一种攻击行为确定方法、装置及态势感知系统制造方法及图纸

本发明专利技术实施例公开了一种攻击行为确定方法、装置及态势感知系统，该方法包括：根据目标访问行为的访问路径节点以及目标访问行为在访问路径节点的访问触发时刻，确定目标访问行为的访问路径时间轴；判断访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中攻击路径时间轴为：根据攻击行为的攻击路径节点以及攻击行为在攻击路径节点的攻击触发时刻确定的；如果是，将目标访问行为确定为第一攻击行为。应用本发明专利技术实施例提供的方案，能够全面准确的感知攻击行为。

【技术实现步骤摘要】
一种攻击行为确定方法、装置及态势感知系统
本专利技术涉及网络安全
，特别涉及一种攻击行为确定方法、装置及态势感知系统。
技术介绍
随着计算机网络的迅速普及和各种网络新业务的不断兴起，网络安全问题已经逐渐渗透到社会生活的各个领域，并且变得越来越严峻。为了更好地保证网络安全，阻止破坏资源完整性、可用性和保密性等的攻击行为，及时发现攻击行为并采取相应的抵御措施来避免进一步的攻击，减少攻击造成的危害，已成为目前网络安全研究的热点。网络态势是指各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势，网络态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。对于网络安全的态势感知，现有技术是基于业务日志来进行分析的，从业务日志中分析出攻击行为，并根据分析出的攻击行为对业务系统进行态势感知，业务日志为业务系统实际运行时产生的日志。由于现有的业务系统在层层防御体系之后，业务日志中的攻击日志更多是较浅层面的泛扫描攻击行为，因而从业务日志中并不能捕获到足够多的数据来确定深入的攻击路径，进而也就无法了解攻击者对业务的关注度和深度攻击手法，及攻击者意图窃取的关键业务数据。也就是说，现有技术中的态势感知方法不能全面准确的感知攻击者的攻击行为。
技术实现思路
本专利技术实施例的目的在于提供一种攻击行为确定方法、装置及态势感知系统，以全面准确的感知攻击行为。具体技术方案如下：为达到上述目的，本专利技术实施例公开了一种攻击行为确定方法，所述方法包括：根据目标访问行为的访问路径节点以及所述目标访问行为在所述访问路径节点的访问触发时刻，确定所述目标访问行为的访问路径时间轴；判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中，所述攻击路径时间轴为：根据攻击行为的攻击路径节点以及所述攻击行为在所述攻击路径节点的攻击触发时刻确定的；如果是，将所述目标访问行为确定为第一攻击行为。可选的，所述目标访问行为存在于业务系统中。可选的，所述预设的攻击路径信息库按照以下方式生成：获取预设的蜜罐系统中的蜜罐日志；确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴；根据所确定的攻击路径时间轴，生成所述预设的攻击路径信息库。可选的，所述蜜罐系统为：根据所述业务系统中的服务搭建的。可选的，所述确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴，包括：根据预设的攻击行为特征，确定所述蜜罐日志所对应的第二攻击行为；根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。可选的，所述根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴，包括：根据所述蜜罐系统中的流量，确定所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻；根据所述目标攻击路径节点以及所述目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。可选的，所述蜜罐日志为：通过应用层替换bash记录的bash操作日志；和/或通过内核模块补丁记录的键盘操作日志。为达到上述目的，本专利技术实施例还公开了一种攻击行为确定装置，所述装置包括：第一确定模块，用于根据目标访问行为的访问路径节点以及所述目标访问行为在所述访问路径节点的访问触发时刻，确定所述目标访问行为的访问路径时间轴；判断模块，用于判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中，所述攻击路径时间轴为：根据攻击行为的攻击路径节点以及所述攻击行为在所述攻击路径节点的攻击触发时刻确定的；第二确定模块，用于在所述判断模块判断出所述访问路径时间轴与预设的攻击路径信息库中记录的攻击路径时间轴匹配时，将所述目标访问行为确定为第一攻击行为。可选的，所述目标访问行为存在于业务系统中。可选的，所述装置还包括：生成模块，用于生成所述预设的攻击路径信息库；其中，所述生成模块，包括：获取子模块，用于获取预设的蜜罐系统中的蜜罐日志，其中，所述蜜罐系统为：根据所述业务系统中的服务搭建的；确定子模块，用于确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴；生成子模块，用于根据所确定的攻击路径时间轴，生成所述预设的攻击路径信息库。可选的，所述蜜罐系统为：根据所述业务系统中的服务搭建的。可选的，所述确定子模块，包括：第一确定单元，用于根据预设的攻击行为特征，确定所述蜜罐日志所对应的第二攻击行为；第二确定单元，用于根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。可选的，所述第二确定单元，包括：第一确定子单元，用于根据所述蜜罐系统中的流量，确定所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻；第二确定子单元，用于根据所述目标攻击路径节点以及所述目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。可选的，所述蜜罐日志为：通过应用层替换bash记录的bash操作日志；和/或通过内核模块补丁记录的键盘操作日志。为达到上述目的，本专利技术实施例还公开了一种态势感知系统，所述系统包括：态势感知分析平台、业务系统、蜜罐系统，其中：所述业务系统，用于向所述态势感知分析平台反馈自身的目标访问行为；所述态势感知分析平台，用于接收所述业务系统反馈的目标访问行为；根据所述目标访问行为的访问路径节点以及所述目标访问行为在所述访问路径节点的访问触发时刻，确定所述目标访问行为的访问路径时间轴；判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中，所述攻击路径时间轴为：根据攻击行为的攻击路径节点以及所述攻击行为在所述攻击路径节点的攻击触发时刻确定的；如果是，将所述目标访问行为确定为第一攻击行为；所述蜜罐系统，用于向所述态势感知分析平台反馈自身的蜜罐日志；所述态势感知分析平台，还用于接收所述蜜罐系统反馈的蜜罐日志；确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴；根据所确定的攻击路径时间轴，生成所述预设的攻击路径信息库。可选的，所述蜜罐系统为：根据所述业务系统中的服务搭建的。可选的，所述态势感知分析平台，具体用于根据预设的攻击行为特征，确定所述蜜罐日志所对应的第二攻击行为；根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标访问触发时刻，确定所述第二攻击行为的攻击路径时间轴。可选的，所述态势感知分析平台，具体用于根据所述蜜罐系统中的流量，确定所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻；根据所述目标攻击路径节点以及所述目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。可选的，所述蜜罐日志为：通过应用层替换bash记录的bash操作日志；和/或通过内核模块补丁记录的键盘操作日志。可选的，所述蜜罐系统包括：蜜罐控制服务器、日志服务器蜜罐、应用数据库蜜罐、应用服务器蜜罐；其中，所述应用数据库蜜罐，用于提供数据库服务，生成本文档来自技高网...

【技术保护点】
1.一种攻击行为确定方法，其特征在于，所述方法包括：根据目标访问行为的访问路径节点以及所述目标访问行为在所述访问路径节点的访问触发时刻，确定所述目标访问行为的访问路径时间轴；判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中，所述攻击路径时间轴为：根据攻击行为的攻击路径节点以及所述攻击行为在所述攻击路径节点的攻击触发时刻确定的；如果是，将所述目标访问行为确定为第一攻击行为。

【技术特征摘要】
1.一种攻击行为确定方法，其特征在于，所述方法包括：根据目标访问行为的访问路径节点以及所述目标访问行为在所述访问路径节点的访问触发时刻，确定所述目标访问行为的访问路径时间轴；判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中，所述攻击路径时间轴为：根据攻击行为的攻击路径节点以及所述攻击行为在所述攻击路径节点的攻击触发时刻确定的；如果是，将所述目标访问行为确定为第一攻击行为。2.根据权利要求1所述的方法，其特征在于，所述目标访问行为存在于业务系统中。3.根据权利要求1所述的方法，其特征在于，所述预设的攻击路径信息库按照以下方式生成：获取预设的蜜罐系统中的蜜罐日志；确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴；根据所确定的攻击路径时间轴，生成所述预设的攻击路径信息库。4.根据权利要求3所述的方法，其特征在于，所述蜜罐系统为：根据所述业务系统中的服务搭建的。5.根据权利要求3所述的方法，其特征在于，所述确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴，包括：根据预设的攻击行为特征，确定所述蜜罐日志所对应的第二攻击行为；根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。6.根据权利要求5所述的方法，其特征在于，所述根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴，包括：根据所述蜜罐系统中的流量，确定所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻；根据所述目标攻击路径节点以及所述目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。7.根据权利要求3-6中任一项所述的方法，其特征在于，所述蜜罐日志为：通过应用层替换bash记录的bash操作日志；和/或通过内核模块补丁记录的键盘操作日志。8.一种攻击行为确定装置，其特征在于，所述装置包括：第一确定模块，用于根据目标访问行为的访问路径节点以及所述目标访问行为在所述访问路径节点的访问触发时刻，确定所述目标访问行为的访问路径时间轴；判断模块，用于判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中，所述攻击路径时间轴为：根据攻击行为的攻击路径节点以及所述攻击行为在所述攻击路径节点的攻击触发时刻确定的；第二确定模块，用于在所述判断模块判断出所述访问路径时间轴与预设的攻击路径信息库中记录的攻击路径时间轴匹配时，将所述目标访问行为确定为第一攻击行为。9.根据权利要求8所述的装置，其特征在于，所述目标访问行为存在于业务系统中。10.根据权利要求8所述的装置，其特征在于，所述装置还包括：生成模块，用于生成所述预设的攻击路径信息库；其中，所述生成模块，包括：获取子模块，用于获取预设的蜜罐系统中的蜜罐日志；确定子模块，用于确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴；生成子模块，用于根据所确定的攻击路径时间轴，生成所述预设的攻击路径信息库。11.根据权利要求10所述的装置，其特征在于，所述蜜罐系统为：根据所述业务系统中的服务搭建的。12.根据权利要求10所述的装置，其特征在于，所述确定子模块，包括：第一确定单元，用于根据预设的攻击行为特征，确定所述蜜罐日志所对应的第二攻击行为；第二确定单元，用于根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。13.根据权利要求12所述的装置，其特征在于，所述第二确定单元，包括：第一确定子单元，用于根据所述蜜罐系统中的流量，确定所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻；第二确定子单元，用于根据所述目标攻击路径节点以及所述目标攻...

【专利技术属性】
技术研发人员：邱雁杰，
申请(专利权)人：北京金山云网络技术有限公司，北京金山云科技有限公司，
类型：发明
国别省市：北京,11