攻击路径还原方法及装置制造方法及图纸

本发明专利技术涉及一种攻击路径还原方法及装置，该方法通过安全事件告警和各设备在网络拓扑中的连接关系的综合分析得出攻击者、内网薄弱点、攻击来源、攻击者四者的各自列表和各台设备之间的连接关系，由此完成攻击过程的还原。相比于现有的路径还原方法，本发明专利技术实施例提供的方法能够深入内网发现内网防护中的安全薄弱点，使攻击路径溯源对企业安全提升更具实效，提高分析效率。同时还能够屏蔽掉海量安全事件中不关键连接的噪音，只对生效的攻击路径溯源，且能够对所有的攻击进行还原，提升还原能力。此外，本发明专利技术提供的方法在攻击路径还原的同时也不会影响在运行的业务，能够保持业务的正常运行。

【技术实现步骤摘要】
攻击路径还原方法及装置
本专利技术实施例涉及通信
，具体涉及一种攻击路径还原方法及装置。
技术介绍
伴随互联网的快速发展，网络攻击也愈演愈烈，尤其是DDOS等类型的攻击，攻击者利用网络的快速和广泛的互联性，使传统意义上的安全措施基本丧失作用，严重威胁企业安全；而且网络攻击者大都使用伪造的IP地址，使被攻击者很难确定攻击源的位置，从而不能实施有针对性地防护策略。这些都使得逆向追踪攻击源的追踪技术成为网络主动防御体系中的重要一环，它对于最小化攻击的当前效果、威慑潜在的网络攻击都有着至关重要的作用。目前攻击路径还原技术绝大多数都是针对外网DDOS攻击而言，技术手段集中在攻击者“指纹库”的积累和云端威胁情报的共享。在面对攻击者进入企业信息系统内部之后的路径溯源却乏善可陈，只能依靠网络管理员对边界流量的异常日志来发现，主要手段有分组标记溯源法、ICMP溯源法、日志记录溯源法、受控泛洪溯源法、链路测试溯源法。从技术原理上来说都是利用网络流量及协议的特征进行溯源。然而，在实施本专利技术实施例的过程中专利技术人发现，采用上述的分析方式存在以下弊端：1、分析效率低：对于渗透到企业内部的攻击，外网DDOS攻击的威胁情报技术无法进行追踪还原，安全相关人员只能通过综合各个安全设备相关日志及安全信息人工分析攻击路径。2、路径还原能力有限：无法对所有攻击行为进行路径还原。传统技术大部分是基于已有的经验规则来发现攻击，对于新威胁或攻击，无法准确确认谁在攻击，为什么攻击，什么时候攻击，怎么攻击等问题。3、影响正常业务进行：存在影响业务的现象。依靠协议特征反向探测或响应攻击的技术，会影响正常业务系统的运行。
技术实现思路
本专利技术实施例提供了一种攻击路径还原方法及装置，用于克服采用现有的攻击路径还原方式分析效率低、还原能力有限以及影响正常业务运行的缺陷。第一方面，本专利技术实施例提供了一种攻击路径还原方法，包括：获取各网络设备上记录的告警事件，在确定所述告警事件中描述的被攻击设备满足预设的攻击条件时，将所述被攻击设备确定为攻击目标；其中，所述预设的攻击条件是根据被攻击设备的资产价值、告警事件类型以及告警次数确定的；查找网络中与所述攻击目标直接或间接相连、且发生过历史告警事件的第一内网设备，查找与所述告警事件中源地址对应的设备直接或间接连接且发生过历史告警事件的第二内网设备，将所述第一内网设备以及所述第二内网设备作为内网薄弱设备；查找网络中与所述攻击目标或所述告警事件中源地址对应的设备直接或间接相连的外网设备，作为攻击来源设备；根据所述攻击来源设备的信息以及本地网络威胁情报数据库中的信息，确定实际控制所述攻击来源设备的攻击者设备；根据所述攻击者设备、攻击来源设备、内网薄弱设备以及攻击目标各个设备在整个攻击行为中各自对应的攻击步骤，还原整个攻击行为的攻击路径。可选地，所述确定所述告警事件中描述的被攻击设备满足预设的攻击条件，包括：计算所述被攻击设备的资产价值；根据被攻击设备的资产价值、描述被攻击设备的告警事件的类型以及告警次数获得被攻击设备的综合指数；在所述综合指数大于预设阈值时确定所述被攻击设备满足预设的攻击条件。可选地，所述计算被攻击设备的资产价值是通过下式进行计算的：其中，AssetValue表示被攻击设备的资产价值；C表示资产机密性赋值；I表示资产完整性赋值；A表示资产可用性赋值；B表示资产业务相关性赋值。可选地，所述查找网络中与所述攻击目标直接或间接相连、且发生过历史告警事件的第一内网设备，查找与所述告警事件中源地址对应的设备直接或间接连接且发生过历史告警事件的第二内网设备，将所述第一内网设备以及所述第二内网设备作为内网薄弱设备；查找网络中与所述攻击目标或所述告警事件中源地址对应的设备直接或间接相连的外网设备，作为攻击来源设备的步骤，包括：步骤一、在所有的攻击目标中，查找与各个所述攻击目标直接连接的设备，同时查找所述告警事件中源地址所对应的设备，将其中的内网设备添加至列表A，将其中的外网设备作为攻击来源设备添加至攻击来源设备列表S；步骤二、遍历列表A，将列表A中有历史告警事件发生的设备添加至列表B，将列表B中的设备作为内网薄弱设备添加至内部薄弱点设备列表L；步骤三、遍历列表B，查找与列表B中的设备直接连接的设备，同时查找列表B中设备发生的历史告警事件中源地址对应的设备，将其中的内网设备添加至列表D，将其中的外网设备作为攻击来源设备添加至攻击来源设备列表S；步骤四、遍历列表D，将列表D中有历史告警事件发生且告警类型相同设备组合添加至列表E，将列表E设备作为内网薄弱设备添加到内部薄弱点设备列表L中；步骤五、对步骤三中的列表B以及步骤四中的列表D进行递归运算，直至所有的攻击目标均被查找完成，得到最终的内部薄弱点设备列表L以及攻击来源设备列表S。可选地，所述还原整个攻击行为的攻击路径，包括：利用图形化工具生成攻击路径还原的网络拓扑溯源图并输出。第二方面，本专利技术的又一实施例提供了一种攻击路径还原装置，包括：攻击目标获取单元，用于获取各网络设备上记录的告警事件，在确定所述告警事件中描述的被攻击设备满足预设的攻击条件时，将所述被攻击设备确定为攻击目标；其中，所述预设的攻击条件是根据被攻击设备的资产价值、告警事件类型以及告警次数确定的；设备查找单元，用于查找网络中与所述攻击目标直接或间接相连、且发生过历史告警事件的第一内网设备，查找与所述告警事件中源地址对应的设备直接或间接连接且发生过历史告警事件的第二内网设备，将所述第一内网设备以及所述第二内网设备作为内网薄弱设备；查找网络中与所述攻击目标或所述告警事件中源地址对应的设备直接或间接相连的外网设备，作为攻击来源设备；攻击来源确认单元，用于根据所述攻击来源设备的信息以及本地网络威胁情报数据库中的信息，确定实际控制所述攻击来源设备的攻击者设备；路径还原单元，用于根据所述攻击者设备、攻击来源设备、内网薄弱设备以及攻击目标各个设备在整个攻击行为中各自对应的攻击步骤，还原整个攻击行为的攻击路径。可选地，所述攻击目标获取单元，进一步用于：计算所述被攻击设备的资产价值；根据被攻击设备的资产价值、描述被攻击设备的告警事件的类型以及告警次数获得被攻击设备的综合指数；在所述综合指数大于预设阈值时确定所述被攻击设备满足预设的攻击条件。可选地，所述计算被攻击设备的资产价值是通过下式进行计算的：其中，AssetValue表示被攻击设备的资产价值；C表示资产机密性赋值；I表示资产完整性赋值；A表示资产可用性赋值；B表示资产业务相关性赋值。可选地，所述设备查找单元，进一步用于执行以下步骤：步骤一、在所有的攻击目标中，查找与各个所述攻击目标直接连接的设备，同时查找所述告警事件中源地址所对应的设备，将其中的内网设备添加至列表A，将其中的外网设备作为攻击来源设备添加至攻击来源设备列表S；步骤二、遍历列表A，将列表A中有历史告警事件发生的设备添加至列表B，将列表B中的设备作为内网薄弱设备添加至内部薄弱点设备列表L；步骤三、遍历列表B，查找与列表B中的设备直接连接的设备，同时查找列表B中设备发生的历史告警事件中源地址对应的设备，将其中的内网设备添加至列表D，将其中的外网设备作为攻击来源设备添加至攻击来源设备列表S；步骤四、遍历列表D，将本文档来自技高网...

【技术保护点】
1.一种攻击路径还原方法，其特征在于，包括：获取各网络设备上记录的告警事件，在确定所述告警事件中描述的被攻击设备满足预设的攻击条件时，将所述被攻击设备确定为攻击目标；其中，所述预设的攻击条件是根据被攻击设备的资产价值、告警事件类型以及告警次数确定的；查找网络中与所述攻击目标直接或间接相连、且发生过历史告警事件的第一内网设备，查找与所述告警事件中源地址对应的设备直接或间接连接且发生过历史告警事件的第二内网设备，将所述第一内网设备以及所述第二内网设备作为内网薄弱设备；查找网络中与所述攻击目标或所述告警事件中源地址对应的设备直接或间接相连的外网设备，作为攻击来源设备；根据所述攻击来源设备的信息以及本地网络威胁情报数据库中的信息，确定实际控制所述攻击来源设备的攻击者设备；根据所述攻击者设备、攻击来源设备、内网薄弱设备以及攻击目标各个设备在整个攻击行为中各自对应的攻击步骤，还原整个攻击行为的攻击路径。

【技术特征摘要】
1.一种攻击路径还原方法，其特征在于，包括：获取各网络设备上记录的告警事件，在确定所述告警事件中描述的被攻击设备满足预设的攻击条件时，将所述被攻击设备确定为攻击目标；其中，所述预设的攻击条件是根据被攻击设备的资产价值、告警事件类型以及告警次数确定的；查找网络中与所述攻击目标直接或间接相连、且发生过历史告警事件的第一内网设备，查找与所述告警事件中源地址对应的设备直接或间接连接且发生过历史告警事件的第二内网设备，将所述第一内网设备以及所述第二内网设备作为内网薄弱设备；查找网络中与所述攻击目标或所述告警事件中源地址对应的设备直接或间接相连的外网设备，作为攻击来源设备；根据所述攻击来源设备的信息以及本地网络威胁情报数据库中的信息，确定实际控制所述攻击来源设备的攻击者设备；根据所述攻击者设备、攻击来源设备、内网薄弱设备以及攻击目标各个设备在整个攻击行为中各自对应的攻击步骤，还原整个攻击行为的攻击路径。2.根据权利要求1所述的方法，其特征在于，所述确定所述告警事件中描述的被攻击设备满足预设的攻击条件，包括：计算所述被攻击设备的资产价值；根据被攻击设备的资产价值、描述被攻击设备的告警事件的类型以及告警次数获得被攻击设备的综合指数；在所述综合指数大于预设阈值时确定所述被攻击设备满足预设的攻击条件。3.根据权利要求2所述的方法，其特征在于，所述计算被攻击设备的资产价值是通过下式进行计算的：其中，AssetValue表示被攻击设备的资产价值；C表示资产机密性赋值；I表示资产完整性赋值；A表示资产可用性赋值；B表示资产业务相关性赋值。4.根据权利要求1所述的方法，其特征在于，所述查找网络中与所述攻击目标直接或间接相连、且发生过历史告警事件的第一内网设备，查找与所述告警事件中源地址对应的设备直接或间接连接且发生过历史告警事件的第二内网设备，将所述第一内网设备以及所述第二内网设备作为内网薄弱设备；查找网络中与所述攻击目标或所述告警事件中源地址对应的设备直接或间接相连的外网设备，作为攻击来源设备的步骤，包括：步骤一、在所有的攻击目标中，查找与各个所述攻击目标直接连接的设备，同时查找所述告警事件中源地址所对应的设备，将其中的内网设备添加至列表A，将其中的外网设备作为攻击来源设备添加至攻击来源设备列表S；步骤二、遍历列表A，将列表A中有历史告警事件发生的设备添加至列表B，将列表B中的设备作为内网薄弱设备添加至内部薄弱点设备列表L；步骤三、遍历列表B，查找与列表B中的设备直接连接的设备，同时查找列表B中设备发生的历史告警事件中源地址对应的设备，将其中的内网设备添加至列表D，将其中的外网设备作为攻击来源设备添加至攻击来源设备列表S；步骤四、遍历列表D，将列表D中有历史告警事件发生且告警类型相同设备组合添加至列表E，将列表E设备作为内网薄弱设备添加到内部薄弱点设备列表L中；步骤五、对步骤三中的列表B以及步骤四中的列表D进行递归运算，直至所有的攻击目标均被查找完成，得到最终的内部薄弱点设备列表L以及攻击来源设备列表S。5.根据权...

【专利技术属性】
技术研发人员：余筱蕙，蔡国威，钟雪慧，李彬，郝建忠，郑浩彬，
申请(专利权)人：中国移动通信集团广东有限公司，中国移动通信集团公司，
类型：发明
国别省市：广东,44