[发明专利]攻击事件溯源分析方法、系统、用户设备及存储介质

权利要求书

1.一种攻击事件溯源分析方法，其特征在于，所述攻击事件溯源分析方法包括以下步骤：

用户设备在检测到攻击事件时，获取各监测点的探针数据；

根据所述探针数据建立各监测点之间的关联关系；

对所述探针数据进行威胁检测；

在检测到威胁时，将所述探针数据对应的监测点作为攻击目标；

所述对所述探针数据进行威胁检测之后，所述方法还包括：

在未检测到威胁时，根据预设攻击关键点规则进行触发检测；

在触发检测结果为具有未知威胁时，对所述探针数据进行云检测；

在云检测结果为具有云端已知威胁时，将所述探针数据对应的监测点作为攻击目标；

根据所述攻击目标及所述关联关系进行溯源，获得攻击链；

将所述攻击链作为所述攻击事件的溯源结果。

2.如权利要求1所述的攻击事件溯源分析方法，其特征在于，所述根据所述攻击目标及所述关联关系进行溯源，获得攻击链，具体包括：

根据所述关联关系对所述攻击目标进行溯源，获得攻击源；

根据所述攻击源、所述攻击目标及所述关联关系生成攻击链。

3.如权利要求2所述的攻击事件溯源分析方法，其特征在于，所述根据所述关联关系对所述攻击目标进行溯源，获得攻击源，具体包括：

获取用户输入的溯源时间；

根据所述关联关系及所述溯源时间对所述攻击目标进行溯源，获得攻击源。

4.如权利要求1所述的攻击事件溯源分析方法，其特征在于，所述对所述探针数据进行威胁检测，具体包括：

根据入侵指标特征检测模型、高频威胁检测模型、基线检测模型以及机器学习检测模型对所述探针数据进行威胁检测。

5.如权利要求1所述的攻击事件溯源分析方法，其特征在于，所述云检测包括IP信誉检测、DNS检测、URL检测、多引擎检测、沙箱检测、黑盒检测以及白盒检测中的至少一种。

6.如权利要求5所述的攻击事件溯源分析方法，其特征在于，所述在触发检测结果为具有未知威胁时，对所述探针数据进行云检测之后，所述方法还包括：

在云检测结果为没有云端已知威胁时，根据所述探针数据及所述关联关系生成关联视图；

将所述关联视图作为所述攻击事件的溯源结果。

7.一种攻击事件溯源分析系统，其特征在于，所述攻击事件溯源分析系统包括：

数据获取模块，用于在检测到攻击事件时，获取各监测点的探针数据；

关系确定模块，用于根据所述探针数据建立各监测点的关联关系；

数据检测模块，用于对所述探针数据进行威胁检测；

目标确定模块，用于在检测到威胁时，将所述探针数据对应的监测点作为攻击目标；

威胁溯源模块，用于根据所述攻击目标及所述关联关系进行溯源，获得攻击链；

结果可视化模块，用于将所述攻击链作为所述攻击事件的溯源结果；

其中，所述攻击事件溯源分析系统还包括：所述数据检测模块，用于对所述探针数据进行威胁检测之后，在未检测到威胁时，根据预设攻击关键点规则进行触发检测；在触发检测结果为具有未知威胁时，对所述探针数据进行云检测；在云检测结果为具有云端已知威胁时，将所述探针数据对应的监测点作为攻击目标；根据所述攻击目标及所述关联关系进行溯源，获得攻击链；将所述攻击链作为所述攻击事件的溯源结果。

8.一种用户设备，其特征在于，所述用户设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的攻击事件溯源分析程序，所述攻击事件溯源分析程序配置为实现如权利要求1至6中任一项所述的攻击事件溯源分析方法的步骤。

9.一种存储介质，其特征在于，所述存储介质上存储有攻击事件溯源分析程序，所述攻击事件溯源分析程序被处理器执行时实现如权利要求1至6中任一项所述的攻击事件溯源分析方法的步骤。