本發明公開了一種網絡攻擊路線還原方法及系統，所述網絡攻擊路線還原方法包括：對用于表征目標主機受到網絡攻擊的告警信息添加對應的攻擊鏈標簽，所述攻擊鏈標簽用于表征所述網絡攻擊在攻擊鏈中所處的攻擊階段；根據所述攻擊鏈標簽，對同一攻擊事件中處于同一攻擊階段的各個網絡攻擊的告警信息的告警內容進行統計，獲得所述攻擊事件中每個攻擊階段各自的告警內容匯總；根據同一攻擊事件中每個攻擊階段各自的告警內容匯總，生成攻擊路線信息，其中，所述攻擊線路信息攜帶有所述攻擊事件中每個攻擊階段各自的告警內容匯總。本發明提供的網絡攻擊路線還原方法及系統，按照攻擊事件的攻擊鏈劃分，可以進行攻擊態勢感知和預測，直觀地展示攻擊效果。

技術領域

本發明涉及網絡安全技術領域，具體涉及一種網絡攻擊路線還原方法及系統。

背景技術

隨著計算機技術的不斷發展和互聯網的不斷普及，網絡攻擊形式層出不窮，網絡安全問題日益突出，造成的社會影響和經濟損失越來越大，對網絡威脅檢測與防御提出了新的需求和挑戰。網絡流量異常是目前主要的網絡安全威脅之一，也是網絡安全監測的關鍵對象?？焖?、準確地發現網絡異常流量，對惡意代碼及時準確捕獲、分析、跟蹤與監測，可以為網絡安全態勢指標評估和免疫決策提供知識支撐，從而提高網絡安全應急組織的整體響應能力。

告警信息是在檢測到網絡攻擊行為后，給網絡管理人員展示的第一手直觀信息。基于網絡設備接入層面的不同，告警信息數量就不同，會差出幾個數量級。傳統的告警方式采取的是一個網絡攻擊對應一個告警信息，即檢測到一個網絡攻擊，對應就會產生一個告警信息。然而，這種采用孤立的告警信息進行攻擊展現的方式，不能從整體上把握攻擊過程，不能直觀展示攻擊效果，更不能引領用戶對攻擊行為做出判斷。

發明內容

本發明所要解決的是采用孤立的告警信息進行網路攻擊展現不能從整體上把握攻擊過程、不能直觀展示攻擊效果以及不能引領用戶對攻擊行為做出判斷的問題。

本發明通過下述技術方案實現：

一種網絡攻擊路線還原方法，包括：

對用于表征目標主機受到網絡攻擊的告警信息添加對應的攻擊鏈標簽，所述攻擊鏈標簽用于表征所述網絡攻擊在攻擊鏈中所處的攻擊階段；

根據所述攻擊鏈標簽，對同一攻擊事件中處于同一攻擊階段的各個網絡攻擊的告警信息的告警內容進行統計，獲得所述攻擊事件中每個攻擊階段各自的告警內容匯總；

根據同一攻擊事件中每個攻擊階段各自的告警內容匯總，生成攻擊路線信息，其中，所述攻擊線路信息攜帶有所述攻擊事件中每個攻擊階段各自的告警內容匯總。

可選的，所述告警信息為用于表征所述目標主機受到成功網絡攻擊的第一告警子信息或者為用于表征所述目標主機受到無效網絡攻擊的第二告警子信息；

所述第一告警子信息的告警內容包括所述網絡攻擊的攻擊類型和所述網絡攻擊的攻擊動作，所述第二告警子信息的告警內容包括所述網絡攻擊的攻擊類型。

可選的，所述對用于表征目標主機受到網絡攻擊的告警信息添加對應的攻擊鏈標簽包括：

根據所述告警信息的告警內容，從預先建立的標簽庫中確定與所述第一告警子信息或者所述第二告警子信息對應的攻擊鏈標簽。

可選的，所述攻擊鏈標簽包括兩級以上，所述對用于表征目標主機受到網絡攻擊的告警信息添加對應的攻擊鏈標簽包括：

根據所述告警信息的告警內容，從預先建立的標簽庫中確定與所述第一告警子信息或者所述第二告警子信息對應的各級標簽，其中，所述標簽庫存儲有M個攻擊鏈標簽，所述M個攻擊鏈標簽被劃分為兩級以上，M為大于4的整數。

可選的，所述告警內容匯總包括網絡攻擊總次數、成功的網絡攻擊次數以及成功的網絡攻擊的攻擊動作中的一種或多種組合。