[发明专利]一种攻击行为确定方法、装置及态势感知系统有效
| 申请号: | 201611158794.X | 申请日: | 2016-12-15 |
| 公开(公告)号: | CN108234400B | 公开(公告)日: | 2021-01-22 |
| 发明(设计)人: | 邱雁杰 | 申请(专利权)人: | 北京金山云网络技术有限公司;北京金山云科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京柏杉松知识产权代理事务所(普通合伙) 11413 | 代理人: | 马敬;项京 |
| 地址: | 100085 北京*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 攻击行为 确定 方法 装置 态势 感知 系统 | ||
1.一种攻击行为确定方法,其特征在于,所述方法包括:
根据目标访问行为的访问路径节点以及所述目标访问行为在所述访问路径节点的访问触发时刻,确定所述目标访问行为的访问路径时间轴;
判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配,其中,所述攻击路径时间轴为:根据攻击行为的攻击路径节点以及所述攻击行为在所述攻击路径节点的攻击触发时刻确定的;所述判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配为:将所述访问路径时间轴与预设的攻击路径信息库中记录的攻击路径时间轴逐一进行比对;
如果是,将所述目标访问行为确定为第一攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述目标访问行为存在于业务系统中。
3.根据权利要求1所述的方法,其特征在于,所述预设的攻击路径信息库按照以下方式生成:
获取预设的蜜罐系统中的蜜罐日志;
确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴;
根据所确定的第二攻击行为的攻击路径时间轴,生成所述预设的攻击路径信息库。
4.根据权利要求3所述的方法,其特征在于,所述蜜罐系统为:根据业务系统中的服务搭建的。
5.根据权利要求3所述的方法,其特征在于,所述确定所述蜜罐日志所对应的第二攻击行为的攻击路径时间轴,包括:
根据预设的攻击行为特征,确定所述蜜罐日志所对应的第二攻击行为;
根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻,确定所述第二攻击行为的攻击路径时间轴。
6.根据权利要求5所述的方法,其特征在于,所述根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻,确定所述第二攻击行为的攻击路径时间轴,包括:
根据所述蜜罐系统中的流量,确定所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻;
根据所述第二攻击行为的目标攻击路径节点以及所述第二攻击行为在所述目标攻击路径节点的目标攻击触发时刻,确定所述第二攻击行为的攻击路径时间轴。
7.根据权利要求3-6中任一项所述的方法,其特征在于,所述蜜罐日志为:
通过应用层替换bash记录的bash操作日志;和/或
通过内核模块补丁记录的键盘操作日志。
8.一种攻击行为确定装置,其特征在于,所述装置包括:
第一确定模块,用于根据目标访问行为的访问路径节点以及所述目标访问行为在所述访问路径节点的访问触发时刻,确定所述目标访问行为的访问路径时间轴;
判断模块,用于判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配,其中,所述攻击路径时间轴为:根据攻击行为的攻击路径节点以及所述攻击行为在所述攻击路径节点的攻击触发时刻确定的;所述判断所述访问路径时间轴是否与预设的攻击路径信息库中记录的攻击路径时间轴匹配为:将所述访问路径时间轴与预设的攻击路径信息库中记录的攻击路径时间轴逐一进行比对;
第二确定模块,用于在所述判断模块判断出所述访问路径时间轴与预设的攻击路径信息库中记录的攻击路径时间轴匹配时,将所述目标访问行为确定为第一攻击行为。
9.根据权利要求8所述的装置,其特征在于,所述目标访问行为存在于业务系统中。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京金山云网络技术有限公司;北京金山云科技有限公司,未经北京金山云网络技术有限公司;北京金山云科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201611158794.X/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种接口通信方法及终端
- 下一篇:一种对业务系统授权的方法及装置
