本發(fā)明公開(kāi)了一種攻擊事件溯源分析方法、系統(tǒng)、用戶設(shè)備及存儲(chǔ)介質(zhì)，本發(fā)明通過(guò)在檢測(cè)到攻擊事件時(shí)，獲取各監(jiān)測(cè)點(diǎn)的探針數(shù)據(jù)；根據(jù)所述探針數(shù)據(jù)建立各監(jiān)測(cè)點(diǎn)之間的關(guān)聯(lián)關(guān)系；對(duì)所述探針數(shù)據(jù)進(jìn)行威脅檢測(cè)；在檢測(cè)到威脅時(shí)，將所述探針數(shù)據(jù)對(duì)應(yīng)的監(jiān)測(cè)點(diǎn)作為攻擊目標(biāo)；根據(jù)所述攻擊目標(biāo)及所述關(guān)聯(lián)關(guān)系進(jìn)行溯源，獲得攻擊鏈；將所述攻擊鏈作為所述攻擊事件的溯源結(jié)果，實(shí)現(xiàn)了當(dāng)攻擊事件發(fā)生時(shí)對(duì)數(shù)據(jù)進(jìn)行多維度威脅檢測(cè)及溯源，還原攻擊的相關(guān)過(guò)程，最終形成攻擊鏈條視圖，為后續(xù)威脅應(yīng)對(duì)及修復(fù)提供依據(jù)，加強(qiáng)了威脅抵御能力，有效降低被攻擊者的損失。

技術(shù)領(lǐng)域

本發(fā)明涉及終端安全領(lǐng)域，尤其涉及一種攻擊事件溯源分析方法、系統(tǒng)、用戶設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)

目前隨著攻擊手段多樣化，攻擊團(tuán)隊(duì)專業(yè)化、組織化，攻防不對(duì)等加劇。盡管隨著人們網(wǎng)絡(luò)安全意識(shí)的提高，用戶設(shè)備中經(jīng)常會(huì)用到多個(gè)安全產(chǎn)品，例如防火墻，郵件網(wǎng)關(guān)，殺毒軟件，堡壘主機(jī)，VPN等等，但還是難以有效應(yīng)對(duì)日益嚴(yán)峻的威脅形勢(shì)。

傳統(tǒng)安全產(chǎn)品單點(diǎn)防御，側(cè)重于某一個(gè)主題，某一個(gè)方向，安全產(chǎn)品之間無(wú)法共享安全數(shù)據(jù)及規(guī)則，沒(méi)有形成一個(gè)安全閉環(huán)。當(dāng)發(fā)生攻擊威脅時(shí)，每個(gè)安全產(chǎn)品只會(huì)上報(bào)各自的問(wèn)題，并沒(méi)有形成完整的攻擊鏈，用戶不清楚整體威脅是如何發(fā)生的，不能從根本上斬?cái)喙翩湥矡o(wú)法從整個(gè)攻擊鏈上進(jìn)行全面防御，導(dǎo)致威脅發(fā)現(xiàn)能力不足。同時(shí)傳統(tǒng)安全產(chǎn)品普遍缺乏對(duì)黑客攻擊過(guò)程進(jìn)行監(jiān)控的能力，黑客怎么攻進(jìn)來(lái)的，黑客帶走了什么都無(wú)法監(jiān)測(cè)，也就無(wú)法精準(zhǔn)地去做防護(hù)。

上述內(nèi)容僅用于輔助理解本發(fā)明的技術(shù)方案，并不代表承認(rèn)上述內(nèi)容是現(xiàn)有技術(shù)。

發(fā)明內(nèi)容

本發(fā)明的主要目的在于提供一種攻擊事件溯源分析方法、系統(tǒng)、用戶設(shè)備及存儲(chǔ)介質(zhì)，旨在解決現(xiàn)有技術(shù)中多種安全產(chǎn)品不能形成一個(gè)安全閉環(huán)，當(dāng)發(fā)生攻擊事件時(shí)無(wú)法找到威脅根源的技術(shù)問(wèn)題。

為實(shí)現(xiàn)上述目的，本發(fā)明提供一種攻擊事件溯源分析方法，所述方法包括以下步驟：

在檢測(cè)到攻擊事件時(shí)，獲取各監(jiān)測(cè)點(diǎn)的探針數(shù)據(jù)；

根據(jù)所述探針數(shù)據(jù)建立各監(jiān)測(cè)點(diǎn)之間的關(guān)聯(lián)關(guān)系；

對(duì)所述探針數(shù)據(jù)進(jìn)行威脅檢測(cè)；

在檢測(cè)到威脅時(shí)，將所述探針數(shù)據(jù)對(duì)應(yīng)的監(jiān)測(cè)點(diǎn)作為攻擊目標(biāo)；

根據(jù)所述攻擊目標(biāo)及所述關(guān)聯(lián)關(guān)系進(jìn)行溯源，獲得攻擊鏈；

將所述攻擊鏈作為所述攻擊事件的溯源結(jié)果。

優(yōu)選地，所述根據(jù)所述攻擊目標(biāo)及所述關(guān)聯(lián)關(guān)系進(jìn)行溯源，獲得攻擊鏈，具體包括：

根據(jù)所述關(guān)聯(lián)關(guān)系對(duì)所述攻擊目標(biāo)進(jìn)行溯源，獲得攻擊源；

根據(jù)所述攻擊源、所述攻擊目標(biāo)及所述關(guān)聯(lián)關(guān)系生成攻擊鏈。

優(yōu)選地，所述根據(jù)所述關(guān)聯(lián)關(guān)系對(duì)所述攻擊目標(biāo)進(jìn)行溯源，獲得攻擊源，具體包括：

獲取用戶輸入的溯源時(shí)間；

根據(jù)所述關(guān)聯(lián)關(guān)系及所述溯源時(shí)間對(duì)所述攻擊目標(biāo)進(jìn)行溯源，獲得攻擊源。

優(yōu)選地，所述對(duì)所述探針數(shù)據(jù)進(jìn)行威脅檢測(cè)，具體包括：

根據(jù)入侵指標(biāo)特征檢測(cè)模型、高頻威脅檢測(cè)模型、基線檢測(cè)模型以及機(jī)器學(xué)習(xí)檢測(cè)模型對(duì)所述探針數(shù)據(jù)進(jìn)行威脅檢測(cè)。

優(yōu)選地，所述對(duì)所述探針數(shù)據(jù)進(jìn)行威脅檢測(cè)之后，所述方法還包括：

在未檢測(cè)到威脅時(shí)，根據(jù)預(yù)設(shè)攻擊關(guān)鍵點(diǎn)規(guī)則進(jìn)行觸發(fā)檢測(cè)；

在觸發(fā)檢測(cè)結(jié)果為具有未知威脅時(shí)，對(duì)所述探針數(shù)據(jù)進(jìn)行云檢測(cè)；

在云檢測(cè)結(jié)果為具有云端已知威脅時(shí)，將所述探針數(shù)據(jù)對(duì)應(yīng)的監(jiān)測(cè)點(diǎn)作為攻擊目標(biāo)；