网络攻击入口点的检测方法、装置、电子设备及存储介质与流程

本申请涉及网络安全技术领域，特别涉及一种网络攻击入口点的检测方法、装置、一种电子设备及一种存储介质。

背景技术：

随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证，提高网络安全能够避免信息泄露并实现业务正常运行。

确定网络攻击入口点时提高网络安全防御性能的关键，相关技术中，在某台设备被网络攻击后往往基于人工排查和日志检索的方式确定网络攻击入口点，效率较低。

因此，如何提高网络攻击入口点的检测效率是本领域技术人员目前需要解决的技术问题。

技术实现要素：

本申请的目的是提供一种网络攻击入口点的检测方法、装置、一种电子设备及一种存储介质，能够提高网络攻击入口点的检测效率。

为解决上述技术问题，本申请提供一种网络攻击入口点的检测方法，该网络攻击入口点的检测方法包括：

确定目标设备的被攻击场景，并查询所述被攻击场景对应的攻击方式；

确定所述攻击方式对应的预期攻击结果，并判断所述目标设备的状态是否符合所述预期攻击结果；

若是，则将与所述目标设备的安全漏洞匹配的攻击方式设置为关键攻击方式，并根据所述关键攻击方式确定所述网络攻击入口点。

可选的，将与所述目标设备的安全漏洞匹配的攻击方式设置关键攻击方式，包括：

判断所述目标设备的安全漏洞与所述攻击方式是否匹配；

若是，则将所述攻击方式设置为关键攻击方式。

可选的，判断所述目标设备的安全漏洞与所述攻击方式是否匹配，包括：

判断所述攻击方式是否利用所述目标设备的安全漏洞进行网络攻击；

若是，则判定所述目标设备的安全漏洞与所述攻击方式匹配；

若否，则判定所述目标设备的安全漏洞与所述攻击方式不匹配。

可选的，在判断所述目标设备的安全漏洞与所述攻击方式是否匹配之前，还包括：

查询所述目标设备的安全漏洞，并确定所述目标设备的安全漏洞的漏洞威胁等级；

相应的，判断所述目标设备的安全漏洞与所述攻击方式是否匹配包括：

按照所述漏洞威胁等级从高到低的顺序依次判断所述目标设备的安全漏洞与所述攻击方式是否匹配。

可选的，根据所述关键攻击方式确定所述网络攻击入口点包括：

根据所述关键攻击方式的时间序列确定所述网络攻击入口点。

可选的，还包括；

按照时间的先后顺序在用户界面显示网络攻击信息；其中，所述网络攻击信息包括所述关键攻击方式的攻击类型、攻击次数和/或所述关键攻击方式对应的安全漏洞。

可选的，在根据所述关键攻击方式确定所述网络攻击入口点之后，还包括：

根据所述网络攻击入口点的类型确定对应的攻击防御策略。

可选的，查询所述被攻击场景对应的攻击方式包括：

根据所述目标设备的设备类型确定所述被攻击场景对应的攻击方式；

其中，若所述被攻击场景为终端设备被攻击场景，所述攻击方式包括恶意邮件攻击、恶意文件攻击、恶意链接攻击、口令爆破攻击、漏洞利用攻击和文件传输攻击中的任一种或任几种的组合；若所述被攻击场景为服务器设备被攻击场景，所述攻击方式包括漏洞利用攻击、口令爆破攻击、网站攻击和文件传播攻击中的任一种或任几种的组合。

本申请还提供了一种网络攻击入口点的检测装置，该检测装置包括：

攻击方式确定模块，用于确定目标设备的被攻击场景，并查询所述被攻击场景对应的攻击方式；

结果判断模块，用于确定所述攻击方式对应的预期攻击结果，并判断所述目标设备的状态是否符合所述预期攻击结果；

入口点确定模块，用于当所述目标设备的状态符合所述预期攻击结果时，将与所述目标设备的安全漏洞匹配的攻击方式设置为关键攻击方式，并根据所述关键攻击方式确定所述网络攻击入口点。

本申请还提供了一种存储介质，其上存储有计算机程序，所述计算机程序执行时实现上述网络攻击入口点的检测方法执行的步骤。

本申请还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器调用所述存储器中的计算机程序时实现上述网络攻击入口点的检测方法执行的步骤。

本申请提供了一种网络攻击入口点的检测方法，包括确定目标设备的被攻击场景，并查询所述被攻击场景对应的攻击方式；确定所述攻击方式对应的预期攻击结果，并判断所述目标设备的状态是否符合所述预期攻击结果；若是，则将与所述目标设备的安全漏洞匹配的攻击方式设置为关键攻击方式，并根据所述关键攻击方式确定所述网络攻击入口点。

本申请在确定目标设备的攻击场景后，确定所述攻击方式对应的预期攻击结果，若目标设备的状态符合预期攻击结果，则说明该攻击方式已经攻击成功，可以将该攻击方式进一步与目标设备的安全漏洞进行匹配，若匹配成功则将该攻击方式设置为关键攻击方式，进而确定网络攻击入口点。在本申请的网络攻击入口点检测方式中，先后将攻击方式与攻击结果和安全漏洞进行关联匹配，能够确定导致目标设备存在安全威胁的关键攻击方式，进而确定网络攻击入口点。本申请无需进行人工排查和日志检索即可确定网络攻击入口点，能够提高网络攻击入口点的检测效率。本申请同时还提供了一种网络攻击入口点的检测装置、一种电子设备和一种存储介质，具有上述有益效果，在此不再赘述。

附图说明

为了更清楚地说明本申请实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例所提供的一种网络攻击入口点的检测方法的流程图；

图2为本申请实施例所提供的另一种网络攻击入口点的检测方法的原理示意图；

图3为本申请实施例所提供的一种网络攻击入口点可视化分析界面示意图；

图4为本申请实施例所提供的一种网络攻击入口点的检测装置的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

下面请参见图1，图1为本申请实施例所提供的一种网络攻击入口点的检测方法的流程图。

具体步骤可以包括：

s101：确定目标设备的被攻击场景，并查询所述被攻击场景对应的攻击方式；

其中，目标设备为受到网络攻击的设备，目标设备的被攻击场景可以包括用户受害场景和业务受害场景。具体的，用户受害场景对应终端受到网络攻击的场景，用户受害场景是指办公区的用户在使用终端的过程中，遭受到黑客的入侵和利用，用户受害场景的特征是存在大量的上网行为，与外网的接触面较多，比如网上下载、im通讯、邮件往来等。业务受害场景对应服务器受到网络攻击的场景，服务器的网络攻击主要来自于被动的攻击上，比如漏洞攻击、口令暴破等。

本实施例可以预先设置每一种攻击场景与攻击方式的对应关系，可以根据该对应关系查询被攻击场景对应的攻击方式。可以理解的是，每一种攻击场景可以对应任意数量种攻击方式。

s102：确定所述攻击方式对应的预期攻击结果；

其中，本实施例可以预先设置攻击方式与预期攻击结果的对应关系，基于攻击方式与预期攻击结果的对应关系可以确定攻击方式对应的预期攻击结果。

s103：判断所述目标设备的状态是否符合所述预期攻击结果；若是，则进入s104；若否，则结束流程。

其中，在本步骤之前可以根据目标设备的日志信息确定目标设备的状态，若目标设备的状态符合预期攻击结果，则说明该攻击方式已经攻击成功，黑客利用该攻击方式攻击目标设备；若目标设备的状态不符合预期攻击结果，则说明该攻击方式未起作用，或黑客未利用该攻击方式攻击目标设备。

具体地，可以在日志信息中提取该攻击方式对应的攻击特征，并根据该攻击特征确定高攻击方式的预期攻击结果。比如目标设备在遭受暴力爆破攻击时，其对应的攻击特征可以为持续的口令(比如用户名密码等)登录特征，那么该预期攻击结果可以为账户密码登录成功。如果在目标设备遭受暴力破解攻击时，发现在口令爆破之后的短时间内发现该目标主机存在弱密码账号登录成功的行为，则可判定暴力爆破攻击时，该目标设备的状态符合预期攻击结果。

s104：将与所述目标设备的安全漏洞匹配的攻击方式设置为关键攻击方式，并根据所述关键攻击方式确定所述网络攻击入口点。

其中，本实施例可以根据目标设备的安全日志确定目标设备的安全漏洞，还可以对目标设备进行漏洞检测进而确定目标设备的安全漏洞。本步骤建立在目标设备的状态符合攻击方式的预期攻击结果的基础上，可以将攻击方式与目标设备的安全漏洞进行匹配，若攻击方式与目标设备的安全漏洞匹配则将与所述目标设备的安全漏洞匹配的攻击方式设置为关键攻击方式。关键攻击方式为黑客攻击目标设备的主要攻击手段，关键攻击方式在目标设备起作用且目标设备存在关键攻击方式对应的安全漏洞。本实施例可以存在多个关键攻击方式，通过对关键攻击方式的出现的先后关系确定网络攻击入口点。

本实施例在确定目标设备的攻击场景后，确定所述攻击方式对应的预期攻击结果，若目标设备的状态符合预期攻击结果，则说明该攻击方式已经攻击成功，可以将该攻击方式进一步与目标设备的安全漏洞进行匹配，若匹配成功则将该攻击方式设置为关键攻击方式，进而确定网络攻击入口点。在本实施例的网络攻击入口点检测方式中，先后将攻击方式与攻击结果和安全漏洞进行关联匹配，能够确定导致目标设备存在安全威胁的关键攻击方式，进而确定网络攻击入口点。本实施例无需进行人工排查和日志检索即可确定网络攻击入口点，能够提高网络攻击入口点的检测效率。

作为对于图1对应实施例的进一步的介绍，s104中设置关键攻击方式的过程可以包括以下过程：判断所述目标设备的安全漏洞与所述攻击方式是否匹配；若是，则将所述攻击方式设置为关键攻击方式。

进一步的，可以通过以下步骤判断所述目标设备的安全漏洞与所述攻击方式是否匹配，包括：

步骤1：判断所述攻击方式是否利用所述目标设备的安全漏洞进行网络攻击；若是，则进入步骤2；若否，则进入步骤3；

步骤2：判定所述目标设备的安全漏洞与所述攻击方式匹配；

步骤3：判定所述目标设备的安全漏洞与所述攻击方式不匹配。

进一步的，还可以在判断所述目标设备的安全漏洞与所述攻击方式是否匹配之前，查询所述目标设备的安全漏洞，并确定所述目标设备的安全漏洞的漏洞威胁等级。相应的，可以按照所述漏洞威胁等级从高到低的顺序依次判断所述目标设备的安全漏洞与所述攻击方式是否匹配。其中，目标设备的安全漏洞的漏洞威胁等级越高，越可能被攻击者所利用，因此按照所述漏洞威胁等级从高到低的顺序依次判断能够提高攻击方式与安全漏洞的匹配效率。

作为对于图1对应实施例的进一步的介绍，可以根据所述关键攻击方式的时间序列确定所述网络攻击入口点。

具体的，本实施例可以根据关键攻击方式对应的先后顺序，以及关键攻击方式产生时间与预期攻击结果的出现时间的向后关系确定网络攻击入口点。可以将产生时间早于预期攻击结果的出现时间的关键攻击方式作为网络攻击入口点。进一步的，产生时间早于预期攻击结果的出现时间的关键攻击方式的数量为多个时，可以将所有的关键攻击方式均设置为网络攻击入口点，以便用户进行分析。当然，本实施例可以预先设置预期攻击结果与关键攻击方式的预设时间间隔，若关键攻击方式的产生时间早于预期攻击结果的出现时间的时间差小于或等于预设时间间隔时可以判定该关键攻击方式为网络攻击入口点，若关键攻击方式的产生时间早于预期攻击结果的出现时间的时间差大于预设时间间隔时可以判定该关键攻击方式不为网络攻击入口点。

进一步的，在根据所述关键攻击方式确定所述网络攻击入口点之后，还可以根据所述网络攻击入口点的类型确定对应的攻击防御策略。

作为对于图1对应实施例的进一步的介绍，s101中查询所述被攻击场景对应的攻击方式的具体操作可以为：根据所述目标设备的设备类型确定所述被攻击场景对应的攻击方式。

请参见表1，表1为网络攻击特征表，所述目标设备的类型包括终端设备及服务器设备；若所述被攻击场景为终端设备被攻击场景，所述攻击方式包括恶意邮件攻击、恶意文件攻击、恶意链接攻击、口令爆破攻击、漏洞利用攻击和文件传输攻击中的任一种或任几种的组合；若所述被攻击场景为服务器设备被攻击场景，所述攻击方式包括漏洞利用攻击、口令爆破攻击、网站攻击和文件传播攻击中的任一种或任几种的组合。

表1网络攻击特征表

下面通过在实际应用中的实施例说明上述实施例描述的流程。请参见图2，图2为本申请实施例所提供的另一种网络攻击入口点的检测方法的原理示意图。

步骤1：确定目标设备的被攻击场景，并查询所述被攻击场景对应的攻击方式。

终端设备的受害常见入口点包括外部入口点和横向入口点。其中外部入口点主要是恶意邮件攻击、恶意文件攻击、恶意链接攻击。恶意邮件攻击是指黑客直接或间接地发送恶意邮件给目标用户，用户在点击或运行邮件中的恶意附件、恶意链接后，或者回复钓鱼邮件里要求的信息后，感染了病毒从而导致终端主机被黑客控制。恶意文件攻击是指黑客通过各类方式(如诱导网上下载、im传输、u盘拷贝等)将恶意文件投放到用户的终端主机上。恶意链接攻击是指通过诱导用户点击挂马网页。横向的入口点包括口令暴破攻击、漏洞利用攻击、文件传输等。不过需要注意的是，用户终端的漏洞利用攻击主要是指smb等终端常见漏洞。

服务器的受害常见入口点包括外部入口点和横向入口点，但与终端设备不同的是，服务器的外部入口点主要是指被攻击，比如漏洞利用攻击、口令暴破攻击等，其中漏洞利用攻击重点是可能获得服务器控制权限的系统漏洞利用(如struct2漏洞)，以及网站攻击(如webshell上传、sql注入等)。服务器的横向入口点除了漏洞利用和口令暴破之外，还存在文件传播等。

步骤2：确定疑似入口点。

对攻击方式和攻击结果进行关联分析，如攻击成功则确认为该攻击方式可能是造成目标设备被攻击的网络攻击入口点之一，并判定该攻击手法为潜在攻击手法。对潜在攻击手法和服务器脆弱性进行关联分析，若潜在攻击凡是将与目标设备的安全漏洞匹配，则判定该潜在攻击方式为关键攻击方式。比如主机遭受了struct2漏洞利用攻击，同时该主机确实存在struct2漏洞，则可将该攻击方式提取为疑似入口点之一；再比如主机遭受了暴力破解攻击，同时发现在口令暴破之后的短时间内发现该服务器存在弱密码账号登录成功的行为，则可将本次暴力破解攻击提取为疑似入口点之一。作为一种可行的实施方式，本实施例还可以通过对关键攻击方式进行加权分析确定关键攻击方式的加权得分，进而基于加权得分确定网络攻击入口。例如可以获取关键攻击方式的响应码，以及关键攻击方式攻击过程中产生的指令，根据响应码的数值得到响应码得分，根据指令的类别得到指令类别得分，进而将响应码得分和指令类别得分与相应权值进行加权求和得到加权值，根据所述加权值确定关键攻击方式为网络攻击入口点的概率。例如，若该响应码为预设值(如404)可以判定关键攻击方式的响应码得分为0，若该响应码为不为预设值可以判定关键攻击方式的响应码得分为10，若指令的类别为白名单中的指令则判定指令得分为0，若指令的类别为白名单中的指令则判定指令得分为10。

步骤3：通过时间序列的关联进行可视化呈现，进而确定网络攻击入口点。

将疑似入口点结合时间序列的关联进行可视化呈现，让用户可以直观地看清整个入侵的先后发展过程，包括可以通过追溯首次失陷时间，从而以这个时间点开始往前追溯，进而确定网络攻击入口点。

上述实施例综合关联攻击者攻击手法、受害者脆弱性、暴露面、时间序列、受害者属性和业务场景等多维因子，进行关联性分析和可视化呈现，让用户更高效率地追溯受害主机的入口点，从而辅助用户决策下一步如何正确地加固。如攻击手法是某种漏洞的利用攻击，同时发现受害者主机正好存在此类漏洞，再结合时间上的序列关系，即可合理地推断出本次攻击很可能是该主机被黑客控制的入侵入口点，以便准确地对该入口点进行处置和加固，达到根治的目标。

请参见图3，图3为本申请实施例所提供的一种网络攻击入口点可视化分析界面示意图。本实施例还可以按照时间的先后顺序在用户界面显示网络攻击信息；其中，所述网络攻击信息包括所述关键攻击方式的攻击类型、攻击次数和所述关键攻击方式对应的安全漏洞。

请参见图4，图4为本申请实施例所提供的一种网络攻击入口点的检测装置的结构示意图；

该装置可以包括：

攻击方式确定模块100，用于确定目标设备的被攻击场景，并查询所述被攻击场景对应的攻击方式；

结果判断模块200，用于确定所述攻击方式对应的预期攻击结果，并判断所述目标设备的状态是否符合所述预期攻击结果；

入口点确定模块300，用于当所述目标设备的状态符合所述预期攻击结果时，将与所述目标设备的安全漏洞匹配的攻击方式设置为关键攻击方式，并根据所述关键攻击方式确定所述网络攻击入口点。

本实施例在确定目标设备的攻击场景后，确定所述攻击方式对应的预期攻击结果，若目标设备的状态符合预期攻击结果，则说明该攻击方式已经攻击成功，可以将该攻击方式进一步与目标设备的安全漏洞进行匹配，若匹配成功则将该攻击方式设置为关键攻击方式，进而确定网络攻击入口点。在本实施例的网络攻击入口点检测方式中，先后将攻击方式与攻击结果和安全漏洞进行关联匹配，能够确定导致目标设备存在安全威胁的关键攻击方式，进而确定网络攻击入口点。本实施例无需进行人工排查和日志检索即可确定网络攻击入口点，能够提高网络攻击入口点的检测效率。

入口点确定模块300，包括：

判断单元，用于判断所述目标设备的安全漏洞与所述攻击方式是否匹配；

关键攻击设置单元，用于当所述目标设备的安全漏洞与所述攻击方式匹配时，将所述攻击方式设置为关键攻击方式。

进一步的，关键攻击设置单元，用于判断所述攻击方式是否利用所述目标设备的安全漏洞进行网络攻击；若是，则判定所述目标设备的安全漏洞与所述攻击方式匹配；若否，则判定所述目标设备的安全漏洞与所述攻击方式不匹配。

进一步的，还包括：

漏洞查询单元，用于在判断所述目标设备的安全漏洞与所述攻击方式是否匹配之前，查询所述目标设备的安全漏洞，并确定所述目标设备的安全漏洞的漏洞威胁等级；

进一步的，判断单元用于按照所述漏洞威胁等级从高到低的顺序依次判断所述目标设备的安全漏洞与所述攻击方式是否匹配。

进一步的，入口点确定模块300包括：

时间序列分析单元，用于根据所述关键攻击方式的时间序列确定所述网络攻击入口点。

进一步的，还包括；

可视化显示模块，用于按照时间的先后顺序在用户界面显示网络攻击信息；其中，所述网络攻击信息包括所述关键攻击方式的攻击类型、攻击次数和/或所述关键攻击方式对应的安全漏洞。

进一步的，还包括：

安全防御模块，用于在根据所述关键攻击方式确定所述网络攻击入口点之后，根据所述网络攻击入口点的类型确定对应的攻击防御策略。

进一步的，攻击方式确定模块100包括：

攻击方式确定单元，用于根据所述目标设备的设备类型确定所述被攻击场景对应的攻击方式；

其中，若所述被攻击场景为终端设备被攻击场景，所述攻击方式包括恶意邮件攻击、恶意文件攻击、恶意链接攻击、口令爆破攻击、漏洞利用攻击和文件传输攻击中的任一种或任几种的组合；若所述被攻击场景为服务器设备被攻击场景，所述攻击方式包括漏洞利用攻击、口令爆破攻击、网站攻击和文件传播攻击中的任一种或任几种的组合。

由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。

本申请还提供了一种存储介质，其上存有计算机程序，该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

本申请还提供了一种电子设备，可以包括存储器和处理器，所述存储器中存有计算机程序，所述处理器调用所述存储器中的计算机程序时，可以实现上述实施例所提供的步骤。当然所述电子设备还可以包括各种网络接口，电源等组件。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。