[发明专利]一种网络攻击的溯源分析方法

权利要求书

1.一种网络攻击的溯源分析方法，其特征在于，包括：

获取指定类型的威胁情报，缓存至本地威胁情报数据库；

获取本次告警信息与所述本地威胁情报，判断告警的攻击来源；

根据攻击源，和/或攻击目的的设备标识，分别进行告警关联，确定所述设备所处攻击阶段并根据攻击阶段判断设备失陷等级；

获取所述设备的资产信息，根据告警关联结果，确定攻击的影响范围。

2.根据权利要求1所述的溯源分析方法，其特征在于，所述告警关联包括：

根据规定条件 ，获取与本次告警的源IP或目的IP一致的所有告警；

若源IP与本次告警的目的IP一致：当两个告警的源端口与目的端口均一致，将两个告警合并；当两个告警的源端口不一致、目的端口一致时，将两个告警判断为关联告警；

若目的IP与本次告警的源IP一致：当其他告警的目的端口与本次告警的源端口一致时，将两个告警判断为关联告警；

若源IP、目的IP分别与本次告警的源IP、目的IP一致：当两个告警的源端口与目的端口均一致，将两个告警合并。

3.根据权利要求2所述的溯源分析方法，其特征在于，所述确定IP所处的攻击阶段，具体包括：根据IP查询所有告警，获取该IP经历的所有告警记录，提取告警信息中的攻击行为特征，根据预设的攻击行为特征与攻击阶段的对应关系，确定各个告警所处的攻击阶段；将告警中的最高攻击阶段作为IP当前所处的攻击阶段；将所述攻击阶段列入告警溯源记录。

4.根据权利要求3所述的溯源分析方法，其特征在于，所述根据IP所处攻击阶段确定其失陷等级，包括：确定攻击阶段与失陷等级的对应关系，根据IP所处攻击阶段确定失陷等级为低可疑、高可疑或已失陷；将失陷等级列入告警溯源记录。

5.根据权利要求4所述的溯源分析方法，其特征在于，若根据告警源IP，判断攻击来源于内网，查询所述源IP在告警溯源记录的初始失陷确定度，

若查询到源IP高可疑或已失陷，根据目的IP进行告警关联，确定目的IP所处攻击阶段，并根据攻击阶段确定目的IP失陷等级；

若查询到源IP低可疑或未查询到源IP的溯源记录，根据源IP与目的IP进行告警关联，确定源IP与目的IP所处攻击阶段，并根据攻击阶段确定源IP与目的IP的失陷等级；

将所述源IP与目的IP的失陷等级更新到告警溯源记录。

6.根据权利要求4任一项所述的溯源分析方法，其特征在于，若根据告警的源IP，判断攻击来源于外网，

根据本地威胁情报的地理信息标记攻击源，并将地理标记列入告警溯源记录；所述地理信息包括域名、IP与所属国家/城市信息对应关系，所述所属国家/城市信息包括经纬度信息；

获取DNS日志，在本地威胁情报中查询攻击源IP或域名：若攻击源是恶意，标记目的IP的初始失陷确定度为高可疑或已失陷；若攻击源不是恶意，标记目的IP的初始失陷确定度为低可疑；

根据所述目的IP进行告警关联，确定目的IP所处攻击阶段，并根据攻击阶段确定目的IP失陷等级；

将所述目的IP的失陷等级列入告警溯源记录。

7.根据权利要求1至6任一项所述的溯源分析方法，其特征在于，根据告警关联结果，修正告警的时间序列，得到攻击过程，具体包括：

根据攻击阶段划分关联告警，每个攻击阶段内的告警按时间排序，得到告警的攻击阶段序列；

根据告警发生时间，将告警进行排序，得到告警的初始时间序列；

对比所述告警的攻击阶段序列与告警的初始时间序列，去除序列不一致的告警；去除攻击源为内网且处于侦查跟踪与载荷投递阶段的告警；

根据修正后的告警时间序列，得到攻击的传播路径，并确定攻击影响的IP与失陷等级。

8.根据权利要求7所述的溯源分析方法，其特征在于，所述设备的资产信息包括资产的属性、脆弱性、风险、承载业务状态、运行状态；所述资产属性包括地域、部门、负责人。

9.根据权利要求8所述的溯源分析方法，其特征在于，根据所述修正后的告警时间序列与资产信息，确定所述攻击影响的业务范围。