The invention provides a method, device and server for determining the intrusion stage, the method includes: receiving the first alarm record; wherein, the first alarm record carries the identity information of the victim host; obtaining the second alarm record of the victim host within a preset period based on the identity information of the victim host; judging the intrusion operation corresponding to the first alarm record based on the second alarm record Success or not; if yes, determine the intrusion stage corresponding to the first alarm record according to the second alarm record. The invention can effectively improve the accuracy rate of determining the invasion stage.
【技术实现步骤摘要】
入侵阶段的确定方法、装置及服务器
本专利技术涉及互联网
,尤其是涉及一种入侵阶段的确定方法、装置及服务器。
技术介绍
网络安全防护设备是一种利用网络安全技术对诸如主机等互联网设备进行安全检测的设备,当检测到互联网设备受到恶意攻击时网络安全防护设备将生成告警记录,并基于告警记录与入侵阶段的映射关系确定生成的告警记录对应的入侵阶段,从而采用该入侵阶段对应的防护措施对互联网设备进行保护。但是专利技术人经研究发现,现有告警记录误报率较高,进而导致在基于映射关系确定入侵阶段时具有较低的准确率。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种入侵阶段的确定方法、装置及服务器,可以有效提高确定入侵阶段的准确率。第一方面,本专利技术实施例提供了一种入侵阶段的确定方法,包括:接收第一告警记录;其中,所述第一告警记录携带有受害主机的身份信息;基于所述受害主机的身份信息,获取预设时段内所述受害主机的第二告警记录;基于所述第二告警记录判断所述第一告警记录对应的入侵操作是否成功;如果是,根据所述第二告警记录确定所述第一告警记录对应的入侵阶段。结合第一方面,本专利技术实施例提供了第一方面的第一种可能的实施方式,其中,所述接收第一告警记录的步骤,包括:当监听到网络安全防护设备生成主机告警记录时,向所述网络安全防护设备发送推送指令,以使所述网络安全防护设备基于所述推送指令推送所述主机告警记录;接收所述网络安全防护设备推送的所述主机告警记录,并将所述主机告警记录作为第一告警记录。结合第一方面,本专利技术实施例提供了第一方面的第二种可能的实施方式,其中,在所述基于所述受害主机的身份信 ...
【技术保护点】
1.一种入侵阶段的确定方法,其特征在于,包括:接收第一告警记录;其中,所述第一告警记录携带有受害主机的身份信息;基于所述受害主机的身份信息,获取预设时段内所述受害主机的第二告警记录;基于所述第二告警记录判断所述第一告警记录对应的入侵操作是否成功;如果是,根据所述第二告警记录确定所述第一告警记录对应的入侵阶段。
【技术特征摘要】
1.一种入侵阶段的确定方法,其特征在于,包括:接收第一告警记录;其中,所述第一告警记录携带有受害主机的身份信息;基于所述受害主机的身份信息,获取预设时段内所述受害主机的第二告警记录;基于所述第二告警记录判断所述第一告警记录对应的入侵操作是否成功;如果是,根据所述第二告警记录确定所述第一告警记录对应的入侵阶段。2.根据权利要求1所述的方法,其特征在于,所述接收第一告警记录的步骤,包括:当监听到网络安全防护设备生成主机告警记录时,向所述网络安全防护设备发送推送指令,以使所述网络安全防护设备基于所述推送指令推送所述主机告警记录;接收所述网络安全防护设备推送的所述主机告警记录,并将所述主机告警记录作为第一告警记录。3.根据权利要求1所述的方法,其特征在于,在所述基于所述受害主机的身份信息,获取预设时段内所述受害主机的第二告警记录的步骤之前,所述方法还包括:提取所述第一告警记录的告警时间字段,并基于所述告警时间字段确定预设时段。4.根据权利要求2所述的方法,其特征在于,所述基于所述受害主机的身份信息,获取预设时段内所述受害主机的第二告警记录的步骤,包括:将所述受害主机的身份信息和预设时段的标识发送至所述网络安全防护设备,以使所述网络安全防护设备基于所述受害主机的身份信息和所述预设时段的标识,查找预设时段内所述受害主机的第二告警记录,并返回查找到的所述第二告警记录;接收所述网络安全防护设备返回的所述第二告警记录。5.根据权利要求1所述的方法...
【专利技术属性】
技术研发人员:王世晋,范渊,黄进,王辉,王世有,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。