CN117614705A - 攻击链路的展示方法和装置、计算机设备及存储介质 - Google Patents

攻击链路的展示方法和装置、计算机设备及存储介质 Download PDF

Info

Publication number
CN117614705A
CN117614705A CN202311611257.6A CN202311611257A CN117614705A CN 117614705 A CN117614705 A CN 117614705A CN 202311611257 A CN202311611257 A CN 202311611257A CN 117614705 A CN117614705 A CN 117614705A
Authority
CN
China
Prior art keywords
attack
information
equipment
link
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311611257.6A
Other languages
English (en)
Inventor
温小明
郭勇
武心刚
郑诣枫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Resources Intelligent Computing Technology Guangdong Co ltd
Original Assignee
China Resources Intelligent Computing Technology Guangdong Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Resources Intelligent Computing Technology Guangdong Co ltd filed Critical China Resources Intelligent Computing Technology Guangdong Co ltd
Priority to CN202311611257.6A priority Critical patent/CN117614705A/zh
Publication of CN117614705A publication Critical patent/CN117614705A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请实施例提供了一种攻击链路的展示方法和装置、计算机设备及存储介质,属于设备安全技术领域。该方法包括:获取攻击数据;其中,攻击数据包括攻击事件和每一攻击事件的攻击结果、攻击关系信息和攻击标识信息;根据攻击标识信息获取目标设备的设备信息;设备信息包括以下至少一种:设备I P端口地址、设备业务***信息、设备物理区域信息和设备组织信息;接收攻击展示维度请求;响应于攻击展示维度请求,从设备I P端口地址、设备业务***信息、设备物理区域信息和设备组织信息中选出目标展示维度信息;根据目标展示维度信息、攻击事件、攻击结果和攻击关系信息构建攻击链路视图;显示攻击链路视图。本申请实施例能够提高攻击链路展示的灵活性。

Description

攻击链路的展示方法和装置、计算机设备及存储介质
技术领域
本申请涉及设备安全技术领域,尤其涉及一种攻击链路的展示方法和装置、计算机设备及存储介质。
背景技术
攻击链路展示能够让运维人员掌握每一设备的攻击情况,以查找到攻击源头后进行安全维护。相关技术中,攻击链路展示主要是以IP地址和端口作为节点进行展示,展示一段时间内多次攻击事件的攻击链路视图,但是攻击数量越多,展示的攻击链路视图就越复杂,无法排查出攻击产生的关键节点。另一种攻击链路展示方式以IP地址和端口作为节点,展示单次攻击事件的攻击链路视图,无法展示多次攻击事件,也无法排查攻击产生的关键节点。因此,如何提高攻击链路展示的灵活性,成为了亟待解决的技术问题。
发明内容
本申请实施例的主要目的在于提出一种攻击链路的展示方法和装置、计算机设备及存储介质,旨在提高攻击链路展示的灵活性。
为实现上述目的,本申请实施例的第一方面提出了一种攻击链路的展示方法,所述方法包括:
获取攻击数据;其中,所述攻击数据包括多个目标设备的攻击事件和每一所述攻击事件的攻击结果、攻击关系信息和攻击标识信息;
根据所述攻击标识信息获取所述目标设备的设备信息;所述设备信息包括以下至少一种:设备IP端口地址、设备业务***信息、设备物理区域信息和设备组织信息;
接收攻击展示维度请求;
响应于所述攻击展示维度请求,从所述设备IP端口地址、所述设备业务***信息、所述设备物理区域信息和所述设备组织信息中选取出目标展示维度信息;
根据所述目标展示维度信息、所述攻击事件和所述攻击结果和所述攻击关系信息构建攻击链路视图;
显示所述攻击链路视图。
在一些实施例,所述根据所述目标展示维度信息、所述攻击事件、所述攻击结果和所述攻击关系信息构建攻击链路视图,包括:
根据所述目标展示维度信息对所述攻击事件进行分类处理,得到每一目标展示维度信息的攻击事件集;
根据所述攻击事件集构建成攻击要素节点;
根据所述攻击关系信息将所述攻击要素节点进行关联处理,得到初步攻击链路;
根据所述攻击结果对所述初步攻击链路进行标识处理,得到目标攻击链路;
将所述目标攻击链路进行整合处理,得到所述攻击链路视图。
在一些实施例,所述攻击结果包括以下任意一种:企图攻击结果、疑似成功结果、疑似失陷结果、攻击失败结果、已失陷结果和攻击成功结果;所述根据所述攻击结果对所述初步攻击链路进行标识处理,得到目标攻击链路,包括:
根据所述已失陷结果和所述攻击成功结果对所述初步攻击链路进行筛选处理,得到选定攻击链路;
对所述选定攻击链路进行突出标识处理,得到标识攻击链路;
根据所述标识攻击链路对所述初步攻击链路进行替换处理,得到所述目标攻击链路。
在一些实施例,在所述根据所述攻击结果对所述初步攻击链路进行标识处理,得到目标攻击链路之后,所述方法还包括:
获取每一所述攻击事件集的事件数量,得到攻击事件数量;
根据所述攻击事件数量对每一所述目标攻击链路进行数量标记处理,得到更新攻击链路。
在一些实施例,在所述将所述目标攻击链路进行整合处理,得到所述攻击链路视图之后,所述方法还包括:
在所述攻击链路视图点击所述攻击要素节点生成的攻击详请查看请求;
响应于所述攻击详情查看请求,显示所述攻击要求节点对应的至少一个所述攻击事件;其中,所述攻击事件还包括:攻击级别信息、攻击手段信息和攻击内容信息。
在一些实施例,所述攻击展示维度请求包括以下任意一种:IP端口展示维度信息、物理区域展示维度信息、组织展示维度信息和***展示维度信息;所述响应于所述攻击展示维度请求,从所述设备IP端口地址、所述设备业务***信息、所述设备物理区域信息和所述设备组织信息中选取出目标展示维度信息,包括以下任意一种:
响应于所述IP端口展示维度信息,将所述设备IP端口地址作为所述目标展示维度信息;
响应于所述物理区域展示维度信息,将所述设备物理区域信息作为所述目标展示维度信息;
响应于所述组织展示维度信息,将所述设备组织信息作为所述目标展示维度信息;
响应于所述***展示维度信息,将所述设备业务***信息作为所述目标展示维度信息。
在一些实施例,在所述根据所述攻击标识信息获取所述目标设备的设备信息之前,所述方法还包括:
获取设备新增请求;
响应于所述设备新增请求,显示设备信息填写界面;其中,所述设备信息填写界面包括:IP填写框、端口填写框、应用***填写框、物理区域填写框、组织机构填写框;
接收在所述设备填写界面输入的字段,并将所述字段整合处理得到所述设备信息。
为实现上述目的,本申请实施例的第二方面提出了一种攻击链路的展示装置,所述装置包括:
数据获取模块,用于获取攻击数据;其中,所述攻击数据包括多个目标设备的攻击事件和每一所述攻击事件的攻击结果、攻击关系信息和攻击标识信息;
信息获取模块,用于根据所述攻击标识信息获取所述目标设备的设备信息;所述设备信息包括以下至少一种:设备IP端口地址、设备业务***信息、设备物理区域信息和设备组织信息;
请求接收模块,用于接收攻击展示维度请求;
维度确定模块,用于响应于所述攻击展示维度请求,从所述设备IP端口地址、所述设备业务***信息、所述设备物理区域信息、所述设备组织信息中选取出目标展示维度信息;
链路图构建模块,用于根据所述目标展示维度信息、所述攻击事件和所述攻击结果和所述攻击关系信息构建攻击链路视图;
显示模块,用于显示所述攻击链路视图。
为实现上述目的,本申请实施例的第三方面提出了一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的方法。
为实现上述目的,本申请实施例的第四方面提出了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的方法。
本申请提出的攻击链路的展示方法和装置、计算机设备及存储介质,其通过构建多个展示维度的攻击链路视图,不仅设置IP端口地址的形式展示,还可以选择设备业务***、设备物理区域和设备组织的展示维度来展示攻击链路,以提高攻击链路视图展示的灵活性,提高运维人员定位到攻击关系的效率,实现攻击溯源。
附图说明
图1是本申请实施例提供的攻击链路的展示方法的流程图;
图2是本申请实施例提供的攻击链路的展示方法的***框架图;
图3是本申请另一实施例提供的攻击链路的展示方法的流程图;
图4(a)是本申请实施例提供的攻击链路的展示方法中攻击运维***的界面示意图;
图4(b)是本申请实施例提供的攻击链路的展示方法中备信息填写界面的示意图;
图5是图1中的步骤S105的流程图;
图6(a)、图6(b)、图6(c)和图6(d)是本申请实施例提供的攻击链路的展示方法中不同展示维度的攻击链路视图;
图7是图5中的步骤S504的流程图;
图8是本申请另一实施例提供的攻击链路的展示方法的流程图;
图9是本申请另一实施例提供的攻击链路的展示方法的流程图;
图10(a)、图10(b)、图10(c)和图10(d)是本申请实施例提供的攻击链路的展示方法中不同展示维度的攻击事件示意图
图11是本申请实施例提供的攻击链路的展示装置的结构示意图;
图12是本申请实施例提供的计算机设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
需要说明的是,虽然在装置示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于装置中的模块划分,或流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
首先,对本申请中涉及的若干名词进行解析:
攻击链路:是指黑客或恶意行为者用来实施网络攻击的步骤或路径。攻击链路通常由多个环节或阶段组成,包括信息收集、入侵、扩散、控制和破坏等步骤。
网络攻击事件:是指针对计算机网络或网络设备进行的非法入侵、干扰或破坏行为。这些攻击会损害网络***的稳定性、机密性和可用性,造成数据泄露、服务中断或***瘫痪等严重后果。
Syslog协议:是一种用来向远程主机或本地主机发送日志消息的协议,通常用于***和应用程序日志的收集和分发。由RFC 3164和RFC 5424定义。通过UDP或TCP传输日志消息,使用标准的端口514。主机可以作为Syslog服务器接收日志消息,也可以作为Syslog客户端发送日志消息。
攻击链路展示能够让运维人员掌握每一设备的攻击情况,以查找到攻击源头后进行安全维护。相关技术中,攻击链路展示主要是以IP地址和端口作为节点进行展示,展示一段时间内多次攻击事件的攻击链路视图,但是攻击数量越多,展示的攻击链路视图就越复杂,无法排查出攻击产生的关键节点。另一种攻击链路展示方式以IP地址和端口作为节点,展示单次攻击事件的攻击链路视图,无法展示多次攻击事件,也无法排查攻击产生的关键节点。因此,如何提高攻击链路展示的灵活性,成为了亟待解决的技术问题。
基于此,本申请实施例提供了一种攻击链路的展示方法和装置、计算机设备及存储介质,旨在提高攻击链路展示的灵活性,不仅按照不同展示维度对攻击链路进行展示,以便于用户根据需求展示不同的攻击链路视图,进而提高攻击排查的效率。
本申请实施例提供的攻击链路的展示方法和装置、计算机设备及存储介质,具体通过如下实施例进行说明,首先描述本申请实施例中的攻击链路的展示方法。
本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中,人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用***。
人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互***、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
本申请实施例提供的攻击链路的展示方法,涉及设备安全技术领域。本申请实施例提供的攻击链路的展示方法可应用于终端中,也可应用于服务器端中,还可以是运行于终端或服务器端中的软件。在一些实施例中,终端可以是智能手机、平板电脑、笔记本电脑、台式计算机等;服务器端可以配置成独立的物理服务器,也可以配置成多个物理服务器构成的服务器集群或者分布式***,还可以配置成提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN以及大数据和人工智能平台等基础云计算服务的云服务器;软件可以是实现攻击链路的展示方法的应用等,但并不局限于以上形式。
本申请可用于众多通用或专用的计算机***环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器***、基于微处理器的***、置顶盒、可编程的消费计算机设备、网络PC、小型计算机、大型计算机、包括以上任何***或设备的分布式计算环境等等。本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
需要说明的是,在本申请的各个具体实施方式中,当涉及到需要根据用户信息、用户行为数据,用户历史数据以及用户位置信息等与用户身份或特性相关的数据进行相关处理时,都会先获得用户的许可或者同意,而且,对这些数据的收集、使用和处理等,都会遵守相关法律法规和标准。此外,当本申请实施例需要获取用户的敏感个人信息时,会通过弹窗或者跳转到确认页面等方式获得用户的单独许可或者单独同意,在明确获得用户的单独许可或者单独同意之后,再获取用于使本申请实施例能够正常运行的必要的用户相关数据。
图1是本申请实施例提供的攻击链路的展示方法的一个可选的流程图,图1中的方法可以包括但不限于包括步骤S101至步骤S106。
步骤S101,获取攻击数据;其中,攻击数据包括多个目标设备的攻击事件和每一攻击事件的攻击结果、攻击关系信息和攻击标识信息;
步骤S102,根据攻击标识信息获取目标设备的设备信息;设备信息包括以下至少一种:设备IP端口地址、设备业务***信息、设备物理区域信息和设备组织信息;
步骤S103,接收攻击展示维度请求;
步骤S104,响应于攻击展示维度请求,从设备IP端口地址、设备业务***信息、设备物理区域信息和设备组织信息中选取出目标展示维度信息;
步骤S105,根据目标展示维度信息、攻击事件和攻击结果和攻击关系信息构建攻击链路视图;
步骤S106,显示攻击链路视图。
本申请实施例所示意的步骤S101至步骤S106,通过获取攻击结果、攻击关系信息和攻击标识信息,以根据攻击标识信息确定被攻击的目标设备的设备信息,且设备信息包括设备IP端口地址、设备业务***信息、设备物理区域信息和设备组织信息,所以需要展示攻击事件时,从设备IP端口地址、设备业务***信息、设备物理区域信息和设备组织信息中选出目标展示维度信息,以根据目标展示维度将攻击事件、攻击结果和攻击关系信息构建成攻击链路视图。通过构建多个展示维度的攻击链路视图,不仅设置IP端口地址的形式展示,还可以选择设备业务***、设备物理区域和设备组织的展示维度来展示攻击链路,以提高攻击链路视图展示的灵活性,方便运维人员可以更高效地定位攻击关系,实现攻击溯源。
在一些实施例的步骤S101中,可以从数据库中提取攻击数据。也可以通过其他方式获取攻击数据,不限于此。如图2所示,每一目标设备上设置安全设备,且攻击链路的展示方法应用于服务器上,且服务器上设置安全运营***,以通过安全运行***实现攻击链路的展示方法,还可以进行攻击溯源。安全设备采集目标设备的上网行为,当发生安全告警时,安全设备通过标准的syslog协议获取安全告警信息,再通过安全告警信息分析形成攻击事件,并将多个攻击事件整合形成攻击数据发送给安全运营***。需要说明的是,安全运营***先将攻击事件存入到数据库中,当需要进行攻击分析时直接从数据库提取即可。
具体地,攻击结果为目标设备收到的攻击情况,攻击关系信息为目标设备受到哪一个设备的攻击,攻击标识信息表征受到攻击的目标设备的标识信息,且攻击标识信息是唯一的。
请参阅图3,在一些实施例中,在步骤S102之前,攻击链路的展示方法还可以包括但不限于包括步骤S301至步骤S303:
步骤S301,获取设备新增请求;
步骤S302,响应于设备新增请求,显示设备信息填写界面;其中,设备信息填写界面包括:IP填写框、端口填写框、应用***填写框、物理区域填写框、组织机构填写框;
步骤S303,接收在设备填写界面输入的字段,并将字段整合处理得到设备信息。
在一些实施例的步骤S301至步骤S302中,运维人员登录安全运营***后进入到如图4(a)所示的界面,当需要新增资产生成设备新增请求,然后根据设备新增请求弹出如图4(b)所示的设备信息填写界面。从图4(b)可知,设备信息填写界面包括:IP填写框、端口填写框、应用***填写框、物理区域填写框、组织机构填写框,且P填写框、端口填写框、应用***填写框、物理区域填写框、组织机构填写框都是必填的内容,而图4(b)中的设备信息填写界面还设主机名填写框、资产名称填写框、MAC地址填写框等等,但都是非必填内容,通过在必填的填写框内设置星号标记,可以让用户清楚哪些信息是创建资产信息相关,而且必填的内容也是后续攻击链路展示维度需要的内容。
在一些实施例的步骤S303中,当运维人员在每一必填的填写框填入字段后,将字段整合即可得到设备信息,使得每一资产对应的设备IP端口地址、设备业务***信息、设备物理区域信息和设备组织信息都能被采集到,后续多维度的攻击链路展示将更加灵活。
在本实施例所示意的步骤S301至步骤S303,通过在新增资产上,设置与攻击展示相关的信息填写框,以便于采集到设备信息更加全面,那么后续进行多维度的攻击链路展示也更加丰富。
在一些实施例的步骤S102中,设备信息包括以下至少一种:设备IP端口地址、设备业务***信用途信息、设备使用者信息、设备使用类别信息等等,且对设备信息包括的内容不限于此。需要说明的是,设备用途信息为设备的作用,设备使用者信息为目标设备的使用者的信息,设备使用类别信息是目标设备主要用于工序的类别,例如,在金融领域,可以判断目标设备是用于保险还是银行业务等等。
在一些实施例中,攻击展示维度请求包括以下任意一种:IP端口展示维度信息、物理区域展示维度信息、组织展示维度信息和***展示维度信息;步骤S104可以包括以下任意一个步骤:
响应于IP端口展示维度信息,将设备IP端口地址作为目标展示维度信息;
响应于物理区域展示维度信息,将设备物理区域信息作为目标展示维度信息;
响应于组织展示维度信息,将设备组织信息作为目标展示维度信息;
响应于***展示维度信息,将设备业务***信息作为目标展示维度信息。
需要说明的是,当在统计维度中输入IP端口展示维度,则直接获取目标设备的设备IP端口地址作为目标展示维度信息,以便于以设备IP端口地址作为攻击链路展示的选择点。若统计维度输入的是物理区域展示维度,则将目标设备的设备物理区域信息作为目标展示维度信息,以便于从物理区域的维度来展示攻击事件。若统计维度输入的是组织展示维度信息,将目标设备的设备组织信息作为目标展示维度信息,以设备组织作为展示维度来展示攻击事件。若统计维度输入的是***展示维度信息,将目标设备的设备业务***信息作为目标展示维度信息,以设备业务***信息作为展示维度来展示攻击事件。
请参阅图5,在一些实施例中,步骤S105可以包括但不限于包括步骤S501至步骤S505:
步骤S501,根据目标展示维度信息对攻击事件进行分类处理,得到每一目标展示维度信息的攻击事件集;
步骤S502,根据攻击事件集构建成攻击要素节点;
步骤S503,根据攻击关系信息将攻击要素节点进行关联处理,得到初步攻击链路;
步骤S504,根据攻击结果对初步攻击链路进行标识处理,得到目标攻击链路;
步骤S505,将目标攻击链路进行整合处理,得到攻击链路视图。
在一些实施例的步骤S501中,确定了目标展示维度信息后,按照目标展示维度信息将攻击事件进行分类,以构建每一目标展示维度信息对应的攻击事件集。需要说明的是,若目标展示维度信息为设备IP端口地址,采集每一设备IP端口地址对应的攻击事件组成攻击事件集。若目标展示维度信息为设备物理区域信息,采集每一设备物理区域信息对应的攻击事件集;若目标展示维度信息为设备组织信息,采集每一设备组织信息的攻击事件集;若目标展示维度信息为设备业务***信息,采集每一设备业务***信息的攻击事件集,以按照不同展示维度将攻击事件归类。
在一些实施例的步骤S502中至步骤S503中,按照攻击事件集构建一个攻击要素节点,然后按照攻击关联的关系找出每一攻击要素节点的攻击节点,并将攻击要素节点和攻击节点之间关联起来以得到初步攻击链路。
在一些实施例的步骤S504中,为了在攻击链路视图中即可查看到不同的攻击结果,按照攻击结果对初步攻击链路标识处理得到目标攻击链路,以更加直观地表征不同攻击情况。
在一些实施例的步骤S505中,目标攻击链路存在多条,将多条的目标攻击链路组合形成攻击链路视图,可以直观地查看到各种维度下的攻击链路视图。
例如,请参照图6(a)、图6(b)、图6(c)和图6(d),图6(a)为在设备IP端口地址下的攻击链路视图,可以直观看到不同设备IP端口地址之间的攻击情况。图6(b)为在设备组织信息下的攻击链路视图,可以直观地查看到以组织为维度的攻击情况。图6(c)为设备物理区域信息下的攻击链路视图,可以直观地查看以物理区域作为维度的攻击情况,也即可以看到同一个组织下不同物理区域的攻击情况。图6(d)为设备业务***信息下的攻击链路视图,可以直观地看到不同业务***之间的攻击情况。因此,通过设置多种展示维度的攻击链路视图,以便于运维人员根据需求更加灵活地分析攻击情况,从而提高攻击溯源的效率。
在本实施例所示意的步骤S501至步骤S505,通过按照不同的展示维度分类攻击事件,然后基于攻击事件集构建节点,再根据攻击关系信息将节点关联起来得到初步攻击链路。为了让攻击情况更加直观,根据攻击结果对初步攻击链路进行标识得到目标攻击链路,然后将目标攻击链路组合成攻击链路视图,以构建不同展示维度下的攻击链路视图,提高攻击链路展示的灵活性。
请参阅图7,在一些实施例中,攻击结果包括以下任意一种:企图攻击结果、疑似成功结果、疑似失陷结果、攻击失败结果、已失陷结果和攻击成功结果;步骤S504可以包括但不限于包括步骤S701至步骤S703:
步骤S701,根据已失陷结果和攻击成功结果对初步攻击链路进行筛选处理,得到选定攻击链路;
步骤S702,对选定攻击链路进行突出标识处理,得到标识攻击链路;
步骤S703,根据标识攻击链路对初步攻击链路进行替换处理,得到目标攻击链路。
在一些实施例的步骤S701至步骤S702中,当攻击结果为已失陷结果和攻击成功结果,说明已经对目标设备造成影响,而企图攻击结果、疑似成功结果、疑似失陷结果、攻击失败结果不会对目标设备造成影响。因此将已失陷结果和攻击成功结果对应的初步攻击链路作为选定攻击链路,然后给选定攻击链路突出标识以得到标识攻击链路。通过图6(a)、图6(b)、图6(c)和图6(d)都可以看到,存在灰度不同的链路,对深灰色的攻击链路表示为攻击成功且已失陷的链路,所以能够更加清楚分析攻击情况。
在本实施例所示意的步骤S701至步骤S703,通过对攻击成功和已失陷的攻击链路进行突出标识,以便于运维人员在查看攻击链路视图时可以更加直观的分析出每一个攻击链路的攻击情况,有利于进行攻击溯源。
请参阅图8,在一些实施例,在步骤S504之后,攻击链路的展示方法还可以包括但不限于包括步骤S801至步骤S802:
步骤S801,获取每一攻击事件集的事件数量,得到攻击事件数量;
步骤S802,根据攻击事件数量对每一目标攻击链路进行数量标记处理,得到更新攻击链路。
在一些实施例的步骤S801至步骤S802中,不同展示维度的攻击事件集不同,且不同展示维度下每一攻击事件集的攻击事件数量也不同。所以通过统计不同展示维度下的攻击事件集的数量,然后在每一攻击要素节点旁边标注上攻击事件数量,以便于运维人员可以更加直观的看出每一攻击要素节点的攻击事件数量,以辅助攻击分析。
例如,通过图6(a)、图6(b)、图6(c)和图6(d)可知,例如在图6(a)中,若设备IP地址为10.10.10.23,端口号为80,然后旁边的(2)为攻击事件数量,以判断设备IP地址为10.10.10.23,且端口号为80的目标设备受到两次网络攻击。如图6(b)中的,设备组织信息为A集团公司华东/上海公司,旁边标识的(36),表征归属于A集团公司华东/上海公司的多个目标设备总共受到了36次攻击。
在本实施例所示意的步骤S801至步骤S802,通过每一攻击要素节点旁边标识上对应的攻击事件数量,以便于运维人员可以直观的看出不同维度下目标设备受到攻击的情况,能够辅助攻击分析,加快攻击溯源。
请参阅图9,在一些实施例中,在步骤S505之后,可以包括但不限于包括步骤S901至步骤S902:
步骤S901,在攻击链路视图点击攻击要素节点生成的攻击详请查看请求;
步骤S902,响应于攻击详情查看请求,显示攻击要求节点对应的至少一个攻击事件;其中,攻击事件集还包括:攻击级别信息、攻击手段信息和攻击内容信息。
在一些实施例的步骤S901至步骤S902中,为了进一步分析攻击事件,而不仅限于攻击链路展示,还需要运维人员更加详细的分析每一攻击事件。当运维人员在攻击链路视图中点击某一个攻击要素节点生成攻击详情查看请求,并根据攻击详情查看请求获取该攻击要素节点对应的攻击事件集,然后将攻击事件集的攻击事件展示出来,且攻击事件包括:攻击级别信息、攻击手段信息和攻击内容信息、攻击结果、攻击关系信息和攻击标识信息,且攻击级别信息、攻击手段信息和攻击内容信息、攻击结果、攻击关系信息和攻击标识信息直接以表格形式展示出来,以方便用户详细查看。需要说明的是,对于攻击结果为攻击成功结果和已失陷结果的攻击事件进行突出标识,以提示运维人员重点查看该事件。
请参照图10(a)、图10(b)、图10(c)和图10(d),在图6(a)点击了设备IP地址为10.10.10.19,端口号为80的攻击要素节点,然后直接跳转到图10(a),图10(a)展示了设备IP地址为10.10.10.19,端口号为80的目标设备受到的攻击事件,有攻击标识信息为告警ID,且攻击关系信息为“主机对内网发起的SMB账号暴破攻击”、“攻击IP为10.10.10.10”、“攻击端口:80”,攻击级别信息为告警级别为一级。因此,通过直接展示每一攻击事件方便运维人员进行攻击分析。图10(b)为从图6(b)中点击了A集团公司华东/上海公司后展示的攻击事件,且展示的攻击事件的事项与图10(a)相同。图10(c)为从图6(c)点击了A集团数据中心/生产一区后跳转的界面,以展示A集团数据中心/生产一区的攻击事件。图10(d)是从图6(d)点击率电子保单***后跳转的界面,以展示电子保单***下的攻击事件。
在本实施例所示意的步骤S901至步骤S902,当需要进一步了解攻击事件时,直接在攻击链路视图下点击对应的攻击要素节点即可展示对应的攻击事件,使得攻击事件的查看更加便捷。实现从多个攻击事件的组合展示灵活切换到单个攻击事件,提高攻击事件展示的灵活性,有利于运维人员进行攻击溯源,提高运维人员定位到攻击关系的效率。
请参阅图11,本申请实施例还提供一种攻击链路的展示装置,可以实现上述攻击链路的展示方法,该装置包括:
数据获取模块1101,用于获取攻击数据;其中,攻击数据包括多个目标设备的攻击事件和每一攻击事件的攻击结果、攻击关系信息和攻击标识信息;
信息获取模块1102,用于根据攻击标识信息获取目标设备的设备信息;设备信息包括:设备IP端口地址、设备业务***信息、设备物理区域信息和设备组织信息;
请求接收模块1003,用于接收攻击展示维度请求;
维度确定模块1004,用于响应于攻击展示维度请求,从设备IP端口地址、设备业务***信息、设备物理区域信息和设备组织信息中选取出目标展示维度信息;
链路图构建模块1005,用于根据目标展示维度信息、攻击事件、攻击结果和攻击关系信息构建攻击链路视图;
显示模块1006,用于显示攻击链路视图。
该攻击链路的展示装置的具体实施方式与上述攻击链路的展示方法的具体实施例基本相同,在此不再赘述。
本申请实施例还提供了一种计算机设备,计算机设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现上述攻击链路的展示方法。该计算机设备可以为包括平板电脑、车载电脑等任意智能终端。
请参阅图12,图12示意了另一实施例的计算机设备的硬件结构,计算机设备包括:
处理器1201,可以采用通用的CPU(CentralProcessingUnit,中央处理器)、微处理器、应用专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本申请实施例所提供的技术方案;
存储器1202,可以采用只读存储器(ReadOnlyMemory,ROM)、静态存储设备、动态存储设备或者随机存取存储器(RandomAccessMemory,RAM)等形式实现。存储器1202可以存储操作***和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1202中,并由处理器1201来调用执行本申请实施例的攻击链路的展示方法;
输入/输出接口1203,用于实现信息输入及输出;
通信接口1204,用于实现本设备与其他设备的通信交互,可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信;
总线1205,在设备的各个组件(例如处理器1201、存储器1202、输入/输出接口1203和通信接口1204)之间传输信息;
其中处理器1201、存储器1202、输入/输出接口1203和通信接口1204通过总线1205实现彼此之间在设备内部的通信连接。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时实现上述攻击链路的展示方法。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本申请实施例描述的实施例是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域技术人员可知,随着技术的演变和新应用场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本领域技术人员可以理解的是,图中示出的技术方案并不构成对本申请实施例的限定,可以包括比图示更多或更少的步骤,或者组合某些步骤,或者不同的步骤。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、***、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括多指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例的方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序的介质。
以上参照附图说明了本申请实施例的优选实施例,并非因此局限本申请实施例的权利范围。本领域技术人员不脱离本申请实施例的范围和实质内所作的任何修改、等同替换和改进,均应在本申请实施例的权利范围之内。

Claims (10)

1.一种攻击链路的展示方法,其特征在于,所述方法包括:
获取攻击数据;其中,所述攻击数据包括多个目标设备的攻击事件和每一所述攻击事件的攻击结果、攻击关系信息和攻击标识信息;
根据所述攻击标识信息获取所述目标设备的设备信息;所述设备信息包括以下至少一种:设备IP端口地址、设备业务***信息、设备物理区域信息和设备组织信息;
接收攻击展示维度请求;
响应于所述攻击展示维度请求,从所述设备IP端口地址、所述设备业务***信息、所述设备物理区域信息和所述设备组织信息中选取出目标展示维度信息;
根据所述目标展示维度信息、所述攻击事件、所述攻击结果和所述攻击关系信息构建攻击链路视图;
显示所述攻击链路视图。
2.根据权利要求1所述的方法,其特征在于,所述根据所述目标展示维度信息、所述攻击事件、所述攻击结果和所述攻击关系信息构建攻击链路视图,包括:
根据所述目标展示维度信息对所述攻击事件进行分类处理,得到每一目标展示维度信息的攻击事件集;
根据所述攻击事件集构建成攻击要素节点;
根据所述攻击关系信息将所述攻击要素节点进行关联处理,得到初步攻击链路;
根据所述攻击结果对所述初步攻击链路进行标识处理,得到目标攻击链路;
将所述目标攻击链路进行整合处理,得到所述攻击链路视图。
3.根据权利要求2所述的方法,其特征在于,所述攻击结果包括以下任意一种:企图攻击结果、疑似成功结果、疑似失陷结果、攻击失败结果、已失陷结果和攻击成功结果;所述根据所述攻击结果对所述初步攻击链路进行标识处理,得到目标攻击链路,包括:
根据所述已失陷结果和所述攻击成功结果对所述初步攻击链路进行筛选处理,得到选定攻击链路;
对所述选定攻击链路进行突出标识处理,得到标识攻击链路;
根据所述标识攻击链路对所述初步攻击链路进行替换处理,得到所述目标攻击链路。
4.根据权利要求2所述的方法,其特征在于,在所述根据所述攻击结果对所述初步攻击链路进行标识处理,得到目标攻击链路之后,所述方法还包括:
获取每一所述攻击事件集的事件数量,得到攻击事件数量;
根据所述攻击事件数量对每一所述目标攻击链路进行数量标记处理,得到更新攻击链路。
5.根据权利要求2所述的方法,其特征在于,在所述将所述目标攻击链路进行整合处理,得到所述攻击链路视图之后,所述方法还包括:
在所述攻击链路视图点击所述攻击要素节点生成的攻击详请查看请求;
响应于所述攻击详情查看请求,显示所述攻击要求节点对应的至少一个所述攻击事件;其中,所述攻击事件还包括:攻击级别信息、攻击手段信息和攻击内容信息。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述攻击展示维度请求包括以下任意一种:IP端口展示维度信息、物理区域展示维度信息、组织展示维度信息和***展示维度信息;所述响应于所述攻击展示维度请求,从所述设备IP端口地址、所述设备业务***信息、所述设备物理区域信息和所述设备组织信息中选取出目标展示维度信息,包括以下任意一种:
响应于所述IP端口展示维度信息,将所述设备IP端口地址作为所述目标展示维度信息;
响应于所述物理区域展示维度信息,将所述设备物理区域信息作为所述目标展示维度信息;
响应于所述组织展示维度信息,将所述设备组织信息作为所述目标展示维度信息;
响应于所述***展示维度信息,将所述设备业务***信息作为所述目标展示维度信息。
7.根据权利要求1至5任一项所述的方法,其特征在于,在所述根据所述攻击标识信息获取所述目标设备的设备信息之前,所述方法还包括:
获取设备新增请求;
响应于所述设备新增请求,显示设备信息填写界面;其中,所述设备信息填写界面包括:IP填写框、端口填写框、应用***填写框、物理区域填写框、组织机构填写框;
接收在所述设备填写界面输入的字段,并将所述字段整合处理得到所述设备信息。
8.一种攻击链路的展示装置,其特征在于,所述装置包括:
数据获取模块,用于获取攻击数据;其中,所述攻击数据包括多个目标设备的攻击事件和每一所述攻击事件的攻击结果、攻击关系信息和攻击标识信息;
信息获取模块,用于根据所述攻击标识信息获取所述目标设备的设备信息;所述设备信息包括以下至少一种:设备IP端口地址、设备业务***信息、设备物理区域信息和设备组织信息;
请求接收模块,用于接收攻击展示维度请求;
维度确定模块,用于响应于所述攻击展示维度请求,从所述设备IP端口地址、所述设备业务***信息、所述设备物理区域信息和所述设备组织信息中选取出目标展示维度信息;
链路图构建模块,用于根据所述目标展示维度信息、所述攻击事件、所述攻击结果和所述攻击关系信息构建攻击链路视图;
显示模块,用于显示所述攻击链路视图。
9.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述的攻击链路的展示方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的攻击链路的展示方法。
CN202311611257.6A 2023-11-28 2023-11-28 攻击链路的展示方法和装置、计算机设备及存储介质 Pending CN117614705A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311611257.6A CN117614705A (zh) 2023-11-28 2023-11-28 攻击链路的展示方法和装置、计算机设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311611257.6A CN117614705A (zh) 2023-11-28 2023-11-28 攻击链路的展示方法和装置、计算机设备及存储介质

Publications (1)

Publication Number Publication Date
CN117614705A true CN117614705A (zh) 2024-02-27

Family

ID=89953017

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311611257.6A Pending CN117614705A (zh) 2023-11-28 2023-11-28 攻击链路的展示方法和装置、计算机设备及存储介质

Country Status (1)

Country Link
CN (1) CN117614705A (zh)

Similar Documents

Publication Publication Date Title
US9838419B1 (en) Detection and remediation of watering hole attacks directed against an enterprise
US8577829B2 (en) Extracting information from unstructured data and mapping the information to a structured schema using the naïve bayesian probability model
WO2022083417A1 (zh) 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品
CN103827810A (zh) 资产模型导入连接器
CN103888490A (zh) 一种全自动的web客户端人机识别的方法
CN114465741B (zh) 一种异常检测方法、装置、计算机设备及存储介质
CN111404937B (zh) 一种服务器漏洞的检测方法和装置
CN105516390B (zh) 域名管理的方法和装置
KR101443071B1 (ko) 웹페이지의 에러 체크 시스템
CN111885007B (zh) 信息溯源方法、装置、***及存储介质
US9363140B2 (en) System and method for analyzing and reporting gateway configurations and rules
CN110708292A (zh) Ip处理方法、装置、介质、电子设备
CN111740868A (zh) 告警数据的处理方法和装置及存储介质
CN112738040A (zh) 一种基于dns日志的网络安全威胁检测方法、***及装置
CN114679292A (zh) 基于网络空间测绘的蜜罐识别方法、装置、设备及介质
US9992209B1 (en) System and method for characterizing security entities in a computing environment
CN112714118B (zh) 网络流量检测方法和装置
CN108234431A (zh) 一种后台登陆行为检测方法和检测服务器
US11159548B2 (en) Analysis method, analysis device, and analysis program
CN108595957A (zh) 浏览器主页篡改检测方法、装置及存储介质
CN115827379A (zh) 异常进程检测方法、装置、设备和介质
CN117614705A (zh) 攻击链路的展示方法和装置、计算机设备及存储介质
CN115484326A (zh) 处理数据的方法、***及存储介质
CN113765924A (zh) 基于用户跨服务器访问的安全监测方法、终端及设备
CN110557465A (zh) 一种用户端ip地址的获取方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination