[发明专利]一种攻击事件追踪方法、装置及存储介质

说明书

本发明实施例公开了一种攻击事件追踪方法、装置及存储介质，涉及信息安全技术领域，能够及时发现攻击事件。所述方法包括：监控各用户设备的行为信息并分别生成安全事件；其中，所述安全事件的相关信息包括：时间戳、详情信息和描述信息；收集组织机构内部各用户设备的安全事件并生成威胁事件；其中，所述威胁事件包括：威胁描述信息和至少一个安全事件的相关信息；获取组织机构相关的威胁事件并进行匹配判定是否存在攻击事件。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种攻击事件追踪方法、装置及存储介质。

背景技术

传统的攻击事件追踪方法是监控企业网络内部的数据流量，并判断数据流量是否出现异常，若出现异常则通过分析数据流量进而获取攻击相关信息。安全监控人员通过攻击相关信息决定处置措施。但上述传统方法是基于企业内部的数据进行是否恶意的识别，其观测到的安全事件是独立并分散的，因此很多威胁事件会被遗漏，导致追踪结果不准确。

发明内容

有鉴于此，本发明实施例提供了一种攻击事件追踪方法、装置及存储介质，将各用户设备的安全事件汇聚生成威胁事件，并基于各组织机构的威胁事件信息判断是否存在大范围攻击事件。

第一方面，本发明实施例提供一种攻击事件追踪方法，包括：

监控各用户设备的行为信息并分别生成安全事件；其中，所述安全事件的相关信息包括：时间戳、详情信息和描述信息；

收集组织机构内部各用户设备的安全事件并生成威胁事件；其中，所述威胁事件的相关信息包括：威胁描述信息和至少一个安全事件的相关信息；

获取组织机构相关的威胁事件并进行匹配判定是否存在攻击事件。

根据本发明实施例的一种具体实现方式，所述收集组织机构内部各用户设备的安全事件并生成威胁事件，具体包括：

将各安全事件与已知恶意事件进行匹配，若匹配成功，则将已知恶意事件作为附加信息添加至安全事件的相关信息中，包括：攻击动作模式或恶意代码实例；

判定当前安全事件与威胁事件是否相关，若相关则将当前安全事件的相关信息更新至威胁事件的相关信息中。

根据本发明实施例的一种具体实现方式，所述判定当前安全事件与威胁事件是否相关，若相关则将当前安全事件的相关信息更新至威胁事件的相关信息中，具体包括：

将当前安全事件与威胁事件的威胁描述信息进行匹配，若匹配成功，则将当前安全事件的相关信息添加至威胁事件的相关信息中；

将当前安全事件与威胁事件已收入的安全事件的描述信息进行匹配，若描述信息相关或者描述信息中的对应字段相关，则匹配成功，并将当前安全事件的相关信息添加至威胁事件的相关信息中。

根据本发明实施例的一种具体实现方式，所述威胁事件按照组织机构分别存储。

根据本发明实施例的一种具体实现方式，所述详情信息为与安全事件相关的各类数据，包括：IP地址、域名、URL、相关应用程序信息；所述描述信息为由详情信息提取的多字段的数据组成。

根据本发明实施例的一种具体实现方式，还包括：若匹配判定相关威胁事件为无关威胁，则发送消息到组织机构内部，对相关威胁事件进行丢弃，或者丢弃与威胁事件相关的后续安全事件。

第二方面，本发明实施例提供一种攻击事件追踪装置，包括：

安全事件生成模块，用于监控各用户设备的行为信息并分别生成安全事件；其中，所述安全事件的相关信息包括：时间戳、详情信息和描述信息；

威胁事件汇聚模块，用于收集组织机构内部各用户设备的安全事件并生成威胁事件；其中，所述威胁事件的相关信息包括：威胁描述信息和至少一个安全事件的相关信息；