CN107979589B - 攻击路线展示方法、装置及设备 - Google Patents
攻击路线展示方法、装置及设备 Download PDFInfo
- Publication number
- CN107979589B CN107979589B CN201711026220.1A CN201711026220A CN107979589B CN 107979589 B CN107979589 B CN 107979589B CN 201711026220 A CN201711026220 A CN 201711026220A CN 107979589 B CN107979589 B CN 107979589B
- Authority
- CN
- China
- Prior art keywords
- attack
- basic
- core
- path
- route
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全领域,具体而言,涉及一种攻击路线展示方法、装置及设备。所述方法通过在预设的第一数据集中随机获取一个核心攻击源IP或核心攻击目标IP作为第一IP,在第一数据集中获取与第一IP对应的所述核心攻击路径和核心攻击手段,以该核心攻击路径构建核心攻击路线,根据所述核心攻击路线在预设的第二数据集中获取基础攻击路径和基础攻击手段,以基础攻击路径与核心攻击路线构建得到扩展攻击路线,显示所述核心攻击路线和\或所述扩展攻击路线,以及核心攻击路线和\或获取扩展攻击路线中对应的设定数量的核心攻击手段和\或基础攻击手段。该方法能够得到清晰的攻击路线。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种攻击路线展示方法、装置及设备。
背景技术
当今社会,网络已是人们日常生活中不可或缺的一部分,而网络安全也越来越受人们的重视。当企业遭到网络攻击时,怎样方便快捷地发现问题、定位问题、解决问题已是当前的一个普遍存在的问题。
目前,当企业遭到网络攻击时,攻击路径混乱,维护人员不容易定位攻击源和攻击目标,维护成本高。
发明内容
本发明的目的在于提供一种攻击路线展示方法、装置及设备,用以解决上述问题。
本发明提供一种技术方案:
本发明实施例中提出了一种攻击路线展示方法,所述方法包括:
在预设的第一数据集中随机获取一个核心攻击源IP或核心攻击目标IP作为第一IP;其中,第一数据集包括核心攻击路径集,所述核心攻击路径集包括多条核心攻击路径,每一条所述核心攻击路径包括核心攻击源IP、核心攻击目标IP和核心攻击源IP到核心攻击目标IP的核心攻击手段,核心攻击手段与核心攻击路径有多对一的对应关系;
在所述第一数据集中获取与所述第一IP对应的所述核心攻击路径和核心攻击手段,以该核心攻击路径构建核心攻击路线;
根据所述核心攻击路线在预设的第二数据集中获取基础攻击路径和基础攻击手段,以所述基础攻击路径与所述核心攻击路线构建得到扩展攻击路线;其中,所述第二数据集包括基础攻击路径集,基础攻击路径集包括多条基础攻击路径,每一条基础攻击路径包括基础攻击源IP、基础攻击目标IP和所述基础攻击源IP到所述基础攻击目标IP的基础攻击手段,所述基础攻击手段与所述基础攻击路径有多对一的对应关系;
显示所述核心攻击路线以及所述核心攻击路线中对应的设定数量的核心攻击手段,和\或,显示所述扩展攻击路线以及所述扩展攻击路线对应的设定数量的基础攻击手段。
作为进一步的,在所述第一数据集中获取与所述第一IP对应的所述核心攻击路径和核心攻击手段,以该核心攻击路径构建核心攻击路线的步骤,包括:
将所述第一IP与所述第一数据集中的所述核心攻击源IP或所述核心攻击目标IP进行匹配,得到第一匹配结果;
判断所述第一匹配结果是否匹配成功,如果所述第一匹配结果为匹配成功,则获取匹配成功的IP对应的核心攻击路径,以及该核心攻击路径对应的核心攻击手段,标记该核心攻击路径为第一攻击路径;
以所述第一攻击路径未经匹配的端点IP作为第二IP,将所述第二IP与所述第一数据集中未经匹配的核心攻击路径对应的核心攻击源IP或核心攻击目标IP进行匹配,得到第二匹配结果;
判断所述第二匹配结果是否匹配成功,如果所述第二匹配结果为匹配成功,则获取出匹配成功的IP对应的核心攻击路径以及该核心攻击路径对应的核心攻击手段,标记该核心攻击路径为第二攻击路径,
将所述第二攻击路径中与所述第二IP匹配成功的端点与所述第一攻击路径组合,得到第二攻击路径;
将所述第二攻击路径中未经匹配的端点作为第三IP,将所述第三IP与第一数据集中未经匹配的核心攻击路径的端点进行匹配,得到第三匹配结果;
判断第三匹配结果是否匹配成功,如果第三匹配结果为匹配成功,则取出匹配成功的核心攻击路径及该核心攻击路径对应的核心攻击手段;
将第三攻击路径中与所述第三IP匹配成功的端点与所述第二攻击路径组合,得到第三攻击路径;
依此类推,直到所述第一数据集中的所有核心攻击路径的端点均匹配成功,则得到核心攻击路线,其中,所述核心攻击路线有一条或多条。
作为进一步的,根据所述核心攻击路线在预设的第二数据集中获取基础攻击路径和基础攻击手段,以所述基础攻击路径与所述核心攻击路线构建得到扩展攻击路线的步骤,包括:
以所述核心攻击路线中的端点IP为第一基础IP,将所述第一基础IP与所述第二数据集中的基础攻击路径的端点进行匹配;
判断所述第一基础IP与所述第二数据集中未经匹配的攻击路径的端点是否匹配成功,如果所述第一基础IP与所述第二数据集中的基础攻击路径的端点匹配成功,则获取匹配成功的IP对应的基础攻击路径以及该基础攻击路径对应的基础攻击手段,得到第一基础攻击路径;
以所述第一基础攻击路径中未经匹配的端点作为第二基础IP,将所述第二基础IP与所述第二数据集中未经匹配的基础攻击路径的端点进行匹配;
如果所述第二基础IP与所述第二数据集中未经匹配的攻击路径的端点匹配成功,取出该基础攻击路径对应的基础攻击路径和基础攻击手段,标记所述基础攻击路径为第二基础攻击路径;
将第二基础攻击路径中与所述第二基础IP匹配成功的端点与所述第一基础攻击路径组合,得到第一基础攻击路线;
将所述第二基础攻击路径中未经匹配的端点作为第三基础IP,再将第三基础IP与所述第二数据集中未经匹配的攻击路径的端点进行匹配;
取出匹配成功的基础攻击路径及该基础攻击路径对应的基础攻击手段,将该基础攻击路径中与所述第三基础IP匹配成功的端点与所述第一基础攻击路线组合,得到第二基础攻击路线;
依此类推,直到所述第二数据集中的所有基础攻击路径均匹配成功,则得到扩展攻击路线,其中,所述扩展攻击路线有一条或多条。
作为进一步的,显示所述核心攻击路线以及所述核心攻击路线中对应的设定数量的核心攻击手段,和\或,显示所述扩展攻击路线以及所述扩展攻击路线对应的设定数量的基础攻击手段的步骤,包括:
统计所述核心攻击路线中每一条核心攻击路径对应核心攻击手段的数量;
判断核心攻击手段的数量是否大于预设值,如果核心攻击手段的数量大于预设值,则显示部分所述核心攻击手段,将未显示的核心攻击手段进行合并,得到合并核心攻击手段,显示所述合并核心攻击手段;
如果核心攻击手段的数量不大于预设值,显示核心攻击手段;
统计所述扩展攻击路线中每一条基础攻击路径对应基础攻击手段的数量;
判断基础攻击手段的数量是否大于设定值,如果基础攻击手段的数量大于设定值,则显示部分所述基础攻击手段,将未显示的基础攻击手段进行合并,得到合并基础攻击手段,显示所述合并基础攻击手段;
如果基础攻击手段的数量不大于设定值,显示基础攻击手段。
本发明实施例还提供了一种攻击路线展示装置,包括获取第一IP模块、构建核心攻击路线模块、构建扩展攻击路线模块及显示模块;
所述获取第一IP模块用于在预设的第一数据集中随机获取一个核心攻击源IP或核心攻击目标IP作为第一IP,将所述第一IP发送至所述构建核心攻击路线模块;
所述构建核心攻击路线模块用于在所述第一数据集中获取与所述第一IP对应的所述核心攻击路径和核心攻击手段,以该核心攻击路径构建核心攻击路线,将所述核心攻击路线发送至所述构建扩展攻击路线模块和所述显示模块,将所述核心攻击手段发送至所述显示模块;
所述构建扩展攻击路线模块用于根据所述核心攻击路线在预设的第二数据集中获取基础攻击路径和基础攻击手段,以所述基础攻击路径与所述核心攻击路线构建得到扩展攻击路线,将所述扩展攻击路线发送至所述显示模块,将所述基础攻击手段发送至所述显示模块;
所述显示模块用于显示所述核心攻击路线以及所述核心攻击路线中对应的设定数量的核心攻击手段,和\或,显示所述扩展攻击路线以及所述扩展攻击路线对应的设定数量的基础攻击手段。
作为进一步的,所述构建核心攻击路线模块包括核心IP匹配单元、获取核心攻击路径单元及组合攻击路径单元;
所述核心IP匹配单元用于将所述第一IP与所述第一数据集中的所述核心攻击源IP或所述核心攻击目标IP进行匹配,得到第一匹配结果,将所述第一匹配结果发送至所述获取核心攻击路径单元;以所述组合攻击路径单元反馈的第一攻击路径未经匹配的端点IP作为第二IP,将所述第二IP与所述第一数据集中未经匹配的核心攻击路径对应的核心攻击源IP或核心攻击目标IP进行匹配,得到第二匹配结果,将所述第二匹配结果发送至所述获取核心攻击路径单元;将所述组合攻击路径单元反馈的第二攻击路径中未经匹配的端点作为第三IP,将所述第三IP与第一数据集中未经匹配的核心攻击路径的端点进行匹配,得到第三匹配结果,将所述第三匹配结果发送至所述获取核心攻击路径单元;依次类推,直至所述组合攻击路径单元不再反馈核心攻击路径;
所述获取核心攻击路径单元用于判断所述第一匹配结果是否匹配成功,如果第一匹配结果为匹配成功,则获取匹配成功的IP对应的核心攻击路径,以及该核心攻击路径对应的核心攻击手段,标记该核心攻击路径为第一攻击路径,将所述第一攻击路径发送至所述组合攻击路径单元;判断所述第二匹配结果是否匹配成功,如果所述第二匹配结果为匹配成功,则获取出匹配成功的IP对应的核心攻击路径以及该核心攻击路径对应的核心攻击手段,标记该核心攻击路径为第二攻击路径,将所述第二攻击路径发送至所述组合攻击路径单元;判断第三匹配结果是否匹配成功,如果第三匹配结果为匹配成功,则取出匹配成功的核心攻击路径及该核心攻击路径对应的核心攻击手段,标记该核心攻击路径为第三攻击路径,将所述第三攻击路径发送至所述组合攻击路径单元;依次类推,直到不再接收到所述核心IP匹配单元发送的匹配结果;
所述组合攻击路径单元用于将所述第二攻击路径中与所述第二IP匹配成功的端点与所述第一攻击路径组合,得到第一攻击路线;将第三攻击路径中与所述第三IP匹配成功的端点与所述第一攻击路线组合,得到第二攻击路线;依此类推,直到获取核心攻击路径单元搜索不到核心攻击路径,得到核心攻击路线,将核心攻击路线发送至所述显示模块。
作为进一步的,所述构建扩展攻击路线模块包括基础IP匹配单元、获取基础攻击路径单元及组合基础攻击路径单元;
所述基础IP匹配单元用于以所述核心攻击路线中的端点IP为第一基础IP,将所述第一基础IP与所述第二数据集中的基础攻击路径的端点进行匹配;以所述组合基础攻击路径单元反馈的第一基础攻击路径中未经匹配的端点作为第二基础IP,将所述第二基础IP与所述第二数据集中未经匹配的基础攻击路径的端点进行匹配;将所述组合基础攻击路径单元反馈的第二基础攻击路径中未经匹配的端点作为第三基础IP,再将第三基础IP与所述第二数据集中未经匹配的攻击路径的端点进行匹配;依此类推,直至所述组合基础攻击路径单元不再反馈基础攻击路径;
所述获取基础攻击路径单元用于根据所述基础IP匹配单元反馈的匹配结果,如果所述第一基础IP与所述第二数据集中的基础攻击路径的端点匹配成功,则获取匹配成功的IP对应的基础攻击路径以及该基础攻击路径对应的基础攻击手段,得到第一基础攻击路径,将所述第一基础攻击路径发送至所述组合基础攻击路径单元;如果所述第二基础IP与所述第二数据集中未经匹配的攻击路径的端点匹配成功,取出该基础攻击路径以及该基础攻击路径对应的基础攻击手段,将该基础攻击路径标记为第二基础攻击路径,并将所述第二基础攻击路径发送至所述组合基础攻击路径单元;取出与第三基础IP匹配成功的基础攻击路径及该基础攻击路径对应的基础攻击手段,将该基础攻击路径标记为第三基础攻击路径,将所述第三基础攻击路径发送至所述组合基础攻击路径单元;依此类推,直至所述第二数据集中的所有攻击路径的端点均被匹配;
所述组合基础攻击路径单元用于将第二基础攻击路径中与所述第二基础IP匹配成功的端点与所述第一基础攻击路径组合,得到第一基础攻击路线;将第三基础攻击路径中与所述第三基础IP匹配成功的端点与所述第一基础攻击路线组合,得到第二基础攻击路线;依此类推,直到获取基础攻击路径单元搜索不到基础攻击路径,得到基础攻击路线,将基础攻击路线发送至所述显示模块。
作为进一步的,所述显示模块包括统计核心手段单元、显示核心手段单元、统计基础手段单元及显示基础攻击手段单元;
所述统计核心手段单元用于统计所述核心攻击路线中每一条核心攻击路径对应核心攻击手段的数量,将会所述核心攻击手段的数量发送至所述显示核心手段单元;
所述显示核心手段单元用于判断核心攻击手段的数量是否大于预设值,如果核心攻击手段的数量大于预设值,则显示部分所述核心攻击手段,将未显示的核心攻击手段进行合并,得到合并核心攻击手段,显示所述合并核心攻击手段;如果核心攻击手段的数量不大于预设值,显示核心攻击手段;
所述统计基础手段单元用于统计所述扩展攻击路线中每一条基础攻击路径对应基础攻击手段的数量,将所述基础攻击手段的数量发送至所述显示基础攻击手段单元;
所述显示基础攻击手段单元用于判断基础攻击手段的数量是否大于设定值,如果基础攻击手段的数量大于设定值,则显示部分所述基础攻击手段,将未显示的基础攻击手段进行合并,得到合并基础攻击手段,显示所述合并基础攻击手段;如果基础攻击手段的数量不大于设定值,显示基础攻击手段。
作为进一步的,还包括数据采集模块和数据存储模块;
所述数据采集模块用于采集第一数据集和第二数据集中的数据,并构建第一数据集和第二数据集,将所述第一数据集和第二数据集发送至所述数据存储模块;
所述数据存储模块用于存储所述第一数据集和第二数据集。
本发明实施例还提供了一种攻击路线展示设备,包括:
存储器;处理器;以及
攻击路线展示装置,所述攻击路线展示装置存储于所述存储器中并包括一个或多个由所述处理器执行的软件功能模组,其包括:
获取第一IP模块,用于在预设的第一数据集中随机获取一个核心攻击源IP或核心攻击目标IP作为第一IP,将所述第一IP发送至构建核心攻击路线模块;
构建核心攻击路线模块,用于在所述第一数据集中获取与所述第一IP对应的所述核心攻击路径和核心攻击手段,以该核心攻击路径构建核心攻击路线,将所述核心攻击路线发送至构建扩展攻击路线模块和显示模块,将所述核心攻击手段发送至所述显示模块;
构建扩展攻击路线模块,用于根据所述核心攻击路线在预设的第二数据集中获取基础攻击路径和基础攻击手段,以所述基础攻击路径与所述核心攻击路线构建得到扩展攻击路线,将所述扩展攻击路线发送至所述显示模块,将所述基础攻击手段发送至所述显示模块;
显示模块,用于显示所述核心攻击路线以及所述核心攻击路线中对应的设定数量的核心攻击手段,和\或,显示所述扩展攻击路线以及所述扩展攻击路线对应的设定数量的基础攻击手段。
本发明实施例还提供了一种攻击路线展示设备,包括:存储器;处理器;以及攻击路线展示装置,所述攻击路线展示装置存储于所述存储器中并包括一个或多个由所述处理器执行的软件功能模组,其包括:
获取第一IP模块,用于在预设的第一数据集中随机获取一个核心攻击源IP或核心攻击目标IP作为第一IP,将所述第一IP发送至构建核心攻击路线模块;
构建核心攻击路线模块,用于在所述第一数据集中获取与所述第一IP对应的所述核心攻击路径和核心攻击手段,以该核心攻击路径构建核心攻击路线,将所述核心攻击路线发送至构建扩展攻击路线模块和显示模块,将所述核心攻击手段发送至所述显示模块;
构建扩展攻击路线模块,用于根据所述核心攻击路线在预设的第二数据集中获取基础攻击路径和基础攻击手段,以所述基础攻击路径与所述核心攻击路线构建得到扩展攻击路线,将所述扩展攻击路线发送至所述显示模块,将所述基础攻击手段发送至所述显示模块;
显示模块,用于显示所述核心攻击路线以及所述核心攻击路线中对应的设定数量的核心攻击手段,和\或,显示所述扩展攻击路线以及所述扩展攻击路线对应的设定数量的基础攻击手段。
本发明提出的一种攻击路线展示方法、装置及设备,通过在预设的第一数据集中随机获取一个核心攻击源IP或核心攻击目标IP作为第一IP,在第一数据集中获取与第一IP对应的所述核心攻击路径和核心攻击手段,以该核心攻击路径构建核心攻击路线,根据所述核心攻击路线在预设的第二数据集中获取基础攻击路径和基础攻击手段,以基础攻击路径与核心攻击路线构建得到扩展攻击路线,显示所述核心攻击路线和\或所述扩展攻击路线,以及核心攻击路线和\或获取扩展攻击路线中对应的设定数量的核心攻击手段和\或基础攻击手段。该方法能够得到清晰的攻击路线。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例提供的一种攻击路线展示设备100。
图2本发明实施例提供的一种攻击路线展示方法的流程图。
图3示出了图2中步骤S200包括的子步骤的示意图。
图4示出了图2中步骤S300包括的子步骤的示意图。
图5示出了图2中步骤S400包括的子步骤的示意图。
图6示出了本发明实施例提供的一种攻击路线展示装置200。
图7示出了攻击路线展示装置200中所示的构建核心攻击路线模块220的结构示意图。
图8示出了攻击路线展示装置200中所示的构建扩展攻击路线模块230的结构示意图。
图9示出了攻击路线展示装置200中所示的显示模块240的结构示意图。
图标:100-攻击路线展示设备;101-存储器;102-处理器;103-外设接口;104-显示屏;200-攻击路线展示装置;210-获取第一IP模块;220-构建核心攻击路线模块;221-核心IP匹配单元;222-获取核心攻击路径单元;223-组合攻击路径单元;230-构建扩展攻击路线模块;231-基础IP匹配单元;232-获取基础攻击路径单元;233-组合基础攻击路径单元;240-显示模块;241-统计核心手段单元;242-显示核心手段单元;243-统计基础手段单元;244-显示基础攻击手段单元;250-数据采集模块;260-数据存储模块。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参阅图1,图1示出了本发明实施例提供的一种攻击路线展示设备100。攻击路线展示设备100包括攻击路线展示装置200、存储器101、处理器102、外设接口103和显示屏104。
所述存储器101、处理器102、外设接口103和显示屏104各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述攻击路线展示装置200包括至少一个可以软件或固件(firmware)的形式存储于所述存储器101中或固化在所述攻击路线展示设备100的操作系统(operating system,OS)中的软件功能模块。所述处理器102用于执行存储器101中存储的可执行模块,例如所述攻击路线展示装置200包括的软件功能模块或计算机程序。
其中,存储器101可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器101用于存储程序,所述处理器102在接收到执行指令后,执行所述程序,本发明任一实施例揭示的流程定义的服务器所执行的方法可以应用于处理器102中,或者由处理器102实现。
处理器102可以是一种集成电路芯片,具有信号处理能力。上述的处理器102可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)、语音处理器以及视频处理器等;还可以是数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器102也可以是任何常规的处理器等。
所述外设接口103用于将各种输入/输出装置耦合至处理器102以及存储器101。在一些实施例中,外设接口103以及处理器102可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
显示屏104用于实现用户与攻击路线展示设备100之间的交互,具体可以是,但不限于显示屏104将攻击路线进行显示。
请参阅图2,图2本发明实施例提供的一种攻击路线展示方法的流程图。攻击路线展示方法包括以下步骤:
步骤S100:在预设的第一数据集中随机获取一个核心攻击源IP或核心攻击目标IP作为第一IP。在本发明实施例中,第一数据集包括核心攻击路径集,所述核心攻击路径集包括多条核心攻击路径,每一条所述核心攻击路径包括核心攻击源IP、核心攻击目标IP和核心攻击源IP到核心攻击目标IP的核心攻击手段,核心攻击手段与核心攻击路径有多对一的对应关系。一条核心攻击路径由一个核心攻击源IP和一个核心攻击目标IP确定,一条核心攻击手段由一个核心攻击源IP和一个核心攻击目标IP确定,在本发明实施例中,一个核心攻击源IP到一个核心攻击目标IP的攻击手段有一个或多个,因而一条核心攻击路径与一个或多个核心攻击手段对应。
在本发明实施例中,将第一数据集包括的核心攻击目标IP和核心攻击源IP一般设置为内网IP。第一数据集中包括的攻击手段,一般为webshell访问或高等恶意文件警告等信息。第一数据集中的数据由后台预先采集得到。
步骤S200:在第一数据集中获取与第一IP对应的核心攻击路径和核心攻击手段,以该核心攻击路径构建核心攻击路线。
请参阅图3,图3示出了图2中步骤S200包括的子步骤的示意图。
在本发明实施例中,步骤S200包括步骤S210-步骤S280:
步骤S210:将第一IP与第一数据集中的核心攻击源IP或核心攻击目标IP进行匹配,得到第一匹配结果。
步骤S220:判断第一匹配结果是否匹配成功,如果第一匹配结果为匹配成功,则获取匹配成功的IP对应的核心攻击路径,以及该核心攻击路径对应的核心攻击手段,标记该核心攻击路径为第一攻击路径。在本发明实施例中,判断第一匹配结果是否匹配成功的方法,可以是,如果将第一IP与第一数据集中的核心攻击源IP或核心攻击目标IP相同,则判定第一匹配结果为匹配成功,否则判定第一匹配结果为匹配不成功。第一IP只要与某一条核心攻击路径的核心攻击源IP或核心攻击目标IP匹配成功,则获取该核心攻击路径匹配。
步骤S230:以第一攻击路径未经匹配的端点IP作为第二IP,将第二IP与所述第一数据集中未经匹配的核心攻击路径对应的核心攻击源IP或核心攻击目标IP进行匹配,得到第二匹配结果。
步骤S240:判断第二匹配结果是否匹配成功,如果第二匹配结果为匹配成功,则获取出匹配成功的IP对应的核心攻击路径以及该核心攻击路径对应的核心攻击手段,标记该核心攻击路径为第二攻击路径。
步骤S250:将第二攻击路径中与第二IP匹配成功的端点与第一攻击路径组合,得到第二攻击路径。
步骤S260:将第二攻击路径中未经匹配的端点作为第三IP,将第三IP与第一数据集中未经匹配的核心攻击路径的端点进行匹配,得到第三匹配结果。
步骤S270:判断第三匹配结果是否匹配成功,如果第三匹配结果为匹配成功,则取出匹配成功的核心攻击路径及该核心攻击路径对应的核心攻击手段。
步骤S280:将第三攻击路径中与所述第三IP匹配成功的端点与第二攻击路径组合,得到第三攻击路径。
在本发明实施例中,将第三攻击路径中与第三IP匹配成功的端点与所述第二攻击路径组合的方法,可以是,但不限于,将匹配成功的端点进行合并链接,未进行合并的端点留,如此,则得到了比原来更长的攻击线。
依此类推,直到所述第一数据集中的所有核心攻击路径的端点均匹配成功,则得到核心攻击路线,其中,所述核心攻击路线有一条或多条。
通过采用以上方案,能够得到清晰的、可靠度高的攻击路线,方便维护人员查找遭受网络攻击的网络节点。
步骤S300:根据核心攻击路线在预设的第二数据集中获取基础攻击路径和基础攻击手段,以基础攻击路径与核心攻击路线构建得到扩展攻击路线。其中,第二数据集包括基础攻击路径集,基础攻击路径集包括多条基础攻击路径,每一条基础攻击路径包括基础攻击源IP、基础攻击目标IP和基础攻击源IP到基础攻击目标IP的基础攻击手段,基础攻击手段与基础攻击路径有多对一的对应关系。
在本发明实施例中,将第二数据集包括的基础攻击目标IP和基础攻击源IP一般设置为外网IP。第二数据集包括的基础攻击路径不一定是实际的攻击路径,基础攻击路径是预测的攻击路径,具体的获取方式由后台预先采集得到。
请参阅图4,图4示出了图2中步骤S300包括的子步骤的示意图。
在本发明实施例中,步骤S300包括子步骤S310~步骤S370。以下对步骤S310~步骤S370进行阐述。
步骤S310:以核心攻击路线中的端点IP为第一基础IP,将第一基础IP与第二数据集中的基础攻击路径的端点进行匹配。
步骤S320:如果第一基础IP与第二数据集中的基础攻击路径的端点匹配成功,则获取匹配成功的IP对应的基础攻击路径以及该基础攻击路径对应的基础攻击手段,得到第一基础攻击路径。
步骤S330:以第一基础攻击路径中未经匹配的端点作为第二基础IP,将所述第二基础IP与所述第二数据集中未经匹配的基础攻击路径的端点进行匹配。
步骤S340:判断第二基础IP与第二数据集中未经匹配的攻击路径的端点是否匹配成功,如果第二基础IP与第二数据集中未经匹配的攻击路径的端点匹配成功,取出该基础攻击路径对应的基础攻击路径和基础攻击手段,标记基础攻击路径为第二基础攻击路径。
步骤S350:将第二基础攻击路径中与所述第二基础IP匹配成功的端点与所述第一基础攻击路径组合,得到第一基础攻击路线。
步骤S360:将所述第二基础攻击路径中未经匹配的端点作为第三基础IP,再将第三基础IP与所述第二数据集中未经匹配的攻击路径的端点进行匹配。
步骤S370:取出匹配成功的基础攻击路径及该基础攻击路径对应的基础攻击手段,将该基础攻击路径中与第三基础IP匹配成功的端点与第一基础攻击路线组合,得到第二基础攻击路线。
依此类推,直到所述第二数据集中的所有基础攻击路径均匹配成功,则得到扩展攻击路线,其中,所述扩展攻击路线有一条或多条。
通过采用以上方案,在核心攻击路线的基础上构建扩展攻击路线,能够得到预测的攻击路线,为维护人员提供参考攻击路线,维护人员可快速找到攻击节点,提高维护效率,降低损失。
步骤S400:显示所述核心攻击路线和\或所述扩展攻击路线,以及所述核心攻击路线和\或所述获取扩展攻击路线中对应的设定数量的核心攻击手段和\或基础攻击手段。
请参阅图5,图5示出了图2中步骤S400包括的子步骤的示意图。
在本发明实施例中,步骤S400包括步骤S410-步骤S440。
步骤S410:统计所述核心攻击路线中每一条核心攻击路径对应核心攻击手段的数量。
步骤S420:判断核心攻击手段的数量是否大于预设值,如果核心攻击手段的数量大于预设值,则显示部分所述核心攻击手段,将未显示的核心攻击手段进行合并,得到合并核心攻击手段,显示所述合并核心攻击手段;如果核心攻击手段的数量不大于预设值,显示核心攻击手段。
步骤S430:统计所述扩展攻击路线中每一条基础攻击路径对应基础攻击手段的数量。
步骤S440:判断基础攻击手段的数量是否大于设定值,如果基础攻击手段的数量大于设定值,则显示部分所述基础攻击手段,将未显示的基础攻击手段进行合并,得到合并基础攻击手段,显示所述合并基础攻击手段。如果基础攻击手段的数量不大于设定值,显示基础攻击手段。
通过采用以上方案,能够有条理地显示和兴攻击路线和基础攻击路线,核心攻击路线为维护人员提供准确的攻击路径,基础攻击路线为维护人员提供可参考的攻击路径,提高了维护的准确率和效率,且非专业的维护人员,也能够清晰地明白攻击的节点,能够及时采取措施,降低损失。通过显示有限条数的核心攻击手段和\或基础攻击手段,能够保持界面清晰,不混乱。通过将过多的核心攻击手段和\或基础攻击手段进行合并,并将合并后的核心攻击手段和\或基础攻击手段显示出来,能够保证信息显示充分、清晰、不混乱。
请参阅图6,图6示出了本发明实施例提供的一种攻击路线展示装置200。在本发明实施例中,攻击路线展示装置200包括获取第一IP模块210、构建核心攻击路线模块220、构建扩展攻击路线模块230、显示模块240、数据采集模块250和数据存储模块260。
数据采集模块250与数据存储模块260连接,数据存储模块260与获取第一IP模块210、构建核心攻击路线模块220和构建扩展攻击路线模块230连接,获取第一IP模块210与构建核心攻击路线模块220连接,构建核心攻击路线模块220与构建扩展攻击路线模块230和显示模块240连接,构建扩展攻击路线模块230与显示模块240连接。
数据采集模块250,用于采集第一数据集和第二数据集中的数据,并构建第一数据集和第二数据集,将第一数据集和第二数据集发送至数据存储模块260。一般的,第一数据集中的数据来自内网网段的恶意信息,第二数据集中的数据来自外网网段的恶意信息。
数据存储模块260用于存储第一数据集和第二数据集。
获取第一IP模块210,用于在预设的第一数据集中随机获取一个核心攻击源IP或核心攻击目标IP作为第一IP,将所述第一IP发送至构建核心攻击路线模块220。在本发明实施例中,获取第一IP模块210可以用于执行步骤S100。
构建核心攻击路线模块220,用于在所述第一数据集中获取与所述第一IP对应的所述核心攻击路径和核心攻击手段,以该核心攻击路径构建核心攻击路线,将所述核心攻击路线发送至构建扩展攻击路线模块230和显示模块240,将核心攻击手段发送至显示模块240。在本发明实施例中,构建核心攻击路线模块220用于执行步骤S200。
请参与图7,图7示出了攻击路线展示装置200中所示的构建核心攻击路线模块220的结构示意图。
在本发明实施例中,构建核心攻击路线模块220包括核心IP匹配单元221、获取核心攻击路径单元222及组合攻击路径单元223。核心IP匹配单元221与获取核心攻击路径单元222和组合攻击路径单元223连接,获取核心攻击路径单元222与组合攻击路径单元223连接。
核心IP匹配单元221,用于将第一IP与第一数据集中的核心攻击源IP或核心攻击目标IP进行匹配,得到第一匹配结果,将第一匹配结果发送至获取核心攻击路径单元222。核心IP匹配单元221以组合攻击路径单元223反馈的第一攻击路径未经匹配的端点IP作为第二IP,将第二IP与第一数据集中未经匹配的核心攻击路径对应的核心攻击源IP或核心攻击目标IP进行匹配,得到第二匹配结果,将第二匹配结果发送至获取核心攻击路径单元222。核心IP匹配单元221将组合攻击路径单元223反馈的第二攻击路径中未经匹配的端点作为第三IP,将第三IP与第一数据集中未经匹配的核心攻击路径的端点进行匹配,得到第三匹配结果,将第三匹配结果发送至获取核心攻击路径单元222。依次类推,直至组合攻击路径单元223不再反馈核心攻击路径。
在本发明实施例中,核心IP匹配单元221用于执行步骤210、步骤230和步骤260。
获取核心攻击路径单元222用于判断第一匹配结果是否匹配成功,如果第一匹配结果为匹配成功,则获取匹配成功的IP对应的核心攻击路径,以及该核心攻击路径对应的核心攻击手段,标记该核心攻击路径为第一攻击路径,将第一攻击路径发送至组合攻击路径单元223。获取核心攻击路径单元222判断所述第二匹配结果是否匹配成功,如果第二匹配结果为匹配成功,则获取出匹配成功的IP对应的核心攻击路径以及该核心攻击路径对应的核心攻击手段,标记该核心攻击路径为第二攻击路径,将第二攻击路径发送至组合攻击路径单元223。获取核心攻击路径单元222判断第三匹配结果是否匹配成功,如果第三匹配结果为匹配成功,则取出匹配成功的核心攻击路径及该核心攻击路径对应的核心攻击手段,标记该核心攻击路径为第三攻击路径,将所述第三攻击路径发送至组合攻击路径单元223;依次类推,直到不再接收到核心IP匹配单元221发送的匹配结果。
在本发明实施例中,获取核心攻击路径单元222可用于执行步骤S220、步骤S240和步骤S270。
组合攻击路径单元223,用于将第二攻击路径中与第二IP匹配成功的端点与第一攻击路径组合,得到第一攻击路线,将第三攻击路径中与所述第三IP匹配成功的端点与第一攻击路线组合,得到第二攻击路线。依此类推,直到获取核心攻击路径单元222搜索不到核心攻击路径,则得到核心攻击路线,将核心攻击路线发送至所述显示模块240。在本发明实施例中,组合攻击路径单元223可用于执行步骤S250和步骤S280。
构建扩展攻击路线模块230,用于根据所述核心攻击路线在预设的第二数据集中获取基础攻击路径和基础攻击手段,以所述基础攻击路径与所述核心攻击路线构建得到扩展攻击路线,将扩展攻击路线和所述基础攻击手段发送至显示模块240。在本发明实施例中,构建扩展攻击路线模块230可用于执行步骤S300。
请参与图8,图8示出了攻击路线展示装置200中所示的构建扩展攻击路线模块230的结构示意图。
构建扩展攻击路线模块230包括基础IP匹配单元231、获取基础攻击路径单元232及组合基础攻击路径单元233。基础IP匹配单元231与获取基础攻击路径单元232和组合基础攻击路径单元233连接,获取基础攻击路径单元232与组合基础攻击路径单元233连接。
基础IP匹配单元231,用于以核心攻击路线中的端点IP为第一基础IP,将第一基础IP与第二数据集中的基础攻击路径的端点进行匹配。基础IP匹配单元231以组合基础攻击路径单元233反馈的第一基础攻击路径中未经匹配的端点作为第二基础IP,将第二基础IP与第二数据集中未经匹配的基础攻击路径的端点进行匹配。基础IP匹配单元231将组合基础攻击路径单元233反馈的第二基础攻击路径中未经匹配的端点作为第三基础IP,再将第三基础IP与第二数据集中未经匹配的攻击路径的端点进行匹配。依此类推,直至组合基础攻击路径单元233不再反馈基础攻击路径。
在本发明实施例中,基础IP匹配单元231可用于执行步骤S310、步骤S330和步骤S360。
获取基础攻击路径单元232用于判断基础IP匹配单元231反馈的匹配结果,如果所述第一基础IP与所述第二数据集中的基础攻击路径的端点匹配成功,则获取匹配成功的IP对应的基础攻击路径以及该基础攻击路径对应的基础攻击手段,得到第一基础攻击路径,将所述第一基础攻击路径发送至组合基础攻击路径单元233,获取基础攻击路径单元232判断第二基础IP与第二数据集中未经匹配的攻击路径的端点是否匹配成功,,如果第二基础IP与所述第二数据集中未经匹配的攻击路径的端点匹配成功,取出该基础攻击路径以及该基础攻击路径对应的基础攻击手段,将该基础攻击路径标记为第二基础攻击路径,并将第二基础攻击路径发送至组合基础攻击路径单元233。获取基础攻击路径单元232取出与第三基础IP匹配成功的基础攻击路径及该基础攻击路径对应的基础攻击手段,将该基础攻击路径标记为第三基础攻击路径,将第三基础攻击路径发送至组合基础攻击路径单元233;依此类推,直至第二数据集中的所有攻击路径的端点均被匹配。
在本发明实施例中,获取基础攻击路径单元232可执行步骤S320、步骤S340和步骤S370中的获取基础攻击路径的部分。
组合基础攻击路径单元233用于将第二基础攻击路径中与第二基础IP匹配成功的端点与第一基础攻击路径组合,得到第一基础攻击路线。组合基础攻击路径单元233将第三基础攻击路径中与第三基础IP匹配成功的端点与所述第一基础攻击路线组合,得到第二基础攻击路线。依此类推,直到获取基础攻击路径单元232搜索不到基础攻击路径,得到基础攻击路线,将基础攻击路线发送至所述显示模块240。
在本发明实施例中,组合基础攻击路径单元233可用于执行步骤S370中的组合基础攻击路径的部分。
显示模块240,用于显示所述核心攻击路线和\或所述扩展攻击路线,以及所述核心攻击路线和\或所述获取扩展攻击路线中对应的设定数量的核心攻击手段和\或基础攻击手段。在本发明实施例中,显示模块240用于执行步骤S400。
请参与图9,图9示出了攻击路线展示装置200中所示的显示模块240的结构示意图。显示模块240包括统计核心手段单元241、显示核心手段单元242、统计基础手段单元243及显示基础攻击手段单元244。
统计核心手段单元241,用于统计核心攻击路线中每一条核心攻击路径对应核心攻击手段的数量,将会核心攻击手段的数量发送至显示核心手段单元242。在本发明实施例中,统计核心手段单元241可用于执行步骤S410。
显示核心手段单元242,用于判断核心攻击手段的数量是否大于预设值,如果核心攻击手段的数量大于预设值,则显示部分核心攻击手段,将未显示的核心攻击手段进行合并,得到合并核心攻击手段,显示合并核心攻击手段。如果核心攻击手段的数量不大于预设值,显示核心攻击手段。在本发明实施例中,显示核心手段单元242可用于执行步骤S420。
统计基础手段单元243,用于统计扩展攻击路线中每一条基础攻击路径对应基础攻击手段的数量,将基础攻击手段的数量发送至显示基础攻击手段单元244。在本发明实施例中,统计基础手段单元243可用于执行步骤S430。
显示基础攻击手段单元244,用于判断基础攻击手段的数量是否大于设定值,如果基础攻击手段的数量大于设定值,则显示部分基础攻击手段,将未显示的基础攻击手段进行合并,得到合并基础攻击手段,显示合并基础攻击手段。如果基础攻击手段的数量不大于设定值,显示基础攻击手段。在本发明实施例中,显示基础攻击手段单元244可用于执行步骤S440。
综上所述,本发明实施例提出的一种攻击路线展示方法、装置及设备,攻击路线展示方法通过在预设的第一数据集中随机获取一个核心攻击源IP或核心攻击目标IP作为第一IP,在第一数据集中获取与第一IP对应的所述核心攻击路径和核心攻击手段,以该核心攻击路径构建核心攻击路线,根据所述核心攻击路线在预设的第二数据集中获取基础攻击路径和基础攻击手段,以基础攻击路径与核心攻击路线构建得到扩展攻击路线,显示所述核心攻击路线和\或所述扩展攻击路线,以及核心攻击路线和\或获取扩展攻击路线中对应的设定数量的核心攻击手段和\或基础攻击手段。该方法能够得到清晰的攻击路线,进一步的,能够帮助维护人员快速找到攻击节点,及预测可能的攻击节点,维护效率高,维护成本低。仅显示最多特定数量的攻击手段,能够使得显示界面清晰,不混乱。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种攻击路线展示方法,其特征在于,包括:
在预设的第一数据集中随机获取一个核心攻击源IP或核心攻击目标IP作为第一IP;其中,第一数据集包括核心攻击路径集,所述核心攻击路径集包括多条核心攻击路径,每一条所述核心攻击路径包括核心攻击源IP、核心攻击目标IP和核心攻击源IP到核心攻击目标IP的核心攻击手段,核心攻击手段与核心攻击路径有多对一的对应关系;
在所述第一数据集中获取与所述第一IP对应的所述核心攻击路径和核心攻击手段,以该核心攻击路径构建核心攻击路线;
根据所述核心攻击路线在预设的第二数据集中获取基础攻击路径和基础攻击手段,以所述基础攻击路径与所述核心攻击路线构建得到扩展攻击路线;其中,所述第二数据集包括基础攻击路径集,基础攻击路径集包括多条基础攻击路径,每一条基础攻击路径包括基础攻击源IP、基础攻击目标IP和所述基础攻击源IP到所述基础攻击目标IP的基础攻击手段,所述基础攻击手段与所述基础攻击路径有多对一的对应关系;
显示所述核心攻击路线以及所述核心攻击路线中对应的设定数量的核心攻击手段,和\或,显示所述扩展攻击路线以及所述扩展攻击路线对应的设定数量的基础攻击手段。
2.根据权利要求1所述的攻击路线展示方法,其特征在于,在所述第一数据集中获取与所述第一IP对应的所述核心攻击路径和核心攻击手段,以该核心攻击路径构建核心攻击路线的步骤,包括:
将所述第一IP与所述第一数据集中的所述核心攻击源IP或所述核心攻击目标IP进行匹配,得到第一匹配结果;
判断所述第一匹配结果是否匹配成功,如果所述第一匹配结果为匹配成功,则获取匹配成功的IP对应的核心攻击路径,以及该核心攻击路径对应的核心攻击手段,标记该核心攻击路径为第一攻击路径;
以所述第一攻击路径未经匹配的端点IP作为第二IP,将所述第二IP与所述第一数据集中未经匹配的核心攻击路径对应的核心攻击源IP或核心攻击目标IP进行匹配,得到第二匹配结果;
判断所述第二匹配结果是否匹配成功,如果所述第二匹配结果为匹配成功,则获取出匹配成功的IP对应的核心攻击路径以及该核心攻击路径对应的核心攻击手段,标记该核心攻击路径为第二攻击路径,
将所述第二攻击路径中与所述第二IP匹配成功的端点与所述第一攻击路径组合,得到第二攻击路径;
将所述第二攻击路径中未经匹配的端点作为第三IP,将所述第三IP与第一数据集中未经匹配的核心攻击路径的端点进行匹配,得到第三匹配结果;
判断第三匹配结果是否匹配成功,如果第三匹配结果为匹配成功,则取出匹配成功的核心攻击路径及该核心攻击路径对应的核心攻击手段;
将第三攻击路径中与所述第三IP匹配成功的端点与所述第二攻击路径组合,得到第三攻击路径;
依此类推,直到所述第一数据集中的所有核心攻击路径的端点均匹配成功,则得到核心攻击路线,其中,所述核心攻击路线有一条或多条。
3.根据权利要求2所述的攻击路线展示方法,其特征在于,根据所述核心攻击路线在预设的第二数据集中获取基础攻击路径和基础攻击手段,以所述基础攻击路径与所述核心攻击路线构建得到扩展攻击路线的步骤,包括:
以所述核心攻击路线中的端点IP为第一基础IP,将所述第一基础IP与所述第二数据集中的基础攻击路径的端点进行匹配;
判断所述第一基础IP与所述第二数据集中未经匹配的攻击路径的端点是否匹配成功,如果所述第一基础IP与所述第二数据集中的基础攻击路径的端点匹配成功,则获取匹配成功的IP对应的基础攻击路径以及该基础攻击路径对应的基础攻击手段,得到第一基础攻击路径;
以所述第一基础攻击路径中未经匹配的端点作为第二基础IP,将所述第二基础IP与所述第二数据集中未经匹配的基础攻击路径的端点进行匹配;
如果所述第二基础IP与所述第二数据集中未经匹配的攻击路径的端点匹配成功,取出该基础攻击路径对应的基础攻击路径和基础攻击手段,标记所述基础攻击路径为第二基础攻击路径;
将第二基础攻击路径中与所述第二基础IP匹配成功的端点与所述第一基础攻击路径组合,得到第一基础攻击路线;
将所述第二基础攻击路径中未经匹配的端点作为第三基础IP,再将第三基础IP与所述第二数据集中未经匹配的攻击路径的端点进行匹配;
取出匹配成功的基础攻击路径及该基础攻击路径对应的基础攻击手段,将该基础攻击路径中与所述第三基础IP匹配成功的端点与所述第一基础攻击路线组合,得到第二基础攻击路线;
依此类推,直到所述第二数据集中的所有基础攻击路径均匹配成功,则得到扩展攻击路线,其中,所述扩展攻击路线有一条或多条。
4.根据权利要求3所述的攻击路线展示方法,其特征在于,显示所述核心攻击路线以及所述核心攻击路线中对应的设定数量的核心攻击手段,和\或,显示所述扩展攻击路线以及所述扩展攻击路线对应的设定数量的基础攻击手段的步骤,包括:
统计所述核心攻击路线中每一条核心攻击路径对应核心攻击手段的数量;
判断核心攻击手段的数量是否大于预设值,如果核心攻击手段的数量大于预设值,则显示部分所述核心攻击手段,将未显示的核心攻击手段进行合并,得到合并核心攻击手段,显示所述合并核心攻击手段;
如果核心攻击手段的数量不大于预设值,显示核心攻击手段;
统计所述扩展攻击路线中每一条基础攻击路径对应基础攻击手段的数量;
判断基础攻击手段的数量是否大于设定值,如果基础攻击手段的数量大于设定值,则显示部分所述基础攻击手段,将未显示的基础攻击手段进行合并,得到合并基础攻击手段,显示所述合并基础攻击手段;
如果基础攻击手段的数量不大于设定值,显示基础攻击手段。
5.一种攻击路线展示装置,其特征在于,包括获取第一IP模块、构建核心攻击路线模块、构建扩展攻击路线模块及显示模块;
所述获取第一IP模块用于在预设的第一数据集中随机获取一个核心攻击源IP或核心攻击目标IP作为第一IP,将所述第一IP发送至所述构建核心攻击路线模块;
所述构建核心攻击路线模块用于在所述第一数据集中获取与所述第一IP对应的所述核心攻击路径和核心攻击手段,以该核心攻击路径构建核心攻击路线,将所述核心攻击路线发送至所述构建扩展攻击路线模块和所述显示模块,将所述核心攻击手段发送至所述显示模块;
所述构建扩展攻击路线模块用于根据所述核心攻击路线在预设的第二数据集中获取基础攻击路径和基础攻击手段,以所述基础攻击路径与所述核心攻击路线构建得到扩展攻击路线,将所述扩展攻击路线发送至所述显示模块,将所述基础攻击手段发送至所述显示模块;
所述显示模块用于显示所述核心攻击路线以及所述核心攻击路线中对应的设定数量的核心攻击手段,和\或,显示所述扩展攻击路线以及所述扩展攻击路线对应的设定数量的基础攻击手段。
6.根据权利要求5所述的攻击路线展示装置,其特征在于,所述构建核心攻击路线模块包括核心IP匹配单元、获取核心攻击路径单元及组合攻击路径单元;
所述核心IP匹配单元用于将所述第一IP与所述第一数据集中的所述核心攻击源IP或所述核心攻击目标IP进行匹配,得到第一匹配结果,将所述第一匹配结果发送至所述获取核心攻击路径单元;以所述组合攻击路径单元反馈的第一攻击路径未经匹配的端点IP作为第二IP,将所述第二IP与所述第一数据集中未经匹配的核心攻击路径对应的核心攻击源IP或核心攻击目标IP进行匹配,得到第二匹配结果,将所述第二匹配结果发送至所述获取核心攻击路径单元;将所述组合攻击路径单元反馈的第二攻击路径中未经匹配的端点作为第三IP,将所述第三IP与第一数据集中未经匹配的核心攻击路径的端点进行匹配,得到第三匹配结果,将所述第三匹配结果发送至所述获取核心攻击路径单元;依次类推,直至所述组合攻击路径单元不再反馈核心攻击路径;
所述获取核心攻击路径单元用于判断所述第一匹配结果是否匹配成功,如果第一匹配结果为匹配成功,则获取匹配成功的IP对应的核心攻击路径,以及该核心攻击路径对应的核心攻击手段,标记该核心攻击路径为第一攻击路径,将所述第一攻击路径发送至所述组合攻击路径单元;判断所述第二匹配结果是否匹配成功,如果所述第二匹配结果为匹配成功,则获取出匹配成功的IP对应的核心攻击路径以及该核心攻击路径对应的核心攻击手段,标记该核心攻击路径为第二攻击路径,将所述第二攻击路径发送至所述组合攻击路径单元;判断第三匹配结果是否匹配成功,如果第三匹配结果为匹配成功,则取出匹配成功的核心攻击路径及该核心攻击路径对应的核心攻击手段,标记该核心攻击路径为第三攻击路径,将所述第三攻击路径发送至所述组合攻击路径单元;依次类推,直到不再接收到所述核心IP匹配单元发送的匹配结果;
所述组合攻击路径单元用于将所述第二攻击路径中与所述第二IP匹配成功的端点与所述第一攻击路径组合,得到第一攻击路线;将第三攻击路径中与所述第三IP匹配成功的端点与所述第一攻击路线组合,得到第二攻击路线;依此类推,直到获取核心攻击路径单元搜索不到核心攻击路径,得到核心攻击路线,将核心攻击路线发送至所述显示模块。
7.根据权利要求6所述的攻击路线展示装置,其特征在于,所述构建扩展攻击路线模块包括基础IP匹配单元、获取基础攻击路径单元及组合基础攻击路径单元;
所述基础IP匹配单元用于以所述核心攻击路线中的端点IP为第一基础IP,将所述第一基础IP与所述第二数据集中的基础攻击路径的端点进行匹配;以所述组合基础攻击路径单元反馈的第一基础攻击路径中未经匹配的端点作为第二基础IP,将所述第二基础IP与所述第二数据集中未经匹配的基础攻击路径的端点进行匹配;将所述组合基础攻击路径单元反馈的第二基础攻击路径中未经匹配的端点作为第三基础IP,再将第三基础IP与所述第二数据集中未经匹配的攻击路径的端点进行匹配;依此类推,直至所述组合基础攻击路径单元不再反馈基础攻击路径;
所述获取基础攻击路径单元用于根据所述基础IP匹配单元反馈的匹配结果,如果所述第一基础IP与所述第二数据集中的基础攻击路径的端点匹配成功,则获取匹配成功的IP对应的基础攻击路径以及该基础攻击路径对应的基础攻击手段,得到第一基础攻击路径,将所述第一基础攻击路径发送至所述组合基础攻击路径单元;如果所述第二基础IP与所述第二数据集中未经匹配的攻击路径的端点匹配成功,取出该基础攻击路径以及该基础攻击路径对应的基础攻击手段,将该基础攻击路径标记为第二基础攻击路径,并将所述第二基础攻击路径发送至所述组合基础攻击路径单元;取出与第三基础IP匹配成功的基础攻击路径及该基础攻击路径对应的基础攻击手段,将该基础攻击路径标记为第三基础攻击路径,将所述第三基础攻击路径发送至所述组合基础攻击路径单元;依此类推,直至所述第二数据集中的所有攻击路径的端点均被匹配;
所述组合基础攻击路径单元用于将第二基础攻击路径中与所述第二基础IP匹配成功的端点与所述第一基础攻击路径组合,得到第一基础攻击路线;将第三基础攻击路径中与所述第三基础IP匹配成功的端点与所述第一基础攻击路线组合,得到第二基础攻击路线;依此类推,直到获取基础攻击路径单元搜索不到基础攻击路径,得到基础攻击路线,将基础攻击路线发送至所述显示模块。
8.根据权利要求7所述的攻击路线展示装置,其特征在于,所述显示模块包括统计核心手段单元、显示核心手段单元、统计基础手段单元及显示基础攻击手段单元;
所述统计核心手段单元用于统计所述核心攻击路线中每一条核心攻击路径对应核心攻击手段的数量,将会所述核心攻击手段的数量发送至所述显示核心手段单元;
所述显示核心手段单元用于判断核心攻击手段的数量是否大于预设值,如果核心攻击手段的数量大于预设值,则显示部分所述核心攻击手段,将未显示的核心攻击手段进行合并,得到合并核心攻击手段,显示所述合并核心攻击手段;如果核心攻击手段的数量不大于预设值,显示核心攻击手段;
所述统计基础手段单元用于统计所述扩展攻击路线中每一条基础攻击路径对应基础攻击手段的数量,将所述基础攻击手段的数量发送至所述显示基础攻击手段单元;
所述显示基础攻击手段单元用于判断基础攻击手段的数量是否大于设定值,如果基础攻击手段的数量大于设定值,则显示部分所述基础攻击手段,将未显示的基础攻击手段进行合并,得到合并基础攻击手段,显示所述合并基础攻击手段;如果基础攻击手段的数量不大于设定值,显示基础攻击手段。
9.根据权利要求8所述的攻击路线展示装置,其特征在于,还包括数据采集模块和数据存储模块;
所述数据采集模块用于采集第一数据集和第二数据集中的数据,并构建第一数据集和第二数据集,将所述第一数据集和第二数据集发送至所述数据存储模块;
所述数据存储模块用于存储所述第一数据集和第二数据集。
10.一种攻击路线展示设备,其特征在于,包括:
存储器;
处理器;以及
攻击路线展示装置,所述攻击路线展示装置存储于所述存储器中并包括一个或多个由所述处理器执行的软件功能模组,其包括:
获取第一IP模块,用于在预设的第一数据集中随机获取一个核心攻击源IP或核心攻击目标IP作为第一IP,将所述第一IP发送至构建核心攻击路线模块;
构建核心攻击路线模块,用于在所述第一数据集中获取与所述第一IP对应的所述核心攻击路径和核心攻击手段,以该核心攻击路径构建核心攻击路线,将所述核心攻击路线发送至构建扩展攻击路线模块和显示模块,将所述核心攻击手段发送至所述显示模块;
构建扩展攻击路线模块,用于根据所述核心攻击路线在预设的第二数据集中获取基础攻击路径和基础攻击手段,以所述基础攻击路径与所述核心攻击路线构建得到扩展攻击路线,将所述扩展攻击路线发送至所述显示模块,将所述基础攻击手段发送至所述显示模块;
显示模块,用于显示所述核心攻击路线以及所述核心攻击路线中对应的设定数量的核心攻击手段,和\或,显示所述扩展攻击路线以及所述扩展攻击路线对应的设定数量的基础攻击手段。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711026220.1A CN107979589B (zh) | 2017-10-27 | 2017-10-27 | 攻击路线展示方法、装置及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711026220.1A CN107979589B (zh) | 2017-10-27 | 2017-10-27 | 攻击路线展示方法、装置及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107979589A CN107979589A (zh) | 2018-05-01 |
CN107979589B true CN107979589B (zh) | 2020-12-25 |
Family
ID=62012725
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711026220.1A Active CN107979589B (zh) | 2017-10-27 | 2017-10-27 | 攻击路线展示方法、装置及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107979589B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112217828A (zh) * | 2020-10-16 | 2021-01-12 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009070084A (ja) * | 2007-09-12 | 2009-04-02 | Hitachi Ltd | システムセキュリティ設計装置、システムセキュリティ設計方法、システムセキュリティ設計プログラム |
CN102447695A (zh) * | 2011-11-14 | 2012-05-09 | 中国科学院软件研究所 | 一种识别业务系统中关键攻击路径的方法 |
CN103354539A (zh) * | 2012-11-29 | 2013-10-16 | 北京安天电子设备有限公司 | 一种基于IPv6网络特征的攻击路径还原方法及系统 |
CN105991638A (zh) * | 2015-07-08 | 2016-10-05 | 北京匡恩网络科技有限责任公司 | 一种网络攻击路径分析与生成方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI346491B (en) * | 2007-11-20 | 2011-08-01 | Nat Univ Tsing Hua | Mobile jamming attack method in wireless sensor network and method defending the same |
-
2017
- 2017-10-27 CN CN201711026220.1A patent/CN107979589B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009070084A (ja) * | 2007-09-12 | 2009-04-02 | Hitachi Ltd | システムセキュリティ設計装置、システムセキュリティ設計方法、システムセキュリティ設計プログラム |
CN102447695A (zh) * | 2011-11-14 | 2012-05-09 | 中国科学院软件研究所 | 一种识别业务系统中关键攻击路径的方法 |
CN103354539A (zh) * | 2012-11-29 | 2013-10-16 | 北京安天电子设备有限公司 | 一种基于IPv6网络特征的攻击路径还原方法及系统 |
CN105991638A (zh) * | 2015-07-08 | 2016-10-05 | 北京匡恩网络科技有限责任公司 | 一种网络攻击路径分析与生成方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN107979589A (zh) | 2018-05-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109741060B (zh) | 信息查询系统、方法、装置、电子设备及存储介质 | |
WO2018066661A1 (ja) | ログ分析方法、システムおよび記録媒体 | |
CN110932894A (zh) | 云存储系统的网络故障定位方法、装置及电子设备 | |
CN107979589B (zh) | 攻击路线展示方法、装置及设备 | |
JP2018180599A (ja) | 測定ソリューションサービス提供システム | |
CN109753994A (zh) | 用户画像方法、装置、计算机可读存储介质及电子设备 | |
EP3883190A1 (en) | Detection device, detection method, and detection program | |
CN111694708A (zh) | 数据查询方法、装置及电子设备、存储介质 | |
WO2017094263A1 (ja) | ログ分析システム、方法およびプログラム | |
CN114003796A (zh) | 工控资产的发现方法、装置和电子设备 | |
CN109753993A (zh) | 用户画像方法、装置、计算机可读存储介质及电子设备 | |
CN111695880A (zh) | 一种生产流程监控方法及系统 | |
CN110943887A (zh) | 探针调度方法、装置、设备和存储介质 | |
CN112738175B (zh) | 请求处理方法及相关设备 | |
JP6798504B2 (ja) | ログ分析システム、ログ分析方法及びプログラム | |
EP4373047A1 (en) | Network fault root cause determining method and apparatus, device, and storage medium | |
JP5128146B2 (ja) | 進捗を聴覚的に示すための装置、システム及び方法 | |
JP2013239949A (ja) | 映像解析処理装置、映像解析処理方法、および映像解析処理用プログラム | |
CN107145579B (zh) | 地理信息线要素伪节点检查方法及装置 | |
CN111127094A (zh) | 一种账户匹配方法、装置、电子设备和存储介质 | |
CN111078711A (zh) | 基于数据索引的区块链数据存储、获取方法及装置 | |
JP2015114731A (ja) | 監視支援プログラム、監視支援方法および監視支援装置 | |
JP2006228019A (ja) | ビジネスプロセス抽出支援方法、ビジネスプロセス抽出支援システム及びサーバ | |
CN109670090A (zh) | 一种数据识别方法及装置 | |
JP2018179997A (ja) | 測定ソリューションサービス提供システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 310000 No. 188 Lianhui Street, Xixing Street, Binjiang District, Hangzhou City, Zhejiang Province Applicant after: Hangzhou Anheng Information Technology Co.,Ltd. Address before: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310051 and 15 layer Applicant before: DBAPPSECURITY Co.,Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |