本發(fā)明提供了一種基于動(dòng)態(tài)關(guān)聯(lián)分析的網(wǎng)絡(luò)攻擊鏈識(shí)別方法和裝置，涉及網(wǎng)絡(luò)安全的技術(shù)領(lǐng)域，包括：從第一數(shù)據(jù)庫中獲取目標(biāo)數(shù)據(jù)，目標(biāo)數(shù)據(jù)為目標(biāo)數(shù)據(jù)流確定的，目標(biāo)數(shù)據(jù)包括：網(wǎng)絡(luò)攻擊設(shè)備的漏洞數(shù)據(jù)和攻擊設(shè)備的安全事件數(shù)據(jù)；基于目標(biāo)數(shù)據(jù)的屬性信息，確定各個(gè)目標(biāo)數(shù)據(jù)的動(dòng)態(tài)關(guān)聯(lián)信息，動(dòng)態(tài)關(guān)聯(lián)信息用于確定目標(biāo)數(shù)據(jù)所屬的攻擊階段；基于動(dòng)態(tài)關(guān)聯(lián)信息，將所述目標(biāo)數(shù)據(jù)作為目標(biāo)攻擊階段的攻擊數(shù)據(jù)添加至目標(biāo)網(wǎng)絡(luò)攻擊鏈，解決了現(xiàn)有技術(shù)中無法對(duì)漏洞數(shù)據(jù)和安全事件數(shù)據(jù)進(jìn)行分析，并基于漏洞數(shù)據(jù)和安全事件數(shù)據(jù)還原網(wǎng)絡(luò)攻擊鏈的技術(shù)問題。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其是涉及一種基于動(dòng)態(tài)關(guān)聯(lián)分析的網(wǎng)絡(luò)攻擊鏈識(shí)別方法和裝置。

背景技術(shù)

隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全事件種類和數(shù)量也急劇增長(zhǎng)，攻擊更具有多樣化，攻擊的真實(shí)目的也更加隱蔽。然而對(duì)網(wǎng)絡(luò)安全的防御也不能僅僅局限于單機(jī)防火墻，故而基于大數(shù)據(jù)云計(jì)算的云端海量數(shù)據(jù)存儲(chǔ)和動(dòng)態(tài)分析成了網(wǎng)絡(luò)安全保障的重要力量。

洛克希德馬丁對(duì)網(wǎng)絡(luò)攻擊提出并總結(jié)了7個(gè)重要階段，分別代表了目的性很強(qiáng)的網(wǎng)絡(luò)攻擊的7個(gè)階段：偵察，武器構(gòu)建，載荷投遞，突防利用，安裝植入，命令和控制(CC)、目標(biāo)達(dá)成，上述的網(wǎng)絡(luò)攻擊的7個(gè)階段組成了一個(gè)完整網(wǎng)絡(luò)攻擊鏈。但是如何將云端中存儲(chǔ)的數(shù)據(jù)還原為對(duì)應(yīng)的網(wǎng)絡(luò)攻擊鏈，則是現(xiàn)在急需解決的問題。

針對(duì)上述問題還未提出有效的解決方案。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的目的在于提供一種基于動(dòng)態(tài)關(guān)聯(lián)分析的網(wǎng)絡(luò)攻擊鏈識(shí)別方法和裝置，以緩解了現(xiàn)有技術(shù)中無法對(duì)漏洞數(shù)據(jù)和安全數(shù)據(jù)進(jìn)行分析，并得到網(wǎng)絡(luò)攻擊鏈的技術(shù)問題。

第一方面，本發(fā)明實(shí)施例提供了一種基于動(dòng)態(tài)關(guān)聯(lián)分析的網(wǎng)絡(luò)攻擊鏈識(shí)別方法，該方法包括：從第一數(shù)據(jù)庫中獲取目標(biāo)數(shù)據(jù)，所述目標(biāo)數(shù)據(jù)為基于目標(biāo)數(shù)據(jù)流確定的，所述目標(biāo)數(shù)據(jù)流為網(wǎng)絡(luò)攻擊設(shè)備對(duì)待攻擊設(shè)備進(jìn)行攻擊時(shí)發(fā)出的數(shù)據(jù)，所述目標(biāo)數(shù)據(jù)包括：待攻擊設(shè)備的漏洞數(shù)據(jù)和待攻擊設(shè)備的安全事件數(shù)據(jù)；基于所述目標(biāo)數(shù)據(jù)的屬性信息，確定各個(gè)所述目標(biāo)數(shù)據(jù)的動(dòng)態(tài)關(guān)聯(lián)信息，所述屬性信息包括：所述目標(biāo)數(shù)據(jù)的生成時(shí)間，發(fā)出所述目標(biāo)數(shù)據(jù)的設(shè)備的IP地址，所述動(dòng)態(tài)關(guān)聯(lián)信息用于確定所述目標(biāo)數(shù)據(jù)所屬的攻擊階段；基于所述動(dòng)態(tài)關(guān)聯(lián)信息，將所述目標(biāo)數(shù)據(jù)作為目標(biāo)攻擊階段的攻擊數(shù)據(jù)添加至目標(biāo)網(wǎng)絡(luò)攻擊鏈，所述目標(biāo)攻擊階段為所述目標(biāo)網(wǎng)絡(luò)攻擊鏈中未添加對(duì)應(yīng)攻擊數(shù)據(jù)的階段。

進(jìn)一步地，在從第一數(shù)據(jù)庫中讀取目標(biāo)數(shù)據(jù)之前，所述方法還包括獲取所述目標(biāo)數(shù)據(jù)流；對(duì)所述目標(biāo)數(shù)據(jù)流進(jìn)行處理，得到目標(biāo)數(shù)據(jù)；將所述目標(biāo)數(shù)據(jù)存儲(chǔ)在所述第一數(shù)據(jù)庫中。

進(jìn)一步地，對(duì)所述目標(biāo)數(shù)據(jù)流進(jìn)行處理，得到目標(biāo)數(shù)據(jù)包括：對(duì)所述目標(biāo)數(shù)據(jù)流進(jìn)行數(shù)據(jù)流轉(zhuǎn)換處理，得到中間數(shù)據(jù)；對(duì)所述中間數(shù)據(jù)進(jìn)行格式轉(zhuǎn)換和數(shù)據(jù)清洗，得到所述目標(biāo)數(shù)據(jù)。

進(jìn)一步地，從第一數(shù)據(jù)庫中獲取目標(biāo)數(shù)據(jù)包括：按照預(yù)設(shè)周期獲取所述預(yù)設(shè)周期內(nèi)所述第一數(shù)據(jù)庫中的新增數(shù)據(jù)，并將所述新增數(shù)據(jù)作為所述目標(biāo)數(shù)據(jù)。

進(jìn)一步地，從第一數(shù)據(jù)庫中獲取目標(biāo)數(shù)據(jù)包括：獲取目標(biāo)用戶發(fā)送的請(qǐng)求信息，基于所述請(qǐng)求信息從所述第一數(shù)據(jù)庫獲取與所述請(qǐng)求信息相對(duì)應(yīng)的數(shù)據(jù)，并將所述相對(duì)應(yīng)的數(shù)據(jù)作為所述目標(biāo)數(shù)據(jù)。

進(jìn)一步地，所述方法還包括：獲取第二數(shù)據(jù)庫中存儲(chǔ)的完整網(wǎng)絡(luò)攻擊鏈，并對(duì)所述完整網(wǎng)絡(luò)攻擊鏈進(jìn)行展示，其中，所述完整網(wǎng)絡(luò)攻擊鏈包括以下攻擊階段的攻擊數(shù)據(jù)：偵查階段，武器構(gòu)建階段，載荷投遞階段，突防利用階段，安裝植入階段，命令控制階段，目標(biāo)達(dá)成階段。

進(jìn)一步地，所述方法還包括：判斷所述完整網(wǎng)絡(luò)攻擊鏈的安全等級(jí)，其中，所述安全等級(jí)包括：第一等級(jí)和第二等級(jí)，所述第一等級(jí)表示所述完整網(wǎng)絡(luò)攻擊鏈為安全網(wǎng)絡(luò)攻擊鏈，所述第二等級(jí)表示所述完整網(wǎng)絡(luò)攻擊鏈為危險(xiǎn)網(wǎng)絡(luò)攻擊鏈；如果判斷結(jié)果為所述完整網(wǎng)絡(luò)攻擊鏈的安全等級(jí)為所述第二等級(jí)，則向所述完整網(wǎng)絡(luò)攻擊鏈對(duì)應(yīng)的終端設(shè)備發(fā)送告警信息。