[發明專利]網絡攻擊事件溯源處理方法、裝置、設備和存儲介質有效
| 申請號: | 202011082874.8 | 申請日: | 2020-10-12 |
| 公開(公告)號: | CN111935192B | 公開(公告)日: | 2021-03-23 |
| 發明(設計)人: | 張嬋娟;廖湘平;鄧永;董文輝;楊耀榮 | 申請(專利權)人: | 騰訊科技(深圳)有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 廣州華進聯合專利商標代理有限公司 44224 | 代理人: | 黃晶晶 |
| 地址: | 518000 廣東省深圳*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 網絡 攻擊 事件 溯源 處理 方法 裝置 設備 存儲 介質 | ||
1.一種網絡攻擊事件溯源處理方法,其特征在于,所述方法包括:
獲取待溯源的網絡攻擊事件相關的網絡攻擊線索;
基于所述網絡攻擊線索在網絡威脅關聯模型中對應的威脅要素,構建情報挖掘的根節點;從所述根節點開始,逐層基于當前層中的節點在所述網絡威脅關聯模型中對應的威脅要素,按照時間維度、空間維度和畫像維度,在所述網絡威脅關聯模型中查找所關聯的威脅要素,并基于查找到的威脅要素構建當前層中的節點的子節點,直至構建得到威脅情報樹;將所述威脅情報樹中作為子孫節點的威脅要素確定為所述網絡攻擊事件相關的威脅情報;所述威脅情報在所述網絡威脅關聯模型中對應的威脅要素,與所述網絡攻擊線索對應的威脅要素具有關聯關系;
將所述網絡攻擊線索和所述威脅情報作為所述網絡攻擊事件對應的各攻擊行為要素,構建包含各所述攻擊行為要素之間的關聯關系的溯源分析模型;
根據所述溯源分析模型中目標攻擊行為要素之間的關聯關系確定溯源路徑,基于所述溯源路徑對所述網絡攻擊事件進行溯源,得到所述網絡攻擊事件的追蹤溯源結果。
2.根據權利要求1所述的方法,其特征在于,所述獲取待溯源的網絡攻擊事件相關的網絡攻擊線索,包括:
獲取網絡設備工作時所產生的網絡通信相關數據;
基于預設的攻擊指標對所述網絡通信相關數據進行攻擊檢測,確定與網絡攻擊事件相關的攻擊方;
根據所述網絡通信相關數據中與所述攻擊方相關的數據確定待溯源的網絡攻擊事件的網絡攻擊線索。
3.根據權利要求2所述的方法,其特征在于,所述根據所述網絡通信相關數據中與所述攻擊方相關的數據確定待溯源的網絡攻擊事件的網絡攻擊線索,包括:
通過威脅情報知識庫和開源威脅情報對所述網絡通信相關數據中與所述攻擊源相關的數據進行戰術情報分析,得到所述待溯源的網絡攻擊事件相關的戰術情報信息;
將所述戰術情報信息確定為所述待溯源的網絡攻擊事件的網絡攻擊線索。
4.根據權利要求1所述的方法,其特征在于,所述方法還包括:
從開源情報中獲取威脅情報數據;
對獲取的威脅情報數據從時間維度、空間維度和畫像維度進行綜合分析,確定所述威脅情報數據中威脅要素之間的關聯關系;
根據所述威脅情報數據中威脅要素之間的關聯關系構建網絡威脅關聯模型。
5.根據權利要求1所述的方法,其特征在于,所述威脅要素包括特征庫中的攻擊特征,黑/白名單中的病毒樣本、惡意域名、惡意域名whois信息、惡意IP地址、惡意URL信息。
6.根據權利要求1所述的方法,其特征在于,所述網絡威脅關聯模型中的威脅要素包括時間威脅要素、空間威脅要素和畫像威脅要素。
7.根據權利要求1所述的方法,其特征在于,所述方法還包括:
確定與所述網絡攻擊線索的價值度匹配的挖掘層級上限;
按照所述挖掘層級上限對所述溯源分析模型的攻擊行為要素進行收斂操作,得到收斂后的溯源分析模型;所述收斂后的溯源分析模型中的攻擊行為要素在所述威脅情報樹中對應的節點層級不大于所述挖掘層級上限;
所述根據所述溯源分析模型中目標攻擊行為要素之間的關聯關系確定溯源路徑,基于所述溯源路徑對所述網絡攻擊事件進行溯源,得到所述網絡攻擊事件的追蹤溯源結果,包括:
根據所述收斂后的溯源分析模型中目標攻擊行為要素之間的關聯關系確定溯源路徑,基于所述溯源路徑對所述網絡攻擊事件進行溯源,得到所述網絡攻擊事件的追蹤溯源結果。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于騰訊科技(深圳)有限公司,未經騰訊科技(深圳)有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011082874.8/1.html,轉載請聲明來源鉆瓜專利網。
