攻击事件溯源分析方法、系统、用户设备及存储介质技术方案

本发明专利技术公开了一种攻击事件溯源分析方法、系统、用户设备及存储介质，本发明专利技术通过在检测到攻击事件时，获取各监测点的探针数据；根据所述探针数据建立各监测点之间的关联关系；对所述探针数据进行威胁检测；在检测到威胁时，将所述探针数据对应的监测点作为攻击目标；根据所述攻击目标及所述关联关系进行溯源，获得攻击链；将所述攻击链作为所述攻击事件的溯源结果，实现了当攻击事件发生时对数据进行多维度威胁检测及溯源，还原攻击的相关过程，最终形成攻击链条视图，为后续威胁应对及修复提供依据，加强了威胁抵御能力，有效降低被攻击者的损失。

【技术实现步骤摘要】
攻击事件溯源分析方法、系统、用户设备及存储介质
本专利技术涉及终端安全领域，尤其涉及一种攻击事件溯源分析方法、系统、用户设备及存储介质。
技术介绍
目前随着攻击手段多样化，攻击团队专业化、组织化，攻防不对等加剧。尽管随着人们网络安全意识的提高，用户设备中经常会用到多个安全产品，例如防火墙，邮件网关，杀毒软件，堡垒主机，VPN等等，但还是难以有效应对日益严峻的威胁形势。传统安全产品单点防御，侧重于某一个主题，某一个方向，安全产品之间无法共享安全数据及规则，没有形成一个安全闭环。当发生攻击威胁时，每个安全产品只会上报各自的问题，并没有形成完整的攻击链，用户不清楚整体威胁是如何发生的，不能从根本上斩断攻击链，也无法从整个攻击链上进行全面防御，导致威胁发现能力不足。同时传统安全产品普遍缺乏对黑客攻击过程进行监控的能力，黑客怎么攻进来的，黑客带走了什么都无法监测，也就无法精准地去做防护。上述内容仅用于辅助理解本专利技术的技术方案，并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供一种攻击事件溯源分析方法、系统、用户设备及存储介质，旨在解决现有技术中多种安全产品不能形成一个安全闭环，当发生攻击事件时无法找到威胁根源的技术问题。为实现上述目的，本专利技术提供一种攻击事件溯源分析方法，所述方法包括以下步骤：在检测到攻击事件时，获取各监测点的探针数据；根据所述探针数据建立各监测点之间的关联关系；对所述探针数据进行威胁检测；在检测到威胁时，将所述探针数据对应的监测点作为攻击目标；根据所述攻击目标及所述关联关系进行溯源，获得攻击链；将所述攻击链作为所述攻击事件的溯源结果。优选地，所述根据所述攻击目标及所述关联关系进行溯源，获得攻击链，具体包括：根据所述关联关系对所述攻击目标进行溯源，获得攻击源；根据所述攻击源、所述攻击目标及所述关联关系生成攻击链。优选地，所述根据所述关联关系对所述攻击目标进行溯源，获得攻击源，具体包括：获取用户输入的溯源时间；根据所述关联关系及所述溯源时间对所述攻击目标进行溯源，获得攻击源。优选地，所述对所述探针数据进行威胁检测，具体包括：根据入侵指标特征检测模型、高频威胁检测模型、基线检测模型以及机器学习检测模型对所述探针数据进行威胁检测。优选地，所述对所述探针数据进行威胁检测之后，所述方法还包括：在未检测到威胁时，根据预设攻击关键点规则进行触发检测；在触发检测结果为具有未知威胁时，对所述探针数据进行云检测；在云检测结果为具有云端已知威胁时，将所述探针数据对应的监测点作为攻击目标；根据所述攻击目标及所述关联关系进行溯源，获得攻击链；将所述攻击链作为所述攻击事件的溯源结果。优选地，所述云检测包括IP信誉检测、DNS检测、URL检测、多引擎检测、沙箱检测、黑盒检测以及白盒检测中的至少一种。优选地，所述在触发检测结果为具有未知威胁时，对所述探针数据进行云检测之后，所述方法还包括：在云检测结果为没有云端已知威胁时，根据所述探针数据及所述关联关系生成关联视图；将所述关联视图作为所述攻击事件的溯源结果。此外，为实现上述目的，本专利技术还提出一种攻击事件溯源分析系统，所述攻击事件溯源分析系统包括：数据获取模块，用于在检测到攻击事件时，获取各监测点的探针数据；关系确定模块，用于根据所述探针数据建立各监测点的关联关系；数据检测模块，用于对所述探针数据进行威胁检测；目标确定模块，用于在检测到威胁时，将所述探针数据对应的监测点作为攻击目标；威胁溯源模块，用于根据所述攻击目标及所述关联关系进行溯源，获得攻击链；结果可视化模块，用于将所述攻击链作为所述攻击事件的溯源结果。此外，为实现上述目的，本专利技术还提出一种用户设备，所述用户设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的攻击事件溯源分析程序，所述攻击事件溯源分析程序配置为实现所述的攻击事件溯源分析方法的步骤。此外，为实现上述目的，本专利技术还提出一种存储介质，所述存储介质上存储有攻击事件溯源分析程序，所述攻击事件溯源分析程序被处理器执行时实现所述的攻击事件溯源分析方法的步骤。本专利技术通过在检测到攻击事件时，获取各监测点的探针数据；根据所述探针数据建立各监测点之间的关联关系；对所述探针数据进行威胁检测；在检测到威胁时，将所述探针数据对应的监测点作为攻击目标；根据所述攻击目标及所述关联关系进行溯源，获得攻击链；将所述攻击链作为所述攻击事件的溯源结果，实现了当攻击事件发生时对数据进行多维度威胁检测及溯源，还原攻击的相关过程，最终形成攻击链条视图，为后续威胁应对及修复提供依据，加强了威胁抵御能力，有效降低被攻击者的损失。附图说明图1是本专利技术实施例方案涉及的硬件运行环境的用户设备结构示意图；图2为本专利技术攻击事件溯源分析方法第一实施例的流程示意图；图3为本专利技术攻击事件溯源分析方法第二实施例的流程示意图；图4为本专利技术攻击事件溯源分析方法第三实施例的流程示意图；图5为本专利技术攻击事件溯源分析系统第一实施例的功能模块图。本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。参照图1，图1为本专利技术实施例方案涉及的硬件运行环境的用户设备的结构示意图。如图1所示，该用户设备可以包括：处理器1001，例如CPU，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器，也可以是稳定的存储器(non-volatilememory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。本领域技术人员可以理解，图1中示出的结构并不构成对用户设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。如图1所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及攻击事件溯源分析程序。在图1所示的用户设备中，网络接口1004主要用于与外部网络进行数据通信；用户接口1003主要用于接收用户的输入指令；所述用户设备通过处理器1001调用存储器1005中存储的攻击事件溯源分析程序，并执行以下操作：在检测到攻击事件时，获取各监测点的探针数据；根据探针数据建立各监测点之间的关联关系；对探针数据进行威胁检测；在检测到威胁时，将探针数据对应的监测点作为攻击目标；根据攻击目标及关联关系进行溯源，获得攻击链；将攻击链作为攻击事件的溯源结果。进一步地，处理器1001可以调用存储器1005中存储的攻击事件溯源分析程序，还执行以下操作：根据关联关系对攻击目标进行溯源，获得攻击源；根据攻击源、攻击目标及关联关系生成攻击链。进一步地，处理器1001可以调用存储器1005中存储的攻击事件溯源分析程序，还执行以下操作：获取用户输入的溯源时间；根据关联关系及溯源时间对攻击目标进行溯源，获得攻击源。进一步地，处理器10本文档来自技高网...

【技术保护点】
1.一种攻击事件溯源分析方法，其特征在于，所述攻击事件溯源分析方法包括以下步骤：用户设备在检测到攻击事件时，获取各监测点的探针数据；根据所述探针数据建立各监测点之间的关联关系；对所述探针数据进行威胁检测；在检测到威胁时，将所述探针数据对应的监测点作为攻击目标；根据所述攻击目标及所述关联关系进行溯源，获得攻击链；将所述攻击链作为所述攻击事件的溯源结果。

【技术特征摘要】
1.一种攻击事件溯源分析方法，其特征在于，所述攻击事件溯源分析方法包括以下步骤：用户设备在检测到攻击事件时，获取各监测点的探针数据；根据所述探针数据建立各监测点之间的关联关系；对所述探针数据进行威胁检测；在检测到威胁时，将所述探针数据对应的监测点作为攻击目标；根据所述攻击目标及所述关联关系进行溯源，获得攻击链；将所述攻击链作为所述攻击事件的溯源结果。2.如权利要求1所述的攻击事件溯源分析方法，其特征在于，所述根据所述攻击目标及所述关联关系进行溯源，获得攻击链，具体包括：根据所述关联关系对所述攻击目标进行溯源，获得攻击源；根据所述攻击源、所述攻击目标及所述关联关系生成攻击链。3.如权利要求2所述的攻击事件溯源分析方法，其特征在于，所述根据所述关联关系对所述攻击目标进行溯源，获得攻击源，具体包括：获取用户输入的溯源时间；根据所述关联关系及所述溯源时间对所述攻击目标进行溯源，获得攻击源。4.如权利要求1所述的攻击事件溯源分析方法，其特征在于，所述对所述探针数据进行威胁检测，具体包括：根据入侵指标特征检测模型、高频威胁检测模型、基线检测模型以及机器学习检测模型对所述探针数据进行威胁检测。5.如权利要求4所述的攻击事件溯源分析方法，其特征在于，所述对所述探针数据进行威胁检测之后，所述方法还包括：在未检测到威胁时，根据预设攻击关键点规则进行触发检测；在触发检测结果为具有未知威胁时，对所述探针数据进行云检测；在云检测结果为具有云端已知威胁时，将所述探针数据对应的监测点作为攻击目标；根据所述攻击目标及所述关联关系进行溯...

【专利技术属性】
技术研发人员：李小刚，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44