入侵阶段的确定方法、装置及服务器制造方法及图纸

本发明专利技术提供了一种入侵阶段的确定方法、装置及服务器，该方法包括：接收第一告警记录；其中，第一告警记录携带有受害主机的身份信息；基于受害主机的身份信息，获取预设时段内受害主机的第二告警记录；基于第二告警记录判断第一告警记录对应的入侵操作是否成功；如果是，根据第二告警记录确定第一告警记录对应的入侵阶段。本发明专利技术可以有效提高确定入侵阶段的准确率。

Determination method, device and server of intrusion stage

The invention provides a method, device and server for determining the intrusion stage, the method includes: receiving the first alarm record; wherein, the first alarm record carries the identity information of the victim host; obtaining the second alarm record of the victim host within a preset period based on the identity information of the victim host; judging the intrusion operation corresponding to the first alarm record based on the second alarm record Success or not; if yes, determine the intrusion stage corresponding to the first alarm record according to the second alarm record. The invention can effectively improve the accuracy rate of determining the invasion stage.

【技术实现步骤摘要】
入侵阶段的确定方法、装置及服务器
本专利技术涉及互联网
，尤其是涉及一种入侵阶段的确定方法、装置及服务器。
技术介绍
网络安全防护设备是一种利用网络安全技术对诸如主机等互联网设备进行安全检测的设备，当检测到互联网设备受到恶意攻击时网络安全防护设备将生成告警记录，并基于告警记录与入侵阶段的映射关系确定生成的告警记录对应的入侵阶段，从而采用该入侵阶段对应的防护措施对互联网设备进行保护。但是专利技术人经研究发现，现有告警记录误报率较高，进而导致在基于映射关系确定入侵阶段时具有较低的准确率。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种入侵阶段的确定方法、装置及服务器，可以有效提高确定入侵阶段的准确率。第一方面，本专利技术实施例提供了一种入侵阶段的确定方法，包括：接收第一告警记录；其中，所述第一告警记录携带有受害主机的身份信息；基于所述受害主机的身份信息，获取预设时段内所述受害主机的第二告警记录；基于所述第二告警记录判断所述第一告警记录对应的入侵操作是否成功；如果是，根据所述第二告警记录确定所述第一告警记录对应的入侵阶段。结合第一方面，本专利技术实施例提供了第一方面的第一种可能的实施方式，其中，所述接收第一告警记录的步骤，包括：当监听到网络安全防护设备生成主机告警记录时，向所述网络安全防护设备发送推送指令，以使所述网络安全防护设备基于所述推送指令推送所述主机告警记录；接收所述网络安全防护设备推送的所述主机告警记录，并将所述主机告警记录作为第一告警记录。结合第一方面，本专利技术实施例提供了第一方面的第二种可能的实施方式，其中，在所述基于所述受害主机的身份信息，获取预设时段内所述受害主机的第二告警记录的步骤之前，所述方法还包括：提取所述第一告警记录的告警时间字段，并基于所述告警时间字段确定预设时段。结合第一方面的第一种可能的实施方式，本专利技术实施例提供了第一方面的第三种可能的实施方式，其中，所述基于所述受害主机的身份信息，获取预设时段内所述受害主机的第二告警记录的步骤，包括：将所述受害主机的身份信息和预设时段的标识发送至所述网络安全防护设备，以使所述网络安全防护设备基于所述受害主机的身份信息和所述预设时段的标识，查找预设时段内所述受害主机的第二告警记录，并返回查找到的所述第二告警记录；接收所述网络安全防护设备返回的所述第二告警记录。结合第一方面，本专利技术实施例提供了第一方面的第四种可能的实施方式，其中，所述基于所述第二告警记录判断所述第一告警记录对应的入侵操作是否成功的步骤，包括：判断所述第一告警记录与所述第二告警记录是否存在告警关联；如果是，确定所述第一告警记录对应的入侵操作成功。结合第一方面的第四种可能的实施方式，本专利技术实施例提供了第一方面的第五种可能的实施方式，其中，所述根据所述第二告警记录确定所述第一告警记录对应的入侵阶段的步骤，包括：若所述第一告警记录与所述第二告警记录存在告警关联，查找与所述告警关联对应的入侵阶段，并将所述告警关联对应的入侵阶段确定为所述第一告警记录对应的入侵阶段。结合第一方面的第一种可能的实施方式，本专利技术实施例提供了第一方面的第六种可能的实施方式，其中，所述网络安全防护设备包括防火墙、IDS(IntrusionDetectionSystems，入侵检测系统)、IPS(IntrusionPreventionSystem，入侵防御系统)、APT(AdvancedPersistentThreat，定向威胁攻击)或NTA(NetworkTerminalAppliance，网络终端设备)中的一种或多种。第二方面，本专利技术实施例还提供一种入侵阶段的确定装置，包括：第一告警记录接收模块，用于接收第一告警记录；其中，所述第一告警记录携带有受害主机的身份信息；第二告警记录获取模块，用于基于所述受害主机的身份信息，获取预设时段内所述受害主机的第二告警记录；判断模块，用于基于所述第二告警记录判断所述第一告警记录对应的入侵操作是否成功；阶段确定模块，用于在所述判断模块的判断结果为是时，根据所述第二告警记录确定所述第一告警记录对应的入侵阶段。第三方面，本专利技术实施例还提供一种服务器，包括处理器和存储器；所述存储器上存储有计算机程序，所述计算机程序在被所述处理器运行时执行如第一方面至第一方面的第六种可能的实施方式任一项所述的方法。第四方面，本专利技术实施例还提供一种计算机存储介质，用于储存为第一方面至第一方面的第六种可能的实施方式任一项所述方法所用的计算机软件指令。本专利技术实施例提供的一种入侵阶段的确定方法、装置及服务器，在接收到携带有受害主机的身份信息的第一告警记录后，基于受害主机的身份信息获取预设时段内受害主机的第二告警记录，若根据第二告警记录确定第一告警记录对应的入侵操作成功，则基于第二告警记录确定第一告警记录对应的入侵阶段。本专利技术实施例根据第二告警记录判断第一告警记录对应的入侵操作是否成功，并在入侵成功时基于第二告警记录确定第一告警记录对应的入侵阶段，如果第一告警记录对应的入侵操作成功，说明第一告警记录不属于误报，上述方式在确定第一告警记录不属于误报的告警记录时才确定入侵阶段，从而可以有效缓解因第一告警数据误报而导致的确定入侵阶段准确率较低的问题，有效提高了确定入侵阶段的准确率。本专利技术的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术而了解。本专利技术的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。为使本专利技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种入侵阶段的确定方法的流程示意图；图2为本专利技术实施例提供的另一种入侵阶段的确定方法的流程示意图；图3为本专利技术实施例提供的另一种入侵阶段的确定方法的流程示意图；图4为本专利技术实施例提供的一种入侵阶段的确定装置的结构示意图；图5为本专利技术实施例提供的另一种入侵阶段的确定装置的结构示意图；图6为本专利技术实施例提供的一种服务器的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合实施例对本专利技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。考虑到现有技术直接基于告警记录与入侵阶段的映射关系确定生成的告警记录对应的入侵阶段，例如，当黑客等攻击者利用互联网设备存在的SMB(ServerMessageBlock，服务信息块协议)漏洞，并生成此次入侵操作相应的告警记录，此时便直接基于映射关系认定该告警记录对应的入侵阶段达到了权限控制阶段，若此次入侵操作仅是尝试性攻击，未对互联网设备造成损害，则将导致确定的入侵阶段是错误的，进而导致出现在确定入侵阶段时的准确率较低的问题，为改善此问题，本专利技术实施提供了一本文档来自技高网...

【技术保护点】
1.一种入侵阶段的确定方法，其特征在于，包括：接收第一告警记录；其中，所述第一告警记录携带有受害主机的身份信息；基于所述受害主机的身份信息，获取预设时段内所述受害主机的第二告警记录；基于所述第二告警记录判断所述第一告警记录对应的入侵操作是否成功；如果是，根据所述第二告警记录确定所述第一告警记录对应的入侵阶段。

【技术特征摘要】
1.一种入侵阶段的确定方法，其特征在于，包括：接收第一告警记录；其中，所述第一告警记录携带有受害主机的身份信息；基于所述受害主机的身份信息，获取预设时段内所述受害主机的第二告警记录；基于所述第二告警记录判断所述第一告警记录对应的入侵操作是否成功；如果是，根据所述第二告警记录确定所述第一告警记录对应的入侵阶段。2.根据权利要求1所述的方法，其特征在于，所述接收第一告警记录的步骤，包括：当监听到网络安全防护设备生成主机告警记录时，向所述网络安全防护设备发送推送指令，以使所述网络安全防护设备基于所述推送指令推送所述主机告警记录；接收所述网络安全防护设备推送的所述主机告警记录，并将所述主机告警记录作为第一告警记录。3.根据权利要求1所述的方法，其特征在于，在所述基于所述受害主机的身份信息，获取预设时段内所述受害主机的第二告警记录的步骤之前，所述方法还包括：提取所述第一告警记录的告警时间字段，并基于所述告警时间字段确定预设时段。4.根据权利要求2所述的方法，其特征在于，所述基于所述受害主机的身份信息，获取预设时段内所述受害主机的第二告警记录的步骤，包括：将所述受害主机的身份信息和预设时段的标识发送至所述网络安全防护设备，以使所述网络安全防护设备基于所述受害主机的身份信息和所述预设时段的标识，查找预设时段内所述受害主机的第二告警记录，并返回查找到的所述第二告警记录；接收所述网络安全防护设备返回的所述第二告警记录。5.根据权利要求1所述的方法...

【专利技术属性】
技术研发人员：王世晋，范渊，黄进，王辉，王世有，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江,33