[发明专利]攻陷主机自动判定方法、装置、电子设备及存储介质

权利要求书

1.一种攻陷主机自动判定方法，其特征在于，包括：

根据安全设备输出的日志生成安全事件，所述安全事件为描述攻击者活动的事件，所述安全事件中包含目的IP地址和攻击阶段；所述根据安全设备输出的日志生成安全事件，具体包括：获取安全设备输出的攻击日志和回包日志，所述攻击日志包括入侵者攻击的信息，所述回包日志包括被攻击者会话的回包信息；聚合符合事件规则的攻击日志得到攻击事件；查找与所述攻击事件中的攻击日志匹配的回包日志；根据查找到的回包日志中的第一标识确定所述攻击事件是否为成功事件，所述第一标识用于标记与所述回包日志匹配的攻击日志中的网络活动是否成功执行；将被确定为成功事件的攻击事件作为安全事件；

聚合目的IP地址相同的安全事件，并根据聚合的安全事件的攻击阶段得到所述目的IP地址对应的主机的攻击链；

查找源IP地址为所述主机的IP地址的安全事件，并根据查找到的安全事件修正所述攻击链；

根据修正后的攻击链判断所述主机是否被攻陷。

2.根据权利要求1所述的方法，其特征在于，所述事件规则包括以下任意一条或多条规则：攻击日志的生成时间在预设时间段内、攻击日志的目的IP地址相同、攻击日志中包含预设的攻击字段、包含同一攻击字段的攻击日志的数量超过第一阈值、基于攻击日志推理得到的信息是否满足预设规则。

3.根据权利要求1所述的方法，其特征在于，根据查找到的回包日志中的第一标识确定所述攻击事件是否为成功事件，具体包括：

若在查找到的所有回包日志中，第一标识为成功的回包日志的数量满足预设条件时，确定所述攻击事件为成功事件。

4.根据权利要求1所述的方法，其特征在于，在查找与所述攻击事件中的攻击日志匹配的回包日志之前，还包括：

根据预设的去噪规则删除攻击事件中的噪声事件。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若所述攻击事件被人工标记为成功事件，则将所述攻击事件作为安全事件。

6.根据权利要求1至5中任一所述的方法，其特征在于，所述查找源IP地址为所述主机的IP地址的安全事件，并根据查找到的安全事件修正所述攻击链，包括：

若所述攻击链中不包含攻击预设阶段的安全事件，则查找源IP地址为所述主机的IP地址的安全事件，并将查找到的安全事件作为预设阶段的安全事件补充到所述攻击链中，以修正所述攻击链。

7.根据权利要求1至5中任一所述的方法，其特征在于，根据所述攻击链判断所述主机是否被攻陷，具体包括：

判断所述攻击链中包含的安全事件的攻击阶段是否满足攻陷规则，若满足，则判断所述主机被攻陷，否则判定所述主机未被攻陷。

8.一种攻陷主机自动判定装置，其特征在于，包括：

安全事件生成模块，用于根据安全设备输出的日志生成安全事件，所述安全事件为描述攻击者活动的事件，所述安全事件中包含目的IP地址和攻击阶段；

所述安全事件生成模块具体包括日志获取单元、日志聚合单元、匹配单元以及安全事件确定单元；所述日志获取单元，用于获取安全设备输出的攻击日志和回包日志，所述攻击日志包括入侵者攻击的信息，所述回包日志包括被攻击者会话的回包信息；所述日志聚合单元，用于聚合符合事件规则的攻击日志得到攻击事件；所述匹配单元，用于查找与所述攻击事件中的攻击日志匹配的回包日志；所述安全事件确定单元，用于根据查找到的回包日志中的第一标识确定所述攻击事件是否为成功事件，所述第一标识用于标记与所述回包日志匹配的攻击日志中的网络活动是否成功执行，将被确定为成功事件的攻击事件作为安全事件；

攻击链生成模块，用于聚合目的IP地址相同的安全事件，并根据聚合的安全事件的攻击阶段得到所述目的IP地址对应的主机的攻击链；

攻击链修正模块，用于查找源IP地址为所述主机的IP地址的安全事件，并根据查找到的安全事件修正所述攻击链；

判断模块，用于根据修正后的攻击链判断所述主机是否被攻陷。