[发明专利]攻击事件的追溯方法及装置、存储介质、计算机设备

说明书

本申请公开了攻击事件的追溯方法及装置、存储介质、计算机设备，该方法包括：利用云端对攻击事件进行监测；根据监测到的攻击事件对应的被攻击端设备，得到所述攻击事件的行为链信息；根据所述攻击事件的行为链信息，确定发起攻击事件的发起攻击端设备。本申请能够根据所确定的发起攻击端设备快速确定攻击事件的发起攻击端，提升追溯成功率和准确率，为后续的安全防御工作提供科学依据，同时，降低了对运维人员的专业性要求，降低了人员成本。

技术领域

本申请涉及网络安全技术领域，尤其是涉及到攻击事件的追溯方法及装置、存储介质、计算机设备。

背景技术

目前，网络安全环境正发生深刻演变，随着攻击手段多样化，攻击团队专业化、组织化、甚至国家化，攻防不对等加剧，企业用户所部署的大量传统的安全设备，还是难以有效应对日益严峻的威胁形势。

在现有的安全防护系统中，安全日志告警是必不可少的一个功能模块，但随着企业服务器的不断增多、黑客攻击成本不断下降，导致安全告警日志不断增加，企业专业的运维人员在成千上万的安全告警日志中追溯某一个攻击事件十分困难，不仅需要专业的运维人员进行人工查找，对运维人员的专业性有较高的要求，且人员成本较高，同时，对安全告警日志中某一个攻击事件追溯成功的可能性较低，即便追溯到攻击事件，其追溯结果的准确率也不容乐观，无法展开相应的安全防御工作。

发明内容

有鉴于此，本申请提供了攻击事件的追溯方法及装置、存储介质、计算机设备，基于云端确定发现攻击事件的设备从而追溯到原始设备，以解决企业用户在处理攻击事件过程中遇到的难以追溯原始设备的技术问题。

根据本申请的一个方面，提供了一种攻击事件的追溯方法，包括：

利用云端对攻击事件进行监测；

根据监测到的攻击事件对应的被攻击端设备，得到所述攻击事件的行为链信息；

根据所述攻击事件的行为链信息，确定发起攻击事件的发起攻击端设备。

根据本申请的另一方面，提供了一种攻击事件的追溯装置，包括：

监测模块，用于利用云端对攻击事件进行监测；

行为链模块，用于根据监测到的攻击事件对应的被攻击端设备，得到所述攻击事件的行为链信息；

追溯模块，用于根据所述攻击事件的行为链信息，确定发起攻击事件的发起攻击端设备。

依据本申请又一个方面，提供了一种存储介质，其上存储有计算机程序，所述程序被处理器执行时实现上述攻击事件的追溯方法。

依据本申请再一个方面，提供了一种计算机设备，包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述攻击事件的追溯方法。

借由上述技术方案，本申请提供的攻击事件的追溯方法及装置、存储介质、计算机设备，利用云端对攻击事件进行监测，根据监测到的攻击事件对应的被攻击端设备，得到该攻击事件的行为链信息，并根据该攻击事件的行为链信息，确定发起攻击事件的发起攻击端设备。本申请能够根据所确定的发起攻击端设备快速确定攻击事件的发起攻击端，提升追溯成功率和准确率，为后续的安全防御工作提供科学依据，同时，降低了对运维人员的专业性要求，降低了人员成本。

上述说明仅是本申请技术方案的概述，为了能够更清楚了解本申请的技术手段，而可依照说明书的内容予以实施，并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂，以下特举本申请的具体实施方式。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：