CN114124587B - 一种攻击链的处理方法、系统及电子设备 - Google Patents
一种攻击链的处理方法、系统及电子设备 Download PDFInfo
- Publication number
- CN114124587B CN114124587B CN202210110773.XA CN202210110773A CN114124587B CN 114124587 B CN114124587 B CN 114124587B CN 202210110773 A CN202210110773 A CN 202210110773A CN 114124587 B CN114124587 B CN 114124587B
- Authority
- CN
- China
- Prior art keywords
- chain
- attack
- processed
- attack chain
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种攻击链的处理方法、系统及电子设备,其中方法包括:基于包含危险操作的监测日志构建待处理攻击链;当判定待处理攻击链属于高危链库中的样本攻击链,采用高危链库内存储的对应于相应的样本攻击链的处理手段,处理待处理攻击链上的设备所受到的异常攻击;其中,高危链库根据攻击链的源IP和宿IP与白名单内的设备IP的比对结果不断更新得到。用以解决现有技术中多通过人工对网络攻击告警事件进行分析处理,所造成的对网络存在的风险分析不够全面准确,且处理效率低的缺陷,通过预设高危链库中的样本攻击链对基于被监测网络的监测日志构建的待处理攻击链上的设备所受到的异常攻击,实现网络攻击事件的自动处理,且提高了处理效率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种攻击链的处理方法、系统及电子设备。
背景技术
目前的日志分析系统主要是通过对安全设备及生产设备产生的日志的内容进行简单的解析,从而对重要的事件形成告警并对告警事件进行展示,最后再依靠人工针对告警事件进行相应的处理。其中,告警事件的分析和处理完全由安全管理人员进行。
这种方法一般只能分析当前设备被攻击,或漏洞被利用等事件,但是无法获取攻击者的操作信息、攻击次数、设备或端口扫描,以及攻击路径等,也就不能分析出攻击者从发起攻击到结束整个过程的攻击链, 因而,对于整个系统其他设备的影响无法得知。
同时,攻击发生时一般会产生大量的告警,单纯依靠人工分析,很可能忽视掉一些重要的信息,也无法对多个设备产生的日志中存在的隐藏的安全事件进行分析。
基于上述缺陷,虽然现在也出现了一些可以还原攻击链的装置,但是还原效率低,且识别攻击源的准确度低,仍旧需要人工干预识别危险攻击。
发明内容
本发明提供一种攻击链的处理方法、系统及电子设备,用以解决现有技术中多通过人工对网络攻击的告警事件进行分析和处理,所造成的对网络存在的风险分析不够全面准确,且处理效率低的缺陷,通过预设高危链库中的样本攻击链对基于被监测网络的监测日志构建的待处理攻击链上的设备所受到的异常攻击,实现网络攻击事件的自动处理,且提高了处理效率。
本发明提供一种攻击链的处理方法,包括:
基于监测日志,构建待处理攻击链;所述监测日志为被监测网络中的包含危险操作的日志;
判断所述待处理攻击链是否属于高危链库中保存的样本攻击链;
当判定所述待处理攻击链属于所述样本攻击链,采用所述高危链库内存储的对应于相应的所述样本攻击链的处理手段,处理所述待处理攻击链上的设备所受到的异常攻击;
其中,所述高危链库根据攻击链的源IP和宿IP与白名单内的设备IP的比对结果不断更新得到;所述待处理攻击链基于所述被监测网络中的设备的日志构建;所述白名单为记录所述被监测网络内的设备的设备IP的名单库。
根据本发明所述的攻击链的处理方法,所述基于监测日志,构建待处理攻击链前,还包括:
逐条获取所述被监测网络中的设备的日志;
判断所述日志是否为所述监测日志,并在所述日志不是所述监测日志时,将所述日志所涉及的设备的设备IP加入所述白名单。
根据本发明所述的攻击链的处理方法,所述基于监测日志,构建待处理攻击链,包括:
基于所述监测日志的源IP和宿IP,获取第一设定时长内所述被监测网络中所有与所述监测日志的源IP或宿IP相关的待判定日志;
逐条判断所述待判定日志中是否包含危险操作;
若是,则将所述待判定日志中源IP或宿IP相同的日志拼接形成拼接高危链,并基于所述拼接高危链的源IP和宿IP重新获取所述第一设定时长内的所述待判定日志;
若否,则将最终形成的所述拼接高危链作为所述待处理攻击链。
根据本发明所述的攻击链的处理方法,基于监测日志,构建待处理攻击链后,还包括:
判断所述待处理攻击链是否属于正常链库中保存的正常操作链;
当所述待处理攻击率属于所述正常操作链,则判定所述待处理攻击链上的设备均未受到异常攻击。
根据本发明所述的攻击链的处理方法,所述判断所述待处理攻击链是否属于高危链库中保存的样本攻击链后,还包括:
当判定所述待处理攻击链不属于所述样本攻击链,则判断所述待处理攻击链的源IP和宿IP是否均属于所述白名单;
若是,则判定所述待处理攻击链上的设备均未受到异常攻击,并将所述待处理攻击链加入正常链库;
若否,则将所述待处理攻击链加入所述高危链库,且在所述待处理攻击链的源IP或宿IP与所述样本攻击链的宿IP或源IP不同时,将所述待处理攻击链作为新的样本攻击链,并基于设定规则处理所述新的样本攻击链上的设备所受到的异常攻击。
根据本发明所述的攻击链的处理方法,所述将所述待处理攻击链加入正常链库后,还包括:
判断所述待处理攻击链是否包含所述样本攻击链;
将所述待处理攻击链中包含的所述样本攻击链由所述高危链库中移出;
将所述待处理攻击链上不在所述白名单内的设备IP加入所述白名单。
根据本发明所述的攻击链的处理方法,所述将所述待处理攻击链加入所述高危链库后,还包括:
在所述待处理攻击链的源IP或宿IP与所述样本攻击链的宿IP或源IP相同时,将所述待处理攻击链和相应的所述样本攻击链拼接形成新的待处理攻击链,并返回判断待处理攻击链的源IP和宿IP是否均属于所述白名单的步骤。
根据本发明所述的攻击链的处理方法,所述基于设定规则处理所述新的样本攻击链上的设备所受到的异常攻击,包括:
记录所述新的样本攻击链上的设备受到所述异常攻击的次数,在所述异常攻击的次数达到设定阈值时,切断所述新的样本攻击链上属于所述白名单的设备与攻击源间的通信连接;所述攻击源为不属于所述白名单的设备;
根据所述新的样本攻击链不属于所述白名单的源IP和/或宿IP的设备的基本信息,分析得到针对所述新的样本攻击链的处理手段;所述基本信息包括:地域信息、数据发送频率,以及第二设定时长内的危险操作次数;
将得到的所述处理手段作为对应于所述新的样本攻击链的处理手段,保存在所述高危链库内。
根据本发明所述的攻击链的处理方法,所述判定所述待处理攻击链属于所述样本攻击链后,还包括:
提高相应所述样本攻击链的危险等级;
基于所述高危链库中各所述样本攻击链的危险等级,确定处理所述待处理攻击链上的设备所受到的异常攻击的顺序。
本发明还提供一种攻击链的处理系统,包括:
构建模块,用于基于监测日志构建待处理攻击链;所述监测日志为被监测网络中的包含危险操作的日志;
判断模块,用于判断所述待处理攻击链是否属于高危链库中保存的样本攻击链;
处理模块,用于当判定所述待处理攻击链属于所述样本攻击链,采用所述高危链库内存储的对应于相应的所述样本攻击链的处理手段,处理所述待处理攻击链上的设备所受到的异常攻击;
其中,所述高危链库根据攻击链的源IP和宿IP与白名单内的设备IP的比对结果不断更新得到;所述待处理攻击链基于所述被监测网络中的设备的日志构建;所述白名单为所述被监测网络内设备的设备IP。
通过将待处理攻击链与根据攻击链的源IP和宿IP与白名单内的设备IP的比对结果不断更新得到的高危链库中保存的样本攻击链进行比较,然后在待处理攻击链属于高危链库中的样本攻击链时,采用高危链库内存储的对应于相应的所述样本攻击链的处理手段,处理所述待处理攻击链上的设备所受到的异常攻击,实现了网络攻击事件的自动处理,并有效提高了处理效率。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的一种攻击链的处理方法的流程示意图之一;
图2是本发明提供的基于监测日志构建待处理攻击链的流程示意图;
图3是本发明提供的一种攻击链的处理方法的流程示意图之二;
图4是本发明提供的攻击链的处理系统的结构示意图;
图5是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,网络中设备间的日志中,包含了所处理事件的内容、类型,日志的发起设备的IP,处理事件的设备的IP,等等诸多的内容,因而,基于对网络中设备间的日志的分析,能够判断设备间是否存在危险操作。
可以理解的是,危险操作应该包括:攻击事件类型、攻击方式、攻击源IP、攻击宿IP等信息。
基于此,本发明实施例所述的攻击链的处理方法,基于对采集的被监测网络中的多设备的日志的分析实现。
下面结合图1至图3描述本发明的一种攻击链的处理方法,执行于计算机或其中的软件和/或硬件的组合,如图1所示,该方法具体包括以下步骤:
101、基于监测日志,构建待处理攻击链。
具体地,基于被监测网络中的监测日志构建待处理攻击链,能够还原出攻击者从发起攻击到结束攻击的整个过程的攻击链,从而在确定攻击事件时,将攻击者对整个被监测网络的设备的影响考虑在内,进而提高了对攻击事件分析的准确性和全面性。
更具体地,因为被监测网络中所包含的设备一般较多,因而所形成的监测日志数量也会较多,所以在基于监测日志构建待处理攻击链时,优选将基于相同IP的事件信息进行聚合、归一化处理,以降低数据处理量,提高处理效率。
102、判断所述待处理攻击链是否属于高危链库中保存的样本攻击链;
103、当判定所述待处理攻击链属于所述样本攻击链,采用所述高危链库内存储的对应于相应的所述样本攻击链的处理手段,处理所述待处理攻击链上的设备所受到的异常攻击。
具体地,因为攻击事件均来源于外网的攻击源,所以攻击链的源IP和宿IP中必然只要有一个为外网设备IP,所以,当将被监测网络内的设备的设备IP均保存在白名单内时,通过对被监测网络所发生的攻击事件的攻击链的源IP和宿IP与白名单内的设备IP进行比较,就能不断丰富高危链中所保存的样本攻击链,同时,针对所述被监测网络已经发生的攻击事件,均有相应的处理手段,将这些处理手段和样本攻击链对应保存在高危链库后,当高危链库足够丰富时,就可以完全摆脱人工干预,从而实现完全自动的基于被监测网络中的监测日志的分析,来自动识别攻击事件,并进行自动处理。
更具体地,通过将待处理攻击链与高危链库中保存的样本攻击链进行比较,然后在待处理攻击链属于高危链库中的样本攻击链时,采用高危链库内存储的对应于相应的所述样本攻击链的处理手段,处理所述待处理攻击链上的设备所受到的异常攻击,实现了网络攻击事件的自动处理,并有效提高了处理效率。
作为本发明的一种实施例,所述基于监测日志,构建待处理攻击链前,还包括:
逐条获取所述被监测网络中的设备的日志;
判断所述日志是否为所述监测日志,并在所述日志不是所述监测日志时,将所述日志所涉及的设备的设备IP加入所述白名单。
具体地,通过逐条获取被监测网络中的设备的日志,能够通过将不存在危险操作的设备的日志所涉及的设备的IP加入白名单的方式,来不断的丰富和补充白名单,从而使得白名单中所包含的所述被监测网络中的设备更全面,以便于更准确的更新所述高危链库。
如图2所示,作为本发明的一种实施例,所述基于监测日志,构建待处理攻击链,包括:
201、基于所述监测日志的源IP和宿IP,获取第一设定时长内所述被监测网络中所有与所述监测日志的源IP或宿IP相关的待判定日志;
202、逐条判断所述待判定日志中是否包含危险操作;若是,进入步骤203;若否,进入步骤204;
203、将所述待判定日志中源IP或宿IP相同的日志拼接形成拼接高危链,即新的监测日志;并返回步骤201;
204、将最终形成的所述拼接高危链作为所述待处理攻击链。
具体地,当判定设备的日志为包含危险操作的监测日志时,作为产生所述监测日志的两个设备来说,很可能还与所述被监测网络内的其他设备有事件往来,所以首先基于所述监测日志的源IP和宿IP,获取第一设定时长内所述被监测网络中所有与所述监测日志的源IP或宿IP相关的待判定日志,然后判定这些待判定日志是否为监测日志,可以理解的是,首次判定出的新的监测日志的源IP或宿IP中必然有一个与初始的监测日志中的宿IP或源IP相同,所以可以将初始的监测日志和新的监测日志基于相同源IP和宿IP,或者相同宿IP和源IP进行拼接形成链,同样的,对于拼接形成的链来说,至少一端为新的监测日志的源IP或宿IP,所以,新的监测日志的源IP或宿IP的设备还可能与被监测网络内的其他设备间具有事件往来,所以还需基于新的监测日志的源IP或宿IP重新获取第一设定时长内新的待判定日志,然后判定这些新的待判定日志是否为监测日志后,再在拼接形成的链上继续拼接,如此循环,直至新的待判定日志中不存在监测日志为止。
即在每收到一个攻击事件(监测日志)时,结合一段时间内的历史数据关联分析,对攻击源IP和攻击宿IP相同的地址进行拼接, 最终形成待处理攻击链,进一步地,对于多源一宿的攻击链应该形成多条待处理攻击链。
更具体地,以第一设定时长为5min,外网攻击源为1,被监测网络中含有设备2-10,1对3攻击成功,然后又通过3陆续攻击了4、7和10,首先判定含有危险操作的监测日志为源IP为1的IP,宿IP为3的IP的日志为例,通过在存储设备中查询,共查询到在5min内与1和3有关的日志分别为:3和4、3和5、3和8,通过判断,3和5,以及3和8间不存在危险操作,而3和4间存在危险操作,然后将1和3,以及3和4拼接,形成1-3-4,然后再次查询5min内与1和4有关的日志,分别为:4和7、4和5,通过判断,4和5间不存在危险操作,而4和7间存在危险操作,即将1-3-4与4和7拼接,得到1-3-4-7,继续查询5min内与1和7有关的日志,为7和10,通过判断,7和10间存在危险操作,即将1-3-4-7与7和10拼接,得到1-3-4-7-10,之后再查询5min内与1和10有关的日志,分别为:10和8、10和6,而通过判断,10和8以及10和6间均不存在危险操作,所以将得到的拼接高危链1-3-4-7-10作为所述待处理攻击链。
作为本发明的一种实施例,构建待处理攻击链后,还包括:
判断所述待处理攻击链是否属于正常链库中保存的正常操作链;
当所述待处理攻击率属于所述正常操作链,则判定所述待处理攻击链上的设备均未受到异常攻击。
具体地,当遇到所述被监测网络内的设备的用户输错登陆密码、网络干扰等问题时,所形成的日志也会被判定为含有危险操作的监测日志,然而,以用户输错登陆密码为例,当用户在网络允许的次数限制内输错密码时,判定的设备受到攻击并非真实的外网设备攻击,所以,此时会产生误判,所以在本发明所述实施例中,通过保存有正常操作链的正常链库的设置,能够在构建待处理攻击链后,判断所述待处理攻击链是否为正常操作链,以避免对于被监测网络内设备受到外网设备攻击的误判。
作为本发明的一种实施例,所述判断所述待处理攻击链是否属于高危链库中保存的样本攻击链后,还包括:
当判定所述待处理攻击链不属于所述样本攻击链,则判断所述待处理攻击链的源IP和宿IP是否均属于所述白名单;
若是,则判定所述待处理攻击链上的设备均未受到异常攻击,并将所述待处理攻击链加入正常链库;
若否,则将所述待处理攻击链加入所述高危链库,且在所述待处理攻击链的源IP或宿IP与所述样本攻击链的宿IP或源IP不同时,将所述待处理攻击链作为新的样本攻击链,并基于设定规则处理所述新的样本攻击链上的设备所受到的异常攻击。
具体地,被监测网络中往往包括众多的设备,同时,还会不断的有新的设备加入所述被监测网络中,然而,对于与新加入的设备产生的日志,会被判定为含有危险操作的监测日志,对于这种基于含有新加入被监测网络的设备形成的待处理攻击链,很可能形成新设备处于待处理攻击链中部的待处理攻击链,而这种待处理攻击链中因为并未含有真正意义上的外网设备的攻击,所以源IP和宿IP应该都是白名单内的设备IP,所以此时应判定所述待处理攻击链上的设备均未受到异常攻击,并将所述待处理攻击链加入正常链库。
更具体地,当待处理攻击链的源IP和宿IP中的至少一个不属于所述白名单时,为了避免所述待处理攻击链为真正存在攻击的攻击链,就需要将所述待处理攻击链加入所述高危链库,同时,对于这种基于含有新加入被监测网络的设备形成的待处理攻击链,也可能形成新设备处于待处理攻击链源或宿的待处理攻击链,因而,在高危链库中可能存在以新加入的设备为源或宿的样本攻击链,而本次生成的待处理攻击链的源或宿又为该新加入的设备,可以了解的是,此时,高危链库中的该样本攻击链和待处理攻击链均不是真实的外网设备攻击链,因而在所述待处理攻击链的源IP或宿IP与所述样本攻击链的宿IP或源IP不同时,才将所述待处理攻击链作为新的样本攻击链,并基于设定规则处理所述新的样本攻击链上的设备所受到的异常攻击,从而避免对外网攻击的错误判断。
作为本发明的一种实施例,所述将所述待处理攻击链加入正常链库后,还包括:
判断所述待处理攻击链是否包含所述样本攻击链;
将所述待处理攻击链中包含的所述样本攻击链由所述高危链库中移出;
将所述待处理攻击链上不在所述白名单内的设备IP加入所述白名单。
具体地,当待处理攻击链的源IP和宿IP均属于所述白名单时,该待处理攻击链中必然包含设备IP不在所述白名单内的新加入所述被监测网络的新设备,同时,对于因包含所述新加入被监测网络的新设备的样本攻击链,也不是实际的外网设备攻击链,所以通过将所述待处理攻击链由所述高危链库中移出,并将所述待处理攻击链上不在所述白名单内的设备IP加入所述白名单,能够实现高危链库和白名单的不断更新,从而提高后续对外网攻击事件判断的准确性。
作为本发明的一种实施例,所述将所述待处理攻击链加入所述高危链库后,还包括:
在所述待处理攻击链的源IP或宿IP与所述样本攻击链的宿IP或源IP相同时,将所述待处理攻击链和相应的所述样本攻击链拼接形成新的待处理攻击链,并返回判断待处理攻击链的源IP和宿IP是否均属于所述白名单的步骤。
具体地,一个新加入的设备可能是一条待处理攻击链的宿或源, 这时候该待处理攻击链会被加入高危链库,而高危链库中也可能存在以新加入的设备作为源或宿的样本攻击链,此时,待处理攻击链的宿或源,是该条样本攻击链的源或宿,当将这两条攻击链基于新加入的设备拼接后,新的链的源和宿则有可能均属于白名单,即不存在含有外网设备的攻击链,此时,即可以通过这种拼接方式,进一步更新高危链库和白名单,从而提高对外网攻击事件判断的准确性。
作为本发明的一种实施例,所述基于设定规则处理所述新的样本攻击链上的设备所受到的异常攻击,包括:
记录所述新的样本攻击链上的设备受到所述异常攻击的次数,在所述异常攻击的次数达到设定阈值时,切断所述新的样本攻击链上属于所述白名单的设备与攻击源间的通信连接;所述攻击源为不属于所述白名单的设备;
根据所述新的样本攻击链不属于所述白名单的源IP和/或宿IP的设备的基本信息,分析得到针对所述新的样本攻击链的处理手段;所述基本信息包括:地域信息、数据发送频率,以及第二设定时长内的危险操作次数;
将得到的所述处理手段作为对应于所述新的样本攻击链的处理手段,保存在所述高危链库内。
具体地,当将所述待处理攻击链作为新的样本攻击链时,即出现了之前高危链库内未出现过的新的外网设备对被监测网络进行攻击,此时,并不能依据高危链库内保存的处理手段,对所述异常攻击进行处理,所以,通过记录所述新的样本攻击链上的设备受到所述异常攻击的次数,并在所述异常攻击的次数达到设定阈值时,切断所述新的样本攻击链上属于所述白名单的设备与攻击源间的通信连接,以保证被监测网络上设备的安全性。
更具体地,对于所述高危链库内原本的样本攻击链来说,基于监测日志的分析,均有记录攻击源的来源,以及相应的处理方式,而对于新的样本攻击链来说,在不能确定其攻击源的前提下,很难分析得到适宜被该攻击源攻击后的网络的防御、修复等处理方式,而对于工业网络而言,基于办公位置的固定,通过地域信息,结合白名单,很容易能够判断攻击源的地域,然后结合攻击源的数据发送频率、以及规定时间内的危险操作次数,就能分析得到适宜的处理手段,最后将该处理手段作为对应于所述新的样本攻击链的处理手段,保存在所述高危链库内,以达到进一步丰富所述高危链库的目的。
作为本发明的一种实施例,所述判定所述待处理攻击链属于所述样本攻击链后,还包括:
提高相应所述样本攻击链的危险等级;
基于所述高危链库中各所述样本攻击链的危险等级,确定处理所述待处理攻击链上的设备所受到的异常攻击的顺序。
具体地,通过在判定所述待处理攻击链属于所述样本攻击链后,提高相应所述样本攻击链的危险等级,然后基于所述高危链库中各所述样本攻击链的危险等级,确定处理所述待处理攻击链上的设备所受到的异常攻击的顺序,能够实现基于处理紧急度对外网设备攻击进行处理,例如:对于被监测网络攻击更频繁的外网设备的优先处理,如提高对该外网设备的防御等级等,从而提高被监测网络的安全性。
综上,本发明实施例所述的攻击链的处理方法的总体流程如图3所示,具体包括以下步骤:
301、构建待处理攻击链;
302、判断所述待处理攻击链是否属于所述正常链库;若是,则进入步骤303;若否,进入步骤304;
303、结束流程;
304、判断所述待处理攻击链是否属于所述高危链库;若是,则进入步骤305;若否,进入步骤306;
305、累加所述高危链库中相应样本攻击链的攻击次数,提高所述样本攻击链的危险等级;
306、检查所述待处理攻击链的源IP和宿IP是否均属于白名单;若是,进入步骤307;若否,进入步骤310;
307、将所述待处理攻击链作为正常操作链加入正常链库;
308、判断所述待处理攻击链中是否存在样本攻击链;若是,进入步骤309;若否,返回步骤303;
309、将所述待处理攻击链包含的样本攻击链由高危链库移出,并将所述待处理攻击链中未包含在所述白名单中的设备IP加入白名单;
310、将所述待处理攻击链加入高危链库;
311、判断所述待处理攻击链是否与样本攻击链具有相同的源IP或宿IP;若是,进入步骤312;若否,进入步骤313;
312、将所述待处理攻击率和具有相同的源IP或宿IP的样本攻击链拼接形成新的待处理攻击链,并返回步骤306;
313、记录所述待处理攻击链上的设备受到所述异常攻击的次数;
314、判断受到异常攻击的次数是否达到设定阈值;若是,则进入315;若否,则返回步骤303;
315、切断所述待处理攻击链上属于所述白名单的设备与攻击源间的通信连接。
本发明实施例所述的攻击链的处理方法,通过把待处理攻击链还原出来,并添加评级机制,能够直观地为用户展示处理紧急度,并根据处理紧急度对攻击事件进行自动处理。
通过将处理过的攻击链保存下来,构建高危链库,利用高危链库自动处理攻击事件,避免了针对相同攻击链的反复分析处理,提高了处理效率。
通过关联分析流程,使得高危链库和正常链库不断丰富,同时丰富了保存被监测网络内设备的设备IP的白名单,有效提高了对攻击事件识别的准确度。
同时,值得说明的是,为了保证本发明实施例所述的攻击链的处理方法的准确度,前期应该基于大量的被监测网络已经发生的攻击事件的日志的分析,来构建高危链库,然后,通过用户对采用本发明实施例所述的攻击链的处理方法进行的攻击事件分析和处理手段,统计关联分析准确度,进而当准确度达到用户期望时,再采用自动处理的方式来识别和处理异常攻击。
下面结合图4对本发明提供的一种攻击链的处理系统进行描述,下文描述的攻击链的处理系统与上文描述的一种攻击链的处理方法可相互对应参照。
如图4所示,所述攻击链的处理系统,包括构建模块410、判断模块420和处理模块430;其中,
所述构建模块410用于基于监测日志构建待处理攻击链;所述监测日志为被监测网络中的包含危险操作的日志;
所述判断模块420用于判断所述待处理攻击链是否属于高危链库中保存的样本攻击链;
所述处理模块430用于当判定所述待处理攻击链属于所述样本攻击链,采用所述高危链库内存储的对应于相应的所述样本攻击链的处理手段,处理所述待处理攻击链上的设备所受到的异常攻击;
其中,所述高危链库根据攻击链的源IP和宿IP与白名单内的设备IP的比对结果不断更新得到;所述待处理攻击链基于所述被监测网络中的设备的日志构建;所述白名单为所述被监测网络内设备的设备IP。
本发明所述的攻击链的处理系统,通过基于被监测网络中包含危险操作的监测日志构建待处理攻击链,能够还原出攻击者从发起攻击到结束攻击的整个过程的攻击链,从而在确定攻击事件时,将攻击者对整个被监测网络的设备的影响考虑在内,进而提高了对攻击事件分析的准确性和全面性;通过将待处理攻击链与根据攻击链的源IP和宿IP与白名单内的设备IP的比对结果不断更新得到的高危链库中保存的样本攻击链进行比较,然后在待处理攻击链属于高危链库中的样本攻击链时,采用高危链库内存储的对应于相应的所述样本攻击链的处理手段,处理所述待处理攻击链上的设备所受到的异常攻击,实现了网络攻击事件的自动处理,并有效提高了处理效率。
在一个优选的方案中,所述攻击链的处理系统中还包括获取模块和执行模块;其中,
所述获取模块用于逐条获取所述被监测网络中的设备的日志;
所述执行模块用于判断所述日志是否为所述监测日志,并在所述日志不是所述监测日志时,将所述日志所涉及的设备的设备IP加入所述白名单。
在一个优选的方案中,所述构建模块包括日志获取单元、日志判断单元和处理单元;
所述日志获取单元用于基于所述监测日志的源IP和宿IP,获取第一设定时长内所述被监测网络中所有与所述监测日志的源IP或宿IP相关的待判定日志;
所述日志判断单元用于逐条判断所述待判定日志中是否包含危险操作;
所述处理单元用于在所述待判定日志中包含危险操作时,将所述待判定日志中源IP或宿IP相同的日志拼接形成拼接高危链,并基于所述拼接高危链的源IP和宿IP重新获取所述第一设定时长内的所述待判定日志;以及在所述待判定日志中未包含危险操作时,将最终形成的所述拼接高危链作为所述待处理攻击链。
在一个优选的方案中,所述判断模块还用于判断所述待处理攻击链是否属于正常链库中保存的正常操作链;
且当所述待处理攻击率属于所述正常操作链,则判定所述待处理攻击链上的设备均未受到异常攻击。
在一个优选的方案中,所述判断模块还用于在判定所述待处理攻击链不属于所述样本攻击链后,判断所述待处理攻击链的源IP和宿IP是否均属于所述白名单;
若是,则判定所述待处理攻击链上的设备均未受到异常攻击,并通过所述处理模块将所述待处理攻击链加入正常链库;
若否,则通过所述处理模块将所述待处理攻击链加入所述高危链库,且在所述待处理攻击链的源IP或宿IP与所述样本攻击链的宿IP或源IP不同时,将所述待处理攻击链作为新的样本攻击链,并基于设定规则处理所述新的样本攻击链上的设备所受到的异常攻击。
在一个优选的方案中,所述判断模块还用于判断所述待处理攻击链是否包含所述样本攻击链;
所述处理模块还用于将所述待处理攻击链中包含的所述样本攻击链由所述高危链库中移出,以及将所述待处理攻击链上不在所述白名单内的设备IP加入所述白名单。
在一个优选的方案中,所述处理模块还用于在所述待处理攻击链的源IP或宿IP与所述样本攻击链的宿IP或源IP相同时,将所述待处理攻击链和相应的所述样本攻击链拼接形成新的待处理攻击链;
所述判断模块还用于判断待处理攻击链的源IP和宿IP是否均属于所述白名单。
在一个优选的方案中,所述处理模块具体用于记录所述新的样本攻击链上的设备受到所述异常攻击的次数,在所述异常攻击的次数达到设定阈值时,切断所述新的样本攻击链上属于所述白名单的设备与攻击源间的通信连接;所述攻击源为不属于所述白名单的设备;
根据所述新的样本攻击链不属于所述白名单的源IP和/或宿IP的设备的基本信息,分析得到针对所述新的样本攻击链的处理手段;所述基本信息包括:地域信息、数据发送频率,以及第二设定时长内的危险操作次数;以及
将得到的所述处理手段作为对应于所述新的样本攻击链的处理手段,保存在所述高危链库内。
在一个优选的方案中,所述处理模块进一步用于提高相应所述样本攻击链的危险等级;以及基于所述高危链库中各所述样本攻击链的危险等级,确定处理所述待处理攻击链上的设备所受到的异常攻击的顺序。
本发明实施例提供的攻击链的处理系统用于签署各实施例的一种攻击链的处理方法。该攻击链的处理系统包括的各模块实现相应功能的具体方法和流程详见上述一种攻击链的处理方法的实施例,此处不再赘述。
本发明的攻击链的处理系统用于前述各实施例的一种攻击链的处理方法。因此,在前述各实施例中的一种攻击链的处理方法中的描述和定义,可以用于本发明实施例中各执行模块的理解。
图5示例了一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(Communications Interface)520、存储器(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行一种攻击链的处理方法,该方法包括:基于监测日志,构建待处理攻击链;所述监测日志为被监测网络中的包含危险操作的日志;判断所述待处理攻击链是否属于高危链库中保存的样本攻击链;当判定所述待处理攻击链属于所述样本攻击链,采用所述高危链库内存储的对应于相应的所述样本攻击链的处理手段,处理所述待处理攻击链上的设备所受到的异常攻击;其中,所述高危链库根据攻击链的源IP和宿IP与白名单内的设备IP的比对结果不断更新得到;所述待处理攻击链基于所述被监测网络中的设备的日志构建;所述白名单为记录所述被监测网络内的设备的设备IP的名单库。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的一种攻击链的处理方法,该方法包括:基于监测日志,构建待处理攻击链;所述监测日志为被监测网络中的包含危险操作的日志;判断所述待处理攻击链是否属于高危链库中保存的样本攻击链;当判定所述待处理攻击链属于所述样本攻击链,采用所述高危链库内存储的对应于相应的所述样本攻击链的处理手段,处理所述待处理攻击链上的设备所受到的异常攻击;其中,所述高危链库根据攻击链的源IP和宿IP与白名单内的设备IP的比对结果不断更新得到;所述待处理攻击链基于所述被监测网络中的设备的日志构建;所述白名单为记录所述被监测网络内的设备的设备IP的名单库。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法所提供的一种攻击链的处理方法,该方法包括:基于监测日志,构建待处理攻击链;所述监测日志为被监测网络中的包含危险操作的日志;判断所述待处理攻击链是否属于高危链库中保存的样本攻击链;当判定所述待处理攻击链属于所述样本攻击链,采用所述高危链库内存储的对应于相应的所述样本攻击链的处理手段,处理所述待处理攻击链上的设备所受到的异常攻击;其中,所述高危链库根据攻击链的源IP和宿IP与白名单内的设备IP的比对结果不断更新得到;所述待处理攻击链基于所述被监测网络中的设备的日志构建;所述白名单为记录所述被监测网络内的设备的设备IP的名单库。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种攻击链的处理方法,其特征在于,包括:
基于监测日志,构建待处理攻击链;所述监测日志为被监测网络中的包含危险操作的日志;
判断所述待处理攻击链是否属于高危链库中保存的样本攻击链;
当判定所述待处理攻击链属于所述样本攻击链,采用所述高危链库内存储的对应于相应的所述样本攻击链的处理手段,处理所述待处理攻击链上的设备所受到的异常攻击;
其中,所述高危链库根据攻击链的源IP和宿IP与白名单内的设备IP的比对结果不断更新得到;所述待处理攻击链基于所述被监测网络中的设备的日志构建;所述白名单为记录所述被监测网络内的设备的设备IP的名单库;
所述基于监测日志,构建待处理攻击链,包括:
基于所述监测日志的源IP和宿IP,获取第一设定时长内所述被监测网络中所有与所述监测日志的源IP或宿IP相关的待判定日志;
逐条判断所述待判定日志中是否包含危险操作;
若是,则将所述待判定日志中源IP或宿IP相同的日志拼接形成拼接高危链,并基于所述拼接高危链的源IP和宿IP重新获取所述第一设定时长内的所述待判定日志;
若否,则将最终形成的所述拼接高危链作为所述待处理攻击链。
2.根据权利要求1所述的攻击链的处理方法,其特征在于,所述基于监测日志,构建待处理攻击链前,还包括:
逐条获取所述被监测网络中的设备的日志;
判断所述日志是否为所述监测日志,并在所述日志不是所述监测日志时,将所述日志所涉及的设备的设备IP加入所述白名单。
3.根据权利要求1所述的攻击链的处理方法,其特征在于,基于监测日志,构建待处理攻击链后,还包括:
判断所述待处理攻击链是否属于正常链库中保存的正常操作链;
当所述待处理攻击链 属于所述正常操作链,则判定所述待处理攻击链上的设备均未受到异常攻击。
4.根据权利要求3所述的攻击链的处理方法,其特征在于,所述判断所述待处理攻击链是否属于高危链库中保存的样本攻击链后,还包括:
当判定所述待处理攻击链不属于所述样本攻击链,则判断所述待处理攻击链的源IP和宿IP是否均属于所述白名单;
若是,则判定所述待处理攻击链上的设备均未受到异常攻击,并将所述待处理攻击链加入正常链库;
若否,则将所述待处理攻击链加入所述高危链库,且在所述待处理攻击链的源IP或宿IP与所述样本攻击链的宿IP或源IP不同时,将所述待处理攻击链作为新的样本攻击链,并基于设定规则处理所述新的样本攻击链上的设备所受到的异常攻击。
5.根据权利要求4所述的攻击链的处理方法,其特征在于,所述将所述待处理攻击链加入正常链库后,还包括:
判断所述待处理攻击链是否包含所述样本攻击链;
将所述待处理攻击链中包含的所述样本攻击链由所述高危链库中移出;
将所述待处理攻击链上不在所述白名单内的设备IP加入所述白名单。
6.根据权利要求4所述的攻击链的处理方法,其特征在于,所述将所述待处理攻击链加入所述高危链库后,还包括:
在所述待处理攻击链的源IP或宿IP与所述样本攻击链的宿IP或源IP相同时,将所述待处理攻击链和相应的所述样本攻击链拼接形成新的待处理攻击链,并返回判断待处理攻击链的源IP和宿IP是否均属于所述白名单的步骤。
7.根据权利要求6所述的攻击链的处理方法,其特征在于,所述基于设定规则处理所述新的样本攻击链上的设备所受到的异常攻击,包括:
记录所述新的样本攻击链上的设备受到所述异常攻击的次数,在所述异常攻击的次数达到设定阈值时,切断所述新的样本攻击链上属于所述白名单的设备与攻击源间的通信连接;所述攻击源为不属于所述白名单的设备;
根据所述新的样本攻击链不属于所述白名单的源IP和/或宿IP的设备的基本信息,分析得到针对所述新的样本攻击链的处理手段;所述基本信息包括:地域信息、数据发送频率,以及第二设定时长内的危险操作次数;
将得到的所述处理手段作为对应于所述新的样本攻击链的处理手段,保存在所述高危链库内。
8.根据权利要求1所述的攻击链的处理方法,其特征在于,所述判定所述待处理攻击链属于所述样本攻击链后,还包括:
提高相应所述样本攻击链的危险等级;
基于所述高危链库中各所述样本攻击链的危险等级,确定处理所述待处理攻击链上的设备所受到的异常攻击的顺序。
9.一种攻击链的处理系统,其特征在于,包括:
构建模块,用于基于监测日志构建待处理攻击链;所述监测日志为被监测网络中的包含危险操作的日志;
判断模块,用于判断所述待处理攻击链是否属于高危链库中保存的样本攻击链;
处理模块,用于当判定所述待处理攻击链属于所述样本攻击链,采用所述高危链库内存储的对应于相应的所述样本攻击链的处理手段,处理所述待处理攻击链上的设备所受到的异常攻击;
其中,所述高危链库根据攻击链的源IP和宿IP与白名单内的设备IP的比对结果不断更新得到;所述待处理攻击链基于所述被监测网络中的设备的日志构建;所述白名单为所述被监测网络内设备的设备IP;
所述构建模块包括日志获取单元、日志判断单元和处理单元;
所述日志获取单元用于基于所述监测日志的源IP和宿IP,获取第一设定时长内所述被监测网络中所有与所述监测日志的源IP或宿IP相关的待判定日志;
所述日志判断单元用于逐条判断所述待判定日志中是否包含危险操作;
所述处理单元用于在所述待判定日志中包含危险操作时,将所述待判定日志中源IP或宿IP相同的日志拼接形成拼接高危链,并基于所述拼接高危链的源IP和宿IP重新获取所述第一设定时长内的所述待判定日志;以及在所述待判定日志中未包含危险操作时,将最终形成的所述拼接高危链作为所述待处理攻击链。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210110773.XA CN114124587B (zh) | 2022-01-29 | 2022-01-29 | 一种攻击链的处理方法、系统及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210110773.XA CN114124587B (zh) | 2022-01-29 | 2022-01-29 | 一种攻击链的处理方法、系统及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114124587A CN114124587A (zh) | 2022-03-01 |
| CN114124587B true CN114124587B (zh) | 2022-06-28 |
Family
ID=80361757
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210110773.XA Active CN114124587B (zh) | 2022-01-29 | 2022-01-29 | 一种攻击链的处理方法、系统及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114124587B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116074067A (zh) * | 2022-12-29 | 2023-05-05 | 中国联合网络通信集团有限公司 | 设备的检查方法、装置、设备及存储介质 |
| CN116455642B (zh) * | 2023-04-21 | 2023-11-21 | 杭州虎符网络有限公司 | 一种基于日志分析的访问风险实时审计方法与系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109951419A (zh) * | 2017-12-20 | 2019-06-28 | 广东电网有限责任公司电力调度控制中心 | 一种基于攻击链攻击规则挖掘的apt入侵检测方法 |
| US11431734B2 (en) * | 2019-04-18 | 2022-08-30 | Kyndryl, Inc. | Adaptive rule generation for security event correlation |
| CN112685734A (zh) * | 2020-12-25 | 2021-04-20 | 深圳供电局有限公司 | 安全防护方法、装置、计算机设备和存储介质 |
| CN113162794B (zh) * | 2021-01-27 | 2024-01-16 | 国网福建省电力有限公司 | 下一步攻击事件预测方法及相关设备 |
-
2022
- 2022-01-29 CN CN202210110773.XA patent/CN114124587B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN114124587A (zh) | 2022-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109922075B (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| CN114124587B (zh) | 一种攻击链的处理方法、系统及电子设备 | |
| JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
| US8689336B2 (en) | Tiered exposure model for event correlation | |
| CN112787992B (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
| US20100268818A1 (en) | Systems and methods for forensic analysis of network behavior | |
| CN110602135B (zh) | 网络攻击处理方法、装置以及电子设备 | |
| CA2996966A1 (en) | Process launch, monitoring and execution control | |
| CN112953971A (zh) | 一种网络安全流量入侵检测方法和系统 | |
| CN112632560A (zh) | 一种web漏洞确认方法以及装置 | |
| CN110798428A (zh) | 一种账号暴力破解行为的检测方法、系统及相关装置 | |
| CN114143064A (zh) | 一种多源网络安全告警事件溯源与自动处置方法及装置 | |
| CN113672939A (zh) | 一种终端行为告警溯源分析的方法、装置、设备及介质 | |
| CN110808962B (zh) | 一种畸形数据包检测方法及装置 | |
| CN114050937B (zh) | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 | |
| CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
| CN117201188B (zh) | 基于大数据的it安全运行风险预测方法、系统和介质 | |
| CN114329452A (zh) | 一种异常行为检测方法、装置及相关设备 | |
| CN112003835B (zh) | 安全威胁的检测方法、装置、计算机设备和存储介质 | |
| US20230018096A1 (en) | Analysis apparatus, analysis method, and non-transitory computer readable medium storing analysis program | |
| CN113055362B (zh) | 异常行为的预防方法、装置、设备及存储介质 | |
| CN114584391A (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN113986843A (zh) | 数据风险预警处理方法、装置及电子设备 | |
| CN114338233A (zh) | 基于流量解析的网络攻击检测方法和系统 | |
| CN113079126A (zh) | 网络安全威胁事件智能分析方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |