【技術實現步驟摘要】
本申請涉及計算機,尤其涉及一種攻擊路徑還原方法及設備。
技術介紹
1、在當前的網絡環境中,內網攻擊事件頻發,給企業的信息安全帶來了嚴重威脅。
2、傳統的全球廣域網(world?wide?web,web)應用安全產品在處理攻擊時往往面臨著大量的無效攻擊請求,這會給安全團隊帶來很大的負擔和誤判。而運行時應用程序自我保護(runtime?application?self-protection,rasp)作為一種新興的安全防護技術,通過在應用程序運行時實時監控和保護,能夠排除大量的無效攻擊請求。
3、然而,上述安全防護手段難以快速、準確的還原攻擊事件的攻擊路徑。
技術實現思路
1、本申請提供一種攻擊路徑還原方法及設備,可以快速、準確的還原攻擊事件的攻擊路徑。
2、第一方面,本申請提供一種攻擊路徑還原方法,該方法包括:
3、利用安裝在各個服務器上的rasp代理,監控所述各個服務器中的應用程序的運行狀態,并收集所述應用程序在運行過程中的關鍵數據;
4、當檢測到攻擊事件時,根據所述關鍵數據生成告警信息,并根據所述告警信息確定所述各個服務器中與所述攻擊事件存在關聯關系的目標服務器;
5、根據多個所述目標服務器之間的交互關系,生成服務器攻擊路徑;
6、根據所述服務器攻擊路徑,以及所述目標服務器中的各個組件,生成所述攻擊事件對應的攻擊路徑。
7、在一種可能的實施方式中,所述關鍵數據中包括以下各項中的至少一項
8、所述根據所述告警信息確定所述各個服務器中與所述攻擊事件存在關聯關系的目標服務器,包括:
9、將所述目的ip地址對應的服務器確定為所述目標服務器。
10、在一種可能的實施方式中,所述根據多個所述目標服務器之間的交互關系,生成服務器攻擊路徑,包括:
11、獲取目標告警信息;
12、將所述目標告警信息的產生時間標記為第一結束時間點;
13、獲取所述第一結束時間點之前預設時長內的歷史告警信息,查找所述歷史告警信息中目的ip地址與所述目標告警信息中的源ip地址相同的第一歷史告警信息;并確定產生所述第一歷史告警信息的第一服務器;
14、將所述目標告警信息替換為所述第一歷史告警信息,返回執行將所述目標告警信息的產生時間標記為第一結束時間點的步驟,直至滿足預設的執行截止條件為止;
15、基于已確定的各個第一服務器之間的交互關系,生成所述服務器攻擊路徑。
16、在一種可能的實施方式中,所述根據所述服務器攻擊路徑,以及所述目標服務器中的各個組件,生成所述攻擊事件對應的攻擊路徑,包括:
17、根據所述服務器攻擊路徑,以及所述目標服務器中的各個組件,確定所述各個組件之間的交互關系;
18、根據所述各個組件之間的交互關系,生成所述攻擊事件對應的攻擊路徑。
19、在一種可能的實施方式中,所述根據所述服務器攻擊路徑,以及所述目標服務器中的各個組件,確定所述各個組件之間的交互關系,包括:
20、基于服務器攻擊路徑,獲取所述目標服務器中各個組件的日志信息;
21、根據所述日志信息,確定所述各個組件之間的交互關系,所述交互關系包括以下各項中的至少一項:api調用關系、數據傳輸關系、服務請求關系。
22、在一種可能的實施方式中,所述方法還包括:
23、確定所述攻擊路徑上的各個服務器的修復優先級分數,根據所述修復優先級分數,確定所述攻擊路徑上的各個服務器的修復優先級;
24、和/或,確定所述攻擊路徑上的各個組件的嚴重性分數,根據所述嚴重性分數,確定所述攻擊路徑上的各個組件的修復優先級。
25、第二方面,本申請提供一種攻擊路徑還原裝置,該裝置包括:
26、數據采集模塊,用于利用安裝在各個服務器上的rasp代理,監控所述各個服務器中的應用程序的運行狀態,并收集所述應用程序在運行過程中的關鍵數據;
27、節點分析模塊,用于當檢測到攻擊事件時,根據所述關鍵數據生成告警信息,并根據所述告警信息確定所述各個服務器中與所述攻擊事件存在關聯關系的目標服務器;
28、攻擊路徑構建模塊,用于根據多個目標服務器之間的交互關系,生成服務器攻擊路徑;以及根據所述服務器攻擊路徑,以及所述目標服務器中的各個組件,生成所述攻擊事件對應的攻擊路徑。
29、第三方面,本申請提供一種電子設備,包括:處理器,以及與所述處理器通信連接的存儲器;
30、所述存儲器存儲計算機執行指令;
31、所述處理器執行所述存儲器存儲的計算機執行指令,以實現如第一方面提供的攻擊路徑還原方法。
32、第四方面,本申請提供一種計算機可讀存儲介質,該計算機可讀存儲介質中存儲有計算機執行指令,所述計算機執行指令被處理器執行時用于實現如第一方面提供的攻擊路徑還原方法。
33、第五方面,本申請提供一種計算機程序產品,包括計算機程序,該計算機程序被處理器執行時,實現如第一方面提供的攻擊路徑還原方法。
34、本申請提供的攻擊路徑還原方法及設備,通過在應用所在服務器上安裝和配置rasp代理,實現了對應用程序的實時監控和數據收集,通過關聯攻擊事件中的相關服務器及組件,能夠準確還原攻擊路徑,幫助企業快速分析和應對內網攻擊事件。
本文檔來自技高網...【技術保護點】
1.一種攻擊路徑還原方法,其特征在于,所述方法包括:
2.根據權利要求1所述的方法,其特征在于,所述關鍵數據中包括以下各項中的至少一項:請求報文、響應報文、訪問路徑、執行日志;所述告警信息包括源IP地址、目的IP地址;
3.根據權利要求2所述的方法,其特征在于,所述根據多個所述目標服務器之間的交互關系,生成服務器攻擊路徑,包括:
4.根據權利要求1所述的方法,其特征在于,所述根據所述服務器攻擊路徑,以及所述目標服務器中的各個組件,生成所述攻擊事件對應的攻擊路徑,包括:
5.根據權利要求4所述的方法,其特征在于,所述根據所述服務器攻擊路徑,以及所述目標服務器中的各個組件,確定所述各個組件之間的交互關系,包括:
6.根據權利要求1所述的方法,其特征在于,所述方法還包括:
7.一種攻擊路徑還原裝置,其特征在于,所述裝置包括:
8.一種電子設備,其特征在于,包括:處理器,以及與所述處理器通信連接的存儲器;
9.一種計算機可讀存儲介質,其特征在于,所述計算機可讀存儲介質中存儲有計算機執行指令,所
10.一種計算機程序產品,其特征在于,包括計算機程序,該計算機程序被處理器執行時實現權利要求1-6任一項所述的攻擊路徑還原方法。
...【技術特征摘要】
1.一種攻擊路徑還原方法,其特征在于,所述方法包括:
2.根據權利要求1所述的方法,其特征在于,所述關鍵數據中包括以下各項中的至少一項:請求報文、響應報文、訪問路徑、執行日志;所述告警信息包括源ip地址、目的ip地址;
3.根據權利要求2所述的方法,其特征在于,所述根據多個所述目標服務器之間的交互關系,生成服務器攻擊路徑,包括:
4.根據權利要求1所述的方法,其特征在于,所述根據所述服務器攻擊路徑,以及所述目標服務器中的各個組件,生成所述攻擊事件對應的攻擊路徑,包括:
5.根據權利要求4所述的方法,其特征在于,所述根據所述服務器攻擊路徑,以及所述目標服務器...
【專利技術屬性】
技術研發人員:徐亞民,
申請(專利權)人:中國農業銀行股份有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。