[发明专利]攻击事件溯源分析方法、系统、用户设备及存储介质

说明书

本发明公开了一种攻击事件溯源分析方法、系统、用户设备及存储介质，本发明通过在检测到攻击事件时，获取各监测点的探针数据；根据所述探针数据建立各监测点之间的关联关系；对所述探针数据进行威胁检测；在检测到威胁时，将所述探针数据对应的监测点作为攻击目标；根据所述攻击目标及所述关联关系进行溯源，获得攻击链；将所述攻击链作为所述攻击事件的溯源结果，实现了当攻击事件发生时对数据进行多维度威胁检测及溯源，还原攻击的相关过程，最终形成攻击链条视图，为后续威胁应对及修复提供依据，加强了威胁抵御能力，有效降低被攻击者的损失。

技术领域

本发明涉及终端安全领域，尤其涉及一种攻击事件溯源分析方法、系统、用户设备及存储介质。

背景技术

目前随着攻击手段多样化，攻击团队专业化、组织化，攻防不对等加剧。尽管随着人们网络安全意识的提高，用户设备中经常会用到多个安全产品，例如防火墙，邮件网关，杀毒软件，堡垒主机，VPN等等，但还是难以有效应对日益严峻的威胁形势。

传统安全产品单点防御，侧重于某一个主题，某一个方向，安全产品之间无法共享安全数据及规则，没有形成一个安全闭环。当发生攻击威胁时，每个安全产品只会上报各自的问题，并没有形成完整的攻击链，用户不清楚整体威胁是如何发生的，不能从根本上斩断攻击链，也无法从整个攻击链上进行全面防御，导致威胁发现能力不足。同时传统安全产品普遍缺乏对黑客攻击过程进行监控的能力，黑客怎么攻进来的，黑客带走了什么都无法监测，也就无法精准地去做防护。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种攻击事件溯源分析方法、系统、用户设备及存储介质，旨在解决现有技术中多种安全产品不能形成一个安全闭环，当发生攻击事件时无法找到威胁根源的技术问题。

为实现上述目的，本发明提供一种攻击事件溯源分析方法，所述方法包括以下步骤：

在检测到攻击事件时，获取各监测点的探针数据；

根据所述探针数据建立各监测点之间的关联关系；

对所述探针数据进行威胁检测；

在检测到威胁时，将所述探针数据对应的监测点作为攻击目标；

根据所述攻击目标及所述关联关系进行溯源，获得攻击链；

将所述攻击链作为所述攻击事件的溯源结果。

优选地，所述根据所述攻击目标及所述关联关系进行溯源，获得攻击链，具体包括：

根据所述关联关系对所述攻击目标进行溯源，获得攻击源；

根据所述攻击源、所述攻击目标及所述关联关系生成攻击链。

优选地，所述根据所述关联关系对所述攻击目标进行溯源，获得攻击源，具体包括：

获取用户输入的溯源时间；

根据所述关联关系及所述溯源时间对所述攻击目标进行溯源，获得攻击源。

优选地，所述对所述探针数据进行威胁检测，具体包括：

根据入侵指标特征检测模型、高频威胁检测模型、基线检测模型以及机器学习检测模型对所述探针数据进行威胁检测。

优选地，所述对所述探针数据进行威胁检测之后，所述方法还包括：

在未检测到威胁时，根据预设攻击关键点规则进行触发检测；

在触发检测结果为具有未知威胁时，对所述探针数据进行云检测；

在云检测结果为具有云端已知威胁时，将所述探针数据对应的监测点作为攻击目标；