[发明专利]一种网络攻击的溯源方法和装置、电子设备及存储介质

说明书

本申请提供了一种网络攻击的溯源方法和装置、电子设备及存储介质，涉及网络安全技术领域。该方法包括：当捕获到预设攻击事件发生时，获取预设攻击事件的初始攻击要素的信息；获取预先构建的要素矩阵；依据获取的初始攻击要素的信息，对比要素矩阵，确定用于获取初始攻击要素的信息的至少一个第一目标关键手段；结合初始攻击要素的信息，通过至少一个第一目标关键手段获取与初始攻击要素关联的至少一个第一目标关键要素的信息；基于初始攻击要素的信息和至少一个第一目标关键要素的信息，对攻击方进行溯源。可以看到，本申请实施例降低了溯源工作的技术门槛，同时避免过多依赖个人能力导致的混乱和遗漏，极大提升了溯源的效率。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种网络攻击的溯源方法和装置、电子设备及存储介质。

背景技术

随着近些年实战攻防演习的兴起，网络攻防对抗博弈不断升级，随着防守方的能力不断提升，对防守方的要求也不断提高，不单单仅限于防得住的被动挨打局面，更需要在防守现场开展溯源工作，对攻击方进行画像定位，确定其组织或身份。目前在各类攻防演习防守现场，溯源工作的开展通常依赖现场个别技术人员的个人能力以及其个人经验，缺少统一的流程和方法，溯源的效率较低，且不同的人员由于经验、思路、想法的参差无法统一，可能会导致防守现场的混乱，也容易存在遗漏。因此，亟需解决这一技术问题。

发明内容

鉴于上述问题，提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的网络攻击的溯源方法和装置、电子设备及存储介质，不依赖于个人能力或经验，降低了溯源工作的技术门槛，极大提升了溯源的效率。所述技术方案如下：

第一方面，提供了一种网络攻击的溯源方法，包括：

当捕获到预设攻击事件发生时，获取所述预设攻击事件的初始攻击要素的信息；

获取预先构建的要素矩阵，其中所述要素矩阵中包括用于溯源攻击方的一个或多个关键要素，以及用于获取各个关键要素的信息的一个或多个关键手段；

依据获取的所述初始攻击要素的信息，对比所述要素矩阵，确定用于获取所述初始攻击要素的信息的至少一个第一目标关键手段；

结合所述初始攻击要素的信息，通过所述至少一个第一目标关键手段获取与所述初始攻击要素关联的至少一个第一目标关键要素的信息；

基于所述初始攻击要素的信息和所述至少一个第一目标关键要素的信息，对攻击方进行溯源。

在一种可能的实现方式中，在结合所述初始攻击要素的信息，通过所述至少一个第一目标关键手段获取与所述初始攻击要素关联的至少一个第一目标关键要素的信息之后，所述方法还包括：

依据所述至少一个第一目标关键要素的信息，对比所述要素矩阵，确定用于获取所述至少一个第一目标关键要素的信息的至少一个第二目标关键手段；

结合所述至少一个第一目标关键要素的信息，通过所述至少一个第二目标关键手段获取与所述至少一个第一目标关键要素关联的至少一个第二目标关键要素的信息；

基于所述初始攻击要素的信息和所述至少一个第一目标关键要素的信息，对攻击方进行溯源，包括：

基于所述初始攻击要素的信息、所述至少一个第一目标关键要素的信息以及所述至少一个第二目标关键要素的信息，对攻击方进行溯源。

在一种可能的实现方式中，所述要素矩阵采用第一类二维表进行展示，所述第一类二维表的行中记载用于溯源攻击方的一个或多个关键要素，所述第一类二维表的列中记载一个或多个关键手段，所述行和所述列交叉构成的单元格中记载标识符，所述标识符至少包括：第一标识符，当所述要素矩阵的任一单元格中记载的是第一标识符时，表示该单元格所在列对应的关键手段用于获取该单元格所在行对应的关键要素的信息；