CN112187720B - 一种二级攻击链的生成方法、装置、电子装置和存储介质 - Google Patents
一种二级攻击链的生成方法、装置、电子装置和存储介质 Download PDFInfo
- Publication number
- CN112187720B CN112187720B CN202010902792.7A CN202010902792A CN112187720B CN 112187720 B CN112187720 B CN 112187720B CN 202010902792 A CN202010902792 A CN 202010902792A CN 112187720 B CN112187720 B CN 112187720B
- Authority
- CN
- China
- Prior art keywords
- attack
- point
- events
- victim
- chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及二级攻击链的生成方法、装置、电子设备和存储介质。其中,该方法包括:获取网络数据,并从网络数据中提取多个单点攻击事件;确定多个单点攻击事件的对象;按照攻击端的IP地址和受害端的IP地址,以单点攻击事件发生的时间顺序组合多个单点攻击事件,得到多条一级攻击链;统计多条一级攻击链中的单点攻击事件来源于相同单点威胁检测规则,且攻击端的IP地址、受害端的IP地址、受害端的端口均相同的单点攻击事件的告警频次,并标记告警频次高于预设阈值的一级攻击链;将每条一级攻击链中的单点攻击事件按照受害端的端口进行组合,得到二级攻击链。通过本申请,解决了威胁攻击事件进行威胁检测时,由于规则不严谨导致的告警误报问题。
Description
技术领域
本申请涉及网络安全防护领域,特别是涉及一种二级攻击链的生成方法、装置、电子装置和存储介质。
背景技术
随着网络的发展,在利益的驱使下,攻击队伍不断扩大,攻击手段也更加多样化。追踪攻击者的攻击行为进而锁定攻击者,成为从源头上制止网络犯罪的有效方法。在追踪攻击者的过程中,检测威胁攻击行为是必不可少的。威胁检测通常是对单点规则的检测,即只检测出在任何时间点的符合某规则的威胁攻击事件并记录。
当前基于威胁攻击事件的检测方法主要包括:基于攻击端IP,并记录攻击IP所有的会话内容,以会话为节点作为检测。该方法结合两种分析方法实现对一个IP攻击者的溯源,以IP对应的会话为主节点,提取IP对应的攻击数据。当攻击者与蜜罐服务器产生交互的时候,就会产生会话。蜜罐会存储这些会话,虽然每一次的攻击都会产生不同的随机会话ID,但是因为蜜罐会识别攻击源(攻击IP地址),因此,根据IP就可以归纳出同一个IP下的每次会话内容,以IP对应的会话为主节点,就可以得到每次攻击的数据,并对记录的攻击数据进行分析和总结。
目前相关技术中,当进行威胁攻击事件的检索时,需要攻击IP的所有会话内容,列出不同时间点捕获到的单点的攻击事件,难以从大量的单点的攻击事件还原出攻击者的整条攻击链。另外,由于规则不严谨,可能导致出现大量的来自相同的源IP、目的IP、受害端的端口、同一规则的告警误报事件。
发明内容
本申请实施例提供了一种二级攻击链的生成方法、二级攻击链的生成装置、电子装置和存储介质,以至少解决了威胁攻击事件进行威胁检测时,难以从大量的单点攻击事件中还原出攻击者的整条攻击链的问题,和由于规则不严谨导致的告警误报问题。
第一方面,本申请实施例提供了一种二级攻击链的生成方法,包括:获取网络数据,并从所述网络数据中提取多个单点攻击事件;确定多个所述单点攻击事件的对象,其中,所述对象包括攻击端、受害端和受害端的端口;按照所述攻击端的IP地址和所述受害端的IP地址,以所述单点攻击事件发生的时间顺序组合多个所述单点攻击事件,得到多条一级攻击链;统计多条所述一级攻击链中的单点攻击事件来源于相同单点威胁检测规则,且攻击端的IP地址、受害端的IP地址、受害端的端口均相同的单点攻击事件的告警频次,并标记所述告警频次高于预设阈值的所述一级攻击链;将每条所述一级攻击链中的单点攻击事件按照所述受害端的端口进行组合,得到二级攻击链。
在其中一些实施例中,获取网络数据,并从所述网络数据中提取多个单点攻击事件包括:采集流经网络适配器的网络数据;按照单点威胁检测规则对所述网络数据进行威胁检测;根据威胁检测结果判断所述网络数据是否存在威胁攻击行为;在存在威胁攻击行为的情况下,根据所述威胁攻击行为的对象记录单点攻击事件。
在其中一些实施例中,按照所述攻击端的IP地址和所述受害端的IP地址,以所述单点攻击事件发生的时间顺序组合多个所述单点攻击事件,得到多条一级攻击链包括:将多个所述单点攻击事件中所述攻击端的IP地址相同且所述受害端的IP地址相同的单点攻击事件划分到相同的一级攻击链。
在其中一些实施例中,按照所述攻击端的IP地址和所述受害端的IP地址,以所述单点攻击事件发生的时间顺序组合多个所述单点攻击事件,得到多条一级攻击链包括:将多个所述单点攻击事件中所述攻击端的IP地址不相同和/或所述受害端的IP地址不相同的单点攻击事件划分到不同的一级攻击链。
在其中一些实施例中,将每条所述一级攻击链中的单点攻击事件按照所述受害端的端口进行组合,得到二级攻击链包括:判断所述一级攻击链中各单点攻击事件的受害端的端口是否一致;在所述一级攻击链中各单点攻击事件的受害端的端口不一致的情况下,按照所述受害端的端口将所述一级攻击链划分为多条二级攻击链。
在其中一些实施例中,按照所述攻击端的IP地址和所述受害端的IP地址,以所述单点攻击事件发生的时间顺序组合多个所述单点攻击事件,得到多条一级攻击链包括:确定第一预设周期内的单点攻击事件;按照所述攻击端的IP地址和所述受害端的IP地址,以所述单点攻击事件发生的时间顺序组合所述第一预设周期内的单点攻击事件,得到多条所述一级攻击链。
在其中一些实施例中,将每条所述一级攻击链中的单点攻击事件按照所述受害端的端口进行组合,得到二级攻击链包括:确定第二预设周期内生成的一级攻击链;将所述第二预设周期内生成的每条所述一级攻击链中的单点攻击事件按照所述受害端的端口进行组合,得到所述二级攻击链。
第二方面,本申请实施例提供了一种二级攻击链的生成装置,所述装置包括:获取模块,用于获取网络数据,并从所述网络数据中提取多个单点攻击事件;确定模块,用于确定多个所述单点攻击事件的对象,其中,所述对象包括攻击端、受害端和受害端的端口;第一生成模块,用于按照所述攻击端的IP地址和所述受害端的IP地址,以所述单点攻击事件发生的时间顺序组合多个所述单点攻击事件,得到多条一级攻击链;标记模块,用于统计多条所述一级攻击链中的单点攻击事件来源于相同单点威胁检测规则,且攻击端的IP地址、受害端的IP地址、受害端的端口均相同的单点攻击事件的告警频次,并标记所述告警频次高于预设阈值的所述一级攻击链;第二生成模块,用于将每条所述一级攻击链中的单点攻击事件按照所述受害端的端口进行组合,得到二级攻击链。
第三方面,本申请实施例提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的一种二级攻击链的生成方法。
第四方面,本申请实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的一种二级攻击链的生成方法。
相比于相关技术,本申请实施例提供的二级攻击链的生成方法,通过攻击端IP地址与受害端IP地址,按照单点攻击事件发生的时间生成多个一级攻击链,通过告警频次的阈值来判断一级攻击链中由于单点威胁检测规则原因造成的误报,基于受害端的端口对周期内的多个单点的威胁攻击进行聚合,形成二级攻击链,解决了威胁攻击事件进行威胁检测时,难以从大量的单点攻击事件中还原出攻击者的整条攻击链和由于规则不严谨导致的告警误报问题,提高了威胁检测的准确率,减少了由于单点威胁检测规则的原因导致的误报。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种二级攻击链的生成方法的终端的硬件结构框图;
图2是根据本申请实施例的一种二级攻击链的生成方法的流程图;
图3是根据本申请优选实施例的一种二级攻击链的生成方法的流程图;
图4是根据本申请实施例的一种二级攻击链的生成装置的结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本实施例提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。以运行在终端上为例,图1是本申请实施例的二级攻击链的生成方法的终端的硬件结构框图。如图1所示,终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限定。例如,终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本申请实施例中的二级攻击链的生成方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
术语解释:
单点攻击:指单点规则检测出符合某规则的威胁攻击事件,主要是针对已知的威胁检测,比如WEB漏洞的攻击等。
威胁攻击:指在个人或企业的网络中遭受到的攻击活动。
攻击链:指对多个单点的威胁攻击行为,通过时间、五元组等多个维度进行聚合形成的链。
SMB:全称是Server Message Block,是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务,Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。
DPDK:全称是Data Plane Development Kit,数据平面开发套件,是由6WIND,Intel等多家公司开发,主要基于Linux系统运行,用于快速数据包处理的函数库与驱动集合,可以极大提高数据处理性能和吞吐量,提高数据平面应用程序的工作效率。
本实施例提供了一种二级攻击链的生成方法,图2是根据本申请实施例的二级攻击链的生成方法的流程图,如图2所示,该流程包括如下步骤:
步骤S201,获取网络数据,并从网络数据中提取多个单点攻击事件。
在其中一个实施例中,获取网络数据,并从网络数据中提取多个单点攻击事件包括:采集流经网络适配器的网络数据;按照单点威胁检测规则对网络数据进行威胁检测;根据威胁检测结果判断网络数据是否存在威胁攻击行为;在存在威胁攻击行为的情况下,根据威胁攻击行为的对象记录单点攻击事件。通过上述方式,提取出多个单点攻击事件,为后续生成二级攻击链做准备。
步骤S202,确定多个单点攻击事件的对象,其中,对象包括攻击端、受害端和受害端的端口。
步骤S203,按照攻击端的IP地址和受害端的IP地址,以单点攻击事件发生的时间顺序组合多个单点攻击事件,得到多条一级攻击链。
在其中一个实施例中,将多个单点攻击事件中攻击端的IP地址相同且受害端的IP地址相同的单点攻击事件划分到相同的一级攻击链。通过上述方式,可以避免生成多个重复的一级攻击链,提高威胁检测的效率。
在其中一个实施例中,将多个单点攻击事件中攻击端的IP地址不相同和/或受害端的IP地址不相同的单点攻击事件划分到不同的一级攻击链。当单点攻击事件中攻击端的IP地址相同,受害端的IP地址不相同时,依据受害端的IP地址生成多个不同的一级攻击链;当单点攻击事件中攻击端的IP地址不相同,受害端的IP地址相同时,依据攻击端的IP地址生成多个不同的一级攻击链;当单点攻击事件中攻击端的IP地址不相同,受害端的IP地址不相同时,依据攻击端的IP地址和受害端的IP地址生成多个不同的一级攻击链。通过上述方式,生成多个不同的一级攻击链,方便观察威胁攻击的过程和分析攻击路线,提高威胁检测的准确率。
在其中一个实施例中,确定第一预设周期内的单点攻击事件;按照攻击端的IP地址和受害端的IP地址,以单点攻击事件发生的时间顺序组合第一预设周期内的单点攻击事件,得到多条一级攻击链。通过上述方式,能够对第一预设周期内的单点攻击事件进行回溯分析。
步骤S204,统计多条一级攻击链中的单点攻击事件来源于相同单点威胁检测规则,且攻击端的IP地址、受害端的IP地址、受害端的端口均相同的单点攻击事件的告警频次,并标记告警频次高于预设阈值的一级攻击链。
通过上述方式,能够通过告警频次的阈值来判定告警事件是否为误报,减少由于单点威胁检测规则的原因导致的误报。
步骤S205,将每条一级攻击链中的单点攻击事件按照受害端的端口进行组合,得到二级攻击链。
在其中一些实施例中,在步骤S204之后,还可以依次遍历一级攻击链,判断一级攻击链的受害端的IP地址与当前单点攻击事件的攻击端的IP地址是否一致,如果一致,合并为一条一级攻击链。
如果攻击端的IP地址与一级攻击链的受害端的IP地址不相同,则另外生成一条一级攻击链。比如现有一条一级攻击链为A->B,当前单点攻击事件的攻击端的IP地址为B,当前单点攻击事件的受害端的IP地址为C,一级攻击链的受害端的IP地址B与当前单点攻击事件的攻击端的IP地址B一致,能够合并成一条一级攻击链,合并后的攻击链为A->B->C。通过上述方式,能够对一级攻击链进行合并,方便观察威胁攻击的过程和分析攻击路线,提高威胁检测的准确率。
在其中一个实施例中,判断一级攻击链中各单点攻击事件的受害端的端口是否一致;在一级攻击链中各单点攻击事件的受害端的端口不一致的情况下,按照受害端的端口将一级攻击链划分为多条二级攻击链。比如现有一条一级攻击链为A->B,在这个一级攻击链B的节点上会有一个数据段来存储B的端口,如A->B(80,8080),其中80与8080分别是两个端口,根据端口不同,生成二级攻击链,包括:A->B:80和A->B:8080。通过上述方式,通过对二级攻击链进行分析,得出威胁攻击的过程和分析攻击路线。
在其中一个实施例中,确定第二预设周期内生成的一级攻击链;将第二预设周期内生成的每条一级攻击链中的单点攻击事件按照受害端的端口进行组合,得到二级攻击链。通过上述方式,能够对第二预设周期内的单点攻击事件进行回溯分析。
通过上述步骤,解决了由于规则不严谨,导致出现大量的来自相同的单点威胁检测规则且受害端IP地址、攻击端IP地址、受害端的端口均相同的告警误报事件的问题,同时解决难以从大量的单点的攻击事件还原出攻击者的整条攻击链的问题。
下面通过优选实施例对本申请实施例进行描述和说明。本实施例中,现假设WEB服务器上有个已知漏洞,攻击者利用这个漏洞进行攻击作为示例介绍。
图3是根据本申请优选实施例的一种二级攻击链的生成方法的流程图,如图3所示,该流程包括如下步骤:
步骤S301,获取网络数据,并从网络数据中提取多个单点攻击事件。
在其中一个实施例中,获取网络数据,并从网络数据中提取多个单点攻击事件包括:使用DPDK采集流经网络适配器的数据流量;假设WEB上存在一个漏洞,针对这个漏洞会有一个检测规则,即单点威胁检测规则;按照单点威胁检测规则对采集的数据流量进行威胁检测,当有攻击端针对这个WEB漏洞进行攻击,这个攻击行为会匹配上单点威胁检测规则触发告警事件。通过上述方式,检测威胁WEB服务器的单点攻击事件,为后续生成二级攻击链做准备。
步骤S302,确定多个单点攻击事件的对象,其中,对象包括攻击端、受害端和受害端的端口。
步骤S303,按照攻击端的IP地址和受害端的IP地址,以单点攻击事件发生的时间顺序组合多个单点攻击事件,得到多条一级攻击链。
在其中一个实施例中,将多个单点攻击事件中攻击端的IP地址相同且受害端的IP地址相同的单点攻击事件划分到相同的一级攻击链。比如攻击端的IP地址都为A,受害端的IP地址都为B,生成一条相同的一级攻击链A->B。通过上述方式,可以避免生成多个重复的一级攻击链,提高威胁检测的效率。
在其中一个实施例中,将多个单点攻击事件中攻击端的IP地址不相同和/或受害端的IP地址不相同的单点攻击事件划分到不同的一级攻击链。
比如攻击端的IP地址都为A,受害端的IP地址分别为B、C,则可以生成两条一级攻击链,分别为A->B、A->C,攻击端的IP地址为A、D,受害端的IP地址分别为B,则可以生成两条一级攻击链,分别为A->B、D->B,攻击端的IP地址为A、B,受害端的IP地址分别为C、D,则可以生成四条一级攻击链,分别为A->C、A->D、B->C、B->D。通过上述方式,生成多个不同的一级攻击链,方便观察威胁攻击的过程和分析攻击路线,提高威胁检测的准确率。
在其中一个实施例中,确定周期M分钟内的单点攻击事件;按照攻击端的IP地址和受害端的IP地址,以单点攻击事件发生的时间顺序组合周期M分钟内的单点攻击事件,得到多条一级攻击链。通过上述方式,能够对周期M分钟的单点攻击事件进行回溯分析。
步骤S304,统计多条一级攻击链中的单点攻击事件来源于相同单点威胁检测规则,且攻击端的IP地址、受害端的IP地址、受害端的端口均相同的单点攻击事件的告警频次,并标记告警频次高于预设阈值的一级攻击链。比如3分钟出现IP1一直以同样的单点威胁检测规则攻击IP2,IP1的IP地址为A,IP2的IP地址为B,IP2的端口9000,设置单点攻击事件的告警频次阈值为10000次,当告警频次超过10000次时认为属于误报。通过上述方式,能够通过告警频次的阈值来判定告警事件是否为误报,过滤可信度低的一级攻击链。
步骤S305,依次遍历一级攻击链,判断一级攻击链的受害端的IP地址与当前单点攻击事件的攻击端的IP地址是否一致,如果一致,合并为一条一级攻击链。比如现有一级攻击链A->B:445,当前攻击事件的攻击端的IP为B,受害端的IP为C:445,因为当前的攻击端的IP与现有一级攻击链A->B的受害端的IP一致,合并成一条一级攻击链A->B->C。通过上述方式,能够对一级攻击链进行合并,合并后可以分析得出攻击端先攻击B的端口445成功后,再以B作为跳板,攻击C。
步骤S306,将每条一级攻击链中的单点攻击事件按照受害端的端口进行组合,得到二级攻击链。
在其中一个实施例中,判断一级攻击链中各单点攻击事件的受害端的端口是否一致;在一级攻击链中各单点攻击事件的受害端的端口不一致的情况下,按照受害端的端口将一级攻击链划分为多条二级攻击链。比如两个二级攻击链包括A->B:445,A->B:80,445和80是端口,端口445一般是SMB服务,端口80是WEB服务,由二级攻击链A->B:445,A->B:80分析得出,攻击端通过445扩展,先攻击445成功后,获取了SMB服务权限,再去攻击80端口的web服务。通过上述方式,通过对二级攻击链进行分析,得出威胁攻击的过程和分析攻击路线。
在其中一个实施例中,确定周期N分钟内生成的一级攻击链;将周期N分钟内生成的每条一级攻击链中的单点攻击事件按照受害端的端口进行组合,得到二级攻击链。通过上述方式,能够对周期N分钟内的一级攻击链进行回溯分析。
本实施例还提供了一种二级攻击链的生成装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本申请实施例的一种二级攻击链的生成装置的结构框图,如图4所示,该装置包括:
获取模块41,用于获取网络数据,并从网络数据中提取多个单点攻击事件;
确定模块42,连接至获取模块41,用于确定多个单点攻击事件的对象,其中,对象包括攻击端、受害端和受害端的端口;
第一生成模块43,连接至确定模块42,用于按照攻击端的IP地址和受害端的IP地址,以单点攻击事件发生的时间顺序组合多个单点攻击事件,得到多条一级攻击链;
标记模块44,连接至第一生成模块43,用于统计多条一级攻击链中的单点攻击事件来源于相同单点威胁检测规则,且攻击端的IP地址、受害端的IP地址、受害端的端口均相同的单点攻击事件的告警频次,并标记告警频次高于预设阈值的一级攻击链;
第二生成模块45,连接至标记模块44,用于将每条一级攻击链中的单点攻击事件按照受害端的端口进行组合,得到二级攻击链。
在其中一些实施例中,获取模块41包括:采集单元,用于采集流经网络适配器的网络数据;检测单元,连接至采集单元,用于按照单点威胁检测规则对网络数据进行威胁检测;判断单元,连接至检测单元,用于根据威胁检测结果判断网络数据是否存在威胁攻击行为;记录单元,连接至判断单元,用于在存在威胁攻击行为的情况下,根据威胁攻击行为的对象记录单点攻击事件。
在其中一些实施例中,第一生成模块42用于将多个单点攻击事件中攻击端的IP地址相同且受害端的IP地址相同的单点攻击事件划分到相同的一级攻击链。
在其中一些实施例中,第一生成模块42用于将多个单点攻击事件中攻击端的IP地址不相同和/或受害端的IP地址不相同的单点攻击事件划分到不同的一级攻击链。
在其中一些实施例中,第二生成模块45包括:判断单元,判断一级攻击链中各单点攻击事件的受害端的端口是否一致;第二生成单元,连接至判断单元,用于在一级攻击链中各单点攻击事件的受害端的端口不一致的情况下,按照受害端的端口将一级攻击链划分为多条二级攻击链。
在其中一些实施例中,第一生成模块42包括:确定单元,用于确定第一预设周期内的单点攻击事件;第一生成单元,连接至确定单元,用于按照攻击端的IP地址和受害端的IP地址,以单点攻击事件发生的时间顺序组合第一预设周期内的单点攻击事件,得到多条一级攻击链。
在其中一些实施例中,第二生成模块45包括:确定单元,用于确定第二预设周期内生成的一级攻击链;第三生成单元,连接至确定单元,用于将第二预设周期内生成的每条一级攻击链中的单点攻击事件按照受害端的端口进行组合,得到二级攻击链。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
本实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取网络数据,并从网络数据中提取多个单点攻击事件;
S2,确定多个单点攻击事件的对象,其中,对象包括攻击端、受害端和受害端的端口;
S3,按照攻击端的IP地址和受害端的IP地址,以单点攻击事件发生的时间顺序组合多个单点攻击事件,得到多条一级攻击链;
S4,统计多条一级攻击链中的单点攻击事件来源于相同单点威胁检测规则,且攻击端的IP地址、受害端的IP地址、受害端的端口均相同的单点攻击事件的告警频次,并标记告警频次高于预设阈值的一级攻击链;
S5,将每条一级攻击链中的单点攻击事件按照受害端的端口进行组合,得到二级攻击链。
需要说明的是,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
另外,结合上述实施例中的一种二级攻击链的生成方法,本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种二级攻击链的生成方法。
本领域的技术人员应该明白,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种二级攻击链的生成方法,其特征在于,包括:
获取网络数据,并从所述网络数据中提取多个单点攻击事件;
确定多个所述单点攻击事件的对象,其中,所述对象包括攻击端、受害端和受害端的端口;
按照所述攻击端的IP地址和所述受害端的IP地址,以所述单点攻击事件发生的时间顺序组合多个所述单点攻击事件,得到多条一级攻击链;
统计多条所述一级攻击链中的单点攻击事件来源于相同单点威胁检测规则,且攻击端的IP地址、受害端的IP地址、受害端的端口均相同的单点攻击事件的告警频次,并标记所述告警频次高于预设阈值的所述一级攻击链;
将每条所述一级攻击链中的单点攻击事件按照所述受害端的端口进行组合,得到二级攻击链,包括:判断所述一级攻击链中各单点攻击事件的受害端的端口是否一致;在所述一级攻击链中各单点攻击事件的受害端的端口不一致的情况下,按照所述受害端的端口将所述一级攻击链划分为多条二级攻击链。
2.根据权利要求1所述的方法,其特征在于,获取网络数据,并从所述网络数据中提取多个单点攻击事件包括:
采集流经网络适配器的网络数据;
按照单点威胁检测规则对所述网络数据进行威胁检测;
根据威胁检测结果判断所述网络数据是否存在威胁攻击行为;
在存在威胁攻击行为的情况下,根据所述威胁攻击行为的对象记录单点攻击事件。
3.根据权利要求1所述的方法,其特征在于,按照所述攻击端的IP地址和所述受害端的IP地址,以所述单点攻击事件发生的时间顺序组合多个所述单点攻击事件,得到多条一级攻击链包括:
将多个所述单点攻击事件中所述攻击端的IP地址相同且所述受害端的IP地址相同的单点攻击事件划分到相同的一级攻击链。
4.根据权利要求1所述的方法,其特征在于,按照所述攻击端的IP地址和所述受害端的IP地址,以所述单点攻击事件发生的时间顺序组合多个所述单点攻击事件,得到多条一级攻击链包括:
将多个所述单点攻击事件中所述攻击端的IP地址不相同和/或所述受害端的IP地址不相同的单点攻击事件划分到不同的一级攻击链。
5.根据权利要求1所述的方法,其特征在于,按照所述攻击端的IP地址和所述受害端的IP地址,以所述单点攻击事件发生的时间顺序组合多个所述单点攻击事件,得到多条一级攻击链包括:
确定第一预设周期内的单点攻击事件;
按照所述攻击端的IP地址和所述受害端的IP地址,以所述单点攻击事件发生的时间顺序组合所述第一预设周期内的单点攻击事件,得到多条所述一级攻击链。
6.根据权利要求1所述的方法,其特征在于,将每条所述一级攻击链中的单点攻击事件按照所述受害端的端口进行组合,得到二级攻击链包括:
确定第二预设周期内生成的一级攻击链;
将所述第二预设周期内生成的每条所述一级攻击链中的单点攻击事件按照所述受害端的端口进行组合,得到所述二级攻击链。
7.一种二级攻击链的生成装置,其特征在于,所述装置包括:
获取模块,用于获取网络数据,并从所述网络数据中提取多个单点攻击事件;
确定模块,用于确定多个所述单点攻击事件的对象,其中,所述对象包括攻击端、受害端和受害端的端口;
第一生成模块,用于按照所述攻击端的IP地址和所述受害端的IP地址,以所述单点攻击事件发生的时间顺序组合多个所述单点攻击事件,得到多条一级攻击链;
标记模块,用于统计多条所述一级攻击链中的单点攻击事件来源于相同单点威胁检测规则,且攻击端的IP地址、受害端的IP地址、受害端的端口均相同的单点攻击事件的告警频次,并标记所述告警频次高于预设阈值的所述一级攻击链;
第二生成模块,用于将每条所述一级攻击链中的单点攻击事件按照所述受害端的端口进行组合,得到二级攻击链,包括:判断所述一级攻击链中各单点攻击事件的受害端的端口是否一致;在所述一级攻击链中各单点攻击事件的受害端的端口不一致的情况下,按照所述受害端的端口将所述一级攻击链划分为多条二级攻击链。
8.一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的二级攻击链的生成方法。
9.一种存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至6中任一项所述的二级攻击链的生成方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010902792.7A CN112187720B (zh) | 2020-09-01 | 2020-09-01 | 一种二级攻击链的生成方法、装置、电子装置和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010902792.7A CN112187720B (zh) | 2020-09-01 | 2020-09-01 | 一种二级攻击链的生成方法、装置、电子装置和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112187720A CN112187720A (zh) | 2021-01-05 |
CN112187720B true CN112187720B (zh) | 2022-11-15 |
Family
ID=73925501
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010902792.7A Active CN112187720B (zh) | 2020-09-01 | 2020-09-01 | 一种二级攻击链的生成方法、装置、电子装置和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112187720B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114430335A (zh) * | 2021-12-16 | 2022-05-03 | 奇安信科技集团股份有限公司 | web指纹匹配方法及装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105763529A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种网络环境下攻击链获取方法及系统 |
CN109617885A (zh) * | 2018-12-20 | 2019-04-12 | 北京神州绿盟信息安全科技股份有限公司 | 攻陷主机自动判定方法、装置、电子设备及存储介质 |
CN109951419A (zh) * | 2017-12-20 | 2019-06-28 | 广东电网有限责任公司电力调度控制中心 | 一种基于攻击链攻击规则挖掘的apt入侵检测方法 |
CN110213077A (zh) * | 2019-04-18 | 2019-09-06 | 国家电网有限公司 | 一种确定电力监控系统安全事件的方法、装置及系统 |
CN110809010A (zh) * | 2020-01-08 | 2020-02-18 | 浙江乾冠信息安全研究院有限公司 | 威胁信息处理方法、装置、电子设备及介质 |
CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
WO2020157561A1 (en) * | 2019-01-30 | 2020-08-06 | Palo Alto Networks (Israel Analytics) Ltd. | Port scan detection |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9712554B2 (en) * | 2015-04-09 | 2017-07-18 | Accenture Global Services Limited | Event correlation across heterogeneous operations |
-
2020
- 2020-09-01 CN CN202010902792.7A patent/CN112187720B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105763529A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种网络环境下攻击链获取方法及系统 |
CN109951419A (zh) * | 2017-12-20 | 2019-06-28 | 广东电网有限责任公司电力调度控制中心 | 一种基于攻击链攻击规则挖掘的apt入侵检测方法 |
CN109617885A (zh) * | 2018-12-20 | 2019-04-12 | 北京神州绿盟信息安全科技股份有限公司 | 攻陷主机自动判定方法、装置、电子设备及存储介质 |
WO2020157561A1 (en) * | 2019-01-30 | 2020-08-06 | Palo Alto Networks (Israel Analytics) Ltd. | Port scan detection |
CN110213077A (zh) * | 2019-04-18 | 2019-09-06 | 国家电网有限公司 | 一种确定电力监控系统安全事件的方法、装置及系统 |
CN110809010A (zh) * | 2020-01-08 | 2020-02-18 | 浙江乾冠信息安全研究院有限公司 | 威胁信息处理方法、装置、电子设备及介质 |
CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
Non-Patent Citations (1)
Title |
---|
郑剑等.基于攻击路径和PCA算法的报警关联方法.《计算机工程与设计》.2017,(第02期),全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN112187720A (zh) | 2021-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Al-Jarrah et al. | Network Intrusion Detection System using attack behavior classification | |
Dickerson et al. | Fuzzy network profiling for intrusion detection | |
Seufert et al. | Machine learning for automatic defence against distributed denial of service attacks | |
Ahmed et al. | Attack Intention Recognition: A Review. | |
EP2953298A1 (en) | Log analysis device, information processing method and program | |
CN110417717B (zh) | 登录行为的识别方法及装置 | |
Kshirsagar et al. | CPU load analysis & minimization for TCP SYN flood detection | |
CN111028085A (zh) | 一种基于主被动结合的网络靶场资产信息采集方法及装置 | |
Thakur et al. | Detection and Prevention of Botnets and malware in an enterprise network | |
Riadi et al. | Internet forensics framework based-on clustering | |
Nijim et al. | FastDetict: A data mining engine for predecting and preventing DDoS attacks | |
Zali et al. | Real-time attack scenario detection via intrusion detection alert correlation | |
CN112187720B (zh) | 一种二级攻击链的生成方法、装置、电子装置和存储介质 | |
Yang et al. | RTT-based random walk approach to detect stepping-stone intrusion | |
Moustafa et al. | RCNF: Real-time collaborative network forensic scheme for evidence analysis | |
Patil et al. | A Hybrid Traceback based Network Forensic Technique to Identifying Origin of Cybercrime. | |
CN110881016B (zh) | 一种网络安全威胁评估方法及装置 | |
Buric et al. | Challenges in network forensics | |
RU2531878C1 (ru) | Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети | |
Weigert et al. | Community-based analysis of netflow for early detection of security incidents | |
Bhale et al. | An adaptive and lightweight solution to detect mixed rate ip spoofed ddos attack in iot ecosystem | |
Salami et al. | Implementing flash event discrimination in IP traceback using shark smell optimisation algorithm | |
Panchev et al. | Detecting port scans against mobile devices with neural networks and decision trees | |
Tedesco et al. | Data reduction in intrusion alert correlation | |
Kim et al. | Ddos analysis using correlation coefficient based on kolmogorov complexity |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |