[发明专利]攻击事件的追踪溯源方法、装置及设备

权利要求书

1.一种攻击事件的追踪溯源方法，其特征在于，包括：

将攻击告警数据按照相同的属性特征划分为攻击事件切片；

根据所述攻击事件切片对应的切片特征，分析所述攻击事件切片之间的关联关系；

依据所述关联关系，将所述攻击事件切片进行同源聚合，以便获取相同的攻击者信息；

根据所述攻击事件切片对应的切片特征，分析所述攻击事件切片之间的关联关系，具体包括：

对攻击事件切片的切片特征进行评分；

若所述切片特征的评分大于预设阈值，则将所述攻击事件切片加入待遍历队列；

从所述待遍历队列中依次提取待遍历的攻击事件切片在图数据库中进行遍历，以所述图数据库中保存的所述切片特征的评分大于所述预设阈值的所述攻击事件切片以及对应的切片特征信息作为所述关联关系的判定依据，分析所述待遍历的攻击事件切片与所述图数据库中已遍历的攻击事件切片之间的共有特征关联关系。

2.根据权利要求1所述的方法，其特征在于，所述依据所述关联关系，将所述攻击事件切片进行同源聚合，具体包括：

对所述共有特征关联关系进行关联关系评分；

若所述关联关系评分符合预设标准，则获取具备与所述共有特征关联关系对应特征的其他攻击事件切片，其中，所述其他攻击事件切片在所述图数据库中不存在；

若所述其他攻击事件切片的切片评分大于所述预设阈值，则将所述其他攻击事件切片加入所述待遍历队列等待遍历；

当所述待遍历队列中数据为空时，将所述图数据库中具有符合所述预设标准的共有特征关联关系的攻击事件切片进行同源聚合，找到相同的攻击者信息。

3.根据权利要求2所述的方法，其特征在于，在所述找到相同的攻击者信息之后，所述方法还包括：

输出所述攻击者信息的告警信息；和/或

依据所述图数据库中同源聚合后的攻击事件切片簇，输出包含攻击事件切片节点的攻击者簇信息。

4.根据权利要求2所述的方法，其特征在于，所述对所述共有特征关联关系进行关联关系评分，具体包括：

依据所述共有特征关联关系的关系种类、关系的值、关系附带属性，对所述共有特征关联关系进行评分；

参照关联关系评分，将所述共有特征关联关系进行分级，以便通过分级结果确定所述关联关系评分是否符合预设标准。

5.根据权利要求1所述的方法，其特征在于，所述对攻击事件切片的切片特征进行评分，具体包括：

若攻击事件切片为WEB攻击告警IP切片，则利用所述攻击事件切片对应IP中的类确定相应的评分，其中，不同的类都有各自对应的评分。

6.根据权利要求1所述的方法，其特征在于，在根据所述攻击事件切片对应的切片特征，分析所述攻击事件切片之间的关联关系之前，所述方法还包括：

根据所述攻击事件切片对应的攻击事件告警类型进行数据富化；

从富化数据和与所述攻击事件切片对应记录的原始日志数据中，提取与所述攻击事件切片对应攻击事件的相关同源关联特征，作为所述切片特征。

7.根据权利要求1所述的方法，其特征在于，所述将攻击告警数据按照相同的属性特征划分为攻击事件切片，具体包括：

将攻击告警数据中在预设时间段内来自相同IP地址、和/或相同域名的攻击事件，划分为同一个攻击事件切片；和/或

将攻击告警数据中在预定时间段内具有相同指纹信息、和/或相同样本信息、和/或相同告警信息的攻击事件，划分为同一个攻击事件切片；和/或

将攻击告警数据中在预置时间段内包含相同恶意附件的攻击事件，划分为同一个攻击事件切片。