[发明专利]失陷设备识别方法、装置、电子设备及存储介质

权利要求书

1.一种失陷设备识别方法，其特征在于，包括：

获取基于流量日志和安全日志生成的安全事件，安全事件为设备受到网络攻击的事件；

根据所述安全事件中的连接方向确定待检测设备，所述连接方向为数据传递方向；

根据所述待检测设备对应的安全事件中的攻击方向和攻击链阶段确定所述待检测设备是否为可疑失陷设备，所述攻击方向为标识安全事件对应的通信双方是否为攻击者或被攻击者的信息，攻击链阶段表示所述待检测设备受攻击的程度；

对可疑失陷设备进行失陷度评估，根据失陷度评估结果确定所述可疑失陷设备是否为失陷设备。

2.根据权利要求1所述的方法，其特征在于，所述根据所述安全事件中的连接方向确定待检测设备，具体包括：

若所述安全事件中的连接方向为内向外连接，则将所述安全事件中的源IP对应的设备确定为待检测设备；

若所述安全事件中的连接方向为外向内连接，则将所述安全事件中的目的IP对应的设备确定为待检测设备；

若所述安全事件中的连接方向为内向内连接，则将所述安全事件中的源IP和目的IP分别对应的设备确定为待检测设备。

3.根据权利要求1或2所述的方法，其特征在于，所述根据所述待检测设备对应的安全事件中的攻击方向和攻击链阶段确定所述待检测设备是否为可疑失陷设备，具体包括：

根据所述待检测设备对应的安全事件中的攻击方向判断所述待检测设备是攻击者还是被攻击者；

若所述待检测设备为攻击者，则将所述待检测设备确定为可疑失陷设备；

若所述待检测设备为被攻击者，则根据所述待检测设备对应的安全事件中的攻击链阶段确定所述待检测设备受到的最高攻击阶段，若所述最高攻击阶段高于预设的高危阶段阈值，则将所述待检测设备确定为可疑失陷设备。

4.根据权利要求3所述的方法，其特征在于，所述根据所述待检测设备对应的安全事件中的攻击方向判断所述待检测设备是否为攻击者，具体包括：

若所述待检测设备对应的安全事件中至少存在一个安全事件满足第一条件，则将所述待检测设备确定为攻击者，所述第一条件为所述安全事件中的源IP为所述待检测设备且攻击方向为源IP为攻击者；

若所述待检测设备对应的安全事件中至少存在一个安全事件满足第二条件，则将所述待检测设备确定为攻击者，所述第二条件为所述安全事件中的目的IP为所述待检测设备且攻击方向为源IP为攻击者；

若所述待检测设备对应的安全事件中至少存在一个安全事件满足第三条件且不存在满足第一条件和第二条件的安全事件，则将所述待检测设备确定为被攻击者，所述第三条件为所述安全事件中的源IP为所述待检测设备且攻击方向为源IP为被攻击者；

若所述待检测设备对应的安全事件中至少存在一个安全事件满足第四条件且不存在满足第一条件和第二条件的安全事件，则将所述待检测设备确定为被攻击者，所述第四条件为所述安全事件中的目的IP为所述待检测设备且攻击方向为目的IP为被攻击者。

5.根据权利要求1所述的方法，其特征在于，所述对可疑失陷设备进行失陷度评估，具体包括：

通过以下至少一种方法对可疑失陷设备进行失陷度评估：

根据所述可疑失陷设备的最高攻击链阶段和/或攻击链列表的完整度确定失陷评估结果，所述最高攻击链阶段为所述可疑失陷设备对应的所有安全事件中的攻击链阶段的最高值，所述攻击链列表记录了所述可疑失陷设备经历过的攻击链阶段；

或，

根据所述可疑失陷设备的流量日志和安全日志得到所述可疑失陷设备的行为基线信息，根据所述行为基线信息确定失陷评估结果；

或，

根据所述可疑失陷设备是否在白名单中确定失陷评估结果，所述白名单中包括安全的内网设备或者发生过安全事件但经过确认为误报的内网设备。