[发明专利]一种攻击溯源方法、装置和电子设备

说明书

本申请实施例中，通过构建基线模型的方式，去除多余的日志数据，从而缓解终端侧数据之间依赖关系爆炸的问题，降低运算负荷，并从网络侧和终端侧的日志数据中提取出代表性的字段，通过定义日志数据之间的依赖关系，构建时序异构图，并通过构建的知识图谱，定义知识图谱中的节点与时序异构图中节点之间的依赖关系，构建完整的攻击溯源图。本申请实施例提供的攻击溯源方法、装置和电子设备，能够在网络侧与终端侧关联的场景中，基于攻击源与目标对象的相关信息，从攻击溯源图中获得更加完整，且准确性更高的攻击路径。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种攻击溯源方法、装置和电子设备。

背景技术

近年来，随着网络空间攻击面的不断扩大，新一代的攻击威胁频繁发生。为应对这些攻击威胁，除了提前预防各类安全事故发生，还包括对各类安全事故进行事后的响应，攻击溯源是各类安全事故中进行事后响应的重要组成部分，是指通过对受害资产与内网流量进行分析，一定程度上还原攻击者的攻击路径与攻击手法的方法。通过这种攻击溯源的方法，可以确定攻击源和其攻击的相应路径，以便防御者指定更好地防护和反制方案。攻击溯源是构建网络安全防御体系的重要一环。

在已发生的攻击事件中，攻击者的攻击行为之间是具有因果关联关系的，而攻击溯源就是基于这种因果关联关系，把与攻击相关的信息关联到一起构建攻击溯源图，并从中找到攻击者及攻击路径。通常情况下，需要基于历史告警数据与历史日志数据之间的依赖关系，设置上述因果关联关系，并构建相应的攻击溯源图。

通常，攻击溯源技术建立在对攻击溯源图的分析处理上。相关技术下，攻击溯源图的构建主要分为三种情况：

1、主机侧攻击溯源图的构建。

2、系统日志与应用程序日志关联的攻击溯源图的构建。

3、网络侧与终端侧关联的攻击溯源图的构建。

其中，主机侧攻击溯源图的构建技术与系统日志与应用程序日志关联的攻击溯源图的构建技术已经较为完善，但对网络侧与终端侧关联的攻击溯源图的构建技术还不成熟，会存在以下技术缺陷：

1)确定攻击路径时产生大量的运算负荷。

具体的，主机侧攻击溯源图的构建与系统日志与应用程序日志关联的攻击溯源图的构建均是在单一设备上进行，而一个完整的攻击过程通常是横跨多个设备的，只有构建网络侧与终端侧关联的攻击溯源图才有可能溯源到完整的攻击路径。

但是，这种情况下，横跨多个设备的攻击流程所涉及的历史日志数据是海量的，这会导致数据之间的依赖关系过于复杂，从而造成所构建出的攻击溯源图会过于庞大，因此，在一定程度上显著提升了确定攻击路径的流程复杂度，造成大量的运算负荷。

2)所获取到的攻击路径的准确性不高。

具体的，当攻击者使用一些攻击手段时，可能会出现所获取到的攻击路径的不完整或准确性不高的问题。

例如，攻击者在某一设备上传Webshell，进而通过SQL Server弱口令获取主机权限，进而创建新用户。由于中间件到数据库的网络连接较多，人工判断也无法准确找到对应的连接，导致获取到的攻击路径不完整。

在这种情况下，设置上述因果关联关系，会导致构建的网络侧与终端侧关联的攻击溯源图并不准确，进而造成从中获取到的攻击路径不完整，或者准确性不高。

发明内容

本发明实施例提供一种攻击溯源方法、装置和电子设备，用于在网络侧与终端侧关联的攻击溯源场景下，提高所获取到的目标攻击路径的准确性，并降低确定目标攻击路径时所产生的运算负荷。

第一方面，本申请实施例提供一种攻击溯源方法，所述方法包括：

获取目标对象的第一历史日志数据，并基于所述第一历史日志数据，确定攻击目标及攻击源。