CN114915544A - 网络多跳攻击链的识别方法、装置、设备及存储介质 - Google Patents

网络多跳攻击链的识别方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN114915544A
CN114915544A CN202210543118.3A CN202210543118A CN114915544A CN 114915544 A CN114915544 A CN 114915544A CN 202210543118 A CN202210543118 A CN 202210543118A CN 114915544 A CN114915544 A CN 114915544A
Authority
CN
China
Prior art keywords
alarm
chain
target
hop
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210543118.3A
Other languages
English (en)
Other versions
CN114915544B (zh
Inventor
于珍
杨银国
陆秋瑜
伍双喜
朱誉
向丽玲
秦颖婕
杨璧瑜
华威
骆晓明
刘慧翔
刘杨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Power Grid Co Ltd
Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Original Assignee
Guangdong Power Grid Co Ltd
Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Power Grid Co Ltd, Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd filed Critical Guangdong Power Grid Co Ltd
Priority to CN202210543118.3A priority Critical patent/CN114915544B/zh
Publication of CN114915544A publication Critical patent/CN114915544A/zh
Application granted granted Critical
Publication of CN114915544B publication Critical patent/CN114915544B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种网络多跳攻击链的识别方法、装置、设备及存储介质,通过以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链,基于预设告警链时间窗口,按照时间先后顺序,遍历目标网络告警日志,以对候选告警链与多条告警信息进行匹配,从而根据网络多跳攻击链的空间特征和时间特征进行快速挖掘,进而快速有效识别网络多跳攻击链,提高识别效率和识别准确度;同时基于预设历史多跳攻击链库,对网络多跳攻击链进行危险识别,得到网络多跳攻击链的危险程度,以进一步对网络多跳攻击链的危险程度进行分析,从而能够使用户针对危险程度作出更为具体的防护手段,增强了网络安全防护能力。

Description

网络多跳攻击链的识别方法、装置、设备及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络多跳攻击链的识别方法、装置、设备及存储介质。
背景技术
工业互联网以网络为基础、平台为中枢、数据为要素以及安全为保障,实现了新一代信息通信技术与工业经济的深度融合。但是,随着工业互联网的广泛应用和联网设备的爆发式增长,网络攻击面大大增加。在众多网络攻击中,渗透攻击是一种系统渐进型的综合攻击方式,其攻击目标明确,攻击范围广,并且识别难度大。
渗透攻击在空间上表现为多跳的链式攻击,其网络多跳攻击链存在空间连接性。目前,网络多跳攻击链的识别主要基于网络多跳攻击链的空间连接性,通过安全分析人员手动逐条查看告警IP之间是否存在关联,以分析是否属于网络多跳攻击链。但是,该识别方式不仅过程繁琐,而且可能遗漏高风险告警链,造成严重的安全隐患。因此,亟需一种快速高效的网络多跳攻击链识别方法,以增强网络的安全防护能力。
发明内容
本发明提供了一种网络多跳攻击链的识别方法、装置、设备及存储介质,以解决当前识别方式存在安全防护能力低的技术问题。
为了解决上述技术问题,第一方面,本发明提供了一种网络多跳攻击链的识别方法,包括:
获取目标网络告警日志,所述目标网络告警日志包括多条告警信息;
以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链,基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述候选告警链与多条所述告警信息进行匹配;
若所述候选告警链与多条所述告警信息中的第二目标告警信息匹配成功,则根据所述第二目标告警信息更新所述候选告警链,并基于更新后的所述候选告警链,继续遍历所述目标网络告警日志,直至所述目标网络告警日志遍历完成,得到网络多跳攻击链;
基于预设历史多跳攻击链库,对所述网络多跳攻击链进行危险识别,得到所述网络多跳攻击链的危险程度。
作为优选,所述获取目标网络告警日志,包括:
获取多种网络安全设备产生的网络告警日志;
基于预设解析规则,将所述网络告警日志解析为目标告警格式,并对所述网络告警日志进行去重,得到所述目标网络告警日志。
作为优选,所述以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链,基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述候选告警链与多条所述告警信息进行匹配,包括:
以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链;
对时间在所述第一目标告警信息之后的多个告警信息,按照时间先后顺序,依次与所述候选告警链进行空间特征匹配;
若多条所述告警信息中的第二目标告警信息与所述候选告警链空间特征匹配成功,则判定所述候选告警链与所述第二目标告警信息匹配成功;
若所述第二目标告警信息与所述候选告警链空间特征匹配失败,则确定所述第二目标告警信息的时间戳是否在所述候选告警链的预设告警链时间窗口内;
若所述第二目标告警信息的时间戳在所述候选告警链的预设告警链时间窗口内,则判定所述候选告警链与所述第二目标告警信息匹配成功。
作为优选,所述对时间在所述第一目标告警信息之后的多个告警信息,按照时间先后顺序,依次与所述候选告警链进行空间特征匹配,包括:
对于时间在所述第一目标告警信息之后的每个告警信息,按照时间先后顺序,依次确定所述告警信息的会话发起协议地址SIP与所述候选告警链的末端拨号上网协议地址DIP是否相同;
若多条所述告警信息中的第二目标告警信息的SIP与所述候选告警链的末端DIP相同,则判定所述第二目标告警信息与所述候选告警链空间特征匹配成功;
若所述第二目标告警信息的SIP与所述候选告警链的末端DIP不相同,则确定所述候选告警链与所述第二目标告警信息是否存在相同的地址组合,所述地址组合包括SIP和DIP;
若所述候选告警链与所述第二目标告警信息存在相同的地址组合,则判定所述第二目标告警信息与所述候选告警链空间特征匹配成功。
作为优选,所述以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链,基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述候选告警链与多条所述告警信息进行匹配之后,还包括:
若所述候选告警链与多个所述告警信息中的第三目标告警信息匹配失败,则将所述第三目标告警信息作为新的候选告警链;
基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述新的候选告警链与多条所述告警信息进行匹配,直至所述目标网络告警日志遍历完成。
作为优选,所述若所述候选告警链与多条所述告警信息中的第二目标告警信息匹配成功,则根据所述第二目标告警信息更新所述候选告警链,并基于更新后的所述候选告警链,继续遍历所述目标网络告警日志,直至所述目标网络告警日志遍历完成,得到网络多跳攻击链,包括:
若所述候选告警链与所述第二目标告警信息匹配成功,则将所述第二目标告警信息融合到所述候选告警链,得到更新后的所述候选告警链;
基于更新后的所述候选告警链,继续遍历所述目标网络告警日志,直至所述目标网络告警日志遍历完成,将最后一次更新的所述候选告警链作为所述网络多跳攻击链。
作为优选,所述基于预设历史多跳攻击链库,对所述网络多跳攻击链进行危险识别,得到所述网络多跳攻击链的危险程度,包括:
确定所述预设历史多跳攻击链库是否存在所述网络多跳攻击链;
若所述预设历史多跳攻击链库存在所述网络多跳攻击链,则得到所述预设历史多跳攻击链库中与所述网络多跳攻击链对应的危险程度;
若所述预设历史多跳攻击链库存在所述网络多跳攻击链,则反馈至用户终端进行人工识别,并利用所述用户终端的识别结果与所述网络多跳攻击链,更新所述预设历史多跳攻击链库。
第二方面,本发明提供一种网络多跳攻击链的识别装置,包括:
获取模块,用于获取目标网络告警日志,所述目标网络告警日志包括多条告警信息;
遍历模块,用于以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链,基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述候选告警链与多条所述告警信息进行匹配;
更新模块,用于若所述候选告警链与多条所述告警信息中的第二目标告警信息匹配成功,则根据所述第二目标告警信息更新所述候选告警链,并基于更新后的所述候选告警链,继续遍历所述目标网络告警日志,直至所述目标网络告警日志遍历完成,得到网络多跳攻击链;
识别模块,用于基于预设历史多跳攻击链库,对所述网络多跳攻击链进行危险识别,得到所述网络多跳攻击链的危险程度。
第三方面,本发明提供一种计算机设备,包括处理器和存储器,所述存储器用于存储计算机程序,所述计算机程序被所述处理器执行时实现如第一方面所述的网络多跳攻击链的识别方法。
第四方面,本发明提供一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的网络多跳攻击链的识别方法。
与现有技术相比,本发明具备以下有益效果:
本发明通过以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链,基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述候选告警链与多条所述告警信息进行匹配,从而根据网络多跳攻击链的空间特征和时间特征进行快速挖掘,进而利用网络多跳攻击链的空间特性和时间特性,快速有效识别网络多跳攻击链,提高识别效率和识别准确度;同时基于预设历史多跳攻击链库,对所述网络多跳攻击链进行危险识别,得到所述网络多跳攻击链的危险程度,以进一步对网络多跳攻击链的危险程度进行分析,从而能够使用户针对危险程度作出更为具体的防护手段,增强了网络安全防护能力。
附图说明
图1为本发明实施例示出的网络多跳攻击链的识别方法的流程示意图;
图2为本发明实施例示出的目标网络告警日志的遍历流程示意图;
图3为本发明实施例示出的网络多跳攻击链的识别装置的结构示意图;
图4为本发明实施例示出的计算机设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参照图1,图1为本发明实施例提供的一种网络多跳攻击链的识别方法的流程示意图。本发明实施例的网络多跳攻击链的识别方法可应用于计算机设备,该计算机设备包括但不限于智能手机、笔记本电脑、平板电脑、桌上型计算机、物理服务器和云服务器等设备。如图1所示,本实施例的网络多跳攻击链的识别方法包括步骤S101至步骤S104,详述如下:
步骤S101,获取目标网络告警日志,所述目标网络告警日志包括多条告警信息。
在本步骤中,获取多种网络安全设备产生的网络告警日志;基于预设解析规则,将所述网络告警日志解析为目标告警格式,并对所述网络告警日志进行去重,得到所述目标网络告警日志。
可选地,网络告警日志存在以下三种格式:Syslog格式、JSON格式和CSV格式。按照设备厂商提供的解析规则,对不同类型的日志采取相应的解析规则,按照统一告警格式(Timestamp,SIP,DIP,Category,Repeat_num)存入数据库中。其中,Timestamp为告警时间戳,SIP为告警源IP,DIP为告警目的IP,Category为告警类型,Repeat_num为重复次数。
例如,告警日志文本样本为:2021-04-01 09:00:00,1.1.1.1,80,2.2.2.xx,8080,tcp,http,压缩文件探测,低危,REJECT,则将其解析为(2021-04-0109:00:00,1.1.1.1,2.2.2.2,压缩文件探测,1)。
可选地,对网络告警日志进行清洗。将告警时间相近的大量相同的冗余告警,归并为单条告警。根据历史数据确定反复出现的告警,经过人工研判是否为误报;根据专家运维先验知识,获取先验误报清单。然后在数据库中去除误报。
由于网络安全系统常常由于相同原因在短时间内触发大量重复的冗余告警,所以需要对冗余告警进行归并。可选地:按预设时间间隔(如每小时)对网络告警日志切片,对每个小时内的告警信息进行相同告警归并,统计重复次数以更新Repeat_num字段,消除重复告警。
示例性地,网络安全系统为了避免漏报网络攻击,设定了较为严格的网络流量检测规则,导致告警中存在大量的误报。统计历史中重复数量前20的相同告警,将其提交给网络安全系统的专业运维人员研判是否为误报,部分结果见表1。根据专家运维先验知识,获取先验误报清单,部分结果见表2。在数据库中去除相应误报,可以降低计算量,提高网络多跳攻击链识别的效率。
表1部分历史频繁告警误报确定结果
SIP DIP Category count 是否为误报
192.197.16.111 192.209.12.0 敏感文件探测 83585
192.209.29.211 192.210.17.68 SQL注入 43456
100.181.32.51 100.101.31.180 注入攻击 31709
192.75.76.163 192.209.134.104 信息泄露 14786
17.143.36.22 192.101.31.177 口令破解 14116
210.75.27.109 100.9.222.120 命令执行 13969
表2部分先验误报清单
SIP DIP Category
192.75.76.163 信息泄露
192.12.72.100 MISC攻击
192.2.117.68 192.144.17.55 默认配置不当
100.101.83.9 192.12.9.21 命令执行
需要说明的是,本发明对多源异构、误报率高的网络安全告警日志进行了日志解析与归一化,统一了告警格式。对告警数据进行了清洗,去除冗余告警。根据先验知识和历史数据提取典型的误报清单,在数据库中进行消除。对告警信息的预处理方便了后续的网络多跳攻击链挖掘工作的开展。
步骤S102,以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链,基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述候选告警链与多条所述告警信息进行匹配。
在本步骤中,网络多跳攻击链具备空间连接性、时间先后性和攻击时效性。空间连接性:每跳告警的目标IP为后一跳告警的源IP,在空间上首尾相连,直到告警链结束;时间先后性:每跳告警发生的时间必然在后一跳告警发生的时间之前,否则两跳告警之间在逻辑上没有因果关系,不构成告警链。攻击时效性:每步攻击要在一定的时间间隔内完成,若时间间隔过长,可能会发生网络拓扑结构的改变、安全防御措施的变化等,导致前一攻击步骤的结果失去效果,后续攻击难以为继。本实施例利用网络多跳攻击链的空间特性和时间特性,更加完整、全面的目标网络告警日志进行识别,提高识别效率和识别准确度。
在一实施例中,以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链;对时间在所述第一目标告警信息之后的多个告警信息,按照时间先后顺序,依次与所述候选告警链进行空间特征匹配;若多条所述告警信息中的第二目标告警信息与所述候选告警链空间特征匹配成功,则判定所述候选告警链与所述第二目标告警信息匹配成功;若所述第二目标告警信息与所述候选告警链空间特征匹配失败,则确定所述第二目标告警信息的时间戳是否在所述候选告警链的预设告警链时间窗口内;若所述第二目标告警信息的时间戳在所述候选告警链的预设告警链时间窗口内,则判定所述候选告警链与所述第二目标告警信息匹配成功。
可选地,空间特征匹配,包括:
对于时间在所述第一目标告警信息之后的每个告警信息,按照时间先后顺序,依次确定所述告警信息的会话发起协议地址SIP与所述候选告警链的末端拨号上网协议地址DIP是否相同;若多条所述告警信息中的第二目标告警信息的SIP与所述候选告警链的末端DIP相同,则判定所述第二目标告警信息与所述候选告警链空间特征匹配成功;若所述第二目标告警信息的SIP与所述候选告警链的末端DIP不相同,则确定所述候选告警链与所述第二目标告警信息是否存在相同的地址组合,所述地址组合包括SIP和DIP;若所述候选告警链与所述第二目标告警信息存在相同的地址组合,则判定所述第二目标告警信息与所述候选告警链空间特征匹配成功。
可选地,所述步骤S102之后,还包括:
若所述候选告警链与多个所述告警信息中的第三目标告警信息匹配失败,则将所述第三目标告警信息作为新的候选告警链;
基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述新的候选告警链与多条所述告警信息进行匹配,直至所述目标网络告警日志遍历完成。
步骤S103,若所述候选告警链与多条所述告警信息中的第二目标告警信息匹配成功,则根据所述第二目标告警信息更新所述候选告警链,并基于更新后的所述候选告警链,继续遍历所述目标网络告警日志,直至所述目标网络告警日志遍历完成,得到网络多跳攻击链。
在本步骤中,对于一个候选告警链,当与第二目标告警信息匹配成功时,则可以将第二目标告警信息拼接到该候选告警链中,以得到网络多跳攻击链。可以理解的是,对于与候选告警链不匹配的告警信息,则可以作为新的候选告警链,以确定新的网络多跳攻击链,即一个目标网络告警日志可能存在多条网络多跳攻击链。
可选地,若所述候选告警链与所述第二目标告警信息匹配成功,则将所述第二目标告警信息融合到所述候选告警链,得到更新后的所述候选告警链;基于更新后的所述候选告警链,继续遍历所述目标网络告警日志,直至所述目标网络告警日志遍历完成,将最后一次更新的所述候选告警链作为所述网络多跳攻击链。
步骤S104,基于预设历史多跳攻击链库,对所述网络多跳攻击链进行危险识别,得到所述网络多跳攻击链的危险程度。
在本步骤中,确定所述预设历史多跳攻击链库是否存在所述网络多跳攻击链;若所述预设历史多跳攻击链库存在所述网络多跳攻击链,则得到所述预设历史多跳攻击链库中与所述网络多跳攻击链对应的危险程度;若所述预设历史多跳攻击链库存在所述网络多跳攻击链,则反馈至用户终端进行人工识别,并利用所述用户终端的识别结果与所述网络多跳攻击链,更新所述预设历史多跳攻击链库。
将当前的网络多跳攻击链与历史多跳攻击链库进行匹配,并将匹配结果作为辅助信息提交人工研判。可选地,若历史多跳攻击链库中不存在该网络多跳攻击链,则将该网络多跳攻击链进行人工研判。若历史多跳攻击链库中存在该类网络多跳攻击链,则将该类网络多跳攻击链及其历史分析处理结果提交给工作人员辅助判断或者半自动化处理。对于历史判定为假阳性的网络多跳攻击链,进行过滤并保留处理记录;对于高危的网络多跳攻击链,发出报警,由安全工作人员进行处理。
示例性地,以两跳攻击链:
([(1.1.1.1,2.2.2.2),(2.2.2.2,3.3.3.3)],3.3.3.3,2021-04-0109:20:00,1,[(2021-04-0109:00:00,1.1.1.1,2.2.2.2,端口扫描,1),(2021-04-0109:10:00,1.1.1.1,2.2.2.2,注入攻击,5),(2021-04-0109:20:00,2.2.2.2,3.3.3.3,敏感信息泄露,1)])为例,提取攻击链典型模式:(1.1.1.1,[端口扫描,注入攻击],2.2.2.2,[敏感信息泄露]),在历史多跳攻击链库中进行匹配,匹配成功得到历史分析处理结果为:高危,进行IP封禁处理。则发出报警,将该网络多跳攻击链及其历史分析处理结果提交给工作人员进行相应处理。
对匹配失败的网络多跳攻击链,对网络多跳攻击链的详细信息进行人工研判,并将该网络多跳攻击链的危险程度及其处理方式更新至历史多跳攻击链库。
在一实施例中,在图1所示实施例的基础上,图2示出了目标网络告警日志的遍历流程示意图。设置告警链时间窗口为T,按照时间先后顺序遍历告警,与当前候选网络多跳攻击链进行匹配,匹配规则为被遍历告警的SIP与候选网络多跳攻击链的末端DIP相同或被遍历告警的(SIP,DIP)与候选网络多跳攻击链的某段(SIP,DIP)相同,且该告警的时间戳在候选网络多跳攻击链前一跳时间戳向后的时间窗口T内。匹配失败则将其则转至为新的候选网络多跳攻击链;匹配成功则更新候选网络多跳攻击链。
示例性地,如图2所示,遍历流程包括以下步骤:
步骤S201:设置合理的网络多跳攻击链时间窗口T;
步骤S202:按照时间先后顺序遍历告警;
步骤S203:被遍历告警的源IP是否与候选网络多跳攻击链(即候选告警链)的末端目的IP相同,若不同则转至步骤S204,若相同则转至步骤S207;
步骤S204:被遍历告警的(Sip,Dip)是否与候选网络多跳攻击链的某段(Sip,Dip)相同,若不同则转至步骤S205,若相同则转至步骤S207;
步骤S205:该告警的时间戳是否在候选网络多跳攻击链前一跳时间戳向后的时间窗口T内,若不同则转至步骤S206,若相同则转至步骤S207;
步骤S206:匹配失败,由该告警生成新的候选网络多跳攻击链,格式为((Sip,Dip)集合,末端目的IP,末端时间戳,告警链长度,原始告警数据集合)。继续遍历告警,转至步骤S203。
步骤S207:匹配成功,更新该候选网络多跳攻击链,更新方法为(Sip,Dip)集合加入该告警的(Sip,Dip)信息,末端目的IP依据实际情况更新,末端时间戳替换为该告警的时间戳,告警链长度增加1,告警的信息添加至原始告警数据集合中。继续遍历告警,转至步骤S203。
以多条告警信息组成两跳攻击链为例说明匹配更新思路,告警信息见表3。
表3组成两跳攻击链的告警信息
Figure BDA0003650055950000111
第一条告警与候选攻击链匹配失败,生成新的候选攻击链([(1.1.1.1,2.2.2.2)],2.2.2.2,2021-04-01 09:00:00,1,[(2021-04-01 09:00:00,1.1.1.1,2.2.2.2,端口扫描,1)])。
第二条告警的(SIP,DIP)与该候选攻击链的(SIP,DIP)集合中的某(SIP,DIP)相同,匹配成功。对该候选攻击链更新,更新后结果为([(1.1.1.1,2.2.2.2)],2.2.2.2,2021-04-01 09:10:00,1,[(2021-04-01 09:00:00,1.1.1.1,2.2.2.2,端口扫描,1),(2021-04-01 09:10:00,1.1.1.1,2.2.2.2,注入攻击,5)])。
第三条告警的SIP与该候选攻击链的末端目的IP相同,匹配成功。对该候选攻击链更新,更新后结果为([(1.1.1.1,2.2.2.2),(2.2.2.2,3.3.3.3)],3.3.3.3,2021-04-0109:20:00,1,[(2021-04-01 09:00:00,1.1.1.1,2.2.2.2,端口扫描,1),(2021-04-0109:10:00,1.1.1.1,2.2.2.2,注入攻击,5),(2021-04-01 09:20:00,2.2.2.2,3.3.3.3,敏感信息泄露,1)])。
为了执行上述方法实施例对应的网络多跳攻击链的识别方法,以实现相应的功能和技术效果。参见图3,图3示出了本发明实施例提供的一种网络多跳攻击链的识别装置的结构框图。为了便于说明,仅示出了与本实施例相关的部分,本发明实施例提供的网络多跳攻击链的识别装置,包括:
获取模块301,用于获取目标网络告警日志,所述目标网络告警日志包括多条告警信息;
遍历模块302,用于以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链,基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述候选告警链与多条所述告警信息进行匹配;
更新模块303,用于若所述候选告警链与多条所述告警信息中的第二目标告警信息匹配成功,则根据所述第二目标告警信息更新所述候选告警链,并基于更新后的所述候选告警链,继续遍历所述目标网络告警日志,直至所述目标网络告警日志遍历完成,得到网络多跳攻击链;
识别模块304,用于基于预设历史多跳攻击链库,对所述网络多跳攻击链进行危险识别,得到所述网络多跳攻击链的危险程度。
在一实施例中,所述获取模块301,具体用于:
获取多种网络安全设备产生的网络告警日志;
基于预设解析规则,将所述网络告警日志解析为目标告警格式,并对所述网络告警日志进行去重,得到所述目标网络告警日志。
在一实施例中,所述遍历模块302,包括:
作为单元,用于以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链;
匹配单元,用于对时间在所述第一目标告警信息之后的多个告警信息,按照时间先后顺序,依次与所述候选告警链进行空间特征匹配;
第一判定单元,用于若多条所述告警信息中的第二目标告警信息与所述候选告警链空间特征匹配成功,则判定所述候选告警链与所述第二目标告警信息匹配成功;
确定单元,用于若所述第二目标告警信息与所述候选告警链空间特征匹配失败,则确定所述第二目标告警信息的时间戳是否在所述候选告警链的预设告警链时间窗口内;
第二判定单元,用于若所述第二目标告警信息的时间戳在所述候选告警链的预设告警链时间窗口内,则判定所述候选告警链与所述第二目标告警信息匹配成功。
在一实施例中,所述匹配单元,具体用于:
对于时间在所述第一目标告警信息之后的每个告警信息,按照时间先后顺序,依次确定所述告警信息的会话发起协议地址SIP与所述候选告警链的末端拨号上网协议地址DIP是否相同;
若多条所述告警信息中的第二目标告警信息的SIP与所述候选告警链的末端DIP相同,则判定所述第二目标告警信息与所述候选告警链空间特征匹配成功;
若所述第二目标告警信息的SIP与所述候选告警链的末端DIP不相同,则确定所述候选告警链与所述第二目标告警信息是否存在相同的地址组合,所述地址组合包括SIP和DIP;
若所述候选告警链与所述第二目标告警信息存在相同的地址组合,则判定所述第二目标告警信息与所述候选告警链空间特征匹配成功。
在一实施例中,所述识别装置,还包括:
作为模块,用于若所述候选告警链与多个所述告警信息中的第三目标告警信息匹配失败,则将所述第三目标告警信息作为新的候选告警链;
第二遍历模块,用于基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述新的候选告警链与多条所述告警信息进行匹配,直至所述目标网络告警日志遍历完成。
在一实施例中,所述更新模块303,具体用于:
若所述候选告警链与所述第二目标告警信息匹配成功,则将所述第二目标告警信息融合到所述候选告警链,得到更新后的所述候选告警链;
基于更新后的所述候选告警链,继续遍历所述目标网络告警日志,直至所述目标网络告警日志遍历完成,将最后一次更新的所述候选告警链作为所述网络多跳攻击链。
在一实施例中,所述识别模块304,具体用于:
确定所述预设历史多跳攻击链库是否存在所述网络多跳攻击链;
若所述预设历史多跳攻击链库存在所述网络多跳攻击链,则得到所述预设历史多跳攻击链库中与所述网络多跳攻击链对应的危险程度;
若所述预设历史多跳攻击链库存在所述网络多跳攻击链,则反馈至用户终端进行人工识别,并利用所述用户终端的识别结果与所述网络多跳攻击链,更新所述预设历史多跳攻击链库。
上述的网络多跳攻击链的识别装置可实施上述方法实施例的网络多跳攻击链的识别方法。上述方法实施例中的可选项也适用于本实施例,这里不再详述。本发明实施例的其余内容可参照上述方法实施例的内容,在本实施例中,不再进行赘述。
图4为本发明一实施例提供的计算机设备的结构示意图。如图4所示,该实施例的计算机设备4包括:至少一个处理器40(图4中仅示出一个)处理器、存储器41以及存储在所述存储器41中并可在所述至少一个处理器40上运行的计算机程序42,所述处理器40执行所述计算机程序42时实现上述任意方法实施例中的步骤。
所述计算机设备4可以是智能手机、平板电脑、桌上型计算机和云端服务器等计算设备。该计算机设备可包括但不仅限于处理器40、存储器41。本领域技术人员可以理解,图4仅仅是计算机设备4的举例,并不构成对计算机设备4的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如还可以包括输入输出设备、网络接入设备等。
所称处理器40可以是中央处理单元(Central Processing Unit,CPU),该处理器40还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器41在一些实施例中可以是所述计算机设备4的内部存储单元,例如计算机设备4的硬盘或内存。所述存储器41在另一些实施例中也可以是所述计算机设备4的外部存储设备,例如所述计算机设备4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器41还可以既包括所述计算机设备4的内部存储单元也包括外部存储设备。所述存储器41用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等,例如所述计算机程序的程序代码等。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。
另外,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述任意方法实施例中的步骤。
本发明实施例提供了一种计算机程序产品,当计算机程序产品在计算机设备上运行时,使得计算机设备执行时实现上述各个方法实施例中的步骤。
在本发明所提供的几个实施例中,可以理解的是,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意的是,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。
所述功能若以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步的详细说明,应当理解,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围。特别指出,对于本领域技术人员来说,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种网络多跳攻击链的识别方法,其特征在于,包括:
获取目标网络告警日志,所述目标网络告警日志包括多条告警信息;
以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链,基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述候选告警链与多条所述告警信息进行匹配;
若所述候选告警链与多条所述告警信息中的第二目标告警信息匹配成功,则根据所述第二目标告警信息更新所述候选告警链,并基于更新后的所述候选告警链,继续遍历所述目标网络告警日志,直至所述目标网络告警日志遍历完成,得到网络多跳攻击链;
基于预设历史多跳攻击链库,对所述网络多跳攻击链进行危险识别,得到所述网络多跳攻击链的危险程度。
2.如权利要求1所述的网络多跳攻击链的识别方法,其特征在于,所述获取目标网络告警日志,包括:
获取多种网络安全设备产生的网络告警日志;
基于预设解析规则,将所述网络告警日志解析为目标告警格式,并对所述网络告警日志进行去重,得到所述目标网络告警日志。
3.如权利要求1所述的网络多跳攻击链的识别方法,其特征在于,所述以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链,基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述候选告警链与多条所述告警信息进行匹配,包括:
以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链;
对时间在所述第一目标告警信息之后的多个告警信息,按照时间先后顺序,依次与所述候选告警链进行空间特征匹配;
若多条所述告警信息中的第二目标告警信息与所述候选告警链空间特征匹配成功,则判定所述候选告警链与所述第二目标告警信息匹配成功;
若所述第二目标告警信息与所述候选告警链空间特征匹配失败,则确定所述第二目标告警信息的时间戳是否在所述候选告警链的预设告警链时间窗口内;
若所述第二目标告警信息的时间戳在所述候选告警链的预设告警链时间窗口内,则判定所述候选告警链与所述第二目标告警信息匹配成功。
4.如权利要求3所述的网络多跳攻击链的识别方法,其特征在于,所述对时间在所述第一目标告警信息之后的多个告警信息,按照时间先后顺序,依次与所述候选告警链进行空间特征匹配,包括:
对于时间在所述第一目标告警信息之后的每个告警信息,按照时间先后顺序,依次确定所述告警信息的会话发起协议地址SIP与所述候选告警链的末端拨号上网协议地址DIP是否相同;
若多条所述告警信息中的第二目标告警信息的SIP与所述候选告警链的末端DIP相同,则判定所述第二目标告警信息与所述候选告警链空间特征匹配成功;
若所述第二目标告警信息的SIP与所述候选告警链的末端DIP不相同,则确定所述候选告警链与所述第二目标告警信息是否存在相同的地址组合,所述地址组合包括SIP和DIP;
若所述候选告警链与所述第二目标告警信息存在相同的地址组合,则判定所述第二目标告警信息与所述候选告警链空间特征匹配成功。
5.如权利要求1所述的网络多跳攻击链的识别方法,其特征在于,所述以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链,基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述候选告警链与多条所述告警信息进行匹配之后,还包括:
若所述候选告警链与多个所述告警信息中的第三目标告警信息匹配失败,则将所述第三目标告警信息作为新的候选告警链;
基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述新的候选告警链与多条所述告警信息进行匹配,直至所述目标网络告警日志遍历完成。
6.如权利要求1所述的网络多跳攻击链的识别方法,其特征在于,所述若所述候选告警链与多条所述告警信息中的第二目标告警信息匹配成功,则根据所述第二目标告警信息更新所述候选告警链,并基于更新后的所述候选告警链,继续遍历所述目标网络告警日志,直至所述目标网络告警日志遍历完成,得到网络多跳攻击链,包括:
若所述候选告警链与所述第二目标告警信息匹配成功,则将所述第二目标告警信息融合到所述候选告警链,得到更新后的所述候选告警链;
基于更新后的所述候选告警链,继续遍历所述目标网络告警日志,直至所述目标网络告警日志遍历完成,将最后一次更新的所述候选告警链作为所述网络多跳攻击链。
7.如权利要求1所述的网络多跳攻击链的识别方法,其特征在于,所述基于预设历史多跳攻击链库,对所述网络多跳攻击链进行危险识别,得到所述网络多跳攻击链的危险程度,包括:
确定所述预设历史多跳攻击链库是否存在所述网络多跳攻击链;
若所述预设历史多跳攻击链库存在所述网络多跳攻击链,则得到所述预设历史多跳攻击链库中与所述网络多跳攻击链对应的危险程度;
若所述预设历史多跳攻击链库存在所述网络多跳攻击链,则反馈至用户终端进行人工识别,并利用所述用户终端的识别结果与所述网络多跳攻击链,更新所述预设历史多跳攻击链库。
8.一种网络多跳攻击链的识别装置,其特征在于,包括:
获取模块,用于获取目标网络告警日志,所述目标网络告警日志包括多条告警信息;
遍历模块,用于以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链,基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述候选告警链与多条所述告警信息进行匹配;
更新模块,用于若所述候选告警链与多条所述告警信息中的第二目标告警信息匹配成功,则根据所述第二目标告警信息更新所述候选告警链,并基于更新后的所述候选告警链,继续遍历所述目标网络告警日志,直至所述目标网络告警日志遍历完成,得到网络多跳攻击链;
识别模块,用于基于预设历史多跳攻击链库,对所述网络多跳攻击链进行危险识别,得到所述网络多跳攻击链的危险程度。
9.一种计算机设备,其特征在于,包括处理器和存储器,所述存储器用于存储计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至7任一项所述的网络多跳攻击链的识别方法。
10.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的网络多跳攻击链的识别方法。
CN202210543118.3A 2022-05-18 2022-05-18 网络多跳攻击链的识别方法、装置、设备及存储介质 Active CN114915544B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210543118.3A CN114915544B (zh) 2022-05-18 2022-05-18 网络多跳攻击链的识别方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210543118.3A CN114915544B (zh) 2022-05-18 2022-05-18 网络多跳攻击链的识别方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN114915544A true CN114915544A (zh) 2022-08-16
CN114915544B CN114915544B (zh) 2023-06-02

Family

ID=82769544

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210543118.3A Active CN114915544B (zh) 2022-05-18 2022-05-18 网络多跳攻击链的识别方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN114915544B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242278A (zh) * 2008-02-18 2008-08-13 华中科技大学 网络多步攻击意图在线识别方法
CN103944919A (zh) * 2014-05-06 2014-07-23 浙江大学城市学院 一种面向wlan的无线多步攻击模式挖掘方法
CN109167781A (zh) * 2018-08-31 2019-01-08 杭州安恒信息技术股份有限公司 一种基于动态关联分析的网络攻击链识别方法和装置
CN110213077A (zh) * 2019-04-18 2019-09-06 国家电网有限公司 一种确定电力监控系统安全事件的方法、装置及系统
CN112738071A (zh) * 2020-12-25 2021-04-30 中能融合智慧科技有限公司 一种攻击链拓扑的构建方法及装置
CN113923009A (zh) * 2021-09-30 2022-01-11 中通服创立信息科技有限责任公司 一种网络安全事件溯源分析方法、装置、介质及电子设备
CN114172709A (zh) * 2021-11-30 2022-03-11 中汽创智科技有限公司 一种网络多步攻击检测方法、装置、设备及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242278A (zh) * 2008-02-18 2008-08-13 华中科技大学 网络多步攻击意图在线识别方法
CN103944919A (zh) * 2014-05-06 2014-07-23 浙江大学城市学院 一种面向wlan的无线多步攻击模式挖掘方法
CN109167781A (zh) * 2018-08-31 2019-01-08 杭州安恒信息技术股份有限公司 一种基于动态关联分析的网络攻击链识别方法和装置
CN110213077A (zh) * 2019-04-18 2019-09-06 国家电网有限公司 一种确定电力监控系统安全事件的方法、装置及系统
CN112738071A (zh) * 2020-12-25 2021-04-30 中能融合智慧科技有限公司 一种攻击链拓扑的构建方法及装置
CN113923009A (zh) * 2021-09-30 2022-01-11 中通服创立信息科技有限责任公司 一种网络安全事件溯源分析方法、装置、介质及电子设备
CN114172709A (zh) * 2021-11-30 2022-03-11 中汽创智科技有限公司 一种网络多步攻击检测方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN114915544B (zh) 2023-06-02

Similar Documents

Publication Publication Date Title
US10616248B2 (en) Space and time efficient threat detection
US10148685B2 (en) Event correlation across heterogeneous operations
CN110933101B (zh) 安全事件日志处理方法、装置及存储介质
CN108881265B (zh) 一种基于人工智能的网络攻击检测方法及系统
US9742788B2 (en) Event correlation across heterogeneous operations
CN108471429B (zh) 一种网络攻击告警方法及系统
CN108683687B (zh) 一种网络攻击识别方法及系统
CN108881263B (zh) 一种网络攻击结果检测方法及系统
CN110210213B (zh) 过滤恶意样本的方法及装置、存储介质、电子装置
CN111581397A (zh) 一种基于知识图谱的网络攻击溯源方法、装置及设备
US11647032B2 (en) Apparatus and method for classifying attack groups
CN112241439B (zh) 一种攻击组织发现方法、装置、介质和设备
CN106878038B (zh) 一种通信网络中故障定位方法及装置
US10129280B2 (en) Modular event pipeline
Zali et al. Real-time attack scenario detection via intrusion detection alert correlation
CN114297661A (zh) 一种漏洞的去重处理方法、装置、设备及存储介质
CN110830500B (zh) 网络攻击追踪方法、装置、电子设备及可读存储介质
CN113098852B (zh) 一种日志处理方法及装置
CN112153062B (zh) 基于多维度的可疑终端设备检测方法及系统
CN114301659A (zh) 网络攻击预警方法、系统、设备及存储介质
CN117220957A (zh) 一种基于威胁情报的攻击行为响应方法及系统
CN112287340B (zh) 用于终端攻击的取证溯源方法、装置、计算机设备
CN114915544B (zh) 网络多跳攻击链的识别方法、装置、设备及存储介质
CN114584391B (zh) 异常流量处理策略的生成方法、装置、设备及存储介质
CN110855625A (zh) 基于流式处理的异常分析方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant