网络攻击事件溯源处理方法、装置、设备和存储介质制造方法及图纸

本申请涉及网络安全技术领域，特别是涉及一种网络攻击事件溯源处理方法、装置、设备和存储介质。所述方法包括：获取待溯源的网络攻击事件相关的网络攻击线索；基于构建的网络威胁关联模型对网络攻击线索进行情报挖掘，得到网络攻击事件相关的威胁情报；将网络攻击线索和威胁情报作为网络攻击事件对应的各攻击行为要素，构建包含各攻击行为要素之间的关联关系的溯源分析模型；根据溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径，基于溯源路径对网络攻击事件进行溯源，得到网络攻击事件的追踪溯源结果。采用本方法能够实现对网络攻击事件的精准的追踪溯源，从而提高计算机通信网络的安全性。

Traceable processing method, device, equipment and storage medium of network attack event

【技术实现步骤摘要】
网络攻击事件溯源处理方法、装置、设备和存储介质
本申请涉及网络安全
，特别是涉及一种网络攻击事件溯源处理方法、装置、设备和存储介质。
技术介绍
随着网络技术的发展，出现了网络安全技术，网络安全技术用于维护计算机通信网络的安全，主要包括网络的硬件和软件的正常运行、以及数据信息交换的安全。在实际应用中，网络攻击行为的频发常常会对系统的网络安全造成隐患，对网络攻击事件进行溯源是打击网络攻击行为的一种常用且有效的手段。目前针对网络攻击事件的溯源处理方法主要包括：对攻击者所使用的IP地址进行分析、对攻击者所使用的域名信息进行分析、通过攻击者在入侵到主机后的行为日志进行分析、通过全流量进行分析、通过恶意代码进行同源分析。然而上述网络攻击事件的溯源处理方法，由于溯源分析的维度较为单一，无法准确地对网络攻击事件进行有效地追踪溯源。
技术实现思路
基于此，有必要针对上述技术问题，提供一种能够提高对网络攻击事件进行追踪溯源的精准度的网络攻击事件溯源处理方法、装置、设备和存储介质。一种网络攻击事件溯源处理方法，所述方法包括：获取待溯源的网络攻击事件相关的网络攻击线索；基于所述网络攻击线索在构建的网络威胁关联模型中对应的威胁要素，以及所述网络威胁关联模型中威胁要素之间的关联关系，对所述网络攻击线索进行情报挖掘，得到所述网络攻击事件相关的威胁情报；将所述网络攻击线索和所述威胁情报作为所述网络攻击事件对应的各攻击行为要素，构建包含各所述攻击行为要素之间的关联关系的溯源分析模型；根据所述溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径，基于所述溯源路径对所述网络攻击事件进行溯源，得到所述网络攻击事件的追踪溯源结果。一种网络攻击事件溯源处理装置，所述装置包括：网络攻击线索获取模块，用于获取待溯源的网络攻击事件相关的网络攻击线索；情报特征提取与分析模块，用于基于所述网络攻击线索在构建的网络威胁关联模型中对应的威胁要素，以及所述网络威胁关联模型中威胁要素之间的关联关系，对所述网络攻击线索进行情报挖掘，得到所述网络攻击事件相关的威胁情报；溯源分析模型构建模块，用于将所述网络攻击线索和所述威胁情报作为所述网络攻击事件对应的各攻击行为要素，构建包含各所述攻击行为要素之间的关联关系的溯源分析模型；追踪溯源模块，用于根据所述溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径，基于所述溯源路径对所述网络攻击事件进行溯源，得到所述网络攻击事件的追踪溯源结果。一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：获取待溯源的网络攻击事件相关的网络攻击线索；基于所述网络攻击线索在构建的网络威胁关联模型中对应的威胁要素，以及所述网络威胁关联模型中威胁要素之间的关联关系，对所述网络攻击线索进行情报挖掘，得到所述网络攻击事件相关的威胁情报；将所述网络攻击线索和所述威胁情报作为所述网络攻击事件对应的各攻击行为要素，构建包含各所述攻击行为要素之间的关联关系的溯源分析模型；根据所述溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径，基于所述溯源路径对所述网络攻击事件进行溯源，得到所述网络攻击事件的追踪溯源结果。一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：获取待溯源的网络攻击事件相关的网络攻击线索；基于所述网络攻击线索在构建的网络威胁关联模型中对应的威胁要素，以及所述网络威胁关联模型中威胁要素之间的关联关系，对所述网络攻击线索进行情报挖掘，得到所述网络攻击事件相关的威胁情报；将所述网络攻击线索和所述威胁情报作为所述网络攻击事件对应的各攻击行为要素，构建包含各所述攻击行为要素之间的关联关系的溯源分析模型；根据所述溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径，基于所述溯源路径对所述网络攻击事件进行溯源，得到所述网络攻击事件的追踪溯源结果。上述网络攻击事件溯源处理方法、装置、设备和存储介质，在获取待溯源的网络攻击事件相关的网络攻击线索之后，基于网络攻击线索在构建的网络威胁关联模型中对应的威胁要素，以及网络威胁关联模型中威胁要素之间的关联关系，对网络攻击线索进行情报挖掘，这样可以从多个维度挖掘出与网络攻击事件相关的威胁情报，进而将网络攻击线索和威胁情报作为网络攻击事件对应的各攻击行为要素，构建包含各攻击行为要素之间的关联关系的溯源分析模型，根据溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径，从而基于溯源路径对网络攻击事件进行溯源，得到网络攻击事件的追踪溯源结果。采用上述方法基于网络攻击线索对网络攻击事件的进行溯源处理时，可以挖掘出与网络攻击线索相关的多个维度的溯源信息，通过对网络攻击线索和所挖掘的多个维度的溯源信息之间的关联关系进行综合分析，可以实现对网络攻击事件的精准的追踪溯源。附图说明图1为一个实施例中网络攻击事件溯源处理方法的应用环境图；图2为一个实施例中网络攻击事件溯源处理方法的流程示意图；图3为一个实施例中威胁情报数据的层次结构示意图；图4为一个实施例中时间维度威胁情报数据示意图；图5为一个实施例中空间维度威胁情报数据示意图；图6为一个实施例中画像维度威胁情报数据示意图；图7为一个实施例中威胁情报树的一个分支示意图；图8为一个实施例中多维度的威胁情报树示意图；图9为一个实施例中溯源分析模型对应的威胁情报树示意图；图10为一个实施例中根据溯源分析模型追踪溯源步骤的流程示意图；图11为一个实施例中溯源分析模型示意图；图12为一个实施例中溯源追踪结果示意图；图13另一个实施例中网络攻击事件溯源处理方法的流程示意图；图14另一个应用场景中网络攻击事件溯源处理方法的流程示意图；图15为一个实施例中网络攻击事件溯源处理装置的结构框图；图16为另一个实施例中网络攻击事件溯源处理装置的结构框图；图17为一个实施例中计算机设备的内部结构图；图18为另一个实施例中计算机设备的内部结构图。具体实施方式为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。本申请提供的网络攻击事件溯源处理方法，可以应用于如图1所示的应用环境中。其中，终端102通过网络与服务器104进行通信。本申请各实施例所提供的网络攻击事件溯源处理方法可通过终端102或服务器104单独执行，还可以通过终端102和服务器104共同协作执行。其中，服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务本文档来自技高网...

【技术保护点】
1.一种网络攻击事件溯源处理方法，其特征在于，所述方法包括：/n获取待溯源的网络攻击事件相关的网络攻击线索；/n基于所述网络攻击线索在构建的网络威胁关联模型中对应的威胁要素，以及所述网络威胁关联模型中威胁要素之间的关联关系，对所述网络攻击线索进行情报挖掘，得到所述网络攻击事件相关的威胁情报；/n将所述网络攻击线索和所述威胁情报作为所述网络攻击事件对应的各攻击行为要素，构建包含各所述攻击行为要素之间的关联关系的溯源分析模型；/n根据所述溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径，基于所述溯源路径对所述网络攻击事件进行溯源，得到所述网络攻击事件的追踪溯源结果。/n

【技术特征摘要】
1.一种网络攻击事件溯源处理方法，其特征在于，所述方法包括：
获取待溯源的网络攻击事件相关的网络攻击线索；
基于所述网络攻击线索在构建的网络威胁关联模型中对应的威胁要素，以及所述网络威胁关联模型中威胁要素之间的关联关系，对所述网络攻击线索进行情报挖掘，得到所述网络攻击事件相关的威胁情报；
将所述网络攻击线索和所述威胁情报作为所述网络攻击事件对应的各攻击行为要素，构建包含各所述攻击行为要素之间的关联关系的溯源分析模型；
根据所述溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径，基于所述溯源路径对所述网络攻击事件进行溯源，得到所述网络攻击事件的追踪溯源结果。


2.根据权利要求1所述的方法，其特征在于，所述获取待溯源的网络攻击事件相关的网络攻击线索，包括：
获取网络设备工作时所产生的网络通信相关数据；
基于预设的攻击指标对所述网络通信相关数据进行攻击检测，确定与网络攻击事件相关的攻击方；
根据所述网络通信相关数据中与所述攻击方相关的数据确定待溯源的网络攻击事件的网络攻击线索。


3.根据权利要求2所述的方法，其特征在于，所述根据所述网络通信相关数据中与所述攻击方相关的数据确定待溯源的网络攻击事件的网络攻击线索，包括：
通过威胁情报知识库和开源威胁情报对所述网络通信相关数据中与所述攻击源相关的数据进行战术情报分析，得到所述待溯源的网络攻击事件相关的战术情报信息；
将所述战术情报信息确定为所述待溯源的网络攻击事件的网络攻击线索。


4.根据权利要求1所述的方法，其特征在于，所述方法还包括：
从开源情报中获取威胁情报数据；
对获取的威胁情报数据从时间维度、空间维度和画像维度进行综合分析，确定所述威胁情报数据中威胁要素之间的关联关系；
根据所述威胁情报数据中威胁要素之间的关联关系构建网络威胁关联模型。


5.根据权利要求1所述的方法，其特征在于，所述基于所述网络攻击线索在构建的网络威胁关联模型中对应的威胁要素，以及所述网络威胁关联模型中威胁要素之间的关联关系，对所述网络攻击线索进行情报挖掘，得到所述网络攻击事件相关的威胁情报，包括：
基于所述网络攻击线索在所述网络威胁关联模型中对应的威胁要素，构建情报挖掘的根节点；
基于所述网络威胁关联模型中与所述根节点对应的威胁要素具有关联关系的威胁要素，构建情报挖掘的子孙节点，获得威胁情报树；
将所述威胁情报树中作为子孙节点的威胁要素确定为所述网络攻击事件相关的威胁情报。


6.根据权利要求5所述的方法，其特征在于，所述网络威胁关联模型中的威胁要素包括时间威胁要素、空间威胁要素和画像威胁要素；
所述基于所述网络威胁关联模型中与所述根节点对应的威胁要素具有关联关系的威胁要素，构建情报挖掘的子孙节点，获得威胁情报树，包括：
从所述根节点开始，逐层基于当前层中的节点在所述网络威胁关联模型中对应的威胁要素，按照时间维度、空间维度和画像维度，在所述网络威胁关联模型中查找所关联的威胁要素，并基于查找到的威胁要素构建当前层中的节点的子节点，直至构建得到威胁情报树。


7.根据权利要求6所述的方法，其特征在于，所述方法还包括：
确定与所述网络攻击线索的价值度匹配的挖掘层级上限；
按照所述挖掘层级上限对所述溯源分析模型的攻击行为要素进行收敛操作，得到收敛后的溯源分析模型；所述收敛后的溯源分析模型中的攻击行为要素在所述威胁情报树中对应的节点层级不大于所述挖掘层级上限；
所述根据所述溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径，基于所述溯源路径对所述网络攻击事件进行溯源，得到所述网络攻击事件的追踪溯源结果，包括：
根据所述收敛后的溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路...

【专利技术属性】
技术研发人员：张婵娟，廖湘平，邓永，董文辉，杨耀荣，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东;44