的目的IP的总个数，补充到对应IP节点的外连IP危险系数中；

结合威胁情报信息，统计IP作为目的IP，连接其的源IP中，威胁情报显示为恶意的IP的个数除以连接其的源IP的总个数，补充到对应IP节点的连入IP危险系数中；

第四处理模块，被配置为，计算IP节点属性值的加权平均值，并作为IP节点的异常评分；

第五处理模块，被配置为，根据所述IP节点的异常评分和边的连接权值，应用Floyd算法计算每个IP节点到达受害者IP节点的路径威胁评分，找到异常IP路径，再根据所述异常IP路径和告警信息，得到攻击路径。

7.一种电子设备，其特征在于，所述电子设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时，实现权利要求1至5中任一项所述的一种攻击溯源方法中的步骤。

8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现权利要求1至5中任一项所述的一种攻击溯源方法中的步骤。