CN116886452B - 一种主机失陷研判方法及系统 - Google Patents
一种主机失陷研判方法及系统 Download PDFInfo
- Publication number
- CN116886452B CN116886452B CN202311155807.8A CN202311155807A CN116886452B CN 116886452 B CN116886452 B CN 116886452B CN 202311155807 A CN202311155807 A CN 202311155807A CN 116886452 B CN116886452 B CN 116886452B
- Authority
- CN
- China
- Prior art keywords
- internet protocol
- host
- attack
- protocol address
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000012216 screening Methods 0.000 claims abstract description 46
- 238000012163 sequencing technique Methods 0.000 claims description 4
- 238000011160 research Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000009960 carding Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Abstract
本发明提供了一种主机失陷研判方法及系统,其方法包括:获取本地网络中的初始告警日志,并基于攻击威胁类型对初始告警日志进行筛选分类,获得分类告警日志;获取本地网络中的主机互联网协议地址列表信息,主机互联网协议地址列表信息包括多个主机和多个主机互联网协议地址;根据主机互联网协议地址对分类告警日志进行筛选,获得目标告警日志;基于攻击威胁类型和主机互联网协议地址对目标告警日志进行聚类,获得聚类告警日志,并为聚类告警日志添加威胁标签,基于威胁标签的组合顺序判断主机是否失陷。本发明通过筛选可降低需要分析的告警日志的数量,提高失陷主机的研判效率;并通过威胁标签的组合顺序还原攻击路径,有效识别失陷主机。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种主机失陷研判方法及系统。
背景技术
主机是计算机网络或者是通讯网络中使用的各种设备,这些设备包括但不局限于计算机、交换机、路由器和安全设备等。失陷主机是指网络入侵者通过某种方式获取控制权的主机,入侵者通常会以该失陷主机为跳板攻击企业内网中的其他主机。
通常情况下是通过对主机的不同异常行为生成的告警日志进行分析,确定失陷主机,但告警日志的数量巨大,需要逐条对告警日志进行分析,确定失陷主机,对主机是否失陷进行研判的效率较低。并且,真实的有效攻击往往是复杂多阶段多种行为组织关联的,通过单条告警日志确定主机是否失陷,导致对主机是否失陷进行研判的准确率较低。
因此,急需提出一种主机失陷研判方法及系统,解决现有技术中存在的主机失陷研判效率和准确率较低的技术问题。
发明内容
有鉴于此,有必要提供一种主机失陷研判方法及系统,用以解决现有技术中存在的主机失陷研判效率和准确率较低的技术问题。
一方面,本发明提供了一种主机失陷研判方法,包括:
获取本地网络中的初始告警日志,并基于攻击威胁类型对所述初始告警日志进行筛选分类,获得分类告警日志;
获取所述本地网络中的主机互联网协议地址列表信息,所述主机互联网协议地址列表信息包括多个主机和与所述多个主机一一对应的多个主机互联网协议地址;
根据所述主机互联网协议地址对所述分类告警日志进行筛选,获得目标告警日志,所述目标告警日志为源互联网协议地址或目的互联网协议地址为所述主机互联网协议地址的分类告警日志;
基于所述攻击威胁类型和所述主机互联网协议地址对所述目标告警日志进行聚类,获得聚类告警日志,并为所述聚类告警日志添加威胁标签,基于所述威胁标签的组合顺序判断所述主机是否失陷。
在一些可能的实现方式中,所述基于攻击威胁类型对所述初始告警日志进行筛选分类,获得分类告警日志,包括:
确定所述攻击威胁类型的攻击类型标识;
基于所述攻击类型标识对所述初始告警日志进行筛选分类,获得所述分类告警日志。
在一些可能的实现方式中,所述攻击类型标识为主机互联网协议地址归属区域、事件类型、时间等级以及攻击结果中的任意一种。
在一些可能的实现方式中,所述攻击威胁类型包括外部攻击、外联威胁以及内网横向攻击,所述目标告警日志包括外部攻击告警日志、外联威胁告警日志以及内网横向攻击告警日志;
所述外部攻击告警日志为源互联网协议地址为外网互联网协议地址,目的互联网协议地址为所述主机互联网协议地址的初始告警日志;
所述外联威胁告警日志为源互联网协议地址为所述主机互联网协议地址,目的互联网协议地址为所述外网互联网协议地址的初始告警日志;
所述内网横向攻击告警日志为源互联网协议地址为所述主机互联网协议地址,目的互联网协议地址也为所述主机互联网协议地址的初始告警日志。
在一些可能的实现方式中,所述基于所述攻击威胁类型和所述主机互联网协议地址对所述分类告警日志进行聚类,获得聚类告警日志,包括:
基于所述攻击威胁类型确定筛选规则;
获取所述分类告警日志的源互联网协议地址和目的互联网协议地址,并基于所述筛选规则、所述源互联网协议地址、所述目的互联网协议地址以及所述主机互联网协议地址对所述分类告警日志进行聚类,获得所述聚类告警日志。
在一些可能的实现方式中,所述筛选规则为:
当所述攻击威胁类型为外部攻击时,筛选出所述目的互联网协议地址为所述主机互联网协议地址的分类告警日志;
当所述攻击威胁类型为外联威胁时,筛选出所述源互联网协议地址为所述主机互联网协议地址的分类告警日志;
当所述攻击威胁类型为外部攻击时,筛选出所述源互联网协议地址为所述主机互联网协议地址,或,所述目的互联网协议地址为所述主机互联网协议地址的分类告警日志。
在一些可能的实现方式中,所述威胁标签包括外部攻击标签、外联威胁标签、内网源攻击标签以及内网目的攻击标签;所述为所述聚类告警日志添加威胁标签,包括:
当所述聚类告警日志的攻击威胁类型为外部攻击时,为所述聚类告警日志添加所述外部攻击标签;
当所述聚类告警日志的攻击威胁类型为外联威胁时,为所述聚类告警日志添加所述外联威胁标签;
当所述聚类告警日志的攻击威胁类型为内网横向攻击,且所述聚类告警日志的源互联网协议地址为所述主机互联网协议地址时,为所述聚类告警日志添加所述内网源攻击标签;
当所述聚类告警日志的攻击威胁类型为内网横向攻击,且所述聚类告警日志的目的互联网协议地址为所述主机互联网协议地址时,为所述聚类告警日志添加所述内网目的攻击标签。
在一些可能的实现方式中,所述基于所述威胁标签的组合顺序判断所述主机是否失陷,包括:
获取告警时间范围,并在所述告警时间范围内按时间先后顺序对所述威胁标签进行排序;
当依次出现外部攻击标签和外联威胁标签时,所述主机为外网直接攻击的失陷主机;
当依次出现内网目的攻击标签、外部攻击标签和外联标签时,所述主机为内网扩散的失陷主机;
当依次出现外部攻击标签、外联威胁标签和内网源攻击标签时,所述主机为失陷并扩散威胁的主机。
在一些可能的实现方式中,所述主机失陷研判方法还包括:
当所述主机失陷时,判断失陷主机的告警日志数量是否大于预设数量;
当所述失陷主机的告警日志数量大于预设数量时,所述失陷主机为真实失陷主机。
另一方面,本发明还提供了一种主机失陷研判系统,其特征在于,包括:
初始告警日志分类单元,用于获取本地网络中的初始告警日志,并基于攻击威胁类型对所述初始告警日志进行筛选分类,获得分类告警日志;
主机列表信息获取单元,用于获取所述本地网络中的主机互联网协议地址列表信息,所述主机互联网协议地址列表信息包括多个主机和与所述多个主机一一对应的多个主机互联网协议地址;
目标告警日志确定单元,用于根据所述主机互联网协议地址对所述分类告警日志进行筛选,获得目标告警日志,所述目标告警日志为源互联网协议地址或目的互联网协议地址为所述主机互联网协议地址的分类告警日志;
主机失陷研判单元,用于基于所述攻击威胁类型和所述主机互联网协议地址对所述目标告警日志进行聚类,获得聚类告警日志,并为所述聚类告警日志添加威胁标签,基于所述威胁标签的组合顺序判断所述主机是否失陷。
采用上述实施例的有益效果是:本发明提供的主机失陷研判方法,通过设置基于攻击威胁类型对初始告警日志进行分类筛选,获得分类告警日志,并根据主机互联网协议地址对分类告警日志进行筛选,获得目标告警日志,通过上述两次筛选可大幅度降低需要分析的告警日志的数量,从而可提高对失陷主机的研判效率。并且,本发明在判断主机是否失陷时,基于威胁标签的组合顺序进行判断,而并非根据单条告警日志进行判断,消除了单条告警日志的信息不足导致对失陷主机的误判,可通过威胁标签的组合顺序还原攻击路径,有效识别失陷主机。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的主机失陷研判方法的一个实施例流程示意图;
图2为本发明图1中S101中获得分类告警日志的一个实施例流程示意图;
图3为本发明图1中S104中获得聚类告警日志的一个实施例流程示意图;
图4为本发明图1中S104中基于威胁标签的组合顺序判断主机是否失陷的一个实施例流程示意图;
图5为本发明提供的确定失陷主机是否为真实失陷主机的一个实施例流程示意图;
图6为本发明提供的主机失陷研判系统的一个实施例结构示意图;
图7为本发明提供的电子设备的一个实施例结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,示意性的附图并未按实物比例绘制。本发明中使用的流程图示出了根据本发明的一些实施例实现的操作。应当理解,流程图的操作可以不按顺序实现,没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外,本领域技术人员在本发明内容的指引下,可以向流程图添加一个或多个其他操作,也可以从流程图中移除一个或多个操作。
附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器系统和/或微控制器系统中实现这些功能实体。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其他实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其他实施例相结合。
本发明实施例提供了一种主机失陷研判方法及系统,以下分别进行说明。
图1为本发明提供的主机失陷研判方法的一个实施例流程示意图,如图1所示,主机失陷研判方法包括:
S101、获取本地网络中的初始告警日志,并基于攻击威胁类型对初始告警日志进行筛选分类,获得分类告警日志;
S102、获取本地网络中的主机互联网协议(Internet Protocol Address,IP)地址列表信息,主机互联网协议地址列表信息包括多个主机和与多个主机一一对应的多个主机互联网协议地址;
S103、根据主机互联网协议地址对分类告警日志进行筛选,获得目标告警日志,目标告警日志为源互联网协议地址或目的互联网协议地址为主机互联网协议地址的分类告警日志;
S104、基于攻击威胁类型和主机互联网协议地址对目标告警日志进行聚类,获得聚类告警日志,并为聚类告警日志添加威胁标签,基于威胁标签的组合顺序判断主机是否失陷。
与现有技术相比,本发明实施例提供的主机失陷研判方法,通过设置基于攻击威胁类型对初始告警日志进行分类筛选,获得分类告警日志,并根据主机互联网协议地址对分类告警日志进行筛选,获得目标告警日志,通过上述两次筛选可大幅度降低需要分析的告警日志的数量,从而可提高对失陷主机的研判效率。并且,本发明实施例在判断主机是否失陷时,基于威胁标签的组合顺序进行判断,而并非根据单条告警日志进行判断,消除了单条告警日志的信息不足导致对失陷主机的误判,可通过威胁标签的组合顺序还原攻击路径,有效识别失陷主机。
进一步地,本发明实施例中的主机失陷研判过程无需人工参与,可自动化执行,可实现任意时间的主机失陷研判。
在本发明的一些实施例中,步骤S102具体为:基于本地安全运营管理的要求和规章制度,梳理本地网络中的主机类型和主机数量;明确主机对应的主机互联网协议地址,即:将主机互联网协议地址作为主机的唯一键,对每个主机都需要明确其对应的主机互联网协议地址,此处主机互联网协议地址必须是内网固定主机互联网协议地址。
在本发明的一些实施例中,如图2所示,步骤S101中的基于攻击威胁类型对初始告警日志进行筛选分类,获得分类告警日志,包括:
S201、确定攻击威胁类型的攻击类型标识;
S202、基于攻击类型标识对初始告警日志进行筛选分类,获得分类告警日志。
其中,攻击类型标识指的是可以表示攻击威胁类型的标识。
在本发明的一些实施例中,攻击类型标识为主机互联网协议地址归属区域、事件类型、时间等级以及攻击结果中的任意一种。
在本发明的具体实施例中,攻击类型标识为主机互联网协议地址归属区域。
具体地,主机互联网协议地址归属区域包括内网(即:本地网络)和外网。
在本发明的一些实施例中,攻击威胁类型包括外部攻击、外联威胁以及内网横向攻击,目标告警日志包括外部攻击告警日志、外联威胁告警日志以及内网横向攻击告警日志;
外部攻击告警日志为源互联网协议地址为外网互联网协议地址,目的互联网协议地址为主机互联网协议地址的初始告警日志;
外联威胁告警日志为源互联网协议地址为主机互联网协议地址,目的互联网协议地址为外网互联网协议地址的初始告警日志;
内网横向攻击告警日志为源互联网协议地址为主机互联网协议地址,目的互联网协议地址也为主机互联网协议地址的初始告警日志。
需要说明的是:某些内网IP的业务在互联网出口会存在网络地址转换(NetworkAddress Translation,NAT)映射,即:本地网络中的主机互联网协议地址表现为外网IP,为了解决这一技术问题,需要对经过NAT映射的主机对应的告警日志进行数据转换处理,以确保对主机是否失陷进行研判的准确性。
在本发明的一些实施例中,如图3所示,步骤S104中的基于攻击威胁类型和主机互联网协议地址对分类告警日志进行聚类,获得聚类告警日志,包括:
S301、基于攻击威胁类型确定筛选规则;
S302、获取分类告警日志的源互联网协议地址和目的互联网协议地址,并基于筛选规则、源互联网协议地址、目的互联网协议地址以及主机互联网协议地址对分类告警日志进行聚类,获得聚类告警日志。
其中,步骤S301和步骤S302中的筛选规则为:
当攻击威胁类型为外部攻击时,筛选出目的互联网协议地址为主机互联网协议地址的分类告警日志;
当攻击威胁类型为外联威胁时,筛选出源互联网协议地址为主机互联网协议地址的分类告警日志;
当攻击威胁类型为外部攻击时,筛选出源互联网协议地址为主机互联网协议地址,或,目的互联网协议地址为主机互联网协议地址的分类告警日志。
需要说明的是:若某条分类告警日志的源互联网协议地址和目的互联网协议地址分别为两个不同的主机互联网协议地址,则在两个主机互联网协议地址都对这一条分类告警日志进行聚类。
在本发明的一些实施例中,威胁标签包括外部攻击标签、外联威胁标签、内网源攻击标签以及内网目的攻击标签;则步骤S104中的为聚类告警日志添加威胁标签,包括:
当聚类告警日志的攻击威胁类型为外部攻击时,为聚类告警日志添加外部攻击标签;
当聚类告警日志的攻击威胁类型为外联威胁时,为聚类告警日志添加外联威胁标签;
当聚类告警日志的攻击威胁类型为内网横向攻击,且聚类告警日志的源互联网协议地址为主机互联网协议地址时,为聚类告警日志添加内网源攻击标签;
当聚类告警日志的攻击威胁类型为内网横向攻击,且聚类告警日志的目的互联网协议地址为主机互联网协议地址时,为聚类告警日志添加内网目的攻击标签。
在本发明的一些实施例中,如图4所示,步骤S104中的基于威胁标签的组合顺序判断主机是否失陷,包括:
S401、获取告警时间范围,并在告警时间范围内按时间先后顺序对威胁标签进行排序;
S402、当依次出现外部攻击标签和外联威胁标签时,主机为外网直接攻击的失陷主机;
S403、当依次出现内网目的攻击标签、外部攻击标签和外联标签时,主机为内网扩散的失陷主机;
S404、当依次出现外部攻击标签、外联威胁标签和内网源攻击标签时,主机为失陷并扩散威胁的主机。
需要说明的是:若威胁标签的组合顺序为除了上述三个顺序之外的其他顺序,例如:仅出现外部攻击标签,或仅出现内网目的攻击标签,则说明此时主机还未失陷。
由于在实际场景中,在告警时间范围内各种类型威胁标签可能会出现不止一次,此时步骤S401中的按失陷先后顺序对威胁标签进行排序具体为:
在告警时间范围内分别计算各类威胁标签对应的告警日志访问时间的平均值,以平均时间的先后顺序作为威胁标签的先后顺序。
本发明实施例不仅判断出主机是否失陷,还可还原出攻击路径,能够有效判断主机失陷的被攻击方式和影响的程度,进而为后续处置措施提供指导。
需要说明的是:告警时间范围可按照周期频率(如每小时、每天、每周),进行设定,也可指定时间段(0点10分到6点30分)进行设定,在此不作具体限定。
为了进一步降低失陷主机的误判率,在本发明的一些实施例中,如图5所示,主机失陷研判方法还包括:
S501、当主机失陷时,判断失陷主机的告警日志数量是否大于预设数量;
S502、当失陷主机的告警日志数量大于预设数量时,失陷主机为真实失陷主机。
本发明实施例通过根据失陷主机的告警日志数量对失陷主机是否真的失陷进行判断,可进一步提高确定出的真实失陷主机的准确性,进一步降低了对主机是否失陷的误判率。
应当理解的是:告警日志数量可根据实际应用场景或经验值进行设定,在此不作赘述。
为了更好实施本发明实施例中的主机失陷研判方法,在主机失陷研判方法基础之上,对应地,本发明实施例还提供了一种主机失陷研判系统,如图6所示,主机失陷研判系统600包括:
初始告警日志分类单元601,用于获取本地网络中的初始告警日志,并基于攻击威胁类型对初始告警日志进行筛选分类,获得分类告警日志;
主机列表信息获取单元602,用于获取本地网络中的主机互联网协议地址列表信息,主机互联网协议地址列表信息包括多个主机和与多个主机一一对应的多个主机互联网协议地址;
目标告警日志确定单元603,用于根据主机互联网协议地址对分类告警日志进行筛选,获得目标告警日志,目标告警日志为源互联网协议地址或目的互联网协议地址为主机互联网协议地址的分类告警日志;
主机失陷研判单元604,用于基于攻击威胁类型和主机互联网协议地址对目标告警日志进行聚类,获得聚类告警日志,并为聚类告警日志添加威胁标签,基于威胁标签的组合顺序判断主机是否失陷。
上述实施例提供的主机失陷研判系统600可实现上述主机失陷研判方法实施例中描述的技术方案,上述各模块或单元具体实现的原理可参见上述主机失陷研判方法实施例中的相应内容,此处不再赘述。
如图7所示,本发明还相应提供了一种电子设备700。该电子设备700包括处理器701、存储器702及显示器703。图7仅示出了电子设备700的部分组件,但是应理解的是,并不要求实施所有示出的组件,可以替代地实施更多或者更少的组件。
处理器701在一些实施例中可以是一个中央处理器(Central Processing Unit,CPU),微处理器或其他数据处理芯片,用于运行存储器702中存储的程序代码或处理数据,例如本发明中的主机失陷研判方法。
在一些实施例中,处理器701可以是单个服务器或服务器组。服务器组可为集中式或分布式的。在一些实施例中,处理器701可为本地的或远程的。在一些实施例中,处理器701可实施于云平台。在一实施例中,云平台可包括私有云、公共云、混合云、社区云、分布式云、内部间、多重云等,或以上的任意组合。
存储器702在一些实施例中可以是电子设备700的内部存储单元,例如电子设备700的硬盘或内存。存储器702在另一些实施例中也可以是电子设备700的外部存储设备,例如电子设备700上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。
进一步地,存储器702还可既包括电子设备700的内部储存单元也包括外部存储设备。存储器702用于存储安装电子设备700的应用软件及各类数据。
显示器703在一些实施例中可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。显示器703用于显示在电子设备700的信息以及用于显示可视化的用户界面。电子设备700的部件701-703通过系统总线相互通信。
在本发明的一些实施例中,当处理器701执行存储器702中的主机失陷研判程序时,可实现以下步骤:
获取本地网络中的初始告警日志,并基于攻击威胁类型对初始告警日志进行筛选分类,获得分类告警日志;
获取本地网络中的主机互联网协议地址列表信息,主机互联网协议地址列表信息包括多个主机和与多个主机一一对应的多个主机互联网协议地址;
根据主机互联网协议地址对分类告警日志进行筛选,获得目标告警日志,目标告警日志为源互联网协议地址或目的互联网协议地址为主机互联网协议地址的分类告警日志;
基于攻击威胁类型和主机互联网协议地址对目标告警日志进行聚类,获得聚类告警日志,并为聚类告警日志添加威胁标签,基于威胁标签的组合顺序判断主机是否失陷。
应当理解的是:处理器701在执行存储器702中的主机失陷研判程序时,除了上面的功能之外,还可实现其他功能,具体可参见前面相应方法实施例的描述。
进一步地,本发明实施例对提及的电子设备700的类型不做具体限定,电子设备700可以为手机、平板电脑、个人数字助理(personal digital assistant,PDA)、可穿戴设备、膝上型计算机(laptop)等便携式电子设备。便携式电子设备的示例性实施例包括但不限于搭载IOS、android、microsoft或者其他操作系统的便携式电子设备。上述便携式电子设备也可以是其他便携式电子设备,诸如具有触敏表面(例如触控面板)的膝上型计算机(laptop)等。还应当理解的是,在本发明其他一些实施例中,电子设备700也可以不是便携式电子设备,而是具有触敏表面(例如触控面板)的台式计算机。
相应地,本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质用于存储计算机可读取的程序或指令,程序或指令被处理器执行时,能够实现上述各方法实施例提供的主机失陷研判方法中的步骤或功能。
本领域技术人员可以理解,实现上述实施例方法的全部或部分流程,可以通过计算机程序来指令相关的硬件(如处理器,控制器等)来完成,计算机程序可存储于计算机可读存储介质中。其中,计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
以上对本发明所提供的一种主机失陷研判方法及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (4)
1.一种主机失陷研判方法,其特征在于,包括:
获取本地网络中的初始告警日志,并基于攻击威胁类型对所述初始告警日志进行筛选分类,获得分类告警日志;
获取所述本地网络中的主机互联网协议地址列表信息,所述主机互联网协议地址列表信息包括多个主机和与所述多个主机一一对应的多个主机互联网协议地址;
根据所述主机互联网协议地址对所述分类告警日志进行筛选,获得目标告警日志,所述目标告警日志为源互联网协议地址或目的互联网协议地址为所述主机互联网协议地址的分类告警日志;
基于所述攻击威胁类型和所述主机互联网协议地址对所述目标告警日志进行聚类,获得聚类告警日志,并为所述聚类告警日志添加威胁标签,基于所述威胁标签的组合顺序判断所述主机是否失陷;
所述攻击威胁类型包括外部攻击、外联威胁以及内网横向攻击,所述目标告警日志包括外部攻击告警日志、外联威胁告警日志以及内网横向攻击告警日志;
所述外部攻击告警日志为源互联网协议地址为外网互联网协议地址,目的互联网协议地址为所述主机互联网协议地址的初始告警日志;
所述外联威胁告警日志为源互联网协议地址为所述主机互联网协议地址,目的互联网协议地址为所述外网互联网协议地址的初始告警日志;
所述内网横向攻击告警日志为源互联网协议地址为所述主机互联网协议地址,目的互联网协议地址也为所述主机互联网协议地址的初始告警日志;
所述基于所述攻击威胁类型和所述主机互联网协议地址对所述分类告警日志进行聚类,获得聚类告警日志,包括:
基于所述攻击威胁类型确定筛选规则;
获取所述分类告警日志的源互联网协议地址和目的互联网协议地址,并基于所述筛选规则、所述源互联网协议地址、所述目的互联网协议地址以及所述主机互联网协议地址对所述分类告警日志进行聚类,获得所述聚类告警日志;
所述筛选规则为:
当所述攻击威胁类型为外部攻击时,筛选出所述目的互联网协议地址为所述主机互联网协议地址的分类告警日志;
当所述攻击威胁类型为外联威胁时,筛选出所述源互联网协议地址为所述主机互联网协议地址的分类告警日志;
当所述攻击威胁类型为内网横向攻击时,筛选出所述源互联网协议地址为所述主机互联网协议地址,或,所述目的互联网协议地址为所述主机互联网协议地址的分类告警日志;
所述威胁标签包括外部攻击标签、外联威胁标签、内网源攻击标签以及内网目的攻击标签;所述为所述聚类告警日志添加威胁标签,包括:
当所述聚类告警日志的攻击威胁类型为外部攻击时,为所述聚类告警日志添加所述外部攻击标签;
当所述聚类告警日志的攻击威胁类型为外联威胁时,为所述聚类告警日志添加所述外联威胁标签;
当所述聚类告警日志的攻击威胁类型为内网横向攻击,且所述聚类告警日志的源互联网协议地址为所述主机互联网协议地址时,为所述聚类告警日志添加所述内网源攻击标签;
当所述聚类告警日志的攻击威胁类型为内网横向攻击,且所述聚类告警日志的目的互联网协议地址为所述主机互联网协议地址时,为所述聚类告警日志添加所述内网目的攻击标签;
所述基于所述威胁标签的组合顺序判断所述主机是否失陷,包括:
获取告警时间范围,并在所述告警时间范围内按时间先后顺序对所述威胁标签进行排序;
当依次出现外部攻击标签和外联威胁标签时,所述主机为外网直接攻击的失陷主机;
当依次出现内网目的攻击标签、外部攻击标签和外联标签时,所述主机为内网扩散的失陷主机;
当依次出现外部攻击标签、外联威胁标签和内网源攻击标签时,所述主机为失陷并扩散威胁的主机。
2.根据权利要求1所述的主机失陷研判方法,其特征在于,所述基于攻击威胁类型对所述初始告警日志进行筛选分类,获得分类告警日志,包括:
确定所述攻击威胁类型的攻击类型标识;
基于所述攻击类型标识对所述初始告警日志进行筛选分类,获得所述分类告警日志。
3.根据权利要求1所述的主机失陷研判方法,其特征在于,所述主机失陷研判方法还包括:
当所述主机失陷时,判断失陷主机的告警日志数量是否大于预设数量;
当所述失陷主机的告警日志数量大于预设数量时,所述失陷主机为真实失陷主机。
4.一种主机失陷研判系统,其特征在于,包括:
初始告警日志分类单元,用于获取本地网络中的初始告警日志,并基于攻击威胁类型对所述初始告警日志进行筛选分类,获得分类告警日志;
主机列表信息获取单元,用于获取所述本地网络中的主机互联网协议地址列表信息,所述主机互联网协议地址列表信息包括多个主机和与所述多个主机一一对应的多个主机互联网协议地址;
目标告警日志确定单元,用于根据所述主机互联网协议地址对所述分类告警日志进行筛选,获得目标告警日志,所述目标告警日志为源互联网协议地址或目的互联网协议地址为所述主机互联网协议地址的分类告警日志;
主机失陷研判单元,用于基于所述攻击威胁类型和所述主机互联网协议地址对所述目标告警日志进行聚类,获得聚类告警日志,并为所述聚类告警日志添加威胁标签,基于所述威胁标签的组合顺序判断所述主机是否失陷;
所述攻击威胁类型包括外部攻击、外联威胁以及内网横向攻击,所述目标告警日志包括外部攻击告警日志、外联威胁告警日志以及内网横向攻击告警日志;
所述外部攻击告警日志为源互联网协议地址为外网互联网协议地址,目的互联网协议地址为所述主机互联网协议地址的初始告警日志;
所述外联威胁告警日志为源互联网协议地址为所述主机互联网协议地址,目的互联网协议地址为所述外网互联网协议地址的初始告警日志;
所述内网横向攻击告警日志为源互联网协议地址为所述主机互联网协议地址,目的互联网协议地址也为所述主机互联网协议地址的初始告警日志;
所述基于所述攻击威胁类型和所述主机互联网协议地址对所述分类告警日志进行聚类,获得聚类告警日志,包括:
基于所述攻击威胁类型确定筛选规则;
获取所述分类告警日志的源互联网协议地址和目的互联网协议地址,并基于所述筛选规则、所述源互联网协议地址、所述目的互联网协议地址以及所述主机互联网协议地址对所述分类告警日志进行聚类,获得所述聚类告警日志;
所述筛选规则为:
当所述攻击威胁类型为外部攻击时,筛选出所述目的互联网协议地址为所述主机互联网协议地址的分类告警日志;
当所述攻击威胁类型为外联威胁时,筛选出所述源互联网协议地址为所述主机互联网协议地址的分类告警日志;
当所述攻击威胁类型为内网横向攻击时,筛选出所述源互联网协议地址为所述主机互联网协议地址,或,所述目的互联网协议地址为所述主机互联网协议地址的分类告警日志;
所述威胁标签包括外部攻击标签、外联威胁标签、内网源攻击标签以及内网目的攻击标签;所述为所述聚类告警日志添加威胁标签,包括:
当所述聚类告警日志的攻击威胁类型为外部攻击时,为所述聚类告警日志添加所述外部攻击标签;
当所述聚类告警日志的攻击威胁类型为外联威胁时,为所述聚类告警日志添加所述外联威胁标签;
当所述聚类告警日志的攻击威胁类型为内网横向攻击,且所述聚类告警日志的源互联网协议地址为所述主机互联网协议地址时,为所述聚类告警日志添加所述内网源攻击标签;
当所述聚类告警日志的攻击威胁类型为内网横向攻击,且所述聚类告警日志的目的互联网协议地址为所述主机互联网协议地址时,为所述聚类告警日志添加所述内网目的攻击标签;
所述基于所述威胁标签的组合顺序判断所述主机是否失陷,包括:
获取告警时间范围,并在所述告警时间范围内按时间先后顺序对所述威胁标签进行排序;
当依次出现外部攻击标签和外联威胁标签时,所述主机为外网直接攻击的失陷主机;
当依次出现内网目的攻击标签、外部攻击标签和外联标签时,所述主机为内网扩散的失陷主机;
当依次出现外部攻击标签、外联威胁标签和内网源攻击标签时,所述主机为失陷并扩散威胁的主机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311155807.8A CN116886452B (zh) | 2023-09-08 | 2023-09-08 | 一种主机失陷研判方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311155807.8A CN116886452B (zh) | 2023-09-08 | 2023-09-08 | 一种主机失陷研判方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116886452A CN116886452A (zh) | 2023-10-13 |
CN116886452B true CN116886452B (zh) | 2023-12-08 |
Family
ID=88257336
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311155807.8A Active CN116886452B (zh) | 2023-09-08 | 2023-09-08 | 一种主机失陷研判方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116886452B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109688092A (zh) * | 2018-04-25 | 2019-04-26 | 北京微步在线科技有限公司 | 失陷设备检测方法及装置 |
CN113852615A (zh) * | 2021-09-15 | 2021-12-28 | 广东电力信息科技有限公司 | 一种在多级dns环境中失陷主机监测方法及装置 |
CN113904920A (zh) * | 2021-09-14 | 2022-01-07 | 上海纽盾科技股份有限公司 | 基于失陷设备的网络安全防御方法、装置及系统 |
CN115695031A (zh) * | 2022-11-07 | 2023-02-03 | 北京安博通科技股份有限公司 | 主机失陷检测方法、装置及设备 |
WO2023050933A1 (zh) * | 2021-09-30 | 2023-04-06 | 华为技术有限公司 | 确定失陷主机的方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB201807616D0 (en) * | 2018-05-10 | 2018-06-27 | Radio Physics Solutions Ltd | Improvements in or relating to threat classification |
US11770409B2 (en) * | 2021-01-04 | 2023-09-26 | International Business Machines Corporation | Intrusion management with threat type clustering |
-
2023
- 2023-09-08 CN CN202311155807.8A patent/CN116886452B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109688092A (zh) * | 2018-04-25 | 2019-04-26 | 北京微步在线科技有限公司 | 失陷设备检测方法及装置 |
CN113904920A (zh) * | 2021-09-14 | 2022-01-07 | 上海纽盾科技股份有限公司 | 基于失陷设备的网络安全防御方法、装置及系统 |
CN113852615A (zh) * | 2021-09-15 | 2021-12-28 | 广东电力信息科技有限公司 | 一种在多级dns环境中失陷主机监测方法及装置 |
WO2023050933A1 (zh) * | 2021-09-30 | 2023-04-06 | 华为技术有限公司 | 确定失陷主机的方法及装置 |
CN115695031A (zh) * | 2022-11-07 | 2023-02-03 | 北京安博通科技股份有限公司 | 主机失陷检测方法、装置及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN116886452A (zh) | 2023-10-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109600441B (zh) | 联盟链信息发布控制方法及终端设备 | |
JP2014112400A (ja) | アソシエーションルールマイニングを使用してコンピュータ環境内の計算エンティティ向けコンフィギュレーションルールを生成するための方法及び装置 | |
US20180278634A1 (en) | Cyber Security Event Detection | |
CN110914823A (zh) | 用于检测服务器上漏洞的系统和方法 | |
CN114095567A (zh) | 数据访问请求的处理方法、装置、计算机设备及介质 | |
CN115277566A (zh) | 数据访问的负载均衡方法、装置、计算机设备及介质 | |
CN116305155A (zh) | 一种程序安全检测防护方法、装置、介质及电子设备 | |
CN111726352A (zh) | 可视化监测探针状态的方法、装置、计算机设备和介质 | |
CN113965497B (zh) | 服务器异常识别方法、装置、计算机设备及可读存储介质 | |
CN104903865A (zh) | 恢复虚拟机映像的在前版本 | |
CN112528295B (zh) | 工业控制系统的漏洞修复方法及装置 | |
CN114398397A (zh) | 数据处理方法、装置、存储介质以及系统 | |
CN111614614B (zh) | 应用于物联网的安全监测方法和装置 | |
CN116886452B (zh) | 一种主机失陷研判方法及系统 | |
CN116595523A (zh) | 基于动态编排的多引擎文件检测方法、系统、设备及介质 | |
US11662927B2 (en) | Redirecting access requests between access engines of respective disk management devices | |
CN113010268B (zh) | 恶意程序识别方法及装置、存储介质、电子设备 | |
CN114124475A (zh) | 一种网络资产端口扫描及服务识别方法、装置 | |
CN114185592A (zh) | 多版本共存的目标项目访问方法、装置、设备及存储介质 | |
CN114185804A (zh) | 一种接口测试方法、装置及终端设备 | |
CN114095218A (zh) | 一种资产漏洞管理方法及装置 | |
CN112818204A (zh) | 一种业务的处理方法、装置、设备及存储介质 | |
CN116567062B (zh) | 基于流量日志发现资产的方法、装置、电子设备及介质 | |
CN114844691B (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
CN112235148B (zh) | Vlan配置检测方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |