[发明专利]入侵阶段的确定方法、装置及服务器

说明书

本发明提供了一种入侵阶段的确定方法、装置及服务器，该方法包括：接收第一告警记录；其中，第一告警记录携带有受害主机的身份信息；基于受害主机的身份信息，获取预设时段内受害主机的第二告警记录；基于第二告警记录判断第一告警记录对应的入侵操作是否成功；如果是，根据第二告警记录确定第一告警记录对应的入侵阶段。本发明可以有效提高确定入侵阶段的准确率。

技术领域

本发明涉及互联网技术领域，尤其是涉及一种入侵阶段的确定方法、装置及服务器。

背景技术

网络安全防护设备是一种利用网络安全技术对诸如主机等互联网设备进行安全检测的设备，当检测到互联网设备受到恶意攻击时网络安全防护设备将生成告警记录，并基于告警记录与入侵阶段的映射关系确定生成的告警记录对应的入侵阶段，从而采用该入侵阶段对应的防护措施对互联网设备进行保护。但是发明人经研究发现，现有告警记录误报率较高，进而导致在基于映射关系确定入侵阶段时具有较低的准确率。

发明内容

有鉴于此，本发明的目的在于提供一种入侵阶段的确定方法、装置及服务器，可以有效提高确定入侵阶段的准确率。

第一方面，本发明实施例提供了一种入侵阶段的确定方法，包括：接收第一告警记录；其中，所述第一告警记录携带有受害主机的身份信息；基于所述受害主机的身份信息，获取预设时段内所述受害主机的第二告警记录；基于所述第二告警记录判断所述第一告警记录对应的入侵操作是否成功；如果是，根据所述第二告警记录确定所述第一告警记录对应的入侵阶段。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述接收第一告警记录的步骤，包括：当监听到网络安全防护设备生成主机告警记录时，向所述网络安全防护设备发送推送指令，以使所述网络安全防护设备基于所述推送指令推送所述主机告警记录；接收所述网络安全防护设备推送的所述主机告警记录，并将所述主机告警记录作为第一告警记录。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，在所述基于所述受害主机的身份信息，获取预设时段内所述受害主机的第二告警记录的步骤之前，所述方法还包括：提取所述第一告警记录的告警时间字段，并基于所述告警时间字段确定预设时段。

结合第一方面的第一种可能的实施方式，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述基于所述受害主机的身份信息，获取预设时段内所述受害主机的第二告警记录的步骤，包括：将所述受害主机的身份信息和预设时段的标识发送至所述网络安全防护设备，以使所述网络安全防护设备基于所述受害主机的身份信息和所述预设时段的标识，查找预设时段内所述受害主机的第二告警记录，并返回查找到的所述第二告警记录；接收所述网络安全防护设备返回的所述第二告警记录。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，所述基于所述第二告警记录判断所述第一告警记录对应的入侵操作是否成功的步骤，包括：判断所述第一告警记录与所述第二告警记录是否存在告警关联；如果是，确定所述第一告警记录对应的入侵操作成功。

结合第一方面的第四种可能的实施方式，本发明实施例提供了第一方面的第五种可能的实施方式，其中，所述根据所述第二告警记录确定所述第一告警记录对应的入侵阶段的步骤，包括：若所述第一告警记录与所述第二告警记录存在告警关联，查找与所述告警关联对应的入侵阶段，并将所述告警关联对应的入侵阶段确定为所述第一告警记录对应的入侵阶段。

结合第一方面的第一种可能的实施方式，本发明实施例提供了第一方面的第六种可能的实施方式，其中，所述网络安全防护设备包括防火墙、IDS(Intrusion DetectionSystems，入侵检测系统)、IPS(Intrusion Prevention System，入侵防御系统)、APT(Advanced Persistent Threat，定向威胁攻击)或NTA(Network Terminal Appliance，网络终端设备)中的一种或多种。