一种攻击事件的分析方法、装置、设备及存储介质制造方法及图纸

本申请实施例公开了一种攻击事件的分析方法、装置、设备及存储介质，该方法包括：获取至少一个攻击事件的事件信息；应用至少一个攻击事件各自的事件信息中的事件类型对应的关联事件筛选条件，对各个攻击事件进行关联，确定至少一个关联事件组；针对每个关联事件组，执行以下操作，确定每个关联事件组中的攻击参数集合：确定第一关联事件组的第一攻击场景；第一关联事件组为至少一个关联事件组中的任意一个关联事件组；应用第一攻击场景对应的归并条件，对第一关联事件组中的至少两个攻击事件进行归并处理，得到归并后的攻击参数集合，将归并后的攻击参数集合作为攻击信息对攻击事件进行分析，分析结果更加完整和准确，保证信息系统的安全。信息系统的安全。信息系统的安全。

【技术实现步骤摘要】
一种攻击事件的分析方法、装置、设备及存储介质


[0001]本申请涉及网络安全
，尤其涉及一种攻击事件的分析方法、装置、设备及存储介质。

技术介绍

[0002]随着计算机网络规模的扩大、网络攻击与入侵手段的不断升级，一个攻击过程的不同阶段可能通过不同的网络节点来实施，因此在不同的网络节点都会留下攻击痕迹。尽管部署在网络环境中的各种主机、应用程序、网络设备和安全设备能够记录不同网络节点发生的攻击事件，但是单个网络节点的单个攻击事件告警信息无法反应整个攻击过程的全貌，而全网络节点的海量攻击事件告警信息之间存在着大量的冗余，如果对每一条攻击事件的告警信息均进行分析则会增加工作量。
[0003]相关技术中，通常仅侧重于减少攻击事件的数量，该方式仅是从数量上进行了减少，虽然可以从一定程度上解决大量无效或者重复的攻击事件导致资源浪费以及运维人员工作效率低下的问题，但是，难以准确分析出更加完整和准确的攻击信息，无法有效保证信息系统的安全。
[0004]因此，从多网络节点的海量攻击事件中关联归并攻击事件，以便得到更加完整和准确的攻击信息，进而有效保证信息系统的安全十分重要。

技术实现思路

[0005]本申请实施例提供一种攻击事件的分析方法、装置、设备及存储介质，用以从海量的攻击事件中，分析出更加完整和准确的攻击信息，以便有效保证信息系统的安全。
[0006]第一方面，本申请一实施例提供了一种攻击事件分析方法，应用于分析设备，该分析设备可以部署在本地，例如是电子设备；也可以部署在云端，例如是服务器，该方法至少包括如下步骤：
[0007]获取至少一个攻击事件的事件信息；其中，事件信息为安全检测设备对至少一个网络节点进行安全检测得到的；
[0008]对每个事件类型下的至少一个攻击事件进行关联，得到每个事件类型下的至少一个关联事件组；
[0009]针对各个事件类型下各自对应的至少一个关联事件组中的每个关联事件组，执行以下操作，确定每个关联事件组中的攻击参数集合：
[0010]确定第一关联事件组的第一攻击场景；其中，第一关联事件组为至少一个关联事件组中的任意一个关联事件组；
[0011]应用第一攻击场景对应的归并条件，对第一关联事件组中的至少两个攻击事件进行归并处理，得到归并后的攻击参数集合；其中，归并后的攻击参数集合用于指示对至少一个攻击事件进行分析。
[0012]第二方面，本申请一实施例提供了一种攻击事件的分析装置，该装置应用于分析
设备，该装置包括：
[0013]获取单元，用于：获取至少一个攻击事件的事件信息；其中，事件信息为安全检测设备对至少一个网络节点进行安全检测得到的；
[0014]关联单元，用于：对每个事件类型下的至少一个攻击事件进行关联，得到每个事件类型下的至少一个关联事件组；
[0015]归并单元，用于：针对各个事件类型下各自对应的至少一个关联事件组中的每个关联事件组，执行以下操作，确定每个关联事件组中的攻击参数集合：确定第一关联事件组的第一攻击场景；其中，第一关联事件组为至少一个关联事件组中的任意一个关联事件组；应用第一攻击场景对应的归并条件，对第一关联事件组中的至少两个攻击事件进行归并处理，得到归并后的攻击参数集合；其中，归并后的攻击参数集合用于指示对至少一个攻击事件进行分析。
[0016]第三方面，本申请一实施例提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，处理器执行计算机程序时实现上述任一种方法的步骤。
[0017]第四方面，本申请一实施例提供了一种计算机可读存储介质，其上存储有计算机程序指令，该计算机程序指令被处理器执行时实现上述任一种方法的步骤。
[0018]本申请实施例，首先获取安全检测设备对至少一个网络节点进行安全检测得到的至少一个攻击事件的事件信息；其次，由于一次攻击行为产生的攻击事件的事件类型相同，因此，以事件类型为粒度，将同一个事件类型下的各个攻击事件进行关联分组，得到每个事件类型下的至少一个关联事件组。另外，同一个事件类型的各个攻击事件中，还包括不同的事件子类型等，因此，为了进行更细粒度的划分，针对每个关联事件组，确定该关联事件组的攻击参数集合。确定攻击参数集合的过程中，为了提高准确度，根据关联事件组与攻击场景的对应关系，确定每个关联事件组的攻击场景，再应用与该场景对应的归并条件，对该关联事件组中的至少两个攻击事件进行归并。如此，可以得到每个关联事件组的归并后的攻击参数集合。根据攻击过程的特性可知，得到每个参数集合的归并过程中参与归并的各个攻击事件来自于同一攻击过程，因此，应用各个参数集合的组合可以用来进行攻击事件分析，可以描述整个攻击过程的全貌，从网络整体层面保证得到的参数集合作为攻击信息更加完整和准确，可适用于多目标攻击场景，为后续的联动防御处置提供了分析依据。
附图说明
[0019]为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，显而易见地，下面所介绍的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0020]图1为本申请一实施例提供的一种攻击事件的分析方法的应用场景示意图；
[0021]图2为本申请一实施例提供的一种攻击事件的分析方法的流程示意图；
[0022]图3为本申请一实施例提供的一种归并过程的流程示意图；
[0023]图4为本申请一实施例提供的一种完整的攻击事件的分析方法的流程示意图；
[0024]图5为本申请一实施例提供的一种攻击事件的分析装置的结构示意图；
[0025]图6为本申请一实施例提供的一种分析设备的结构示意图。
具体实施方式
[0026]为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。
[0027]为了方便理解，下面对本申请实施例中涉及的名词进行解释：
[0028](1)网络节点：是指一台电脑或其他设备与一个有独立地址和具有传送或接收数据功能的网络相连形成的节点。一个网络节点通常部署一台设备，这里的设备可以是工作站、网络用户的终端设备或个人计算机，还可以是服务器、打印机、网络设备或其他与网络连接的设备。在本申请实施例中，网络设备可以是主机、应用程序、网络设备或安全设备。
[0029](2)安全检测设备：对网络节点进行安全检测，并获取攻击过程产生的攻击事件的设备。在本申请实施例中，安全检测设备可以是防火墙、入侵检测系统、万维网(world wide web，WEB)应用防护系统或者安全网关等。
[0030](3)IP地址：是指网际互连协议(internet protocol，IP)协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。为了描述方便，本申请本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击事件的分析方法，其特征在于，包括：获取至少一个攻击事件的事件信息；其中，所述事件信息为安全检测设备对至少一个网络节点进行安全检测得到的；对每个事件类型下的所述至少一个攻击事件进行关联，得到每个事件类型下的至少一个关联事件组；针对各个事件类型下各自对应的至少一个关联事件组中的每个关联事件组，执行以下操作，确定每个关联事件组中的攻击参数集合：确定第一关联事件组的第一攻击场景；其中，所述第一关联事件组为所述至少一个关联事件组中的任意一个关联事件组；应用所述第一攻击场景对应的第一归并条件，对所述第一关联事件组中的至少两个攻击事件进行归并处理，得到归并后的攻击参数集合；其中，所述归并后的攻击参数集合用于指示对所述至少一个攻击事件进行分析。2.根据权利要求1所述的方法，其特征在于，所述确定第一关联事件组的第一攻击场景，包括：根据所述第一关联事件组的第一事件信息，确定所述第一关联事件组的第一攻击场景；其中，所述第一事件信息包括所述第一关联事件组中的至少两个攻击事件的事件信息。3.根据权利要求2所述的方法，其特征在于，所述根据所述第一关联事件组的第一事件信息，确定所述第一关联事件组的第一攻击场景，包括：若所述第一事件信息中存在不唯一的第一攻击参数，则确定所述第一攻击场景为所述第一攻击参数关联的攻击场景；其中，所述第一攻击参数包括被攻击IP或被攻击邮箱，所述第一攻击参数关联的攻击场景为多IP攻击场景或多邮箱攻击场景。4.根据权利要求3所述的方法，其特征在于，所述第一攻击参数为被攻击IP，所述方法还包括：当所述第一关联事件组中的攻击事件类型为DDoS类型或者恶意文件类型时，若所述第一事件信息中存在唯一的第一被攻击IP，且存在不唯一的第一被攻击端口，则确定所述第一攻击场景为多端口攻击场景；当所述第一关联事件组中的攻击事件类型为暴力破解类型时，若所述第一事件信息中存在唯一的第一被攻击IP，且存在不唯一的被攻击账号，则确定所述第一攻击场景为多账号攻击场景。5.根据权利要求1～4任一项所述的方法，其特征在于，所述应用所述第一攻击场景对应的第一归并条件，对所述第一关联事件组中的至少两个攻击事件进行归并处理，得到归并后的攻击参数集合，包括：若第一攻击参数集合和第二攻击参数集合存在子集关系，则确定归并后的攻击参数集合为第一事件和第二事件中的父集事件对应的攻击参数集合；若所述第一攻击参数集合和第二事件的第二攻击参数集合不存在子集关系，且所述第一攻击参数集合和所述第二攻击参数集合存在交集关系，则确定归并后的攻击参数集合为所述第一攻击参数集合和所述第二攻击参数集合的交集；若所述第一攻击参数集合和所述第二攻击参数集合不存在子集关系，且所述第一攻击
参数集合和所述第二攻击参数集合不存在交集关系，且所述第一事件和所述第二事件存在同域关系，则确定归并后的攻击参数集合为所述第一攻击参数集合和所述第二攻击参数集合的并集；其中，所述第一事件为获取到的原始的攻击事件或者任意一次归并操作后得到的攻击事件，所述第二事件为获取到的原始的攻击事件或者任意一次归并操作后得到的攻击事件；所述第一攻击参数集合是所述第一事件的事件信息中与所述第一归并条件对应的参数集合，所述第二攻击参数集合是所述第二事件中与所述第一归并...

【专利技术属性】
技术研发人员：徐剑，高川，吕卓航，张宇鹏，雷君，周彧，
申请(专利权)人：国家计算机网络与信息安全管理中心，
类型：发明
国别省市：