[发明专利]溯源分析方法、装置、电子设备及存储介质

说明书

本发明公开了一种溯源分析方法，涉及网络安全技术领域，该方法包括以下步骤：获取依次执行的侦查、入侵、控制和执行阶段数据，根据阶段数据的选中状态和地址信息，得到每个阶段数据的阶段评分；根据阶段数据的地址信息，得到阶段数据的漏洞评分和病毒评分；根据阶段评分、漏洞评分和病毒评分，得到阶段数据的可信度评分，根据可信度评分确定阶段数据的处理顺序。该方法能够获取阶段评分、漏洞评分和病毒评分等有用攻击信息，将可信度评分作为安全产品发生告警时，攻击阶段数据处理优先级的依据，以提高产品的整体安全。本发明还公开了一种溯源分析装置、电子设备和计算机存储介质。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种溯源分析方法、装置、电子设备及存储介质。

背景技术

伴随着互联网和移动互联网在各个行业、各个领域的广泛应用，各种网络攻击事件频繁爆发，网络安全问题日益严重，而伴随着各种网络攻击技术、计算机隐匿技术，特别是随着大数据时代的来临，网络攻击的规模、范围和攻击深度不断提升，传统方法和技术手段对于网络攻击的溯源分析越来越难达到预期的效果。

目前对攻击事件的溯源分析，主要通过安全产品产生告警，由安全工程师查看告警、处理事件，虽然可以分析某一个攻击点或者某一次漏洞利用，但无法关联攻击者在当前告警前后的攻击信息，并且因为告警数量众多、纷繁复杂，导致有用的攻击信息隐蔽在海量的告警事件中，不能为用户提供处理攻击的依据。

发明内容

为了克服现有技术的不足，本发明的目的之一在于提供一种溯源分析方法，其通过对依次执行的四个阶段数据进行溯源分析，根据选中状态和地址信息得到阶段数据的阶段评分、漏洞评分和病毒评分，进而得到可信度评分，为阶段数据处理顺序的确定提供依据。

本发明的目的之一采用以下技术方案实现：

获取阶段数据，根据所述阶段数据的选中状态和地址信息，得到每个阶段数据的阶段评分，所述阶段数据包括依次执行的侦查数据、入侵数据、控制数据和执行数据；

根据所述阶段数据的地址信息，得到所述阶段数据的漏洞评分和病毒评分；

根据所述阶段评分、所述漏洞评分和所述病毒评分，得到所述阶段数据的可信度评分，根据所述可信度评分确定所述阶段数据的处理顺序；

其中，根据所述阶段数据的选中状态和地址信息，得到每个阶段数据的阶段评分，包括：分别判断当前阶段数据和若干个相邻阶段数据的选中状态；当当前阶段数据的选中状态为已选中时，获得当前选中评分；当相邻阶段数据的选中状态为已选中时，获得相邻选中评分，并对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断，得到地址评分；根据所述当前选中评分、所述相邻选中评分和所述地址评分，得到所述当前阶段数据的阶段评分；

其中，所述地址信息包括源IP和目标IP，对当前阶段数据与相邻阶段数据的地址信息进行地址匹配判断，得到地址评分，包括：当当前阶段数据的源IP和目标IP分别匹配相邻阶段数据的源IP或目标IP时，获得所述地址评分。

进一步地，根据所述阶段数据的地址信息，得到所述阶段数据的漏洞评分，包括：

判断入侵数据的选中状态；

当所述入侵数据的选中状态为已选中时，对入侵数据的地址信息进行漏洞检测和端口匹配判断，得到所述入侵数据的漏洞评分。

进一步地，对入侵数据的地址信息进行漏洞检测和端口匹配判断，得到所述入侵数据的漏洞评分，其中，对所述地址信息中的目标IP进行漏洞检测和端口匹配判断，包括：

对所述目标IP进行漏洞检测，当检测到所述目标IP存在漏洞时，获得第一漏洞评分，并对所述目标IP进行高危检测；

当检测到所述目标IP存在高危漏洞时，获得第二漏洞评分，并对所述目标IP的漏洞端口与目标端口进行端口匹配判断；