本发明专利技术实施例公开了一种攻击路径分析方法、装置、计算机设备及存储介质。所述方法包括:获取目标网络的链路分析图,所述目标网络包括多个节点,所述链路分析图包括多个节点之间的传输路径;获取目标节点发送的安全事件;根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径,所述关联的数据包括日志数据。本发明专利技术实施例可以减少攻击路径分析的人工成本,提高攻击路径分析的效率。
【技术实现步骤摘要】
攻击路径分析方法、装置、计算机设备及存储介质
本专利技术实施例涉及网络领域,尤其涉及一种攻击路径分析方法、装置、计算机设备及存储介质。
技术介绍
近年来各行业信息化建设不断完善,业务也越来越依赖于信息系统。但网络与信息系统自身存在的缺陷以及面临的威胁,使信息系统的运行存在着潜在风险,如何快速正确的发现信息系统所遇到的网络安全问题也成为安全人员的工作重点之一。目前针对突发安全事件,安全人员在进行安全事件分析的时候,通常会查询某个地址或用户,期望能发现对应的事件。但上述查询方式往往会得到一大批相关事件。同时,安全人员还需要按照不同纬度对查询结果继续进行下一步统计分析(比如按照目的地址,按照主机进程等),再人工将信息关联起来。
技术实现思路
本专利技术实施例提供一种攻击路径分析方法、装置、计算机设备及存储介质,可以减少攻击路径分析的人工成本,提高攻击路径分析的效率。第一方面,本专利技术实施例提供了一种攻击路径分析方法,包括:获取目标网络的链路分析图,所述目标网络包括多个节点,所述链路分析图包括多个节点之间的传输路径;获取目标节点发送的安全事件;根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径,所述关联的数据包括日志数据。第二方面,本专利技术实施例还提供了一种攻击路径分析装置,包括:链路分析图获取模块,用于获取目标网络的链路分析图,所述目标网络包括多个节点,所述链路分析图包括多个节点之间的传输路径;安全事件获取模块,用于获取目标节点发送的安全事件;安全事件攻击路径确定模块,用于根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径,所述关联的数据包括日志数据。第三方面,本专利技术实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序所述处理器执行所述程序时实现如本专利技术实施例中任一所述的攻击路径分析方法。第四方面,本专利技术实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本专利技术实施例中任一所述的攻击路径分析方法。本专利技术实施例通过获取链路分析图,并根据链路分析图中各节点关联的日志数据,确定安全事件的攻击路径,自动分析安全事件的攻击路径,解决了现有技术中人工统计分析攻击路径,可以降低攻击路径分析的人工成本,提高攻击路径分析的效率。附图说明图1a是本专利技术实施例一中的一种攻击路径分析方法的流程图;图1b是本专利技术实施例一中的一种链路分析图的示意图;图2是本专利技术实施例二中的一种攻击路径分析方法的流程图;图3是本专利技术实施例三中的一种攻击路径分析装置的结构示意图;图4是本专利技术实施例四中的一种计算机设备的结构示意图。具体实施方式下面结合附图和实施例对本专利技术作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本专利技术,而非对本专利技术的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本专利技术相关的部分而非全部结构。实施例一图1a为本专利技术实施例一中的一种攻击路径分析方法的流程图,本实施例可适用于采集日志数据并进行存储的情况,该方法可以由本专利技术实施例提供的攻击路径分析装置来执行,该装置可采用软件和/或硬件的方式实现,并一般可集成计算机设备中。如图1a所示,本实施例的方法具体包括:S110,获取目标网络的链路分析图,所述目标网络包括多个节点,所述链路分析图包括多个节点之间的传输路径。链路分析图用于显示目标网络的节点,以及各节点之间的传输路径。网络可以由多个节点组成,每个节点与至少一个其他节点进行网络通信,其中,节点可以是物理设备。传输路径可以是指一个节点将数据传输到另一个节点的网络链路,具有指向性。可选的,所述获取目标网络的链路分析图,包括:获取目标网络的拓扑结构信息;根据所述目标网络的拓扑结构信息,确定所述目标网络中各所述节点之间的传输路径;根据各所述节点之间的传输路径,生成所述目标网络的链路分析图。目标网络的拓扑结构信息用于确定组成目标网络的节点,以及各节点的连接状态。具体的,目标网络的拓扑结构信息可以是组成目标网络的各节点的分布情况以及连接状态。根据各节点的连接状态,如果两个节点处于连接状态,则确定两个节点之间存在传输路径。生成目标网络的链路分析图可以是:将存在传输路径的两个节点相邻分布,并将存在多个传输路径的节点置于中间位置,与该节点存在传输路径的节点,置于该节点的四周分布。通过获取目标网络的拓扑结构信息,并确定各节点之间的传输路径,并根据传输路径,将各节点分布式放置,生成目标网络的链路分析图,可以准确描述组成目标网络的节点,以及各节点的连接状态,简化目标网络的分布结构。S120,获取目标节点发送的安全事件。安全事件用于确定目标网络的攻击路径,安全事件可以是目标节点上发生的攻击事件。示例性的,安全事件可以包括恶意进程运行事件、数据篡改事件或异常账号事件等。安全事件可以是目标节点主动上报的事件。可以根据用户输入的安全事件分析指令,获取与安全事件分析指令匹配的安全事件。通常,安全事件分析指令,用于指定目标节点的标识信息,以及安全事件的标识信息,从而,可以根据目标节点的标识信息确定目标节点,以及根据安全事件的标识信息,确定目标节点的安全事件。或者,可以在接收到目标节点主动上报的事件时,获取该安全事件,并进行分析。S130,根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径,所述关联的数据包括日志数据。节点关联的数据用于分析节点的安全事件的影响流向。节点关联的数据可以是与节点关联的任意数据,例如可以包括节点中记录的日志数据,此外,还可以包括节点直接上报的一些数据,可以根据需要进行设定。日志数据用于确定节点信息以及节点发生的异常情况,以确定目标网络的攻击路径。具体的,日志数据可以包括:告警数据和/或流量数据等;告警数据还可以包括网络事件和/或主机事件等。其中,告警数据可以是节点发生的异常事件关联的数据。流量数据可以是节点传输的字节数量随时间的变化情况。告警数据可以按照告警类型进行分类,具体的,可以包括网络事件和主机事件。网络事件可以是网络相关的事件,例如,网络连接失败事件等。主机事件可以是节点软硬件相关的事件,例如,硬件安全事件或软件安全事件等。目标节点的安全事件可以引起下游节点发生异常,和/或目标节点的安全事件是由上游节点的异常引起的。上游节点将数据直接或者间接传输至目标节点;目标节点将数据直接或者间接传输至下游节点。目标节点与至少一个上游节点之间存在传输路径,以及与至少一个下游节点之间存在传输路径。同时目标节点的相邻上游节点与至少一个上游节点之间存在传输路径,以及目标节点的相邻下游节点与至少一个下游节点之间存在传输路径等,将这些传输路径作为目标节点关联的目标传输路径。安全事件的攻击路径用于确定目标网络的攻击路径,安全事件的攻击路径可以是安全本文档来自技高网...
【技术保护点】
1.一种攻击路径分析方法,其特征在于,包括:/n获取目标网络的链路分析图,所述目标网络包括多个节点,所述链路分析图包括多个节点之间的传输路径;/n获取目标节点发送的安全事件;/n根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径,所述关联的数据包括日志数据。/n
【技术特征摘要】
1.一种攻击路径分析方法,其特征在于,包括:
获取目标网络的链路分析图,所述目标网络包括多个节点,所述链路分析图包括多个节点之间的传输路径;
获取目标节点发送的安全事件;
根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径,所述关联的数据包括日志数据。
2.根据权利要求1所述的方法,其特征在于,所述根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径,包括:
获取所述链路分析图中各节点关联的异常事件数据,所述异常事件数据包括下述至少一项:安全报警数据、节点数据和异常日志数据;
查询与所述安全事件匹配的异常事件数据,并将所述异常事件数据关联的节点作为关联节点;
根据各所述关联节点与所述目标节点,生成所述安全事件的攻击路径。
3.根据权利要求2所述的方法,其特征在于,所述获取各所述目标传输路径中节点关联的安全报警数据,包括:
获取各所述节点发送的安全事件信息,所述安全事件信息通过所述节点在确定满足报警条件时上报获取;
根据所述安全事件信息和所述报警条件,确定所述安全事件信息关联的报警类型和威胁值,并作为所述节点的报警事件数据。
4.根据权利要求2所述的方法,其特征在于,所述获取各所述目标传输路径中节点关联的节点数据,包括:
获取各所述节点发送的节点数据,所述节点数据包括节点资产信息和节点价值信息。
5.根据权利要求1所述的方法,其特征在于,所述获取目标网络的链路分析图,包括:
获取目标网络的拓扑结构信息;
根据所...
【专利技术属性】
技术研发人员:施泽寰,梁玫娟,
申请(专利权)人:北京优特捷信息技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。