[发明专利]一种网络攻击溯源方法、装置及设备

说明书

本申请公开了一种网络攻击溯源方法，该方法能够自动监测网络中的攻击事件，按照属于内网或外网对攻击源和攻击目标进行区分，确定安全事件的攻击方向，然后将攻击方向、攻击源的IP地址、攻击目标的IP地址存储至数据库，最终从数据库匹配与该攻击事件相关的信息，根据匹配结果生成网络攻击路径。实现了自动化监测攻击事件，并分析与攻击事件相关的网络攻击路径的目的，显著提升了网络安全性。此外，本申请还提供了一种网络攻击溯源装置、设备及可读存储介质，其技术效果与上述方法的技术效果相对应。

技术领域

本申请涉及计算机技术领域，特别涉及一种网络攻击溯源方法、装置、设备及可读存储介质。

背景技术

随着网络使用的广泛性，网络系统的安全、稳定、可靠的运行也越来越重要，因此，网络安全问题引起了更多用户的关注。

目前，一般都是基于安全防护中心进行人工管理，需要人工统计网络安全事件以及手动处理安全事件。由于人工处理带来的不可靠性，可能会导致网络瘫痪、数据泄露等问题。

此外，对于攻击者的各种攻击手段，比如大部分攻击者都会使用伪造的IP地址，使攻击目标不能确定攻击者的未知，从而难以进行有效的针对性防护。因此，对攻击源进行追踪成为网络安全中重要的一个环节。

可见，如何实时监测网络中发生的安全事件，并对安全事件进行网络攻击路线的分析，是本领域的技术人员需要解决的问题。

发明内容

本申请的目的是提供一种网络攻击溯源方法、装置、设备及可读存储介质，用以解决目前安全事件的监测工作以及网络攻击路线的分析工作主要通过人工处理实现，导致效率低且可靠性较差的问题。其具体方案如下：

第一方面，本申请提供了一种网络攻击溯源方法，包括：

监测目标网络，在发生攻击事件时生成告警日志；

根据所述告警日志，分别判断攻击源和攻击目标是否属于内网，得到所述攻击事件的攻击方向；

将所述攻击事件的攻击方向和五元组信息存储至数据库，其中所述五元组信息包括攻击源的IP地址和攻击目标的IP地址；

若所述攻击事件的攻击方向为内网攻击外网或内网攻击内网，则在数据库中匹配以所述攻击事件的攻击源为攻击目标的五元组信息；

根据匹配到的五元组信息和所述攻击事件的五元组信息，生成网络攻击路径。

优选的，所述将所述攻击事件的攻击方向和五元组信息存储至数据库，包括：

若攻击目标属于内网，则判断攻击目标是否为服务器，得到所述攻击事件的攻击目标类型；

将所述攻击事件的攻击方向、五元组信息和攻击目标类型存储至数据库。

优选的，所述判断攻击目标是否为服务器，得到所述攻击事件的攻击目标类型，包括：

S1、根据端口或协议判断攻击目标是否为服务器，若是，则判定攻击目标类型为服务器，否则进入S2；

S2、根据请求头和请求内容判断攻击目标是否为服务器，若是，则判定攻击目标类型为服务器，否则进入S3；

S3、根据响应头和响应内容判断攻击目标是否为服务器，若是，则判定攻击目标类型为服务器，否则进入S4；

S4、根据cookie判断攻击目标是否为服务器，若是，则判定攻击目标类型为服务器，否则进入S5；

S5、判定攻击目标类型为个人PC。

优选的，所述分别判断攻击源和攻击目标是否属于内网，得到所述攻击事件的攻击方向，包括：

根据地理库进行匹配，分别判断攻击源和攻击目标是否属于内网，得到所述攻击事件的攻击方向。