The invention discloses an attack event recovery method, which is applied in the field of computer technology, including acquiring the alarm information generated in the preset time period and scoring the alarm information according to the preset scoring rules. The alarm information includes attack address, attack behavior and victim address information, aggregating the alarm information of the same attack address and victim address, and obtaining more than one. Attack directed line segment is scored as the highest score in the corresponding alarm information. Attack directed line segment with the same node is connected to form an attack chain. Attack chain is scored as the product of attack directed line segment scoring which forms an attack chain. The invention also discloses an attack event recovery device, an electronic device and a storage medium, which can restore the attack event according to the attack chain, and score the attack chain at the same time, so that the user can process the attack event according to the score result.
【技术实现步骤摘要】
攻击事件还原方法、装置、电子设备及存储介质
本专利技术涉及计算机
,尤其涉及一种攻击事件还原方法、装置、电子设备及存储介质。
技术介绍
目前的信息安全事件分析技术,主要思路是通过安全设备产生告警,由安全工程师查看该告警,处理事件。这种方法主要能够发现某一个攻击点,或者某一次漏洞利用,但无法完整的还原和描述攻击者从开始收集信息、到扫描、再到攻击尝试,以及攻击成功的利用等整个攻击过程。且告警数量众多,纷繁复杂,经常会导致有用的信息隐蔽在海量的告警事件中,被忽略。
技术实现思路
本专利技术的主要目的在于提供一种攻击事件还原方法、装置、电子设备及存储介质,可完整的分析和描述出完整的攻击行为,快捷准确的还原攻击过程。为实现上述目的,本专利技术实施例第一方面提供一种攻击事件还原方法,包括:获取预置时间段内产生的告警信息,并按照预置评分规则,对所述告警信息进行评分,所述告警信息包括攻击地址、攻击行为和受害地址信息;对同一攻击地址和受害地址的告警信息进行聚合,得到多个攻击有向线段,所述攻击有向线段的评分为对应告警信息内分值最高的评分,所述攻击有向线段的两个节点分别表示攻击地址和受害地址,所述攻击有向线段的方向由攻击地址指向受害地址;将具有同一节点的攻击有向线段进行连接,形成攻击链,所述攻击链的评分为形成所述攻击链的攻击有向线段的评分之积。本专利技术实施例第二方面提供一种攻击事件还原装置,包括:获取模块,用于获取预置时间段内产生的告警信息,所述告警信息包括攻击地址、攻击行为和受害地址信息;评分模块,用于按照预置评分规则,对所述告警信息进行评分;聚合模块,用于对同一攻击地址 ...
【技术保护点】
1.一种攻击事件还原方法,其特征在于,包括:获取预置时间段内产生的告警信息,并按照预置评分规则,对所述告警信息进行评分,所述告警信息包括攻击地址、攻击行为和受害地址信息;对同一攻击地址和受害地址的告警信息进行聚合,得到多个攻击有向线段,所述攻击有向线段的评分为对应告警信息内分值最高的评分,所述攻击有向线段的两个节点分别表示攻击地址和受害地址,所述攻击有向线段的方向由攻击地址指向受害地址;将具有同一节点的攻击有向线段进行连接,形成攻击链,所述攻击链的评分为形成所述攻击链的攻击有向线段的评分之积。
【技术特征摘要】
1.一种攻击事件还原方法,其特征在于,包括:获取预置时间段内产生的告警信息,并按照预置评分规则,对所述告警信息进行评分,所述告警信息包括攻击地址、攻击行为和受害地址信息;对同一攻击地址和受害地址的告警信息进行聚合,得到多个攻击有向线段,所述攻击有向线段的评分为对应告警信息内分值最高的评分,所述攻击有向线段的两个节点分别表示攻击地址和受害地址,所述攻击有向线段的方向由攻击地址指向受害地址;将具有同一节点的攻击有向线段进行连接,形成攻击链,所述攻击链的评分为形成所述攻击链的攻击有向线段的评分之积。2.根据权利要求1所述的攻击事件还原方法,其特征在于,所述按照预置评分规则,对所述告警信息进行评分包括:将所述告警信息的攻击行为按照预置分类规则进行分类;将所述受害地址的重要等级按照预置第一评分规则进行评分;根据所述告警信息的攻击行为的分类结果和受害地址的评分结果,按照预置第二评分规则,对所述告警信息进行评分。3.根据权利要求2所述的攻击事件还原方法,其特征在于,所述将所述告警信息的攻击行为按照预置分类规则进行分类包括:根据所述行为信息,按照预置分类规则,将所述告警信息分为信息收集类告警、攻击尝试类告警、攻击成功类告警、后攻击类告警。4.根据权利要求1至3任意一项所述的攻击事件还原方法,其特征在于,所述形成攻击链之后,还包括:按照所述攻击链评分值的大小,由大到小排列所述攻击链。5.一种攻击事件还原装置,其特征在于,包括:获取模块,用于获取预置时间段内产生的告警信息,所述告警信息包括攻击地址、攻击行为和受害地址信息;评分模块,用于按照预置评分规则,对所述告警信息进行评分;聚...
【专利技术属性】
技术研发人员:陈然,聂君,赵灿辉,
申请(专利权)人:北京奇安信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。