[发明专利]失陷设备识别方法、装置、电子设备及存储介质

说明书

本发明公开了一种失陷设备识别方法、装置、电子设备及存储介质，所述方法包括：获取基于流量日志和安全日志生成的安全事件；根据安全事件中的连接方向确定待检测设备，连接方向为数据传递方向；根据待检测设备对应的安全事件中的攻击方向和攻击链阶段确定待检测设备是否为可疑失陷设备，攻击方向为标识安全事件对应的通信双方是否为攻击者或被攻击者的信息，攻击链阶段表示待检测设备受攻击的程度；对可疑失陷设备进行失陷度评估，根据失陷度评估结果确定可疑失陷设备是否为失陷设备。本发明实施例提供的技术方案，能够更加准确地识别可疑失陷设备，再通过对可疑失陷设备的评估结果识别失陷设备，提高了失陷设备识别的准确率，且兼容性更好。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种失陷设备识别方法、装置、电子设备及存储介质。

背景技术

APT(Advanced Persistent Threat，高级持续性威胁)攻击是一种高级持续威胁性大的攻击方法，发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。APT攻击链模型共分为7个阶段：侦查、制作工具、投送、利用、安装、命令与控制、恶意活动。

目前，判定主机、服务器等设备是否失陷的判定方法大多都是由安全工程师进行人工判断，需要人力资源的同时对人力资源的专业性有较高要求，还会存在判定攻陷不及时造成严重损失的可能性。

此外，市场上还存在通过对设备的场景进行分析来识别失陷设备的方法，具体通过主机与其他内网主机的通讯量、主机上传到因特网数据量等条件去识别设备的异常情况。但是，识别规则需要随着系统部署场景的变化而变化，例如，企业系统环境中web访问量较多，而服务器环境设备会话量较多，因此，针对每一种新的系统场景都需要重新制定一套新的识别规则。

因此，现有的失陷设备识别方法很难同时适应所有的应用场景，兼容性较差，且识别效率和准确率都较低。

发明内容

本发明实施例提供一种失陷设备识别方法、装置、电子设备及存储介质，以解决现有技术中的失陷设备识别方法兼容性较差，且识别效率和准确率都较低的问题。

第一方面，本发明一实施例提供了一种失陷设备识别方法，包括：

获取基于流量日志和安全日志生成的安全事件，安全事件为设备受到网络攻击的事件；

根据安全事件中的连接方向确定待检测设备，连接方向为数据传递方向；

根据待检测设备对应的安全事件中的攻击方向和攻击链阶段确定待检测设备是否为可疑失陷设备，攻击方向为标识安全事件对应的通信双方是否为攻击者或被攻击者的信息，攻击链阶段表示待检测设备受攻击的程度；

对可疑失陷设备进行失陷度评估，根据失陷度评估结果确定可疑失陷设备是否为失陷设备。

第二方面，本发明一实施例提供了一种失陷设备识别装置，包括：

事件获取模块，用于获取基于流量日志和安全日志生成的安全事件，安全事件为设备受到网络攻击的事件；

待检测设备确定模块，用于根据安全事件中的连接方向确定待检测设备，连接方向为数据传递方向；

可疑失陷设备确定模块，用于根据待检测设备对应的安全事件中的攻击方向和攻击链阶段确定待检测设备是否为可疑失陷设备，攻击方向为标识安全事件对应的通信双方是否为攻击者或被攻击者的信息，攻击链阶段表示待检测设备受攻击的程度；

失陷度评估模块，用于对可疑失陷设备进行失陷度评估；

失陷设备确定模块，用于根据失陷度评估结果确定可疑失陷设备是否为失陷设备。