攻击事件还原方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术公开了一种攻击事件还原方法，应用于计算机技术领域，包括：获取预置时间段内产生的告警信息，并按照预置评分规则，对告警信息进行评分，告警信息包括攻击地址、攻击行为和受害地址信息，对同一攻击地址和受害地址的告警信息进行聚合，得到多个攻击有向线段，攻击有向线段的评分为对应告警信息内分值最高的评分，将具有同一节点的攻击有向线段进行连接，形成攻击链，攻击链的评分为形成攻击链的攻击有向线段的评分之积。本发明专利技术还公开了一种攻击事件还原装置、电子设备及存储介质，可根据攻击链还原攻击事件，同时对攻击链进行评分，使用户可根据评分结果处理攻击事件。

Attack Event Recovery Method, Device, Electronic Equipment and Storage Media

The invention discloses an attack event recovery method, which is applied in the field of computer technology, including acquiring the alarm information generated in the preset time period and scoring the alarm information according to the preset scoring rules. The alarm information includes attack address, attack behavior and victim address information, aggregating the alarm information of the same attack address and victim address, and obtaining more than one. Attack directed line segment is scored as the highest score in the corresponding alarm information. Attack directed line segment with the same node is connected to form an attack chain. Attack chain is scored as the product of attack directed line segment scoring which forms an attack chain. The invention also discloses an attack event recovery device, an electronic device and a storage medium, which can restore the attack event according to the attack chain, and score the attack chain at the same time, so that the user can process the attack event according to the score result.

【技术实现步骤摘要】
攻击事件还原方法、装置、电子设备及存储介质
本专利技术涉及计算机
，尤其涉及一种攻击事件还原方法、装置、电子设备及存储介质。
技术介绍
目前的信息安全事件分析技术，主要思路是通过安全设备产生告警，由安全工程师查看该告警，处理事件。这种方法主要能够发现某一个攻击点，或者某一次漏洞利用，但无法完整的还原和描述攻击者从开始收集信息、到扫描、再到攻击尝试，以及攻击成功的利用等整个攻击过程。且告警数量众多，纷繁复杂，经常会导致有用的信息隐蔽在海量的告警事件中，被忽略。
技术实现思路
本专利技术的主要目的在于提供一种攻击事件还原方法、装置、电子设备及存储介质，可完整的分析和描述出完整的攻击行为，快捷准确的还原攻击过程。为实现上述目的，本专利技术实施例第一方面提供一种攻击事件还原方法，包括：获取预置时间段内产生的告警信息，并按照预置评分规则，对所述告警信息进行评分，所述告警信息包括攻击地址、攻击行为和受害地址信息；对同一攻击地址和受害地址的告警信息进行聚合，得到多个攻击有向线段，所述攻击有向线段的评分为对应告警信息内分值最高的评分，所述攻击有向线段的两个节点分别表示攻击地址和受害地址，所述攻击有向线段的方向由攻击地址指向受害地址；将具有同一节点的攻击有向线段进行连接，形成攻击链，所述攻击链的评分为形成所述攻击链的攻击有向线段的评分之积。本专利技术实施例第二方面提供一种攻击事件还原装置，包括：获取模块，用于获取预置时间段内产生的告警信息，所述告警信息包括攻击地址、攻击行为和受害地址信息；评分模块，用于按照预置评分规则，对所述告警信息进行评分；聚合模块，用于对同一攻击地址和受害地址的告警信息进行聚合，得到多个攻击有向线段，所述攻击有向线段的评分为对应告警信息内分值最高的评分，所述攻击有向线段的两个节点分别表示攻击地址和受害地址，所述攻击有向线段的方向由攻击地址指向受害地址；连接模块，用于将具有同一节点的攻击有向线段进行连接，形成攻击链，所述攻击链的评分为形成所述攻击链的攻击有向线段的评分之积。本专利技术实施例第三方面提供了一种电子设备，包括：存储器，处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现本专利技术实施例第一方面提供的攻击事件还原方法。本专利技术实施例第四方面提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现本专利技术实施例第一方面提供的攻击事件还原方法。从上述本专利技术实施例可知，本专利技术提供的攻击事件还原方法、装置、电子设备及存储介质，通过获取预置时间段内产生的告警信息，并按照预置评分规则，对告警信息进行评分，告警信息包括攻击地址、攻击行为和受害地址信息，对同一攻击地址和受害地址的告警信息进行聚合，得到多个攻击有向线段，攻击有向线段的评分为对应告警信息内分值最高的评分，攻击有向线段的两个节点分别表示攻击地址和受害地址，攻击有向线段的方向由攻击地址指向受害地址，将具有同一节点的攻击有向线段进行连接，形成攻击链，攻击链的评分为形成攻击链的攻击有向线段的评分之积，可根据攻击链还原攻击事件，同时对攻击链进行评分，使用户可根据评分结果处理攻击事件。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术第一实施例提供的攻击事件还原方法的流程示意图；图2为本专利技术又一实施例提供的攻击事件还原装置的结构示意图；图3为本专利技术又一实施例提供的攻击事件还原装置中评分装置的结构示意图图4示出了一种电子设备的硬件结构图。具体实施方式为使得本专利技术的专利技术目的、特征、优点能够更加的明显和易懂，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而非全部实施例。基于本专利技术中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例提供的攻击事件还原方法、装置、电子设备及存储介质，主要针对告警信息按照阶段进行分类、评级、聚合、关联、排序，从而描述出完整的攻击事件的过程，并按照攻击可能造成的危害由高到低进行展示，提示组织、机构或企业处理存在的安全攻击事件、修补漏洞和相关业务，提升自身信息安全防护能力。在本专利技术实施例中，攻击地址是指攻击者的IP地址，受害地址是指受害者的IP地址。请参阅图1，图1为本专利技术第一实施例提供的攻击事件还原方法的流程示意图，该方法可应用于电子设备中，电子设备包括：手机、平板电脑(PortableAndroidDevice，PAD)，笔记本电脑以及个人数字助理(PersonalDigitalAssistant，PDA)等，该方法主要包括以下步骤：S101、获取预置时间段内产生的告警信息，并按照预置评分规则，对告警信息进行评分，告警信息包括攻击地址、攻击行为和受害地址信息；将告警信息的攻击行为按照预置分类规则进行分类。具体的，可以告警信息分为信息收集类告警、攻击尝试类告警、攻击成功类告警、后攻击类告警。其中，信息收集类告警主要包括端口扫描、主机或系统指纹探测、软件或组件版本扫描、漏洞扫描等位于网络攻击第一个阶段，即信息收集，这一阶段常见的攻击行为的告警。攻击尝试类告警，主要描述攻击者在尝试使用漏洞或者欺骗的方法攻击受害者系统这一阶段，在攻击过程中，攻击者行为产生的告警。主要包括漏洞利用尝试类告警、IOC通信类告警以及钓鱼、欺骗行为的告警。攻击成功类告警，描述的是攻击者攻击成功，一定程度上甚至完全控制了受害者主机这种情况产生的告警。主要包括C&C通信类告警、远控类告警(木马或者SHELL等)、漏洞利用成功类告警等等。后攻击类告警，主要描述攻击者在完成上述攻击行为后，继续攻击其他主机或者系统产生的告警。比如，病毒或者蠕虫的内部传播告警，提权类告警，内网系统间非正常通信行为的告警等。将受害地址的重要等级按照预置第一评分规则进行评分。示例性的，将评分等级分为三级，将重要的受害地址，即被攻击后会产生重大影响的受害地址评为一级，将普通的受害地址，即被攻击后会产生一般影响的受害地址评为二级，将不重要的受害地址，即被攻击后会产生微弱影响的受害地址评为三级。根据告警信息的攻击行为的分类结果和受害地址的评分结果，按照预置第二评分规则，对告警信息进行评分。具体的，由告警信息的攻击行为和受害地址的重要性决定对告警信息的评分，示例性的，可以将评分等级分为四级，严重级别、高危级别、中危级别和低危级别。其中，严重级别，可表示为P0，评分为9-10分，对受害者系统造成严重危害，包括但不限于业务中断、最高密级数据丢失、系统受到难以修复的损害等。高危级别，可表示为P1，评分为7-8分，对受害者系统造成较为严重的危害，包括但不限于业务未中断，但受到严重影响(必须处理速度不可接受、部分业务流程出现问题等)、高密级数据泄露，系统受到需要较长时间才能修复的损失等。中危级别，可表示为P2，评分为4-6分，对受害者系统造成一定程度的影响，包括但不限于业务处理速度缓慢，或者业本文档来自技高网...

【技术保护点】
1.一种攻击事件还原方法，其特征在于，包括：获取预置时间段内产生的告警信息，并按照预置评分规则，对所述告警信息进行评分，所述告警信息包括攻击地址、攻击行为和受害地址信息；对同一攻击地址和受害地址的告警信息进行聚合，得到多个攻击有向线段，所述攻击有向线段的评分为对应告警信息内分值最高的评分，所述攻击有向线段的两个节点分别表示攻击地址和受害地址，所述攻击有向线段的方向由攻击地址指向受害地址；将具有同一节点的攻击有向线段进行连接，形成攻击链，所述攻击链的评分为形成所述攻击链的攻击有向线段的评分之积。

【技术特征摘要】
1.一种攻击事件还原方法，其特征在于，包括：获取预置时间段内产生的告警信息，并按照预置评分规则，对所述告警信息进行评分，所述告警信息包括攻击地址、攻击行为和受害地址信息；对同一攻击地址和受害地址的告警信息进行聚合，得到多个攻击有向线段，所述攻击有向线段的评分为对应告警信息内分值最高的评分，所述攻击有向线段的两个节点分别表示攻击地址和受害地址，所述攻击有向线段的方向由攻击地址指向受害地址；将具有同一节点的攻击有向线段进行连接，形成攻击链，所述攻击链的评分为形成所述攻击链的攻击有向线段的评分之积。2.根据权利要求1所述的攻击事件还原方法，其特征在于，所述按照预置评分规则，对所述告警信息进行评分包括：将所述告警信息的攻击行为按照预置分类规则进行分类；将所述受害地址的重要等级按照预置第一评分规则进行评分；根据所述告警信息的攻击行为的分类结果和受害地址的评分结果，按照预置第二评分规则，对所述告警信息进行评分。3.根据权利要求2所述的攻击事件还原方法，其特征在于，所述将所述告警信息的攻击行为按照预置分类规则进行分类包括：根据所述行为信息，按照预置分类规则，将所述告警信息分为信息收集类告警、攻击尝试类告警、攻击成功类告警、后攻击类告警。4.根据权利要求1至3任意一项所述的攻击事件还原方法，其特征在于，所述形成攻击链之后，还包括：按照所述攻击链评分值的大小，由大到小排列所述攻击链。5.一种攻击事件还原装置，其特征在于，包括：获取模块，用于获取预置时间段内产生的告警信息，所述告警信息包括攻击地址、攻击行为和受害地址信息；评分模块，用于按照预置评分规则，对所述告警信息进行评分；聚...

【专利技术属性】
技术研发人员：陈然，聂君，赵灿辉，
申请(专利权)人：北京奇安信科技有限公司，
类型：发明
国别省市：北京,11