[发明专利]一种网络威胁溯源迭代分析方法、计算机设备及存储介质

权利要求书

1.一种网络威胁溯源迭代分析方法，其特征在于，包括如下步骤：

步骤1、生成资产受损特征链：当某一资产遭受网络攻击时，对已发现该资产的多种网络攻击表象特征进行融合分析，定期形成资产受损特征链；

步骤2、构建资产受损特征矩阵：定期将多个资产的所述资产受损特征链进行关联分析，一旦发现不同资产存在多个相似的受损特征，则认为可能由相似的网络威胁引起，并组合形成资产受损特征矩阵；

步骤3、生成相似资产运行特征矩阵：对所述资产受损特征矩阵中相关的资产一段时间内的运行状态信息进行融合分析，找出存在相似度的资产集合，并将其组合形成相似资产运行特征矩阵；

步骤4、生成相似资产运行特征变化矩阵：将所述相似资产运行特征矩阵中各个资产在最近一段时间的所述运行状态信息的变化进行融合分析，衍化形成相似资产运行特征变化矩阵；

步骤5、生成相似资产操作行为矩阵：基于所述相似资产运行特征变化矩阵，对引起资产运行特征变化的内部操作行为信息进行关联分析，衍化形成相似资产操作行为矩阵；

步骤6、生成相似资产网络行为矩阵：基于所述相似资产运行特征变化矩阵和所述相似资产操作行为矩阵，结合各个资产的网络行为相似度分析，形成相似资产网络行为矩阵；

步骤7、复盘分析网络攻击链：将所述相似资产网络行为矩阵中的标记的网络行为进行逐段的网络攻击链的复盘迭代分析；

步骤6包括如下子步骤：

步骤6.1、生成相似资产直接网络行为矩阵：基于所述相似资产运行特征变化矩阵，对引起资产运行特征变化的外部网络行为信息进行关联分析，衍化形成相似资产直接网络行为矩阵；

步骤6.2、生成相似资产间接网络行为矩阵：基于所述相似资产操作行为矩阵，针对资产操作行为的所述外部网络行为信息进行关联分析，衍化形成相似资产间接网络行为矩阵；

步骤6.3、生成相似资产网络行为矩阵：将所述相似资产间接网络行为矩阵和所述相似资产间接网络行为矩阵合并，并将所有资产一段时间内的网络通信行为进行复原，之后对各个资产网络行为矩阵进行融合关联分析，找出网络行为矩阵存在相似性的相关资产，对其组合后形成所述相似资产网络行为矩阵，并对矩阵中的相似网络行为进行标记。

2.根据权利要求1所述的一种网络威胁溯源迭代分析方法，其特征在于，步骤6.1中，所述外部网络行为信息包括文件传送、远程登陆、远程访问和数据获取。

3.根据权利要求1所述的一种网络威胁溯源迭代分析方法，其特征在于，步骤6.3中，所述网络通信行为包括网络行为的源地址、目的地址、通信协议、通信时间和操作对象。

4.根据权利要求1所述的一种网络威胁溯源迭代分析方法，其特征在于，步骤7包括如下子步骤：

步骤7.1、基于网络行为进行追踪分析：将所述相似资产网络行为矩阵中的标记的网络行为进行源地址追踪分析，若所有网络行为源地址均指向同一资产，则将相关网络行为认定为网络威胁行为特征，并跳转到步骤7.4；若存在多个资产，则将相关资产的运行特征进行复原，形成所述相似资产运行特征矩阵；

步骤7.2、生成相似资产网络行为矩阵：将所述相似资产运行特征矩阵中各个资产的运行特征进行融合关联分析，找出运行特征存在相似度的资产，对相关资产一段时间内的所述网络通信行为进行复原，并将其组合形成所述相似资产网络行为矩阵；

步骤7.3、生成网络威胁行为特征：抽取所述相似资产网络行为矩阵的共性特征，认定为网络威胁行为特征；

步骤7.4、复盘网络攻击链：将相关资产以及网络威胁行为特征记录到网络攻击链中，形成网络攻击链的前一步骤特征信息；若存在所述相似资产网络行为矩阵，则跳转到步骤7.1进行再次迭代分析。

5.根据权利要求1所述的一种网络威胁溯源迭代分析方法，其特征在于，步骤3中，所述运行状态信息包括系统策略、系统用户、系统漏洞、系统文件和系统进程。

6.根据权利要求1所述的一种网络威胁溯源迭代分析方法，其特征在于，步骤5中，所述内部操作行为信息包括进程操作、外设操作、文件操作和数据操作。