一种攻击行为确定方法、装置及态势感知系统与流程

技术特征：

1.一种攻击行为确定方法，其特征在于，所述方法包括：

根据目标访问行为的访问路径节点以及所述目标访问行为在所述访问路径节点的访问触发时刻，确定所述目标访问行为的访问路径时间轴；

判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中，所述攻击路径时间轴为：根据攻击行为的攻击路径节点以及所述攻击行为在所述攻击路径节点的攻击触发时刻确定的；

如果是，将所述目标访问行为确定为第一攻击行为。

2.根据权利要求1所述的方法，其特征在于，所述目标访问行为存在于业务系统中。

3.根据权利要求1所述的方法，其特征在于，所述预设的攻击路径信息库按照以下方式生成：

获取预设的蜜罐系统中的蜜罐日志；

确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴；

根据所确定的攻击路径时间轴，生成所述预设的攻击路径信息库。

4.根据权利要求3所述的方法，其特征在于，所述蜜罐系统为：根据所述业务系统中的服务搭建的。

5.根据权利要求3所述的方法，其特征在于，所述确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴，包括：

根据预设的攻击行为特征，确定所述蜜罐日志所对应的第二攻击行为；

根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。

6.根据权利要求5所述的方法，其特征在于，所述根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴，包括：

根据所述蜜罐系统中的流量，确定所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻；

根据所述目标攻击路径节点以及所述目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。

7.根据权利要求3-6中任一项所述的方法，其特征在于，所述蜜罐日志为：

通过应用层替换bash记录的bash操作日志；和/或

通过内核模块补丁记录的键盘操作日志。

8.一种攻击行为确定装置，其特征在于，所述装置包括：

第一确定模块，用于根据目标访问行为的访问路径节点以及所述目标访问行为在所述访问路径节点的访问触发时刻，确定所述目标访问行为的访问路径时间轴；

判断模块，用于判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中，所述攻击路径时间轴为：根据攻击行为的攻击路径节点以及所述攻击行为在所述攻击路径节点的攻击触发时刻确定的；

第二确定模块，用于在所述判断模块判断出所述访问路径时间轴与预设的攻击路径信息库中记录的攻击路径时间轴匹配时，将所述目标访问行为确定为第一攻击行为。

9.根据权利要求8所述的装置，其特征在于，所述目标访问行为存在于业务系统中。

10.根据权利要求8所述的装置，其特征在于，所述装置还包括：

生成模块，用于生成所述预设的攻击路径信息库；

其中，所述生成模块，包括：

获取子模块，用于获取预设的蜜罐系统中的蜜罐日志；

确定子模块，用于确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴；

生成子模块，用于根据所确定的攻击路径时间轴，生成所述预设的攻击路径信息库。

11.根据权利要求10所述的装置，其特征在于，所述蜜罐系统为：根据所述业务系统中的服务搭建的。

12.根据权利要求10所述的装置，其特征在于，所述确定子模块，包括：

第一确定单元，用于根据预设的攻击行为特征，确定所述蜜罐日志所对应的第二攻击行为；

第二确定单元，用于根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。

13.根据权利要求12所述的装置，其特征在于，所述第二确定单元，包括：

第一确定子单元，用于根据所述蜜罐系统中的流量，确定所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻；

第二确定子单元，用于根据所述目标攻击路径节点以及所述目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。

14.根据权利要求10-13任一项所述的装置，其特征在于，所述蜜罐日志为：

通过应用层替换bash记录的bash操作日志；和/或

通过内核模块补丁记录的键盘操作日志。

15.一种态势感知系统，其特征在于，所述系统包括：态势感知分析平台、业务系统、蜜罐系统，其中：

所述业务系统，用于向所述态势感知分析平台反馈自身的目标访问行为；

所述态势感知分析平台，用于接收所述业务系统反馈的目标访问行为；根据所述目标访问行为的访问路径节点以及所述目标访问行为在所述访问路径节点的访问触发时刻，确定所述目标访问行为的访问路径时间轴；判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配，其中，所述攻击路径时间轴为：根据攻击行为的攻击路径节点以及所述攻击行为在所述攻击路径节点的攻击触发时刻确定的；如果是，将所述目标访问行为确定为第一攻击行为；

所述蜜罐系统，用于向所述态势感知分析平台反馈自身的蜜罐日志；

所述态势感知分析平台，还用于接收所述蜜罐系统反馈的蜜罐日志；确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴；根据所确定的攻击路径时间轴，生成所述预设的攻击路径信息库。

16.根据权利要求15所述的系统，其特征在于，所述蜜罐系统为：根据所述业务系统中的服务搭建的。

17.根据权利要求15所述的系统，其特征在于，

所述态势感知分析平台，具体用于根据预设的攻击行为特征，确定所述蜜罐日志所对应的第二攻击行为；根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标访问触发时刻，确定所述第二攻击行为的攻击路径时间轴。

18.根据权利要求17所述的系统，其特征在于，

所述态势感知分析平台，具体用于根据所述蜜罐系统中的流量，确定所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻；根据所述目标攻击路径节点以及所述目标攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。

19.根据权利要求15-18任一项所述的系统，其特征在于，所述蜜罐日志为：

通过应用层替换bash记录的bash操作日志；和/或

通过内核模块补丁记录的键盘操作日志。

20.根据权利要求15所述的系统，其特征在于，所述蜜罐系统包括：

蜜罐控制服务器、日志服务器蜜罐、应用数据库蜜罐、应用服务器蜜罐；

其中，所述应用数据库蜜罐，用于提供数据库服务，生成针对数据库服务的日志，并向所述日志服务器蜜罐发送所生成的日志；

所述应用服务器蜜罐，用于提供应用服务，生成针对应用服务的日志，并向所述日志服务器蜜罐发送所生成的日志；

所述日志服务器蜜罐，用于接收并存储所述应用数据库蜜罐和所述应用服务器蜜罐发送的日志；

所述蜜罐控制服务器，用于获取所述日志服务器蜜罐中存储的蜜罐日志，并向所述态势感知分析平台反馈所获取的蜜罐日志。

21.根据权利要求20所述的系统，其特征在于，

所述蜜罐控制服务器，用于对所述日志服务器蜜罐、应用数据库蜜罐、应用服务器蜜罐中的流量进行备份；并将备份的流量反馈给所述态势感知分析平台；

所述态势感知分析平台，具体用于根据备份的流量，确定所述第二攻击行为的攻击路径节点以及所述第二攻击行为在所述攻击路径节点的攻击触发时刻；根据所确定的所述第二攻击行为的攻击路径节点以及所述第二攻击行为在所述攻击路径节点的攻击触发时刻，确定所述第二攻击行为的攻击路径时间轴。

22.根据权利要求20所述的系统，其特征在于，

所述业务系统，还用于对其中的业务数据进行脱密处理，并将脱密处理后的业务数据发送至所述应用数据库蜜罐；

所述应用数据库蜜罐，还用于接收并存储所述业务系统发送的经过脱密处理的业务数据。

23.根据权利要求20所述的系统，其特征在于，

所述业务系统，还用于对其中的业务日志进行脱密处理，并将脱密处理后的业务数据发送至所述日志服务器蜜罐；

所述日志服务器蜜罐，还用于接收并存储所述业务系统发送的经过脱密处理的业务日志。