【技术实现步骤摘要】
网络多跳攻击链的识别方法、装置、设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种网络多跳攻击链的识别方法、装置、设备及存储介质。
技术介绍
[0002]工业互联网以网络为基础、平台为中枢、数据为要素以及安全为保障,实现了新一代信息通信技术与工业经济的深度融合。但是,随着工业互联网的广泛应用和联网设备的爆发式增长,网络攻击面大大增加。在众多网络攻击中,渗透攻击是一种系统渐进型的综合攻击方式,其攻击目标明确,攻击范围广,并且识别难度大。
[0003]渗透攻击在空间上表现为多跳的链式攻击,其网络多跳攻击链存在空间连接性。目前,网络多跳攻击链的识别主要基于网络多跳攻击链的空间连接性,通过安全分析人员手动逐条查看告警IP之间是否存在关联,以分析是否属于网络多跳攻击链。但是,该识别方式不仅过程繁琐,而且可能遗漏高风险告警链,造成严重的安全隐患。因此,亟需一种快速高效的网络多跳攻击链识别方法,以增强网络的安全防护能力。
技术实现思路
[0004]本专利技术提供了一种网络多跳攻击链的识别方法、...
【技术保护点】
【技术特征摘要】
1.一种网络多跳攻击链的识别方法,其特征在于,包括:获取目标网络告警日志,所述目标网络告警日志包括多条告警信息;以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链,基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述候选告警链与多条所述告警信息进行匹配;若所述候选告警链与多条所述告警信息中的第二目标告警信息匹配成功,则根据所述第二目标告警信息更新所述候选告警链,并基于更新后的所述候选告警链,继续遍历所述目标网络告警日志,直至所述目标网络告警日志遍历完成,得到网络多跳攻击链;基于预设历史多跳攻击链库,对所述网络多跳攻击链进行危险识别,得到所述网络多跳攻击链的危险程度。2.如权利要求1所述的网络多跳攻击链的识别方法,其特征在于,所述获取目标网络告警日志,包括:获取多种网络安全设备产生的网络告警日志;基于预设解析规则,将所述网络告警日志解析为目标告警格式,并对所述网络告警日志进行去重,得到所述目标网络告警日志。3.如权利要求1所述的网络多跳攻击链的识别方法,其特征在于,所述以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链,基于预设告警链时间窗口,按照时间先后顺序,遍历所述目标网络告警日志,以对所述候选告警链与多条所述告警信息进行匹配,包括:以多条告警信息中时间最靠前的第一目标告警信息作为候选告警链;对时间在所述第一目标告警信息之后的多个告警信息,按照时间先后顺序,依次与所述候选告警链进行空间特征匹配;若多条所述告警信息中的第二目标告警信息与所述候选告警链空间特征匹配成功,则判定所述候选告警链与所述第二目标告警信息匹配成功;若所述第二目标告警信息与所述候选告警链空间特征匹配失败,则确定所述第二目标告警信息的时间戳是否在所述候选告警链的预设告警链时间窗口内;若所述第二目标告警信息的时间戳在所述候选告警链的预设告警链时间窗口内,则判定所述候选告警链与所述第二目标告警信息匹配成功。4.如权利要求3所述的网络多跳攻击链的识别方法,其特征在于,所述对时间在所述第一目标告警信息之后的多个告警信息,按照时间先后顺序,依次与所述候选告警链进行空间特征匹配,包括:对于时间在所述第一目标告警信息之后的每个告警信息,按照时间先后顺序,依次确定所述告警信息的会话发起协议地址SIP与所述候选告警链的末端拨号上网协议地址DIP是否相同;若多条所述告警信息中的第二目标告警信息的SIP与所述候选告警链的末端DIP相同,则判定所述第二目标告警信息与所述候选告警链空间特征匹配成功;若所述第二目标告警信息的SIP与所述候选告警链的末端DIP不相同,则确定所述候选告警链与所述第二目标告警信息是否存在相同的地址组合,所述地址组合包括SIP和DIP;若所述候选告警链与所述第二目标告警信息存在相同的地址组合,则判定所述第二目
标告警信息与所述候选告警链空间特征匹配成功。5.如权利要求1所述的网络多跳攻击链的识别方法,其特征在于,所述以多条告警信息中时...
【专利技术属性】
技术研发人员:于珍,杨银国,陆秋瑜,伍双喜,朱誉,向丽玲,秦颖婕,杨璧瑜,华威,骆晓明,刘慧翔,刘杨,
申请(专利权)人:广东电网有限责任公司电力调度控制中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。