技术特征:
1.一种网络安全事件溯源分析方法,其特征在于,包括以下步骤:选取设备的告警入口,获取告警入口的五元组以及告警时间;以五元组的同源ip地址为主元素获取若干个设备告警入口,根据告警时间和含有告警入口的设备ip地址绘制攻击拓扑溯源图。2.根据权利要求1所述的一种网络安全事件溯源分析方法,其特征在于,选取设备的告警入口,获取告警入口的五元组以及告警时间,根据五元组的源ip地址为主元素选取具有相同的源ip地址的另一个设备的告警入口,设备按照告警时间顺序进行排序。3.根据权利要求2所述的一种网络安全事件溯源分析方法,其特征在于,根据设备与另一个设备五元组的同源ip地址为主元素选取具有相同的源ip地址的第三个设备的告警入口,设备按照告警时间的先后顺序进行排序。4.根据权利要求3所述的一种网络安全事件溯源分析方法,其特征在于,根据三个设备的同源ip地址选取具有相同的源ip地址的第n个设备的告警入口,设备按照告警时间的先后顺序进行排序。5.根据权利要求4所述的一种网络安全事件溯源分析方法,其特征在于,对设备告警时间顺序进行排序获取攻击时间瀑布,以告警入口的设备ip为拓扑绘制依据获取攻击事件信息,结合攻击事件信息、告警时间顺序以及设备ip地址绘制攻击拓扑溯源图。6.根据权利要求5所述的一种网络安全事件溯源分析方法,其特征在于,对不同源ip地址的攻击事件信息进行分析获取告警日志数据,对告警日志数据进行预处理操作获取有效告警日志数据。7.根据权利要求6所述的一种网络安全事件溯源分析方法,其特征在于,预处理操作包括去除噪声、数据冗余或无效日志。8.一种网络安全事件溯源分析装置,其特征在于,用以实现权利要求1-7任一项所述的一种网络安全事件溯源分析方法,装置包括:数据获取模块,用于选取设备的告警入口,获取告警入口的五元组以及告警时间;分析模块,用于以五元组的同源ip地址为主元素选取若干个设备告警入口,根据告警时间和设备ip地址绘制攻击拓扑溯源图。9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至7中任一项所述的一种网络安全事件溯源分析方法的步骤。10.一种电子设备,其特征在于,包括:存储器,其上存储有计算机程序;以及处理器,用于执行所述存储器中的所述计算机程序,以实现权利要求1至7中任一项所述的一种网络安全事件溯源分析方法。
技术总结
本发明公开了一种网络安全事件溯源分析方法,涉及网络安全技术领域,解决了传统的网络安全单一分析解决不了事件误报,其技术方案要点是:选取设备的告警入口,获取告警入口的五元组以及告警时间;以五元组的同源IP地址为主元素获取若干个设备告警入口,根据告警时间和含有告警入口的设备IP地址绘制攻击拓扑溯源图。本发明弥补了传统的单一告警所带来的误报以及无法全局溯源的问题,提高了安全分析的全局性、完整性、准确性。准确性。准确性。
技术研发人员:弋政 陈林利 刘昌栋
受保护的技术使用者:中通服创立信息科技有限责任公司
技术研发日:2021.09.30
技术公布日:2022/1/10
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
