【技术实现步骤摘要】
一种终端侧攻击路径识别的方法、装置及存储介质
[0001]本专利技术涉及网络安全领域,尤其是涉及一种终端侧攻击路径识别的方法、装置及存储介质。
技术介绍
[0002]近年来,随着网络空间攻击面的不断扩大,新一代的攻击威胁频繁发生。
[0003]现有技术中通常是使用攻击路径调查法发现威胁,攻击路径调查法是根据日记数据中记录的进程间的调用关系进行关联,并结合预先建立的模型进程是否存在攻击行为进行识别,当某一进程被识别为存在攻击行为时,结合与之关联的其它进程,可以及时发现威胁,并实施相应的安全与应急方案,实现安全运营。
[0004]然而,由于终端侧的海量日志数据之间的依赖关系呈爆炸式增长,且攻击手段日趋复杂等,导致识别终端侧中的威胁需要处理的数据、消耗的时间越来越多。为了解决上述问题,目前常用的解决方案是使用智能安全运营的技术平台对终端侧中的威胁进行自动化、智能化的识别。
[0005]但,在真实的网络安全对抗中,若上述技术平台在没有引入安全专家知识的情况下,仍然需要完全依赖于异常行为与攻击行为的关系,而在真实的终端侧环境中异常行为并不等于攻击行为,这将会存在大量误报的情况;若上述技术平台使用了有经验的安全专家来分析技术平台提供的告警等信息,并结合其自身的专家知识去调查取证分析,进而得到攻击路径,配合网络威胁防御系统的其它模块提供威胁路径的解决和应急方案,但因终端侧的海量日志数据之间的依赖关系呈爆炸式增长,及攻击手段的日趋复杂,在一定程度上增加了确定攻击路径的流程复杂度将会导致现有技术无法智能地提供攻...
【技术保护点】
【技术特征摘要】
1.一种终端侧攻击路径识别的方法,其特征在于,包括:构建终端侧的第一攻击溯源图;其中,所述第一攻击溯源图用于表征所述终端侧中不同实体间的关联关系;对所述第一攻击溯源图中每对节点间的冗余连线进行优化,获得第二攻击溯源图;其中,所述冗余连线为所述每对节点间表征同种关联关系的连线中起始时刻之外对应的连线,所述第一攻击溯源图中一个节点对应所述终端侧中的一个实体;从所述第二攻击溯源图中确定实际存在攻击行为的实际攻击路径。2.如权利要求1所述的方法,其特征在于,构建终端侧的第一攻击溯源图,包括:收集所述终端侧的原始日志,获得原始日志集;将所述原始日志记录的操作实体、被操作实体抽象为所述第一攻击溯源图中的一个节点,将所述原始日志记录的操作实体与被操作实体间的操作关系抽象为对应节点间的连线,并通过专家知识对已有节点的操作关系进行补充形成对应连线,获得所述第一攻击溯源图。3.如权利要求1所述的方法,其特征在于,对所述第一攻击溯源图中每对节点间的冗余路径进行优化,获得第二攻击溯源图,包括:去除所述第一攻击溯源图中所述每对节点间,具有同种关联关系的多条连线中最早时刻和最晚时刻对应连线之外的其余连线,获得所述第二攻击溯源图。4.如权利要求1所述的方法,其特征在于,从所述第二攻击溯源图中确定实际存在攻击行为的实际攻击路径,包括:根据所述原始日志的告警信息,确定所述终端侧中对应的实体是否为存在所述攻击行为的恶意实体;若所述终端侧中的任一实体被确定为所述恶意实体,从所述第二攻击溯源图中提取包含所述恶意实体的第一路径序列,获得第一路径序列集;基于预设模型及所述第一路径序列集,确定实际存在攻击的实际攻击路径;其中,所述预设模型用于识别所述第一路径序列集中的攻击路径。5.如权利要求4所述的方法,其特征在于,获得第一路径序列集之后,还包括:对所述第一路径序列集中存在攻击行为的恶意实体所在位置进行抽象,获得抽象后的位置;其中,所述抽象后的位置用于表征具有相同关键信息的恶意实体所在的位置;和/或,对所述第一路径序列集中实体间的关联关系进行抽象化,并在完成抽象化后去重,获得具有统一表示方式的关联关系;将由所述抽象后的位置和/或具有所述统一表示方式的关联关系构成的序列作为新的第一路径序列集。6.如权利要求4所述的方法,其特征在于,基于预设模型及所述第一路径序列集,确定实际存在攻击的实际攻击路径,包括:通过所述预设模型为每个第一路径序列包含的实体设置对应的权重;其中,所述权重用于表征对应实体为对应第一路径序列被认定为攻击路径的贡献度;基于所述每个第一路径序列中每个实体的特征值及对应的权重进行加权求和,获得每个第一路径序列的路径权重;用所述预设模型的输出层分析具有对应路径权重的第一路径序列...
【专利技术属性】
技术研发人员:王星凯,吴复迪,顾杜娟,薛见新,张润滋,刘文懋,
申请(专利权)人:北京神州绿盟科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。