[发明专利]一种攻击路径还原方法、电子装置和计算机可读存储介质

权利要求书

1.一种攻击路径还原方法，其特征在于，包括:

在基于告警产生的攻击事件中，获取与待还原资产相关的目标攻击事件，其中，所述告警基于所述待还原资产所处的网络中被感知到的网络攻击产生，对每个所述告警分别生成了对应的攻击事件，网络攻击被划分为预设阶数的攻击阶段；

确定各所述目标攻击事件中所述待还原资产的身份为源IP还是目的IP；

基于各所述目标攻击事件中所述待还原资产的身份，确定所述待还原资产为受害者的目标攻击事件，以及所述目标攻击事件的攻击阶段；

基于所述待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段，还原所述待还原资产的被攻击路径，其中，同一条被攻击路径中在先的目标攻击事件比在后的目标攻击事件的发生时间更早，攻击阶段更低。

2.根据权利要求1所述的攻击路径还原方法，其特征在于，所述基于各所述目标攻击事件中所述待还原资产的身份，确定所述待还原资产为受害者的目标攻击事件，以及所述目标攻击事件的攻击阶段包括：

若所述待还原资产在某目标攻击事件中的身份为源IP，则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件，所述目标攻击事件的攻击阶段为预设的高阶攻击阶段内的阶段；

若所述待还原资产在某目标攻击事件中的身份为目的IP，则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件，所述目标攻击事件的攻击阶段为所述目标攻击事件对应的网络攻击的攻击阶段。

3.根据权利要求2所述的攻击路径还原方法，其特征在于，所述若所述待还原资产在某目标攻击事件中的身份为源IP，则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件，所述目标攻击事件的攻击阶段为预设的高阶攻击阶段内的阶段包括：

若所述待还原资产在某目标攻击事件的身份为源IP，则对所述待还原资产而言，将所述目标攻击事件的攻击者标记为预设IP，受害者标记为所述源IP，将所述目标攻击事件的状态标记为攻陷状态，若所述目标攻击事件对应的网络攻击的攻击阶段不在预设的高阶攻击阶段内，则将所述目标攻击事件的攻击阶段标记为预设的高阶攻击阶段中最高阶的攻击阶段，否则，将所述目标攻击事件的攻击阶段标记为所述目标攻击事件对应的网络攻击的攻击阶段；

所述若所述待还原资产在某目标攻击事件中的身份为目的IP，则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件，所述目标攻击事件的攻击阶段为所述目标攻击事件对应的网络攻击的攻击阶段包括：

若所述待还原资产在某目标攻击事件的身份为目的IP，则对所述待还原资产而言，将所述目标攻击事件的攻击者标记为所述目标攻击事件的源IP，受害者标记为所述目的IP，所述目标攻击事件的攻击阶段标记为所述目标攻击事件对应的网络攻击的攻击阶段，若所述目标攻击事件对应的网络攻击的攻击阶段在预设的攻陷攻击阶段范围内，则将所述目标攻击事件的状态标记为攻陷状态，否则，标记为非攻陷状态。

4.根据权利要求1所述的攻击路径还原方法，其特征在于，在基于所述待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段，还原所述待还原资产的被攻击路径前，还包括：

对所述待还原资产为受害者的目标攻击事件，保留对还原所述待还原资产的被攻击路径的贡献程度相对较高的目标攻击事件，滤除其余的目标攻击事件。

5.根据权利要求4所述的攻击路径还原方法，其特征在于，所述对所述待还原资产为受害者的目标攻击事件，保留对还原所述待还原资产的被攻击路径的贡献程度相对较高的目标攻击事件包括：

对所述待还原资产为受害者的目标攻击事件，保留同一发生时间中攻击阶段相对较高的至少一个目标攻击事件；

或者,对所述待还原资产为受害者的目标攻击事件，保留同一发生时间中攻击阶段相对较高的至少一个目标攻击事件，对保留的目标攻击事件中，再保留相同攻击阶段下发生时间相对较早的至少一个目标攻击事件。