申请/专利权人：北京安博通科技股份有限公司

申请日：2023-09-08

公开（公告）日：2023-12-08

公开（公告）号：CN116886452B

主分类号：H04L9/40

分类号：H04L9/40;H04L41/0631;H04L41/0604;H04L41/069

优先权：

专利状态码：有效-授权

法律状态：2023.12.08#授权;2023.10.31#实质审查的生效;2023.10.13#公开

摘要：本发明提供了一种主机失陷研判方法及系统，其方法包括：获取本地网络中的初始告警日志，并基于攻击威胁类型对初始告警日志进行筛选分类，获得分类告警日志；获取本地网络中的主机互联网协议地址列表信息，主机互联网协议地址列表信息包括多个主机和多个主机互联网协议地址；根据主机互联网协议地址对分类告警日志进行筛选，获得目标告警日志；基于攻击威胁类型和主机互联网协议地址对目标告警日志进行聚类，获得聚类告警日志，并为聚类告警日志添加威胁标签，基于威胁标签的组合顺序判断主机是否失陷。本发明通过筛选可降低需要分析的告警日志的数量，提高失陷主机的研判效率；并通过威胁标签的组合顺序还原攻击路径，有效识别失陷主机。

主权项：1.一种主机失陷研判方法，其特征在于，包括：获取本地网络中的初始告警日志，并基于攻击威胁类型对所述初始告警日志进行筛选分类，获得分类告警日志；获取所述本地网络中的主机互联网协议地址列表信息，所述主机互联网协议地址列表信息包括多个主机和与所述多个主机一一对应的多个主机互联网协议地址；根据所述主机互联网协议地址对所述分类告警日志进行筛选，获得目标告警日志，所述目标告警日志为源互联网协议地址或目的互联网协议地址为所述主机互联网协议地址的分类告警日志；基于所述攻击威胁类型和所述主机互联网协议地址对所述目标告警日志进行聚类，获得聚类告警日志，并为所述聚类告警日志添加威胁标签，基于所述威胁标签的组合顺序判断所述主机是否失陷；所述攻击威胁类型包括外部攻击、外联威胁以及内网横向攻击，所述目标告警日志包括外部攻击告警日志、外联威胁告警日志以及内网横向攻击告警日志；所述外部攻击告警日志为源互联网协议地址为外网互联网协议地址，目的互联网协议地址为所述主机互联网协议地址的初始告警日志；所述外联威胁告警日志为源互联网协议地址为所述主机互联网协议地址，目的互联网协议地址为所述外网互联网协议地址的初始告警日志；所述内网横向攻击告警日志为源互联网协议地址为所述主机互联网协议地址，目的互联网协议地址也为所述主机互联网协议地址的初始告警日志；所述基于所述攻击威胁类型和所述主机互联网协议地址对所述分类告警日志进行聚类，获得聚类告警日志，包括：基于所述攻击威胁类型确定筛选规则；获取所述分类告警日志的源互联网协议地址和目的互联网协议地址，并基于所述筛选规则、所述源互联网协议地址、所述目的互联网协议地址以及所述主机互联网协议地址对所述分类告警日志进行聚类，获得所述聚类告警日志；所述筛选规则为：当所述攻击威胁类型为外部攻击时，筛选出所述目的互联网协议地址为所述主机互联网协议地址的分类告警日志；当所述攻击威胁类型为外联威胁时，筛选出所述源互联网协议地址为所述主机互联网协议地址的分类告警日志；当所述攻击威胁类型为内网横向攻击时，筛选出所述源互联网协议地址为所述主机互联网协议地址，或，所述目的互联网协议地址为所述主机互联网协议地址的分类告警日志；所述威胁标签包括外部攻击标签、外联威胁标签、内网源攻击标签以及内网目的攻击标签；所述为所述聚类告警日志添加威胁标签，包括：当所述聚类告警日志的攻击威胁类型为外部攻击时，为所述聚类告警日志添加所述外部攻击标签；当所述聚类告警日志的攻击威胁类型为外联威胁时，为所述聚类告警日志添加所述外联威胁标签；当所述聚类告警日志的攻击威胁类型为内网横向攻击，且所述聚类告警日志的源互联网协议地址为所述主机互联网协议地址时，为所述聚类告警日志添加所述内网源攻击标签；当所述聚类告警日志的攻击威胁类型为内网横向攻击，且所述聚类告警日志的目的互联网协议地址为所述主机互联网协议地址时，为所述聚类告警日志添加所述内网目的攻击标签；所述基于所述威胁标签的组合顺序判断所述主机是否失陷，包括：获取告警时间范围，并在所述告警时间范围内按时间先后顺序对所述威胁标签进行排序；当依次出现外部攻击标签和外联威胁标签时，所述主机为外网直接攻击的失陷主机；当依次出现内网目的攻击标签、外部攻击标签和外联标签时，所述主机为内网扩散的失陷主机；当依次出现外部攻击标签、外联威胁标签和内网源攻击标签时，所述主机为失陷并扩散威胁的主机。

全文数据：

权利要求：

百度查询： 北京安博通科技股份有限公司 一种主机失陷研判方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD