一种攻击分析处理方法、装置、设备及机器可读存储介质与流程

1.本公开涉及通信技术领域，尤其是涉及一种攻击分析处理方法、装置、设备及机器可读存储介质。


背景技术：

2.随着网络技术的快速发展，网络黑客的攻击手段和攻击工具越来越丰富，导致的网络攻击事件也越来越多。企业的业务暴露在互联网中，不可避免的会遭受大量来自外部网络的攻击，数不清的扫描，入侵事件在边界防御设备中被检测出来。但是当前入侵防御系统(ips:intrusion prevention system)、防火墙等设备均是根据特征码来进行的检测，一般只能检测到外部网络向企业发起了攻击事件，但是是否攻击成功无法明确给出，造成这部分事件的排查定位比较的繁琐，加大了安全运维的工作量，减少了安全运维的效率。


技术实现要素：

3.有鉴于此，本公开提供一种攻击分析处理方法、装置及电子设备、机器可读存储介质，以改善上述无法快速定位攻击成功的攻击事件的问题。
4.具体地技术方案如下：
5.本公开提供了一种攻击分析处理方法，应用于安全设备，所述方法包括：获取目标安全告警，所述目标安全告警的攻击目标地址在预设保护地址范围内，攻击源地址在预设保护地址范围外；获取目标安全告警关联的攻击类型，获取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功；根据分析，输出所述攻击事件是否攻击成功的结论。
6.作为一种技术方案，所述获取目标安全告警关联的攻击类型，获取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功，包括：若所述攻击目标具有关联于所述攻击类型的安全漏洞，则认为关联于目标安全告警的攻击事件攻击成功。
7.作为一种技术方案，所述获取目标安全告警关联的攻击类型，获取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功，包括：若所述攻击目标向其他目标发起攻击，则认为所述关联于目标安全告警的攻击事件攻击成功。
8.作为一种技术方案，所述获取目标安全告警关联的攻击类型，获取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功，包括：获取关联于目标安全告警的攻击事件的攻击深度，若攻击深度超过预设阈值，则认为所述关联于目标安全告警的攻击事件攻击成功。
9.本公开同时提供了一种攻击分析处理装置，应用于安全设备，所述装置包括：获取模块，用于获取目标安全告警，所述目标安全告警的攻击目标地址在预设保护地址范围内，攻击源地址在预设保护地址范围外；分析模块，用于获取目标安全告警关联的攻击类型，获
取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功；输出模块，用于根据分析，输出所述攻击事件是否攻击成功的结论。
10.作为一种技术方案，所述获取目标安全告警关联的攻击类型，获取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功，包括：若所述攻击目标具有关联于所述攻击类型的安全漏洞，则认为关联于目标安全告警的攻击事件攻击成功。
11.作为一种技术方案，所述获取目标安全告警关联的攻击类型，获取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功，包括：若所述攻击目标向其他目标发起攻击，则认为所述关联于目标安全告警的攻击事件攻击成功。
12.作为一种技术方案，所述获取目标安全告警关联的攻击类型，获取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功，包括：获取关联于目标安全告警的攻击事件的攻击深度，若攻击深度超过预设阈值，则认为所述关联于目标安全告警的攻击事件攻击成功。
13.本公开同时提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的攻击分析处理方法。
14.本公开同时提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的攻击分析处理方法。
15.本公开提供的上述技术方案至少带来了以下有益效果：
16.通过分析攻击事件、攻击类型及攻击目标安全状态，研判安全告警关联的攻击事件是否攻击成功，从而便于快速定位攻击成功的攻击事件，降低安全运维工作量，提高安全运维效率。
附图说明
17.为了更加清楚地说明本公开实施方式或者现有技术中的技术方案，下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开中记载的一些实施方式，对于本领域普通技术人员来讲，还可以根据本公开实施方式的这些附图获得其他的附图。
18.图1是本公开一种实施方式中的攻击分析处理方法的流程图；
19.图2是本公开一种实施方式中的攻击分析处理装置的结构图；
20.图3是本公开一种实施方式中的电子设备的硬件结构图。
具体实施方式
21.在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的，而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
22.应当理解，尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
23.当前ips，防火墙等边界安全设备只能给出来自外部的攻击行为，无法确认该攻击行为是否成功，因此导致大量的外部攻击事件无法有效排查分析，本公开提供的技术方案旨在更加进一步分析来自外部攻击事件的攻击结果，提供更加深入的分析研判，期望提高安全运维的效率和较少工作量。
24.有鉴于此，本公开提供一种攻击分析处理方法、装置及电子设备、机器可读存储介质，以改善上述无法快速定位攻击成功的攻击事件的问题。
25.具体地技术方案如后述。
26.在一种实施方式中，本公开提供了一种攻击分析处理方法，应用于安全设备，所述方法包括：获取目标安全告警，所述目标安全告警的攻击目标地址在预设保护地址范围内，攻击源地址在预设保护地址范围外；获取目标安全告警关联的攻击类型，获取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功；根据分析，输出所述攻击事件是否攻击成功的结论。
27.具体地，如图1，包括以下步骤：
28.步骤s11，获取目标安全告警，所述目标安全告警的攻击目标地址在预设保护地址范围内，攻击源地址在预设保护地址范围外；
29.步骤s12，获取目标安全告警关联的攻击类型，获取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功；
30.步骤s13，根据分析，输出所述攻击事件是否攻击成功的结论。
31.通过分析攻击事件、攻击类型及攻击目标安全状态，研判安全告警关联的攻击事件是否攻击成功，从而便于快速定位攻击成功的攻击事件，降低安全运维工作量，提高安全运维效率。
32.在一种实施方式中，所述获取目标安全告警关联的攻击类型，获取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功，包括：若所述攻击目标具有关联于所述攻击类型的安全漏洞，则认为关联于目标安全告警的攻击事件攻击成功。
33.在一种实施方式中，所述获取目标安全告警关联的攻击类型，获取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功，包括：若所述攻击目标向其他目标发起攻击，则认为所述关联于目标安全告警的攻击事件攻击成功。
34.在一种实施方式中，所述获取目标安全告警关联的攻击类型，获取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功，包括：获取关联于目标安全告警的攻击事件的攻击深度，若攻击深度超过预设阈值，则认为所述关联于目标安全告警的攻击事件攻击成功。
35.防火墙，ips等边界安全设备有大量的安全告警。根据企业局点运维系统配置，攻
击源不属于企业局点保护的ip地址，即攻击源地址在预设保护地址范围外，其发生的攻击行为均算在是外部攻击事件，如果攻击目标属于企业局点保护的ip地址，即目标安全告警的攻击目标地址在预设保护地址范围内，则提取该条安全告警。攻击源向攻击目标发起漏洞利用，sql注入，代码执行等入侵行为。
36.统计该攻击源对企业内部的所有攻击事件，如果呈现该攻击源对攻击目标较多的攻击事件，则攻击成功的概率较大。一般外部黑客攻击都不是定点直接攻击，第一步都是漫无目的的扫描，发现部分有攻击价值的目标时会针对性的攻击，进而对这部分有攻击价值的目标发起多种攻击尝试，当发现有的目标被攻击成功后，会采取进一步的攻击。
37.按照att&ck的攻击阶段顺序，对防火墙，ips等安全设备的告警日志进行综合分析，可以得出该攻击源攻击的不同攻击目标及相应的攻击事件、类型和攻击时间。可以计算出攻击源ip对各个攻击目标，依据攻击事件的前后顺序，攻击时间计算出攻击深度,存在较长的攻击深度，意味着外部攻击很大概率成功了，在本实施方式中，可以为攻击深度设置一个阈值，超过该阈值则认为攻击事件攻击成功。
38.对内网主机进行漏洞扫描，发现主机存在的漏洞与服务。例如，目标安全告警关联的攻击源对攻击目标发起mysql的sql注入，而目标主机正好有mysql的sql注入漏洞，则认为攻击事件攻击成功。
39.受到攻击的攻击目标正常情况下是不会对其他内部主机发起网络攻击，只有当攻击目标被攻陷以后，才会被利用，向其他主机发起攻击，因此通过攻击目标是否对其他主机发起攻击，可以判断出攻击事件是否攻击成功。
40.在一种实施方式中，本公开同时提供了一种攻击分析处理装置，如图2，应用于安全设备，所述装置包括：获取模块21，用于获取目标安全告警，所述目标安全告警的攻击目标地址在预设保护地址范围内，攻击源地址在预设保护地址范围外；分析模块22，用于获取目标安全告警关联的攻击类型，获取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功；输出模块23，用于根据分析，输出所述攻击事件是否攻击成功的结论。
41.在一种实施方式中，所述获取目标安全告警关联的攻击类型，获取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功，包括：若所述攻击目标具有关联于所述攻击类型的安全漏洞，则认为关联于目标安全告警的攻击事件攻击成功。
42.在一种实施方式中，所述获取目标安全告警关联的攻击类型，获取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功，包括：若所述攻击目标向其他目标发起攻击，则认为所述关联于目标安全告警的攻击事件攻击成功。
43.在一种实施方式中，所述获取目标安全告警关联的攻击类型，获取攻击目标安全状态，根据攻击类型和攻击目标安全状态，分析关联于目标安全告警的攻击事件是否攻击成功，包括：获取关联于目标安全告警的攻击事件的攻击深度，若攻击深度超过预设阈值，则认为所述关联于目标安全告警的攻击事件攻击成功。
44.本公开同时提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行
指令以实现前述的攻击分析处理方法。
45.本公开同时提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的攻击分析处理方法。
46.装置实施方式与对应的方法实施方式相同或相似，在此不再赘述。
47.在一种实施方式中，本公开提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的攻击分析处理方法，从硬件层面而言，硬件架构示意图可以参见图3所示。
48.在一种实施方式中，本公开提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的攻击分析处理方法。
49.这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：ram(radom access memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。
50.上述实施方式阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
51.为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
52.本领域内的技术人员应明白，本公开的实施方式可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且，本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
53.本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
54.而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一
个方框或者多个方框中指定的功能。
55.这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
56.本领域技术人员应明白，本公开的实施方式可提供为方法、系统或计算机程序产品。因此，本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且，本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
57.以上所述仅为本公开的实施方式而已，并不用于限制本公开。对于本领域技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本公开的权利要求范围之内。