一種攻擊事件追蹤溯源方法、系統(tǒng)、終端及存儲介質(zhì)

基本信息

申請?zhí)?/td> CN202010678054.9 申請日 -
公開(公告)號 CN111858482B 公開(公告)日 2021-10-15
申請公布號 CN111858482B 申請公布日 2021-10-15
分類號 G06F16/14(2019.01)I;G06F16/17(2019.01)I;G06F11/30(2006.01)I;G06F11/32(2006.01)I 分類 計算;推算;計數(shù);
發(fā)明人 王廣清;方鐵城;申彥龍;劉穎 申請(專利權(quán))人 北京市燃?xì)饧瘓F(tuán)有限責(zé)任公司
代理機(jī)構(gòu) 北京天方智力知識產(chǎn)權(quán)代理事務(wù)所(普通合伙) 代理人 路遠(yuǎn)
地址 100035北京市西城區(qū)西直門南小街22號
法律狀態(tài) -

摘要

摘要 本申請所提供的一種攻擊事件追蹤溯源方法、系統(tǒng)、終端及存儲介質(zhì),所述方法包括:獲取原始告警日志,并根據(jù)所述告警日志獲取觸發(fā)告警的關(guān)鍵字段信息;將所述關(guān)鍵字段信息進(jìn)行關(guān)聯(lián)溯源,從原始日志中獲取被攻擊機(jī)器上與關(guān)鍵字段相關(guān)的所有關(guān)聯(lián)事件;將所述關(guān)聯(lián)事件進(jìn)行同告警名稱聚合,以便獲取完整的攻擊路徑;將特定時間/階段維度的相關(guān)攻擊信息統(tǒng)籌歸納,并以攻擊鏈視角呈現(xiàn)出來;本申請通過攻擊事件的異常日志告警信息進(jìn)行關(guān)聯(lián)溯源,作為線索串起來形成真正的安全事件,實現(xiàn)對零散安全事件的關(guān)聯(lián),解決目前安全告警日志排查造成的人工成本較高、追蹤溯源效率較低,并且無法保證追蹤溯源的精確性的技術(shù)問題。