攻击信息呈现方法、装置、平台及存储介质制造方法及图纸

本发明专利技术提供了一种攻击信息呈现方法、装置及存储介质，方法包括：确定待呈现的攻击树；其中，待呈现的攻击树包括：待呈现的攻击事件节点，以及导致对应攻击事件发生的待呈现的调用链条；其中，调用链条中包括调用节点，调用节点为进程节点和/或线程节点；根据攻击事件节点的攻击信息，将源于同一个公共的调用节点的多个攻击事件节点进行合并，得到合并事件节点，且合并事件节点对应合并后的调用链条，合并后的调用链条的终点为公共的调用节点。由于本方案中将源于同一个公共的调用节点的多个攻击事件节点进行合并，减少了节点数目，使得调用关系更加清楚，提高用户分析出攻击结果的效率。率。率。

【技术实现步骤摘要】
攻击信息呈现方法、装置、平台及存储介质


[0001]本专利技术涉及网络安全
，尤其涉及一种攻击信息呈现方法、装置、平台及存储介质。

技术介绍

[0002]相关技术中，在主机发生入侵事件发生后，会把当前攻击事件相关的进程、文件、网络等类型的节点组织成一张图结构，并结合一系列的攻击事件在进程、文件、网络节点上进一步生成攻击事件节点，最终生成一个完整的网状攻击图谱呈现给用户。当有大量的攻击事件时，展示的攻击图谱会非常庞大，使得当前的攻击图谱展示的信息复杂度较高，不易于查看，降低了用户分析出攻击结果的效率。

技术实现思路

[0003]本专利技术实施例提供的一种攻击信息呈现方法、装置、平台及存储介质，可以降低攻击图谱展示的信息复杂度，提高用户分析出攻击结果的效率。
[0004]本专利技术的技术方案是这样实现的：
[0005]本专利技术实施例提供了一种攻击信息呈现方法，包括：
[0006]确定待呈现的攻击树；其中，所述待呈现的攻击树包括：待呈现的攻击事件节点，以及导致对应攻击事件发生的待呈现的调用链条；
[0007]其中，所述调用链条中包括调用节点，所述调用节点为进程节点和/或线程节点，所述调用链条用于呈现各个调用节点的父子关系；
[0008]根据攻击事件节点的攻击信息，将源于同一个公共的调用节点的多个攻击事件节点进行合并，得到合并事件节点，且所述合并事件节点对应合并后的调用链条，所述合并后的调用链条的终点为所述公共的调用节点；和/或
[0009]根据攻击事件节点的攻击信息，将对应相同调用链条的多个攻击事件节点进行合并，得到所述合并事件节点，且所述合并事件节点对应合并后的公共调用链条；和/或
[0010]确定攻击子树，将所述攻击子树合并为一个调用节点以及一个攻击事件节点；其中，所述攻击子树包括调用节点以及攻击事件节点，且总节点数N≥3，以用于前台呈现时，减少呈现的节点数量。
[0011]上述方案中，所述根据攻击事件节点的攻击信息，将源于同一个公共的调用节点的多个攻击事件节点进行合并，得到合并事件节点，且所述合并事件节点对应合并后的调用链条，所述合并后的调用链条的终点为所述公共的调用节点，包括：
[0012]根据攻击事件节点的攻击信息，将源于同一个公共的调用节点，且为叶子节点类型的多个攻击事件节点进行合并，得到所述合并事件节点，且所述合并事件节点对应合并后的调用链条，所述合并后的调用链条的终点为所述公共的调用节点。
[0013]上述方案中，所述公共的调用节点为本节点和/或父节点。
[0014]上述方案中，所述攻击信息呈现方法还包括：
[0015]获取预先配置的待呈现节点总数目；
[0016]相应地，所述确定攻击子树，将所述攻击子树合并为一个调用节点以及一个攻击事件节点，包括：
[0017]在当前的所述攻击树中，确定包含攻击事件节点最少的所述攻击子树，将所述攻击子树合并为一个调用节点以及一个攻击事件节点；
[0018]若合并后节点数目超过所述预先配置的节点总数目，则返回执行在当前更新后的攻击树中，确定包含攻击事件节点最少的攻击子树，将所述攻击子树合并为一个调用节点以及一个攻击事件节点的步骤以及后续步骤。
[0019]上述方案中，获取预先配置的待呈现节点总数目；
[0020]在所述根据攻击事件节点的攻击信息，将源于同一个公共的调用节点的多个攻击事件节点进行合并，得到合并事件节点，且所述合并事件节点对应合并后的调用链条，所述合并后的调用链条的终点为所述公共的调用节点；和/或
[0021]根据攻击事件节点的攻击信息，将对应相同调用链条的多个攻击事件节点进行合并，得到所述合并事件节点，且所述合并事件节点对应合并后的公共调用链条的步骤之后，还包括：
[0022]若合并后节点数目超过所述预先配置的节点总数目，则：
[0023]在当前更新后的攻击树中，确定攻击子树，将所述攻击子树合并为一个调用节点以及一个攻击事件节点。
[0024]上述方案中，所述在当前更新后的攻击树中，确定攻击子树，将所述攻击子树合并为一个调用节点以及一个攻击事件节点，包括：
[0025]在当前更新后的所述攻击树中，确定包含攻击事件节点最少的所述攻击子树，将所述攻击子树合并为一个调用节点以及一个攻击事件节点；
[0026]若合并后节点数目超过所述预先配置的节点总数目，则返回执行在当前更新后的攻击树中，确定包含攻击事件节点最少的攻击子树，将所述攻击子树合并为一个调用节点以及一个攻击事件节点的步骤以及后续步骤。
[0027]上述方案中，所述确定待呈现的攻击树，包括：
[0028]根据待搜索的时间段信息，在实时维护的攻击树中，搜索发生在所述待搜索时间段的攻击事件所对应的攻击树，从而确定待呈现的攻击树；其中，所述攻击树中还包括：攻击事件发生的时间。
[0029]本专利技术实施例还提供了一种攻击信息呈现装置，包括：
[0030]确定单元，用于确定待呈现的攻击树；其中，所述待呈现的攻击树包括：待呈现的攻击事件节点，以及导致对应攻击事件发生的待呈现的调用链条；
[0031]其中，所述调用链条中包括调用节点，所述调用节点为进程节点和/或线程节点，所述调用链条用于呈现各个调用节点的父子关系；
[0032]合并单元，用于根据攻击事件节点的攻击信息，将来自于源于同一个公共的调用节点的多个攻击事件节点进行合并，得到合并后的攻击事件节点，且该所述合并后的攻击事件节点对应合并后的调用链条，所述合并后的调用链条的终点为所述公共的调用节点；和/或
[0033]根据攻击事件节点的攻击信息，将对应相同调用链条的多个攻击事件节点进行合
并，得到所述合并事件节点，且所述合并事件节点对应合并后的公共调用链条，以用于前台呈现时，减少呈现的节点数量。
[0034]本专利技术实施例还提供了一种攻击信息呈现平台，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述方法中的步骤。
[0035]本专利技术实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述方法中的步骤。
[0036]本专利技术实施例中，通过确定待呈现的攻击树；其中，待呈现的攻击树包括：待呈现的攻击事件节点，以及导致对应攻击事件发生的待呈现的调用链条；其中，调用链条中包括调用节点，调用节点为进程节点和/或线程节点；根据攻击事件节点的攻击信息，将源于同一个公共的调用节点的多个攻击事件节点进行合并，得到合并事件节点，且合并事件节点对应合并后的调用链条，合并后的调用链条的终点为所述公共的调用节点，以用于前台呈现时，减少呈现的节点数量。首先，本方案呈现父子关系的树型结构，而非复杂的网状图型结构，且在一种实现方案中，进一步地，由于本方案中将源于同一个公共的调用节点的多个攻击事件节点进行合并，减少了攻击事件节点，并且相应地，调用链条也会合并，进一步减少了调用节点的数本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击信息呈现方式，其特征在于，包括：确定待呈现的攻击树；其中，所述待呈现的攻击树包括：待呈现的攻击事件节点，以及导致对应攻击事件发生的待呈现的调用链条；其中，所述调用链条中包括调用节点，所述调用节点为进程节点和/或线程节点，所述调用链条用于呈现各个调用节点的父子关系；根据攻击事件节点的攻击信息，将源于同一个公共的调用节点的多个攻击事件节点进行合并，得到合并事件节点，且所述合并事件节点对应合并后的调用链条，所述合并后的调用链条的终点为所述公共的调用节点；和/或根据攻击事件节点的攻击信息，将对应相同调用链条的多个攻击事件节点进行合并，得到所述合并事件节点，且所述合并事件节点对应合并后的公共调用链条；和/或确定攻击子树，将所述攻击子树合并为一个调用节点以及一个攻击事件节点；其中，所述攻击子树包括调用节点以及攻击事件节点，且总节点数N≥3，以用于前台呈现时，减少呈现的节点数量。2.根据权利要求1所述的攻击信息呈现方式，其特征在于，所述方法包括：根据攻击事件节点的攻击信息，将源于同一个公共的调用节点的多个攻击事件节点进行合并，得到合并事件节点，且所述合并事件节点对应合并后的调用链条，所述合并后的调用链条的终点为所述公共的调用节点；相应地，所述根据攻击事件节点的攻击信息，将源于同一个公共的调用节点的多个攻击事件节点进行合并，得到合并事件节点，且所述合并事件节点对应合并后的调用链条，所述合并后的调用链条的终点为所述公共的调用节点，包括：根据攻击事件节点的攻击信息，将源于同一个公共的调用节点，且为叶子节点类型的多个攻击事件节点进行合并，得到所述合并事件节点，且所述合并事件节点对应合并后的调用链条，所述合并后的调用链条的终点为所述公共的调用节点。3.根据权利要求1所述的攻击信息呈现方式，其特征在于，所述方法包括：根据攻击事件节点的攻击信息，将源于同一个公共的调用节点的多个攻击事件节点进行合并，得到合并事件节点，且所述合并事件节点对应合并后的调用链条，所述合并后的调用链条的终点为所述公共的调用节点；相应地，所述公共的调用节点为多个攻击事件节点公共的本节点和/或父节点。4.根据权利要求1所述的攻击信息呈现方法，其特征在于，所述方法包括：确定攻击子树，将所述攻击子树合并为一个调用节点以及一个攻击事件节点；相应地，所述攻击信息呈现方法还包括：获取预先配置的待呈现节点总数目；相应地，所述确定攻击子树，将所述攻击子树合并为一个调用节点以及一个攻击事件节点，包括：在当前的所述攻击树中，确定包含攻击事件节点最少的所述攻击子树，将所述攻击子树合并为一个调用节点以及一个攻击事件节点；若合并后节点数目超过所述预先配置的节点总数目，则返回执行在当前更新后的攻击树中，确定包含攻击事件节点最少的攻击子树，将所述攻击子树合并为一个调用节点以及一个攻击事件节点的步骤以及后续步骤；
其中，所述攻击子树中除了根调用节点数目为单个，当包括子调用节点时，每一层子调用节点数目均为多个。5.根据权利要求1所述的攻击信息呈现方式，其特征在于，所述方法包括：根据攻击事件节点的攻击信息，将源于同一个公共的调用节点的多个攻击事件节点进行合并，得到合并事件节点，且所述合并事件节点对应合并后的调用链条，所述合并后的调用链条的终点为所述公共的调用节点；和/或根据攻...

【专利技术属性】
技术研发人员：宋扬，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：