本申请涉及网络攻击,具体而言,涉及一种攻击路径定位方法、装置、电子设备及存储介质。
背景技术:
1、随着计算机网络的不断发展,各个领域都离不开网络通信,apt(advancedpersistent threat,高级持续性威胁)攻击对于企业和国家的威胁已经成为信息安全防护中越来越突出的问题。apt攻击往往在一个很长的时间段内潜伏并反复对目标进行攻击,同时适应安全系统的防御措施,通过保持高水平的交互来达到攻击目的。目前针对apt攻击,往往只停留在apt检测层面,并不能提供完整的攻击过程,也称攻击路径。而对于复杂、持续、潜伏时间长的apt攻击来说,攻击路径能帮助技术人员对apt攻击的攻击阶段、整个攻击过程等有全貌的认识。因此,如何针对apt攻击提供完整的攻击路径是本领域亟待解决的技术问题。
技术实现思路
1、本申请实施例的目的在于提供一种攻击路径定位方法、装置、电子设备及存储介质,用以实现针对apt攻击提供完整攻击过程的技术效果。
2、本申请实施例第一方面提供了一种攻击路径定位方法,所述方法包括:
3、获取溯源图和警报事件集合;所述警报事件集合包括多个警报事件;
4、循环执行攻击路径图的生成步骤,直到所有所述警报事件均匹配至所述攻击路径图中;所述生成步骤包括:
5、根据多个所述警报事件的发生顺序,在所述溯源图中确定初始节点;
6、在所述溯源图中正向遍历以所述初始节点为起点的所有路径,确定与至少部分所述警报事件匹配的目标路径;
7、生成以初始节点为根节点,包括所述目标路径的攻击路径图。
8、在上述实现过程中,利用溯源图可体现实体对象之间交互动作的顺序与因果关系的特点,结合警报事件集合从复杂庞大的溯源图中获取攻击路径图。同时攻击路径图作为溯源图的子图能提供apt攻击的全貌信息,通过攻击路径图保留警报事件之间完整的因果关联,为后续取证分析提供直观的攻击痕迹,并减少了无关溯源信息的判断。
9、进一步地,所述警报事件通过以下步骤获取:
10、获取日志数据;
11、从所述日志数据中确定与预设的警报规则匹配的目标日志数据,生成所述目标日志数据对应的警报事件。
12、在上述实现过程中,通过对日志数据进行规则匹配来生成与apt攻击行为相关的警报事件,如此可以利用警报事件从溯源图中定位出apt的攻击路径图,实现了攻击路径的快速定位。
13、进一步地,所述日志数据包括实时日志数据;或者
14、所述日志数据包括历史日志数据以及实时日志数据。
15、在上述实现过程中,日志数据包括实时日志数据,可以实时分析当前产生的apt攻击的全貌信息,能及时有效地对当前apt攻击进行取证分析。日志数据包括实时日志数据与历史日志数据,使得在历史周期产生的同属于同一apt攻击的历史攻击行为也能体现在攻击路径图中,完整地呈现了apt整个攻击过程,展示出完整的全貌信息。
16、进一步地,所述溯源图是数据库中预存的溯源图;或者
17、所述溯源图是利用所述实时日志数据更新后的溯源图。
18、在上述实现过程中,利用实时日志数据更新溯源图,使得溯源图能够不断地扩展,及时出现了新的apt攻击行为也能及时利用实时日志数据记录到溯源图中,保证有效进行攻击路径图的定位。
19、进一步地,所述获取溯源图和警报事件集合,包括:
20、响应于满足触发条件,获取溯源图和警报事件集合;
21、其中,所述触发条件包括:
22、到达预设的周期时间;和/或所述实时日志数据达到预设数量阈值。
23、在上述实现过程中,在满足触发条件时自动触发攻击路径的定位方法,无需人工干预,且可以根据实时性需求调整触发条件,满足不同场景的攻击路径定位需求。
24、进一步地,所述根据所有所述警报事件的发生顺序,在所述溯源图中确定初始节点,包括:
25、在所述警报事件集合中,或者在未匹配至攻击路径图的所有警报事件中,确定发生时间最早的初始警报事件;
26、在所述溯源图中确定与所述初始警报事件对应的主体节点为初始节点。
27、在上述实现过程中,通过发生时间最早的初始警报事件来确定攻击路径图的初始节点,可以将原本独立的多个警报事件在溯源图中体现出它们之间的因果关联,从而实现了简便且快捷地得到攻击路径图。
28、进一步地,在所述溯源图中正向遍历以所述初始节点为起点的所有路径,所述确定与所述至少部分警报事件匹配的目标路径,包括:
29、在遍历每一条所述路径时,若存在至少部分所述警报事件与所述路径匹配,则从与所述路径匹配的所有警报事件中确定发生时间最晚的结束警报事件;
30、在所述溯源图中确定与所述结束警报事件对应的客体节点;
31、确定以所述初始节点为起点,以所述客体节点为终点的目标路径。
32、在上述实现过程中,通过发生时间最晚的结束警报事件来确定目标路径,可以将原本独立的多个警报事件在溯源图中体现出它们之间的因果关联,从而实现了简便且快捷地得到攻击路径图。
33、本申请实施例第二方面提供了一种攻击路径定位装置,所述装置包括获取模块与生成模块;
34、所述获取模块用于获取溯源图和警报事件集合;所述警报事件集合包括多个警报事件;
35、所述生成模块循环执行,直到所有所述警报事件均匹配至所述攻击路径图中;所述生成模块包括初始节点子模块、遍历子模块与攻击路径图子模块;
36、所述初始节点子模块,用于根据多个所述警报事件的发生顺序,在所述溯源图中确定初始节点;
37、所述遍历子模块,用于在所述溯源图中正向遍历以所述初始节点为起点的所有路径,确定与至少部分所述警报事件匹配的目标路径;
38、所述攻击路径图子模块,用于生成以初始节点为根节点,包括所述目标路径的攻击路径图。
39、本申请实施例第三方面提供了一种电子设备,所述电子设备包括:
40、处理器;
41、用于存储处理器可执行指令的存储器;
42、其中,所述处理器调用所述可执行指令时实现第一方面任一所述方法的操作。
43、本申请实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机指令,所述计算机指令被处理器执行时实现第一方面任一所述方法的步骤。
1.一种攻击路径定位方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述警报事件通过以下步骤获取:
3.根据权利要求2所述的方法,其特征在于,
4.根据权利要求3所述的方法,其特征在于,
5.根据权利要求1所述的方法,其特征在于,所述获取溯源图和警报事件集合,包括:
6.根据权利要求1所述的方法,其特征在于,所述根据多个所述警报事件的发生顺序,在所述溯源图中确定初始节点,包括:
7.根据权利要求1所述的方法,其特征在于,在所述溯源图中正向遍历以所述初始节点为起点的所有路径,所述确定与至少部分所述警报事件匹配的目标路径,包括:
8.一种攻击路径定位装置,其特征在于,所述装置包括获取模块与生成模块;
9.一种电子设备,其特征在于,所述电子设备包括:
10.一种计算机可读存储介质,其特征在于,其上存储有计算机指令,所述计算机指令被处理器执行时实现权利要求1-7任一所述方法的步骤。