立體攻擊鏈路還原及告警處置方法、裝置、設備及介質制造方法及圖紙

本申請公開了立體攻擊鏈路還原及告警處置方法、裝置、設備及介質，涉及計算機技術領域，包括：基于預設終端側和預設流量監測設備側上報的初始告警信息確定第一分析結果；通過基于第一分析結果以及告警來源信息分別到預設終端側和預設流量監測設備側執行日志上下文關聯檢索操作來進行協同查找，得到第二分析結果；第二分析結果包括目標攻擊者以及位于所述預設終端側的若干個被攻擊的目的主機；基于第二分析結果判斷當前是否存在橫向移動跨主機攻擊行為；如果否，則基于第二分析結果確定目標攻擊鏈路展示圖，并生成待處理任務以對初始告警信息進行處置。本申請能夠有效地以攻擊者視角維度立體還原攻擊過程，并以被攻擊者視角進行相應的處置操作。角進行相應的處置操作。角進行相應的處置操作。

【技術實現步驟摘要】
立體攻擊鏈路還原及告警處置方法、裝置、設備及介質


[0001]本專利技術涉及計算機
，特別涉及立體攻擊鏈路還原及告警處置方法、裝置、設備及介質。

技術介紹

[0002]當前，在告警溯源相關解決方案目前處于線狀或面狀，也即在現有技術方案中往往通過關聯被攻擊設備的關系行為溯源鏈或關系鏈，參考數據源比較單一，會存在日志或告警缺失的情況，這樣一來只能夠梳理小部分告警的關系鏈，無法獲取完整清晰的攻擊鏈路，進而無法有效地站在“事件”視角對告警信息進行分析和處置。

技術實現思路

[0003]有鑒于此，本專利技術的目的在于提供立體攻擊鏈路還原及告警處置方法、裝置、設備及介質，能夠有效地以攻擊者視角維度立體還原攻擊過程，并以被攻擊者視角進行相應的處置操作。其具體方案如下：
[0004]第一方面，本申請提供了一種立體攻擊鏈路還原及告警處置方法，應用于大數據安全分析中心平臺，包括：
[0005]基于預設終端側和預設流量監測設備側上報的初始告警信息確定相應的第一分析結果；
[0006]通過基于所述第一分析結果以及告警來源信息分別到所述預設終端側和所述預設流量監測設備側執行相應的日志上下文關聯檢索操作來進行協同查找，得到相應的第二分析結果；所述第二分析結果包括目標攻擊者以及相對應的位于所述預設終端側的若干個被攻擊的目的主機；
[0007]基于所述第二分析結果判斷當前是否存在橫向移動跨主機攻擊行為；
[0008]如果否，則基于所述第二分析結果確定相應的目標攻擊鏈路展示圖，并自動生成相應的待處理任務以通過執行所述待處理任務來處置所述初始告警信息。
[0009]可選的，所述基于所述第二分析結果判斷當前是否存在橫向移動跨主機攻擊行為之后，還包括：
[0010]如果是，則將所述第二分析結果作為所述第一分析結果，并重新跳轉至所述通過基于所述第一分析結果以及告警來源信息分別到所述預設終端側和所述預設流量監測設備側執行相應的日志上下文關聯操作來進行協同查找的步驟。
[0011]可選的，所述基于預設終端側和預設流量監測設備側上報的初始告警信息確定相應的第一分析結果，包括：
[0012]獲取預設終端側和預設流量監測設備側上報的初始告警信息；
[0013]判斷所述初始告警信息是否完整；
[0014]若是，則直接基于預設告警信息分析規則對所述初始告警信息進行分析，確定相應的第一分析結果；
[0015]若否，則向所述預設終端側或所述預設流量監測設備側發送數據檢索請求以對所述初始告警信息進行更新，直至更新后告警信息完整時，通過利用所述預設告警信息分析規則對所述更新后告警信息進行分析來確定相應的第一分析結果。
[0016]可選的，所述直接基于預設告警信息分析規則對所述初始告警信息進行分析，包括：
[0017]針對所述預設終端側上報的第一初始告警信息，基于所述第一初始告警信息中的第一告警等級信息、第一告警響應結果信息和第一告警名稱信息進行分析，以確定相應的第一攻擊風險級別信息；
[0018]針對所述預設流量監測設備側上報的第二初始告警信息，分別基于所述第二初始告警信息中的第二告警等級信息、第二告警響應結果信息和第二告警名稱信息以及源IP信息和目的IP信息等五元組信息進行分析，以確定相應的第二攻擊風險級別信息，并對所述源IP信息相同的告警信息進行聚合歸并。
[0019]可選的，所述通過基于所述第一分析結果以及告警來源信息分別到所述預設終端側和所述預設流量監測設備側執行相應的日志上下文關聯檢索操作來進行協同查找，包括：
[0020]基于所述告警來源信息以及所述第一分析結果向所述預設終端側的目的主機發送相應的第一日志關聯請求，以便所述目的主機接收到所述第一日志關聯請求后基于所述第一日志關聯請求中的五元組信息或域名信息定位進程源，并通過對應的進程控制符進行日志的上下文關聯檢索，然后執行相應的父子進程關聯匹配操作以及斷鏈模糊匹配操作，以完成相應的協同查找操作；
[0021]基于所述告警來源信息以及所述第一分析結果向預設流量監測設備側的目的流量監測設備發送相應的第二日志關聯請求，以便所述目的流量監測設備接收到所述第二日志關聯請求后基于所述第二日志關聯請求中的所述源IP信息以及所述目的IP信息進行日志的上下文關聯檢索，以完成相應的協同查找操作。
[0022]可選的，所述基于所述第二分析結果判斷當前是否存在橫向移動跨主機攻擊行為，包括：
[0023]基于與所述第二分析結果對應的攻擊鏈路中的末端日志判斷當前是否存在橫向移動跨主機攻擊行為；
[0024]相應的，所述基于所述第二分析結果確定相應的目標攻擊鏈路展示圖，包括：
[0025]將與所述第二分析結果對應的所述攻擊鏈路確定為目標攻擊鏈路，并生成相應的目標攻擊鏈路展示圖。
[0026]可選的，所述自動生成相應的待處理任務以通過執行所述待處理任務來處置所述初始告警信息，包括：
[0027]基于所述目標攻擊鏈路確定相應的攻陷指標，并根據所述攻陷指標自動生成相應的待處理任務；
[0028]將所述待處理任務分別發送至所述預設終端側和所述預設流量監測設備側；
[0029]接收所述預設終端側和所述預設流量監測設備側執行任務后返回的任務處理結果信息，并基于所述任務處理結果信息針對所述目標攻擊鏈路中的所有節點觸發相應的處置狀態標記操作。
[0030]第二方面，本申請提供了立體攻擊鏈路還原及告警處置裝置，應用于大數據安全分析中心平臺，包括：
[0031]初始信息分析模塊，用于基于預設終端側和預設流量監測設備側上報的初始告警信息確定相應的第一分析結果；
[0032]關聯分析模塊，用于通過基于所述第一分析結果以及告警來源信息分別到所述預設終端側和所述預設流量監測設備側執行相應的日志上下文關聯檢索操作來進行協同查找，得到相應的第二分析結果；所述第二分析結果包括目標攻擊者以及相對應的所述預設終端側的若干個被攻擊的目的主機；
[0033]橫向移動判斷模塊，用于基于所述第二分析結果判斷當前是否存在橫向移動跨主機攻擊行為；
[0034]攻擊鏈路還原模塊，用于如果否，則基于所述第二分析結果確定相應的目標攻擊鏈路展示圖；
[0035]告警處置模塊，用于自動生成相應的待處理任務以通過執行所述待處理任務來處置所述初始告警信息。
[0036]第三方面，本申請提供了一種電子設備，包括：
[0037]存儲器，用于保存計算機程序；
[0038]處理器，用于執行所述計算機程序，以實現前述的立體攻擊鏈路還原及告警處置方法的步驟。
[0039]第四方面，本申請提供了一種計算機可讀存儲介質，用于保存計算機程序，所述計算機程序被處理器執行時實現前述的立體攻擊鏈路還原及告警處置方法的步驟。
[0040]可見，本申請中，大數據安全分析中心平臺首先基于預設終端側和預設流量監測設備側上報的初始告警信息確定相應的第一分析結果；然后通過基本文檔來自技高網...

【技術保護點】

【技術特征摘要】
1.一種立體攻擊鏈路還原及告警處置方法，其特征在于，應用于大數據安全分析中心平臺，包括：基于預設終端側和預設流量監測設備側上報的初始告警信息確定相應的第一分析結果；通過基于所述第一分析結果以及告警來源信息分別到所述預設終端側和所述預設流量監測設備側執行相應的日志上下文關聯檢索操作來進行協同查找，得到相應的第二分析結果；所述第二分析結果包括目標攻擊者以及相對應的位于所述預設終端側的若干個被攻擊的目的主機；基于所述第二分析結果判斷當前是否存在橫向移動跨主機攻擊行為；如果否，則基于所述第二分析結果確定相應的目標攻擊鏈路展示圖，并自動生成相應的待處理任務以通過執行所述待處理任務來處置所述初始告警信息。2.根據權利要求1所述的立體攻擊鏈路還原及告警處置方法，其特征在于，所述基于所述第二分析結果判斷當前是否存在橫向移動跨主機攻擊行為之后，還包括：如果是，則將所述第二分析結果作為所述第一分析結果，并重新跳轉至所述通過基于所述第一分析結果以及告警來源信息分別到所述預設終端側和所述預設流量監測設備側執行相應的日志上下文關聯操作來進行協同查找的步驟。3.根據權利要求1所述的立體攻擊鏈路還原及告警處置方法，其特征在于，所述基于預設終端側和預設流量監測設備側上報的初始告警信息確定相應的第一分析結果，包括：獲取預設終端側和預設流量監測設備側上報的初始告警信息；判斷所述初始告警信息是否完整；若是，則直接基于預設告警信息分析規則對所述初始告警信息進行分析，確定相應的第一分析結果；若否，則向所述預設終端側或所述預設流量監測設備側發送數據檢索請求以對所述初始告警信息進行更新，直至更新后告警信息完整時，通過利用所述預設告警信息分析規則對所述更新后告警信息進行分析來確定相應的第一分析結果。4.根據權利要求3所述的立體攻擊鏈路還原及告警處置方法，其特征在于，所述直接基于預設告警信息分析規則對所述初始告警信息進行分析，包括：針對所述預設終端側上報的第一初始告警信息，基于所述第一初始告警信息中的第一告警等級信息、第一告警響應結果信息和第一告警名稱信息進行分析，以確定相應的第一攻擊風險級別信息；針對所述預設流量監測設備側上報的第二初始告警信息，分別基于所述第二初始告警信息中的第二告警等級信息、第二告警響應結果信息和第二告警名稱信息以及源IP信息和目的IP信息等五元組信息等五元組信息進行分析，以確定相應的第二攻擊風險級別信息，并對所述源IP信息相同的告警信息進行聚合歸并。5.根據權利要求4所述的立體攻擊鏈路還原及告警處置方法，其特征在于，所述通過基于所述第一分析結果以及告警來源信息分別到所述預設終端側和所述預設流量監測設備側執行相應的日志上下文關聯檢索操作來進行協同查找，包括：基于所述告警來源信息以及所述第一分析結果向所述預設終端側的目的主機發送相應的第一日志關聯請求，以便所述目的主機接收到所...

【專利技術屬性】
技術研發人員：劉華，劉書航，
申請(專利權)人：江蘇安恒網絡安全有限公司，
類型：發明
國別省市：