[发明专利]一种攻击链路检测方法、装置、电子设备及存储介质

说明书

本发明实施例适用于计算机技术领域，提供了一种攻击链路检测方法、装置、电子设备及存储介质，其中，攻击链路检测方法包括：基于至少两个告警数据创建知识图谱；知识图谱的节点表征告警数据；知识图谱的边表征该边对应的两个节点之间的关联关系；获取知识图谱中的攻击链路。

技术领域

本发明涉及计算机技术领域，尤其涉及一种攻击链路检测方法、装置、电子设备及存储介质。

背景技术

相关技术在进行攻击链路检测时，通常是从参数、请求字段和内容等方向进行检测，这种检测方法检测到的攻击链路不够准确，不利于进行攻击研判分析。

发明内容

为了解决上述问题，本发明实施例提供了一种攻击链路检测方法、装置、电子设备及存储介质，以至少解决相关技术检测到的攻击链路不利于进行攻击研判分析的问题。

本发明的技术方案是这样实现的：

第一方面，本发明实施例提供了一种攻击链路检测方法，该方法包括：

基于至少两个告警数据创建知识图谱；所述知识图谱的节点表征告警数据；所述知识图谱的边表征该边对应的两个节点之间的关联关系；

获取所述知识图谱中的攻击链路。

在上述方案中，在获取所述知识图谱中的攻击链路之后，所述方法还包括：

基于所述知识图谱中节点的节点特征，确定攻击链路的威胁信息；

基于所述威胁信息对所有攻击链路进行排序。

在上述方案中，所述确定攻击链路的威胁信息，包括：

基于所述节点特征对所述知识图谱的每个节点进行打分，得到每个节点的第一得分值；

基于每条攻击链路上节点的第一得分值，计算对应的攻击链路的第二得分值，将所述第二得分值作为所述攻击链路的威胁信息。

在上述方案中，所述基于至少两个告警数据创建知识图谱，包括：

将各个告警数据作为节点；

基于各个告警数据中的源主机或目的主机，确定处于各条攻击链路上的各个节点；

基于各告警数据的时间信息确定各条攻击链路上的各个节点之间的连接关系；

基于所述节点及所述连接关系构建所述知识图谱。

在上述方案中，在基于至少两个告警数据创建知识图谱之前，所述方法还包括：

对历史告警数据中相同的告警数据进行聚合，得到所述至少两个告警数据；所述相同的告警数据表征除时间信息外的其他信息都相同的告警数据。

在上述方案中，在基于至少两个告警数据创建知识图谱之后，所述方法还包括：

基于设定条件对所述知识谱图进行更新得到更新图谱；其中，所述设定条件表征攻击链路上的第一节点与第二节点对应的时间戳的差值小于设定值；

在上述方案中，所述节点特征至少包括以下任意一项：

所述节点对应的攻击类型；

所述节点的出度和入度；

所述节点对应的告警级别。

第二方面，本发明实施例提供了一种攻击链路检测装置，该装置包括：

创建模块，用于基于至少两个告警数据创建知识图谱；所述知识图谱的节点表征告警数据；所述知识图谱的边表征该边对应的两个节点之间的关联关系；

获取模块，用于获取所述知识图谱中的攻击链路。