立体攻击链路还原及告警处置方法、装置、设备及介质制造方法及图纸

本申请公开了立体攻击链路还原及告警处置方法、装置、设备及介质，涉及计算机技术领域，包括：基于预设终端侧和预设流量监测设备侧上报的初始告警信息确定第一分析结果；通过基于第一分析结果以及告警来源信息分别到预设终端侧和预设流量监测设备侧执行日志上下文关联检索操作来进行协同查找，得到第二分析结果；第二分析结果包括目标攻击者以及位于所述预设终端侧的若干个被攻击的目的主机；基于第二分析结果判断当前是否存在横向移动跨主机攻击行为；如果否，则基于第二分析结果确定目标攻击链路展示图，并生成待处理任务以对初始告警信息进行处置。本申请能够有效地以攻击者视角维度立体还原攻击过程，并以被攻击者视角进行相应的处置操作。角进行相应的处置操作。角进行相应的处置操作。

【技术实现步骤摘要】
立体攻击链路还原及告警处置方法、装置、设备及介质


[0001]本专利技术涉及计算机
，特别涉及立体攻击链路还原及告警处置方法、装置、设备及介质。

技术介绍

[0002]当前，在告警溯源相关解决方案目前处于线状或面状，也即在现有技术方案中往往通过关联被攻击设备的关系行为溯源链或关系链，参考数据源比较单一，会存在日志或告警缺失的情况，这样一来只能够梳理小部分告警的关系链，无法获取完整清晰的攻击链路，进而无法有效地站在“事件”视角对告警信息进行分析和处置。

技术实现思路

[0003]有鉴于此，本专利技术的目的在于提供立体攻击链路还原及告警处置方法、装置、设备及介质，能够有效地以攻击者视角维度立体还原攻击过程，并以被攻击者视角进行相应的处置操作。其具体方案如下：
[0004]第一方面，本申请提供了一种立体攻击链路还原及告警处置方法，应用于大数据安全分析中心平台，包括：
[0005]基于预设终端侧和预设流量监测设备侧上报的初始告警信息确定相应的第一分析结果；
[0006]通过基于所述第一分析结果以及告警来源信息分别到所述预设终端侧和所述预设流量监测设备侧执行相应的日志上下文关联检索操作来进行协同查找，得到相应的第二分析结果；所述第二分析结果包括目标攻击者以及相对应的位于所述预设终端侧的若干个被攻击的目的主机；
[0007]基于所述第二分析结果判断当前是否存在横向移动跨主机攻击行为；
[0008]如果否，则基于所述第二分析结果确定相应的目标攻击链路展示图，并自动生成相应的待处理任务以通过执行所述待处理任务来处置所述初始告警信息。
[0009]可选的，所述基于所述第二分析结果判断当前是否存在横向移动跨主机攻击行为之后，还包括：
[0010]如果是，则将所述第二分析结果作为所述第一分析结果，并重新跳转至所述通过基于所述第一分析结果以及告警来源信息分别到所述预设终端侧和所述预设流量监测设备侧执行相应的日志上下文关联操作来进行协同查找的步骤。
[0011]可选的，所述基于预设终端侧和预设流量监测设备侧上报的初始告警信息确定相应的第一分析结果，包括：
[0012]获取预设终端侧和预设流量监测设备侧上报的初始告警信息；
[0013]判断所述初始告警信息是否完整；
[0014]若是，则直接基于预设告警信息分析规则对所述初始告警信息进行分析，确定相应的第一分析结果；
[0015]若否，则向所述预设终端侧或所述预设流量监测设备侧发送数据检索请求以对所述初始告警信息进行更新，直至更新后告警信息完整时，通过利用所述预设告警信息分析规则对所述更新后告警信息进行分析来确定相应的第一分析结果。
[0016]可选的，所述直接基于预设告警信息分析规则对所述初始告警信息进行分析，包括：
[0017]针对所述预设终端侧上报的第一初始告警信息，基于所述第一初始告警信息中的第一告警等级信息、第一告警响应结果信息和第一告警名称信息进行分析，以确定相应的第一攻击风险级别信息；
[0018]针对所述预设流量监测设备侧上报的第二初始告警信息，分别基于所述第二初始告警信息中的第二告警等级信息、第二告警响应结果信息和第二告警名称信息以及源IP信息和目的IP信息等五元组信息进行分析，以确定相应的第二攻击风险级别信息，并对所述源IP信息相同的告警信息进行聚合归并。
[0019]可选的，所述通过基于所述第一分析结果以及告警来源信息分别到所述预设终端侧和所述预设流量监测设备侧执行相应的日志上下文关联检索操作来进行协同查找，包括：
[0020]基于所述告警来源信息以及所述第一分析结果向所述预设终端侧的目的主机发送相应的第一日志关联请求，以便所述目的主机接收到所述第一日志关联请求后基于所述第一日志关联请求中的五元组信息或域名信息定位进程源，并通过对应的进程控制符进行日志的上下文关联检索，然后执行相应的父子进程关联匹配操作以及断链模糊匹配操作，以完成相应的协同查找操作；
[0021]基于所述告警来源信息以及所述第一分析结果向预设流量监测设备侧的目的流量监测设备发送相应的第二日志关联请求，以便所述目的流量监测设备接收到所述第二日志关联请求后基于所述第二日志关联请求中的所述源IP信息以及所述目的IP信息进行日志的上下文关联检索，以完成相应的协同查找操作。
[0022]可选的，所述基于所述第二分析结果判断当前是否存在横向移动跨主机攻击行为，包括：
[0023]基于与所述第二分析结果对应的攻击链路中的末端日志判断当前是否存在横向移动跨主机攻击行为；
[0024]相应的，所述基于所述第二分析结果确定相应的目标攻击链路展示图，包括：
[0025]将与所述第二分析结果对应的所述攻击链路确定为目标攻击链路，并生成相应的目标攻击链路展示图。
[0026]可选的，所述自动生成相应的待处理任务以通过执行所述待处理任务来处置所述初始告警信息，包括：
[0027]基于所述目标攻击链路确定相应的攻陷指标，并根据所述攻陷指标自动生成相应的待处理任务；
[0028]将所述待处理任务分别发送至所述预设终端侧和所述预设流量监测设备侧；
[0029]接收所述预设终端侧和所述预设流量监测设备侧执行任务后返回的任务处理结果信息，并基于所述任务处理结果信息针对所述目标攻击链路中的所有节点触发相应的处置状态标记操作。
[0030]第二方面，本申请提供了立体攻击链路还原及告警处置装置，应用于大数据安全分析中心平台，包括：
[0031]初始信息分析模块，用于基于预设终端侧和预设流量监测设备侧上报的初始告警信息确定相应的第一分析结果；
[0032]关联分析模块，用于通过基于所述第一分析结果以及告警来源信息分别到所述预设终端侧和所述预设流量监测设备侧执行相应的日志上下文关联检索操作来进行协同查找，得到相应的第二分析结果；所述第二分析结果包括目标攻击者以及相对应的所述预设终端侧的若干个被攻击的目的主机；
[0033]横向移动判断模块，用于基于所述第二分析结果判断当前是否存在横向移动跨主机攻击行为；
[0034]攻击链路还原模块，用于如果否，则基于所述第二分析结果确定相应的目标攻击链路展示图；
[0035]告警处置模块，用于自动生成相应的待处理任务以通过执行所述待处理任务来处置所述初始告警信息。
[0036]第三方面，本申请提供了一种电子设备，包括：
[0037]存储器，用于保存计算机程序；
[0038]处理器，用于执行所述计算机程序，以实现前述的立体攻击链路还原及告警处置方法的步骤。
[0039]第四方面，本申请提供了一种计算机可读存储介质，用于保存计算机程序，所述计算机程序被处理器执行时实现前述的立体攻击链路还原及告警处置方法的步骤。
[0040]可见，本申请中，大数据安全分析中心平台首先基于预设终端侧和预设流量监测设备侧上报的初始告警信息确定相应的第一分析结果；然后通过基本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种立体攻击链路还原及告警处置方法，其特征在于，应用于大数据安全分析中心平台，包括：基于预设终端侧和预设流量监测设备侧上报的初始告警信息确定相应的第一分析结果；通过基于所述第一分析结果以及告警来源信息分别到所述预设终端侧和所述预设流量监测设备侧执行相应的日志上下文关联检索操作来进行协同查找，得到相应的第二分析结果；所述第二分析结果包括目标攻击者以及相对应的位于所述预设终端侧的若干个被攻击的目的主机；基于所述第二分析结果判断当前是否存在横向移动跨主机攻击行为；如果否，则基于所述第二分析结果确定相应的目标攻击链路展示图，并自动生成相应的待处理任务以通过执行所述待处理任务来处置所述初始告警信息。2.根据权利要求1所述的立体攻击链路还原及告警处置方法，其特征在于，所述基于所述第二分析结果判断当前是否存在横向移动跨主机攻击行为之后，还包括：如果是，则将所述第二分析结果作为所述第一分析结果，并重新跳转至所述通过基于所述第一分析结果以及告警来源信息分别到所述预设终端侧和所述预设流量监测设备侧执行相应的日志上下文关联操作来进行协同查找的步骤。3.根据权利要求1所述的立体攻击链路还原及告警处置方法，其特征在于，所述基于预设终端侧和预设流量监测设备侧上报的初始告警信息确定相应的第一分析结果，包括：获取预设终端侧和预设流量监测设备侧上报的初始告警信息；判断所述初始告警信息是否完整；若是，则直接基于预设告警信息分析规则对所述初始告警信息进行分析，确定相应的第一分析结果；若否，则向所述预设终端侧或所述预设流量监测设备侧发送数据检索请求以对所述初始告警信息进行更新，直至更新后告警信息完整时，通过利用所述预设告警信息分析规则对所述更新后告警信息进行分析来确定相应的第一分析结果。4.根据权利要求3所述的立体攻击链路还原及告警处置方法，其特征在于，所述直接基于预设告警信息分析规则对所述初始告警信息进行分析，包括：针对所述预设终端侧上报的第一初始告警信息，基于所述第一初始告警信息中的第一告警等级信息、第一告警响应结果信息和第一告警名称信息进行分析，以确定相应的第一攻击风险级别信息；针对所述预设流量监测设备侧上报的第二初始告警信息，分别基于所述第二初始告警信息中的第二告警等级信息、第二告警响应结果信息和第二告警名称信息以及源IP信息和目的IP信息等五元组信息等五元组信息进行分析，以确定相应的第二攻击风险级别信息，并对所述源IP信息相同的告警信息进行聚合归并。5.根据权利要求4所述的立体攻击链路还原及告警处置方法，其特征在于，所述通过基于所述第一分析结果以及告警来源信息分别到所述预设终端侧和所述预设流量监测设备侧执行相应的日志上下文关联检索操作来进行协同查找，包括：基于所述告警来源信息以及所述第一分析结果向所述预设终端侧的目的主机发送相应的第一日志关联请求，以便所述目的主机接收到所...

【专利技术属性】
技术研发人员：刘华，刘书航，
申请(专利权)人：江苏安恒网络安全有限公司，
类型：发明
国别省市：