CN111726358A - 攻击路径分析方法、装置、计算机设备及存储介质 - Google Patents
攻击路径分析方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN111726358A CN111726358A CN202010561915.5A CN202010561915A CN111726358A CN 111726358 A CN111726358 A CN 111726358A CN 202010561915 A CN202010561915 A CN 202010561915A CN 111726358 A CN111726358 A CN 111726358A
- Authority
- CN
- China
- Prior art keywords
- node
- data
- security event
- attack path
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Algebra (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种攻击路径分析方法、装置、计算机设备及存储介质。所述方法包括:获取目标网络的链路分析图,所述目标网络包括多个节点,所述链路分析图包括多个节点之间的传输路径;获取目标节点发送的安全事件;根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径,所述关联的数据包括日志数据。本发明实施例可以减少攻击路径分析的人工成本,提高攻击路径分析的效率。
Description
技术领域
本发明实施例涉及网络领域,尤其涉及一种攻击路径分析方法、装置、计算机设备及存储介质。
背景技术
近年来各行业信息化建设不断完善,业务也越来越依赖于信息系统。但网络与信息系统自身存在的缺陷以及面临的威胁,使信息系统的运行存在着潜在风险,如何快速正确的发现信息系统所遇到的网络安全问题也成为安全人员的工作重点之一。
目前针对突发安全事件,安全人员在进行安全事件分析的时候,通常会查询某个地址或用户,期望能发现对应的事件。
但上述查询方式往往会得到一大批相关事件。同时,安全人员还需要按照不同纬度对查询结果继续进行下一步统计分析(比如按照目的地址,按照主机进程等),再人工将信息关联起来。
发明内容
本发明实施例提供一种攻击路径分析方法、装置、计算机设备及存储介质,可以减少攻击路径分析的人工成本,提高攻击路径分析的效率。
第一方面,本发明实施例提供了一种攻击路径分析方法,包括:
获取目标网络的链路分析图,所述目标网络包括多个节点,所述链路分析图包括多个节点之间的传输路径;
获取目标节点发送的安全事件;
根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径,所述关联的数据包括日志数据。
第二方面,本发明实施例还提供了一种攻击路径分析装置,包括:
链路分析图获取模块,用于获取目标网络的链路分析图,所述目标网络包括多个节点,所述链路分析图包括多个节点之间的传输路径;
安全事件获取模块,用于获取目标节点发送的安全事件;
安全事件攻击路径确定模块,用于根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径,所述关联的数据包括日志数据。
第三方面,本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序所述处理器执行所述程序时实现如本发明实施例中任一所述的攻击路径分析方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明实施例中任一所述的攻击路径分析方法。
本发明实施例通过获取链路分析图,并根据链路分析图中各节点关联的日志数据,确定安全事件的攻击路径,自动分析安全事件的攻击路径,解决了现有技术中人工统计分析攻击路径,可以降低攻击路径分析的人工成本,提高攻击路径分析的效率。
附图说明
图1a是本发明实施例一中的一种攻击路径分析方法的流程图;
图1b是本发明实施例一中的一种链路分析图的示意图;
图2是本发明实施例二中的一种攻击路径分析方法的流程图;
图3是本发明实施例三中的一种攻击路径分析装置的结构示意图;
图4是本发明实施例四中的一种计算机设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1a为本发明实施例一中的一种攻击路径分析方法的流程图,本实施例可适用于采集日志数据并进行存储的情况,该方法可以由本发明实施例提供的攻击路径分析装置来执行,该装置可采用软件和/或硬件的方式实现,并一般可集成计算机设备中。如图1a所示,本实施例的方法具体包括:
S110,获取目标网络的链路分析图,所述目标网络包括多个节点,所述链路分析图包括多个节点之间的传输路径。
链路分析图用于显示目标网络的节点,以及各节点之间的传输路径。网络可以由多个节点组成,每个节点与至少一个其他节点进行网络通信,其中,节点可以是物理设备。传输路径可以是指一个节点将数据传输到另一个节点的网络链路,具有指向性。
可选的,所述获取目标网络的链路分析图,包括:获取目标网络的拓扑结构信息;根据所述目标网络的拓扑结构信息,确定所述目标网络中各所述节点之间的传输路径;根据各所述节点之间的传输路径,生成所述目标网络的链路分析图。
目标网络的拓扑结构信息用于确定组成目标网络的节点,以及各节点的连接状态。具体的,目标网络的拓扑结构信息可以是组成目标网络的各节点的分布情况以及连接状态。
根据各节点的连接状态,如果两个节点处于连接状态,则确定两个节点之间存在传输路径。
生成目标网络的链路分析图可以是:将存在传输路径的两个节点相邻分布,并将存在多个传输路径的节点置于中间位置,与该节点存在传输路径的节点,置于该节点的四周分布。
通过获取目标网络的拓扑结构信息,并确定各节点之间的传输路径,并根据传输路径,将各节点分布式放置,生成目标网络的链路分析图,可以准确描述组成目标网络的节点,以及各节点的连接状态,简化目标网络的分布结构。
S120,获取目标节点发送的安全事件。
安全事件用于确定目标网络的攻击路径,安全事件可以是目标节点上发生的攻击事件。示例性的,安全事件可以包括恶意进程运行事件、数据篡改事件或异常账号事件等。安全事件可以是目标节点主动上报的事件。
可以根据用户输入的安全事件分析指令,获取与安全事件分析指令匹配的安全事件。通常,安全事件分析指令,用于指定目标节点的标识信息,以及安全事件的标识信息,从而,可以根据目标节点的标识信息确定目标节点,以及根据安全事件的标识信息,确定目标节点的安全事件。或者,可以在接收到目标节点主动上报的事件时,获取该安全事件,并进行分析。
S130,根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径,所述关联的数据包括日志数据。
节点关联的数据用于分析节点的安全事件的影响流向。节点关联的数据可以是与节点关联的任意数据,例如可以包括节点中记录的日志数据,此外,还可以包括节点直接上报的一些数据,可以根据需要进行设定。日志数据用于确定节点信息以及节点发生的异常情况,以确定目标网络的攻击路径。具体的,日志数据可以包括:告警数据和/或流量数据等;告警数据还可以包括网络事件和/或主机事件等。其中,告警数据可以是节点发生的异常事件关联的数据。流量数据可以是节点传输的字节数量随时间的变化情况。告警数据可以按照告警类型进行分类,具体的,可以包括网络事件和主机事件。网络事件可以是网络相关的事件,例如,网络连接失败事件等。主机事件可以是节点软硬件相关的事件,例如,硬件安全事件或软件安全事件等。
目标节点的安全事件可以引起下游节点发生异常,和/或目标节点的安全事件是由上游节点的异常引起的。上游节点将数据直接或者间接传输至目标节点;目标节点将数据直接或者间接传输至下游节点。目标节点与至少一个上游节点之间存在传输路径,以及与至少一个下游节点之间存在传输路径。同时目标节点的相邻上游节点与至少一个上游节点之间存在传输路径,以及目标节点的相邻下游节点与至少一个下游节点之间存在传输路径等,将这些传输路径作为目标节点关联的目标传输路径。
安全事件的攻击路径用于确定目标网络的攻击路径,安全事件的攻击路径可以是安全事件的影响流向。安全事件的攻击路径的数量为至少零个。安全事件可以只发生在目标节点中,并未影响下游节点,以及未通过上游节点。此时,安全事件关联的目标传输路径为空。
具体的,可以根据安全事件,确定安全事件关联的传输数据,并根据传输数据的流向,查询用于传输传输数据的传输路径,作为安全事件的攻击路径。或者,根据安全事件的发生时间,在各目标传输路径关联的节点中,查询与发生时间匹配的时刻,发生异常事件的上游节点和/或下游节点,将发生异常的上游节点和/或下游节点与目标节点之间的传输路径作为安全事件的攻击路径。示例性的,传输路径包括:数据依次从节点A、节点B最终传输到目标节点之间的2个传输路径,数据从节点A传输到目标节点之间的1个传输路径;数据从节点B传输到目标节点之间的1个传输路径。如果节点A在安全事件的发生时间之前的设定时间段内,流量发生突变,而节点B在安全事件的发生时间之前的设定时间段内,没有发生任何异常事件,则确定数据从节点A传输到目标节点之间的传输路径为安全事件的攻击路径。
可选的,在根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径之前,还包括:接收所述节点实时上报的日志信息;对所述日志信息进行解析,得到所述节点的日志数据;将所述节点的日志数据作为所述节点关联的数据,添加到所述链路分析图中。
日志信息是由节点主动上报的信息。日志信息用于记录节点的操作系统或其他软件运行中发生的事件或与其他节点进行通信的消息,以进行链路梳理、定位故障位置和错误原因分析等。日志信息解析用于从日志信息中提取需要的数据。可以采用现有的日志分析工具对日志信息进行解析,并根据预设的筛选规则,对解析数据进行筛选,获取日志数据,其中,解析方法和筛选方法均可以根据需要进行设定,对此,本发明实施例不做具体限制。
日志信息上报可以是按照预设周期进行定期上报,也可以是在确定满足设定条件时,节点进行上报。设定条件可以根据需要进行设定,例如,设定条件用于判断节点是否发生异常事件。
可以获取节点的网际协议(Internet Protocol,IP)地址、域名和节点名称等标识信息中的至少一项,建立节点标识信息与日志数据之间的对应关系。在链路分析图中,与节点标识信息匹配的节点处,添加与该节点标识信息对应的日志数据。通常,在链路分析图中,每个节点配置有显示项,在接收到用户针对该显示项的触发指令时,将显示项在链路分析图中进行显示。其中,显示方式可以是以列表形式进行显示,还可以生成新的页面进行显示,对此,本发明实施例不做具体限制。
通过接收节点实时上报的日志信息,并进行解析,得到日志数据,并作为节点关联的数据,添加到链路分析图中,实时更新链路分析图中节点的信息,为实时分析攻击路径提供依据,从而提高攻击路径的准确性。
可选的,在获取目标网络的链路分析图之后,还包括:显示所述链路分析图;在接收到所述目标节点的信息显示指令时,将所述目标节点关联的数据进行显示。
可以生成页面,该页面中显示链路分析图,链路分析图中包括多个节点,以及各节点之间的传输路径。每个节点还配置有显示项,显示项的内容可以包括节点关联的数据。
信息显示指令用于触发显示显示项,如目标节点关联的数据,该数据可以包括目标节点的日志数据。信息显示指令可以包括目标节点的点击或滑动等触发指令。此外,还可以是其他操作,例如特定按键输入指令,对此,本发明实施例不做具体限制。
如图1b所示,链路分析图中传输路径为上游节点101向目标节点102传输数据,并由目标节点转发至下游节点103。在接收到用户针对目标节点输入的点击指令,在链路分析图的右侧区域,显示列表,该列表中显示目标节点信息。同时,上游节点101、下游节点103和传输路径为虚线表示。
通过显示链路分析图,并显示节点信息,可以快速展示各节点的信息,提高用户的浏览效率。
本发明实施例通过获取链路分析图,并根据链路分析图中各节点关联的日志数据,确定安全事件的攻击路径,自动分析安全事件的攻击路径,解决了现有技术中人工统计分析攻击路径,可以降低攻击路径分析的人工成本,提高攻击路径分析的效率。
实施例二
图2为本发明实施例二中的一种攻击路径分析方法的流程图,本实施例以上述实施例为基础进行具体化,将根据所述目标传输路径中各节点关联的数据,确定所述安全事件的攻击路径,所述关联的数据包括日志数据,具体化为:获取各所述目标传输路径中节点关联的异常事件数据,所述异常事件数据包括下述至少一项:安全报警数据、节点数据和异常日志数据;查询与所述安全事件匹配的异常事件数据,并将所述异常事件数据关联的节点作为关联节点;根据各所述关联节点与所述目标节点,生成所述安全事件的攻击路径。
如图2所示,本实施例的方法具体包括:
S210,获取目标网络的链路分析图,所述目标网络包括多个节点,所述链路分析图包括多个节点之间的传输路径。
本发明实施例中未详尽的描述可以参考前述实施例。
S220,获取目标节点发送的安全事件。
S230,获取所述链路分析图中各节点关联的异常事件数据,所述异常事件数据包括下述至少一项:安全报警数据、节点数据和异常日志数据。
异常事件数据可以是节点关联的数据中发生异常的数据。节点关联的数据包括异常事件数据。节点关联的数据中可以包括日志数据、安全报警数据、节点数据和节点信息等。其中,异常事件数据包括下述至少一项:安全报警数据、节点数据和异常日志数据。
安全报警数据可以是安全事件关联的数据。节点数据用于评估节点受到安全威胁的损失程度。异常日志数据是部分日志数据,可以为空。异常日志数据具体是日志数据中发生异常的数据,例如可以包括发生突变的流量数据,例如,呈指数型上升等。
可选的,所述获取各所述目标传输路径中节点关联的安全报警数据,包括:获取各所述节点发送的安全事件信息,所述安全事件信息通过所述节点在确定满足报警条件时上报获取;根据所述安全事件信息和所述报警条件,确定所述安全事件信息关联的报警类型和威胁值,并作为所述节点的安全报警数据。
安全事件信息可以是节点发生的安全事件关联的信息。可以预先为安全事件配置报警类型和与该报警类型匹配的多个威胁值。报警类型用于区分安全事件,例如,安全事件类型可以包括有害程序事件类型、网络攻击事件类型或信息破坏事件类型等。威胁值用于评价安全事件对节点的危害程度。
报警条件用于判断节点何时上报安全事件信息,以及规定上报的安全事件的内容。报警条件的数量可以为至少一个,具体可以根据每个报警类型,分别对应配置报警条件。具体的,根据报警类型可以确定安全事件关联的报警类型,根据安全事件信息,可以在报警类型匹配的多个威胁值中,查询该安全事件对应的威胁值。如果节点对应的安全事件已解决,则节点对应的威胁值可以更新为0。每个节点可以建立安全报警数据集合,A={(T1,w1),(T2,w2),...,(Tn,wn)},其中,Ti表示报警类型,wi为其对应的威胁值。
通过获取节点在确定满足报警条件时,上报的安全事件信息,统计该节点的安全报警数据,从而,可以记录各节点的安全报警数据,并作为攻击路径的统计分析源数据,以分析目标网络的攻击路径,提高攻击路径的分析准确性。
可选的,所述获取各所述目标传输路径中节点关联的节点数据,包括:获取各所述节点发送的节点数据,所述节点数据包括节点资产信息和节点价值信息。
节点资产信息用于描述节点的归属者信息,例如,所属企业。可以根据节点资产信息相应通知相应归属者。可以根据节点资产信息,攻击节点的攻击行为是否为无差别攻击等。
节点价值信息用于描述节点的价值。可以根据节点价值信息,确定节点在被攻击时的损失程度。
根据节点资产信息和节点价值信息,可以确定攻击行为涉及的归属者,以及确定攻击行为对系统造成的损失程度,从而评估攻击行为对系统的威胁程度等。
通过获取节点的资产信息和节点价值信息,确定各节点在被攻击时系统的损失程度,评估攻击行为的威胁程度,快速确定攻击路径的影响程度。
S240,查询与所述安全事件匹配的异常事件数据,并将所述异常事件数据关联的节点作为关联节点。
与安全事件匹配的异常事件数据用于确定与安全事件匹配的上游节点和/或下游节点,并作为关联节点。
与安全事件匹配的上游节点可以是,在与安全事件的发生时间匹配的时间段内,发生异常事件的上游节点。
示例性的,可以获取上游节点的异常日志数据(如突变的流量数据)和安全报警数据,如果根据前述数据,确定上游节点在与安全事件的发生时间匹配的时间段内发生异常事件,则确定该上游节点为与安全事件匹配的上游节点。其中,异常事件可以包括在该时间段内流量突变,或者在该时间段内确定满足任一报警条件。
与安全事件匹配的下游节点可以是,设定重要评价值高于设定阈值的下游节点。
示例性的,可以获取下游节点的节点数据,如果根据前述数据,确定该下游节点针对设定重要评价值高于设定阈值,则确定该下游节点为与安全事件匹配的下游节点。
还可以计算重要评价值以及报警类型的威胁值,并计算加权值,在加权值高于设定阈值,则确定该下游节点为与安全事件匹配的下游节点。可以根据需要进行设定,对此,本发明实施例不做具体限制。
S250,根据各所述关联节点与所述目标节点,生成所述安全事件的攻击路径。
根据各关联节点之间的传输路径,以及各关联节点与目标节点之间的传输路径,可以组合形成安全事件的至少零个传输路径,其中,存在的传输路径中必须包括目标节点。
本发明实施例通过获取链路分析图中各节点关联的异常事件数据,并筛选出与安全事件匹配的异常事件数据,以及确定关联节点,并与目标节点进行任意组合,形成安全事件的攻击路径,可以准确检测到安全事件的上游节点和/或下游节点,准确自动检测目标网络的攻击路径,可以降低攻击路径分析的人工成本,提高攻击路径分析的效率。
实施例三
图3为本发明实施例三中的一种攻击路径分析装置的示意图。实施例三是实现本发明上述实施例提供的攻击路径分析方法的相应装置,该装置可采用软件和/或硬件的方式实现,并一般可集成计算机设备中等。
相应的,本实施例的装置可以包括:
链路分析图获取模块310,用于获取目标网络的链路分析图,所述目标网络包括多个节点,所述链路分析图包括多个节点之间的传输路径;
安全事件获取模块320,用于获取目标节点发送的安全事件;
安全事件攻击路径确定模块330,用于根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径,所述关联的数据包括日志数据。
本发明实施例通过获取链路分析图,并根据链路分析图中各节点关联的日志数据,确定安全事件的攻击路径,自动分析安全事件的攻击路径,解决了现有技术中人工统计分析攻击路径,可以降低攻击路径分析的人工成本,提高攻击路径分析的效率。
进一步的,所述安全事件攻击路径确定模块330,包括:异常事件数据分析单元,用于获取所述链路分析图中各节点关联的异常事件数据,所述异常事件数据包括下述至少一项:安全报警数据、节点数据和异常日志数据;查询与所述安全事件匹配的异常事件数据,并将所述异常事件数据关联的节点作为关联节点;根据各所述关联节点与所述目标节点,生成所述安全事件的攻击路径。
进一步的,所述异常事件数据分析单元,包括:报警事件数据获取子单元,用于获取各所述节点发送的安全事件信息,所述安全事件信息通过所述节点在确定满足报警条件时上报获取;根据所述安全事件信息和所述报警条件,确定所述安全事件信息关联的报警类型和威胁值,并作为所述节点的报警事件数据。
进一步的,所述异常事件数据分析单元,包括:节点数据获取子单元,用于获取各所述节点发送的节点数据,所述节点数据包括节点资产信息和节点价值信息。
进一步的,所述链路分析图获取模块310,包括:拓扑结构获取单元,用于获取目标网络的拓扑结构信息;根据所述目标网络的拓扑结构信息,确定所述目标网络中各所述节点之间的传输路径;根据各所述节点之间的传输路径,生成所述目标网络的链路分析图。
进一步的,所述攻击路径分析装置,还包括:日志信息接收模块,用于在根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径之前,接收所述节点实时上报的日志信息;对所述日志信息进行解析,得到所述节点的日志数据;将所述节点的日志数据作为所述节点关联的数据,添加到所述链路分析图中。
进一步的,所述攻击路径分析装置,还包括:信息显示模块,用于在获取目标网络的链路分析图之后,显示所述链路分析图;在接收到所述目标节点的信息显示指令时,将所述目标节点关联的数据进行显示。
上述攻击路径分析装置可执行本发明实施例任一所提供的攻击路径分析方法,具备执行的攻击路径分析方法相应的功能模块和有益效果。
实施例四
图4为本发明实施例四提供的一种计算机设备的结构示意图。图4示出了适于用来实现本发明实施方式的示例性计算机设备12的框图。图4显示的计算机设备12仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,计算机设备12以通用计算设备的形式表现。计算机设备12的组件可以包括但不限于:一个或者多个处理器或者处理单元16,系统存储器28,连接不同系统组件(包括系统存储器28和处理单元16)的总线18。计算机设备12可以是挂接在总线上的设备。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(Industry StandardArchitecture,ISA)总线,微通道体系结构(Micro Channel Architecture,MCA)总线,增强型ISA总线、视频电子标准协会(Video Electronics Standards Association,VESA)局域总线以及外围组件互连(Peripheral Component Interconnect,PCI)总线。
计算机设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机设备12访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图4未显示,通常称为“硬盘驱动器”)。尽管图4中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM),数字视盘(Digital Video Disc-Read Only Memory,DVD-ROM)或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。系统存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在例如系统存储器28中,这样的程序模块42包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
计算机设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该计算机设备12交互的设备通信,和/或与使得该计算机设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(Input/Output,I/O)接口22进行。并且,计算机设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(Local AreaNetwork,LAN),广域网(Wide Area Network,WAN)通信。如图所示,网络适配器20通过总线18与计算机设备12的其它模块通信。应当明白,尽管图4中未示出,可以结合计算机设备12使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、(Redundant Arrays of Inexpensive Disks,RAID)系统、磁带驱动器以及数据备份存储系统等。
处理单元16通过运行存储在系统存储器28中的程序,从而执行各种功能应用以及数据处理,例如实现本发明任意实施例所提供的一种攻击路径分析方法。
实施例五
本发明实施例五提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请所有发明实施例提供的攻击路径分析方法:
也即,该程序被处理器执行时实现:获取目标网络的链路分析图,所述目标网络包括多个节点,所述链路分析图包括多个节点之间的传输路径;获取目标节点发送的安全事件;根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径,所述关联的数据包括日志数据。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、RAM、只读存储器(Read OnlyMemory,ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式CD-ROM、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、无线电频率(RadioFrequency,RF)等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括LAN或WAN——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种攻击路径分析方法,其特征在于,包括:
获取目标网络的链路分析图,所述目标网络包括多个节点,所述链路分析图包括多个节点之间的传输路径;
获取目标节点发送的安全事件;
根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径,所述关联的数据包括日志数据。
2.根据权利要求1所述的方法,其特征在于,所述根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径,包括:
获取所述链路分析图中各节点关联的异常事件数据,所述异常事件数据包括下述至少一项:安全报警数据、节点数据和异常日志数据;
查询与所述安全事件匹配的异常事件数据,并将所述异常事件数据关联的节点作为关联节点;
根据各所述关联节点与所述目标节点,生成所述安全事件的攻击路径。
3.根据权利要求2所述的方法,其特征在于,所述获取各所述目标传输路径中节点关联的安全报警数据,包括:
获取各所述节点发送的安全事件信息,所述安全事件信息通过所述节点在确定满足报警条件时上报获取;
根据所述安全事件信息和所述报警条件,确定所述安全事件信息关联的报警类型和威胁值,并作为所述节点的报警事件数据。
4.根据权利要求2所述的方法,其特征在于,所述获取各所述目标传输路径中节点关联的节点数据,包括:
获取各所述节点发送的节点数据,所述节点数据包括节点资产信息和节点价值信息。
5.根据权利要求1所述的方法,其特征在于,所述获取目标网络的链路分析图,包括:
获取目标网络的拓扑结构信息;
根据所述目标网络的拓扑结构信息,确定所述目标网络中各所述节点之间的传输路径;
根据各所述节点之间的传输路径,生成所述目标网络的链路分析图。
6.根据权利要求1所述的方法,其特征在于,在根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径之前,还包括:
接收所述节点实时上报的日志信息;
对所述日志信息进行解析,得到所述节点的日志数据;
将所述节点的日志数据作为所述节点关联的数据,添加到所述链路分析图中。
7.根据权利要求1所述的方法,其特征在于,在获取目标网络的链路分析图之后,还包括:
显示所述链路分析图;
在接收到所述目标节点的信息显示指令时,将所述目标节点关联的数据进行显示。
8.一种攻击路径分析装置,其特征在于,包括:
链路分析图获取模块,用于获取目标网络的链路分析图,所述目标网络包括多个节点,所述链路分析图包括多个节点之间的传输路径;
安全事件获取模块,用于获取目标节点发送的安全事件;
安全事件攻击路径确定模块,用于根据所述链路分析图中各节点关联的数据,确定所述安全事件的攻击路径,所述关联的数据包括日志数据。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-7中任一所述的攻击路径分析方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的攻击路径分析方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010561915.5A CN111726358A (zh) | 2020-06-18 | 2020-06-18 | 攻击路径分析方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010561915.5A CN111726358A (zh) | 2020-06-18 | 2020-06-18 | 攻击路径分析方法、装置、计算机设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111726358A true CN111726358A (zh) | 2020-09-29 |
Family
ID=72567561
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010561915.5A Pending CN111726358A (zh) | 2020-06-18 | 2020-06-18 | 攻击路径分析方法、装置、计算机设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111726358A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112527888A (zh) * | 2020-12-24 | 2021-03-19 | 恒安嘉新(北京)科技股份公司 | 一种数据分析方法、装置、电子设备及存储介质 |
CN113312625A (zh) * | 2021-06-21 | 2021-08-27 | 深信服科技股份有限公司 | 一种攻击路径图构建方法、装置、设备、介质 |
CN113904838A (zh) * | 2021-09-30 | 2022-01-07 | 北京天融信网络安全技术有限公司 | 一种传感器数据检测方法、装置、电子设备及存储介质 |
CN113923016A (zh) * | 2021-10-08 | 2022-01-11 | 北京天融信网络安全技术有限公司 | 攻击路径分析方法、装置及设备 |
CN114238181A (zh) * | 2021-09-18 | 2022-03-25 | 苏州浪潮智能科技有限公司 | 多路径设备路径的物理链路信息的处理方法和获取方法 |
CN114363036A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种网络攻击路径获取方法、装置及电子设备 |
CN114363002A (zh) * | 2021-12-07 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种网络攻击关系图的生成方法及装置 |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101316187A (zh) * | 2007-06-01 | 2008-12-03 | 杭州华三通信技术有限公司 | 网络管理方法和网络管理系统 |
CN107454103A (zh) * | 2017-09-07 | 2017-12-08 | 杭州安恒信息技术有限公司 | 基于时间线的网络安全事件过程分析方法及系统 |
CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
CN109313541A (zh) * | 2016-03-23 | 2019-02-05 | 戴特威瑟公司 | 用于显示和比较攻击遥测资源的用户界面 |
CN109922075A (zh) * | 2019-03-22 | 2019-06-21 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
CN110138803A (zh) * | 2019-06-03 | 2019-08-16 | 武汉思普崚技术有限公司 | 一种网络行为数据的方法和可视化平台 |
CN110221977A (zh) * | 2019-06-03 | 2019-09-10 | 江苏亨通工控安全研究院有限公司 | 基于ai的网站渗透测试方法 |
CN110392039A (zh) * | 2019-06-10 | 2019-10-29 | 浙江高速信息工程技术有限公司 | 基于日志和流量采集的网络系统事件溯源方法及系统 |
CN110533754A (zh) * | 2019-08-26 | 2019-12-03 | 哈尔滨工业大学(威海) | 基于大规模工控网络的交互式攻击图展示系统及展示方法 |
CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
CN110868377A (zh) * | 2018-12-05 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种网络攻击图的生成方法、装置及电子设备 |
CN110874470A (zh) * | 2018-12-29 | 2020-03-10 | 北京安天网络安全技术有限公司 | 基于网络攻击预测网络空间安全性的方法及装置 |
CN110971579A (zh) * | 2018-09-30 | 2020-04-07 | 北京国双科技有限公司 | 一种网络攻击展示方法及装置 |
US10771483B2 (en) * | 2016-12-30 | 2020-09-08 | British Telecommunications Public Limited Company | Identifying an attacked computing device |
-
2020
- 2020-06-18 CN CN202010561915.5A patent/CN111726358A/zh active Pending
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101316187A (zh) * | 2007-06-01 | 2008-12-03 | 杭州华三通信技术有限公司 | 网络管理方法和网络管理系统 |
CN109313541A (zh) * | 2016-03-23 | 2019-02-05 | 戴特威瑟公司 | 用于显示和比较攻击遥测资源的用户界面 |
US10771483B2 (en) * | 2016-12-30 | 2020-09-08 | British Telecommunications Public Limited Company | Identifying an attacked computing device |
CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
CN107454103A (zh) * | 2017-09-07 | 2017-12-08 | 杭州安恒信息技术有限公司 | 基于时间线的网络安全事件过程分析方法及系统 |
CN110971579A (zh) * | 2018-09-30 | 2020-04-07 | 北京国双科技有限公司 | 一种网络攻击展示方法及装置 |
CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
CN110868377A (zh) * | 2018-12-05 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种网络攻击图的生成方法、装置及电子设备 |
CN110874470A (zh) * | 2018-12-29 | 2020-03-10 | 北京安天网络安全技术有限公司 | 基于网络攻击预测网络空间安全性的方法及装置 |
CN109922075A (zh) * | 2019-03-22 | 2019-06-21 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
CN110138803A (zh) * | 2019-06-03 | 2019-08-16 | 武汉思普崚技术有限公司 | 一种网络行为数据的方法和可视化平台 |
CN110221977A (zh) * | 2019-06-03 | 2019-09-10 | 江苏亨通工控安全研究院有限公司 | 基于ai的网站渗透测试方法 |
CN110392039A (zh) * | 2019-06-10 | 2019-10-29 | 浙江高速信息工程技术有限公司 | 基于日志和流量采集的网络系统事件溯源方法及系统 |
CN110533754A (zh) * | 2019-08-26 | 2019-12-03 | 哈尔滨工业大学(威海) | 基于大规模工控网络的交互式攻击图展示系统及展示方法 |
CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112527888B (zh) * | 2020-12-24 | 2024-04-05 | 恒安嘉新(北京)科技股份公司 | 一种数据分析方法、装置、电子设备及存储介质 |
CN112527888A (zh) * | 2020-12-24 | 2021-03-19 | 恒安嘉新(北京)科技股份公司 | 一种数据分析方法、装置、电子设备及存储介质 |
CN113312625A (zh) * | 2021-06-21 | 2021-08-27 | 深信服科技股份有限公司 | 一种攻击路径图构建方法、装置、设备、介质 |
CN113312625B (zh) * | 2021-06-21 | 2024-01-02 | 深信服科技股份有限公司 | 一种攻击路径图构建方法、装置、设备、介质 |
CN114238181B (zh) * | 2021-09-18 | 2023-08-11 | 苏州浪潮智能科技有限公司 | 多路径设备路径的物理链路信息的处理方法和获取方法 |
CN114238181A (zh) * | 2021-09-18 | 2022-03-25 | 苏州浪潮智能科技有限公司 | 多路径设备路径的物理链路信息的处理方法和获取方法 |
CN113904838A (zh) * | 2021-09-30 | 2022-01-07 | 北京天融信网络安全技术有限公司 | 一种传感器数据检测方法、装置、电子设备及存储介质 |
CN113923016A (zh) * | 2021-10-08 | 2022-01-11 | 北京天融信网络安全技术有限公司 | 攻击路径分析方法、装置及设备 |
CN113923016B (zh) * | 2021-10-08 | 2022-08-30 | 北京天融信网络安全技术有限公司 | 攻击路径分析方法、装置、电子设备和计算机存储介质 |
CN114363002A (zh) * | 2021-12-07 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种网络攻击关系图的生成方法及装置 |
CN114363002B (zh) * | 2021-12-07 | 2023-06-09 | 绿盟科技集团股份有限公司 | 一种网络攻击关系图的生成方法及装置 |
CN114363036B (zh) * | 2021-12-30 | 2023-05-16 | 绿盟科技集团股份有限公司 | 一种网络攻击路径获取方法、装置及电子设备 |
CN114363036A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种网络攻击路径获取方法、装置及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111726358A (zh) | 攻击路径分析方法、装置、计算机设备及存储介质 | |
US11928014B1 (en) | In a microservices-based application, tracking errors by mapping traces to error stacks | |
US11762728B1 (en) | Displaying error stacks in a graphical user interface (GUI) to track error propagation across microservices-based applications | |
US11036867B2 (en) | Advanced rule analyzer to identify similarities in security rules, deduplicate rules, and generate new rules | |
US10915626B2 (en) | Graph model for alert interpretation in enterprise security system | |
US10333815B2 (en) | Real-time detection of abnormal network connections in streaming data | |
US11093349B2 (en) | System and method for reactive log spooling | |
CN111726357A (zh) | 攻击行为检测方法、装置、计算机设备及存储介质 | |
US20210092160A1 (en) | Data set creation with crowd-based reinforcement | |
CN107392801B (zh) | 控制扰乱订单的方法及其装置、存储介质、电子设备 | |
CN107683467B (zh) | 用于使用结构监视系统来处理涉及计算系统和网络的事件的系统和方法 | |
JP7069399B2 (ja) | コンピュータセキュリティインシデントを報告するためのシステムおよび方法 | |
CN109120634B (zh) | 一种端口扫描检测的方法、装置、计算机设备和存储介质 | |
CN115034596A (zh) | 一种风险传导预测方法、装置、设备和介质 | |
CN113098715A (zh) | 一种信息处理方法、装置、系统、介质和计算设备 | |
US10324778B2 (en) | Utilizing an error prediction and avoidance component for a transaction processing system | |
CN113448795B (zh) | 用于获取系统诊断信息的方法、设备和计算机程序产品 | |
CN113132393A (zh) | 异常检测方法、装置、电子设备以及存储介质 | |
US9348721B2 (en) | Diagnosing entities associated with software components | |
KR20220116410A (ko) | 보안 규제 준수 자동화 장치 | |
CN116071152A (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
US20220300609A1 (en) | Risk-based alerting for computer security | |
CN113259299B (zh) | 一种标签管理方法、上报方法、数据分析方法及装置 | |
JP2019009726A (ja) | 障害切り分け方法および管理サーバ | |
CN114116769A (zh) | 资产管理平台的端口告警装置及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200929 |