本申请提供了一种网络攻击路径获取方法、装置及电子设备,通过该方法可以根据预设网络攻击事件图谱,建立网络攻击事件中各类型节点实体之间关联关系,也就是参与网络攻击事件各个网络设备之间的关联关系,从而根据该关联关系得到网络攻击事件对应的网络攻击路径,进而实现了RAT远程控制网络的攻击路径还原,避免人工参与流量数据分析导致攻击路径还原效率低以及准确性低的问题。低以及准确性低的问题。低以及准确性低的问题。
【技术实现步骤摘要】
一种网络攻击路径获取方法、装置及电子设备
[0001]本申请涉及网络安全
,尤其涉及一种网络攻击路径获取方法、装置及电子设备。
技术介绍
[0002]随着计算机技术的发展,恶意程序在逐渐的泛滥,比如远程访问木马(Remote Access Trojan,RAT),RAT为一种恶意程序,这类恶意程序通常包含了用于管理控制的后门。
[0003]通常情况下,网络攻击者将远程访问木马捆绑在正常软件上提供到互联网上,普通客户在浏览网页并下载捆绑了远程访问木马的正常软件时,普通客户的主机将被植入远程访问木马,此时网络攻击者就可以利用远程访问木马来控制被感染的主机向其他主机分发远程访问木马,从而建立起RAT远程控制网络。RAT远程控制网络是指采用一种或多种传播手段,将大量主机感染bot程序木马,从而在网络攻击者和被感染的主机之间所形成的一个可一对多控制的网络。
[0004]由于RAT远程控制网络存在较大的危害性,因此需要对该对RAT远程控制网络进行准确识别,当前采用的是网络侧的攻击路径还原方法来实现。攻击路径还原是指通过针对被感染的主机进行流量分析以及基于流特征的数据分析,在一定程度上还原网络攻击者以及相关攻击资源对被感染的主机发起的攻击手法以及攻击路径。
[0005]目前对于攻击路径还原方法主要是采集被感染的主机的流量数据,然后由人工参与对流量数据进行判断、分析以及整理还原攻击路径,面对大量的流量数据时,人工参与分析不仅会导致分析效率低,而且人工分析对攻击路径的还原的全面性也较差。
专利技术内容
[0006]本发申请提供了一种网络攻击路径获取方法、装置及电子设备,避免人工参与流量数据分析导致攻击路径还原效率低以及全面性较差的问题。
[0007]第一方面,本申请提供了一种网络攻击路径获取方法,包括:
[0008]获取设定时间段内的N种告警日志,在所述N种告警日志中提取出至少包含各类型网络实体的目标数据,其中,所述各类型网络实体为所述告警日志对应的网络攻击事件中的各个实体;
[0009]根据得到的所有目标数据,生成N个包含两种类型网络实体的二分图,其中,每个二分图中包含了两个网络实体之间的关联关系,N为大于1的正整数;
[0010]根据预设网络攻击事件图谱以及N个二分图,建立所述目标数据中各类型网络实体之间的关联关系,其中,所述预设网络攻击事件图谱包含了网络攻击事件中各类型的网络实体之间的关联关系;
[0011]根据各类型网络实体之间的关联关系,生成网络攻击事件对应的网络攻击路径。
[0012]通过上述的方法,可以根据参与网络攻击事件各个主机之间的关联关系,得到网
络攻击事件对应的网络攻击路径,进而实现了RAT远程控制网络的攻击路径还原,避免人工参与流量数据分析导致攻击路径还原效率低以及准确性低的问题。
[0013]在一种可能的设计中,在所述告警日志中提取出至少包含网络攻击事件对应的网络实体的目标数据,包括:
[0014]确定所述告警日志中网络攻击事件的各个网络攻击阶段;
[0015]提取各个网络攻击阶段中参与网络攻击事件的各类型网络实体,得到包含所述各类型网络实体的所述目标数据。
[0016]通过上述的方式,可以准确的确定出各个网络攻击阶段中的网络实体。
[0017]在一种可能的设计中,所述提取各个网络攻击阶段中参与网络攻击事件的各类型网络实体,包括:
[0018]在所述告警日志的漏洞数据中提取出网络攻击事件中的攻击主机以及被攻击主机;
[0019]在所述告警日志的恶意代码数据中提取出网络攻击事件中存储恶意程序主机以及下载恶意程序主机;
[0020]在所述告警日志的攻击指令数据中提取出网络攻击事件中指令服务器、目标主机以及执行指令主机;
[0021]将所述攻击主机、被攻击主机、恶意程序主机、下载恶意程序主机、指令服务器、目标主机以及执行指令主机作为所述攻击事件的各类型网络实体。
[0022]在一种可能的设计中,所述根据预设网络攻击事件图谱,建立所述目标数据中各类型网络实体之间的关联关系,包括:
[0023]在所述预设网络攻击事件图谱中识别出各攻击阶段中各类型网络实体之间的预设关联;
[0024]按照所述预设关联,建立所述各攻击阶段中各类型网络实体之间的关联关系。
[0025]在一种可能的设计中,所述根据各类型网络实体之间的关联关系,生成网络攻击事件对应的网络攻击路径,包括:
[0026]根据各类型网络实体之间的关联关系,确定出包含所有类型网络实体的连通结构,其中,所述连通结构中包含了各类型网络实体;
[0027]根据所述连通结构,确定网络攻击事件中各个攻击阶段对应的阶段攻击路径;
[0028]根据各个阶段攻击路径,生成所述网络攻击事件对应的网络攻击路径。
[0029]第二方面,本申请提供了一种网络攻击路径获取装置,包括:
[0030]提取模块,用于获取设定时间段内的N种告警日志,在所述N种告警日志中提取出至少包含各类型网络实体的目标数据,其中,所述各类型网络实体为所述告警日志对应的网络攻击事件中的各个实体;
[0031]处理模块,用于根据得到的所有目标数据,生成N个包含两种类型网络实体的二分图,根据预设网络攻击事件图谱以及N个二分图,建立所述目标数据中各类型网络实体之间的关联关系,其中,所述预设网络攻击事件图谱包含了网络攻击事件中各类型的网络实体之间的关联关系,每个二分图中包含了两个网络实体之间的关联关系,N为大于1的正整数;
[0032]生成模块,用于根据各类型网络实体之间的关联关系,生成网络攻击事件对应的网络攻击路径。
[0033]在一种可能的设计中,所述提取模块,具体用于确定所述告警日志中网络攻击事件的各个网络攻击阶段;提取各个网络攻击阶段中参与网络攻击事件的各类型网络实体,得到包含所述各类型网络实体的所述目标数据。
[0034]在一种可能的设计中,所述生成模块,具体用于根据各类型网络实体之间的关联关系,确定出包含所有类型网络实体的连通结构;根据所述连通结构,确定网络攻击事件中各个攻击阶段对应的阶段攻击路径;根据各个阶段攻击路径,生成所述网络攻击事件对应的网络攻击路径,其中,所述连通结构中包含了各类型网络实体。
[0035]第三方面,本申请提供了一种电子设备,包括:
[0036]存储器,用于存放计算机程序;
[0037]处理器,用于执行所述存储器上所存放的计算机程序时,实现上述网络攻击路径获取方法步骤。
[0038]第四方面,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述网络攻击路径获取方法步骤。
[0039]上述第二方面至第四方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面或第一方面中的各种可能方案可以达到的技术效果说明,这里不再重复赘述。
附图说本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络攻击路径获取方法,其特征在于,包括获取设定时间段内的N种告警日志,在所述N种告警日志中提取出至少包含各类型网络实体的目标数据,其中,所述各类型网络实体为所述告警日志对应的网络攻击事件中的各个实体,N为大于1的正整数;根据得到的所有目标数据,生成N个包含两种类型网络实体的二分图,其中,每个二分图中包含了两类网络实体之间的关联关系;根据预设网络攻击事件图谱以及N个二分图,建立所述目标数据中各类型网络实体之间的关联关系,其中,所述预设网络攻击事件图谱包含了网络攻击事件中各类型的网络实体之间的关联关系;根据各类型网络实体之间的关联关系,生成网络攻击事件对应的网络攻击路径。2.如权利要求1所述的方法,其特征在于,在所述告警日志中提取出至少包含网络攻击事件对应的网络实体的目标数据,包括:确定所述告警日志中网络攻击事件的各个网络攻击阶段;提取各个网络攻击阶段中参与网络攻击事件的各类型网络实体,得到包含所述各类型网络实体的所述目标数据。3.如权利要求2所述的方法,其特征在于,所述提取各个网络攻击阶段中参与网络攻击事件的各类型网络实体,包括:在所述告警日志的漏洞数据中提取出网络攻击事件中的攻击主机以及被攻击主机;在所述告警日志的恶意代码数据中提取出网络攻击事件中存储恶意程序主机以及下载恶意程序主机;在所述告警日志的攻击指令数据中提取出网络攻击事件中指令服务器、目标主机以及执行指令主机;将所述攻击主机、被攻击主机、恶意程序主机、下载恶意程序主机、指令服务器、目标主机以及执行指令主机作为所述攻击事件的各类型网络实体。4.如权利要求2所述的方法,其特征在于,所述根据预设网络攻击事件图谱,建立所述目标数据中各类型网络实体之间的关联关系,包括:在所述预设网络攻击事件图谱中识别出各攻击阶段中各类型网络实体之间的预设关联;按照所述预设关联,建立所述各攻击阶段中各类型网络实体之间的关联关系。5.如权利要求1所述的方法,其特征在于,所述根据各类型网络实体之间的关联关系,生成网络攻击事件对应的网络攻击路径,包括:根据各类型网络实体之间的关联...
【专利技术属性】
技术研发人员:周庚乾,张喆,吴铁军,赵陈菲,滑亚康,叶晓虎,
申请(专利权)人:北京神州绿盟科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。