[发明专利]一种基于动态关联分析的网络攻击链识别方法和装置

说明书

本发明提供了一种基于动态关联分析的网络攻击链识别方法和装置，涉及网络安全的技术领域，包括：从第一数据库中获取目标数据，目标数据为目标数据流确定的，目标数据包括：网络攻击设备的漏洞数据和攻击设备的安全事件数据；基于目标数据的属性信息，确定各个目标数据的动态关联信息，动态关联信息用于确定目标数据所属的攻击阶段；基于动态关联信息，将所述目标数据作为目标攻击阶段的攻击数据添加至目标网络攻击链，解决了现有技术中无法对漏洞数据和安全事件数据进行分析，并基于漏洞数据和安全事件数据还原网络攻击链的技术问题。

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种基于动态关联分析的网络攻击链识别方法和装置。

背景技术

随着互联网的高速发展，网络安全事件种类和数量也急剧增长，攻击更具有多样化，攻击的真实目的也更加隐蔽。然而对网络安全的防御也不能仅仅局限于单机防火墙，故而基于大数据云计算的云端海量数据存储和动态分析成了网络安全保障的重要力量。

洛克希德马丁对网络攻击提出并总结了7个重要阶段，分别代表了目的性很强的网络攻击的7个阶段：侦察，武器构建，载荷投递，突防利用，安装植入，命令和控制(CC)、目标达成，上述的网络攻击的7个阶段组成了一个完整网络攻击链。但是如何将云端中存储的数据还原为对应的网络攻击链，则是现在急需解决的问题。

针对上述问题还未提出有效的解决方案。

发明内容

有鉴于此，本发明的目的在于提供一种基于动态关联分析的网络攻击链识别方法和装置，以缓解了现有技术中无法对漏洞数据和安全数据进行分析，并得到网络攻击链的技术问题。

第一方面，本发明实施例提供了一种基于动态关联分析的网络攻击链识别方法，该方法包括：从第一数据库中获取目标数据，所述目标数据为基于目标数据流确定的，所述目标数据流为网络攻击设备对待攻击设备进行攻击时发出的数据，所述目标数据包括：待攻击设备的漏洞数据和待攻击设备的安全事件数据；基于所述目标数据的属性信息，确定各个所述目标数据的动态关联信息，所述属性信息包括：所述目标数据的生成时间，发出所述目标数据的设备的IP地址，所述动态关联信息用于确定所述目标数据所属的攻击阶段；基于所述动态关联信息，将所述目标数据作为目标攻击阶段的攻击数据添加至目标网络攻击链，所述目标攻击阶段为所述目标网络攻击链中未添加对应攻击数据的阶段。

进一步地，在从第一数据库中读取目标数据之前，所述方法还包括获取所述目标数据流；对所述目标数据流进行处理，得到目标数据；将所述目标数据存储在所述第一数据库中。

进一步地，对所述目标数据流进行处理，得到目标数据包括：对所述目标数据流进行数据流转换处理，得到中间数据；对所述中间数据进行格式转换和数据清洗，得到所述目标数据。

进一步地，从第一数据库中获取目标数据包括：按照预设周期获取所述预设周期内所述第一数据库中的新增数据，并将所述新增数据作为所述目标数据。

进一步地，从第一数据库中获取目标数据包括：获取目标用户发送的请求信息，基于所述请求信息从所述第一数据库获取与所述请求信息相对应的数据，并将所述相对应的数据作为所述目标数据。

进一步地，所述方法还包括：获取第二数据库中存储的完整网络攻击链，并对所述完整网络攻击链进行展示，其中，所述完整网络攻击链包括以下攻击阶段的攻击数据：侦查阶段，武器构建阶段，载荷投递阶段，突防利用阶段，安装植入阶段，命令控制阶段，目标达成阶段。

进一步地，所述方法还包括：判断所述完整网络攻击链的安全等级，其中，所述安全等级包括：第一等级和第二等级，所述第一等级表示所述完整网络攻击链为安全网络攻击链，所述第二等级表示所述完整网络攻击链为危险网络攻击链；如果判断结果为所述完整网络攻击链的安全等级为所述第二等级，则向所述完整网络攻击链对应的终端设备发送告警信息。