[发明专利]溯源分析方法、装置、电子设备及存储介质有效
| 申请号: | 202010015897.0 | 申请日: | 2020-01-08 |
| 公开(公告)号: | CN110830518B | 公开(公告)日: | 2020-05-08 |
| 发明(设计)人: | 董超;蒋希敏;江志聪;吴津伟 | 申请(专利权)人: | 浙江乾冠信息安全研究院有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06F21/55;G06F21/57 |
| 代理公司: | 杭州创智卓英知识产权代理事务所(普通合伙) 33324 | 代理人: | 郑思思 |
| 地址: | 310015 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 溯源 分析 方法 装置 电子设备 存储 介质 | ||
1.一种溯源分析方法,其特征在于:包括以下步骤:
获取阶段数据,根据所述阶段数据的选中状态和地址信息,得到每个阶段数据的阶段评分,所述阶段数据包括依次执行的侦查数据、入侵数据、控制数据和执行数据;
根据所述阶段数据的地址信息,得到所述阶段数据的漏洞评分和病毒评分;
根据所述阶段评分、所述漏洞评分和所述病毒评分,得到所述阶段数据的可信度评分,根据所述可信度评分确定所述阶段数据的处理顺序;
其中,根据所述阶段数据的选中状态和地址信息,得到每个阶段数据的阶段评分,包括:分别判断当前阶段数据和若干个相邻阶段数据的选中状态;当当前阶段数据的选中状态为已选中时,获得当前选中评分;当相邻阶段数据的选中状态为已选中时,获得相邻选中评分,并对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断,得到地址评分;根据所述当前选中评分、所述相邻选中评分和所述地址评分,得到所述当前阶段数据的阶段评分;
其中,所述地址信息包括源IP和目标IP,对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断,得到地址评分,包括:当当前阶段数据的源IP和目标IP分别匹配相邻阶段数据的源IP或目标IP时,获得所述地址评分。
2.如权利要求1所述的一种溯源分析方法,其特征在于:根据所述阶段数据的地址信息,得到所述阶段数据的漏洞评分,包括:
判断入侵数据的选中状态;
当所述入侵数据的选中状态为已选中时,对入侵数据的地址信息进行漏洞检测和端口匹配判断,得到所述入侵数据的漏洞评分。
3.如权利要求2所述的一种溯源分析方法,其特征在于:对入侵数据的地址信息进行漏洞检测和端口匹配判断,得到所述入侵数据的漏洞评分,其中,对所述地址信息中的目标IP进行漏洞检测和端口匹配判断,包括:
对所述目标IP进行漏洞检测,当检测到所述目标IP存在漏洞时,获得第一漏洞评分,并对所述目标IP进行高危检测;
当检测到所述目标IP存在高危漏洞时,获得第二漏洞评分,并对所述目标IP的漏洞端口与目标端口进行端口匹配判断;
当所述漏洞端口与所述目标端口相同时,获得第三漏洞评分;
将所述第一漏洞评分、所述第二漏洞评分和所述第三漏洞评分相加,得到所述入侵数据的漏洞评分。
4.如权利要求1所述的一种溯源分析方法,其特征在于:根据所述阶段数据的地址信息,得到所述阶段数据的病毒评分,包括:
分别判断入侵数据、控制数据和执行数据的选中状态;
当所述选中状态为已选中时,对相应阶段数据的地址信息进行病毒检测;
当检测到所述地址信息中存在病毒时,得到所述相应阶段数据的病毒评分。
5.如权利要求1-4任一项所述的一种溯源分析方法,其特征在于:得到所述阶段数据的可信度评分,包括:
将依次执行的侦查数据、入侵数据、控制数据和执行数据相应的阶段评分相加,得到阶段总分;
将所述阶段总分、所述漏洞评分和所述病毒评分按照预设的权重相加,得到所述可信度评分。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于浙江乾冠信息安全研究院有限公司,未经浙江乾冠信息安全研究院有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010015897.0/1.html,转载请声明来源钻瓜专利网。
