攻击路径可视化还原方法、装置、设备及介质制造方法及图纸

本申请公开了一种攻击路径可视化还原方法、装置、设备及介质,涉及内网信息安全技术领域，该方法包括：采集由目标安全设备返回的原始安全事件，并将所述原始安全事件保存至预设数据库中；通过预设搜索条件接口获取目标搜索条件，并基于所述目标搜索条件从所述预设数据库中进行溯源，以得到目标安全事件列表；利用所述目标安全事件列表中的发生时间信息、源地址和目的地址得到参考攻击路径动画，并设置用户搜索接口，以便基于通过所述用户搜索接口获取的用户搜索条件和所述参考攻击路径动画生成目标攻击路径动画。通过上述方法，能够在攻击路径的可视化界面中展示出安全事件之间的关联性，并能够与可视化界面进行交互。并能够与可视化界面进行交互。并能够与可视化界面进行交互。

【技术实现步骤摘要】
攻击路径可视化还原方法、装置、设备及介质


[0001]本专利技术涉及内网信息安全
，特别涉及攻击路径可视化还原方法、装置、设备及介质。

技术介绍

[0002]网络攻击越来越复杂，为解决各种问题，内网信息系统上安装了各种检测工具对攻击行为进行检测，例如部署在关键点的防火墙及入侵检测工具、部署在主机的防病毒系统等，为了对各种检测结果进行综合分析，还会部署安全运营平台(Security Operations Center，即SOC)，它可以协助管理人员进行事件分析、风险分析、预警管理和应急响应处理，为安全管理者提供风险评估和应急响应的决策支撑。
[0003]目前SOC主要分为两种展示方法，一种针对安全设备各自上报的安全事件本身进行分析和展示，因此忽略了分析不同安全事件的关联性；另一种根据安全事件的发生时间、源地址、目的地址对安全审计事件攻击路线还原后以链路图片进行静态展示，但因为链路图片无法进行交互，所以无法对链路图片上的信息做进一步分析，分析方法不灵活。
[0004]综上可见，如何在攻击路径的可视化界面中展示出安全事件之间的关联性以及能够与可视化界面进行交互是本领域有待解决的问题。

技术实现思路

[0005]有鉴于此，本专利技术的目的在于提供一种攻击路径可视化还原方法、装置、设备及介质，能够在攻击路径的可视化界面中展示出安全事件之间的关联性，并能够与可视化界面进行交互。其具体方案如下：
[0006]第一方面，本申请公开了一种攻击路径可视化还原方法，包括：
[0007]采集由目标安全设备返回的原始安全事件，并将所述原始安全事件保存至预设数据库中；
[0008]通过预设搜索条件接口获取目标搜索条件，并基于所述目标搜索条件从所述预设数据库中进行溯源，以得到目标安全事件列表；
[0009]利用所述目标安全事件列表中的发生时间信息、源地址和目的地址得到参考攻击路径动画，并设置用户搜索接口，以便基于通过所述用户搜索接口获取的用户搜索条件和所述参考攻击路径动画生成目标攻击路径动画。
[0010]可选的，所述基于所述目标搜索条件从所述预设数据库中进行溯源，以得到目标安全事件列表，包括：
[0011]判断当前溯源层级是否大于所述目标搜索条件中的目标溯源层级，若否则基于所述目标搜索条件，并利用当前溯源地址进行溯源得到包含当前安全事件的当前安全事件列表，然后提取与所述当前安全事件对应的源地址和目的地址，以便基于所述当前安全事件对应的源地址和目的地址得到下一溯源地址以及基于所述当前溯源层级得到下一溯源层级；
[0012]判断所述下一溯源层级是否大于所述目标溯源层级，若否则将所述下一溯源层级和所述下一溯源地址分别作为所述当前溯源层级和所述当前溯源地址，然后重新跳转至所述基于所述目标搜索条件，并利用当前溯源地址进行溯源得到包含当前安全事件的当前安全事件列表的步骤，直至所述下一溯源层级大于所述目标溯源层级，并将所述当前安全事件列表确定为目标安全事件列表；
[0013]相应的，所述判断当前溯源层级是否大于所述目标搜索条件中的目标溯源层级之前，还包括：
[0014]通过预设搜索条件接口获取包含初始溯源地址和目标溯源层级的目标搜索条件，并设置初始溯源层级，以便将所述初始溯源地址和所述初始溯源层级分别作为所述当前溯源地址和所述当前溯源层级。
[0015]可选的，所述利用当前溯源地址进行溯源得到包含当前安全事件的当前安全事件列表，然后提取与所述当前安全事件对应的源地址和目的地址，包括：
[0016]利用当前溯源地址进行溯源得到所述当前安全事件，并获取所述当前安全事件的标识信息，然后基于所述标识信息判断所述上一安全事件列表中是否已保存所述当前安全事件；
[0017]若已保存则将所述上一安全事件列表作为所述当前安全事件列表，并提取与所述当前安全事件对应的源地址和目的地址；若未保存则将所述当前安全事件保存至所述上一安全事件列表以得到所述当前安全事件列表，并提取与所述当前安全事件对应的源地址和目的地址。
[0018]可选的，所述利用所述目标安全事件列表中的发生时间信息、源地址和目的地址得到参考攻击路径动画，包括：
[0019]从所述目标安全事件列表中提取发生时间信息、源地址和目的地址，并判断预设安全运营平台的资产台账表中是否已保存与所述源地址和所述目的地址对应的资产类型信息、资产名称和责任人信息中的任意一种或几种资产信息；
[0020]若已保存则获取与所述源地址和所述目的地址对应的资产类型信息、资产名称和责任人信息中的任意一种或几种资产信息，并基于所述发生时间信息、所述源地址、所述目的地址以及所述资产信息得到参考攻击路径动画；若未保存则基于所述发生时间信息、所述源地址和所述目的地址得到参考攻击路径动画。
[0021]可选的，所述基于所述目标搜索条件从所述预设数据库中进行溯源，以得到目标安全事件列表之后，还包括：
[0022]统计所述目标安全事件列表中的安全事件的事件数量以及与所述安全事件关联的节点数量，并基于所述事件数量和所述节点数量创建事件概览散点动画；
[0023]基于预设时间顺序获取所述目标安全事件列表中所述安全事件，并确定所述安全事件的发生次数、攻击阶段、攻击方向、源地址、目的地址、发生时间信息、事件名称以及上报所述安全事件的设备地址中的任意一种或几种事件信息，并基于所述事件信息创建事件信息栏动画。
[0024]可选的，所述基于预设时间顺序获取所述目标安全事件列表中所述安全事件，并确定所述安全事件的发生次数、攻击阶段、攻击方向、源地址、目的地址、发生时间信息、事件名称以及上报所述安全事件的设备地址中的任意一种或几种事件信息，包括：
[0025]基于预设时间顺序获取所述目标安全事件列表中当前所述安全事件，并确定当前所述安全事件的发生次数、发生时间信息、源地址、目的地址、事件名称以及上报所述安全事件的设备地址中的任意一种或几种事件信息，然后从预设事件模型表中查询与当前所述安全事件的事件名称对应的攻击阶段；
[0026]基于预设内网标识信息段管理表判断当前所述安全事件的源地址和目的地址是否为内网地址，并基于判断结果计算出与当前所述安全事件的源地址至目的地址对应的攻击方向。
[0027]可选的，所述基于预设时间顺序获取所述目标安全事件列表中当前所述安全事件，并确定当前所述安全事件的发生次数、发生时间信息、源地址、目的地址、事件名称以及上报所述安全事件的设备地址中的任意一种或几种事件信息，包括：
[0028]基于预设时间顺序获取所述目标安全事件列表中当前所述安全事件，确定当前所述安全事件的发生时间信息、源地址、目的地址以及事件名称，并基于当前所述安全事件的发生时间判断当前所述安全事件是否为所述目标安全事件列表中第一个所述安全事件；
[0029]若是则判定当前所述安全事件的发生次数为1。
[0030]可选的，所述基于当前所述安全事件的发生时间判断当前所述安全事件是否为所述目标安本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击路径可视化还原方法，其特征在于，包括：采集由目标安全设备返回的原始安全事件，并将所述原始安全事件保存至预设数据库中；通过预设搜索条件接口获取目标搜索条件，并基于所述目标搜索条件从所述预设数据库中进行溯源，以得到目标安全事件列表；利用所述目标安全事件列表中的发生时间信息、源地址和目的地址得到参考攻击路径动画，并设置用户搜索接口，以便基于通过所述用户搜索接口获取的用户搜索条件和所述参考攻击路径动画生成目标攻击路径动画。2.根据权利要求1所述的攻击路径可视化还原方法，其特征在于，所述基于所述目标搜索条件从所述预设数据库中进行溯源，以得到目标安全事件列表，包括：判断当前溯源层级是否大于所述目标搜索条件中的目标溯源层级，若否则基于所述目标搜索条件，并利用当前溯源地址进行溯源得到包含当前安全事件的当前安全事件列表，然后提取与所述当前安全事件对应的源地址和目的地址，以便基于所述当前安全事件对应的源地址和目的地址得到下一溯源地址以及基于所述当前溯源层级得到下一溯源层级；判断所述下一溯源层级是否大于所述目标溯源层级，若否则将所述下一溯源层级和所述下一溯源地址分别作为所述当前溯源层级和所述当前溯源地址，然后重新跳转至所述基于所述目标搜索条件，并利用当前溯源地址进行溯源得到包含当前安全事件的当前安全事件列表的步骤，直至所述下一溯源层级大于所述目标溯源层级，并将所述当前安全事件列表确定为目标安全事件列表；相应的，所述判断当前溯源层级是否大于所述目标搜索条件中的目标溯源层级之前，还包括：通过预设搜索条件接口获取包含初始溯源地址和目标溯源层级的目标搜索条件，并设置初始溯源层级，以便将所述初始溯源地址和所述初始溯源层级分别作为所述当前溯源地址和所述当前溯源层级。3.根据权利要求2所述的攻击路径可视化还原方法，其特征在于，所述利用当前溯源地址进行溯源得到包含当前安全事件的当前安全事件列表，然后提取与所述当前安全事件对应的源地址和目的地址，包括：利用当前溯源地址进行溯源得到所述当前安全事件，并获取所述当前安全事件的标识信息，然后基于所述标识信息判断所述上一安全事件列表中是否已保存所述当前安全事件；若已保存则将所述上一安全事件列表作为所述当前安全事件列表，并提取与所述当前安全事件对应的源地址和目的地址；若未保存则将所述当前安全事件保存至所述上一安全事件列表以得到所述当前安全事件列表，并提取与所述当前安全事件对应的源地址和目的地址。4.根据权利要求1所述的攻击路径可视化还原方法，其特征在于，所述利用所述目标安全事件列表中的发生时间信息、源地址和目的地址得到参考攻击路径动画，包括：从所述目标安全事件列表中提取发生时间信息、源地址和目的地址，并判断预设安全运营平台的资产台账表中是否已保存与所述源地址和所述目的地址对应的资产类型信息、资产名称和责任人信息中的任意一种或几种资产信息；
若已保存则获取与所述源地址和所述目的地址对应的资产类型信息、资产名称和责任人信息中的任意一种或几种资产信息，并基于所述发生时间信息、所述源地址、所述目的地址以及所述资产信息得到参考攻击路径动画；若未保存则基于所述发生时间信息、所述源地址和所述目的地址得到参考攻击路径动画。5.根据权利要求1至4任一项所述的攻击路径可视化还原方法，其特征在于，所述基于所述目标搜索条件从所述预设数据库中进行溯源，以得到目标安全事件列表之后，还包括：统计所述目标安...

【专利技术属性】
技术研发人员：宗琪，仲恺，秦鸿飞，刘慧，黄健，杨乘胜，江楠，汤敏杰，张晏斌，邓峰，
申请(专利权)人：南京华盾电力信息安全测评有限公司，
类型：发明
国别省市：