一种攻击组织分析方法、装置、设备及介质与流程

1.本发明涉及计算机技术领域，特别涉及一种攻击组织分析方法、装置、设备及介质。


背景技术：

2.当前，随着网络空间的安全形势日趋严峻，此起彼伏的网络攻击事件表明，攻击组织的规模、目标、动机都在发生转变，给整体的网络安全带来严重威胁。因此，及时发现并对攻击组织进行追溯分析，遏制其攻击行动对于网络安全至关重要。传统的攻击组织分析方法，只能基于单台网络安全设备的网络流量和样本代码进行特征建模，无法全局的获取攻击者发起攻击的全部攻击路径或者流量信息，刻画出的攻击组织信息是局部的不完整的，给后续溯源工作带来了较大的难度。
3.由上可见，在攻击组织分析过程中，如何避免出现由于传统攻击组织分析方法导致得到的攻击组织信息不完整的情况，增加对攻击组织进行追溯分析的完整性并且能够有效防御攻击组织是目前有待解决的问题。


技术实现要素：

4.有鉴于此，本发明的目的在于提供一种攻击组织分析方法、装置、设备及介质，能够增加对攻击组织进行追溯分析的完整性并且能够有效防御攻击组织。其具体方案如下：
5.第一方面，本技术公开了一种攻击组织分析方法，包括：
6.获取各待监测设备的数据信息，并对各所述待监测设备的所述数据信息进行归一化操作，以得到归一化数据信息；
7.基于预先建立的安全监测场景判断所述归一化数据信息是否存在异常，若所述归一化数据信息存在异常，则触发携带有原始告警信息的告警事件；所述原始告警信息包括攻击源信息、攻击目标信息以及横向攻击信息；
8.将所述原始告警信息与预先建立的攻击组织威胁场景知识库中的信息进行比对，以确定所述原始告警事件是否满足预设条件；
9.若所述原始告警事件满足所述预设条件，则采集与所述原始告警信息之间存在关联性的攻击事件信息，以得到关联取证信息；
10.对所述关联取证信息进行分析以确定出相应的攻击组织分析结果。
11.可选的，所述获取各待监测设备的数据信息，并对各所述待监测设备的所述数据信息进行归一化操作，以得到归一化数据信息，包括：
12.获取各待监测设备的数据信息，并根据不同的所述各待监测设备的数据信息从所有解析插件中确定出目标解析插件；
13.利用目标解析插件对各所述待监测设备的所述数据信息进行归一化操作，以得到归一化数据信息。
14.可选的，所述基于预先建立的安全监测场景判断所述归一化数据信息是否存在异
常，包括：
15.基于预设的框架和分布式处理引擎建立包含不同安全场景的安全监测场景；
16.基于所述安全监测场景利用统计学习算法、序列分析算法、聚类分析算法判断所述归一化数据信息是否为与所述安全场景对应的异常信息。
17.可选的，所述将所述原始告警信息与预先建立的攻击组织威胁场景知识库中的信息进行比对之前，还包括：
18.获取包含有历史攻击源信息、历史攻击目标信息、历史横向攻击信息以及历史攻击行为时序信息的历史攻击组织信息，并基于所述历史攻击组织信息建立所述攻击组织威胁场景知识库。
19.可选的，所述采集与所述原始告警信息之间存在关联性的攻击事件信息，以得到关联取证信息，包括：
20.基于所述攻击目标信息查询历史上针对当前攻击目标的不同攻击动作以及确定不同所述攻击动作之间的关联性，以得到第一关联取证信息；
21.查询当前攻击目标上运行的异常脚本信息、木马信息以及相互之间存在关联性的进程信息、服务信息和注册表信息，以得到第二关联取证信息；
22.查询与当前攻击目标存在关联性的外部主机受攻击行为以及所述外部主机受攻击行为对应的攻击方式、攻击工具、攻击所用脚本以及相关木马信息，以得到第三关联取证信息。
23.可选的，所述对所述关联取证信息进行分析以确定出相应的攻击组织分析结果，包括：
24.对所述关联取证信息进行分析以得到相应的攻击组织分析结果，并确定出所述攻击组织分析结果对应的置信度；
25.若所述置信度大于预设阈值，则对所述攻击组织分析结果进行持久化保存。
26.可选的，所述攻击组织分析方法，还包括：
27.按照预设的信息更新周期，周期性地对所述关联取证信息以及所述攻击组织分析结果进行更新。
28.第二方面，本技术公开了一种攻击组织分析装置，包括：
29.数据信息获取模块，用于获取各待监测设备的数据信息，并对各所述待监测设备的所述数据信息进行归一化操作，以得到归一化数据信息；
30.数据信息判断模块，用于基于预先建立的安全监测场景判断所述归一化数据信息是否存在异常，若所述归一化数据信息存在异常，则触发携带有原始告警信息的告警事件；所述原始告警信息包括攻击源信息、攻击目标信息以及横向攻击信息；
31.信息比对模块，用于将所述原始告警信息与预先建立的攻击组织威胁场景知识库中的信息进行比对，以确定所述原始告警事件是否满足预设条件；
32.信息采集模块，用于若所述原始告警事件满足所述预设条件，则采集与所述原始告警信息之间存在关联性的攻击事件信息，以得到关联取证信息；
33.分析结果确定模块，用于对所述关联取证信息进行分析以确定出相应的攻击组织分析结果。
34.第三方面，本技术公开了一种电子设备，包括：
35.存储器，用于保存计算机程序；
36.处理器，用于执行所述计算机程序，以实现前述的攻击组织分析方法。
37.第四方面，本技术公开了一种计算机存储介质，用于保存计算机程序；其中，所述计算机程序被处理器执行时实现前述公开的攻击组织分析方法的步骤。
38.可见，本技术获取各待监测设备的数据信息，并对各所述待监测设备的所述数据信息进行归一化操作，以得到归一化数据信息；基于预先建立的安全监测场景判断所述归一化数据信息是否存在异常，若所述归一化数据信息存在异常，则触发携带有原始告警信息的告警事件；所述原始告警信息包括攻击源信息、攻击目标信息以及横向攻击信息；将所述原始告警信息与预先建立的攻击组织威胁场景知识库中的信息进行比对，以确定所述原始告警事件是否满足预设条件；若所述原始告警事件满足所述预设条件，则采集与所述原始告警信息之间存在关联性的攻击事件信息，以得到关联取证信息；对所述关联取证信息进行分析以确定出相应的攻击组织分析结果。由此可见，本技术通过与预先建立的攻击组织威胁场景知识库中的信息进行比对，确定出与所述原始告警信息之间存在关联性的攻击事件信息，并对得到的关联取证信息进行分析以确定出相应的攻击组织分析结果，能够避免出现由于传统攻击组织分析方法导致得到的攻击组织信息不完整的情况，增加对攻击组织进行追溯分析的完整性并且能够有效防御攻击组织。
附图说明
39.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
40.图1为本技术公开的一种具体的攻击组织分析方法流程图；
41.图2为本技术公开的一种具体的攻击组织分析方法流程图；
42.图3为本技术公开的一种具体的攻击组织分析方法步骤图；
43.图4为本技术公开的一种攻击组织分析装置结构示意图；
44.图5为本技术公开的一种攻击组织分析设备结构示意图。
具体实施方式
45.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
46.当前，传统的攻击组织分析方法，只能基于单台网络安全设备的网络流量和样本代码进行特征建模，无法全局的获取攻击者发起攻击的全部攻击路径或者流量信息，刻画出的攻击组织信息是局部的不完整的，给后续溯源工作带来了较大的难度。为此，本技术相应地提供了一种攻击组织分析方法，能够增加对攻击组织进行追溯分析的完整性并且能够有效防御攻击组织。
47.参见图1所示，本发明实施例公开了一种攻击组织分析方法，具体可以包括：
48.步骤s11：获取各待监测设备的数据信息，并对各所述待监测设备的所述数据信息进行归一化操作，以得到归一化数据信息。
49.本实施例中，在获取各待监测设备的数据信息，并根据不同的所述各待监测设备的数据信息从所有解析插件中确定出目标解析插件之后，利用目标解析插件对各所述待监测设备的所述数据信息进行归一化操作，以得到归一化数据信息。其中，所述各待监测设备有以下几种设备，包括但不限于：ips(intrusion prevention system，入侵预防系统)、ids(intrusion detection system，入侵检测系统)、waf(web application firewall web，应用防火墙)以及edr(endpoint detection and response，终端检测与响应)。也就是说，通过获取上述不同种各待监测设备的数据信息，然后根据设备的类型调用对应的解析插件，并基于所述解析插件根据预设的字段映射关系，将字段分别归一化到对应的字段，以得到归一化数据信息。
50.步骤s12：基于预先建立的安全监测场景判断所述归一化数据信息是否存在异常，若所述归一化数据信息存在异常，则触发携带有原始告警信息的告警事件；所述原始告警信息包括攻击源信息、攻击目标信息以及横向攻击信息。
51.本实施例中，在得到归一化数据信息之后，基于预设的框架和分布式处理引擎建立包含不同安全场景的安全监测场景，然后基于所述安全监测场景利用统计学习算法、序列分析算法、聚类分析算法判断所述归一化数据信息是否为与所述安全场景对应的异常信息，若所述归一化数据信息存在异常，则触发携带有原始告警信息的告警事件；所述原始告警信息包括攻击源信息、攻击目标信息以及横向攻击信息。
52.步骤s13：将所述原始告警信息与预先建立的攻击组织威胁场景知识库中的信息进行比对，以确定所述原始告警事件是否满足预设条件。
53.本实施例中，在触发携带有原始告警信息的告警事件之后，获取包含有历史攻击源信息、历史攻击目标信息、历史横向攻击信息以及历史攻击行为时序信息的历史攻击组织信息，其中，所述历史攻击时序信息包括攻击组织发起攻击所采用的整体攻击动作和步骤，然后基于所述历史攻击组织信息建立所述攻击组织威胁场景知识库，然后将所述原始告警信息与预先建立的攻击组织威胁场景知识库中的信息进行比对，以确定所述原始告警事件是否满足预设条件。
54.步骤s14：若所述原始告警事件满足所述预设条件，则采集与所述原始告警信息之间存在关联性的攻击事件信息，以得到关联取证信息。
55.步骤s15：对所述关联取证信息进行分析以确定出相应的攻击组织分析结果。
56.本实施例中，在得到关联取证信息以及确定出相应的攻击组织分析结果之后，会按照预设的信息更新周期，周期性地对所述关联取证信息以及所述攻击组织分析结果进行更新。
57.本实施例中，获取各待监测设备的数据信息，并对各所述待监测设备的所述数据信息进行归一化操作，以得到归一化数据信息，然后基于预先建立的安全监测场景判断所述归一化数据信息是否存在异常，若所述归一化数据信息存在异常，则触发携带有原始告警信息的告警事件；所述原始告警信息包括攻击源信息、攻击目标信息以及横向攻击信息，将所述原始告警信息与预先建立的攻击组织威胁场景知识库中的信息进行比对，以确定所述原始告警事件是否满足预设条件，若所述原始告警事件满足所述预设条件，则采集与所
述原始告警信息之间存在关联性的攻击事件信息，以得到关联取证信息，对所述关联取证信息进行分析以确定出相应的攻击组织分析结果。也就是说，本技术利用异常的数据信息触发携带有原始告警信息的告警事件，然后将原始告警信息与预先建立的攻击组织威胁场景知识库中的信息进行比对，以得到关联取证信息并确定出出相应的攻击组织分析结果。由此可见，本技术通过异常的数据信息与预先建立的攻击组织威胁场景知识库中的信息进行比对，能够避免出现由于传统攻击组织分析方法导致得到的攻击组织信息不完整的情况，增加对攻击组织进行追溯分析的完整性并且能够有效防御攻击组织。
58.例如，如图2所示，接入ips、ids、waf、edr等多台各待监测设备，然后获取各待监测设备的数据信息，对各所述待监测设备的所述数据信息进行归一化操作，以得到归一化数据信息，此时将得到的归一化数据保存至es数据库中，并基于框架和分布式处理引擎判断数据是否异常，然后将所述原始告警信息与预先建立的攻击组织威胁场景知识库中的信息进行比对，以确定所述原始告警事件是否满足预设条件，若所述原始告警事件满足所述预设条件，则采集与所述原始告警信息之间存在关联性的攻击事件信息，以得到关联取证信息，最后对所述关联取证信息进行分析以确定出相应的攻击组织分析结果，并保存至pg(postgresql，关系型数据库管理系统)。
59.参见图3所示，本发明实施例公开了一种攻击组织分析方法，具体可以包括：
60.步骤s21：获取各待监测设备的数据信息，并对各所述待监测设备的所述数据信息进行归一化操作，以得到归一化数据信息。
61.步骤s22：基于预先建立的安全监测场景判断所述归一化数据信息是否存在异常，若所述归一化数据信息存在异常，则触发携带有原始告警信息的告警事件；所述原始告警信息包括攻击源信息、攻击目标信息以及横向攻击信息。
62.步骤s23：将所述原始告警信息与预先建立的攻击组织威胁场景知识库中的信息进行比对，以确定所述原始告警事件是否满足预设条件。
63.步骤s24：若所述原始告警事件满足所述预设条件，则基于所述攻击目标信息查询历史上针对当前攻击目标的不同攻击动作以及确定不同所述攻击动作之间的关联性，以得到第一关联取证信息，查询当前攻击目标上运行的异常脚本信息、木马信息以及相互之间存在关联性的进程信息、服务信息和注册表信息，以得到第二关联取证信息，查询与当前攻击目标存在关联性的外部主机受攻击行为以及所述外部主机受攻击行为对应的攻击方式、攻击工具、攻击所用脚本以及相关木马信息，以得到第三关联取证信息。
64.本实施例中，通过上述步骤获取第一关联取证信息、第二关联取证信息以及第三关联取证信息，也就是说，基于所述攻击目标信息查询历史上针对当前攻击目标的不同攻击动作以及确定不同所述攻击动作之间的关联性，然后通过查询威胁情报平台，确定当前攻击是否为常见的攻击组织，并且对获取的第一关联取证信息、第二关联取证信息以及第三关联取证信息进行更新。
65.步骤s25：对所述关联取证信息进行分析以得到相应的攻击组织分析结果，并确定出所述攻击组织分析结果对应的置信度。
66.步骤s26：若所述置信度大于预设阈值，则对所述攻击组织分析结果进行持久化保存。
67.本实施例中，获取各待监测设备的数据信息，并对各所述待监测设备的所述数据
信息进行归一化操作，以得到归一化数据信息，基于预先建立的安全监测场景判断所述归一化数据信息是否存在异常，若所述归一化数据信息存在异常，则触发携带有原始告警信息的告警事件；所述原始告警信息包括攻击源信息、攻击目标信息以及横向攻击信息，将所述原始告警信息与预先建立的攻击组织威胁场景知识库中的信息进行比对，以确定所述原始告警事件是否满足预设条件，若所述原始告警事件满足所述预设条件，则基于所述攻击目标信息查询历史上针对当前攻击目标的不同攻击动作以及确定不同所述攻击动作之间的关联性，以得到第一关联取证信息，查询当前攻击目标上运行的异常脚本信息、木马信息以及相互之间存在关联性的进程信息、服务信息和注册表信息，以得到第二关联取证信息，查询与当前攻击目标存在关联性的外部主机受攻击行为以及所述外部主机受攻击行为对应的攻击方式、攻击工具、攻击所用脚本以及相关木马信息，以得到第三关联取证信息，对所述关联取证信息进行分析以得到相应的攻击组织分析结果，并确定出所述攻击组织分析结果对应的置信度，若所述置信度大于预设阈值，则对所述攻击组织分析结果进行持久化保存。由此可见，本技术获取第一关联取证信息、第二关联取证信息以及第三关联取证信息并进行分析，能够有效避免出现由于传统攻击组织分析方法导致得到的攻击组织信息不完整的情况，增加对攻击组织进行追溯分析的完整性并且能够有效防御攻击组织。
68.参见图4所示，本技术实施例公开了一种攻击组织分析装置，具体可以包括：
69.数据信息获取模块11，用于获取各待监测设备的数据信息，并对各所述待监测设备的所述数据信息进行归一化操作，以得到归一化数据信息；
70.数据信息判断模块12，用于基于预先建立的安全监测场景判断所述归一化数据信息是否存在异常，若所述归一化数据信息存在异常，则触发携带有原始告警信息的告警事件；所述原始告警信息包括攻击源信息、攻击目标信息以及横向攻击信息；
71.信息比对模块13，用于将所述原始告警信息与预先建立的攻击组织威胁场景知识库中的信息进行比对，以确定所述原始告警事件是否满足预设条件；
72.信息采集模块14，用于若所述原始告警事件满足所述预设条件，则采集与所述原始告警信息之间存在关联性的攻击事件信息，以得到关联取证信息；
73.分析结果确定模块15，用于对所述关联取证信息进行分析以确定出相应的攻击组织分析结果。
74.本实施例中，获取各待监测设备的数据信息，并对各所述待监测设备的所述数据信息进行归一化操作，以得到归一化数据信息，然后基于预先建立的安全监测场景判断所述归一化数据信息是否存在异常，若所述归一化数据信息存在异常，则触发携带有原始告警信息的告警事件；所述原始告警信息包括攻击源信息、攻击目标信息以及横向攻击信息，将所述原始告警信息与预先建立的攻击组织威胁场景知识库中的信息进行比对，以确定所述原始告警事件是否满足预设条件，若所述原始告警事件满足所述预设条件，则采集与所述原始告警信息之间存在关联性的攻击事件信息，以得到关联取证信息，对所述关联取证信息进行分析以确定出相应的攻击组织分析结果。由此可见，本技术通过异常的数据信息与预先建立的攻击组织威胁场景知识库中的信息进行比对，能够避免出现由于传统攻击组织分析方法导致得到的攻击组织信息不完整的情况，增加对攻击组织进行追溯分析的完整性并且能够有效防御攻击组织。
75.在一些具体实施例中，所述数据信息获取模块11，具体可以包括：
76.目标解析插件确定模块，用于获取各待监测设备的数据信息，并根据不同的所述各待监测设备的数据信息从所有解析插件中确定出目标解析插件；
77.归一化操作模块，用于利用目标解析插件对各所述待监测设备的所述数据信息进行归一化操作，以得到归一化数据信息。
78.在一些具体实施例中，所述数据信息判断模块12，具体可以包括：
79.安全监测场景建立模块，用于基于预设的框架和分布式处理引擎建立包含不同安全场景的安全监测场景；
80.数据信息判断模块，用于基于所述安全监测场景利用统计学习算法、序列分析算法、聚类分析算法判断所述归一化数据信息是否为与所述安全场景对应的异常信息。
81.在一些具体实施例中，所述信息比对模块13，具体可以包括：
82.知识库建立模块，用于获取包含有历史攻击源信息、历史攻击目标信息、历史横向攻击信息以及历史攻击行为时序信息的历史攻击组织信息，并基于所述历史攻击组织信息建立所述攻击组织威胁场景知识库。
83.在一些具体实施例中，所述信息采集模块14，具体可以包括：
84.第一关联取证信息确定模块，用于基于所述攻击目标信息查询历史上针对当前攻击目标的不同攻击动作以及确定不同所述攻击动作之间的关联性，以得到第一关联取证信息；
85.第二关联取证信息确定模块，用于查询当前攻击目标上运行的异常脚本信息、木马信息以及相互之间存在关联性的进程信息、服务信息和注册表信息，以得到第二关联取证信息；
86.第三关联取证信息确定模块，用于查询与当前攻击目标存在关联性的外部主机受攻击行为以及所述外部主机受攻击行为对应的攻击方式、攻击工具、攻击所用脚本以及相关木马信息，以得到第三关联取证信息。
87.在一些具体实施例中，所述分析结果确定模块15，具体可以包括：
88.置信度确定模块，用于对所述关联取证信息进行分析以得到相应的攻击组织分析结果，并确定出所述攻击组织分析结果对应的置信度；
89.分析结果保存模块，用于若所述置信度大于预设阈值，则对所述攻击组织分析结果进行持久化保存。
90.周期性更新模块，用于按照预设的信息更新周期，周期性地对所述关联取证信息以及所述攻击组织分析结果进行更新。
91.图5为本技术实施例提供的一种电子设备的结构示意图。该攻击组织分析设备20，具体可以包括：至少一个处理器21、至少一个存储器22、电源23、通信接口24、传感器25和通信总线26。其中，所述存储器22用于存储计算机程序，所述计算机程序由所述处理器21加载并执行，以实现前述任一实施例公开的由攻击组织分析设备执行的攻击组织分析方法中的相关步骤。
92.本实施例中，电源23用于为攻击组织分析设备20上的各硬件设备提供工作电压；通信接口24能够为攻击组织分析设备20创建与外界设备之间的数据传输通道，其所遵循的通信协议是能够适用于本技术技术方案的任意通信协议，在此不对其进行具体限定；传感器25，用于获取传感器数据，其具体的传感器类型包括但不限于速度传感器、温度传感器、
红外传感器、声音传感器和图像传感器等。
93.另外，存储器22作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，其上所存储的资源包括操作系统221、计算机程序222及数据223等，存储方式可以是短暂存储或者永久存储。
94.其中，操作系统221用于管理与控制攻击组织分析设备20上的各硬件设备以及计算机程序222，以实现处理器21对存储器22中海量数据223的运算与处理，其可以是windows、unix、linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由攻击组织分析设备20执行的攻击组织分析方法的计算机程序之外，还可以进一步包括能够用于完成其他特定工作的计算机程序。数据223除了可以包括攻击组织分析设备接收到的由外部设备传输进来的数据，也可以包括由自身传感器25采集到的数据等。
95.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
96.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
97.以上对本发明所提供的一种攻击组织分析方法、装置、设备及存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。