CN112738071A - 一种攻击链拓扑的构建方法及装置 - Google Patents
一种攻击链拓扑的构建方法及装置 Download PDFInfo
- Publication number
- CN112738071A CN112738071A CN202011566341.7A CN202011566341A CN112738071A CN 112738071 A CN112738071 A CN 112738071A CN 202011566341 A CN202011566341 A CN 202011566341A CN 112738071 A CN112738071 A CN 112738071A
- Authority
- CN
- China
- Prior art keywords
- attack
- alarm
- chain topology
- constructing
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种攻击链拓扑的构建方法及装置,其中,所述攻击链拓扑的构建方法包括:获取网络攻击告警信息,所述告警信息包括第一告警标识;发送第一告警日志请求,所述第一告警日志请求包括所述第一告警标识;获取第一告警日志,所述第一告警日志包括所述第一告警标识、第一源IP、第一目标IP、第一触发告警条件、第一触发告警时间;根据所述第一告警日志,构建所述攻击链拓扑。本发明通过采用上述方法建立攻击链拓扑,从而可以直观地了解此次安全事件的整个过程,提高对攻击流程的直观感受,适用新常态下威胁感知变化。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种攻击链拓扑的构建方法及装置。
背景技术
网络攻击对网络和信息系统的危害非常大,有必要对网络攻击的过程等进行研究,并建模和分析,然后进行针对性防御。网络攻击通常有多个阶段,攻击者逐阶段地获得了更多的特权、信息和资源,以在目标系统内更深入地渗透。
网络攻击链提供了一个描述网络攻击的模型,将复杂的攻击分解为相互非独有的阶段或层。
现有技术中,通过人工分析某次网络攻击的攻击日志来获取网络攻击信息,并通过人工分析可能的攻击类型及攻击阶段,进而探索消除网络威胁的途径。人工方式有很多弊端,如:仅能获取某次攻击的数据,无法获得整个攻击面的数据;无法评估同类资产可能遭受的攻击风险;攻击阶段的划分缺乏统一标准,消除威胁的方法无法推广使用;等等。
针对上述问题,亟需提供一种基于大数据分析的统一化的攻击链拓扑的构建方法及装置。
发明内容
本发明实施例提供了一种攻击链拓扑的构建方法及装置,以至少解决现有技术主要依靠人工分析、无法获取整个攻击面的数据、无法评估同类资产可能遭受的攻击风险、攻击阶段的划分缺乏统一性等技术问题。
根据本发明实施例的一个方面,提供了一种攻击链拓扑的构建方法,包括:获取网络攻击告警信息,所述告警信息包括第一告警标识;发送第一告警日志请求,所述第一告警日志请求包括所述第一告警标识;获取第一告警日志,所述第一告警日志包括所述第一告警标识、第一源IP、第一目标IP、第一触发告警条件、第一触发告警时间;根据所述第一告警日志,构建所述攻击链拓扑。在获取网络攻击告警信息后,可通过调取告警日志快速了解整个安全事件的具体情况。
可选地,所述攻击链拓扑的构建方法还包括:发送第一资产信息请求,所述第一资产信息请求包括所述第一目标IP;获取第一资产信息,所述第一资产信息包括所述第一目标IP、第一资产标识、第一敏感数据、第一登录账号及其授权状况;根据所述第一资产信息,完善所述攻击链拓扑。通过目标IP获取资产信息,完善攻击链拓扑,从而有助于将资产信息与攻击信息进行结合分析,进而及时获知资产风险,以及早进行安全威胁排查或消除安全威胁。
可选地,所述攻击链拓扑的构建方法还包括:发送关联通信信息请求,所述关联通信信息请求包括所述第一源IP;获取关联通信信息,所述关联通信信息包括所述第一源IP、与所述第一源IP通信的关联IP、所述关联IP的第二告警标识。通过第一源IP获取与其通信的关联IP,分析第一源IP可能攻击或曾经攻击的IP信息,进而对该攻击的攻击对象有个整体认识,从而全面了解攻击性质。
可选地,所述攻击链拓扑的构建方法还包括:发送第二告警日志请求,所述第二告警日志请求包括所述第二告警标识;获取第二告警日志,所述第二告警日志包括所述第二告警标识、所述关联IP、第二源IP、第二触发告警条件、第二触发告警时间;根据所述第二告警日志,完善所述攻击链拓扑。通过获取关联IP的告警日志,层层解析,完善攻击链拓扑,从而了解整个攻击及安全事件,同时可通过层层下钻,了解关联IP所可能遭受或曾经遭受的其他攻击,从而获得一个网状攻击链拓扑。
可选地,所述攻击链拓扑的构建方法还包括:发送第二资产信息请求,所述第二资产信息请求包括所述关联IP;获取第二资产信息,所述第二资产信息包括所述关联IP、第二资产标识、第二敏感数据、第二登录账号及其授权状况;根据所述第二资产信息,完善所述攻击链拓扑。通过对关联IP的资产信息进行调取,获取所有关联IP的资产类型,从而可以了解各类资产所可能存在的安全威胁,进而为及早消除威胁提供支撑。
可选地,所述攻击链拓扑的构建方法还包括:根据所述攻击链拓扑进行统计分析,生成资产风险画像,其中,所述资产风险画像包括资产类型、攻击类型、攻击数量。通过资产风险画像分析,对各种不同类型的资产所可能遭受的网络攻击进行分析预测,并按照攻击数量进行排序,从而可以制定合理的威胁消除策略。
可选地,所述告警日志还包括威胁标签,所述威胁标签包括攻击行为特征、攻击阶段信息,其中,所述攻击阶段信息用于说明当前攻击所属的攻击阶段,所述攻击阶段包括探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段、恶意行为阶段。通过对攻击阶段进行划分,并展示在告警日志中,有助于及时了解此次安全事件的进展阶段,进而根据不同攻击阶段做出不同的响应。需要说明的是,本发明说明书中“第一”、“第二”等是用于区别类似的对象,而无特定的顺序或先后次序之意。所述告警日志包括所述第一告警日志和所述第二告警日志。
根据本发明实施例的另一方面,还提供了一种攻击链拓扑的构建装置,包括:获取单元,用于获取网络攻击告警信息和第一告警日志,其中,所述告警信息包括第一告警标识;所述第一告警日志包括所述第一告警标识、第一源IP、第一目标IP、第一触发告警条件、第一触发告警时间;发送单元,用于发送第一告警日志请求,所述第一告警日志请求包括所述第一告警标识;逻辑单元,用于根据所述第一告警日志,构建所述攻击链拓扑。
根据本发明实施例的另一方面,还提供了一种存储介质,所述存储介质包括存储的程序,其中,所述程序运行时执行上述攻击链拓扑的构建方法。
根据本发明实施例的另一方面,还提供了一种电子装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器通过所述计算机程序执行上述攻击链拓扑的构建方法。
在本发明实施例中,通过采用上述方法建立攻击链拓扑,从而可以直观地了解此次安全事件的整个过程;此外,通过获取关联IP告警日志及相关资产信息,从资产、攻击两个维度了解整个网络安全事件,进而获得资产风险画像,为资产风险管理、资产风险防范提供数据支撑;再者,本发明根据新的攻击行为和攻击手段划分攻击阶段,统一划分标准,不仅有助于对安全事件的管理,而且有助于威胁消除手段的借鉴与推广。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的攻击链拓扑的构建方法的流程图;
图2是根据本发明实施例的一种可选的攻击链拓扑的构建装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例的一方面,提供了一种攻击链拓扑的构建方法实施例,如图1所示,该方法可以包括以下步骤:
S102,获取网络攻击告警信息,所述告警信息包括第一告警标识;
S104,发送第一告警日志请求,所述第一告警日志请求包括所述第一告警标识;
S106,获取第一告警日志,所述第一告警日志包括所述第一告警标识、第一源IP、第一目标IP、第一触发告警条件、第一触发告警时间;
S108,根据所述第一告警日志,构建所述攻击链拓扑。
本实施例旨在获取网络攻击告警信息后,通过调取告警日志快速了解整个安全事件的具体情况,并构建攻击链拓扑。
作为一种优选的实施方式,所述攻击链拓扑的构建方法还包括:
S110,发送第一资产信息请求,所述第一资产信息请求包括所述第一目标IP;
S112,获取第一资产信息,所述第一资产信息包括所述第一目标IP、第一资产标识、第一敏感数据、第一登录账号及其授权状况;
S114,根据所述第一资产信息,完善所述攻击链拓扑。
本优选实施方式通过目标IP获取资产信息,完善攻击链拓扑,从而有助于将资产信息与攻击信息进行结合分析,进而及时获知资产风险,以及早进行安全威胁排查或消除安全威胁。
作为一种优选的实施方式,所述攻击链拓扑的构建方法还包括:
S116,发送关联通信信息请求,所述关联通信信息请求包括所述第一源IP;
S118,获取关联通信信息,所述关联通信信息包括所述第一源IP、与所述第一源IP通信的关联IP、所述关联IP的第二告警标识。
本优选实施方式通过第一源IP获取与其通信的关联IP,分析第一源IP可能攻击或曾经攻击的IP信息,进而对该攻击的攻击对象有个整体认识,从而全面了解攻击性质。
作为一种优选的实施方式,所述攻击链拓扑的构建方法还包括:
S120,发送第二告警日志请求,所述第二告警日志请求包括所述第二告警标识;
S122,获取第二告警日志,所述第二告警日志包括所述第二告警标识、所述关联IP、第二源IP、第二触发告警条件、第二触发告警时间;
S124,根据所述第二告警日志,完善所述攻击链拓扑。
本优选实施方式通过获取关联IP的告警日志,层层解析,完善攻击链拓扑,从而了解整个攻击及安全事件,同时可通过层层下钻,了解关联IP所可能遭受或曾经遭受的其他攻击,从而获得一个网状攻击链拓扑。
作为一种优选的实施方式,所述攻击链拓扑的构建方法还包括:
S126,发送第二资产信息请求,所述第二资产信息请求包括所述关联IP;
S128,获取第二资产信息,所述第二资产信息包括所述关联IP、第二资产标识、第二敏感数据、第二登录账号及其授权状况;
S130,根据所述第二资产信息,完善所述攻击链拓扑。
本优选实施方式通过对关联IP的资产信息进行调取,获取所有关联IP的资产类型,从而可以了解各类资产所可能存在的安全威胁,进而为及早消除威胁提供支撑。
作为一种优选的实施方式,所述攻击链拓扑的构建方法还包括:
S132,根据所述攻击链拓扑进行统计分析,生成资产风险画像,其中,所述资产风险画像包括资产类型、攻击类型、攻击数量。
本优选实施方式通过资产风险画像分析,对各种不同类型的资产所可能遭受的网络攻击进行分析预测,并按照攻击数量进行排序,从而可以制定合理的威胁消除策略。
作为一种优选的实施方式,所述告警日志还包括威胁标签,所述威胁标签包括攻击行为特征、攻击阶段信息,其中,所述攻击阶段信息用于说明当前攻击所属的攻击阶段,所述攻击阶段包括探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段、恶意行为阶段。所述告警日志包括所述第一告警日志和所述第二告警日志。
本优选实施方式通过对攻击阶段进行划分,并展示在告警日志中,有助于及时了解此次安全事件的进展阶段,进而根据不同攻击阶段做出不同的响应。
作为一种具体的实施方式,以下详细阐述一种可选地攻击链拓扑的构建方法:
(1)当态势感知有网络攻击告警信息时,通过告警信息中的告警标识获取告警日志,告警日志通常包括告警标识、一二级单位大区、源IP、目标IP,触发告警条件(告警规则特征,如黑IP、黑域名、告警规则原数据特征值等)、触发告警时间、MAC地址信息、触发次数等信息;通过告警日志构建关于该告警的攻击链拓扑;
(2)点击目标IP,获取目标IP对应的资产信息,包括目标IP、资产标识、敏感数据、当前登录账号、授权状况、资产级别等;将资产信息补充进该告警的攻击链拓扑;
(3)点击源IP,可获取与源IP通信的所有关联IP信息,及所有关联IP的告警信息;点击关联IP的告警信息,可获取该关联IP的告警日志;其中,关联IP信息可按照通信时间排序列出,还可分内外网显示;层层下钻,将所有关联IP的告警日志相关信息补充进攻击链拓扑,可获得整个通信网络攻击链拓扑;可选地,关联IP信息除了关联IP外,还包括通信流量的方向、协议、端口等;
(4)点击关联IP,可获取该关联IP的资产信息;层层下钻,将所有关联IP的资产信息补充进攻击链拓扑,并按照资产类别进行归类分析,获得资产风险画像;
(5)根据不同需要或应用场景,可人工调整攻击链拓扑的信息及顺序,以更加直观的可视化方式进行展示,包括攻击源IP、目标IP、触发安全事件的IP和域名及告警规则,安全事件开始时间和结束时间、攻击次数、攻击的阶段情况,并将大模块以点串联成线的方式展示出来。
其中,攻击阶段包括探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段和恶意行为阶段,具体地,
①探测扫描阶段:该阶段包括攻击者在攻击前对目标的扫描,例如网络扫描、系统扫描、端口、漏洞扫描等;扫描行为是攻击入侵的前期准备阶段,通过信息收集,掌握目标机器的系统、漏洞信息,对进一步进行入侵攻击有事半功倍的效果;
②渗透攻击阶段:该阶段是已经对目标机器做了扫描,或是直接对目标机器进行攻击,包括利用栈、堆方面的漏洞、利用Web系统平台方面的漏洞、逻辑配置错误方面的漏洞、内存破坏方面的漏洞等,对目标主机发起攻击;
③攻陷入侵阶段:该阶段表示目标主机已经被黑客成功攻陷,接下来攻击者可以做他想做的事情,攻陷阶段的表现形式比如FTP登录成功、Telnet猜测成功等;
④安装工具阶段:该阶段指在攻击者成功进入目标主机后,在目标主机中安装恶意软件、木马程序或是直接挂马等,通过这些恶意的工具实现与黑客的控制链接,下载其他恶意软件等;
⑤恶意行为阶段:该阶段即攻击者在目标主机安装完恶意软件后,恶意软件在目标主机产生的恶意行为,包括控制链接、对主机进行恶意操作等。
通过划分攻击阶段,帮助管理者或用户了解攻击的性质,从而有针对性地采取相关威胁消除手段,同时,根据大数据分析,调取相同攻击阶段的同类攻击的处理方法,以快速解决本次攻击威胁。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
根据本发明实施例的另一个方面,还提供了一种用于实施上述攻击链拓扑的构建方法的装置,该攻击链拓扑的构建装置可以是服务器,也可以是具有计算、存储、通信、显示等功能的终端设备,还可以是服务器、终端设备、安全装置等的结合。图2是根据本发明实施例的一种可选的攻击链拓扑的构建装置的示意图,如图2所示,该装置可以包括:获取单元201、发送单元203、逻辑单元205,其中,
获取单元201,用于获取网络攻击告警信息和第一告警日志,其中,所述告警信息包括第一告警标识;所述第一告警日志包括所述第一告警标识、第一源IP、第一目标IP、第一触发告警条件、第一触发告警时间;
发送单元203,用于发送第一告警日志请求,所述第一告警日志请求包括所述第一告警标识;
逻辑单元205,用于根据所述第一告警日志,构建所述攻击链拓扑。
此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在本发明实施例的硬件环境中,可以通过软件实现,也可以通过硬件实现。
根据本发明实施例的另一个方面,还提供了一种用于实施上述攻击链拓扑的构建方法的服务器或终端,可以包括:一个或多个处理器、存储器、以及传输装置,还可以包括输入输出设备。
其中,存储器可用于存储软件程序以及模块,如本发明实施例中的攻击链拓扑的构建方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述攻击链拓扑的构建方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述的传输装置用于经由一个网络接收或者发送数据,还可以用于处理器与存储器之间的数据传输。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置包括一个网络适配器(Network Interface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
其中,具体地,存储器用于存储应用程序。
处理器可以通过传输装置调用存储器存储的应用程序,以执行下述步骤:
获取网络攻击告警信息,所述告警信息包括第一告警标识;
发送第一告警日志请求,所述第一告警日志请求包括所述第一告警标识;
获取第一告警日志,所述第一告警日志包括所述第一告警标识、第一源IP、第一目标IP、第一触发告警条件、第一触发告警时间;
根据所述第一告警日志,构建所述攻击链拓扑。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于执行攻击链拓扑的构建方法的程序代码。
可选地,在本实施例中,上述存储介质可以位于上述实施例所示的网络中的多个网络设备中的至少一个网络设备上。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
获取网络攻击告警信息,所述告警信息包括第一告警标识;
发送第一告警日志请求,所述第一告警日志请求包括所述第一告警标识;
获取第一告警日志,所述第一告警日志包括所述第一告警标识、第一源IP、第一目标IP、第一触发告警条件、第一触发告警时间;
根据所述第一告警日志,构建所述攻击链拓扑。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种攻击链拓扑的构建方法,其特征在于,包括:
获取网络攻击告警信息,所述告警信息包括第一告警标识;
发送第一告警日志请求,所述第一告警日志请求包括所述第一告警标识;
获取第一告警日志,所述第一告警日志包括所述第一告警标识、第一源IP、第一目标IP、第一触发告警条件、第一触发告警时间;
根据所述第一告警日志,构建所述攻击链拓扑。
2.根据权利要求1所述的攻击链拓扑的构建方法,其特征在于,还包括:
发送第一资产信息请求,所述第一资产信息请求包括所述第一目标IP;
获取第一资产信息,所述第一资产信息包括所述第一目标IP、第一资产标识、第一敏感数据、第一登录账号及其授权状况;
根据所述第一资产信息,完善所述攻击链拓扑。
3.根据权利要求1或2所述的攻击链拓扑的构建方法,其特征在于,还包括:
发送关联通信信息请求,所述关联通信信息请求包括所述第一源IP;
获取关联通信信息,所述关联通信信息包括所述第一源IP、与所述第一源IP通信的关联IP、所述关联IP的第二告警标识。
4.根据权利要求3所述的攻击链拓扑的构建方法,其特征在于,还包括:
发送第二告警日志请求,所述第二告警日志请求包括所述第二告警标识;
获取第二告警日志,所述第二告警日志包括所述第二告警标识、所述关联IP、第二源IP、第二触发告警条件、第二触发告警时间;
根据所述第二告警日志,完善所述攻击链拓扑。
5.根据权利要求4所述的攻击链拓扑的构建方法,其特征在于,还包括:
发送第二资产信息请求,所述第二资产信息请求包括所述关联IP;
获取第二资产信息,所述第二资产信息包括所述关联IP、第二资产标识、第二敏感数据、第二登录账号及其授权状况;
根据所述第二资产信息,完善所述攻击链拓扑。
6.根据权利要求5所述的攻击链拓扑的构建方法,其特征在于,还包括:
根据所述攻击链拓扑进行统计分析,生成资产风险画像,其中,所述资产风险画像包括资产类型、攻击类型、攻击数量。
7.根据权利要求1所述的攻击链拓扑的构建方法,其特征在于,所述第一告警日志还包括威胁标签,所述威胁标签包括攻击行为特征、攻击阶段信息,其中,所述攻击阶段信息用于说明当前攻击所属的攻击阶段,所述攻击阶段包括探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段、恶意行为阶段。
8.一种攻击链拓扑的构建装置,其特征在于,包括:
获取单元,用于获取网络攻击告警信息和第一告警日志,其中,所述告警信息包括第一告警标识;所述第一告警日志包括所述第一告警标识、第一源IP、第一目标IP、第一触发告警条件、第一触发告警时间;
发送单元,用于发送第一告警日志请求,所述第一告警日志请求包括所述第一告警标识;
逻辑单元,用于根据所述第一告警日志,构建所述攻击链拓扑。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至7任一项中所述的方法。
10.一种电子装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器通过所述计算机程序执行上述权利要求1至7任一项中所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011566341.7A CN112738071B (zh) | 2020-12-25 | 2020-12-25 | 一种攻击链拓扑的构建方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011566341.7A CN112738071B (zh) | 2020-12-25 | 2020-12-25 | 一种攻击链拓扑的构建方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112738071A true CN112738071A (zh) | 2021-04-30 |
CN112738071B CN112738071B (zh) | 2023-07-28 |
Family
ID=75616410
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011566341.7A Active CN112738071B (zh) | 2020-12-25 | 2020-12-25 | 一种攻击链拓扑的构建方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112738071B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113377623A (zh) * | 2021-07-02 | 2021-09-10 | 华青融天(北京)软件股份有限公司 | 告警规则的自动生成方法、装置和电子设备 |
CN114363044A (zh) * | 2021-12-30 | 2022-04-15 | 深信服科技股份有限公司 | 一种分层告警方法、系统、存储介质和终端 |
CN114697106A (zh) * | 2022-03-29 | 2022-07-01 | 杭州安恒信息技术股份有限公司 | 威胁自动关联溯源方法、系统、计算机设备和存储介质 |
CN114760189A (zh) * | 2022-03-30 | 2022-07-15 | 深信服科技股份有限公司 | 一种信息确定方法、设备和计算机可读存储介质 |
CN114915544A (zh) * | 2022-05-18 | 2022-08-16 | 广东电网有限责任公司 | 网络多跳攻击链的识别方法、装置、设备及存储介质 |
CN114944956A (zh) * | 2022-05-27 | 2022-08-26 | 深信服科技股份有限公司 | 一种攻击链路检测方法、装置、电子设备及存储介质 |
CN115174251A (zh) * | 2022-07-19 | 2022-10-11 | 深信服科技股份有限公司 | 一种安全告警的误报识别方法、装置以及存储介质 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150256554A1 (en) * | 2013-01-21 | 2015-09-10 | Mitsubishi Electric Corporation | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program |
CN107888607A (zh) * | 2017-11-28 | 2018-04-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
CN108833185A (zh) * | 2018-06-29 | 2018-11-16 | 北京奇虎科技有限公司 | 一种网络攻击路线还原方法及系统 |
CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
CN109617885A (zh) * | 2018-12-20 | 2019-04-12 | 北京神州绿盟信息安全科技股份有限公司 | 攻陷主机自动判定方法、装置、电子设备及存储介质 |
CN109922075A (zh) * | 2019-03-22 | 2019-06-21 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
CN110213077A (zh) * | 2019-04-18 | 2019-09-06 | 国家电网有限公司 | 一种确定电力监控系统安全事件的方法、装置及系统 |
CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
CN111177417A (zh) * | 2020-04-13 | 2020-05-19 | 中国人民解放军国防科技大学 | 基于网络安全知识图谱的安全事件关联方法、系统、介质 |
CN111277561A (zh) * | 2019-12-27 | 2020-06-12 | 北京威努特技术有限公司 | 网络攻击路径预测方法、装置及安全管理平台 |
CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
CN111818089A (zh) * | 2020-07-31 | 2020-10-23 | 北京微步在线科技有限公司 | 一种网络攻击事件的展示方法及存储介质 |
CN114363044A (zh) * | 2021-12-30 | 2022-04-15 | 深信服科技股份有限公司 | 一种分层告警方法、系统、存储介质和终端 |
-
2020
- 2020-12-25 CN CN202011566341.7A patent/CN112738071B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150256554A1 (en) * | 2013-01-21 | 2015-09-10 | Mitsubishi Electric Corporation | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program |
CN107888607A (zh) * | 2017-11-28 | 2018-04-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
CN108833185A (zh) * | 2018-06-29 | 2018-11-16 | 北京奇虎科技有限公司 | 一种网络攻击路线还原方法及系统 |
CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
CN109617885A (zh) * | 2018-12-20 | 2019-04-12 | 北京神州绿盟信息安全科技股份有限公司 | 攻陷主机自动判定方法、装置、电子设备及存储介质 |
CN109922075A (zh) * | 2019-03-22 | 2019-06-21 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
CN110213077A (zh) * | 2019-04-18 | 2019-09-06 | 国家电网有限公司 | 一种确定电力监控系统安全事件的方法、装置及系统 |
CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
CN111277561A (zh) * | 2019-12-27 | 2020-06-12 | 北京威努特技术有限公司 | 网络攻击路径预测方法、装置及安全管理平台 |
CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
CN111177417A (zh) * | 2020-04-13 | 2020-05-19 | 中国人民解放军国防科技大学 | 基于网络安全知识图谱的安全事件关联方法、系统、介质 |
CN111818089A (zh) * | 2020-07-31 | 2020-10-23 | 北京微步在线科技有限公司 | 一种网络攻击事件的展示方法及存储介质 |
CN114363044A (zh) * | 2021-12-30 | 2022-04-15 | 深信服科技股份有限公司 | 一种分层告警方法、系统、存储介质和终端 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113377623A (zh) * | 2021-07-02 | 2021-09-10 | 华青融天(北京)软件股份有限公司 | 告警规则的自动生成方法、装置和电子设备 |
CN113377623B (zh) * | 2021-07-02 | 2024-05-28 | 华青融天(北京)软件股份有限公司 | 告警规则的自动生成方法、装置和电子设备 |
CN114363044A (zh) * | 2021-12-30 | 2022-04-15 | 深信服科技股份有限公司 | 一种分层告警方法、系统、存储介质和终端 |
CN114363044B (zh) * | 2021-12-30 | 2024-04-09 | 深信服科技股份有限公司 | 一种分层告警方法、系统、存储介质和终端 |
CN114697106A (zh) * | 2022-03-29 | 2022-07-01 | 杭州安恒信息技术股份有限公司 | 威胁自动关联溯源方法、系统、计算机设备和存储介质 |
CN114760189A (zh) * | 2022-03-30 | 2022-07-15 | 深信服科技股份有限公司 | 一种信息确定方法、设备和计算机可读存储介质 |
CN114915544A (zh) * | 2022-05-18 | 2022-08-16 | 广东电网有限责任公司 | 网络多跳攻击链的识别方法、装置、设备及存储介质 |
CN114915544B (zh) * | 2022-05-18 | 2023-06-02 | 广东电网有限责任公司 | 网络多跳攻击链的识别方法、装置、设备及存储介质 |
CN114944956A (zh) * | 2022-05-27 | 2022-08-26 | 深信服科技股份有限公司 | 一种攻击链路检测方法、装置、电子设备及存储介质 |
CN115174251A (zh) * | 2022-07-19 | 2022-10-11 | 深信服科技股份有限公司 | 一种安全告警的误报识别方法、装置以及存储介质 |
CN115174251B (zh) * | 2022-07-19 | 2023-09-05 | 深信服科技股份有限公司 | 一种安全告警的误报识别方法、装置以及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112738071B (zh) | 2023-07-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112738071B (zh) | 一种攻击链拓扑的构建方法及装置 | |
US10560434B2 (en) | Automated honeypot provisioning system | |
US8656493B2 (en) | Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems | |
US9609019B2 (en) | System and method for directing malicous activity to a monitoring system | |
EP3111330B1 (en) | System and method for verifying and detecting malware | |
US9769204B2 (en) | Distributed system for Bot detection | |
US9973531B1 (en) | Shellcode detection | |
US10476891B2 (en) | Monitoring access of network darkspace | |
US9438623B1 (en) | Computer exploit detection using heap spray pattern matching | |
CN105991595B (zh) | 网络安全防护方法及装置 | |
US9356950B2 (en) | Evaluating URLS for malicious content | |
US8839442B2 (en) | System and method for enabling remote registry service security audits | |
WO2016081561A1 (en) | System and method for directing malicious activity to a monitoring system | |
US10630708B2 (en) | Embedded device and method of processing network communication data | |
Yoshioka et al. | Your sandbox is blinded: Impact of decoy injection to public malware analysis systems | |
Abbas et al. | Generic signature development for IoT Botnet families | |
Kim et al. | Agent-based honeynet framework for protecting servers in campus networks | |
CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
CN114448731B (zh) | 蜜罐部署方法、装置、设备及计算机可读介质 | |
CN116760558A (zh) | 一种安全蜜罐系统及其实现方法 | |
CN111680294A (zh) | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 | |
Fanfara et al. | Autonomous hybrid honeypot as the future of distributed computer systems security | |
Grégio et al. | Pinpointing malicious activities through network and system-level malware execution behavior | |
CN115486031A (zh) | 威胁传感器部署和管理 | |
Paxton et al. | Collecting and analyzing bots in a systematic honeynet-based testbed environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |