CN114363002B - 一种网络攻击关系图的生成方法及装置 - Google Patents
一种网络攻击关系图的生成方法及装置 Download PDFInfo
- Publication number
- CN114363002B CN114363002B CN202111481979.5A CN202111481979A CN114363002B CN 114363002 B CN114363002 B CN 114363002B CN 202111481979 A CN202111481979 A CN 202111481979A CN 114363002 B CN114363002 B CN 114363002B
- Authority
- CN
- China
- Prior art keywords
- attack
- attacker
- host
- data table
- target host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种网络攻击关系图的生成方法及装置,其中方法包括:接收生成请求,该生成请求用于请求生成企业内网中的目标主机的网络攻击关系图;根据攻击链中间数据表和攻击关系数据表,确定与所述目标主机相关的一条或多条攻击链,所述攻击链中包括所述目标主机的一个或多个外部攻击者、所述外部攻击者在所述企业内网中的一个或多个直接攻击对象、所述目标主机以及所述目标主机的一个或多个直接攻击对象;根据所述一条或多条攻击链,生成所述目标主机的网络攻击关系图并展示。该方法无需进行复杂的递归运算,效率较高,而且容易发现外部威胁以及外部威胁在企业内网中的攻击渗透路径,从而有效提升企业内网的安全分析能力。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络攻击关系图的生成方法及装置。
背景技术
现有技术中的攻击关系图生成技术通常是对保存的攻击关系数据进行实时迭代查找。此种算法的主要的弊端是,当攻击关系复杂时,查询速度极慢,很消耗系统整体的中央处理器(central processing unit,CPU)和输入输出(input/output,IO)资源,并且往往找不出最外层的威胁,也看不出外部威胁在内网中整体的攻击渗透路径。此外,一般都是通过限制层数的方式对攻击关系图进行限制,这会导致界面上看到的攻击关系图往往是片面的不全的,有用的信息无法全部显示出来。
发明内容
本申请实施例提供一种网络攻击关系图的生成方法及装置,用以简单高效找出企业内网中风险主机的外部威胁,以及外部威胁在企业内网中的攻击渗透路径,从而保障企业内网的网络安全。
第一方面,本申请实施例提供一种网络攻击关系图的生成方法,该方法可由一种网络攻击关系图的生成装置来执行,例如,该装置可以是计算设备或计算设备中配置的芯片或电路。
该方法包括:接收生成请求,该生成请求用于请求生成企业内网中的目标主机的网络攻击关系图;根据攻击链中间数据表和攻击关系数据表,确定与所述目标主机相关的一条或多条攻击链,所述攻击链中包括所述目标主机的一个或多个外部攻击者、所述外部攻击者在所述企业内网中的一个或多个直接攻击对象、所述目标主机以及所述目标主机的一个或多个直接攻击对象;根据所述一条或多条攻击链,生成所述目标主机的网络攻击关系图并展示。
上述技术方案,当接收到为企业内网中的目标主机生成网络攻击关系图的请求时,可根据攻击链中间数据表和攻击关系数据表,得到与目标主机相关的一条或多条攻击链,进而将该一条或多条攻击链通过网络攻击关系图展示出来。该方法可以预先对提取到的攻击关系进行处理得到攻击链中间数据表和攻击关系数据表,以便当需要生成网络攻击关系图时供查询,因此避免了实时遍历海量的攻击关系数据引入的复杂的递归运算,因此效率较高,而且容易发现外部威胁以及外部威胁在企业内网中的攻击渗透路径,从而有效提升企业内网的安全分析能力。
在一种可能的设计中,所述攻击链中间数据表中记录有所述企业内网中受到过攻击的各个主机的信息和每个主机对应的内部攻击者列表,一个主机对应的内部攻击者列表中包括所述主机的一个或多个内部攻击者的信息,所述内部攻击者为所述企业内网中攻击过所述主机的其他主机;所述攻击关系数据表中记录有所述企业内网中发生的安全事件涉及的攻击关系,该攻击关系包括攻击者的信息、被攻击者的信息和关联的安全事件的相关信息。
在一种可能的设计中,所述根据攻击链中间数据表和攻击关系数据表,确定与所述目标主机相关的一条或多条攻击链,包括:根据所述目标主机的信息,查询所述攻击链中间数据表,确定所述目标主机对应的内部攻击者列表;针对所述目标主机的每个内部攻击者,根据所述内部攻击者的信息,查询所述攻击关系数据表,确定当所述内部攻击者作为被攻击者时,攻击所述内部攻击者的一个或多个外部攻击者;将攻击所述目标主机的内部攻击者的一个或多个外部攻击者,确定为所述目标主机的外部攻击者。
在一种可能的设计中,所述根据攻击链中间数据表和攻击关系数据表,确定与所述目标主机相关的一条或多条攻击链,包括:针对所述目标主机的每个外部攻击者,根据所述外部攻击者的信息,查询所述攻击关系数据表,确定所述外部攻击者在所述企业内网中的一个或多个直接攻击对象,所述直接攻击对象为所述企业内网中的主机。
在一种可能的设计中,所述根据攻击链中间数据表和攻击关系数据表,确定与所述目标主机相关的一条或多条攻击链,包括:根据所述目标主机的信息,查询所述攻击关系数据表,确定所述目标主机的一个或多个直接攻击对象,所述直接攻击对象为所述企业内网中的其他主机或所述企业内网之外的其他主机。
在一种可能的设计中,所述方法还包括:实时从安全事件数据源获取安全事件;针对获取到的每个安全事件,若所述安全事件涉及所述企业内网中的主机,则提取与所述安全事件相关的攻击关系,并存储到所述攻击关系数据表中。
在一种可能的设计中,所述方法还包括:针对提取到的每条攻击关系,若所述攻击关系中的被攻击者为所述企业内网中的主机,则在所述攻击链中间数据表中创建所述被攻击者的表项,并将所述被攻击者作为所述企业内网中受到过攻击的主机写入所述攻击链中间数据表中;若在所述被攻击者为所述企业内网中的主机的同时,所述攻击关系中的攻击者也为所述企业内网中的主机,则将所述攻击者作为所述被攻击者的内部攻击者,写入所述攻击链中间数据表中所述被攻击者对应的内部攻击者列表中。
在一种可能的设计中,所述方法还包括:若所述攻击链中间数据表中存在所述攻击者的表项,且所述攻击者对应的内部攻击者列表不为空,则将所述攻击者对应的内部攻击者列表中的各个内部攻击者,写入所述被攻击者对应的内部攻击者列表中。
在一种可能的设计中,所述方法还包括:若所述攻击链中间数据表中所述攻击者对应的内部攻击者列表进行了更新,则同步更新所述被攻击者对应的内部攻击者列表。
第二方面,本申请实施例提供一种网络攻击关系图的生成装置,包括:
收发模块,用于接收生成请求,该生成请求用于请求生成企业内网中的目标主机的网络攻击关系图;
处理模块,用于根据攻击链中间数据表和攻击关系数据表,确定与所述目标主机相关的一条或多条攻击链,所述攻击链中包括所述目标主机的一个或多个外部攻击者、所述外部攻击者在所述企业内网中的一个或多个直接攻击对象、所述目标主机以及所述目标主机的一个或多个直接攻击对象;以及,用于根据所述一条或多条攻击链,生成所述目标主机的网络攻击关系图并展示。
在一种可能的设计中,所述攻击链中间数据表中记录有所述企业内网中的受到过攻击的各个主机的信息和每个主机对应的内部攻击者列表,一个主机的内部攻击者列表中包括所述主机的一个或多个内部攻击者的信息,所述内部攻击者为所述企业内网中攻击过所述主机的其他主机;所述攻击关系数据表中记录有所述企业内网中发生的安全事件涉及的攻击关系,该攻击关系包括攻击者的信息、被攻击者的信息和关联的安全事件的相关信息。
在一种可能的设计中,所述处理模块具体用于:根据所述目标主机的信息,查询所述攻击链中间数据表,确定所述目标主机对应的内部攻击者列表;针对所述目标主机的每个内部攻击者,根据所述内部攻击者的信息,查询所述攻击关系数据表,确定当所述内部攻击者作为被攻击者时,攻击所述内部攻击者的一个或多个外部攻击者;将攻击所述目标主机的内部攻击者的一个或多个外部攻击者,确定为所述目标主机的外部攻击者。
在一种可能的设计中,所述处理模块具体还用于:针对所述目标主机的每个外部攻击者,根据所述外部攻击者的信息,查询所述攻击关系数据表,确定所述外部攻击者在所述企业内网中的一个或多个直接攻击对象,所述直接攻击对象为所述企业内网中的主机。
在一种可能的设计中,所述处理模块具体还用于:根据所述目标主机的信息,查询所述攻击关系数据表,确定所述目标主机的一个或多个直接攻击对象,所述直接攻击对象为所述企业内网中的主机或所述企业内网之外的其他主机。
在一种可能的设计中,所述处理模块还用于:实时从安全事件数据源获取安全事件;针对获取到的每个安全事件,若所述安全事件涉及所述企业内网中的主机,则提取与所述安全事件相关的攻击关系,并存储到所述攻击关系数据表中。
在一种可能的设计中,所述处理模块还用于:针对提取到的每条攻击关系,若所述攻击关系中的被攻击者为所述企业内网中的主机,则在所述攻击链中间数据表中创建所述被攻击者的表项,并将所述被攻击者作为所述企业内网中受到过攻击的主机写入所述攻击链中间数据表中;若在所述被攻击者为所述企业内网中的主机的同时,所述攻击关系中的攻击者也为所述企业内网中的主机,则将所述攻击者作为所述被攻击者的内部攻击者,写入所述攻击链中间数据表中所述被攻击者对应的内部攻击者列表中。
在一种可能的设计中,所述处理模块还用于:若所述攻击链中间数据表中存在所述攻击者的表项,且所述攻击者对应的内部攻击者列表不为空,则将所述攻击者对应的内部攻击者列表中的各个内部攻击者,写入所述被攻击者对应的内部攻击者列表中。
在一种可能的设计中,所述处理模块还用于:若所述攻击链中间数据表中所述攻击者对应的内部攻击者列表进行了更新,则同步更新所述被攻击者对应的内部攻击者列表。
第三方面,本申请实施例还提供一种计算设备,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行如第一方面或第一方面的任一种可能的设计中所述的方法。
第四方面,本申请实施例还提供一种计算机可读存储介质,其中存储有计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得上述第一方面或第一方面的任一种可能的设计中所述的方法被实现。
第五方面,本申请实施例还提供一种计算机程序产品,包括计算机可读指令,当计算机可读指令被处理器执行时,使得上述第一方面或第一方面的任一种可能的设计中所述的方法被实现。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种网络攻击关系图的生成方法的示意图;
图2为本申请实施例中生成的网络攻击关系图的示意图;
图3为本申请实施例中攻击关系数据表和攻击链中间数据表中数据的生成和更新过程的示意图;
图4为本申请实施例中提供的一个具体示例的流程示意图;
图5为本申请实施例提供的一种网络攻击关系图的生成装置的结构示意图;
图6为本申请实施例提供的一种计算设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
在本申请的实施例中,“多个”是指两个或两个以上。“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
为了解决现有技术中网络攻击关系图的生成效率低,并且可能找不出外部威胁的问题,本申请提供一种网络攻击关系图的生成方法。该方法可根据实时获取到的攻击关系数据,更新攻击关系数据表和攻击链中间数据表,当需要生成企业内网中的目标主机的网络攻击关系图时,可根据该攻击关系数据表和攻击链中间数据表中记录的数据,确定该目标主机的一个或多个外部攻击者、该外部攻击者在企业内网中的一个或多个直接攻击对象、以及该目标主机的一个或多个直接攻击对象,形成与该目标主机相关的一条或多条攻击链,进而根据与该目标主机相关的一条或多条攻击链,生成该目标主机的网络攻击关系图。该方法无需进行复杂的递归运算,效率较高,而且容易发现外部威胁以及外部威胁在企业内网中的攻击渗透路径,从而有效提升企业内网的安全分析能力。此外,该方法在企业内网中攻击关系越丰富、越复杂时,越容易找出外部威胁,且找出的外部威胁在企业内网中的攻击渗透路径也越准确,从而可以快速进行攻击溯源,有效防范企业内网的安全风险。
该方法可以由用于对企业内网进行网络安全管理的装置来执行,例如可以是计算设备或计算设备中配置的芯片或电路等,该计算设备中可安装有相应的应用软件,通过运行该应用软件,可使得计算设备实现上述方法。
示例性地,计算设备中安装有安全管理平台。安全管理平台是一款使用大数据分析技术从海量告警、流量日志中通过一系列数据分析技术提取出更有用的告警信息,并可即时绘制出用户网络的整体安全态势的应用软件。它具有一定的智慧能力,具备持续的自动防御、检测、响应和预测的自适应体系架构,同时它可以高效地基于情境上下文和外部威胁情报,协助安全专家发现企业内网中的安全问题,并通过实际的运维手段实现安全闭环管理。
安全管理平台中可包括风险资产分析模块。风险资产分析模块是安全管理平台中非常重要的一个视角,主要是基于资产维度从海量的日志、安全事件中提取出资产相关的数据,从资产视角帮助客户发现系统中存在风险的资产,并按照发生的与资产相关的安全事件的威胁程度对资产的风险进行评估,以提醒用户及时处置风险资产,解决安全隐患。企业内网中的每台主机、主机关联的IP地址或域名等都可以是企业内网中的资产(asset)。具体的,企业内网中哪些组成是资产可以由企业内网的管理面进行预先配置,并且每个资产都可具有对应的资产标识(asset_id),用于作为该资产在企业内网中的标识信息。该风险资产分析模块可用于实现本申请中的上述方法,例如可通过该风险资产分析模块中的风险资产引擎、攻击关系提取器、攻击关系链处理器、攻击关系图处理器等组成部分相互配合,共同实现本申请中的上述方法。
本申请的实施例中所提到的攻击可以是各种类型的攻击,例如DDoS攻击、sql注入攻击、webshell攻击、木马、蠕虫病毒、恶意后门、远程通信、远程登录、跨站脚本攻击、web漏洞攻击、文件上传攻击等等。
发生攻击行为的双方都可以是认为是一台主机,所述主机可以是各种形态的计算机设备,例如服务器、终端机等等,并且可以应用在各种技术场景中,本申请不作具体限定。
每台主机都具有对应的IP地址,以便与其它主机进行通信。IP地址可以是静态绑定的,也可以是动态分配的,本申请也不限定。在本申请后续的描述中,可以用IP地址来指代其对应的主机,例如在本申请的攻击链中间数据表、攻击关系数据表和网络攻击关系图中,可以用主机的IP地址来表示一台主机。
当攻击行为涉及到企业内网时,可以是攻击者或被攻击者是企业内网中的主机,也可以是攻击者和被攻击者都是企业内网中的主机。也就是说,本申请可包括企业内网之外的主机攻击了企业内网中的主机、企业内网中的主机间的内部攻击(也称横向攻击)、以及企业内网中的主机攻击了企业内网之外的主机等多种可能的攻击场景。
图1示例性地示出了本申请实施例提供的一种网络攻击关系图的生成方法,如图1所示,该方法包括以下步骤:
步骤101,接收生成请求,该生成请求用于请求生成企业内网中的目标主机的网络攻击关系图。
所述生成请求中可包括目标主机的IP地址、资产标识等相关信息。
举例来说,为向企业内网提供网络攻击关系图的生成功能,本申请中,可以向用户提供一个网络攻击关系图生成功能的入口。在一种可能的设计中,可在前端界面中设置一个目标主机的输入框,由用户在该输入框中输入目标主机的IP地址或资产标识,然后点击确认后触发针对该目标主机的网络攻击关系图的生成请求,给后端的处理引擎,以使处理引擎执行本申请中的生成流程。
在另一种可能的设计中,前端界面中可展示该企业内网的主机列表或该企业内网的主机分布架构图,由用户在该主机列表或主机分布架构图中选择目标主机,然后确认后触发针对该目标主机的网络攻击关系图的生成请求,给后端的处理引擎,以使处理引擎执行本申请中的生成流程。
步骤102,根据攻击链中间数据表和攻击关系数据表,确定与目标主机相关的一条或多条攻击链,该攻击链中包括目标主机的一个或多个外部攻击者、所述外部攻击者在企业内网中的一个或多个直接攻击对象、目标主机以及目标主机的一个或多个直接攻击对象。
其中,所述攻击链中间数据表中记录有企业内网中受到过攻击的各个主机的信息和每个主机对应的内部攻击者列表。一个主机对应的内部攻击者列表中包括该主机的一个或多个内部攻击者的信息,所述内部攻击者是指企业内网中攻击过该主机的其他主机。
如下表1所示,为本申请中的攻击链中间数据表。攻击链中间数据表中的一行对应企业内网中的一个主机,也称一个主机对应的一个表项,其中记录了该主机的信息和该主机对应的内部攻击者列表,该内部攻击者列表中包括该主机的一个或多个内部攻击者的信息,也即企业内网中作为该主机的内部攻击者的一个或多个其他主机的信息,所述信息可以是指标识信息。由于攻击链中间数据表仅涉及企业内网中的主机,因此,其中的主机的信息和内部攻击者的信息可以用IP地址来表示,也可以用资产标识来表示,本申请不作具体限定。
表1
所述攻击链中间数据是通过对企业内网中发生的安全事件相关的攻击关系进行汇总得到的,并且可以随着安全事件的不断发生进行更新,例如添加新的主机的表项,或更新已有主机的内部攻击者列表。
为了便于对外部威胁进行溯源,内部攻击者列表中记录的内部攻击者可包括直接攻击者和间接攻击者。也就是说,一个主机的内部攻击者可以是企业内网中直接或间接地攻击了该主机的其他主机,并且攻击过程可经过一跳或多跳,本申请不作具体限定。
所述攻击关系数据表中记录有企业内网中发生的安全事件相关的攻击关系,所述攻击关系包括攻击者的信息、被攻击者的信息和关联的安全事件的相关信息。其中,攻击者也可以称为攻击源,攻击者的信息可以是作为攻击者的那台主机的IP地址,也即源IP地址;被攻击者也可称为攻击目的,被攻击者的信息可以是作为被攻击者的那台主机的IP地址,也即目的IP地址。关联的安全事件的相关信息可以包括安全事件的事件标识、事件名称、事件类型、安全事件发生的手段或途径等信息中的一项或多项,本申请不作具体限定。
如下表2所示,为本申请中的攻击关系数据表。攻击关系数据表中的一行代表一条攻击关系,也称一条攻击关系对应的一个表项,用于记载这条攻击关系中的攻击者(即攻击源)、被攻击者(即攻击目的)和该条攻击关系关联的安全事件等信息。其中,攻击者、被攻击者可以用IP地址来表示,攻击者的IP地址可记为源IP地址,被攻击者的IP地址可记为目的IP地址。
| 攻击者 | 被攻击者 | 关联的安全事件 |
| 源IP地址1 | 目的IP地址1 | 安全事件1 |
| 源IP地址2 | 目的IP地址2 | 安全事件2 |
| … | … | … |
| 源IP地址M | 目的IP地址3 | 安全事件M |
表2
应注意,企业内网中的一个安全事件涉及一条或多条攻击关系,每条攻击关系均可包括上面所述的各类信息。而且,当安全事件涉及一对多或多对一的攻击关系时,本申请中可将这类一对多或多对一的攻击关系拆分为多条一对一的攻击关系进行处理,分别存储到攻击关系数据表中的一个表项中。
基于上面所介绍的攻击链中间数据表和攻击关系数据表中记录的数据,步骤102中所述的根据攻击链中间数据表和攻击关系数据表,确定与目标主机相关的一条或多条攻击链可包括如下几个方面:
一,确定目标主机的外部攻击者。具体的,可根据目标主机的信息(如目标主机的IP地址),查询攻击链中间数据表,确定该目标主机对应的内部攻击者列表。针对该内部攻击者列表中的每个内部攻击者,根据该内部攻击者的信息(如内部攻击者的IP地址),查询攻击关系数据表,确定当该内部攻击者作为被攻击者时,攻击该内部攻击者的一个或多个外部攻击者。在遍历完该目标主机的所有内部攻击者之后,将找出的攻击过该目标主机的内部攻击者的一个或多个外部攻击者,确定为目标主机的外部攻击者。
需要说明的是,本申请中的攻击链中间数据表是基于企业内网中的各个主机间发生的内部攻击(也即横向攻击)之间的关联关系建立并进行更新的,因此,目标主机对应的内部攻击者列表中实际上记录的是当前找到的企业内网中攻击过该目标主机的所有内部攻击者,可选的,也可以是根据一个或多个设定条件对攻击关系进行进一步筛选后得到的所有内部攻击者,所述设定条件例如可以用于限定在过去一段时间内发生的攻击行为,或者特定类型的攻击行为。也正是因为如此,通过遍历目标主机对应的内部攻击者列表中的所有内部攻击者,可找出当前该目标主机的所有外部攻击者,可选的,也可以是满足一个或多个设定条件的外部攻击者。
二、确定外部攻击者的直接攻击对象。具体的,针对目标主机的每个外部攻击者,根据该外部攻击者的信息(如外部攻击者的IP地址),查询攻击关系数据表,确定该外部攻击者在企业内网中的一个或多个直接攻击对象,该一个或多个直接攻击对象是企业内网中的主机。
三、确定目标主机的直接攻击对象。具体的,根据目标主机的信息(如目标主机的IP地址),查询攻击关系数据表,确定该目标主机的一个或多个直接攻击对象,该一个或多个直接攻击对象可包括企业内网中的其他主机,也可以包括企业内网之外的其他主机,本申请不作具体限定。
由此可知,利用攻击链中间数据表产生的间接攻击数据的源地址和目的地址是攻击关系数据表的子集这一特性,查找攻击关系,可以建立攻击关系之间的关联,从而绘制出网络攻击关系图。例如,针对主机A为入口点的一系列攻击行为,其攻击关系会进入到攻击关系数据表。而针对B->A,C->B这两条攻击关系,其攻击链中间数据会落入攻击链中间数据表,此时攻击链中间数据表的攻击者一定会在攻击关系数据表存在对应的攻击关系。
步骤103,根据所述一条或多条攻击链,生成所述目标主机的网络攻击关系图并展示。
图2示例性地示出了本申请实施例中生成的目标主机的网络攻击关系图,如图2所示,该网络攻击关系图有4层,从左往右看,分别是第一层、第二层、第三层和第四层。除第三层(目标主机)之外,每一层均可有一个或多个主机,每台主机用其关联的IP地址表示。
其中,第一层表示该目标主机最外层的攻击者,也称外部攻击者或外部威胁;第二层表示最外层的外部攻击者直接攻击的企业内网中的主机,也称外部攻击者的直接攻击对象,是指企业内网中第一个被攻击的主机,即处在企业内网边缘的受攻击资产;第三层表示当前的目标主机;第四层表示该目标主机直接攻击的主机,也称目标主机的直接攻击对象。
需要说明的是,目标主机进行的攻击可包括横向攻击和外联攻击,横向攻击是指企业内网中的主机之间发生的攻击行为,外联攻击是指企业内网中的主机与企业内网之外的主机之间发生的行为。也即,目标主机直接攻击的主机可以包括企业内网中的其他主机,也可以包括企业内网之外的其他主机。具体的,目标主机直接攻击的主机可通过查询攻击关系数据表获取,查找源IP地址(sip)为该目标主机的IP地址的攻击关系中的目的IP地址(dip)即可,这些目的IP地址即为目标主机攻击的那些主机的IP地址。
图3示例性地示出了本申请实施例中攻击关系数据表和攻击链中间数据表中数据的生成和更新过程。如图3所示,包括如下步骤:
步骤301,实时从安全事件数据源获取安全事件。每个安全事件均可包括上文中所示的事件标识、事件类型、发生途径等多种信息。
步骤302,针对获取到的每个安全事件,若该安全事件涉及企业内网中的主机,则提取与该安全事件相关的攻击关系,并将提取到的攻击关系存储到攻击关系数据表中。
所述安全事件涉及企业内网中的主机是指,安全事件的参与者中有企业内网中的主机,例如与安全事件相关的攻击关系中的攻击者、被攻击者中的其中之一是企业内网中的主机,或者二者都是企业内网中的主机。
对于一个安全事件,可能从中提取到相关的一条或多条攻击关系。每条攻击关系均可包括攻击、被攻击者、关联的安全事件等信息。
步骤303,针对提取到的每条攻击关系,若该攻击关系中的被攻击者为企业内网中的主机,则在攻击链中间数据表中创建该被攻击者的表项,并将该被攻击者作为企业内网中受到过攻击的主机写入攻击链中间数据表中。
步骤304,若在被攻击者为企业内网中的主机的同时,该攻击关系中的攻击者也为企业内网中的主机,则将该攻击者作为所述被攻击者的内部攻击者,写入攻击链中间数据表中所述被攻击者对应的内部攻击者列表中。
步骤305,若攻击链中间数据表中存在所述攻击者的表项,且所述攻击者对应的内部攻击者列表不为空,则将所述攻击者对应的内部攻击者列表中的各个内部攻击者,写入所述被攻击者对应的内部攻击者列表中。
步骤306,若攻击链中间数据表中所述攻击者对应的内部攻击者列表进行了更新,则同步更新所述被攻击者对应的内部攻击者列表。
上述方法,通过遍历攻击关系数据表中记录的每条攻击关系,以及向上溯源内部攻击者的内部攻击者列表并将其关联到被攻击者,以及当内部攻击者的内部攻击者列表更新时也将其更新至被攻击者,可找到企业内网中每个受到攻击过的主机当前的所有内部攻击者(包括直接攻击者和间接攻击者),建立攻击链中间数据表。如此,当需要生成某个主机的网络攻击关系图时,可以直接查询该攻击链中间数据表,有效缩短查询路径,避免引入多级的递归运算,提高网络攻击关系图的生成效率。
需要注意的是,对于企业内网中的一个受到攻击的主机来说,当其内部攻击者也是企业内网中的主机时,该内部攻击者的内部攻击者列表中记录的一个或多个内部攻击者可以认为是所述受到攻击的那个主机的间接攻击者。因此,对内部攻击者的内部攻击者列表进行向上溯源和向下更新,有助于提高攻击链中间数据表中数据的准确性和完整性。
下面结合一个具体示例对上述攻击关系数据表和攻击链中间数据表中数据的生成和更新过程进行进一步地解释说明。
为便于理解,在该示例中,以风险资产分析模块中包括的风险资产引擎(raas)、攻击关系提取器、攻击关系链处理器、攻击关系图处理器等各组成部分执行该方法,目标主机为企业内网中的目标资产为例进行说明。
第一步:提取攻击关系。
风险资产引擎可通过安全事件数据源获取安全事件,随后通过遍历获取到的安全事件执行风险资产分析,根据资产标识判断IP地址或者url是否是资产,同时提取出与此条安全事件相关的攻击关系。其中,风险资产引擎是一种流式处理引擎,其可以利用数据管道技术实时处理事件数据。
假定存在如下表3中示出的安全事件参与者,并且在这些安全事件参与者上发生了如下表4所示的安全事件:
表3
| 安全事件 |
| Y1->X1 |
| Y1->X2 |
| Y2->X3 |
| Y2->X1 |
| Y3->X2 |
| X1->X2 |
| X1->X3 |
| X3->X4 |
| Y4->X5 |
表4
此时,攻击关系提取器会将提取后的攻击关系写入数据库中的攻击关系数据表中。比如,针对上述安全事件来讲,攻击关系数据表可以如下表5所示:
表5
第二步:生成攻击链中间数据。
在完成第一步的攻击关系提取后,进入攻击关系链处理器。此攻击关系链处理器可提取出生成网络攻击关系图的中间数据,并分析到的攻击链中间数据存储到数据库中的攻击链中间数据表中。该表中有两个关键字段,一个字段为RISK_ASSET_id,表示风险资产在企业内网中的唯一标识;另一个字段为ATTACKED_INNER,表示此风险资产对应的内部攻击者列表。
攻击链中间数据生成过程可以如图4所示:步骤401,获取运维事件。步骤402,拆分运维事件,从source、destination字段提取资产,进行失陷判定。步骤403,判断攻击关系是否是横向攻击。如果不是横向攻击,则回到步骤41,如果是横向攻击,则进入步骤404。步骤404,从本地缓存中获取源IP地址的攻击关系树。步骤405,将源IP地址的攻击关系关联至目的IP地址上。步骤406,将获取到的攻击关系写入本地存储中。
以下结合第一步中提及的安全事件对攻击链中间数据表的生成过程进行说明。
1、假定先发生了Y1->X1,Y1-X2,Y2->X3,Y2->X1的安全事件,那么此时攻击链中间数据表中的数据如下表6所示。此时由于尚未找到X1,X2,X3的内部攻击者,其内部攻击者列表均为空。
| 资产ID | 内部攻击者列表 |
| X1 | |
| X2 | |
| X3 |
表6
2)接着发生了Y3->X2的安全事件,此时由于是非横向攻击,尚未找到X2的内部攻击者,因此攻击链中间数据表中的数据不变。
接下来发生了X1->X2,X1->X3的安全事件。针对X1->X2这条攻击关系来讲,由于是横向攻击,那么对于X2来讲,此时找到了它的内部攻击者X1。同样,对于X1->X3这条攻击关系,也找到了X3的内部攻击者X1,此时攻击链中间数据表中的数据如下表7所示。
| 资产ID | 内部攻击者列表 |
| X1 | |
| X2 | X1 |
| X3 | X1 |
表7
接下来发生了X3->X4的安全事件。此时,对于X4来讲,在发生此事件时,X3的攻击者X1已被找到,此时X4的内部攻击者应该包括X1,X3,X3是X4的直接内部攻击者,X1是X4的间接内部攻击者。此时的攻击链中间数据表中的数据如下表8所示。
| 资产ID | 内部攻击者列表 |
| X1 | |
| X2 | X1 |
| X3 | X1 |
| X4 | X1,X3 |
表8
假定接下来又发生了Y4->X5、X5->X3的安全事件。针对X5->X3这条攻击关系来讲,首先会先将X5添加进X3的内部攻击者列表,随后再获取X3的所有被攻击者,此时会得到X4,那么此时也会将X5添加进X4的内部攻击者列表,此时X5为X4的间接内部攻击者。攻击链中间数据表中的数据如下表9所示。
表9
后续会随着安全事件的不断到来,通过解析攻击者、被攻击者之前的攻击上下文的方式及时更新攻击链中间数据表,将中间的攻击链数据构建出来。针对被攻击者,如果找到其新的内部攻击者时,也会同时更新之前被其攻击过的资产的内部攻击者。
第三步:生成网络攻击关系图。
1、第一层的数据(即外部攻击者)可以通过查询攻击关系数据表以及攻击链中间数据表获取。
首先,从攻击链中间数据表中获取目标资产的内部攻击者列表。例如,对于X4来说,其内部攻击者列表中包括X1,X3,X5。在获取到X4的各个内部攻击者后,通过查询攻击关系数据表,确定各个内部攻击者在作为被攻击者(dip)时的攻击者(sip),即可从中获取这些内部攻击者的外部攻击者的ip,得到目标资产的第一层攻击者数据。
如果通过计算出的攻击关系节点不能得到任何外部攻击者的ip时,此时说明目前还没找到最外层的ip,此时可以只计算第三层的数据,第三层数据的计算策略为:将计算出的攻击关系分别作为攻击者和被攻击者在攻击关系数据表中查找对应的攻击源,并求差集,即可求出第三层的攻击者ip。
2、第二层的数据表示最边缘的受攻击内部资产,即最先受到外部攻击的资产,计算方法如下所示:
例如,针对X4来讲,假定前述的安全事件存在,那么会在攻击链中间数据表中包括以下数据:
表10
在获取到X4的内部攻击者X1,X3,X5的外部攻击者后(通过第一层数据可获取到),针对X4来讲,其外部攻击者包括Y2,Y2,Y4,随后将查出的Y1,Y2,Y4作为攻击者(sip),查询出他们的直接攻击者即可得到第二层数据。
3、第三层即目标资产本身。
4、第四层的数据直接查找攻击关系数据表中,目标资产作为攻击者(sip)的那些攻击关系中被攻击者(dip)即可得到。
5、以上所求出的结果,均需要添加以下结果集:先求出当前目标资产的直接攻击者(集合A),再将attack_inner字段作为sip在攻击关系数据表中查询,得到受害者集(集合B),添加(A-B)。此处主要目的是为了避免成环操作,比如针对A->B->A这种攻击时,按照上面的计算方法,主机B的攻击者会是空,此时需要将攻击者A通过此种方式添加进去,避免成环时A的丢失。
6、当攻击关系数量过多时,可通过如下的筛选策略确定展示在攻击关系图中的攻击关系:
第四层包括该目标资产进行的横向攻击和外联攻击,将这两种攻击类型分别进行独立筛选,各自按发生时间取最近的若干个攻击关系,将涉及到的点和线添加入结果集。
第一层和第二层中,优先选择含有外部主机的攻击关系,即直接攻击目标资产的外部主机和通过内部资产攻击该目标资产的内部资产。以上两种攻击关系分别按照发生时间进行排序,取前若干个。当攻击关系涉及到的点的数量不足时,再选取不含有外部主机的内部攻击关系。
选取出攻击关系后,将攻击关系中所有涉及到的点加入结果集,再将所涉及到的所有线添加入最终结果集。
根据上述内容可知,本申请中,在生成针对企业内网中某一主机的网络攻击关系图的过程中,可通过分析所有与该主机有关的直接、间接的攻击行为,及时分析找出与该主机相关的外部威胁以及攻击路线。此种攻击关系图生成方法的优势是可以最终找出最外部的威胁,以及此外部威胁是渗透进企业内网的大致路线是怎样的,并且可以找出该主机对其他主机的攻击。
相比于业界已存在的攻击关系图生成技术,本申请通过后台引擎实时分析发生的安全事件,提取出其中的攻击关系,并建立与企业内网中的主机相关的攻击链,可将提取到的攻击数据及时追加到此主机的攻击链上面去。比如存在攻击关系E-A,A->B,D->C,其中E是外部主机,其余是企业内网中的内部。假设B通过一系列其他中间者攻击了D,那么对于C来说,通过本申请的方法可以找到E->A->C这条攻击链,此时界面展示时只需要将计算后E->A->C的结果展示到界面即可。
与现有技术中在海量的攻击关系结果中通过实时搜索攻击关系数据的方式来生成攻击关系图的方案相比,本申请中的方法有如下优点:1.不是在界面请求时才计算攻击关系图,而是通过流式处理的方式实时分析攻击关系数据,及时的找出与此攻击关系关联的攻击者,在界面请求时可以直接将计算好的数据返回至前台进行及时展示,此种方式的好处是速度快且可以真正找到最外层的攻击,可以看到外部攻击者的渗透路线;2.此种方式在攻击关系越是丰富时找出的攻击渗透路线越准。
基于相同的技术构思,本申请还提供一种网络攻击关系图的生成装置,该装置用于实现上述方法实施例中的方法。
图5示例性地示出了本申请实施例提供的一种网络攻击关系图的生成装置的结构,如图5所示,该装置500包括收发模块510和处理模块520。其中:
收发模块510,用于接收生成请求,该生成请求用于请求生成企业内网中的目标主机的网络攻击关系图;
处理模块520,用于根据攻击链中间数据表和攻击关系数据表,确定与所述目标主机相关的一条或多条攻击链,所述攻击链中包括所述目标主机的一个或多个外部攻击者、所述外部攻击者在所述企业内网中的一个或多个直接攻击对象、所述目标主机以及所述目标主机的一个或多个直接攻击对象;以及,用于根据所述一条或多条攻击链,生成所述目标主机的网络攻击关系图并展示。
在一种可能的设计中,所述攻击链中间数据表中记录有所述企业内网中的受到过攻击的各个主机的信息和每个主机对应的内部攻击者列表,一个主机的内部攻击者列表中包括所述主机的一个或多个内部攻击者的信息,所述内部攻击者为所述企业内网中攻击过所述主机的其他主机;所述攻击关系数据表中记录有所述企业内网中发生的安全事件涉及的攻击关系,该攻击关系包括攻击者的信息、被攻击者的信息和关联的安全事件的相关信息。
在一种可能的设计中,所述处理模块520具体用于:根据所述目标主机的信息,查询所述攻击链中间数据表,确定所述目标主机对应的内部攻击者列表;针对所述目标主机的每个内部攻击者,根据所述内部攻击者的信息,查询所述攻击关系数据表,确定当所述内部攻击者作为被攻击者时,攻击所述内部攻击者的一个或多个外部攻击者;将攻击所述目标主机的内部攻击者的一个或多个外部攻击者,确定为所述目标主机的外部攻击者。
在一种可能的设计中,所述处理模块520具体还用于:针对所述目标主机的每个外部攻击者,根据所述外部攻击者的信息,查询所述攻击关系数据表,确定所述外部攻击者在所述企业内网中的一个或多个直接攻击对象,所述直接攻击对象为所述企业内网中的主机。
在一种可能的设计中,所述处理模块520具体还用于:根据所述目标主机的信息,查询所述攻击关系数据表,确定所述目标主机的一个或多个直接攻击对象,所述直接攻击对象为所述企业内网中的主机或所述企业内网之外的其他主机。
在一种可能的设计中,所述处理模块520还用于:实时从安全事件数据源获取安全事件;针对获取到的每个安全事件,若所述安全事件涉及所述企业内网中的主机,则提取与所述安全事件相关的攻击关系,并存储到所述攻击关系数据表中。
在一种可能的设计中,所述处理模块520还用于:针对提取到的每条攻击关系,若所述攻击关系中的被攻击者为所述企业内网中的主机,则在所述攻击链中间数据表中创建所述被攻击者的表项,并将所述被攻击者作为所述企业内网中受到过攻击的主机写入所述攻击链中间数据表中;若在所述被攻击者为所述企业内网中的主机的同时,所述攻击关系中的攻击者也为所述企业内网中的主机,则将所述攻击者作为所述被攻击者的内部攻击者,写入所述攻击链中间数据表中所述被攻击者对应的内部攻击者列表中。
在一种可能的设计中,所述处理模块520还用于:若所述攻击链中间数据表中存在所述攻击者的表项,且所述攻击者对应的内部攻击者列表不为空,则将所述攻击者对应的内部攻击者列表中的各个内部攻击者,写入所述被攻击者对应的内部攻击者列表中。
在一种可能的设计中,所述处理模块520还用于:若所述攻击链中间数据表中所述攻击者对应的内部攻击者列表进行了更新,则同步更新所述被攻击者对应的内部攻击者列表。
基于相同的技术构思,本申请实施例还提供一种计算设备,如图6所示,该计算设备包括至少一个处理器601,以及与至少一个处理器连接的存储器602,本申请例中不限定处理器601与存储器602之间的具体连接介质,图6中以处理器601和存储器602之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。
在本申请中,存储器602存储有可被至少一个处理器601执行的指令,至少一个处理器601通过执行存储器602存储的指令,可实现上述方法中的步骤。
其中,处理器601是计算设备的控制中心,可以利用各种接口和线路连接计算设备的各个部分,通过运行或执行存储在存储器602内的指令以及调用存储在存储器602内的数据,从而进行资源设置。可选的,处理器601可包括一个或多个处理单元,处理器601可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器601中。在一些实施例中,处理器601和存储器602可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器601可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器602作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器602可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器302是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器302还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
基于相同的技术构思,本申请实施例还提供一种计算机可读存储介质,其中存储有计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得上述任一种设计中的方法被实现。
基于相同的技术构思,本申请实施例还提供一种计算机程序产品,包括计算机可读指令,当计算机可读指令被处理器执行时,使得上述任一种设计中的方法被实现。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (11)
1.一种网络攻击关系图的生成方法,其特征在于,所述方法包括:
接收生成请求,所述生成请求用于请求生成企业内网中的目标主机的网络攻击关系图;
根据攻击链中间数据表和攻击关系数据表,确定与所述目标主机相关的一条或多条攻击链,所述攻击链中包括所述目标主机的一个或多个外部攻击者、所述外部攻击者在所述企业内网中的一个或多个直接攻击对象、所述目标主机以及所述目标主机的一个或多个直接攻击对象;所述攻击链中间数据表中记录有所述企业内网中受到过攻击的各个主机的信息和每个主机对应的内部攻击者列表,一个主机的对应的内部攻击者列表中包括所述主机的一个或多个内部攻击者的信息,所述内部攻击者为所述企业内网中攻击过所述主机的其他主机;
所述攻击关系数据表中记录有所述企业内网中发生的安全事件涉及的攻击关系,所述攻击关系包括攻击者的信息、被攻击者的信息和关联的安全事件的相关信息;
根据所述一条或多条攻击链,生成所述目标主机的网络攻击关系图并展示。
2.根据权利要求1所述的方法,其特征在于,所述根据攻击链中间数据表和攻击关系数据表,确定与所述目标主机相关的一条或多条攻击链,包括:
根据所述目标主机的信息,查询所述攻击链中间数据表,确定所述目标主机对应的内部攻击者列表;
针对所述目标主机的每个内部攻击者,根据所述内部攻击者的信息,查询所述攻击关系数据表,确定当所述内部攻击者作为被攻击者时,攻击所述内部攻击者的一个或多个外部攻击者;
将攻击所述目标主机的内部攻击者的一个或多个外部攻击者,确定为所述目标主机的外部攻击者。
3.根据权利要求2所述的方法,其特征在于,所述根据攻击链中间数据表和攻击关系数据表,确定与所述目标主机相关的一条或多条攻击链,包括:
针对所述目标主机的每个外部攻击者,根据所述外部攻击者的信息,查询所述攻击关系数据表,确定所述外部攻击者在所述企业内网中的一个或多个直接攻击对象,所述直接攻击对象为所述企业内网中的主机。
4.根据权利要求1所述的方法,其特征在于,所述根据攻击链中间数据表和攻击关系数据表,确定与所述目标主机相关的一条或多条攻击链,包括:
根据所述目标主机的信息,查询所述攻击关系数据表,确定所述目标主机的一个或多个直接攻击对象,所述直接攻击对象为所述企业内网中的其他主机或所述企业内网之外的其他主机。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
实时从安全事件数据源获取安全事件;
针对获取到的每个安全事件,若所述安全事件涉及所述企业内网中的主机,则提取与所述安全事件相关的攻击关系,并存储到所述攻击关系数据表中。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
针对提取到的每条攻击关系,若所述攻击关系中的被攻击者为所述企业内网中的主机,则在所述攻击链中间数据表中创建所述被攻击者的表项,并将所述被攻击者作为所述企业内网中受到过攻击的主机写入所述攻击链中间数据表中;
若在所述被攻击者为所述企业内网中的主机的同时,所述攻击关系中的攻击者也为所述企业内网中的主机,则将所述攻击者作为所述被攻击者的内部攻击者,写入所述攻击链中间数据表中所述被攻击者对应的内部攻击者列表中。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
若所述攻击链中间数据表中存在所述攻击者的表项,且所述攻击者对应的内部攻击者列表不为空,则将所述攻击者对应的内部攻击者列表中的各个内部攻击者,写入所述被攻击者对应的内部攻击者列表中。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
若所述攻击链中间数据表中所述攻击者对应的内部攻击者列表进行了更新,则同步更新所述被攻击者对应的内部攻击者列表。
9.一种网络攻击关系图的生成装置,其特征在于,包括:
收发模块,用于接收生成请求,所述生成请求用于请求生成企业内网中的目标主机的网络攻击关系图;
处理模块,用于根据攻击链中间数据表和攻击关系数据表,确定与所述目标主机相关的一条或多条攻击链,所述攻击链中包括所述目标主机的一个或多个外部攻击者、所述外部攻击者在所述企业内网中的一个或多个直接攻击对象、所述目标主机以及所述目标主机的一个或多个直接攻击对象;所述攻击链中间数据表中记录有所述企业内网中受到过攻击的各个主机的信息和每个主机对应的内部攻击者列表,一个主机的对应的内部攻击者列表中包括所述主机的一个或多个内部攻击者的信息,所述内部攻击者为所述企业内网中攻击过所述主机的其他主机;所述攻击关系数据表中记录有所述企业内网中发生的安全事件涉及的攻击关系,所述攻击关系包括攻击者的信息、被攻击者的信息和关联的安全事件的相关信息;
所述处理模块,还用于根据所述一条或多条攻击链,生成所述目标主机的网络攻击关系图并展示。
10.一种计算设备,其特征在于,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行如权利要求1至8中任一项所述的方法。
11.一种计算机可读存储介质,其特征在于,包括计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得计算机执行如权利要求1至8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111481979.5A CN114363002B (zh) | 2021-12-07 | 2021-12-07 | 一种网络攻击关系图的生成方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111481979.5A CN114363002B (zh) | 2021-12-07 | 2021-12-07 | 一种网络攻击关系图的生成方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114363002A CN114363002A (zh) | 2022-04-15 |
| CN114363002B true CN114363002B (zh) | 2023-06-09 |
Family
ID=81097058
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111481979.5A Active CN114363002B (zh) | 2021-12-07 | 2021-12-07 | 一种网络攻击关系图的生成方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114363002B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114944964B (zh) * | 2022-07-21 | 2022-10-21 | 北京未来智安科技有限公司 | 一种网络安全事件处理方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009135396A1 (zh) * | 2008-05-09 | 2009-11-12 | 成都市华为赛门铁克科技有限公司 | 网络攻击处理方法、处理装置及网络分析监控中心 |
| CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
| CN110336785A (zh) * | 2019-05-22 | 2019-10-15 | 北京瀚海思创科技有限公司 | 网络攻击链图的可视化方法及存储介质 |
| CN111726358A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击路径分析方法、装置、计算机设备及存储介质 |
| CN111756759A (zh) * | 2020-06-28 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 一种网络攻击溯源方法、装置及设备 |
| CN112511559A (zh) * | 2020-12-17 | 2021-03-16 | 中国农业银行股份有限公司 | 内网横向移动攻击的检测方法及系统 |
| CN112637178A (zh) * | 2020-12-18 | 2021-04-09 | 成都知道创宇信息技术有限公司 | 攻击相似度计算方法、装置、电子设备和可读存储介质 |
| CN112822147A (zh) * | 2019-11-18 | 2021-05-18 | 上海云盾信息技术有限公司 | 一种用于分析攻击链的方法、系统及设备 |
| CN113691550A (zh) * | 2021-08-27 | 2021-11-23 | 西北工业大学 | 一种网络攻击知识图谱的行为预测系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11194910B2 (en) * | 2018-11-02 | 2021-12-07 | Microsoft Technology Licensing, Llc | Intelligent system for detecting multistage attacks |
| US11159555B2 (en) * | 2018-12-03 | 2021-10-26 | Accenture Global Solutions Limited | Generating attack graphs in agile security platforms |
| US11431750B2 (en) * | 2020-05-15 | 2022-08-30 | Arbor Networks, Inc. | Detecting and mitigating application layer DDoS attacks |
-
2021
- 2021-12-07 CN CN202111481979.5A patent/CN114363002B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009135396A1 (zh) * | 2008-05-09 | 2009-11-12 | 成都市华为赛门铁克科技有限公司 | 网络攻击处理方法、处理装置及网络分析监控中心 |
| CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
| CN110336785A (zh) * | 2019-05-22 | 2019-10-15 | 北京瀚海思创科技有限公司 | 网络攻击链图的可视化方法及存储介质 |
| CN112822147A (zh) * | 2019-11-18 | 2021-05-18 | 上海云盾信息技术有限公司 | 一种用于分析攻击链的方法、系统及设备 |
| CN111726358A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击路径分析方法、装置、计算机设备及存储介质 |
| CN111756759A (zh) * | 2020-06-28 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 一种网络攻击溯源方法、装置及设备 |
| CN112511559A (zh) * | 2020-12-17 | 2021-03-16 | 中国农业银行股份有限公司 | 内网横向移动攻击的检测方法及系统 |
| CN112637178A (zh) * | 2020-12-18 | 2021-04-09 | 成都知道创宇信息技术有限公司 | 攻击相似度计算方法、装置、电子设备和可读存储介质 |
| CN113691550A (zh) * | 2021-08-27 | 2021-11-23 | 西北工业大学 | 一种网络攻击知识图谱的行为预测系统 |
Non-Patent Citations (3)
| Title |
|---|
| Research on Intrusion Detection Based on Campus Network;Baoyi Wang et al.;《2009 Third International Symposium on Intelligent Information Technology Application》;全文 * |
| 企业内网计算机终端软件补丁管理系统的研究与设计;李皓;《中国优秀硕士学位论文全文数据库 信息科技辑》;全文 * |
| 分析企业内网攻击路径;余筱蕙;;网络安全和信息化(08);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114363002A (zh) | 2022-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| US20200389495A1 (en) | Secure policy-controlled processing and auditing on regulated data sets | |
| CN109816397B (zh) | 一种欺诈判别方法、装置及存储介质 | |
| US10282542B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN111104579A (zh) | 一种公网资产的识别方法、装置及存储介质 | |
| CN113486334A (zh) | 网络攻击预测方法、装置、电子设备及存储介质 | |
| CN110677384B (zh) | 钓鱼网站的检测方法及装置、存储介质、电子装置 | |
| CN109831459B (zh) | 安全访问的方法、装置、存储介质和终端设备 | |
| CN107239701B (zh) | 识别恶意网站的方法及装置 | |
| US20210136120A1 (en) | Universal computing asset registry | |
| CN113810395B (zh) | 一种威胁情报的检测方法、装置及电子设备 | |
| CN112019519B (zh) | 网络安全情报威胁度的检测方法、装置和电子装置 | |
| CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
| CN113454621A (zh) | 用于从多域收集数据的方法、装置和计算机程序 | |
| CN114363002B (zh) | 一种网络攻击关系图的生成方法及装置 | |
| CN113886829B (zh) | 一种失陷主机检测方法、装置、电子设备及存储介质 | |
| KR102257139B1 (ko) | 다크웹 정보 수집 방법 및 장치 | |
| CN111885088A (zh) | 基于区块链的日志监测方法及装置 | |
| CN114500122B (zh) | 一种基于多源数据融合的特定网络行为分析方法和系统 | |
| CN113992371B (zh) | 一种流量日志的威胁标签生成方法、装置及电子设备 | |
| CN106446687B (zh) | 恶意样本的检测方法及装置 | |
| CN113378172B (zh) | 用于识别敏感网页的方法、装置、计算机系统和介质 | |
| CN103078771A (zh) | 基于p2p的僵尸网络分布式协作检测系统和方法 | |
| CN110457600B (zh) | 查找目标群体的方法、装置、存储介质和计算机设备 | |
| CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |