【技术实现步骤摘要】
一种攻击事件追踪方法、装置及存储介质
本专利技术涉及信息安全
,尤其涉及一种攻击事件追踪方法、装置及存储介质。
技术介绍
传统的攻击事件追踪方法是监控企业网络内部的数据流量,并判断数据流量是否出现异常,若出现异常则通过分析数据流量进而获取攻击相关信息。安全监控人员通过攻击相关信息决定处置措施。但上述传统方法是基于企业内部的数据进行是否恶意的识别,其观测到的安全事件是独立并分散的,因此很多威胁事件会被遗漏,导致追踪结果不准确。
技术实现思路
有鉴于此,本专利技术实施例提供了一种攻击事件追踪方法、装置及存储介质,将各用户设备的安全事件汇聚生成威胁事件,并基于各组织机构的威胁事件信息判断是否存在大范围攻击事件。第一方面,本专利技术实施例提供一种攻击事件追踪方法,包括:监控各用户设备的行为信息并分别生成安全事件;其中,所述安全事件的相关信息包括:时间戳、详情信息和描述信息;收集组织机构内部各用户设备的安全事件并生成威胁事件;其中,所述威胁事件的相关信息包括:威胁描述信息和至少一个安全
【技术保护点】
1.一种攻击事件追踪方法,其特征在于,包括:/n监控各用户设备的行为信息并分别生成安全事件;其中,所述安全事件的相关信息包括:时间戳、详情信息和描述信息;/n收集组织机构内部各用户设备的安全事件并生成威胁事件;其中,所述威胁事件的相关信息包括:威胁描述信息和至少一个安全事件的相关信息;/n获取组织机构相关的威胁事件并进行匹配判定是否存在攻击事件。/n
【技术特征摘要】
1.一种攻击事件追踪方法,其特征在于,包括:
监控各用户设备的行为信息并分别生成安全事件;其中,所述安全事件的相关信息包括:时间戳、详情信息和描述信息;
收集组织机构内部各用户设备的安全事件并生成威胁事件;其中,所述威胁事件的相关信息包括:威胁描述信息和至少一个安全事件的相关信息;
获取组织机构相关的威胁事件并进行匹配判定是否存在攻击事件。
2.如权利要求1所述的方法,其特征在于,所述收集组织机构内部各用户设备的安全事件并生成威胁事件,具体包括:
将各安全事件与已知恶意事件进行匹配,若匹配成功,则将已知恶意事件作为附加信息添加至安全事件的相关信息中,包括:攻击动作模式或恶意代码实例;
判定当前安全事件与威胁事件是否相关,若相关则将当前安全事件的相关信息更新至威胁事件的相关信息中。
3.如权利要求2所述的方法,其特征在于,所述判定当前安全事件与威胁事件是否相关,若相关则将当前安全事件的相关信息更新至威胁事件的相关信息中,具体包括:
将当前安全事件与威胁事件的威胁描述信息进行匹配,若匹配成功,则将当前安全事件的相关信息添加至威胁事件的相关信息中;
将当前安全事件与威胁事件已收入的安全事件的描述信息进行匹配,若描述信息相关或者描述信息中的对应字段相关,则匹配成功,并将当前安全事件的相关信息添加至威胁事件的相关信息中。
4.如权利要求1所述的方法,其特征在于,所述威胁事件按照组织机构分别存储。
5.如权利要求1所述的方法,其特征在于,所述详情信息为与安全事件相关的各类数据,包括:IP地址、域名、URL、相关应用程序信息;所述描述信息为由详情信息提取的多字段的数据组成。
6.如权利要求1所述的方法,其特征在于,还包括:若匹配判定相关威胁事件为无关威胁,则发送消息到组织机构内部,对相关威胁事件进行丢弃,或者丢弃与威胁事件相关的后续安全事件。
7.一种攻击事件追踪装置,其特征在于,包括:
安全事件生成模块,用于监控各用户设备的行为信息并分别生成安全事件;其中,所述安全事件的相关信息包括:时间戳、详情信息和描述信息;
威胁事件汇聚模块,用于收集组织机构内部各用户设备的安全事件并生成威胁事件;...
【专利技术属性】
技术研发人员:赵玉迎,李柏松,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。