一种攻击事件追踪溯源方法、系统、终端及存储介质技术方案

本申请所提供的一种攻击事件追踪溯源方法、系统、终端及存储介质，所述方法包括：获取原始告警日志，并根据所述告警日志获取触发告警的关键字段信息；将所述关键字段信息进行关联溯源，从原始日志中获取被攻击机器上与关键字段相关的所有关联事件；将所述关联事件进行同告警名称聚合，以便获取完整的攻击路径；将特定时间/阶段维度的相关攻击信息统筹归纳，并以攻击链视角呈现出来；本申请通过攻击事件的异常日志告警信息进行关联溯源，作为线索串起来形成真正的安全事件，实现对零散安全事件的关联，解决目前安全告警日志排查造成的人工成本较高、追踪溯源效率较低，并且无法保证追踪溯源的精确性的技术问题。

【技术实现步骤摘要】
一种攻击事件追踪溯源方法、系统、终端及存储介质
本申请涉及网络安全
，尤其是涉及一种攻击事件追踪溯源方法、系统、终端及存储介质。
技术介绍
随着网络规模的迅速扩大和业务量的迅速增长，现有的安全防护系统中，安全日志告警是必不可少的一个功能模块。然而，随着业务服务器的不断增加、黑客攻击成本不断下降，导致安全告警日志不断增加，企业专业的运维人员在成千上万的安全告警日志中对某个攻击事件进行追踪溯源十分困难。不仅需要专业的运维人员进行人工查找，造成人工成本较高、追踪溯源效率较低，而且无法保证追踪溯源的精确性。可见，处理告警数据的难点在从大量的告警信息中找到各告警信息之间的关联。因此，亟需一种攻击事件追踪溯源方法、系统、终端及存储介质，以解决目前安全告警日志排查造成的人工成本较高、追踪溯源效率较低，并且无法保证追踪溯源的精确性的技术问题。
技术实现思路
针对现有技术的不足，本申请提供一种攻击事件追踪溯源方法、系统、终端及存储介质，解决了现有的安全告警日志排查造成的人工成本较高、追踪溯源效率较低，并且无法保证追踪溯源的精确性的技术问题等问题。为解决上述技术问题，第一方面，本申请提供一种攻击事件追踪溯源方法，包括：获取原始告警日志，并根据所述告警日志获取触发告警的关键字段信息；将所述关键字段信息进行关联溯源，从原始日志中获取被攻击机器上与关键字段相关的所有关联事件；将所述关联事件进行同告警名称聚合，以便获取完整的攻击路径；将特定时间/阶段维度的相关攻击信息统筹归纳，并以攻击链视角呈现出来。可选的，所述获取原始告警日志，并根据所述告警日志获取触发告警的关键字段信息，包括：获取后门异常创建告警、异常PowerShell执行告警、DGA告警名称相关的原始告警日志；根据上述不同告警名称相关联的告警日志中，获取告警信息的用户信息、WMI订阅事件、PowerShell的调用者、文件名关键字段信息。可选的，所述将所述关键字段信息进行关联溯源，从原始日志中获取被攻击机器上与关键字段相关的所有关联事件，包括：通过用户信息、WMI订阅事件、PowerShell的调用者、文件名进行关联溯源，按告警更新时间排序，通过关联攻击链上的告警名称，将告警作为线索串起来，形成攻击链。可选的，所述将所述关联事件进行同告警名称聚合，以便获取完整的攻击路径，包括：将所述关联事件按告警的最新时间来排序，以相同告警名称、攻击方向进行聚合，以便获取完整的攻击路径；所述聚合方式包括：以目的地址聚合的外对内攻击、以原地址聚合的内对外攻击，以原地址聚合的内对内攻击。第二方面，本申请还提供一种攻击事件追踪溯源系统，包括：获取单元，配置用于获取原始告警日志，并根据所述告警日志获取触发告警的关键字段信息；关联溯源单元，配置用于将所述关键字段信息进行关联溯源，从原始日志中获取被攻击机器上与关键字段相关的所有关联事件；同告警名称聚合单元，配置用于将所述关联事件进行同告警名称聚合，以便获取完整的攻击路径；告警展示单元，配置用于将特定时间/阶段维度的相关攻击信息统筹归纳，并以攻击链视角呈现出来。可选的，所述获取单元具体用于：获取后门异常创建告警、异常PowerShell执行告警、DGA告警名称相关的原始告警日志；根据上述不同告警名称相关联的告警日志中，获取告警信息的用户信息、WMI订阅事件、PowerShell的调用者、文件名等关键字段信息。可选的，所述关联溯源单元具体用于：通过用户信息、WMI订阅事件、PowerShell的调用者、文件名进行关联溯源，按告警更新时间排序，通过关联攻击链上的告警名称，将告警作为线索串起来，形成攻击链。可选的，所述同告警名称聚合单元具体用于：将所述关联事件按告警的最新时间来排序，以相同告警名称、攻击方向进行聚合，以便获取完整的攻击路径；所述聚合方式包括：以目的地址聚合的外对内攻击、以原地址聚合的内对外攻击，以原地址聚合的内对内攻击。第三方面，本申请提供一种终端，包括：处理器、存储器，其中，该存储器用于存储计算机程序，该处理器用于从存储器中调用并运行该计算机程序，使得终端执行上述的终端的方法。第四方面，本申请提供了一种计算机存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。与现有技术相比，本申请具有如下有益效果：本申请通过将攻击事件的异常日志告警信息进行关联溯源，作为线索串起来形成真正的安全事件，实现对零散安全事件的关联，解决目前安全告警日志排查造成的人工成本较高、追踪溯源效率较低，并且无法保证追踪溯源的精确性的技术问题。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本申请实施例所提供的一种攻击事件追踪溯源方法的流程图；图2为本申请另一实施例所提供的一种攻击事件追踪溯源系统的结构示意图；图3为本申请实施例所提供的一种终端系统的结构示意图。具体实施方式为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。请参考图1，图1为本申请实施例所提供的一种攻击事件追踪溯源方法的流程图，该方法100包括：S101：获取原始告警日志，并根据所述告警日志获取触发告警的关键字段信息；S102：将所述关键字段信息进行关联溯源，从原始日志中获取被攻击机器上与关键字段相关的所有关联事件；S103：将所述关联事件进行同告警名称聚合，以便获取完整的攻击路径；S104：将特定时间/阶段维度的相关攻击信息统筹归纳，并以攻击链视角呈现出来。基于上述实施例，作为可选的实施例，所述S101获取原始告警日志，并根据所述告警日志获取触发告警的关键字段信息，包括：获取后门异常创建告警、异常PowerShell执行告警、DGA告警名称相关的原始告警日志；根据上述原始告警日志获取触发告警的用户信息、WMI订阅事件、PowerShell的调用者、文件名等关键字段信息。基于上述实施例，作为可选的实施例，所述S102将所述关键字段信息进行关联溯源，从原始日志中获取被攻击机器上与关键字段相关的所有关联事件，包括：通过用户信息、WMI订阅事件、PowerShell的调用者、文件名进行关联溯源，通过关联本文档来自技高网...

【技术保护点】
1.一种攻击事件追踪溯源方法，其特征在于，包括：/n获取原始告警日志，并根据所述告警日志获取触发告警的关键字段信息；/n将所述关键字段信息进行关联溯源，从原始日志中获取被攻击机器上与关键字段相关的所有关联事件；/n将所述关联事件进行同告警名称聚合，以便获取完整的攻击路径；/n将特定时间/阶段维度的相关攻击信息统筹归纳，并以攻击链视角呈现出来。/n

【技术特征摘要】
1.一种攻击事件追踪溯源方法，其特征在于，包括：
获取原始告警日志，并根据所述告警日志获取触发告警的关键字段信息；
将所述关键字段信息进行关联溯源，从原始日志中获取被攻击机器上与关键字段相关的所有关联事件；
将所述关联事件进行同告警名称聚合，以便获取完整的攻击路径；
将特定时间/阶段维度的相关攻击信息统筹归纳，并以攻击链视角呈现出来。


2.根据权利要求1所述的攻击事件追踪溯源方法，其特征在于，所述获取原始告警日志，并根据所述告警日志获取触发告警的关键字段信息，包括：
获取后门异常创建告警、异常PowerShell执行告警、DGA告警名称相关的原始告警日志；
根据上述原始告警日志获取触发告警的用户信息、WMI订阅事件、PowerShell的调用者、文件名关键字段信息。


3.根据权利要求2所述的攻击事件追踪溯源方法，其特征在于，所述将所述关键字段信息进行关联溯源，从原始日志中获取被攻击机器上与关键字段相关的所有关联事件，包括：
通过用户信息、WMI订阅事件、PowerShell的调用者、文件名进行关联溯源，通过关联整个攻击链上的告警名称，将告警作为线索串起来，形成关联事件。


4.根据权利要求1所述的攻击事件追踪溯源方法，其特征在于，所述将所述关联事件进行同告警名称聚合，以便获取完整的攻击路径，包括：
将所述关联事件按告警的最新时间来排序，以相同告警名称、攻击方向进行聚合，以便获取完整的攻击路径；
所述聚合方式包括：以目的地址聚合的外对内攻击、以原地址聚合的内对外攻击，以原地址聚合的内对内攻击。


5.一种攻击事件追踪溯源系统，其特征在于，包括：
获取单元，配置用于获取原始告警日志，并根据所述告警日志获取触发告警的关键字段...

【专利技术属性】
技术研发人员：王广清，方铁城，申彦龙，刘颖，
申请(专利权)人：北京市燃气集团有限责任公司，
类型：发明
国别省市：北京;11