[发明专利]一种网络攻击溯源方法、装置及设备

权利要求书

1.一种网络攻击溯源方法，其特征在于，包括：

监测目标网络，在发生攻击事件时生成告警日志；

根据所述告警日志，分别判断攻击源和攻击目标是否属于内网，得到所述攻击事件的攻击方向；

将所述攻击事件的攻击方向和五元组信息存储至数据库，其中所述五元组信息包括攻击源的IP地址和攻击目标的IP地址；

若所述攻击事件的攻击方向为内网攻击外网或内网攻击内网，则在数据库中匹配以所述攻击事件的攻击源为攻击目标的五元组信息；

根据匹配到的五元组信息和所述攻击事件的五元组信息，生成网络攻击路径；

其中，所述将所述攻击事件的攻击方向和五元组信息存储至数据库，包括：

若攻击目标属于内网，则判断攻击目标是否为服务器，得到所述攻击事件的攻击目标类型；

将所述攻击事件的攻击方向、五元组信息和攻击目标类型存储至数据库；

其中，所述判断攻击目标是否为服务器，得到所述攻击事件的攻击目标类型，包括：

S1、根据端口或协议判断攻击目标是否为服务器，若是，则判定攻击目标类型为服务器，否则进入S2；

S2、根据请求头和请求内容判断攻击目标是否为服务器，若是，则判定攻击目标类型为服务器，否则进入S3；

S3、根据响应头和响应内容判断攻击目标是否为服务器，若是，则判定攻击目标类型为服务器，否则进入S4；

S4、根据cookie判断攻击目标是否为服务器，若是，则判定攻击目标类型为服务器，否则进入S5；

S5、判定攻击目标类型为个人PC。

2.如权利要求1所述的方法，其特征在于，所述分别判断攻击源和攻击目标是否属于内网，得到所述攻击事件的攻击方向，包括：

根据地理库进行匹配，分别判断攻击源和攻击目标是否属于内网，得到所述攻击事件的攻击方向。

3.如权利要求1所述的方法，其特征在于，所述将所述攻击事件的攻击方向和五元组信息存储至数据库，包括：

根据所述告警日志中的攻击操作记录，确定所述攻击事件的攻击阶段，其中所述攻击阶段包括弱点探测、渗透入侵、获取权限、命令控制和数据盗取；

将所述攻击事件的攻击方向、五元组信息和攻击阶段存储至数据库。

4.如权利要求1所述的方法，其特征在于，所述将所述攻击事件的攻击方向和五元组信息存储至数据库，其中所述五元组信息包括攻击源的IP地址和攻击目标的IP地址，包括：

将所述攻击事件的攻击方向和五元组信息存储至数据库，其中所述五元组信息包括攻击源的IP地址、攻击目标的IP地址、攻击源的端口、攻击目标的端口、攻击源与攻击目标的通讯协议。

5.如权利要求1-4任意一项所述的方法，其特征在于，在所述根据匹配到的五元组信息和所述攻击事件的五元组信息，生成网络攻击路径之后，还包括：

根据所述网络攻击路径中各个攻击目标的攻击数量、攻击时长、攻击手段数量，确定所述网络攻击路径的严重等级。