CN110830518B - 溯源分析方法、装置、电子设备及存储介质 - Google Patents

溯源分析方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN110830518B
CN110830518B CN202010015897.0A CN202010015897A CN110830518B CN 110830518 B CN110830518 B CN 110830518B CN 202010015897 A CN202010015897 A CN 202010015897A CN 110830518 B CN110830518 B CN 110830518B
Authority
CN
China
Prior art keywords
score
data
stage
obtaining
vulnerability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010015897.0A
Other languages
English (en)
Other versions
CN110830518A (zh
Inventor
董超
蒋希敏
江志聪
吴津伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Qianguan Information Security Institute Co ltd
Original Assignee
Zhejiang Qianguan Information Security Institute Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Qianguan Information Security Institute Co ltd filed Critical Zhejiang Qianguan Information Security Institute Co ltd
Priority to CN202010015897.0A priority Critical patent/CN110830518B/zh
Publication of CN110830518A publication Critical patent/CN110830518A/zh
Application granted granted Critical
Publication of CN110830518B publication Critical patent/CN110830518B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种溯源分析方法,涉及网络安全技术领域,该方法包括以下步骤:获取依次执行的侦查、入侵、控制和执行阶段数据,根据阶段数据的选中状态和地址信息,得到每个阶段数据的阶段评分;根据阶段数据的地址信息,得到阶段数据的漏洞评分和病毒评分;根据阶段评分、漏洞评分和病毒评分,得到阶段数据的可信度评分,根据可信度评分确定阶段数据的处理顺序。该方法能够获取阶段评分、漏洞评分和病毒评分等有用攻击信息,将可信度评分作为安全产品发生告警时,攻击阶段数据处理优先级的依据,以提高产品的整体安全。本发明还公开了一种溯源分析装置、电子设备和计算机存储介质。

Description

溯源分析方法、装置、电子设备及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种溯源分析方法、装置、电子设备及存储介质。
背景技术
伴随着互联网和移动互联网在各个行业、各个领域的广泛应用,各种网络攻击事件频繁爆发,网络安全问题日益严重,而伴随着各种网络攻击技术、计算机隐匿技术,特别是随着大数据时代的来临,网络攻击的规模、范围和攻击深度不断提升,传统方法和技术手段对于网络攻击的溯源分析越来越难达到预期的效果。
目前对攻击事件的溯源分析,主要通过安全产品产生告警,由安全工程师查看告警、处理事件,虽然可以分析某一个攻击点或者某一次漏洞利用,但无法关联攻击者在当前告警前后的攻击信息,并且因为告警数量众多、纷繁复杂,导致有用的攻击信息隐蔽在海量的告警事件中,不能为用户提供处理攻击的依据。
发明内容
为了克服现有技术的不足,本发明的目的之一在于提供一种溯源分析方法,其通过对依次执行的四个阶段数据进行溯源分析,根据选中状态和地址信息得到阶段数据的阶段评分、漏洞评分和病毒评分,进而得到可信度评分,为阶段数据处理顺序的确定提供依据。
本发明的目的之一采用以下技术方案实现:
获取阶段数据,根据所述阶段数据的选中状态和地址信息,得到每个阶段数据的阶段评分,所述阶段数据包括依次执行的侦查数据、入侵数据、控制数据和执行数据;
根据所述阶段数据的地址信息,得到所述阶段数据的漏洞评分和病毒评分;
根据所述阶段评分、所述漏洞评分和所述病毒评分,得到所述阶段数据的可信度评分,根据所述可信度评分确定所述阶段数据的处理顺序;
其中,根据所述阶段数据的选中状态和地址信息,得到每个阶段数据的阶段评分,包括:分别判断当前阶段数据和若干个相邻阶段数据的选中状态;当当前阶段数据的选中状态为已选中时,获得当前选中评分;当相邻阶段数据的选中状态为已选中时,获得相邻选中评分,并对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断,得到地址评分;根据所述当前选中评分、所述相邻选中评分和所述地址评分,得到所述当前阶段数据的阶段评分;
其中,所述地址信息包括源IP和目标IP,对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断,得到地址评分,包括:当当前阶段数据的源IP和目标IP分别匹配相邻阶段数据的源IP或目标IP时,获得所述地址评分。
进一步地,根据所述阶段数据的地址信息,得到所述阶段数据的漏洞评分,包括:
判断入侵数据的选中状态;
当所述入侵数据的选中状态为已选中时,对入侵数据的地址信息进行漏洞检测和端口匹配判断,得到所述入侵数据的漏洞评分。
进一步地,对入侵数据的地址信息进行漏洞检测和端口匹配判断,得到所述入侵数据的漏洞评分,其中,对所述地址信息中的目标IP进行漏洞检测和端口匹配判断,包括:
对所述目标IP进行漏洞检测,当检测到所述目标IP存在漏洞时,获得第一漏洞评分,并对所述目标IP进行高危检测;
当检测到所述目标IP存在高危漏洞时,获得第二漏洞评分,并对所述目标IP的漏洞端口与目标端口进行端口匹配判断;
当所述漏洞端口与所述目标端口相同时,获得第三漏洞评分;
将所述第一漏洞评分、所述第二漏洞评分和所述第三漏洞评分相加,得到所述入侵数据的漏洞评分。
进一步地,根据所述阶段数据的地址信息,得到所述阶段数据的病毒评分,包括:
分别判断入侵数据、控制数据和执行数据的选中状态;
当所述选中状态为已选中时,对相应阶段数据的地址信息进行病毒检测;
当检测到所述地址信息中存在病毒时,得到所述相应阶段数据的病毒评分。
进一步地,得到所述阶段数据的可信度评分,包括:
将依次执行的侦查数据、入侵数据、控制数据和执行数据的阶段评分相加,得到阶段总分;
将所述阶段总分、所述漏洞评分和所述病毒评分按照预设的权重相加,得到所述可信度评分。
本发明的目的之二在于提供一种溯源分析装置,其通过对依次执行的四个阶段数据进行溯源分析,根据选中状态和地址信息得到阶段数据的阶段评分、漏洞评分和病毒评分,进而得到可信度评分,为阶段数据处理顺序的确定提供依据。
本发明的目的之二采用以下技术方案实现:
一种溯源分析装置,其包括:
阶段评分模块,用于获取阶段数据,根据所述阶段数据的选中状态和地址信息,得到每个阶段数据的阶段评分,所述阶段数据包括依次执行的侦查数据、入侵数据、控制数据和执行数据;其中,根据所述阶段数据的选中状态和地址信息,得到每个阶段数据的阶段评分,包括:分别判断当前阶段数据和若干个相邻阶段数据的选中状态;当当前阶段数据的选中状态为已选中时,获得当前选中评分;当相邻阶段数据的选中状态为已选中时,获得相邻选中评分,并对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断,得到地址评分;根据所述当前选中评分、所述相邻选中评分和所述地址评分,得到所述当前阶段数据的阶段评分;其中,所述地址信息包括源IP和目标IP,对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断,得到地址评分,包括:当当前阶段数据的源IP和目标IP分别匹配相邻阶段数据的源IP或目标IP时,获得所述地址评分;
漏洞病毒评分模块,用于根据所述阶段数据的地址信息,得到所述阶段数据的漏洞评分和病毒评分;
可信度评分模块,用于根据所述阶段评分、所述漏洞评分和所述病毒评分,得到所述阶段数据的可信度评分,根据所述可信度评分确定所述阶段数据的处理顺序。
本发明的目的之三在于提供执行发明目的之一的电子设备,其包括处理器、存储介质以及计算机程序,所述计算机程序存储于存储介质中,所述计算机程序被处理器执行时本发明目的之一的溯源分析方法。
本发明的目的之四在于提供存储发明目的之一的计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现本发明目的之一的溯源分析方法。
相比现有技术,本发明的有益效果在于:
本发明对依次执行的四个阶段数据进行溯源分析,根据它们的选中状态和地址信息,得到阶段评分、漏洞评分和病毒评分等有用的攻击信息,进一步获得可信度评分,从而为攻击中各个阶段数据处理顺序的确定提供依据,以提高产品的整体安全。
附图说明
图1为本发明实施例一的溯源分析方法流程图;
图2为本发明实施例二的溯源分析装置的结构框图;
图3为本发明实施例三的电子设备的结构框图。
具体实施方式
以下将结合附图,对本发明进行更为详细的描述,需要说明的是,以下参照附图对本发明进行的描述仅是示意性的,而非限制性的。各个不同实施例之间可以进行相互组合,以构成未在以下描述中示出的其他实施例。
实施例一
实施例一提供了一种溯源分析方法,旨在通过对依次执行的四个阶段数据进行溯源分析,根据它们的选中状态和地址信息,得到阶段评分、漏洞评分和病毒评分等有用的攻击信息,进一步获得可信度评分,从而为攻击中各个阶段数据处理顺序的确定提供依据,以提高产品的整体安全。
请参照图1所示,一种溯源分析方法,包括以下步骤:
S110、获取阶段数据,根据阶段数据的选中状态和地址信息,得到每个阶段数据的阶段评分,阶段数据包括依次执行的侦查数据、入侵数据、控制数据和执行数据。
阶段数据可以从自行创建的安全产品数据库中获取,也可以从第三方安全产品数据库中获取,在此不做限定。每个阶段数据包括选中状态和地址信息。多个阶段数据的选中状态可以同时为已选中。优选地,还包括当有阶段数据的选中状态被更新时,刷新所有阶段数据。
分别判断当前阶段数据和若干个相邻阶段数据的选中状态。优选地,分别判断前三个相邻阶段数据和后三个相邻阶段数据的选中状态。
当当前阶段数据的选中状态为已选中时,获得当前选中评分。当相邻阶段数据的选中状态为已选中时,获得相邻选中评分。优选地,根据当前阶段数据与相邻阶段数据之前的阶段距离,得到相应的相邻选中评分。比如,若与当前阶段数据相邻的上一个阶段数据的选中状态为已选中,则获得1分;若与当前阶段数据相邻的下两个阶段数据的选中状态为已选中,则获得0.5分。
当相邻阶段数据的选中状态为已选中时,并对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断。地址信息包括源IP和目标IP。优选地,当当前阶段数据的源IP和目标IP分别匹配相邻阶段数据的源IP或目标IP时,判定两者地址匹配,并获得地址评分。比如,若当前阶段数据为入侵数据,对入侵数据和相邻的控制数据的地址信息进行地址匹配判断,当入侵数据的源IP与控制数据的源IP或目标IP相同,且入侵数据的目标IP与控制数据的另一个IP地址相同时,则判定入侵数据与控制数据地址匹配,获得相应的地址评分。
根据当前选中评分、相邻选中评分和地址评分,得到当前阶段数据的阶段评分。优选地,当阶段评分超过预设阶段分最大值时,将阶段评分修正为预设阶段分最大值。
依次执行的侦查数据、入侵数据、控制数据和执行数据的四个阶段评分,作为攻击的有用信息,用以获得可信度评分。
S120、根据阶段数据的地址信息,得到阶段数据的漏洞评分和病毒评分。
存在漏洞是攻击入侵动作的一个可利用条件,因此针对入侵数据,根据是否存在漏洞、是否存在高危漏洞、入侵时是否利用了漏洞端口,进行漏洞评分。判断入侵数据的选中状态;当入侵数据的选中状态为已选中时,对入侵数据的地址信息进行漏洞检测和端口匹配判断。
优选地,对目标IP进行漏洞检测,当检测到目标IP存在漏洞时,获得第一漏洞评分,并对目标IP进行高危检测。具体地,入侵数据包括多个目标IP,对这些目标IP均进行漏洞检测,只要多个目标IP中的一个目标IP存在漏洞,即可获得第一漏洞评分。
优选地,当检测到目标IP存在高危漏洞时,获得第二漏洞评分,并对目标IP的漏洞端口与目标端口进行端口匹配判断;当漏洞端口与目标端口相同时,获得第三漏洞评分;将第一漏洞评分、第二漏洞评分和第三漏洞评分相加,得到入侵数据的漏洞评分。
针对入侵、控制和执行阶段数据,检测被攻击的安全产品是否感染了病毒。分别判断入侵数据、控制数据和执行数据的选中状态,当选中状态为已选中时,对相应阶段数据的地址信息进行病毒检测。病毒检测可以通过一定的技术手段扫描连接信息检测IP地址对应的安全产品对否感染病毒,例如,申请号为CN200910226371.0 的中国发明专利公开了一种蠕虫病毒检测方法、装置和网关设备。当检测到地址信息中存在病毒时,得到相应阶段数据的病毒评分。
入侵数据的漏洞评分以及入侵数据、控制数据和执行数据的病毒评分,作为攻击的有用信息,用以获得可信度评分。
S130、根据阶段评分、漏洞评分和病毒评分,得到阶段数据的可信度评分,根据可信度评分确定阶段数据的处理顺序。
根据依次执行的侦查数据、入侵数据、控制数据和执行数据,获得四个相应的阶段评分,将四个阶段评分相加得到阶段总分。把阶段总分、漏洞评分和病毒评分按照预设的权重相加,得到可信度评分。阶段总分、漏洞评分和病毒评分的权重相加为100%,各自的权重根据实际的安全产品需求确定。本实施例中,阶段总分、漏洞评分和病毒评分分别按照50%、25%、25%的权重相加。
根据阶段评分、漏洞评分和病毒评分等有用的攻击信息,获得可信度评分,以确定攻击中各个阶段数据的处理顺序,作为安全产品发生告警时,攻击阶段数据处理优先级的依据,以提高产品的整体安全。
实施例二
实施例二公开了一种对应实施例一的溯源分析方法的溯源分析装置,为虚拟装置结构,请参照图2所示,包括:
阶段评分模块210,用于获取阶段数据,根据所述阶段数据的选中状态和地址信息,得到每个阶段数据的阶段评分,所述阶段数据包括依次执行的侦查数据、入侵数据、控制数据和执行数据;其中,根据所述阶段数据的选中状态和地址信息,得到每个阶段数据的阶段评分,包括:分别判断当前阶段数据和若干个相邻阶段数据的选中状态;当当前阶段数据的选中状态为已选中时,获得当前选中评分;当相邻阶段数据的选中状态为已选中时,获得相邻选中评分,并对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断,得到地址评分;根据所述当前选中评分、所述相邻选中评分和所述地址评分,得到所述当前阶段数据的阶段评分;其中,所述地址信息包括源IP和目标IP,对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断,得到地址评分,包括:当当前阶段数据的源IP和目标IP分别匹配相邻阶段数据的源IP或目标IP时,获得所述地址评分;
漏洞病毒评分模块220,用于根据所述阶段数据的地址信息,得到所述阶段数据的漏洞评分和病毒评分;
可信度评分模块230,用于根据所述阶段评分、所述漏洞评分和所述病毒评分,得到所述阶段数据的可信度评分,根据所述可信度评分确定所述阶段数据的处理顺序。
实施例三
图3为本发明实施例三提供的一种电子设备的结构示意图,如图3所示,该电子设备包括处理器310、存储器320、输入装置330和输出装置340;计算机设备中处理器310的数量可以是一个或多个,图3中以一个处理器310为例;电子设备中的处理器310、存储器320、输入装置330和输出装置340可以通过总线或其他方式连接,图3中以通过总线连接为例。
存储器320作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的溯源分析方法对应的程序指令/模块(例如,溯源分析装置中的阶段评分模块210、漏洞病毒评分模块220和可信度评分模块230)。处理器310通过运行存储在存储器320中的软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现上述实施例一的溯源分析方法。
存储器320可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器320可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器320可进一步包括相对于处理器310远程设置的存储器,这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置330可用于接收阶段数据等。输出装置340可包括显示屏等显示设备。
实施例四
本发明实施例四还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行溯源分析方法,该方法包括:
获取阶段数据,根据所述阶段数据的选中状态和地址信息,得到每个阶段数据的阶段评分,所述阶段数据包括依次执行的侦查数据、入侵数据、控制数据和执行数据;
根据所述阶段数据的地址信息,得到所述阶段数据的漏洞评分和病毒评分;
根据所述阶段评分、所述漏洞评分和所述病毒评分,得到所述阶段数据的可信度评分,根据所述可信度评分确定所述阶段数据的处理顺序;
其中,根据所述阶段数据的选中状态和地址信息,得到每个阶段数据的阶段评分,包括:分别判断当前阶段数据和若干个相邻阶段数据的选中状态;当当前阶段数据的选中状态为已选中时,获得当前选中评分;当相邻阶段数据的选中状态为已选中时,获得相邻选中评分,并对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断,得到地址评分;根据所述当前选中评分、所述相邻选中评分和所述地址评分,得到所述当前阶段数据的阶段评分;
其中,所述地址信息包括源IP和目标IP,对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断,得到地址评分,包括:当当前阶段数据的源IP和目标IP分别匹配相邻阶段数据的源IP或目标IP时,获得所述地址评分。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的基于溯源分析方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory, ROM)、随机存取存储器(RandomAccess Memory, RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台电子设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述基于溯源分析装置实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
对本领域的技术人员来说,可根据以上描述的技术方案以及构思,做出其它各种相应的改变以及形变,而所有的这些改变以及形变都应该属于本发明权利要求的保护范围之内。

Claims (8)

1.一种溯源分析方法,其特征在于:包括以下步骤:
获取阶段数据,根据所述阶段数据的选中状态和地址信息,得到每个阶段数据的阶段评分,所述阶段数据包括依次执行的侦查数据、入侵数据、控制数据和执行数据;
根据所述阶段数据的地址信息,得到所述阶段数据的漏洞评分和病毒评分;
根据所述阶段评分、所述漏洞评分和所述病毒评分,得到所述阶段数据的可信度评分,根据所述可信度评分确定所述阶段数据的处理顺序;
其中,根据所述阶段数据的选中状态和地址信息,得到每个阶段数据的阶段评分,包括:分别判断当前阶段数据和若干个相邻阶段数据的选中状态;当当前阶段数据的选中状态为已选中时,获得当前选中评分;当相邻阶段数据的选中状态为已选中时,获得相邻选中评分,并对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断,得到地址评分;根据所述当前选中评分、所述相邻选中评分和所述地址评分,得到所述当前阶段数据的阶段评分;
其中,所述地址信息包括源IP和目标IP,对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断,得到地址评分,包括:当当前阶段数据的源IP和目标IP分别匹配相邻阶段数据的源IP或目标IP时,获得所述地址评分。
2.如权利要求1所述的一种溯源分析方法,其特征在于:根据所述阶段数据的地址信息,得到所述阶段数据的漏洞评分,包括:
判断入侵数据的选中状态;
当所述入侵数据的选中状态为已选中时,对入侵数据的地址信息进行漏洞检测和端口匹配判断,得到所述入侵数据的漏洞评分。
3.如权利要求2所述的一种溯源分析方法,其特征在于:对入侵数据的地址信息进行漏洞检测和端口匹配判断,得到所述入侵数据的漏洞评分,其中,对所述地址信息中的目标IP进行漏洞检测和端口匹配判断,包括:
对所述目标IP进行漏洞检测,当检测到所述目标IP存在漏洞时,获得第一漏洞评分,并对所述目标IP进行高危检测;
当检测到所述目标IP存在高危漏洞时,获得第二漏洞评分,并对所述目标IP的漏洞端口与目标端口进行端口匹配判断;
当所述漏洞端口与所述目标端口相同时,获得第三漏洞评分;
将所述第一漏洞评分、所述第二漏洞评分和所述第三漏洞评分相加,得到所述入侵数据的漏洞评分。
4.如权利要求1所述的一种溯源分析方法,其特征在于:根据所述阶段数据的地址信息,得到所述阶段数据的病毒评分,包括:
分别判断入侵数据、控制数据和执行数据的选中状态;
当所述选中状态为已选中时,对相应阶段数据的地址信息进行病毒检测;
当检测到所述地址信息中存在病毒时,得到所述相应阶段数据的病毒评分。
5.如权利要求1-4任一项所述的一种溯源分析方法,其特征在于:得到所述阶段数据的可信度评分,包括:
将依次执行的侦查数据、入侵数据、控制数据和执行数据相应的阶段评分相加,得到阶段总分;
将所述阶段总分、所述漏洞评分和所述病毒评分按照预设的权重相加,得到所述可信度评分。
6.一种溯源分析装置,其特征在于,其包括:
阶段评分模块,用于获取阶段数据,根据所述阶段数据的选中状态和地址信息,得到每个阶段数据的阶段评分,所述阶段数据包括依次执行的侦查数据、入侵数据、控制数据和执行数据;其中,根据所述阶段数据的选中状态和地址信息,得到每个阶段数据的阶段评分,包括:分别判断当前阶段数据和若干个相邻阶段数据的选中状态;当当前阶段数据的选中状态为已选中时,获得当前选中评分;当相邻阶段数据的选中状态为已选中时,获得相邻选中评分,并对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断,得到地址评分;根据所述当前选中评分、所述相邻选中评分和所述地址评分,得到所述当前阶段数据的阶段评分;其中,所述地址信息包括源IP和目标IP,对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断,得到地址评分,包括:当当前阶段数据的源IP和目标IP分别匹配相邻阶段数据的源IP或目标IP时,获得所述地址评分;
漏洞病毒评分模块,用于根据所述阶段数据的地址信息,得到所述阶段数据的漏洞评分和病毒评分;
可信度评分模块,用于根据所述阶段评分、所述漏洞评分和所述病毒评分,得到所述阶段数据的可信度评分,根据所述可信度评分确定所述阶段数据的处理顺序。
7.一种电子设备,其包括处理器、存储介质以及计算机程序,所述计算机程序存储于存储介质中,其特征在于,所述计算机程序被处理器执行时执行权利要求1至5任一项所述的溯源分析方法。
8.一种计算机存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1至5任一项所述的溯源分析方法。
CN202010015897.0A 2020-01-08 2020-01-08 溯源分析方法、装置、电子设备及存储介质 Active CN110830518B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010015897.0A CN110830518B (zh) 2020-01-08 2020-01-08 溯源分析方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010015897.0A CN110830518B (zh) 2020-01-08 2020-01-08 溯源分析方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN110830518A CN110830518A (zh) 2020-02-21
CN110830518B true CN110830518B (zh) 2020-05-08

Family

ID=69546473

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010015897.0A Active CN110830518B (zh) 2020-01-08 2020-01-08 溯源分析方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN110830518B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112329021B (zh) * 2020-11-09 2024-03-26 杭州安恒信息技术股份有限公司 一种排查应用漏洞的方法、装置、电子装置和存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110602042A (zh) * 2019-08-07 2019-12-20 中国人民解放军战略支援部队信息工程大学 基于级联攻击链模型的apt攻击行为分析检测方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101950338A (zh) * 2010-09-14 2011-01-19 中国科学院研究生院 一种基于层次化漏洞威胁评估的漏洞修复方法
CN103312679B (zh) * 2012-03-15 2016-07-27 北京启明星辰信息技术股份有限公司 高级持续威胁的检测方法和系统
US10320814B2 (en) * 2015-10-02 2019-06-11 Trend Micro Incorporated Detection of advanced persistent threat attack on a private computer network
CN106060018B (zh) * 2016-05-19 2019-11-15 中国电子科技网络信息安全有限公司 一种网络威胁情报共享模型
CN109495520B (zh) * 2019-01-11 2021-06-25 北京中睿天下信息技术有限公司 一体化网络攻击取证溯源方法、系统、设备及存储介质
CN110149327B (zh) * 2019-05-20 2020-11-03 中国南方电网有限责任公司 网络安全威胁的告警方法、装置、计算机设备和存储介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110602042A (zh) * 2019-08-07 2019-12-20 中国人民解放军战略支援部队信息工程大学 基于级联攻击链模型的apt攻击行为分析检测方法及装置

Also Published As

Publication number Publication date
CN110830518A (zh) 2020-02-21

Similar Documents

Publication Publication Date Title
CN110933101B (zh) 安全事件日志处理方法、装置及存储介质
EP3506141B1 (en) System for query injection detection using abstract syntax trees
CN106790186B (zh) 基于多源异常事件关联分析的多步攻击检测方法
CN111460445B (zh) 样本程序恶意程度自动识别方法及装置
CN110535702B (zh) 一种告警信息处理方法及装置
US9009824B1 (en) Methods and apparatus for detecting phishing attacks
CN107786564B (zh) 基于威胁情报的攻击检测方法、系统及电子设备
US20180234445A1 (en) Characterizing Behavior Anomaly Analysis Performance Based On Threat Intelligence
US10972490B2 (en) Specifying system, specifying device, and specifying method
KR102271545B1 (ko) 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들
CN107483425B (zh) 基于攻击链的复合攻击检测方法
US9479521B2 (en) Software network behavior analysis and identification system
US10489720B2 (en) System and method for vendor agnostic automatic supplementary intelligence propagation
CN110691072A (zh) 分布式端口扫描方法、装置、介质、电子设备
CN114598504B (zh) 一种风险评估方法、装置、电子设备及可读存储介质
CN112953938B (zh) 网络攻击防御方法、装置、电子设备及可读存储介质
US20220279008A1 (en) Network monitoring device, network monitoring method, and storage medium having recorded thereon network monitoring program
CN113904820A (zh) 网络入侵防护方法、系统、计算机及可读存储介质
CN114157480B (zh) 网络攻击方案的确定方法、装置、设备和存储介质
CN110830518B (zh) 溯源分析方法、装置、电子设备及存储介质
CN112769595B (zh) 异常检测方法、装置、电子设备及可读存储介质
US9881155B2 (en) System and method for automatic use-after-free exploit detection
US20150222648A1 (en) Apparatus for analyzing the attack feature dna and method thereof
CN114726579B (zh) 防御网络攻击的方法、装置、设备、存储介质及程序产品
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant