本发明专利技术实施例涉及网络安全技术领域,公开了一种主机攻陷判定方法、装置、计算设备及计算机存储介质,该方法包括:获取包含入侵者攻击信息的攻击日志和与所述攻击日志匹配的包含受害者TCP会话回包信息的回包日志;根据所述攻击日志和所述回包日志生成有效安全事件,并标记所述有效安全事件的攻击阶段;根据所述有效安全事件以及所述有效安全事件的攻击阶段生成主机的视图攻击链;根据主机的所述视图攻击链应用预设的攻陷规则判定所述主机是否被攻陷。通过上述方式,本发明专利技术实施例通过攻击链推理的攻陷判定方法,能够实现自动判定主机是否被攻陷,提高了判断攻陷是否成功的准确性。性。性。
【技术实现步骤摘要】
主机攻陷判定方法、装置、计算设备及计算机存储介质
[0001]本专利技术实施例涉及网络安全
,具体涉及一种主机攻陷判定方法、装置、计算设备及计算机存储介质。
技术介绍
[0002]在现有市场上所有态势感知产品中,一般只提供攻击事件、资产威胁、风险评分等信息,但是用户最关心的“资产是否被攻陷”的信息并没有提供和展示。
[0003]设备在进行网络活动时,会产生大量流量日志。现有的主机攻陷判定方法中,大部分依靠人工进行判断,通过流量日志建立基线,将日志关联与大数据分析从海量行为数据中发现攻击,判定资产是否失陷。
[0004]在实现本专利技术实施例的过程中,专利技术人发现:现有的主机攻陷判定方法八方依赖较强的专业知识进行人工判断,主观性较强,由于通过流量日志建立基线进行的攻陷判定攻击阶段关联性弱,且存在资产被攻陷了,而流量并没有异常的现象,容易造成攻陷判定不准确。
技术实现思路
[0005]鉴于上述问题,本专利技术实施例提供了一种主机攻陷判定方法、装置、计算设备及计算机存储介质,克服了上述问题或者至少部分地解决了上述问题。
[0006]根据本专利技术实施例的一个方面,提供了一种主机攻陷判定方法,所述方法包括:获取包含入侵者攻击信息的攻击日志和与所述攻击日志匹配的包含受害者TCP会话回包信息的回包日志;根据所述攻击日志和所述回包日志生成有效安全事件,并标记所述有效安全事件的攻击阶段;根据所述有效安全事件以及所述有效安全事件的攻击阶段生成主机的视图攻击链;根据主机的所述视图攻击链应用预设的攻陷规则判定所述主机是否被攻陷。
[0007]在一种可选的方式中,所述根据所述攻击日志和所述回包日志生成有效安全事件,并标记所述有效安全事件的攻击阶段,包括:根据所述攻击日志应用预置的事件规则生成安全事件,并标记安全事件的攻击阶段;应用预置的去噪规则滤除互斥的所述安全事件;将所述回包日志与所述攻击日志匹配筛选出所述有效安全事件以及所述有效安全事件的攻击阶段。
[0008]在一种可选的方式中,所述根据所述攻击日志应用预置的事件规则和去噪规则生成安全事件,并标记安全事件对应的阶段数标识,包括:应用预置的所述事件规则提取所述攻击日志中的特征值;根据所述特征值对所述攻击日志进行聚合生成所述安全事件;标记所述安全事件的攻击阶段。
[0009]在一种可选的方式中,所述将所述回包日志与所述攻击日志匹配筛选出所述有效安全事件以及所述有效安全事件的攻击阶段,包括:筛选出所述攻击日志与所述回包日志匹配的所述安全事件;根据预设的标识标志所述安全事件是否成功;筛选出标志为成功的所述安全事件作为所述有效安全事件。
[0010]在一种可选的方式中,所述根据预设的标识标志所述安全事件是否成功,包括:根据所述回包日志中的结果标识和/或行为标识标志所述安全事件是否成功。
[0011]在一种可选的方式中,所述根据所述有效安全事件以及所述有效安全事件的攻击阶段生成主机的视图攻击链,包括:将目的IP同为所述主机IP的所述有效安全事件聚合为原始攻击链;若所述原始攻击链存在所述攻击阶段为第一预设攻击阶段的所述有效安全事件,则获取源IP为所述主机IP的所述有效安全事件;将源IP为所述主机IP的所述有效安全事件补充至所述原始攻击链,并标记所述有效安全事件的所述攻击阶段为第二预设攻击阶段,生成所述主机的视图攻击链。
[0012]在一种可选的方式中,所述根据主机的所述视图攻击链应用预设的攻陷规则判定所述主机是否被攻陷,包括:若主机的所述视图攻击链中至少包括所述攻击阶段不同的两个所述有效安全事件,且其中一个所述有效安全事件的所述攻击阶段为高阶攻击阶段中的任一个,则判定所述主机被攻陷。
[0013]根据本专利技术实施例的另一个方面,提供了一种主机攻陷判定装置,所述装置包括:日志获取单元,用于获取包含入侵者攻击信息的攻击日志和与所述攻击日志匹配的包含受害者TCP会话回包信息的回包日志;事件推理单元,用于根据所述攻击日志和所述回包日志生成有效安全事件,并标记所述有效安全事件的攻击阶段;攻击链推理单元,用于根据所述有效安全事件以及所述有效安全事件的攻击阶段生成主机的视图攻击链;攻陷判定单元,用于根据主机的所述视图攻击链应用预设的攻陷规则判定所述主机是否被攻陷。
[0014]根据本专利技术实施例的另一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
[0015]所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述主机攻陷判定方法的步骤。
[0016]根据本专利技术实施例的又一方面,提供了一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使所述处理器执行上述主机攻陷判定方法的步骤。
[0017]本专利技术实施例通过获取包含入侵者攻击信息的攻击日志和与所述攻击日志匹配的包含受害者TCP会话回包信息的回包日志;根据所述攻击日志和所述回包日志生成有效安全事件,并标记所述有效安全事件的攻击阶段;根据所述有效安全事件以及所述有效安全事件的攻击阶段生成主机的视图攻击链;根据主机的所述视图攻击链应用预设的攻陷规则判定所述主机是否被攻陷,通过攻击链推理的攻陷判定方法,能够实现自动判定主机是否被攻陷,提高了判断攻陷是否成功的准确性。
[0018]上述说明仅是本专利技术实施例技术方案的概述,为了能够更清楚了解本专利技术实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。
附图说明
[0019]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术
的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0020]图1示出了本专利技术实施例提供的主机攻陷判定方法的流程示意图;
[0021]图2示出了本专利技术实施例提供的另一主机攻陷判定方法的流程示意图;
[0022]图3示出了本专利技术实施例提供的又一主机攻陷判定方法的流程示意图;
[0023]图4示出了本专利技术实施例提供的主机攻陷判定装置的结构示意图;
[0024]图5示出了本专利技术实施例提供的计算设备的结构示意图。
具体实施方式
[0025]下面将参照附图更详细地描述本专利技术的示例性实施例。虽然附图中显示了本专利技术的示例性实施例,然而应当理解,可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本专利技术,并且能够将本专利技术的范围完整的传达给本领域的技术人员。
[0026]图1示出了本专利技术实施例提供的主机攻陷判定方法的流程示意图。如图1所示,主机攻陷判定方法包括:
[0027]步骤S11:获取包含入侵者攻击信息的攻击日志和与所述攻击日志匹配的包含受害者TCP会话回包信息的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种主机攻陷判定方法,其特征在于,所述方法包括:获取包含入侵者攻击信息的攻击日志和与所述攻击日志匹配的包含受害者TCP会话回包信息的回包日志;根据所述攻击日志和所述回包日志生成有效安全事件,并标记所述有效安全事件的攻击阶段;根据所述有效安全事件以及所述有效安全事件的攻击阶段生成主机的视图攻击链;根据主机的所述视图攻击链应用预设的攻陷规则判定所述主机是否被攻陷。2.根据权利要求1所述的方法,其特征在于,所述根据所述攻击日志和所述回包日志生成有效安全事件,并标记所述有效安全事件的攻击阶段,包括:根据所述攻击日志应用预置的事件规则生成安全事件,并标记安全事件的攻击阶段;应用预置的去噪规则滤除互斥的所述安全事件;将所述回包日志与所述攻击日志匹配筛选出所述有效安全事件以及所述有效安全事件的攻击阶段。3.根据权利要求2所述的方法,其特征在于,所述根据所述攻击日志应用预置的事件规则和去噪规则生成安全事件,并标记安全事件的攻击阶段,包括:应用预置的所述事件规则提取所述攻击日志中的特征值;根据所述特征值对所述攻击日志进行聚合生成所述安全事件;标记所述安全事件的攻击阶段。4.根据权利要求3所述的方法,其特征在于,所述将所述回包日志与所述攻击日志匹配筛选出所述有效安全事件以及所述有效安全事件的攻击阶段,包括:筛选出所述攻击日志与所述回包日志匹配的所述安全事件;根据预设的标识标志所述安全事件是否成功;筛选出标志为成功的所述安全事件作为所述有效安全事件。5.根据权利要求4所述的方法,其特征在于,所述根据预设的标识标志所述安全事件是否成功,包括:根据所述回包日志中的结果标识和/或行为标识标志所述安全事件是否成功。6.根据权利要求1所述的方法,其特征在于,所述根据所述有效安全事件以及所述有效安...
【专利技术属性】
技术研发人员:胡声秋,李友国,吴玲丽,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。