[發明專利]網絡攻擊溯源實現方法及裝置有效
| 申請號: | 201611055607.5 | 申請日: | 2016-11-25 |
| 公開(公告)號: | CN107196895B | 公開(公告)日: | 2020-07-17 |
| 發明(設計)人: | 蘇砫;高峰;張建軍;張曉琳 | 申請(專利權)人: | 北京神州泰岳信息安全技術有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京弘權知識產權代理事務所(普通合伙) 11363 | 代理人: | 逯長明;許偉群 |
| 地址: | 100107 北京市海淀區萬*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 網絡 攻擊 溯源 實現 方法 裝置 | ||
1.一種網絡攻擊溯源實現方法,其特征在于,包括:
獲取內部網絡系統受到網絡攻擊的本次告警消息和歷史告警消息,所述本次告警消息包括本次告警設備的設備標識;
根據所述本次告警消息和所述歷史告警消息,生成內部脆弱點列表,所述內部脆弱點列表包括所述內部網絡系統中與所述本次告警設備有通信連接的且歷史上受到過所述網絡攻擊的網絡設備的設備標識;包括:
根據所述本次告警設備的日志信息和網絡流量監控信息,生成第一內部網絡設備列表,所述第一內部網絡設備列表包括所述內部網絡系統中與所述本次告警設備有通信連接的網絡設備的設備標識;
根據所述歷史告警消息,生成第二內部網絡設備列表,所述第二內部網絡設備列表包括所述第一內部網絡設備列表中歷史上受到過告警的網絡設備的設備標識;
確定所述第二內部網絡設備列表中包括有預設網絡攻擊的網絡設備,得到第三內部網絡設備列表,所述第三內部網絡設備列表包括所述第二內部網絡設備列表中包括有預設網絡攻擊的網絡設備,所述預設網絡攻擊告警,包括下述至少一種:網絡監聽告警、系統漏洞攻擊告警和木馬攻擊告警;
將所述第三內部網絡設備列表作為所述內部脆弱點列表;
根據獲取到的所述內部脆弱點列表中的網絡設備的日志信息和網絡流量監控信息,確定所述網絡攻擊的攻擊路徑,包括:
根據獲取到的所述內部脆弱點列表中的網絡設備的日志信息和網絡流量監控信息,確定與所述內部脆弱點列表中的網絡設備有通信連接的網絡設備;
判斷與所述內部脆弱點列表中的網絡設備有通信連接的網絡設備中是否包括外部網絡系統的外部網絡設備;
若與所述內部脆弱點列表中的網絡設備有通信連接的網絡設備中包括外部網絡系統的外部網絡設備,根據外網設備、各列表及所述本次告警設備,生成所述網絡攻擊的攻擊路徑。
2.根據權利要求1所述的方法,其特征在于,所述方法還包括:
若與所述內部脆弱點列表中的網絡設備有通信連接的網絡設備中不包括外部網絡系統的外部網絡設備,將與所述內部脆弱點列表中的網絡設備有通信連接的網絡設備作為當前的本次告警設備,返回執行所述根據所述本次告警設備的日志信息和網絡流量監控信息生成第一內部網絡設備列表的步驟。
3.根據權利要求2所述的方法,其特征在于,若與所述內部脆弱點列表中的網絡設備有通信連接的網絡設備中包括外部網絡系統的外部網絡設備,將所述外網設備確定為攻擊源,或者;獲取所述外部網絡設備的設備標識;
在本地威脅情報庫中查找與所述設備標識相對應的情報信息;
根據所述情報信息獲取所述外部網絡設備中的攻擊源;
根據所述攻擊源、各列表及所述本次告警設備,生成所述網絡攻擊的攻擊路徑。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京神州泰岳信息安全技術有限公司,未經北京神州泰岳信息安全技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201611055607.5/1.html,轉載請聲明來源鉆瓜專利網。
