本發明公開了一種溯源分析方法，涉及網絡安全技術領域，該方法包括以下步驟：獲取依次執行的偵查、入侵、控制和執行階段數據，根據階段數據的選中狀態和地址信息，得到每個階段數據的階段評分；根據階段數據的地址信息，得到階段數據的漏洞評分和病毒評分；根據階段評分、漏洞評分和病毒評分，得到階段數據的可信度評分，根據可信度評分確定階段數據的處理順序。該方法能夠獲取階段評分、漏洞評分和病毒評分等有用攻擊信息，將可信度評分作為安全產品發生告警時，攻擊階段數據處理優先級的依據，以提高產品的整體安全。本發明還公開了一種溯源分析裝置、電子設備和計算機存儲介質。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種溯源分析方法、裝置、電子設備及存儲介質。

背景技術

伴隨著互聯網和移動互聯網在各個行業、各個領域的廣泛應用，各種網絡攻擊事件頻繁爆發，網絡安全問題日益嚴重，而伴隨著各種網絡攻擊技術、計算機隱匿技術，特別是隨著大數據時代的來臨，網絡攻擊的規模、范圍和攻擊深度不斷提升，傳統方法和技術手段對于網絡攻擊的溯源分析越來越難達到預期的效果。

目前對攻擊事件的溯源分析，主要通過安全產品產生告警，由安全工程師查看告警、處理事件，雖然可以分析某一個攻擊點或者某一次漏洞利用，但無法關聯攻擊者在當前告警前后的攻擊信息，并且因為告警數量眾多、紛繁復雜，導致有用的攻擊信息隱蔽在海量的告警事件中，不能為用戶提供處理攻擊的依據。

發明內容

為了克服現有技術的不足，本發明的目的之一在于提供一種溯源分析方法，其通過對依次執行的四個階段數據進行溯源分析，根據選中狀態和地址信息得到階段數據的階段評分、漏洞評分和病毒評分，進而得到可信度評分，為階段數據處理順序的確定提供依據。

本發明的目的之一采用以下技術方案實現：

獲取階段數據，根據所述階段數據的選中狀態和地址信息，得到每個階段數據的階段評分，所述階段數據包括依次執行的偵查數據、入侵數據、控制數據和執行數據；

根據所述階段數據的地址信息，得到所述階段數據的漏洞評分和病毒評分；

根據所述階段評分、所述漏洞評分和所述病毒評分，得到所述階段數據的可信度評分，根據所述可信度評分確定所述階段數據的處理順序；

其中，根據所述階段數據的選中狀態和地址信息，得到每個階段數據的階段評分，包括：分別判斷當前階段數據和若干個相鄰階段數據的選中狀態；當當前階段數據的選中狀態為已選中時，獲得當前選中評分；當相鄰階段數據的選中狀態為已選中時，獲得相鄰選中評分，并對當前階段數據與相鄰階段數據的地址信息進行地址匹配判斷，得到地址評分；根據所述當前選中評分、所述相鄰選中評分和所述地址評分，得到所述當前階段數據的階段評分；

其中，所述地址信息包括源IP和目標IP，對當前階段數據與相鄰階段數據的地址信息進行地址匹配判斷，得到地址評分，包括：當當前階段數據的源IP和目標IP分別匹配相鄰階段數據的源IP或目標IP時，獲得所述地址評分。

進一步地，根據所述階段數據的地址信息，得到所述階段數據的漏洞評分，包括：

判斷入侵數據的選中狀態；

當所述入侵數據的選中狀態為已選中時，對入侵數據的地址信息進行漏洞檢測和端口匹配判斷，得到所述入侵數據的漏洞評分。

進一步地，對入侵數據的地址信息進行漏洞檢測和端口匹配判斷，得到所述入侵數據的漏洞評分，其中，對所述地址信息中的目標IP進行漏洞檢測和端口匹配判斷，包括：

對所述目標IP進行漏洞檢測，當檢測到所述目標IP存在漏洞時，獲得第一漏洞評分，并對所述目標IP進行高危檢測；

當檢測到所述目標IP存在高危漏洞時，獲得第二漏洞評分，并對所述目標IP的漏洞端口與目標端口進行端口匹配判斷；