[發(fā)明專利]攻擊路徑還原方法及裝置有效
| 申請(qǐng)?zhí)枺?/td> | 201710217802.1 | 申請(qǐng)日: | 2017-04-05 |
| 公開(kāi)(公告)號(hào): | CN108696473B | 公開(kāi)(公告)日: | 2020-11-24 |
| 發(fā)明(設(shè)計(jì))人: | 余筱蕙;蔡國(guó)威;鐘雪慧;李彬;郝建忠;鄭浩彬 | 申請(qǐng)(專利權(quán))人: | 中國(guó)移動(dòng)通信集團(tuán)廣東有限公司;中國(guó)移動(dòng)通信集團(tuán)公司 |
| 主分類號(hào): | H04L29/06 | 分類號(hào): | H04L29/06 |
| 代理公司: | 北京路浩知識(shí)產(chǎn)權(quán)代理有限公司 11002 | 代理人: | 王慶龍 |
| 地址: | 510623 廣東省廣州*** | 國(guó)省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說(shuō)明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 攻擊 路徑 還原 方法 裝置 | ||
1.一種攻擊路徑還原方法,其特征在于,包括:
獲取各網(wǎng)絡(luò)設(shè)備上記錄的告警事件,在確定所述告警事件中描述的被攻擊設(shè)備滿足預(yù)設(shè)的攻擊條件時(shí),將所述被攻擊設(shè)備確定為攻擊目標(biāo);其中,所述預(yù)設(shè)的攻擊條件是根據(jù)被攻擊設(shè)備的資產(chǎn)價(jià)值、告警事件類型以及告警次數(shù)確定的;
查找網(wǎng)絡(luò)中與所述攻擊目標(biāo)直接或間接相連、且發(fā)生過(guò)歷史告警事件的第一內(nèi)網(wǎng)設(shè)備,查找與所述告警事件中源地址對(duì)應(yīng)的設(shè)備直接或間接連接且發(fā)生過(guò)歷史告警事件的第二內(nèi)網(wǎng)設(shè)備,將所述第一內(nèi)網(wǎng)設(shè)備以及所述第二內(nèi)網(wǎng)設(shè)備作為內(nèi)網(wǎng)薄弱設(shè)備;查找網(wǎng)絡(luò)中與所述攻擊目標(biāo)或所述告警事件中源地址對(duì)應(yīng)的設(shè)備直接或間接相連的外網(wǎng)設(shè)備,作為攻擊來(lái)源設(shè)備;
根據(jù)所述攻擊來(lái)源設(shè)備的信息以及本地網(wǎng)絡(luò)威脅情報(bào)數(shù)據(jù)庫(kù)中的信息,確定實(shí)際控制所述攻擊來(lái)源設(shè)備的攻擊者設(shè)備;
根據(jù)所述攻擊者設(shè)備、攻擊來(lái)源設(shè)備、內(nèi)網(wǎng)薄弱設(shè)備以及攻擊目標(biāo)各個(gè)設(shè)備在整個(gè)攻擊行為中各自對(duì)應(yīng)的攻擊步驟,還原整個(gè)攻擊行為的攻擊路徑。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述確定所述告警事件中描述的被攻擊設(shè)備滿足預(yù)設(shè)的攻擊條件,包括:
計(jì)算所述被攻擊設(shè)備的資產(chǎn)價(jià)值;
根據(jù)被攻擊設(shè)備的資產(chǎn)價(jià)值、描述被攻擊設(shè)備的告警事件的類型以及告警次數(shù)獲得被攻擊設(shè)備的綜合指數(shù);
在所述綜合指數(shù)大于預(yù)設(shè)閾值時(shí)確定所述被攻擊設(shè)備滿足預(yù)設(shè)的攻擊條件。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述計(jì)算被攻擊設(shè)備的資產(chǎn)價(jià)值是通過(guò)下式進(jìn)行計(jì)算的:
其中,AssetValue表示被攻擊設(shè)備的資產(chǎn)價(jià)值;C表示資產(chǎn)機(jī)密性賦值;I表示資產(chǎn)完整性賦值;A表示資產(chǎn)可用性賦值;B表示資產(chǎn)業(yè)務(wù)相關(guān)性賦值;Round2{}表示四舍五入處理,保留兩位小數(shù)。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述查找網(wǎng)絡(luò)中與所述攻擊目標(biāo)直接或間接相連、且發(fā)生過(guò)歷史告警事件的第一內(nèi)網(wǎng)設(shè)備,查找與所述告警事件中源地址對(duì)應(yīng)的設(shè)備直接或間接連接且發(fā)生過(guò)歷史告警事件的第二內(nèi)網(wǎng)設(shè)備,將所述第一內(nèi)網(wǎng)設(shè)備以及所述第二內(nèi)網(wǎng)設(shè)備作為內(nèi)網(wǎng)薄弱設(shè)備;查找網(wǎng)絡(luò)中與所述攻擊目標(biāo)或所述告警事件中源地址對(duì)應(yīng)的設(shè)備直接或間接相連的外網(wǎng)設(shè)備,作為攻擊來(lái)源設(shè)備的步驟,包括:
步驟一、在所有的攻擊目標(biāo)中,查找與各個(gè)所述攻擊目標(biāo)直接連接的設(shè)備,同時(shí)查找所述告警事件中源地址所對(duì)應(yīng)的設(shè)備,將其中的內(nèi)網(wǎng)設(shè)備添加至列表A,將其中的外網(wǎng)設(shè)備作為攻擊來(lái)源設(shè)備添加至攻擊來(lái)源設(shè)備列表S;
步驟二、遍歷列表A,將列表A中有歷史告警事件發(fā)生的設(shè)備添加至列表B,將列表B中的設(shè)備作為內(nèi)網(wǎng)薄弱設(shè)備添加至內(nèi)部薄弱點(diǎn)設(shè)備列表L;
步驟三、遍歷列表B,查找與列表B中的設(shè)備直接連接的設(shè)備,同時(shí)查找列表B中設(shè)備發(fā)生的歷史告警事件中源地址對(duì)應(yīng)的設(shè)備,將其中的內(nèi)網(wǎng)設(shè)備添加至列表D,將其中的外網(wǎng)設(shè)備作為攻擊來(lái)源設(shè)備添加至攻擊來(lái)源設(shè)備列表S;
步驟四、遍歷列表D,將列表D中有歷史告警事件發(fā)生且告警類型相同設(shè)備組合添加至列表E,將列表E設(shè)備作為內(nèi)網(wǎng)薄弱設(shè)備添加到內(nèi)部薄弱點(diǎn)設(shè)備列表L中;
步驟五、對(duì)步驟三中的列表B以及步驟四中的列表D進(jìn)行遞歸運(yùn)算,直至所有的攻擊目標(biāo)均被查找完成,得到最終的內(nèi)部薄弱點(diǎn)設(shè)備列表L以及攻擊來(lái)源設(shè)備列表S。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述還原整個(gè)攻擊行為的攻擊路徑,包括:利用圖形化工具生成攻擊路徑還原的網(wǎng)絡(luò)拓?fù)渌菰磮D并輸出。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國(guó)移動(dòng)通信集團(tuán)廣東有限公司;中國(guó)移動(dòng)通信集團(tuán)公司,未經(jīng)中國(guó)移動(dòng)通信集團(tuán)廣東有限公司;中國(guó)移動(dòng)通信集團(tuán)公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710217802.1/1.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
- 上一篇:請(qǐng)求處理方法和裝置
- 下一篇:
- 同類專利
- 專利分類
