[发明专利]一种攻击事件追踪溯源方法、系统、终端及存储介质有效
| 申请号: | 202010678054.9 | 申请日: | 2020-07-15 |
| 公开(公告)号: | CN111858482B | 公开(公告)日: | 2021-10-15 |
| 发明(设计)人: | 王广清;方铁城;申彦龙;刘颖 | 申请(专利权)人: | 北京市燃气集团有限责任公司 |
| 主分类号: | G06F16/14 | 分类号: | G06F16/14;G06F16/17;G06F11/30;G06F11/32 |
| 代理公司: | 北京天方智力知识产权代理事务所(普通合伙) 11719 | 代理人: | 路远 |
| 地址: | 100035 北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 攻击 事件 追踪 溯源 方法 系统 终端 存储 介质 | ||
1.一种攻击事件追踪溯源方法,其特征在于,包括:
获取后门异常创建告警、异常PowerShell执行告警、DGA告警名称相关的原始告警日志;
根据上述原始告警日志获取触发告警的用户信息、WMI订阅事件、PowerShell的调用者、文件名关键字段信息;
通过用户信息、WMI订阅事件、PowerShell的调用者、文件名进行关联溯源,通过关联整个攻击链上的告警名称,将告警作为线索串起来,形成与关键字段相关的所有关联事件;
将所述关联事件进行同告警名称聚合,以便获取完整的攻击路径;
将特定时间/阶段维度的相关攻击信息统筹归纳,并以攻击链视角呈现出来。
2.根据权利要求1所述的攻击事件追踪溯源方法,其特征在于,所述将所述关联事件进行同告警名称聚合,以便获取完整的攻击路径,包括:
将所述关联事件按告警的最新时间来排序,以相同告警名称、攻击方向进行聚合,以便获取完整的攻击路径;
所述聚合方式包括:以目的地址聚合的外对内攻击、以原地址聚合的内对外攻击,以原地址聚合的内对内攻击。
3.一种攻击事件追踪溯源系统,其特征在于,包括:
获取单元,配置用于获取后门异常创建告警、异常PowerShell执行告警、DGA告警名称相关的原始告警日志,根据上述原始告警日志获取触发告警的用户信息、WMI订阅事件、PowerShell的调用者、文件名关键字段信息;
关联溯源单元,配置用于通过用户信息、WMI订阅事件、PowerShell的调用者、文件名进行关联溯源,通过关联整个攻击链上的告警名称,将告警作为线索串起来,形成与关键字段相关的所有关联事件;
同告警名称聚合单元,配置用于将所述关联事件进行同告警名称聚合,以便获取完整的攻击路径;
告警展示单元,配置用于将特定时间/阶段维度的相关攻击信息统筹归纳,并以攻击链视角呈现出来。
4.根据权利要求3所述的攻击事件追踪溯源系统,其特征在于,所述同告警名称聚合单元具体用于:
将所述关联事件按告警的最新时间来排序,以相同告警名称、攻击方向进行聚合,以便获取完整的攻击路径;
所述聚合方式包括:以目的地址聚合的外对内攻击、以原地址聚合的内对外攻击,以原地址聚合的内对内攻击。
5.一种终端,其特征在于,包括:
处理器;
用于存储处理器的执行指令的存储器;
其中,所述处理器被配置为执行权利要求1-2任一项所述的方法。
6.一种存储有计算机程序的计算机可读存储介质,其特征在于,该程序被处理器执行时实现如权利要求1-2中任一项所述的方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京市燃气集团有限责任公司,未经北京市燃气集团有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010678054.9/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种网络恶意爬虫识别方法、系统、终端及存储介质
- 下一篇:显示装置
