基于多步攻击的攻击关联关系检测方法及相关设备技术

本申请提供一种基于多步攻击的攻击关联关系检测方法及相关设备。其中，基于多步攻击的攻击关联关系检测方法包括：获取多步攻击场景的攻击告警数据；将具有相同的源IP地址和相同的目的IP地址的攻击告警数据划分至同一组中，得到多组的攻击告警数据；每组攻击告警数据对应一组设备；关联同组内各个设备间的攻击告警数据，形成同组内设备之间的攻击链，得到多个组内设备的攻击链；以无双亲或无攻击关联的设备节点为起始节点，遍历查找源IP地址与当前组设备的目的IP地址相同的关联组，并将当前组的攻击链与关联组的攻击链关联，形成组间设备之间的拼接攻击链；其中，拼接攻击链设置为多条，且每组组间设备之间的拼接攻击链设置为至少一条。至少一条。至少一条。

【技术实现步骤摘要】
基于多步攻击的攻击关联关系检测方法及相关设备


[0001]本申请涉及网络中多步攻击检测
，尤其涉及一种基于多步攻击的攻击关联关系检测方法及相关设备。

技术介绍

[0002]现有的多步攻击检测分析技术大多局限于部分场景使用，且多步攻击关联关系检测不够完整、不够准确。不完整或错误依赖的攻击关联关系会影响安全管理员进行正确的攻击排查和防御。

技术实现思路

[0003]有鉴于此，本申请的目的在于提出一种基于多步攻击的攻击关联关系检测方法及相关设备。
[0004]基于上述目的，本申请提供了一种基于多步攻击的攻击关联关系检测方法，包括：
[0005]获取多步攻击场景的攻击告警数据；
[0006]将具有相同的源IP地址和相同的目的IP地址的攻击告警数据划分至同一组中，得到多组的攻击告警数据；其中，每组攻击告警数据对应一组设备；
[0007]关联同组内各个设备间的攻击告警数据，形成同组内设备之间的攻击链；其中，每组设备对应至少一条攻击链；以无双亲或无攻击关联的设备节点为起始节点，遍历查找源IP地址与当前组设备的目的IP地址相同的关联组，并将当前组的攻击链与关联组的攻击链关联，形成组间设备之间的拼接攻击链；其中，拼接攻击链设置为多条，且每组组间设备之间的拼接攻击链设置为至少一条。
[0008]在其中一些实施例中，所述关联同组内各个设备间的攻击告警数据，形成同组内设备之间的攻击链包括：
[0009]针对所述同组内各个设备间的攻击告警数据，将相同类型的攻击告警数据通过一组告警标签表示；
[0010]将相同类型的攻击告警数据进行聚类，得到各簇攻击告警数据的告警标签，将各簇中最早的告警发生时间确定为对应类型的攻击事件的发生时间，以得到同组内各个设备间的相同类型的攻击事件的所有发生时间；
[0011]根据时序关系构建同组内设备的攻击事件的初始攻击链；
[0012]基于动态滑动窗口修正所述初始攻击链的入侵逻辑，以移除所述初始攻击链中与前一时刻的攻击事件和后一时刻的攻击事件存在错误依赖关系的攻击事件，得到组内设备之间的攻击链。
[0013]在其中一些实施例中，所述基于动态滑动窗口修正所述初始攻击链的入侵逻辑包括：
[0014]响应于确定滑动窗口外的第一个攻击事件的发生时间晚于滑动窗口内的最后一个攻击事件的发生时间，比较所述滑动窗口外的第一个攻击事件与所述滑动窗口内的所有
攻击事件的攻击发生阶段的先后关系；
[0015]响应于确定所述滑动窗口内的所有攻击事件的攻击发生阶段均不早于所述滑动窗口外的第一个攻击事件的攻击发生阶段，移除所述滑动窗口外的第一个攻击事件；或响应于确定所述滑动窗口内的所有攻击事件中存在攻击发生阶段不早于所述滑动窗口外的第一个攻击事件的攻击发生阶段的攻击事件，将所述攻击事件移除；并调小所述滑动窗口的尺寸，将调小后的滑动窗口沿攻击时间的进程方向前移一个攻击阶段单元。
[0016]在其中一些实施例中，所述基于动态滑动窗口修正所述初始攻击链的入侵逻辑包括：
[0017]响应于确定滑动窗口外的第一个攻击事件的发生时间与滑动窗口内的最后一个攻击事件的发生时间相同，将所述滑动窗口沿攻击时间的进程方向前一个移攻击阶段单元。
[0018]在其中一些实施例中，所述关联组包括多条攻击链，所述将当前组的攻击链与关联组的攻击链关联，形成组间设备之间的拼接攻击链包括：
[0019]去除所述关联组中攻击事件的发生时间和发生阶段均不早于当前组的攻击链，将剩余的至少一条攻击链与当前组的攻击链进行关联；
[0020]基于攻击事件的发生时间和发生阶段，查找关联后的攻击链中满足时序关系和入侵逻辑的第一位置，基于所述第一位置将关联后的攻击链进行拼接得到组间设备之间的拼接攻击链。
[0021]在其中一些实施例中，还包括：基于循环关联延长拼接攻击链或删除无效拼接攻击链。
[0022]在其中一些实施例中，所述基于循环关联延长拼接攻击链包括：针对当前组的源IP地址与关联组的目的IP地址相同，且当前组的目的IP地址与关联组的源IP地址相同的组间设备，查找拼接攻击链与拼接前的攻击链中满足时序关系和入侵逻辑的第二位置，基于所述第二位置将拼接前的攻击链与所述拼接攻击链进行拼接；
[0023]所述无效拼接攻击链中攻击阶段的个数等于拼接前的攻击链中攻击阶段的个数，且所述无效拼接攻击链中最高攻击阶段低于拼接前的攻击链中的最高攻击阶段；或所述无效拼接攻击链中最高攻击阶段等于拼接前的攻击链中的最高攻击阶段，且所述无效拼接攻击链中攻击阶段的个数小于拼接前的攻击链中攻击阶段的个数。
[0024]本申请实施例还提供一种基于多步攻击的攻击关联关系检测装置，包括：
[0025]获取模块，用于获取多步攻击场景的攻击告警数据；
[0026]分组模块，用于将具有相同的源IP地址和相同的目的IP地址的攻击告警数据划分至同一组中，得到多组的攻击告警数据；其中，每组攻击告警数据对应一组设备；
[0027]关联模块，关联同组内各个设备间的攻击告警数据，形成同组内设备之间的攻击链；其中，每组设备对应至少一条攻击链；以无双亲或无攻击关联的设备节点为起始节点，遍历查找源IP地址与当前组设备的目的IP地址相同的关联组，并将当前组的攻击链与关联组的攻击链关联，形成组间设备之间的拼接攻击链；其中，拼接攻击链设置为多条，且每组组间设备之间的拼接攻击链设置为至少一条。
[0028]本申请实施例还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如前任意一项所述的方
法。
[0029]本申请实施例还提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使计算机执行如前任一所述方法。
[0030]本申请实施例还提供一种计算机程序产品，包括计算机程序指令，当所述计算机程序指令在计算机上运行时，使得计算机执行如前任一项所述的方法。
[0031]从上面所述可以看出，本申请提供的基于多步攻击的攻击关联关系检测方法，通过获取多步攻击场景的攻击告警数据；将具有相同的源IP地址和相同的目的IP地址的攻击告警数据划分至同一组中，得到多组的攻击告警数据；关联同组内各个设备间的攻击告警数据，形成组内设备之间的攻击链；以无双亲或无攻击关联的设备节点为起始节点，深度优先遍历查找源IP地址与当前组设备的目的IP地址相同的关联组，并将当前组的攻击链与关联组的攻击链关联，形成组间设备之间的拼接攻击链；能够综合考虑同组内设备间的攻击关联，和不同组设备间的攻击关联，挖掘出较为完整的攻击链，并对错误入侵逻辑进行修正，构建出完整且正确的多步攻击的攻击关联关系。
附图说明
[0032]为了更清楚地说明本申请或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于多步攻击的攻击关联关系检测方法，其特征在于，包括：获取多步攻击场景的攻击告警数据；将具有相同的源IP地址和相同的目的IP地址的攻击告警数据划分至同一组中，得到多组的攻击告警数据；其中，每组攻击告警数据对应一组设备；关联同组内各个设备间的攻击告警数据，形成同组内设备之间的攻击链，得到多个组内设备的攻击链；其中，每组设备对应至少一条攻击链；以无双亲或无攻击关联的设备节点为起始节点，遍历查找源IP地址与当前组设备的目的IP地址相同的关联组，并将当前组的攻击链与关联组的攻击链关联，形成组间设备之间的拼接攻击链；其中，拼接攻击链设置为多条，且每组组间设备之间的拼接攻击链设置为至少一条。2.根据权利要求1所述的基于多步攻击的攻击关联关系检测方法，其特征在于，所述关联同组内各个设备间的攻击告警数据，形成同组内设备之间的攻击链包括：针对所述同组内各个设备间的攻击告警数据，将相同类型的攻击告警数据通过一组告警标签表示；将相同类型的攻击告警数据进行聚类，得到各簇攻击告警数据的告警标签，将各簇中最早的告警发生时间确定为对应类型的攻击事件的发生时间，以得到同组内各个设备间的相同类型的攻击事件的所有发生时间；根据时序关系构建同组内设备的攻击事件的初始攻击链；基于动态滑动窗口修正所述初始攻击链的入侵逻辑，以移除所述初始攻击链中与前一时刻的攻击事件和后一时刻的攻击事件存在错误依赖关系的攻击事件，得到组内设备之间的攻击链。3.根据权利要求2所述的基于多步攻击的攻击关联关系检测方法，其特征在于，所述基于动态滑动窗口修正所述初始攻击链的入侵逻辑包括：响应于确定滑动窗口外的第一个攻击事件的发生时间晚于滑动窗口内的最后一个攻击事件的发生时间，比较所述滑动窗口外的第一个攻击事件与所述滑动窗口内的所有攻击事件的攻击发生阶段的先后关系；响应于确定所述滑动窗口内的所有攻击事件的攻击发生阶段均不早于所述滑动窗口外的第一个攻击事件的攻击发生阶段，移除所述滑动窗口外的第一个攻击事件；或响应于确定所述滑动窗口内的所有攻击事件中存在攻击发生阶段不早于所述滑动窗口外的第一个攻击事件的攻击发生阶段的攻击事件，将所述攻击事件移除；并调小所述滑动窗口的尺寸，将调小后的滑动窗口沿攻击时间的进程方向前移一个攻击阶段单元。4.根据权利要求2所述的基于多步攻击的攻击关联关系检测方法，其特征在于，所述基于动态滑动窗口修正所述初始攻击链的入侵逻辑包括：响应于确定滑动窗口外的第一个攻击事件的发生时间与滑动窗口内的最后一个攻击事件的发生时间相同，将所述滑动窗口沿攻击时间的进程...

【专利技术属性】
技术研发人员：金正平，秦素娟，时忆杰，李文敏，高飞，温巧燕，郭慧，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：