本發明是關于一種網絡攻擊溯源實現方法及裝置，其方法包括：獲取內部網絡系統受到網絡攻擊的本次告警消息和歷史告警消息，所述本次告警消息包括本次告警設備的設備標識；根據所述本次告警消息和所述歷史告警消息，生成內部脆弱點列表，所述內部脆弱點列表包括所述內部網絡系統中與所述本次告警設備有通信連接的且歷史上受到過所述網絡攻擊的網絡設備的設備標識；根據獲取到的所述內部脆弱點列表中的網絡設備的日志信息和網絡流量監控信息，確定所述網絡攻擊的攻擊路徑。這樣本發明通過溯源網絡攻擊的攻擊路徑，確定網絡攻擊的源網絡攻擊設備，進而可以定位攻擊者及其背景信息。

技術領域

本發明實施例涉及網絡安全技術領域，尤其涉及一種網絡攻擊溯源實現方法及裝置。

背景技術

近年來，隨著網絡的不斷普及，網絡攻擊者采用的攻擊技術及攻擊手段也有了新的發展趨勢。因此，網絡安全問題也需要網絡用戶不斷的關注并采取有效的安全防護措施。而傳統的網絡安全防護主要是通過在網絡邊界點設置防火墻等安全工具，將需要防御的內網與外網隔離開來，達到防護的目的。

現有技術當中采用的防護措施，對于常見的網絡攻擊比較有效。例如，常見的網絡攻擊一般是通過一個節點來攻擊其他節點、針對系統漏洞進行攻擊或者放置特洛伊木馬程序等。這些常見的網絡攻擊類型采用的攻擊方式較為單一，并具有易發現、易防護的特點，一般通過設置防火墻等方式就可以進行有效的安全防護。

然而，對于高級持續性威脅(Advanced Persistent Threat，APT)攻擊，由于APT等類型的網絡攻擊與常見的網絡攻擊具有兩方面的區別：(1)高級性：使用的工具或惡意程序一般都是專門開發的，很難檢測到；另外攻擊中會用到一個或多個0day漏洞。(2)持續性：一般會花費比較長時間，觀察、踩點、收集信息、社會工程、逐步滲透和信息回傳等等。因此，現有技術當中的安全防護措施無法對APT等類型的攻擊進行有效的安全防護。

發明內容

為克服相關技術中現有的安全防護措施無法對APT等類型的攻擊進行有效的安全防護的問題，本發明提供一種網絡攻擊溯源實現方法及裝置。

根據本發明實施例的第一方面，提供一種網絡攻擊溯源實現方法，包括：

獲取內部網絡系統受到網絡攻擊的本次告警消息和歷史告警消息，所述本次告警消息包括本次告警設備的設備標識；

根據所述本次告警消息和所述歷史告警消息，生成內部脆弱點列表，所述內部脆弱點列表包括所述內部網絡系統中與所述本次告警設備有通信連接的且歷史上受到過所述網絡攻擊的網絡設備的設備標識；

根據獲取到的所述內部脆弱點列表中的網絡設備的日志信息和網絡流量監控信息，確定所述網絡攻擊的攻擊路徑。

這樣本發明實施例通過溯源網絡攻擊的攻擊路徑，可以確定網絡攻擊的源網絡攻擊設備。

可選地，所述根據所述本次告警消息和所述歷史告警消息，生成內部脆弱點列表，包括：

根據所述本次告警設備的日志信息和網絡流量監控信息，生成第一內部網絡設備列表，所述第一內部網絡設備列表包括所述內部網絡系統中與所述本次告警設備有通信連接的網絡設備的設備標識；

根據所述歷史告警消息，生成第二內部網絡設備列表，所述第二內部網絡設備列表包括所述第一內部網絡設備列表中歷史上受到過告警的網絡設備的設備標識；

確定所述第二內部網絡設備列表中包括有預設網絡攻擊的網絡設備，得到第三內部網絡設備列表，所述第三內部網絡設備列表包括所述第二內部網絡設備列表中包括有預設網絡攻擊的網絡設備，所述預設網絡攻擊告警，包括下述至少一種：網絡監聽告警、系統漏洞攻擊告警和木馬攻擊告警；

將所述第三內部網絡設備列表作為所述內部脆弱點列表。