[发明专利]网络攻击溯源方法及装置

说明书

本申请涉及一种网络攻击溯源方法及装置，方法包括：获取各异常主机以及各异常主机的登录行为关系图，登录行为关系图中包括异常主机与行为关联主机之间发生的登录行为，其中，异常主机为发生网络异常的主机，行为关联主机为登录异常主机的主机，和/或，行为关联主机为被异常主机登录的主机；获取每个异常主机生成的子攻击图，其中，子攻击图中包括从启动进程到攻击进程的链路；根据每个异常主机的子攻击图以及登录行为关系图，生成网络攻击图，其中，网络攻击图中包括异常主机的子攻击图，且不同的异常主机的子攻击图，按照行为关联主机与异常主机之间的发生的登录行为连接。本申请用以能够有效快速进行攻击溯源。

技术领域

本申请涉及计算机技术领域，尤其涉及一种网络攻击溯源方法及装置。

背景技术

近年来，随着网络的不断普及，网络攻击者采用的攻击技术及攻击手段也有了新的发展趋势。因此，网络安全问题也需要网络用户不断的关注并采取有效的安全防护措施。

而现有技术当中采用的防护措施中，通过设置防火墙等方式可以有效应对常见的网络攻击。但是，对于黑客通过网络漏洞实行的例如高级持续性威胁攻击，通过现有的这种方式无法进行有效的防护，需要定位网络攻击的源头才能进行有效的防护。因此，如何有效快速进行攻击溯源，是亟需要解决的问题。

发明内容

本申请提供了一种网络攻击溯源方法及装置，用以能够有效快速进行攻击溯源。

第一方面，本申请实施例提供了一种网络攻击溯源方法，包括：获取各异常主机，以及获取各异常主机的登录行为关系图，其中，所述登录行为关系图中包括所述异常主机与行为关联主机之间发生的登录行为，其中，所述异常主机为发生网络异常的主机，所述行为关联主机为登录所述异常主机的主机，和/或，所述行为关联主机为被所述异常主机登录的主机；

获取每个所述异常主机生成的子攻击图，其中，所述子攻击图中包括从启动进程到攻击进程的链路；

根据每个所述异常主机的子攻击图以及所述登录行为关系图，生成网络攻击图，其中，所述网络攻击图中包括所述异常主机的子攻击图，且不同的所述异常主机的所述子攻击图，按照所述行为关联主机与所述异常主机之间的发生的登录行为连接。

可选地，获取各异常主机，以及获取各异常主机的登录行为关系图，包括：

获取各主机的登录日志表；

根据所述登录日志表，获得被网络攻击源攻击的主机，作为所述异常主机；

根据所述登录日志表，获得被所述异常主机登录过的主机，以及获得登录过所述异常主机的主机，作为所述行为关联主机；

根据所述登录日志表，获得所述网络攻击源在各所述异常主机以及所述行为关联主机之间的攻击顺序，根据所述攻击顺序连接所述异常主机以及所述行为关联主机，得到所述登录行为关系图。

可选地，获取每个所述异常主机生成的子攻击图，包括：

获取所述异常主机的进程调用记录表；

解析所述异常主机的进程调用记录表，获得攻击进程，并以追溯父进程的方式从所述攻击进程追溯到启动进程，并建立所述启动进程到所述攻击进程的链路，得到所述异常主机的子攻击图。

可选地，根据每个所述异常主机的子攻击图以及所述登录行为关系图，生成网络攻击图，包括：

获取所述登录行为关系图中，不同的所述异常主机之间跨接的所述行为关联主机之间的连接方式，按照所述连接方式连接所述不同的所述异常主机的子攻击图，在将每个所述异常主机的子攻击图连接后，得到所述网络攻击图。

可选地，所述方法还包括：