[发明专利]网络攻击溯源方法及装置

说明书

本申请提供一种网络攻击溯源方法及装置。其中，所述方法包括，当接收到网络中安全设备上报的攻击事件时，获取所述安全设备生成的与所述攻击事件对应的攻击日志，基于流式计算，提取所述攻击日志中攻击源和攻击目标的网络地址信息，并存储到内存中，然后将所述攻击源和攻击目标的网络地址信息与预先建立在内存中的基础信息数据库进行匹配，得到所述攻击源和攻击目标的网络位置信息。最后根据所述攻击源和攻击目标的网络位置信息可以快速生成网络攻击路径图，能够实时准确地还原整个网络攻击拓扑，进而用户可以快速对遭受攻击的网络资产和用户终端进行告警和修复，减少相应损失。

技术领域

本申请涉及网络安全技术领域，具体涉及一种网络攻击溯源方法及装置。

背景技术

近年来，随着网络的不断普及，网络攻击者采用的攻击技术及攻击手段也有了新的发展趋势。因此，网络安全问题也需要网络用户不断的关注并采取有效的安全防护措施。

目前，大多数的网络安全防护方案都是安全管理员通过安全运行中心SOC(Security Operation Center)，进行人工管理，对于网络攻击事件进行手动统计和人工工单下发处理。由于人工管理和人工预警会不可避免的存在滞后性，导致网络遭受一定的损失。

而为了减少网络攻击造成的损失，越来越多的安全分析场景需要对全网环境中遭受的攻击进行快速准确还原,以能够实时准确的描述出全网资产(如各种通信网络设备)和用户终端(如各式电脑)遭受的攻击,并进行实时告警和工单处理。在遭遇网络攻击时，安全防御日志源(各种用于防御网络攻击的安全设备)会产生大量的日志，导致用户无法快速留存和发现重要的日志。

因此，如何实时准确的显示当前网络中哪些资产和用户终端遭受了具体的攻击和安全事件，进而对关键网络资产和用户终端进行告警和修复，还原整个网络攻击拓扑,是本领域亟需解决的技术问题。

发明内容

有鉴于此，本申请提供一种网络攻击溯源方法及装置、一种网络攻击溯源设备以及一种计算机可读存储介质，以能够实时准确地还原整个网络攻击拓扑。

本申请第一方面提供一种网络攻击溯源方法，包括：

当接收到网络中安全设备上报的攻击事件时，获取所述安全设备生成的与所述攻击事件对应的攻击日志；

基于流式计算，提取所述攻击日志中攻击源和攻击目标的网络地址信息，并存储到内存中；

将所述攻击源和攻击目标的网络地址信息与预先建立在内存中的基础信息数据库进行匹配，得到所述攻击源和攻击目标的网络位置信息；其中，所述基础信息数据库中包括网络地址信息与网络位置信息的对应关系；

根据所述攻击源和攻击目标的网络位置信息生成网络攻击路径图。

在本申请的一些实施方式中，所述网络地址信息为外网地址信息或内网地址信息；

所述网络位置信息为国家地理位置信息或资产位置信息；

所述基础信息数据库中包括国家地理数据库和资产基础信息数据库，所述国家地理数据库中包括外网地址信息与国家地理位置信息的对应关系，所述资产基础信息数据库中包括内网地址信息与资产位置信息的对应关系。

在本申请的一些实施方式中，所述将所述攻击源和攻击目标的网络地址信息与预先建立在内存中的基础信息数据库进行匹配，得到所述攻击源和攻击目标的网络位置信息，包括：

判断所述攻击源或攻击目标的网络地址信息是外网地址信息还是内网地址信息；

若是外网地址信息，则将网络地址信息与国家地理数据库进行匹配，得到网络地址信息对应的国家地理位置信息；

若是内网地址信息，则将网络地址信息与资产基础信息数据库进行匹配，得到网络地址信息对应的资产位置信息。