具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种攻击事件的追溯方法,如图1所示,该方法包括:
步骤101,利用云端对攻击事件进行监测。
利用云端收集来自企业用户的不同服务器的行为日志,并对收集到的行为日志进行监测,若监测到所收集到的行为日志中存在攻击事件,则获取与该攻击事件相关的一系列行为日志,以便后续根据获取到的一系列行为日志确定该攻击事件对应的被攻击端设备。
其中,每个服务器中的行为日志来自不同的客户端设备,客户端设备可以为计算机设备,例如,笔记本电脑、台式电脑、平板电脑等。
步骤102,根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息。
在上述实施例中,根据获取到的攻击事件相关的一系列行为日志,确定与该攻击事件对应的被攻击端设备,并根据所确定的被攻击端设备获取该被攻击端设备中对应该攻击事件的进程链信息和文件链信息,并根据该攻击事件的发生时间,确定基于进程链信息和文件链信息的行为链信息。
步骤103,根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。
在本申请的实施例中,对所确定的攻击事件的行为链信息进行解析,获取该行为链信息中的文件创建信息,该文件创建信息来自该攻击事件对应的创建行为日志,根据文件创建信息获取该攻击事件的创建信息,根据获取到的创建信息追溯发起该攻击事件的发起攻击端设备。
通过应用本实施例的技术方案,利用云端对攻击事件进行监测,根据监测到的攻击事件对应的被攻击端设备,得到该攻击事件的行为链信息,并根据该攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。本申请能够根据所确定的发起攻击端设备快速确定安全告警日志中攻击事件的发起攻击端,提升追溯成功率和准确率,为后续的安全防御工作提供科学依据,同时,降低了对运维人员的专业性要求,降低了人员成本。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种攻击事件的追溯方法,如图2所示,该方法包括:
步骤201,获取来自不同客户端设备的行为日志。
在本申请的实施例中,行为日志包括进程所产生操作日志和安全日志,控制中心收集来自不同客户端设备的操作日志和安全日志,并对收集到的操作日志进行权限校验,以及对收集到的安全日志进行安全解析,以确定使用权限异常的操作日志,以及存在告警标识的安全日志。
此外,还可以包括对获取到的来自不同客户端设备的行为日志进行多维度分类,以便后续在确定与攻击事件对应的行为链信息时,能够更加快速地获取到相应的行为链信息。具体为,获取行为日志中的IP地址、日志类型、日志的发生时间,分别根据获取到的IP地址、日志类型、日志的发生时间对获取到的行为日志进行分类。其中,日志类型包括浏览器访问、读文件、写文件、播放器播放视频等。
需要说明的是,IP地址通常对应一个客户端设备ID,但特殊情况下,例如,在同一IP地址下更换客户端设备,会导致同一IP地址包含多个客户端设备ID,则进一步根据客户端设备ID对行为日志做进一步分类。
步骤202,对获取到的行为日志进行解析,确定包含攻击事件的行为日志。
对收集到的操作日志进行权限校验,具体为,对收集到的操作日志进行解析,确定该操作日志对应的使用权限,根据所确定的使用权限,查询预置的操作日志与执行权限的对应关系表,判断所确定的使用权限与对应关系表中该操作日志对应的执行权限是否一致;若所确定的使用权限与对应关系表中该操作日志对应的执行权限一致,则该操作日志为使用权限正常的操作日志,若所确定的使用权限与对应关系表中该操作日志对应的执行权限不一致,则该操作日志为使用权限异常的操作日志。
对收集到的安全日志进行安全解析,具体为,对收集到的安全日志进行解析,若该安全日志包括用于表征对应该安全日志的进程安全的安全标识,则该安全日志为安全的安全日志;若该安全日志包括用于表征对应该安全日志的进程异常的告警标识,则该安全日志为异常的安全日志。
需要说明的是,在上述实施例中,对确定为使用权限正常的操作日志,以及存在安全标识的安全日志仍进行保存,以便后续针对使用权限异常的操作日志,或者存在告警标识的安全日志获取与使用权限异常的操作日志,或者存在告警标识的安全日志存在关联关系的使用权限正常的操作日志,以及存在安全标识的安全日志,从而得到完整的对应该攻击事件的行为链信息。
步骤203,根据所确定的包含攻击事件的行为日志,确定所述攻击事件对应的被攻击端设备。
在上述实施例中,具体地,根据所确定的包含攻击事件的行为日志,确定所述攻击事件对应的被攻击端设备的步骤如下:
步骤2031,根据所确定的包含攻击事件的行为日志,确定对应所述攻击事件的设备ID。
在本申请的实施例中,确定对应该攻击事件的设备ID的方法有多种,具体为,对所确定的包含攻击事件的行为日志进行解析,若该包含攻击事件的行为日志中包含设备ID标识,则直接确定对应该攻击事件的设备ID;若该包含攻击事件的行为日志中不包含设备ID标识,则进一步根据该包含攻击事件的行为日志中的IP地址、日志类型、日志的发生时间中的一个或多个获取与该包含攻击事件的行为日志中的IP地址、日志类型、日志的发生时间中的一个或多个一致的行为日志,直至获取到的行为日志中存在设备ID标识,并将该设备ID标识作为对应该攻击事件的设备ID。
步骤2032,根据所确定的设备ID确定所述攻击事件对应的被攻击端设备。
步骤204,根据所述被攻击端设备,确定所述攻击事件的进程链信息和文件链信息。
在本申请的实施例中,进程链信息包括与该攻击事件对应的进程的执行主体、进程内容信息,例如,进程内容信息为进程用于启动某一聊天应用程序,或者进程用于运行某一聊天应用程序。文件链信息包括文件创建信息,该文件创建信息是根据与该攻击事件相关联的多个行为日志确定的。例如,用户通过浏览器搜索某一聊天应用程序的下载链接,根据搜索到的下载链接启动某一下载应用程序,并利用所启动的下载应用程序下载该聊天应用程序,若该下载事件中存在包含攻击事件的行为日志,则根据该下载事件获取与该攻击事件相关的行为日志,根据获取到的相关的行为日志确定对应该攻击事件的文件链信息,文件链信息中的文件创建信息包括三个文件创建标识,第一文件创建标识为浏览器标识,第二文件创建标识为下载应用程序标识,第三文件创建标识为聊天应用程序标识,且第一文件创建标识对应的浏览器标识为被攻击端设备中该攻击事件的创建来源标识。
步骤205,根据所述进程链信息和所述文件链信息,得到所述攻击事件的行为链信息。
需要说明的是,在上述实施例中,当同一设备ID下包括多个攻击事件时,根据攻击事件的发生时间,获取与该攻击事件对应的进程链信息和文件链信息,并根据获取到的属于同一攻击事件的进程链信息和文件链信息得到攻击事件的行为链信息,该行为链信息为同一设备ID下,基于同一攻击事件的发生时间,同一执行主体的进程内容信息以及与该攻击事件的发生时间对应的文件创建信息。
步骤206,对得到的所述攻击事件的行为链信息进行合法性校验;以及,若所述攻击事件的行为链信息属于合法的行为链信息,则拒绝对所述攻击事件追溯发起攻击端设备,并生成提示信息;以及,若所述攻击事件的行为链信息属于非法的行为链信息,则继续对所述攻击事件追溯发起攻击端设备。
需要说明的是,在上述实施例中,对得到的对应攻击事件的行为链信息进行合法性校验,例如,通过获取行为链信息中的使用权限和/或安全日志确保所得到的行为链信息存在相应的攻击事件,以避免根据未含有攻击事件的行为链信息追溯发起攻击事件的发起攻击端设备,导致进入攻击事件追溯的死循环中。
步骤207,根据所述攻击事件的行为链信息,确定所述被攻击端设备创建所述攻击事件的创建信息。
根据对应攻击事件的行为链信息,获取该行为链信息中的文件创建信息,以便根据获取到的文件创建信息确定第一文件创建标识,该第一文件创建标识所对应的应用程序标识为被攻击端设备中该攻击事件的创建来源标识。
步骤208,根据所述创建信息确定发起攻击事件的发起攻击端设备。
在上述实施例中,根据攻击事件的创建来源标识获取与该创建来源标识对应的网络行为信息,根据获取到的网络行为信息确定发起攻击事件的发起攻击端设备。其中,该网络行为信息包括该创建来源运行有关攻击事件的网络行为的执行指令,该执行指令包括该网络行为的发送方标识,根据该发送方标识确定发起攻击事件的发起攻击端设备,从而实现根据发现攻击事件的被攻击端设备追溯到控制该被攻击端设备的发起攻击端设备。
步骤209,根据所述发起攻击端设备标识,获取所述发起攻击端设备中相应攻击事件的行为日志;以及,根据所述相应攻击事件的行为日志,确定发起攻击的恶意程序。
根据所确定的发起攻击端设备标识,根据被攻击端设备中创建来源接收网络行为信息的接收时间,获取发起攻击端设备中对应该接收时间,且所发送的网络行为信息中包含被攻击端设备标识的行为日志,所获取到的行为日志即与攻击事件相关的行为日志,并根据与攻击事件相关的行为日志中的应用程序标识,确定发起攻击端设备中发起攻击的恶意程序。
例如,当企业中的员工使用客户端设备B进行相应的应用程序操作时,云端对相应的应用程序操作进行监测,并获取应用程序操作所产生的行为日志。对获取到的行为日志进行解析,获取包含攻击事件的一系列行为日志,并根据所获取到的一系列的行为日志获取该攻击事件的行为链信息,并根据获取到的行为链信息获取创建来源应用程序B1,根据创建来源应用程序B1和对应该创建来源应用程序B1的网络访问行为信息追溯发起攻击端设备A中发起攻击的恶意程序A1。其中,该创建来源应用程序B1可以为木马程序等恶意程序。
此外,云端通过上述追溯方法实现对被攻击端设备中包含攻击事件的行为日志的分析追溯发起攻击事件的发起攻击端设备的同时,将包含进程链信息、行为链信息和文件链信息的攻击链通过控制中心展示给运维人员,以使运维人员根据所展示的攻击链了解攻击者的一系列攻击行为,从而展开相应的安全防御工作。
通过应用本实施例的技术方案,利用云端对攻击事件进行监测,根据监测到的攻击事件对应的被攻击端设备,得到该攻击事件的行为链信息,并根据该攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。可见,基于攻击事件,利用从探测到破坏的一系列循环处理过程所形成的来自不同阶段的行为构成的行为日志,通过追溯算法根据所确定的发起攻击端设备快速确定攻击事件的发起攻击端,提升追溯成功率和准确率,为后续的安全防御工作提供科学依据,同时,降低了对运维人员的专业性要求,降低了人员成本。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种攻击事件的追溯装置,如图3所示,该装置包括:监测模块31、行为链模块32、追溯模块33。
监测模块31,用于利用云端对攻击事件进行监测;
行为链模块32,用于根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息;
追溯模块33,用于根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。
在具体的应用场景中,如图4所示,监测模块31,具体包括:第一获取单元311、解析单元312、第一确定单元313。
第一获取单元311,具体用于获取来自不同客户端设备的行为日志;
解析单元312,具体用于对获取到的行为日志进行解析,确定包含攻击事件的行为日志;
第一确定单元313,具体用于根据所确定的包含攻击事件的行为日志,确定所述攻击事件对应的被攻击端设备。
在具体的应用场景中,如图4所示,第一确定单元313,具体包括:
具体用于根据所确定的包含攻击事件的行为日志,确定对应所述攻击事件的设备ID;以及,
具体用于根据所确定的设备ID确定所述攻击事件对应的被攻击端设备。
在具体的应用场景中,如图4所示,行为链模块32,具体包括:第二获取单元321、行为链确认单元322。
第二获取单元321,具体用于根据所述被攻击端设备,获取所述攻击事件的进程链信息和文件链信息;
行为链确认单元322,具体用于根据所述进程链信息和所述文件链信息,得到所述攻击事件的行为链信息。
在具体的应用场景中,如图4所示,该装置还包括:校验模块34。
校验模块34,用于对得到的所述攻击事件的行为链信息进行合法性校验;以及,
若所述攻击事件的行为链信息属于合法的行为链信息,则拒绝对所述攻击事件追溯发起攻击端设备,并生成提示信息;以及,
若所述攻击事件的行为链信息属于非法的行为链信息,则继续对所述攻击事件追溯发起攻击端设备。
在具体的应用场景中,如图4所示,追溯模块33,具体包括:第二确定单元331、创建来源确认单元332。
第二确定单元331,具体用于根据所述攻击事件的行为链信息,确定所述被攻击端设备创建所述攻击事件的创建信息;
创建来源确认单元332,具体用于根据所述创建信息确定发起攻击事件的发起攻击端设备。
在具体的应用场景中,如图4所示,该装置还包括:恶意程序模块35。
恶意程序模块35,用于根据所述发起攻击端设备标识,获取所述发起攻击端设备中相应攻击事件的行为日志;以及,
根据所述相应攻击事件的行为日志,确定发起攻击的恶意程序。
需要说明的是,本申请实施例提供的一种攻击事件的追溯装置所涉及各功能单元的其他相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
基于上述如图1和图2所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的攻击事件的追溯方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图3、图4所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的攻击事件的追溯方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现利用云端对攻击事件进行监测,根据监测到的攻击事件对应的被攻击端设备,得到该攻击事件的行为链信息,并根据该攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。可见,基于攻击事件,利用从探测到破坏的一系列循环处理过程所形成的来自不同阶段的行为构成的行为日志,通过追溯算法根据所确定的发起攻击端设备快速确定攻击事件的发起攻击端,提升追溯成功率和准确率,为后续的安全防御工作提供科学依据,同时,降低了对运维人员的专业性要求,降低了人员成本。
本发明实施例提供了以下技术方案:
A1、一种攻击事件的追溯方法,其特征在于,包括:
利用云端对攻击事件进行监测;
根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息;
根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。
A2、根据权利要求A1所述的方法,其特征在于,所述利用云端对攻击事件进行监测,具体包括:
获取来自不同客户端设备的行为日志;
对获取到的行为日志进行解析,确定包含攻击事件的行为日志;
根据所确定的包含攻击事件的行为日志,确定所述攻击事件对应的被攻击端设备。
A3、根据权利要求A2所述的方法,其特征在于,所述根据所确定的包含攻击事件的行为日志,确定所述攻击事件对应的被攻击端设备,具体包括:
根据所确定的包含攻击事件的行为日志,确定对应所述攻击事件的设备ID;
根据所确定的设备ID确定所述攻击事件对应的被攻击端设备。
A4、根据权利要求A1所述的方法,其特征在于,所述根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息,具体包括:
根据所述被攻击端设备,确定所述攻击事件的进程链信息和文件链信息;
根据所述进程链信息和所述文件链信息,得到所述攻击事件的行为链信息。
A5、根据权利要求A1所述的方法,其特征在于,所述根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息之后,具体还包括:
对得到的所述攻击事件的行为链信息进行合法性校验;
若所述攻击事件的行为链信息属于合法的行为链信息,则拒绝对所述攻击事件追溯发起攻击端设备,并生成提示信息;
若所述攻击事件的行为链信息属于非法的行为链信息,则继续对所述攻击事件追溯发起攻击端设备。
A6、根据权利要求A1或A4所述的方法,其特征在于,所述根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备,具体包括:
根据所述攻击事件的行为链信息,确定所述被攻击端设备创建所述攻击事件的创建信息;
根据所述创建信息确定发起攻击事件的发起攻击端设备。
A7、根据权利要求A6所述的方法,其特征在于,所述根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备之后,具体还包括:
根据所述发起攻击端设备标识,获取所述发起攻击端设备中相应攻击事件的行为日志;
根据所述相应攻击事件的行为日志,确定发起攻击的恶意程序。
B8、一种攻击事件的追溯装置,其特征在于,包括:
监测模块,用于利用云端对攻击事件进行监测;
行为链模块,用于根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息;
追溯模块,用于根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。
B9、根据权利要求B8所述的装置,其特征在于,所述监测模块,具体包括:
第一获取单元,用于获取来自不同客户端设备的行为日志;
解析单元,用于对获取到的行为日志进行解析,确定包含攻击事件的行为日志;
第一确定单元,用于根据所确定的包含攻击事件的行为日志,确定所述攻击事件对应的被攻击端设备。
B10、根据权利要求B9所述的装置,其特征在于,所述第一确定单元,具体还包括:
根据所确定的包含攻击事件的行为日志,确定对应所述攻击事件的设备ID;
根据所确定的设备ID确定所述攻击事件对应的被攻击端设备。
B11、根据权利要求B8所述的装置,其特征在于,所述行为链模块,具体包括:
第二获取单元,用于根据所述被攻击端设备,获取所述攻击事件的进程链信息和文件链信息;
行为链确认单元,用于根据所述进程链信息和所述文件链信息,得到所述攻击事件的行为链信息。
B12、根据权利要求B8所述的装置,其特征在于,所述装置还包括:
校验模块,用于对得到的所述攻击事件的行为链信息进行合法性校验;以及,
若所述攻击事件的行为链信息属于合法的行为链信息,则拒绝对所述攻击事件追溯发起攻击端设备,并生成提示信息;以及,
若所述攻击事件的行为链信息属于非法的行为链信息,则继续对所述攻击事件追溯发起攻击端设备。
B13、根据权利要求B8或B11所述的装置,其特征在于,所述追溯模块,具体包括:
第二确定单元,用于根据所述攻击事件的行为链信息,确定所述被攻击端设备创建所述攻击事件的创建信息;
创建来源确认单元,用于根据所述创建信息确定发起攻击事件的发起攻击端设备。
B14、根据权利要求B13所述的装置,其特征在于,所述装置还包括:
恶意程序模块,用于根据所述发起攻击端设备标识,获取所述发起攻击端设备中相应攻击事件的行为日志;以及,
根据所述相应攻击事件的行为日志,确定发起攻击的恶意程序。
C15、一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求A1至A7中任一项所述的攻击事件的追溯方法。
C16、一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求A1至A7中任一项所述的攻击事件的追溯方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。