本發明公開了一種攻擊鏈拓撲的構建方法及裝置，其中，所述攻擊鏈拓撲的構建方法包括：獲取網絡攻擊告警信息，所述告警信息包括第一告警標識；發送第一告警日志請求，所述第一告警日志請求包括所述第一告警標識；獲取第一告警日志，所述第一告警日志包括所述第一告警標識、第一源IP、第一目標IP、第一觸發告警條件、第一觸發告警時間；根據所述第一告警日志，構建所述攻擊鏈拓撲。本發明通過采用上述方法建立攻擊鏈拓撲，從而可以直觀地了解此次安全事件的整個過程，提高對攻擊流程的直觀感受，適用新常態下威脅感知變化。

技術領域

本發明涉及網絡安全領域，具體而言，涉及一種攻擊鏈拓撲的構建方法及裝置。

背景技術

網絡攻擊對網絡和信息系統的危害非常大，有必要對網絡攻擊的過程等進行研究，并建模和分析，然后進行針對性防御。網絡攻擊通常有多個階段，攻擊者逐階段地獲得了更多的特權、信息和資源，以在目標系統內更深入地滲透。

網絡攻擊鏈提供了一個描述網絡攻擊的模型，將復雜的攻擊分解為相互非獨有的階段或層。

現有技術中，通過人工分析某次網絡攻擊的攻擊日志來獲取網絡攻擊信息，并通過人工分析可能的攻擊類型及攻擊階段，進而探索消除網絡威脅的途徑。人工方式有很多弊端，如：僅能獲取某次攻擊的數據，無法獲得整個攻擊面的數據；無法評估同類資產可能遭受的攻擊風險；攻擊階段的劃分缺乏統一標準，消除威脅的方法無法推廣使用；等等。

針對上述問題，亟需提供一種基于大數據分析的統一化的攻擊鏈拓撲的構建方法及裝置。

發明內容

本發明實施例提供了一種攻擊鏈拓撲的構建方法及裝置，以至少解決現有技術主要依靠人工分析、無法獲取整個攻擊面的數據、無法評估同類資產可能遭受的攻擊風險、攻擊階段的劃分缺乏統一性等技術問題。

根據本發明實施例的一個方面，提供了一種攻擊鏈拓撲的構建方法，包括：獲取網絡攻擊告警信息，所述告警信息包括第一告警標識；發送第一告警日志請求，所述第一告警日志請求包括所述第一告警標識；獲取第一告警日志，所述第一告警日志包括所述第一告警標識、第一源IP、第一目標IP、第一觸發告警條件、第一觸發告警時間；根據所述第一告警日志，構建所述攻擊鏈拓撲。在獲取網絡攻擊告警信息后，可通過調取告警日志快速了解整個安全事件的具體情況。

可選地，所述攻擊鏈拓撲的構建方法還包括：發送第一資產信息請求，所述第一資產信息請求包括所述第一目標IP；獲取第一資產信息，所述第一資產信息包括所述第一目標IP、第一資產標識、第一敏感數據、第一登錄賬號及其授權狀況；根據所述第一資產信息，完善所述攻擊鏈拓撲。通過目標IP獲取資產信息，完善攻擊鏈拓撲，從而有助于將資產信息與攻擊信息進行結合分析，進而及時獲知資產風險，以及早進行安全威脅排查或消除安全威脅。

可選地，所述攻擊鏈拓撲的構建方法還包括：發送關聯通信信息請求，所述關聯通信信息請求包括所述第一源IP；獲取關聯通信信息，所述關聯通信信息包括所述第一源IP、與所述第一源IP通信的關聯IP、所述關聯IP的第二告警標識。通過第一源IP獲取與其通信的關聯IP，分析第一源IP可能攻擊或曾經攻擊的IP信息，進而對該攻擊的攻擊對象有個整體認識，從而全面了解攻擊性質。

可選地，所述攻擊鏈拓撲的構建方法還包括：發送第二告警日志請求，所述第二告警日志請求包括所述第二告警標識；獲取第二告警日志，所述第二告警日志包括所述第二告警標識、所述關聯IP、第二源IP、第二觸發告警條件、第二觸發告警時間；根據所述第二告警日志，完善所述攻擊鏈拓撲。通過獲取關聯IP的告警日志，層層解析，完善攻擊鏈拓撲，從而了解整個攻擊及安全事件，同時可通過層層下鉆，了解關聯IP所可能遭受或曾經遭受的其他攻擊，從而獲得一個網狀攻擊鏈拓撲。