本發明實施例公開了一種攻擊行為確定方法、裝置及態勢感知系統，該方法包括：根據目標訪問行為的訪問路徑節點以及目標訪問行為在訪問路徑節點的訪問觸發時刻，確定目標訪問行為的訪問路徑時間軸；判斷訪問路徑時間軸是否與預設的攻擊路徑信息庫中記錄的攻擊路徑時間軸匹配，其中攻擊路徑時間軸為：根據攻擊行為的攻擊路徑節點以及攻擊行為在攻擊路徑節點的攻擊觸發時刻確定的；如果是，將目標訪問行為確定為第一攻擊行為。應用本發明實施例提供的方案，能夠全面準確的感知攻擊行為。

技術領域

本發明涉及網絡安全技術領域，特別涉及一種攻擊行為確定方法、裝置及態勢感知系統。

背景技術

隨著計算機網絡的迅速普及和各種網絡新業務的不斷興起，網絡安全問題已經逐漸滲透到社會生活的各個領域，并且變得越來越嚴峻。為了更好地保證網絡安全，阻止破壞資源完整性、可用性和保密性等的攻擊行為，及時發現攻擊行為并采取相應的抵御措施來避免進一步的攻擊，減少攻擊造成的危害，已成為目前網絡安全研究的熱點。

網絡態勢是指各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢，網絡態勢感知是指在大規模網絡環境中，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。對于網絡安全的態勢感知，現有技術是基于業務日志來進行分析的，從業務日志中分析出攻擊行為，并根據分析出的攻擊行為對業務系統進行態勢感知，業務日志為業務系統實際運行時產生的日志。

由于現有的業務系統在層層防御體系之后，業務日志中的攻擊日志更多是較淺層面的泛掃描攻擊行為，因而從業務日志中并不能捕獲到足夠多的數據來確定深入的攻擊路徑，進而也就無法了解攻擊者對業務的關注度和深度攻擊手法，及攻擊者意圖竊取的關鍵業務數據。也就是說，現有技術中的態勢感知方法不能全面準確的感知攻擊者的攻擊行為。

發明內容

本發明實施例的目的在于提供一種攻擊行為確定方法、裝置及態勢感知系 統，以全面準確的感知攻擊行為。具體技術方案如下：

為達到上述目的，本發明實施例公開了一種攻擊行為確定方法，所述方法 包括：

根據目標訪問行為的訪問路徑節點以及所述目標訪問行為在所述訪問路徑 節點的訪問觸發時刻，確定所述目標訪問行為的訪問路徑時間軸；

判斷所述訪問路徑時間軸是否與預設的攻擊路徑信息庫中記錄的攻擊路徑 時間軸匹配，其中，所述攻擊路徑時間軸為：根據攻擊行為的攻擊路徑節點以 及所述攻擊行為在所述攻擊路徑節點的攻擊觸發時刻確定的；

如果是，將所述目標訪問行為確定為第一攻擊行為。

可選的，所述目標訪問行為存在于業務系統中。

可選的，所述預設的攻擊路徑信息庫按照以下方式生成：

獲取預設的蜜罐系統中的蜜罐日志；

確定所述蜜罐日志所對應的第二攻擊行為的攻擊路徑時間軸；

根據所確定的攻擊路徑時間軸，生成所述預設的攻擊路徑信息庫。

可選的，所述蜜罐系統為：根據所述業務系統中的服務搭建的。

可選的，所述確定所述蜜罐日志所對應的第二攻擊行為的攻擊路徑時間軸， 包括：

根據預設的攻擊行為特征，確定所述蜜罐日志所對應的第二攻擊行為；

根據所述第二攻擊行為的目標攻擊路徑節點以及所述第二攻擊行為在所述 目標攻擊路徑節點的目標攻擊觸發時刻，確定所述第二攻擊行為的攻擊路徑時 間軸。

可選的，所述根據所述第二攻擊行為的目標攻擊路徑節點以及所述第二攻 擊行為在所述目標攻擊路徑節點的目標攻擊觸發時刻，確定所述第二攻擊行為 的攻擊路徑時間軸，包括：