【技术实现步骤摘要】
一种攻击事件的分析方法、装置、设备及存储介质
[0001]本申请涉及网络安全
,尤其涉及一种攻击事件的分析方法、装置、设备及存储介质。
技术介绍
[0002]随着计算机网络规模的扩大、网络攻击与入侵手段的不断升级,一个攻击过程的不同阶段可能通过不同的网络节点来实施,因此在不同的网络节点都会留下攻击痕迹。尽管部署在网络环境中的各种主机、应用程序、网络设备和安全设备能够记录不同网络节点发生的攻击事件,但是单个网络节点的单个攻击事件告警信息无法反应整个攻击过程的全貌,而全网络节点的海量攻击事件告警信息之间存在着大量的冗余,如果对每一条攻击事件的告警信息均进行分析则会增加工作量。
[0003]相关技术中,通常仅侧重于减少攻击事件的数量,该方式仅是从数量上进行了减少,虽然可以从一定程度上解决大量无效或者重复的攻击事件导致资源浪费以及运维人员工作效率低下的问题,但是,难以准确分析出更加完整和准确的攻击信息,无法有效保证信息系统的安全。
[0004]因此,从多网络节点的海量攻击事件中关联归并攻击事件,以便得到更加完整和准确的攻击信息,进而有效保证信息系统的安全十分重要。
技术实现思路
[0005]本申请实施例提供一种攻击事件的分析方法、装置、设备及存储介质,用以从海量的攻击事件中,分析出更加完整和准确的攻击信息,以便有效保证信息系统的安全。
[0006]第一方面,本申请一实施例提供了一种攻击事件分析方法,应用于分析设备,该分析设备可以部署在本地,例如是电子设备;也可以部署在云端,例如是 ...
【技术保护点】
【技术特征摘要】
1.一种攻击事件的分析方法,其特征在于,包括:获取至少一个攻击事件的事件信息;其中,所述事件信息为安全检测设备对至少一个网络节点进行安全检测得到的;对每个事件类型下的所述至少一个攻击事件进行关联,得到每个事件类型下的至少一个关联事件组;针对各个事件类型下各自对应的至少一个关联事件组中的每个关联事件组,执行以下操作,确定每个关联事件组中的攻击参数集合:确定第一关联事件组的第一攻击场景;其中,所述第一关联事件组为所述至少一个关联事件组中的任意一个关联事件组;应用所述第一攻击场景对应的第一归并条件,对所述第一关联事件组中的至少两个攻击事件进行归并处理,得到归并后的攻击参数集合;其中,所述归并后的攻击参数集合用于指示对所述至少一个攻击事件进行分析。2.根据权利要求1所述的方法,其特征在于,所述确定第一关联事件组的第一攻击场景,包括:根据所述第一关联事件组的第一事件信息,确定所述第一关联事件组的第一攻击场景;其中,所述第一事件信息包括所述第一关联事件组中的至少两个攻击事件的事件信息。3.根据权利要求2所述的方法,其特征在于,所述根据所述第一关联事件组的第一事件信息,确定所述第一关联事件组的第一攻击场景,包括:若所述第一事件信息中存在不唯一的第一攻击参数,则确定所述第一攻击场景为所述第一攻击参数关联的攻击场景;其中,所述第一攻击参数包括被攻击IP或被攻击邮箱,所述第一攻击参数关联的攻击场景为多IP攻击场景或多邮箱攻击场景。4.根据权利要求3所述的方法,其特征在于,所述第一攻击参数为被攻击IP,所述方法还包括:当所述第一关联事件组中的攻击事件类型为DDoS类型或者恶意文件类型时,若所述第一事件信息中存在唯一的第一被攻击IP,且存在不唯一的第一被攻击端口,则确定所述第一攻击场景为多端口攻击场景;当所述第一关联事件组中的攻击事件类型为暴力破解类型时,若所述第一事件信息中存在唯一的第一被攻击IP,且存在不唯一的被攻击账号,则确定所述第一攻击场景为多账号攻击场景。5.根据权利要求1~4任一项所述的方法,其特征在于,所述应用所述第一攻击场景对应的第一归并条件,对所述第一关联事件组中的至少两个攻击事件进行归并处理,得到归并后的攻击参数集合,包括:若第一攻击参数集合和第二攻击参数集合存在子集关系,则确定归并后的攻击参数集合为第一事件和第二事件中的父集事件对应的攻击参数集合;若所述第一攻击参数集合和第二事件的第二攻击参数集合不存在子集关系,且所述第一攻击参数集合和所述第二攻击参数集合存在交集关系,则确定归并后的攻击参数集合为所述第一攻击参数集合和所述第二攻击参数集合的交集;若所述第一攻击参数集合和所述第二攻击参数集合不存在子集关系,且所述第一攻击
参数集合和所述第二攻击参数集合不存在交集关系,且所述第一事件和所述第二事件存在同域关系,则确定归并后的攻击参数集合为所述第一攻击参数集合和所述第二攻击参数集合的并集;其中,所述第一事件为获取到的原始的攻击事件或者任意一次归并操作后得到的攻击事件,所述第二事件为获取到的原始的攻击事件或者任意一次归并操作后得到的攻击事件;所述第一攻击参数集合是所述第一事件的事件信息中与所述第一归并条件对应的参数集合,所述第二攻击参数集合是所述第二事件中与所述第一归并...
【专利技术属性】
技术研发人员:徐剑,高川,吕卓航,张宇鹏,雷君,周彧,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。