[发明专利]一种攻击链拓扑的构建方法及装置

说明书

本发明公开了一种攻击链拓扑的构建方法及装置，其中，所述攻击链拓扑的构建方法包括：获取网络攻击告警信息，所述告警信息包括第一告警标识；发送第一告警日志请求，所述第一告警日志请求包括所述第一告警标识；获取第一告警日志，所述第一告警日志包括所述第一告警标识、第一源IP、第一目标IP、第一触发告警条件、第一触发告警时间；根据所述第一告警日志，构建所述攻击链拓扑。本发明通过采用上述方法建立攻击链拓扑，从而可以直观地了解此次安全事件的整个过程，提高对攻击流程的直观感受，适用新常态下威胁感知变化。

技术领域

本发明涉及网络安全领域，具体而言，涉及一种攻击链拓扑的构建方法及装置。

背景技术

网络攻击对网络和信息系统的危害非常大，有必要对网络攻击的过程等进行研究，并建模和分析，然后进行针对性防御。网络攻击通常有多个阶段，攻击者逐阶段地获得了更多的特权、信息和资源，以在目标系统内更深入地渗透。

网络攻击链提供了一个描述网络攻击的模型，将复杂的攻击分解为相互非独有的阶段或层。

现有技术中，通过人工分析某次网络攻击的攻击日志来获取网络攻击信息，并通过人工分析可能的攻击类型及攻击阶段，进而探索消除网络威胁的途径。人工方式有很多弊端，如：仅能获取某次攻击的数据，无法获得整个攻击面的数据；无法评估同类资产可能遭受的攻击风险；攻击阶段的划分缺乏统一标准，消除威胁的方法无法推广使用；等等。

针对上述问题，亟需提供一种基于大数据分析的统一化的攻击链拓扑的构建方法及装置。

发明内容

本发明实施例提供了一种攻击链拓扑的构建方法及装置，以至少解决现有技术主要依靠人工分析、无法获取整个攻击面的数据、无法评估同类资产可能遭受的攻击风险、攻击阶段的划分缺乏统一性等技术问题。

根据本发明实施例的一个方面，提供了一种攻击链拓扑的构建方法，包括：获取网络攻击告警信息，所述告警信息包括第一告警标识；发送第一告警日志请求，所述第一告警日志请求包括所述第一告警标识；获取第一告警日志，所述第一告警日志包括所述第一告警标识、第一源IP、第一目标IP、第一触发告警条件、第一触发告警时间；根据所述第一告警日志，构建所述攻击链拓扑。在获取网络攻击告警信息后，可通过调取告警日志快速了解整个安全事件的具体情况。

可选地，所述攻击链拓扑的构建方法还包括：发送第一资产信息请求，所述第一资产信息请求包括所述第一目标IP；获取第一资产信息，所述第一资产信息包括所述第一目标IP、第一资产标识、第一敏感数据、第一登录账号及其授权状况；根据所述第一资产信息，完善所述攻击链拓扑。通过目标IP获取资产信息，完善攻击链拓扑，从而有助于将资产信息与攻击信息进行结合分析，进而及时获知资产风险，以及早进行安全威胁排查或消除安全威胁。

可选地，所述攻击链拓扑的构建方法还包括：发送关联通信信息请求，所述关联通信信息请求包括所述第一源IP；获取关联通信信息，所述关联通信信息包括所述第一源IP、与所述第一源IP通信的关联IP、所述关联IP的第二告警标识。通过第一源IP获取与其通信的关联IP，分析第一源IP可能攻击或曾经攻击的IP信息，进而对该攻击的攻击对象有个整体认识，从而全面了解攻击性质。

可选地，所述攻击链拓扑的构建方法还包括：发送第二告警日志请求，所述第二告警日志请求包括所述第二告警标识；获取第二告警日志，所述第二告警日志包括所述第二告警标识、所述关联IP、第二源IP、第二触发告警条件、第二触发告警时间；根据所述第二告警日志，完善所述攻击链拓扑。通过获取关联IP的告警日志，层层解析，完善攻击链拓扑，从而了解整个攻击及安全事件，同时可通过层层下钻，了解关联IP所可能遭受或曾经遭受的其他攻击，从而获得一个网状攻击链拓扑。