CN110971579A - 一种网络攻击展示方法及装置 - Google Patents
一种网络攻击展示方法及装置 Download PDFInfo
- Publication number
- CN110971579A CN110971579A CN201811160441.2A CN201811160441A CN110971579A CN 110971579 A CN110971579 A CN 110971579A CN 201811160441 A CN201811160441 A CN 201811160441A CN 110971579 A CN110971579 A CN 110971579A
- Authority
- CN
- China
- Prior art keywords
- attack
- event
- security
- security alarm
- asset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明公开了一种网络攻击展示方法及装置,该方法包括:获取安全报警事件的事件基本信息,事件基本信息包括事件发生地点的地址、攻击源的地址和攻击目标的地址;根据事件基本信息,确定安全报警事件对应的从攻击源出发经事件发生地点到攻击目标的攻击路径;以可视化链路的形式显示攻击路径。本发明实施例将安全报警事件的来龙去脉展示给运营人员,更便于安全相关人员进行安全分析发现安全威胁攻击。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及一种网络攻击展示方法及装置。
背景技术
随着云计算、大数据、移动互联网等新兴技术的快速兴起,信息安全的环境更加复杂,企业信息安全的挑战也越发突出。
现今,全球的黑客群体正在不断制造出高级恶意软件并通过各种攻击媒介侵入组织。这种多层面的定向攻击甚至可以规避最佳时间点检测工具。这些最佳时间点检测工具在入口点检查流量和文件,但难以检查出设法规避初始检查的威胁活动。这使得安全专业人员对于潜在危害的影响范围一无所知,无法在恶意软件造成明显损害之前快速响应并对其进行遏制。
目前比较普遍的是安全运营平台(Security Operation Center,SOC),它作为一个复杂的实时响应系统,是人员、流程和技术的有机结合体,可以协助管理人员进行事件分析、风险分析、预警管理和应急响应处理。但SOC仅仅是针对安全报警事件本身进行分析和展示,不利于安全相关人员对安全报警事件发生的具体原因进行分析,及时发现安全威胁攻击。
发明内容
鉴于上述问题,提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的一种网络攻击展示方法及装置,将安全报警事件的来龙去脉展示给运营人员,便于安全相关人员进行安全分析发现安全威胁攻击。
本申请实施例提供的一种网络攻击展示方法,所述方法包括:
获取安全报警事件的事件基本信息,所述事件基本信息包括事件发生地点的地址、攻击源的地址和攻击目标的地址;
根据所述事件基本信息,确定所述安全报警事件对应的从攻击源出发经事件发生地点到攻击目标的攻击路径;
以可视化链路的形式显示所述攻击路径。
可选的,所述根据所述事件基本信息,确定所述安全报警事件对应的从攻击源经事件发生地点到攻击目标的攻击路径,具体包括:
利用预先得到的资产列表,根据所述事件基本信息确定所述安全报警事件的事件发生地点、攻击源和攻击目标;所述资产列表包括地址与资产的一一对应关系;
根据所述攻击源、所述攻击目标和所述事件发生地点,获得所述安全报警事件的攻击路径。
可选的,在获得所述攻击路径之后,还包括:
根据所述资产列表,确定所述攻击路径中各个资产的重要级别;所述资产列表还包括资产的重要级别;
当所述攻击路径中包括级别为重要的资产时,所述方法还包括:
在所述可视化链路中突出显示级别为重要的资产。
可选的,所述以可视化链路的形式显示所述攻击路径,之前还包括:
判断所述安全报警事件是否符合预设的触发规则;
若是,则执行所述以可视化链路的形式显示所述攻击路径。
可选的,所述判断所述安全报警事件是否符合预设的触发规则,具体包括:
判断所述安全报警事件携带的事件类型是否为预先设定的威胁攻击类型;
和/或,
判断所述安全报警事件携带的事件等级是否高于预设等级阈值;
和/或,
判断所述攻击路径上各个资产中是否有级别为重要的资产;所述资产列表还包括资产的重要级别。
可选的,所述方法还包括:
从所述资产列表中获取所述攻击路径中各个资产的资产信息;
在以可视化链路的形式显示所述攻击路径时,在所述可视化链路上显示各个资产的资产信息。
本申请实施例提供的一种用于网络攻击展示装置,所述装置包括:获取单元、分析单元和显示单元;
所述获取单元,用于获取安全报警事件的事件基本信息,所述事件基本信息包括事件发生地点的地址、攻击源的地址和攻击目标的地址;
所述分析单元,用于根据所述事件基本信息,确定所述安全报警事件对应的从攻击源出发经事件发生地点到攻击目标的攻击路径;
所述显示单元,用于以可视化链路的形式显示所述攻击路径。
可选的,所述分析单元,包括:确定子单元和获得子单元;
所述确定子单元,用于利用预先得到的资产列表,根据所述事件基本信息确定所述安全报警事件的事件发生地点、攻击源和攻击目标;所述资产列表包括地址与资产的一一对应关系;
所述获得子单元,用于根据所述攻击源、所述攻击目标和所述事件发生地点,获得所述安全报警事件的攻击路径。
本申请实施例还提供了一种存储介质,其上存储有程序,该程序被处理器执行时,实现如上述实施例提供的网络攻击展示方法中的任意一种。
本申请实施例还提供了一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时,执行如上述实施例提供的的网络攻击展示方法中的任意一种。
借由上述技术方案,本申请提供的一种用于网络攻击展示方法及装置,在获取到目标网络中发生的安全报警事件的事件基本信息后,根据事件基本信息包括的事件发生地址的地址、攻击源的地址和攻击目标的地址,确定出该安全报警事件对应的从攻击源出发经事件发生地点到攻击目标的攻击路径,然后,以可视化链路的形式显示该攻击路径,将安全报警事件的来龙去脉以可视化链路的形式展示给安全相关人员,使得安全相关人员可以从该可视化链路上清晰、便捷的获知该安全报警事件的发展链路、确定该安全报警事件的事件发生地点、攻击源和攻击目标,安全相关人员无需针对安全报警事件进行复杂的分析,更便于安全相关人员进行安全分析发现安全威胁攻击。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本申请实施例提供的一种网络攻击展示方法的流程示意图;
图2示出了本申请具体实施例提供的一种可视化链路的示意图;
图3示出了本申请具体实施例提供的另一种可视化链路的示意图;
图4示出了本申请具体实施例提供的又一种可视化链路的示意图;
图5示出了本申请实施例提供的另一种网络攻击展示方法流程示意图;
图6示出了本申请实施例提供的一种网络攻击展示装置的结构示意图;
图7示出了本申请实施例提供的另一种网络攻击展示装置的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为了便于理解,下面首先介绍本申请实施例中涉及的多个技术术语。
安全威胁攻击,指的是针对目标网络或目标网络的网络边界,威胁网络安全的攻击行为,如主机异常登录、端口与网络扫描、僵尸网络、蠕虫传播、账号暴力破解等。在一个例子中,目标网络可以是任意一种局域网、广域网、城域网或物联网等,本申请不进行限定。
安全报警事件,根据目标网络和目标网络的网络边界中检测到的安全威胁攻击行为所产生的安全事件,用于表述并记录安全威胁攻击行为的具体内容,一般以日志数据为主。
资产列表,用于记录目标网络内部和网络边界上各个资产的基本数据,可以包括资产的名称、物理位置、IP地址等。作为一个实例,在企业中,一般会设置有资产管理系统对其目标网络中的各个资产进行管理,建立资产列表。
为了保证网络上的信息安全,安全运营平台(Security Operation Center,SOC)通常需要对威胁网络安全的任何一个行为进行报警,即产生安全报警事件。产生的大量安全报警事件仅仅是展示给安全相关人员,使得安全相关人员疲于找出真正具有威胁的攻击行为,不利于网络安全的维护。
为此,本申请实施例提供了一种网络攻击展示方法及装置,通过对安全报警事件中的攻击源和攻击目标的关联分析,将安全报警事件的来龙去脉以可视化链路的形式展示给安全相关人员,以便其对安全报警事件的发生原因进行分析,有利于安全相关人员发现并锁定重点的安全威胁攻击,进行安全威胁的排除。
基于上述思想,为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请的具体实施方式做详细的说明。
参见图1,该图为本申请实施例提供的一种网络攻击展示方法流程示意图。
本申请实施例提供的网络攻击展示方法,可以应用于安全数据分析计算节点,包括如下步骤S101-S103。
S101:获取安全报警事件的事件基本信息。
在本申请实施例中,安全报警事件一方面可以是从已有的安全运营平台上获取;另一方面也可以是通过对目标网络中全部主机部署安全审计工具(如sysmon、snoopy)和对目标网络的网络边界进行全包流量的抓取和Snort探针(如NIDS探针)的部署,直接对安全攻击行为进行检测,而产生的安全报警事件。本申请实施例对安全报警事件的具体获得方式不进行限定。安全报警事件的事件基本信息一般包括事件发生地点的地址、攻击源的地址和攻击目标的地址。例如,在安全报警事件携带有其生成地点的地址即事件发生地点的地址,在安全报警事件的五元组信息,源IP地址、源端口、目的IP地址、目的端口和传输层协议中,攻击源的地址可以是源IP地址,攻击目标的地址可以是目的IP地址。
在一些可能的实现方式中,具体可以在安全报警事件的事件发生地址处采集的网络流量,以攻击源的地址和攻击目标的地址为关键点,从网络流量中与二者相关的网络通信流量,从而确定是否发生安全报警事件。
以部署Snort探针为例,在实际应用中,可以对部署的探针进行统一的配置,将安全威胁攻击的安全数据(如安全事件、报警数据、审计日志、流量数据、漏洞信息、端口指纹等)提取出来生成安全报警事件,并通过Nxlog、HTTP接口、文件等形式安全报警事件传输到安全数据分析计算节点。作为一个示例,入侵检测系统(intrusion detection system,IDS)的入侵检测工具和漏扫工具的事件结果数据(即安全报警数据)都是在自身的数据库中或以XML、Json序列化格式的文件形式存在,可以对采集器进行适配后提取事件结果数据(即安全报警数据)并传输到安全数据计算节点。
作为一个示例,为探针配置的预设任务可以具体包括:收集事件源地址IP的网络归属和审计信息;当事件源地址IP为IDC内网地址或VPN客户端地址时,获取账号详细属性信息、关联的威胁事件数量、最近产生的网络流量类型和大小统计、密码最近修改动作、最近登录过的主机、最近访问过的重要资产、详细操作触发的审计历史记录并根据资产进行归类、IP端点会话拓扑、协议类型统计等;当事件源地址IP为外网地址时,获取网络类型/区域、上联设施等;当事件源地址IP为内网地址时,获取账号详细属性信息、关联的威胁事件数量、最近产生的网络流量类型和大小统计、密码最近修改动作、最近登录过的主机、最近访问过的重要资产等。
可选的,可以通过集中收集安全报警事件到SOC平台中进行数据处理,对安全报警事件进行标准化和归并。标准化数据是统一数据标准,比如,按照事件时间、事件名称、事件类型、源IP、源端口、目的IP、目的端口的数据标准进行标准化。数据归并是把安全报警事件根据事件名称、事件类型、攻击源、攻击目标、目标漏洞、事件数量等等分类归并,归并同一安全威胁攻击产生的安全报警事件。
S102:根据事件基本信息,确定安全报警事件对应的从攻击源出发经事件发生地点到攻击目标的攻击路径。
在本申请实施例中,通过事件发生地点的地址可以得到使用该地址的资产,即得到了事件发生地点。例如,在网络边界(如开源虚拟专用通道,OpenVPN)上检测到的轻量目录访问协议(Lightweight Directory AccessProtocol,LDAP)账号爆破行为所产生的安全报警事件,记录了网络边界的地址,根据该地址就可得到对应的资产(即OpenVPN)。
同理,通过攻击源的地址可以得到使用该地址的资产,即得到了攻击源;通过攻击目标的地址可以得到使用该地址的资产,即得到了攻击目标。继续以LDAP账号爆破行为所产生的安全报警事件为例,安全报警事件的五元组信息包括源IP(即攻击源的地址)和目的IP(即攻击目标的地址),分别记录了攻击的来源(即攻击源)和目标(即攻击目标),根据源IP可以得到与之对应的资产(如目标网络中的某台主机),根据目的IP可以得到与之对应的资产(如活动目录域控制器)。
在得到安全报警事件的事件发生地点、攻击源和攻击目标后,根据攻击的发展顺序将三者联系起来,就得到了安全报警事件对应的从攻击源经事件发生地点到攻击目标的攻击路径。继续以LDAP账号爆破为例,攻击源为目标网络中的某台主机,攻击目标为活动目录(active directory,AD)域控制器,二者之间经事件发生地点(即OpenVPN)连接,得到安全报警事件对应的攻击路径。实际应用中,还可以根据攻击源、事件发生地点和攻击目标的实际通信方式,在攻击路径中增加中继或路由节点。例如,主机PC-jsion(即目标网络中的某台主机)经互联网服务提供商(InternetService Provider,ISP)(即路由节点)与OpenVPN连接,经OpenVPN向AD域控制器发起LDAP账号爆破行为。
在本申请实施例一些可能的实现方式中,步骤S102具体可以包括:
S1021:利用预先得到的资产列表,根据事件基本信息确定安全报警事件的事件发生地点、攻击源和攻击目标。
在本申请实施例中,资产列表包括地址与资产的一一对应关系。
由于资产列表中记录了各个资产的基本信息,因此,根据安全报警事件携带的事件基本信息中的各个地址信息即可确定出安全报警事件的事件发生地点、攻击源和攻击目标。
S1022:根据攻击源、攻击目标和事件发生地点,获得安全报警事件的攻击路径。
可选的,还可以根据攻击源、攻击目标和事件发生地点中任意一个或多个记录的登录数据,确定该资产对应的登录用户,并将登陆用户包括在安全报警事件的攻击路径中,为安全相关人员提供与安全报警事件相关的人员登陆信息,更便于安全相关人员进行安全分析。
S103:以可视化链路的形式显示攻击路径。
在本申请实施例中,还可以在可视化链路上显示的安全报警事件,具体可以仅仅显示安全报警事件的事件名称;也可以显示安全报警事件的主要信息,以便安全相关人员直接根据可视化链路上显示的内容进行安全分析。因为将安全报警事件的从攻击源开始经事件发生地点至攻击目标的攻击路径以可视化链路的形式显示出来,安全相关人员可以从该可视化链路上明确的得知安全报警事件的来龙去脉,有利于安全相关人员发现安全威胁攻击的真正源头进行安全分析。
请参见图2,该图以LDAP账号爆破为例示出了一种可视化链路的示意图。在该可视化链路中,将与安全报警事件(即LDAP账号爆破)相关联的各个资产连接显示,便于安全相关人员进行安全分析。
在本申请实施例一些可能的实现方式中,为了便于安全相关人员进行安全分析,还可以将攻击路径中涉及的各个资产(包括攻击源、攻击目标和事件发生地点等)的资产信息在可视化链路上显示给安全相关人员。则,具体的,在步骤S103之前还可以包括:
从资产列表中,获取攻击路径中各个资产的资产信息;
在以可视化链路的形式显示攻击路径时,在可视化链路上显示各个资产的资产信息。
在本申请实施例中,资产信息可以包括资产的名称、物理地址、IP地址、登陆信息等,本申请实施例对此不进行限定。例如图3举例示出的另一种可视化链路,在攻击路径的可视化链路上显示有各个资产的资产信息。
还需要说明的是,由于在实际应用中产生的安全报警事件数量庞大,若将每个安全报警事件均显示给安全相关人员,则会导致安全相关人员的工作量过大,不利于其将工作重点专注于真正具有安全威胁的攻击上。针对这一情况,在本申请实施例一些可能的实现方式中,为了减少安全相关人员无谓的工作量,还可以在可视化链路上突出显示其中的重要资产,将真正对目标网络的安全造成威胁的安全报警事件突出显示出来,以使安全相关人员更加专注于这些真正对目标网络的安全造成威胁的安全威胁攻击上。
具体的,在步骤S102之后还可以包括:
根据资产列表,确定攻击路径中各个资产的重要级别;
当攻击路径中包括级别为重要的资产时,步骤S103还可以包括:
在可视化链路中突出显示级别为重要的资产。
需要说明的是,在企业的资产系统中一般会对每个资产的重要级别进行标注,可以包括级别为重要的资产和级别为一般的资产。例如,LDAP、域控、办公自动化(officeautomation,OA)系统等对目标网络的安全运行影响较大的资产一般标注为级别为重要的资产,而主机等对目标网络的安全运行影响小的资产一般标注为级别为一般的资产。在获得攻击路径后,即可根据资产列表的标注确定出该攻击路径上各个资产(包括攻击源、攻击目标和事件发生地点等)中的级别为重要的资产,以在显示攻击路径的可视化链路时,将级别为重要的资产突出显示,提示安全相关人员对涉及级别为重要的资产的安全报警事件进行重要关注。
在一个例子中,可以在对部署的探针对安全报警事件进行采集时,对探针进行统一的配置,利用探针将涉及到级别为重要的资产的安全报警事件标记出来,以便确定攻击路径中各个资产的重要级别。
在实际应用中,可以在可视化链路上以标注的形式标出其中的级别为重要的资产,例如在图2所示的例子中,OpenVPN和AD域控为级别为重要的资产,在该资产旁边有级别为重要的资产的标注,如图4所示。在另一个例子中,还可以在可视化链路上高亮显示其中级别为重要的资产等等,本申请实施例对级别为重要的资产的突出显示方式不进行限定。
在本申请实施例中,获取到目标网络中发生的安全报警事件的事件基本信息后,根据事件基本信息包括的事件发生地址的地址、攻击源的地址和攻击目标的地址,确定出该安全报警事件对应的从攻击源出发经事件发生地点到攻击目标的攻击路径,然后,以可视化链路的形式显示该攻击路径,将安全报警事件的来龙去脉以可视化链路的形式展示给安全相关人员,使得安全相关人员可以从该可视化链路上清晰、便捷的获知该安全报警事件的发展链路、确定该安全报警事件的事件发生地点、攻击源和攻击目标,安全相关人员无需针对安全报警事件进行复杂的分析,更便于安全相关人员进行安全分析发现安全威胁攻击。
为了减少安全相关人员无谓的工作量,使安全相关人员更加专注于这些真正对目标网络安全造成威胁的安全威胁攻击上,在本申请实施例一些可能的实现方式中,还可以有选择的针对部分安全报警事件以可视化链路的形式显示其攻击路径。
参见图5,该图为本申请实施例提供的另一种网络攻击展示方法的流程示意图。
本申请实施例提供的网络攻击展示方法,在步骤S103之前还可以包括:
S501:判断安全报警事件是否符合预设的触发规则;若是,则执行步骤S103。
在本申请实施例中,触发规则可以根据实际需要设定,例如仅关注在特定地点产生的安全报警事件,可以根据安全报警事件的事件来源进行判断筛选;或者仅关注在特定事件区间发生的安全报警事件,可以根据安全报警事件的产生时间进行筛选。本申请实施例对触发规则的具体内容不进行限定,通过对触发规则进行配置可以针对特定安全报警数据进行跟踪分析,减轻安全相关人员的工作量,提高工作效率。
在一些可能的实现方式中,步骤S501具体可以包括以下三种中的任意一个或多个:
第一种,判断安全报警事件携带的事件类型是否为预先设定的威胁攻击类型。
其中,安全报警事件中携带的事件类型可以是主机异常登录、端口与网络扫描、僵尸网络、蠕虫传播、账号暴力破解等。实际应用中,可以根据需要重点关注的安全威胁攻击类型,对触发规则中的威胁攻击类型进行设定,这里不再一一列举。
第二种,判断安全报警事件携带的事件等级是否高于预设等级阈值。
在实际应用中,可以根据任意一项判断标准对安全报警事件的事件等级进行划分,例如对目标网络的安全威胁程度等,本申请实施例对此不进行限定,这里也不再一一赘述。
第三种,判断攻击路径上各个资产中是否有级别为重要的资产。
同理,资产的重要级别可以从资产列表中获得,具体参见上面的相关说明即可,这里不再赘述。
具体实施时,还可以根据上述三种中的任意一种对安全报警事件进行评分,对评分高于预设阈值的安全报警事件才显示其对应的可视化链路,以使安全相关人员专注于真正威胁目标网络安全的安全威胁攻击上,节约人力、提高处理效率。
可以理解的是,当步骤S501仅包括上述第一种和/第二种情况时,可以在步骤S101之后执行,也可以在步骤S102之后执行,本申请实施例对此不进行限定。
在一些可能的实现方式中,在得到安全威胁事件的攻击路径之后,还可以进行扩展,使其能够根据不同的策略来自动执行控制动作,比如到目标设备自动化取证、杀死恶意、自动添加防火墙规则阻断网络连接等,这里不再赘述。
基于上述实施例提供的网络攻击展示方法,本申请实施例还提供了一种网络攻击展示装置。
参见图6,该图为本申请实施例提供的一种网络攻击展示装置的结构示意图。
本申请实施例提供的网络攻击展示装置,包括:获取单元100、分析单元200和显示单元300;
获取单元100,用于获取安全报警事件的事件基本信息,事件基本信息包括事件发生地点的地址、攻击源的地址和攻击目标的地址;
分析单元200,用于根据事件基本信息,确定安全报警事件对应的从攻击源出发经事件发生地点到攻击目标的攻击路径;
显示单元300,用于以可视化链路的形式显示攻击路径。
在本申请实施例一些可能的实现方式中,分析单元200,具体可以包括:确定子单元和获得子单元;
确定子单元,用于利用预先得到的资产列表,根据事件基本信息确定安全报警事件的事件发生地点、攻击源和攻击目标;资产列表包括地址与资产的一一对应关系;
获得子单元,用于根据攻击源、攻击目标和事件发生地点,获得安全报警事件的攻击路径。
在本申请实施例一些可能的实现方式中,该装置还可以包括:识别单元;
识别单元,用于在获得攻击路径之后,确定攻击路径中各个资产的重要级别;资产列表还包括资产的重要级别;
显示单元300,还用于当攻击路径中包括级别为重要的资产时,在可视化链路中突出显示级别为重要的资产。
在本申请实施例一些可能的实现方式中,如图7所示,该装置还可以包括:判断单元400;
判断单元400,用于判断安全报警事件是否符合预设的触发规则;
显示单元300,具体用于当判断单元400的判断结果为是时,执行以可视化链路的形式显示攻击路径。
可选的,判断单元400,具体可以包括:第一判断子单元、第二判断子单元和第三判断子单元中的任意一个或多个;
第一判断子单元,用于判断安全报警事件携带的事件类型是否为预先设定的威胁攻击类型;
第二判断子单元,用于判断安全报警事件携带的事件等级是否高于预设等级阈值;
第三判断子单元,用于判断攻击路径上各个资产中是否有级别为重要的资产;资产列表还包括资产的重要级别。
在本申请实施例一些可能的实现方式中,
获取单元100,还用于从资产列表中获取攻击路径中各个资产的资产信息;
显示单元300,还用于在以可视化链路的形式显示攻击路径时,在可视化链路上显示各个资产的资产信息。
在本申请实施例中,获取到目标网络中发生的安全报警事件的事件基本信息后,根据事件基本信息包括的事件发生地址的地址、攻击源的地址和攻击目标的地址,确定出该安全报警事件对应的从攻击源出发经事件发生地点到攻击目标的攻击路径,然后,以可视化链路的形式显示该攻击路径,将安全报警事件的来龙去脉以可视化链路的形式展示给安全相关人员,使得安全相关人员可以从该可视化链路上清晰、便捷的获知该安全报警事件的发展链路、确定该安全报警事件的事件发生地点、攻击源和攻击目标,安全相关人员无需针对安全报警事件进行复杂的分析,更便于安全相关人员进行安全分析发现安全威胁攻击。
所述网络攻击展示装置包括处理器和存储器,上述获取单元、分析单元和显示单元等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来将安全报警事件的来龙去脉展示给运营人员,便于安全相关人员进行安全分析发现安全威胁攻击。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM),存储器包括至少一个存储芯片。
本申请实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述网络攻击展示方法。
本申请实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述网络攻击展示方法。
本申请实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:
获取安全报警事件的事件基本信息,所述事件基本信息包括事件发生地点的地址、攻击源的地址和攻击目标的地址;
根据所述事件基本信息,确定所述安全报警事件对应的从攻击源出发经事件发生地点到攻击目标的攻击路径;
以可视化链路的形式显示所述攻击路径。
可选的,所述根据所述事件基本信息,确定所述安全报警事件对应的从攻击源经事件发生地点到攻击目标的攻击路径,具体包括:
利用预先得到的资产列表,根据所述事件基本信息确定所述安全报警事件的事件发生地点、攻击源和攻击目标;所述资产列表包括地址与资产的一一对应关系;
根据所述攻击源、所述攻击目标和所述事件发生地点,获得所述安全报警事件的攻击路径。
可选的,在获得所述攻击路径之后,还包括:
根据所述资产列表,确定所述攻击路径中各个资产的重要级别;所述资产列表还包括资产的重要级别;
当所述攻击路径中包括级别为重要的资产时,所述方法还包括:
在所述可视化链路中突出显示级别为重要的资产。
可选的,所述以可视化链路的形式显示所述攻击路径,之前还包括:
判断所述安全报警事件是否符合预设的触发规则;
若是,则执行所述以可视化链路的形式显示所述攻击路径。
可选的,所述判断所述安全报警事件是否符合预设的触发规则,具体包括:
判断所述安全报警事件携带的事件类型是否为预先设定的威胁攻击类型;
和/或,
判断所述安全报警事件携带的事件等级是否高于预设等级阈值;
和/或,
判断所述攻击路径上各个资产中是否有级别为重要的资产;所述资产列表还包括资产的重要级别。
可选的,所述方法还包括:
从所述资产列表中获取所述攻击路径中各个资产的资产信息;
在以可视化链路的形式显示所述攻击路径时,在所述可视化链路上显示各个资产的资产信息。本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:
获取安全报警事件的事件基本信息,所述事件基本信息包括事件发生地点的地址、攻击源的地址和攻击目标的地址;
根据所述事件基本信息,确定所述安全报警事件对应的从攻击源出发经事件发生地点到攻击目标的攻击路径;
以可视化链路的形式显示所述攻击路径。
可选的,所述根据所述事件基本信息,确定所述安全报警事件对应的从攻击源经事件发生地点到攻击目标的攻击路径,具体包括:
利用预先得到的资产列表,根据所述事件基本信息确定所述安全报警事件的事件发生地点、攻击源和攻击目标;所述资产列表包括地址与资产的一一对应关系;
根据所述攻击源、所述攻击目标和所述事件发生地点,获得所述安全报警事件的攻击路径。
可选的,在获得所述攻击路径之后,还包括:
根据所述资产列表,确定所述攻击路径中各个资产的重要级别;所述资产列表还包括资产的重要级别;
当所述攻击路径中包括级别为重要的资产时,所述方法还包括:
在所述可视化链路中突出显示级别为重要的资产。
可选的,所述以可视化链路的形式显示所述攻击路径,之前还包括:
判断所述安全报警事件是否符合预设的触发规则;
若是,则执行所述以可视化链路的形式显示所述攻击路径。
可选的,所述判断所述安全报警事件是否符合预设的触发规则,具体包括:
判断所述安全报警事件携带的事件类型是否为预先设定的威胁攻击类型;
和/或,
判断所述安全报警事件携带的事件等级是否高于预设等级阈值;
和/或,
判断所述攻击路径上各个资产中是否有级别为重要的资产;所述资产列表还包括资产的重要级别。
可选的,所述方法还包括:
从所述资产列表中获取所述攻击路径中各个资产的资产信息;
在以可视化链路的形式显示所述攻击路径时,在所述可视化链路上显示各个资产的资产信息。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的单元或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种网络攻击展示方法,其特征在于,所述方法包括:
获取安全报警事件的事件基本信息,所述事件基本信息包括事件发生地点的地址、攻击源的地址和攻击目标的地址;
根据所述事件基本信息,确定所述安全报警事件对应的从攻击源出发经事件发生地点到攻击目标的攻击路径;
以可视化链路的形式显示所述攻击路径。
2.根据权利要求1所述的方法,其特征在于,所述根据所述事件基本信息,确定所述安全报警事件对应的从攻击源经事件发生地点到攻击目标的攻击路径,具体包括:
利用预先得到的资产列表,根据所述事件基本信息确定所述安全报警事件的事件发生地点、攻击源和攻击目标;所述资产列表包括地址与资产的一一对应关系;
根据所述攻击源、所述攻击目标和所述事件发生地点,获得所述安全报警事件的攻击路径。
3.根据权利要求2所述的方法,其特征在于,在获得所述攻击路径之后,还包括:
根据所述资产列表,确定所述攻击路径中各个资产的重要级别;所述资产列表还包括资产的重要级别;
当所述攻击路径中包括级别为重要的资产时,所述方法还包括:
在所述可视化链路中突出显示级别为重要的资产。
4.根据权利要求1或2所述的方法,其特征在于,所述以可视化链路的形式显示所述攻击路径,之前还包括:
判断所述安全报警事件是否符合预设的触发规则;
若是,则执行所述以可视化链路的形式显示所述攻击路径。
5.根据权利要求4所述的方法,其特征在于,所述判断所述安全报警事件是否符合预设的触发规则,具体包括:
判断所述安全报警事件携带的事件类型是否为预先设定的威胁攻击类型;
和/或,
判断所述安全报警事件携带的事件等级是否高于预设等级阈值;
和/或,
判断所述攻击路径上各个资产中是否有级别为重要的资产;所述资产列表还包括资产的重要级别。
6.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
从所述资产列表中获取所述攻击路径中各个资产的资产信息;
在以可视化链路的形式显示所述攻击路径时,在所述可视化链路上显示各个资产的资产信息。
7.一种用于网络攻击展示装置,其特征在于,所述装置包括:获取单元、分析单元和显示单元;
所述获取单元,用于获取安全报警事件的事件基本信息,所述事件基本信息包括事件发生地点的地址、攻击源的地址和攻击目标的地址;
所述分析单元,用于根据所述事件基本信息,确定所述安全报警事件对应的从攻击源出发经事件发生地点到攻击目标的攻击路径;
所述显示单元,用于以可视化链路的形式显示所述攻击路径。
8.根据权利要求7所述的装置,其特征在于,所述分析单元,包括:确定子单元和获得子单元;
所述确定子单元,用于利用预先得到的资产列表,根据所述事件基本信息确定所述安全报警事件的事件发生地点、攻击源和攻击目标;所述资产列表包括地址与资产的一一对应关系;
所述获得子单元,用于根据所述攻击源、所述攻击目标和所述事件发生地点,获得所述安全报警事件的攻击路径。
9.一种存储介质,其特征在于,其上存储有程序,该程序被处理器执行时,实现如权利要求1-6任一项所述的网络攻击展示方法。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时,执行如权利要求1-6任一项所述的网络攻击展示方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811160441.2A CN110971579A (zh) | 2018-09-30 | 2018-09-30 | 一种网络攻击展示方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811160441.2A CN110971579A (zh) | 2018-09-30 | 2018-09-30 | 一种网络攻击展示方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110971579A true CN110971579A (zh) | 2020-04-07 |
Family
ID=70029049
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811160441.2A Pending CN110971579A (zh) | 2018-09-30 | 2018-09-30 | 一种网络攻击展示方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110971579A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111726358A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击路径分析方法、装置、计算机设备及存储介质 |
CN111756759A (zh) * | 2020-06-28 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 一种网络攻击溯源方法、装置及设备 |
CN111885034A (zh) * | 2020-07-15 | 2020-11-03 | 杭州安恒信息技术股份有限公司 | 物联网攻击事件追踪方法、装置和计算机设备 |
CN111880708A (zh) * | 2020-07-31 | 2020-11-03 | 北京微步在线科技有限公司 | 一种网络攻击事件图的交互方法及存储介质 |
CN111988322A (zh) * | 2020-08-24 | 2020-11-24 | 北京微步在线科技有限公司 | 一种攻击事件展示系统 |
CN113312625A (zh) * | 2021-06-21 | 2021-08-27 | 深信服科技股份有限公司 | 一种攻击路径图构建方法、装置、设备、介质 |
CN114205110A (zh) * | 2021-11-02 | 2022-03-18 | 北京中安网星科技有限责任公司 | Ad域威胁检测方法、装置及电子设备 |
CN115189912A (zh) * | 2022-06-07 | 2022-10-14 | 广西双正工程监理服务有限公司 | 多重警报信息系统安全管理系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
CN102098306A (zh) * | 2011-01-27 | 2011-06-15 | 北京信安天元科技有限公司 | 基于关联矩阵的网络攻击路径分析方法 |
CN105991521A (zh) * | 2015-01-30 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 网络风险评估方法和装置 |
US20160301704A1 (en) * | 2015-04-09 | 2016-10-13 | Accenture Global Services Limited | Event correlation across heterogeneous operations |
CN106709613A (zh) * | 2015-07-16 | 2017-05-24 | 中国科学院信息工程研究所 | 一种适用于工业控制系统的风险评估方法 |
CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
CN107454103A (zh) * | 2017-09-07 | 2017-12-08 | 杭州安恒信息技术有限公司 | 基于时间线的网络安全事件过程分析方法及系统 |
-
2018
- 2018-09-30 CN CN201811160441.2A patent/CN110971579A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
CN102098306A (zh) * | 2011-01-27 | 2011-06-15 | 北京信安天元科技有限公司 | 基于关联矩阵的网络攻击路径分析方法 |
CN105991521A (zh) * | 2015-01-30 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 网络风险评估方法和装置 |
US20160301704A1 (en) * | 2015-04-09 | 2016-10-13 | Accenture Global Services Limited | Event correlation across heterogeneous operations |
CN106709613A (zh) * | 2015-07-16 | 2017-05-24 | 中国科学院信息工程研究所 | 一种适用于工业控制系统的风险评估方法 |
CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
CN107454103A (zh) * | 2017-09-07 | 2017-12-08 | 杭州安恒信息技术有限公司 | 基于时间线的网络安全事件过程分析方法及系统 |
Non-Patent Citations (2)
Title |
---|
李伟伟等: "电力光网攻击路径生成和可视化展示方法研究", 《科学技术与工程》 * |
陈成: "网络安全态势感知可视化平台的设计与实现", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111726358A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击路径分析方法、装置、计算机设备及存储介质 |
CN111756759A (zh) * | 2020-06-28 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 一种网络攻击溯源方法、装置及设备 |
CN111885034A (zh) * | 2020-07-15 | 2020-11-03 | 杭州安恒信息技术股份有限公司 | 物联网攻击事件追踪方法、装置和计算机设备 |
CN111880708A (zh) * | 2020-07-31 | 2020-11-03 | 北京微步在线科技有限公司 | 一种网络攻击事件图的交互方法及存储介质 |
CN111988322A (zh) * | 2020-08-24 | 2020-11-24 | 北京微步在线科技有限公司 | 一种攻击事件展示系统 |
CN111988322B (zh) * | 2020-08-24 | 2022-06-17 | 北京微步在线科技有限公司 | 一种攻击事件展示系统 |
CN113312625A (zh) * | 2021-06-21 | 2021-08-27 | 深信服科技股份有限公司 | 一种攻击路径图构建方法、装置、设备、介质 |
CN113312625B (zh) * | 2021-06-21 | 2024-01-02 | 深信服科技股份有限公司 | 一种攻击路径图构建方法、装置、设备、介质 |
CN114205110A (zh) * | 2021-11-02 | 2022-03-18 | 北京中安网星科技有限责任公司 | Ad域威胁检测方法、装置及电子设备 |
CN114205110B (zh) * | 2021-11-02 | 2023-11-10 | 北京中安网星科技有限责任公司 | Ad域威胁检测方法、装置及电子设备 |
CN115189912A (zh) * | 2022-06-07 | 2022-10-14 | 广西双正工程监理服务有限公司 | 多重警报信息系统安全管理系统 |
CN115189912B (zh) * | 2022-06-07 | 2024-01-12 | 广西双正工程监理服务有限公司 | 多重警报信息系统安全管理系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110971579A (zh) | 一种网络攻击展示方法及装置 | |
US10356044B2 (en) | Security information and event management | |
IL257849B2 (en) | Systems and methods for detecting and scoring anomalies | |
US20150128267A1 (en) | Context-aware network forensics | |
CN114070629B (zh) | 针对apt攻击的安全编排与自动化响应方法、装置及系统 | |
US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
JP2008516308A (ja) | 複数のコンピュータ化された装置を問い合わせる方法および装置 | |
CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
US8146146B1 (en) | Method and apparatus for integrated network security alert information retrieval | |
Miloslavskaya | Security operations centers for information security incident management | |
CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
Arfeen et al. | Endpoint detection & response: A malware identification solution | |
US20200311231A1 (en) | Anomalous user session detector | |
CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
JPWO2018079439A1 (ja) | インシデント影響範囲推定装置、インシデント影響範囲推定方法、プログラム及びシステム | |
Stoleriu et al. | Cyber attacks detection using open source ELK stack | |
Johansen | Digital forensics and incident response: Incident response techniques and procedures to respond to modern cyber threats | |
Khan et al. | Towards augmented proactive cyberthreat intelligence | |
CN112217777A (zh) | 攻击回溯方法及设备 | |
Bhardwaj et al. | Sql injection attack detection, evidence collection, and notifying system using standard intrusion detection system in network forensics | |
Irfan et al. | Feasibility analysis for incorporating/deploying SIEM for forensics evidence collection in cloud environment | |
Klinkhamhom et al. | Threat Hunting for Digital Forensic Using GRR Rapid Response with NIST Framework | |
Bhati et al. | A survey on intrusion detection tools | |
Nursidiq et al. | Cyber Threat Hunting to Detect Unknown Threats in the Enterprise Network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200407 |