[发明专利]网络攻击溯源实现方法及装置

权利要求书

1.一种网络攻击溯源实现方法，其特征在于，包括：

获取内部网络系统受到网络攻击的本次告警消息和历史告警消息，所述本次告警消息包括本次告警设备的设备标识；

根据所述本次告警消息和所述历史告警消息，生成内部脆弱点列表，所述内部脆弱点列表包括所述内部网络系统中与所述本次告警设备有通信连接的且历史上受到过所述网络攻击的网络设备的设备标识；包括：

根据所述本次告警设备的日志信息和网络流量监控信息，生成第一内部网络设备列表，所述第一内部网络设备列表包括所述内部网络系统中与所述本次告警设备有通信连接的网络设备的设备标识；

根据所述历史告警消息，生成第二内部网络设备列表，所述第二内部网络设备列表包括所述第一内部网络设备列表中历史上受到过告警的网络设备的设备标识；

确定所述第二内部网络设备列表中包括有预设网络攻击的网络设备，得到第三内部网络设备列表，所述第三内部网络设备列表包括所述第二内部网络设备列表中包括有预设网络攻击的网络设备，所述预设网络攻击告警，包括下述至少一种：网络监听告警、系统漏洞攻击告警和木马攻击告警；

将所述第三内部网络设备列表作为所述内部脆弱点列表；

根据获取到的所述内部脆弱点列表中的网络设备的日志信息和网络流量监控信息，确定所述网络攻击的攻击路径，包括：

根据获取到的所述内部脆弱点列表中的网络设备的日志信息和网络流量监控信息，确定与所述内部脆弱点列表中的网络设备有通信连接的网络设备；

判断与所述内部脆弱点列表中的网络设备有通信连接的网络设备中是否包括外部网络系统的外部网络设备；

若与所述内部脆弱点列表中的网络设备有通信连接的网络设备中包括外部网络系统的外部网络设备，根据外网设备、各列表及所述本次告警设备，生成所述网络攻击的攻击路径。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若与所述内部脆弱点列表中的网络设备有通信连接的网络设备中不包括外部网络系统的外部网络设备，将与所述内部脆弱点列表中的网络设备有通信连接的网络设备作为当前的本次告警设备，返回执行所述根据所述本次告警设备的日志信息和网络流量监控信息生成第一内部网络设备列表的步骤。

3.根据权利要求2所述的方法，其特征在于，若与所述内部脆弱点列表中的网络设备有通信连接的网络设备中包括外部网络系统的外部网络设备，将所述外网设备确定为攻击源，或者；获取所述外部网络设备的设备标识；

在本地威胁情报库中查找与所述设备标识相对应的情报信息；

根据所述情报信息获取所述外部网络设备中的攻击源；

根据所述攻击源、各列表及所述本次告警设备，生成所述网络攻击的攻击路径。