[发明专利]一种攻击路径还原方法、电子装置和计算机可读存储介质

说明书

本发明公开了一种攻击路径还原方法、电子装置和计算机可读存储介质，通过在基于告警产生的攻击事件中，获取与待还原资产相关的目标攻击事件，确定各目标攻击事件中待还原资产的身份为源IP还是目的IP，从而确定待还原资产为受害者的目标攻击事件，以及该目标攻击事件的攻击阶段；继而基于待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段，还原待还原资产的被攻击路径。基于上述描述可知，本申请是基于资产在目标攻击事件中的角色，及目标攻击事件的发生时间和攻击阶段，还原被攻击路径，鉴于目标攻击事件发生在一段时间内，还原的被攻击路径可反映一定时间内资产上遭受的攻击的规律，有利于提高网络的威胁感知能力和预测能力。

技术领域

本申请涉及互联网技术领域，尤其涉及一种攻击路径还原方法、电子装置和计算机可读存储介质。

背景技术

入侵攻击链(Intrusion Kill Chain)，是洛克希德·马丁(Lockheed Martin)公司的安全专家，在2011年提出来的用来保护计算机及网络安全的框架。他们提到，网络攻击是分阶段发生，并可以通过在每个阶段建立有效的防御机制中断攻击行为。而当前关于攻击发现的方法主要还依靠入侵检测设备或算法模型对流量进行分析，这种发现攻击的方式有以下缺点：

1.攻击发现感知到的基本为单点、单一时刻的威胁；

2.使用这种攻击发现威胁的方法使得网络安全响应对高级持续性威胁(AdvancedPersistent Threat，APT)感知无效。

发明内容

本申请实施例提供一种攻击路径还原方法、电子装置和计算机可读存储介质，可以还原资产被入侵的历史痕迹，有效提高威胁感知和预测能力。

本申请实施例第一方面提供一种攻击路径还原方法，该方法包括：

在基于告警产生的攻击事件中，获取与待还原资产相关的目标攻击事件，其中，所述告警基于所述待还原资产所处的网络中被感知到的网络攻击产生，对每个所述告警分别生成了对应的攻击事件，网络攻击被划分为预设阶数的攻击阶段；

确定各所述目标攻击事件中所述待还原资产的身份为源IP还是目的IP；

基于各所述目标攻击事件中所述待还原资产的身份，确定所述待还原资产为受害者的目标攻击事件，以及所述目标攻击事件的攻击阶段；

基于所述待还原资产为受害者的各目标攻击事件的发生时间和攻击阶段，还原所述待还原资产的被攻击路径，其中，同一条被攻击路径中在先的目标攻击事件比在后的目标攻击事件的发生时间更早，攻击阶段更低。

可选的，所述基于各所述目标攻击事件中所述待还原资产的身份，确定所述待还原资产为受害者的目标攻击事件，以及所述目标攻击事件的攻击阶段包括：

若所述待还原资产在某目标攻击事件中的身份为源IP，则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件，所述目标攻击事件的攻击阶段为预设的高阶攻击阶段内的阶段；

若所述待还原资产在某目标攻击事件中的身份为目的IP，则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件，所述目标攻击事件的攻击阶段为所述目标攻击事件对应的网络攻击的攻击阶段。

可选的，所述若所述待还原资产在某目标攻击事件中的身份为源IP，则确定所述目标攻击事件对所述待还原资产而言是所述待还原资产为受害者的目标攻击事件，所述目标攻击事件的攻击阶段为预设的高阶攻击阶段内的阶段包括：