【技术实现步骤摘要】
一种攻击事件追踪溯源方法、系统、终端及存储介质
本申请涉及网络安全
,尤其是涉及一种攻击事件追踪溯源方法、系统、终端及存储介质。
技术介绍
随着网络规模的迅速扩大和业务量的迅速增长,现有的安全防护系统中,安全日志告警是必不可少的一个功能模块。然而,随着业务服务器的不断增加、黑客攻击成本不断下降,导致安全告警日志不断增加,企业专业的运维人员在成千上万的安全告警日志中对某个攻击事件进行追踪溯源十分困难。不仅需要专业的运维人员进行人工查找,造成人工成本较高、追踪溯源效率较低,而且无法保证追踪溯源的精确性。可见,处理告警数据的难点在从大量的告警信息中找到各告警信息之间的关联。因此,亟需一种攻击事件追踪溯源方法、系统、终端及存储介质,以解决目前安全告警日志排查造成的人工成本较高、追踪溯源效率较低,并且无法保证追踪溯源的精确性的技术问题。
技术实现思路
针对现有技术的不足,本申请提供一种攻击事件追踪溯源方法、系统、终端及存储介质,解决了现有的安全告警日志排查造成的人工成本较高、追踪溯源效率较低,并且无法...
【技术保护点】
1.一种攻击事件追踪溯源方法,其特征在于,包括:/n获取原始告警日志,并根据所述告警日志获取触发告警的关键字段信息;/n将所述关键字段信息进行关联溯源,从原始日志中获取被攻击机器上与关键字段相关的所有关联事件;/n将所述关联事件进行同告警名称聚合,以便获取完整的攻击路径;/n将特定时间/阶段维度的相关攻击信息统筹归纳,并以攻击链视角呈现出来。/n
【技术特征摘要】
1.一种攻击事件追踪溯源方法,其特征在于,包括:
获取原始告警日志,并根据所述告警日志获取触发告警的关键字段信息;
将所述关键字段信息进行关联溯源,从原始日志中获取被攻击机器上与关键字段相关的所有关联事件;
将所述关联事件进行同告警名称聚合,以便获取完整的攻击路径;
将特定时间/阶段维度的相关攻击信息统筹归纳,并以攻击链视角呈现出来。
2.根据权利要求1所述的攻击事件追踪溯源方法,其特征在于,所述获取原始告警日志,并根据所述告警日志获取触发告警的关键字段信息,包括:
获取后门异常创建告警、异常PowerShell执行告警、DGA告警名称相关的原始告警日志;
根据上述原始告警日志获取触发告警的用户信息、WMI订阅事件、PowerShell的调用者、文件名关键字段信息。
3.根据权利要求2所述的攻击事件追踪溯源方法,其特征在于,所述将所述关键字段信息进行关联溯源,从原始日志中获取被攻击机器上与关键字段相关的所有关联事件,包括:
通过用户信息、WMI订阅事件、PowerShell的调用者、文件名进行关联溯源,通过关联整个攻击链上的告警名称,将告警作为线索串起来,形成关联事件。
4.根据权利要求1所述的攻击事件追踪溯源方法,其特征在于,所述将所述关联事件进行同告警名称聚合,以便获取完整的攻击路径,包括:
将所述关联事件按告警的最新时间来排序,以相同告警名称、攻击方向进行聚合,以便获取完整的攻击路径;
所述聚合方式包括:以目的地址聚合的外对内攻击、以原地址聚合的内对外攻击,以原地址聚合的内对内攻击。
5.一种攻击事件追踪溯源系统,其特征在于,包括:
获取单元,配置用于获取原始告警日志,并根据所述告警日志获取触发告警的关键字段...
【专利技术属性】
技术研发人员:王广清,方铁城,申彦龙,刘颖,
申请(专利权)人:北京市燃气集团有限责任公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。