[發(fā)明專(zhuān)利]攻擊事件溯源分析方法、系統(tǒng)、用戶(hù)設(shè)備及存儲(chǔ)介質(zhì)有效

申請(qǐng)?zhí)枺?/td>	201811315599.2	申請(qǐng)日：	2018-11-06
公開(kāi)（公告）號(hào)：	CN109067815B	公開(kāi)（公告）日：	2021-11-19
發(fā)明（設(shè)計(jì)）人：	李小剛	申請(qǐng)（專(zhuān)利權(quán)）人：	深信服科技股份有限公司
主分類(lèi)號(hào)：	H04L29/06	分類(lèi)號(hào)：	H04L29/06
代理公司：	深圳市世紀(jì)恒程知識(shí)產(chǎn)權(quán)代理事務(wù)所 44287	代理人：	胡海國(guó)
地址：	518000 廣東省深圳市南***	國(guó)省代碼：	廣東;44
權(quán)利要求書(shū)：	查看更多	說(shuō)明書(shū)：	查看更多
摘要：
搜索關(guān)鍵詞：	攻擊事件溯源分析方法系統(tǒng) 用戶(hù) 設(shè)備存儲(chǔ) 介質(zhì)
鉆瓜網(wǎng) 技術(shù)展會(huì) 專(zhuān)利詞庫(kù) 專(zhuān)利權(quán)人專(zhuān)利榜在售專(zhuān)利公布日期熱門(mén)專(zhuān)利

【權(quán)利要求書(shū)】：

1.一種攻擊事件溯源分析方法，其特征在于，所述攻擊事件溯源分析方法包括以下步驟：

用戶(hù)設(shè)備在檢測(cè)到攻擊事件時(shí)，獲取各監(jiān)測(cè)點(diǎn)的探針數(shù)據(jù)；

根據(jù)所述探針數(shù)據(jù)建立各監(jiān)測(cè)點(diǎn)之間的關(guān)聯(lián)關(guān)系；

對(duì)所述探針數(shù)據(jù)進(jìn)行威脅檢測(cè)；

在檢測(cè)到威脅時(shí)，將所述探針數(shù)據(jù)對(duì)應(yīng)的監(jiān)測(cè)點(diǎn)作為攻擊目標(biāo)；

所述對(duì)所述探針數(shù)據(jù)進(jìn)行威脅檢測(cè)之后，所述方法還包括：

在未檢測(cè)到威脅時(shí)，根據(jù)預(yù)設(shè)攻擊關(guān)鍵點(diǎn)規(guī)則進(jìn)行觸發(fā)檢測(cè)；

在觸發(fā)檢測(cè)結(jié)果為具有未知威脅時(shí)，對(duì)所述探針數(shù)據(jù)進(jìn)行云檢測(cè)；

在云檢測(cè)結(jié)果為具有云端已知威脅時(shí)，將所述探針數(shù)據(jù)對(duì)應(yīng)的監(jiān)測(cè)點(diǎn)作為攻擊目標(biāo)；

根據(jù)所述攻擊目標(biāo)及所述關(guān)聯(lián)關(guān)系進(jìn)行溯源，獲得攻擊鏈；

將所述攻擊鏈作為所述攻擊事件的溯源結(jié)果。

2.如權(quán)利要求1所述的攻擊事件溯源分析方法，其特征在于，所述根據(jù)所述攻擊目標(biāo)及所述關(guān)聯(lián)關(guān)系進(jìn)行溯源，獲得攻擊鏈，具體包括：

根據(jù)所述關(guān)聯(lián)關(guān)系對(duì)所述攻擊目標(biāo)進(jìn)行溯源，獲得攻擊源；

根據(jù)所述攻擊源、所述攻擊目標(biāo)及所述關(guān)聯(lián)關(guān)系生成攻擊鏈。

3.如權(quán)利要求2所述的攻擊事件溯源分析方法，其特征在于，所述根據(jù)所述關(guān)聯(lián)關(guān)系對(duì)所述攻擊目標(biāo)進(jìn)行溯源，獲得攻擊源，具體包括：

獲取用戶(hù)輸入的溯源時(shí)間；

根據(jù)所述關(guān)聯(lián)關(guān)系及所述溯源時(shí)間對(duì)所述攻擊目標(biāo)進(jìn)行溯源，獲得攻擊源。

4.如權(quán)利要求1所述的攻擊事件溯源分析方法，其特征在于，所述對(duì)所述探針數(shù)據(jù)進(jìn)行威脅檢測(cè)，具體包括：

根據(jù)入侵指標(biāo)特征檢測(cè)模型、高頻威脅檢測(cè)模型、基線(xiàn)檢測(cè)模型以及機(jī)器學(xué)習(xí)檢測(cè)模型對(duì)所述探針數(shù)據(jù)進(jìn)行威脅檢測(cè)。

5.如權(quán)利要求1所述的攻擊事件溯源分析方法，其特征在于，所述云檢測(cè)包括IP信譽(yù)檢測(cè)、DNS檢測(cè)、URL檢測(cè)、多引擎檢測(cè)、沙箱檢測(cè)、黑盒檢測(cè)以及白盒檢測(cè)中的至少一種。

6.如權(quán)利要求5所述的攻擊事件溯源分析方法，其特征在于，所述在觸發(fā)檢測(cè)結(jié)果為具有未知威脅時(shí)，對(duì)所述探針數(shù)據(jù)進(jìn)行云檢測(cè)之后，所述方法還包括：

在云檢測(cè)結(jié)果為沒(méi)有云端已知威脅時(shí)，根據(jù)所述探針數(shù)據(jù)及所述關(guān)聯(lián)關(guān)系生成關(guān)聯(lián)視圖；

將所述關(guān)聯(lián)視圖作為所述攻擊事件的溯源結(jié)果。

7.一種攻擊事件溯源分析系統(tǒng)，其特征在于，所述攻擊事件溯源分析系統(tǒng)包括：

數(shù)據(jù)獲取模塊，用于在檢測(cè)到攻擊事件時(shí)，獲取各監(jiān)測(cè)點(diǎn)的探針數(shù)據(jù)；

關(guān)系確定模塊，用于根據(jù)所述探針數(shù)據(jù)建立各監(jiān)測(cè)點(diǎn)的關(guān)聯(lián)關(guān)系；

數(shù)據(jù)檢測(cè)模塊，用于對(duì)所述探針數(shù)據(jù)進(jìn)行威脅檢測(cè)；

目標(biāo)確定模塊，用于在檢測(cè)到威脅時(shí)，將所述探針數(shù)據(jù)對(duì)應(yīng)的監(jiān)測(cè)點(diǎn)作為攻擊目標(biāo)；

威脅溯源模塊，用于根據(jù)所述攻擊目標(biāo)及所述關(guān)聯(lián)關(guān)系進(jìn)行溯源，獲得攻擊鏈；

結(jié)果可視化模塊，用于將所述攻擊鏈作為所述攻擊事件的溯源結(jié)果；

其中，所述攻擊事件溯源分析系統(tǒng)還包括：所述數(shù)據(jù)檢測(cè)模塊，用于對(duì)所述探針數(shù)據(jù)進(jìn)行威脅檢測(cè)之后，在未檢測(cè)到威脅時(shí)，根據(jù)預(yù)設(shè)攻擊關(guān)鍵點(diǎn)規(guī)則進(jìn)行觸發(fā)檢測(cè)；在觸發(fā)檢測(cè)結(jié)果為具有未知威脅時(shí)，對(duì)所述探針數(shù)據(jù)進(jìn)行云檢測(cè)；在云檢測(cè)結(jié)果為具有云端已知威脅時(shí)，將所述探針數(shù)據(jù)對(duì)應(yīng)的監(jiān)測(cè)點(diǎn)作為攻擊目標(biāo)；根據(jù)所述攻擊目標(biāo)及所述關(guān)聯(lián)關(guān)系進(jìn)行溯源，獲得攻擊鏈；將所述攻擊鏈作為所述攻擊事件的溯源結(jié)果。

8.一種用戶(hù)設(shè)備，其特征在于，所述用戶(hù)設(shè)備包括：存儲(chǔ)器、處理器及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的攻擊事件溯源分析程序，所述攻擊事件溯源分析程序配置為實(shí)現(xiàn)如權(quán)利要求1至6中任一項(xiàng)所述的攻擊事件溯源分析方法的步驟。

9.一種存儲(chǔ)介質(zhì)，其特征在于，所述存儲(chǔ)介質(zhì)上存儲(chǔ)有攻擊事件溯源分析程序，所述攻擊事件溯源分析程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至6中任一項(xiàng)所述的攻擊事件溯源分析方法的步驟。

下載完整專(zhuān)利技術(shù)內(nèi)容需要扣除積分，VIP會(huì)員可以免費(fèi)下載。

免登錄下載普通用戶(hù)下載升級(jí)VIP會(huì)員，免費(fèi)下載

該專(zhuān)利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息，商用須獲得專(zhuān)利權(quán)人授權(quán)。該專(zhuān)利全部權(quán)利屬于深信服科技股份有限公司，未經(jīng)深信服科技股份有限公司許可，擅自商用是侵權(quán)行為。如果您想購(gòu)買(mǎi)此專(zhuān)利、獲得商業(yè)授權(quán)和技術(shù)合作，請(qǐng)聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/201811315599.2/1.html，轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專(zhuān)利網(wǎng)。