【技术实现步骤摘要】
本专利技术涉及网络攻击,具体而言,涉及一种网络攻击分析方法、装置和电子设备。
技术介绍
1、随着数字化、网络化的快速发展,网络安全识别对于个人、企业、组织等的安全和发展具有深远意义。在现有的网络安全分析中,一般是通过采集日志,将每个日志与网络攻击生命周期进行匹配以确定日志相关的阶段。再将日志事件链接起来,还原攻击者的一系列攻击操作,判断攻击者的操作是否是网络攻击的一部分。此外,将日志记录关联以判断是否是同一个攻击者,预测攻击者将会执行的网络攻击手段,并确定攻击缓解动作。
2、在现有的网络安全分析方式中,按照网络攻击生命周期模板分析日志,并不能具体分析攻击特征,此外,只通过日志关联以确定是否属于同一个攻击者,存在难以对其中高威胁攻击进行重点监控,可能导致遭受较大的攻击损失。
技术实现思路
1、本专利技术的目的包括,例如,提供了一种网络攻击分析方法、装置和电子设备,其能够分析具体的攻击特征,对威胁程度较高的攻击者进行监控,以降低被攻击的风险。
2、本专利技术的实施例可以这样实现:
3、第一方面,本专利技术提供一种网络攻击分析方法,所述方法包括:
4、基于预设的安全攻击矩阵对收集的日志信息进行分析,获得多条攻击链路;
5、将所述多条攻击链路划分为分属不同攻击者的攻击链路,以确定各所述攻击者相关的攻击链路;
6、针对各所述攻击者,根据所述攻击者相关的攻击链路确定所述攻击者的攻击者等级;
7、筛选出攻击者等级
8、在可选的实施方式中,所述根据所述攻击者相关的攻击链路确定所述攻击者的攻击者等级的步骤,包括:
9、获得所述攻击者相关的攻击链路的敏感等级、攻击范围等级和威胁程度等级;
10、根据所述敏感等级、所述攻击范围等级和所述威胁程度等级确定所述攻击者的攻击者等级。
11、在可选的实施方式中,所述攻击者相关的攻击链路的威胁程度等级通过以下方式获得:
12、根据各所述攻击者相关的攻击链路计算得到威胁程度分值,并将所有威胁程度分值依序进行排列;
13、针对各所述攻击者,根据所述攻击者的威胁程度分值在所有威胁程度分值中的排列位置确定所述攻击者相关的攻击链路的威胁程度等级。
14、在可选的实施方式中,所述根据各所述攻击者相关的攻击链路计算得到威胁程度分值的步骤,包括:
15、针对各所述攻击者,获得所述攻击者相关的攻击链路的攻击目标,并确定所述攻击目标指向的资产;
16、根据预先设置的所述资产对应的资产价值以及所述资产对应的损失值,计算得到所述攻击链路的威胁程度分值。
17、在可选的实施方式中,所述攻击者相关的攻击链路的敏感等级通过以下方式获得:
18、获得所述攻击者相关的攻击链路的攻击目标域名,并获得预设的核心域名;
19、根据所述攻击目标域名在所述核心域名中的占比确定所述攻击者相关的攻击链路的敏感等级。
20、在可选的实施方式中,所述攻击者相关的攻击链路的攻击范围等级通过以下方式获得:
21、获得所述攻击者相关的攻击链路的攻击目标域名,并获得目标区域内的所有域名;
22、根据所述攻击目标域名在所述所有域名中的占比确定所述攻击者相关的攻击链路的攻击范围等级。
23、在可选的实施方式中,所述基于预设的安全攻击矩阵对收集的日志信息进行分析,获得多条攻击链路的步骤,包括:
24、对收集的日志信息进行异常分析,获得其中的异常行为信息;
25、获得预设的安全攻击矩阵相关的威胁库中的攻击类型,并获得企业的资产清单;
26、结合所述异常行为信息、所述攻击类型和所述资产清单获得多条攻击链路。
27、在可选的实施方式中,所述将所述多条攻击链路划分为分属不同攻击者的攻击链路的步骤,包括以下至少之一:
28、获得各所述攻击链路相关的ip地址,并获得所述ip地址的位置信息,根据所述位置信息确定各所述攻击链路对应的攻击者;
29、获得各所述攻击链路相关的时间点和时间间隔,根据所述时间点和时间间隔确定各所述攻击链路对应的攻击者;
30、获得各所述攻击链路相关的攻击目标,根据所述攻击目标确定各所述攻击链路对应的攻击者;
31、获得各所述攻击链路相关的攻击特征,并获得已知特定攻击者的攻击特征,将各所述攻击链路相关的攻击特征与各所述已知特定攻击者的攻击特征进行比对以确定各所述攻击链路对应的攻击者。
32、第二方面,本专利技术提供一种网络攻击分析装置,所述装置包括:
33、分析模块,用于基于预设的安全攻击矩阵对收集的日志信息进行分析,获得多条攻击链路;
34、划分模块,用于将所述多条攻击链路划分为分属不同攻击者的攻击链路,以确定各所述攻击者相关的攻击链路;
35、确定模块,用于针对各所述攻击者,根据所述攻击者相关的攻击链路确定所述攻击者的攻击者等级;
36、标记模块,用于筛选出攻击者等级高于预设等级的目标攻击者,对所述目标攻击者进行标记。
37、第三方面,本专利技术提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述前述实施方式任一项所述的方法的步骤。
38、本专利技术实施例的有益效果包括,例如:
39、本专利技术提供一种网络攻击分析方法、装置和电子设备,基于预设的安全攻击矩阵对收集的日志信息进行分析,获得多条攻击链路,将多条攻击链路划分为分属不同攻击者的攻击链路,以确定各个攻击者相关的攻击链路。针对各个攻击者,根据攻击者相关的攻击链路确定攻击者的攻击者等级,筛选出攻击者等级高于预设等级的目标攻击者,对目标攻击者进行标记。本方案中,结合安全攻击矩阵可以分析具体的攻击特征,从而准确确定各个攻击者的威胁高低程度,以便于可以对其中威胁程度较高的攻击者进行监控,降低被攻击的风险。
本文档来自技高网...【技术保护点】
1.一种网络攻击分析方法,其特征在于,所述方法包括:
2.根据权利要求1所述的网络攻击分析方法,其特征在于,所述根据所述攻击者相关的攻击链路确定所述攻击者的攻击者等级的步骤,包括:
3.根据权利要求2所述的网络攻击分析方法,其特征在于,所述攻击者相关的攻击链路的威胁程度等级通过以下方式获得:
4.根据权利要求3所述的网络攻击分析方法,其特征在于,所述根据各所述攻击者相关的攻击链路计算得到威胁程度分值的步骤,包括:
5.根据权利要求2所述的网络攻击分析方法,其特征在于,所述攻击者相关的攻击链路的敏感等级通过以下方式获得:
6.根据权利要求2所述的网络攻击分析方法,其特征在于,所述攻击者相关的攻击链路的攻击范围等级通过以下方式获得:
7.根据权利要求1所述的网络攻击分析方法,其特征在于,所述基于预设的安全攻击矩阵对收集的日志信息进行分析,获得多条攻击链路的步骤,包括:
8.根据权利要求1所述的网络攻击分析方法,其特征在于,所述将所述多条攻击链路划分为分属不同攻击者的攻击链路的步骤,包括以下至少之一:<...
【技术特征摘要】
1.一种网络攻击分析方法,其特征在于,所述方法包括:
2.根据权利要求1所述的网络攻击分析方法,其特征在于,所述根据所述攻击者相关的攻击链路确定所述攻击者的攻击者等级的步骤,包括:
3.根据权利要求2所述的网络攻击分析方法,其特征在于,所述攻击者相关的攻击链路的威胁程度等级通过以下方式获得:
4.根据权利要求3所述的网络攻击分析方法,其特征在于,所述根据各所述攻击者相关的攻击链路计算得到威胁程度分值的步骤,包括:
5.根据权利要求2所述的网络攻击分析方法,其特征在于,所述攻击者相关的攻击链路的敏感等级通过以下方式获得:
6.根据权利要求2所述的网络攻击分析方法...
【专利技术属性】
技术研发人员:李长龙,陈林,王发修,高斌,
申请(专利权)人:成都新希望金融信息有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。