本发明专利技术提供了一种攻击行为处置方法及装置,通过获取预设时间段内的日志数据,并对日志数据中攻击行为关联设备的通信地址以及目标攻击行为信息的统计与分析,根据预设规则,生成针对攻击源设备的威胁值评分,通过对攻击源设备评分,直接封禁威胁值大于预设阈值的攻击源设备,从攻击源去避免再次受到威胁,可以阻断恶意攻击源设备的所有攻击行为。阻断恶意攻击源设备的所有攻击行为。阻断恶意攻击源设备的所有攻击行为。
【技术实现步骤摘要】
一种攻击行为处置方法及装置
[0001]本专利技术涉及计算机
,尤其涉及一种攻击行为处置方法、装置、电子设备及计算机可读存储介质。
技术介绍
[0002]安全编排和自动化响应是将复杂的威胁事件响应过程和运维任务转化为一致的,可重复的处理工作流,在执行威胁事件时,通过调度处理工作流,完成响应。
[0003]目前,对威胁事件的处置的重点在于调度每个威胁事件处置的顺序以及处理工作流的设计,以应对每一次的攻击行为。
[0004]针对新型的变种攻击,由于识别难度较大,利用已有的处理工作流难以进行准确的识别与处理。
技术实现思路
[0005]本专利技术实施例提供一种攻击行为处置方法及装置,以解决现有技术中对变种攻击难以识别并处理的问题。
[0006]第一方面,本专利技术实施例提供了一种攻击行为处置方法,所述方法包括:
[0007]获取预设时间段内的日志数据;所述日志数据包括:攻击行为关联设备的通信地址,以及所述攻击行为关联设备携带的至少一条目标攻击行为信息,所述攻击行为关联设备包括:攻击源设备和被攻击方设备,所述攻击行为信息为攻击源设备用于获得被攻击方设备的权限的信息;
[0008]对所述日志数据进行分析,获取所述攻击行为关联设备的通信地址的出现频次和/或所述目标攻击行为信息;
[0009]根据所述出现频次和/或所述目标攻击行为信息,生成针对所述攻击源设备的威胁值评分,所述威胁值评分与所述通信地址的出现频次以及所述目标攻击行为信息的种类成正比例关系;
[0010]在所述威胁值评分大于或等于第一预设阈值后,对所述攻击源设备进行封禁。
[0011]第二方面,本专利技术实施例提供了一种攻击行为处置装置,所述装置包括:
[0012]日志数据获取模块,用于获取预设时间段内的日志数据;所述日志数据包括:攻击行为关联设备的通信地址,以及所述攻击行为关联设备携带的至少一条目标攻击行为信息,所述攻击行为关联设备包括:攻击源设备和被攻击方设备,所述攻击行为信息为攻击源设备用于获得被攻击方设备的权限的信息;
[0013]日志数据分析模块,用于对所述日志数据进行分析,获取所述攻击行为关联设备的通信地址的出现频次和/或所述目标攻击行为信息;
[0014]威胁值评分生成模块,用于根据所述出现频次和/或所述目标攻击行为信息,生成针对所述攻击源设备的威胁值评分,所述威胁值评分与所述通信地址的出现频次以及所述目标攻击行为信息的种类成正比例关系;
[0015]攻击源设备封禁模块,用于在所述威胁值评分大于或等于第一预设阈值后,对所述攻击源设备进行封禁。
[0016]第三方面,本专利技术实施例还提供了一种电子设备,包括处理器;
[0017]用于存储所述处理器可执行指令的存储器;
[0018]其中,所述处理器被配置为执行所述指令,以实现所述第一方面的方法。
[0019]第四方面,本专利技术实施例还提供了一种计算机可读存储介质,当所述计算机可读存储介质中的指令由电子设备的处理器执行时,使得所述电子设备能够执行所述第一方面的方法。
[0020]在本专利技术实施例中,通过获取预设时间段内的日志数据,并对日志数据中攻击行为关联设备的通信地址以及目标攻击行为信息的统计与分析,根据预设规则,生成针对攻击源设备的威胁值评分,通过对攻击源设备评分,直接封禁威胁值大于预设阈值的攻击源设备,从攻击源去避免再次受到威胁,可以阻断恶意攻击源设备的所有攻击行为。
[0021]上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。
附图说明
[0022]图1是本专利技术实施例提供的一种攻击行为处置方法的步骤流程图;
[0023]图2是本专利技术实施例提供的又一种攻击行为处置方法的步骤流程图;
[0024]图3是本专利技术实施例提供的再一种攻击行为处置方法的步骤流程图;
[0025]图4是本专利技术实施例提供的一种攻击行为处理流程图;
[0026]图5是本专利技术实施例提供的一种攻击行为处置装置框图;
[0027]图6是本专利技术实施例提供的一种电子设备的逻辑框图;
[0028]图7是本专利技术实施例提供的一种另一种电子设备的逻辑框图。
具体实施方式
[0029]下面将参照附图更详细地描述本专利技术的示例性实施例。虽然附图中显示了本专利技术的示例性实施例,然而应当理解,可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本专利技术,并且能够将本专利技术的范围完整的传达给本领域的技术人员。
[0030]图1,是本专利技术实施例提供的一种攻击行为处置方法的步骤流程图,如图1所示,该方法可以包括:
[0031]步骤101、获取预设时间段内的日志数据;所述日志数据包括:攻击行为关联设备的通信地址,以及所述攻击行为关联设备携带的至少一条目标攻击行为信息,所述攻击行为关联设备包括:攻击源设备和被攻击方设备,所述攻击行为信息为攻击源设备用于获得被攻击方设备的权限的信息。
[0032]在本专利技术实施例中,日志数据可以为安全防护设备获得的数据,攻击行为关联设备包括:攻击源设备和被攻击方设备,攻击源设备用于表征发起攻击以侵入另一设备的设备或攻击地址,被攻击方设备用于表征被攻击入侵的设备或地址,日志数据中可以包含攻
击源设备和被攻击方设备的通信地址,如攻击源设备的IP(Internet Protocol,网际互连协议)地址、被攻击方设备的域名或统一资源标识符(Uniform Resource Identifier,URI)信息等,攻击行为信息可以为攻击源设备发送至被攻击方设备的有效负载(payload)信息。对于攻击方来说发送至被攻击方的病毒通常会做一些有害的或者恶性的动作,payload信息为在被攻击方系统中执行的代码或指令,payload可以实现任何运行在被攻击方环境中的程序所能做的事情,并且能够执行动作如:破坏文件删除文件,向攻击方或者任意的接收者发送敏感信息,以及提供通向被攻击方设备的权限等。在日志数据中记载着每一次攻击行为对应的攻击源地址、被攻击方地址、攻击行为信息等记录,通过获取的日志数据,可以对攻击行为进行分析并处置。
[0033]步骤102、对所述日志数据进行分析,获取所述攻击行为关联设备的通信地址的出现频次和/或所述目标攻击行为信息。
[0034]在本专利技术实施例中,可以通过对日志数据中记录的内容的统计与分析,对攻击行为进行判断,例如,可以获得在一定时间内,某一个攻击源IP出现的频次,通过对频次的统计,确定是否要对攻击源进行处理。或者可以获得攻击源设备对应的攻击行为信息,通过对攻击行为信息的分析,判断其是否携带有威胁被攻击方设备的信息,进一步对该攻击行为信息对应的攻击源设备做出处理。
[0035]步骤103、根据所述出现频次和/或所述目标本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种攻击行为处置方法,其特征在于,所述方法包括:获取预设时间段内的日志数据;所述日志数据包括:攻击行为关联设备的通信地址,以及所述攻击行为关联设备携带的至少一条目标攻击行为信息,所述攻击行为关联设备包括:攻击源设备和被攻击方设备,所述攻击行为信息为攻击源设备用于获得被攻击方设备的权限的信息;对所述日志数据进行分析,获取所述攻击行为关联设备的通信地址的出现频次和/或所述目标攻击行为信息;根据所述出现频次和/或所述目标攻击行为信息,生成针对所述攻击源设备的威胁值评分,所述威胁值评分与所述通信地址的出现频次以及所述目标攻击行为信息的种类成正比例关系;在所述威胁值评分大于或等于第一预设阈值后,对所述攻击源设备进行封禁。2.根据权利要求1所述的攻击行为处置方法,其特征在于,所述攻击行为信息为所述目标攻击源设备携带的信息,所述根据所述攻击行为信息,生成针对所述攻击源设备的威胁值评分,包括:获取预设数据库中的特征评分表,所述特征评分表包括攻击行为信息的第一关键字段与威胁值评分的对应关系;根据所述对应关系,获取与所述目标攻击行为信息的第二关键字段匹配的第一关键字段,并根据所述第一关键字段对应的评分,获得所述攻击源设备的威胁值评分。3.根据权利要求2所述的攻击行为处置方法,其特征在于,所述方法还包括:若所述特征评分表中,不存在与所述第二关键字段匹配的第一关键字段,则将所述第二关键字段作为目标第一关键字段加入所述特征评分表中;在所述特征评分表中建立所述目标第一关键字段与威胁值评分的对应关系,所述目标第一关键字段对应的威胁值评分为第一预设值。4.根据权利要求3所述的攻击行为处置方法,其特征在于,所述在所述特征评分表中建立所述目标第一关键字段与威胁值评分的对应关系之后,还包括:若后续对所述日志数据分析再次获得所述第二关键字段,则在所述特征评分表中,将所述目标第一关键字段的威胁值评分累加第二预设值,直至所述目标第一关键字段的威胁值评分累加值达到第二预设阈值后终止累加。5.根据权利要求2所述的攻击行为处置方法,其特征在于,所述方法还包括:获取预设时间段内的所述目标攻击行为信息;统计所述日志数据中所述目标攻击行为信息中出现频次大于或等于第三预设阈值的关键字段,并作为所述第二关键字段。6.根据权利要求1所述的攻击行为处置方法,其特征在于,所述攻击行为关联设备的通信地址包括:攻击源设备的第一地址;所述根据所述出现频次,生成针对所述攻击源设备的威胁值评分,包括:获取预设时间段内所述日志数据中与所述第一地址相关的日志的第一数目,并根据所述第一数目确定所述威胁值评分,所述第一数目与所述威胁值评分呈正比例关系。7.根...
【专利技术属性】
技术研发人员:李有伟,张中维,仲崇阳,余磊,
申请(专利权)人:南京领行科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。