本申请实施例提供一种溯源图的缩减方法、装置、电子设备及存储介质,所述方法包括:获取溯源图,并确定待确定节点;从待确定节点中,确定满足预设条件的保留节点;其中,预设条件包括:节点为存活的主体节点,和/或节点与警报事件关联;根据保留节点生成缩减溯源图。将与警报事件关联的节点保留下来,使得与APT攻击相关的节点保留在缩减后的溯源图中。同时,考虑到存活的主体节点可能在后续会指向警报事件,通过保留存活的主体节点,可以在缩减后的溯源图中保存完整的历史警报与未来警报的直接关联,从而得到完整的攻击链。如此,本申请实现了溯源图缩减与关联信息保留的平衡,在缩减溯源图的同时保留了历史警报与未来警报之间的关联。联。联。
【技术实现步骤摘要】
一种溯源图的缩减方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全
,具体而言,涉及一种溯源图的缩减方法、装置、电子设备及存储介质。
技术介绍
[0002]随着计算机网络的普及,各个领域都不可避免地使用网络通信,网络犯罪也随之增多。APT攻击是目前企业和机构面临的最关键的网络空间威胁之一。这种隐蔽的计算机网络入侵具有低频、低速的攻击模式和远程控制点攻击策略。
[0003]在相关技术中,基于溯源图的APT检测方法被广泛应用。然而,溯源图的数据量通常较大,需要对溯源图进行缩减。但溯源图的缩减必定会带来部分信息的丢失,这可能会导致溯源图丢失了APT攻击的各个攻击阶段之间的关联信息。因此,如何在缩减溯源图的同时,保留数据之间的关联信息,是本领域亟待解决的技术问题。
技术实现思路
[0004]本申请实施例的目的在于提供一种溯源图的缩减方法、装置、电子设备及存储介质,用以实现缩减溯源图的同时保留数据之间的关联信息的技术效果。
[0005]本申请实施例第一方面提供了一种溯源图的缩减方法,所述方法包括:
[0006]获取溯源图,并确定待确定节点;
[0007]从所述待确定节点中,确定满足预设条件的保留节点;其中,所述预设条件包括:节点为存活的主体节点,和/或节点与警报事件关联;
[0008]根据所述保留节点生成缩减溯源图。
[0009]在上述实现过程中,一方面将与警报事件关联的节点保留下来,使得与APT攻击可能相关的节点保留在缩减后的溯源图中。另一方面,考虑到存活的主体节点可能在后续会指向警报事件,通过保留存活的主体节点,可以在缩减后的溯源图中保存完整的历史警报与未来警报的直接关联,从而得到完整的攻击链。如此,本申请实现了溯源图缩减与关联信息保留的平衡,在缩减溯源图的同时保留了历史警报与未来警报之间的关联。
[0010]进一步地,所述溯源图为原始溯源图,所述待确定节点为所述原始溯源图所包括的节点。
[0011]在上述实现过程中,对原始溯源图中的所有节点逐一判断是否为保留节点,并根据保留节点生成缩减溯源图,从而对已有的原始溯源图进行缩减,节省了数据存储量。
[0012]进一步地,所述获取溯源图,并确定待确定节点,包括:
[0013]响应于满足触发条件,获取历史缩减溯源图以及新增日志数据;
[0014]根据所述新增日志数据确定所述待确定节点;
[0015]所述根据所述保留节点生成缩减溯源图,包括:
[0016]根据所述历史缩减溯源图与所述保留节点,生成当前缩减溯源图。
[0017]在上述实现过程中,由于在历史缩减溯源图的生成时保留了存活的主体节点,使
得从新增日志数据得到的待确定节点可能与历史缩减溯源图中的存活的主体节点一致,从而可以在历史缩减溯源图的基础上进行增量,利用新增日志数据对历史缩减溯源图进行扩展与补充,得到当前缩减溯源图。
[0018]进一步地,所述触发条件包括以下一种或多种:
[0019]到达预设的周期时间;
[0020]所述新增日志数据达到预设数量阈值;
[0021]监测到所述新增日志数据到达。
[0022]在上述实现过程中,每当到达预设的周期时间时,触发执行溯源图的缩减,实现了定时触发历史缩减溯源图的增量;或者每当新增日志数据达到预设数量阈值时,触发执行溯源图的缩减,实现了定量触发历史缩减溯源图的增量;或者每当监测到有新增的日志数据时,触发执行溯源图的缩减,实现了历史缩减溯源图的实时增量。
[0023]进一步地,所述节点与警报事件关联,包括:
[0024]与所述节点相连的边存在匹配的警报事件;或者
[0025]对于所述节点所在的路径,所述路径在所述节点之前与之后存在匹配的警报事件。
[0026]在上述实现过程中,设定了直接与警报事件相连的节点、以及连接了两个警报事件的节点均是与警报事件关联的,从而保留了前后警报事件之间的关联,保留了完整的APT攻击路径。
[0027]进一步地,若所述预设条件包括所述对于所述节点所在的路径,所述路径在所述节点之前与之后存在匹配的警报事件,所述确定满足预设条件的保留节点,包括:
[0028]针对所述待确定节点,确定以所述待确定节点为起点的所有第一子路径,以及以所述待确定节点为终点的所有第二子路径;
[0029]确定包括所述第一子路径的后序溯源子图、以及包括所述第二子路径的前序溯源子图;
[0030]判断所述待确定节点的所述后序溯源子图与所述前序溯源子图中是否存在匹配的警报事件。
[0031]在上述实现过程中,通过对待确定节点进行前向追踪,确定所有以待确定节点为起点的第一子路径组成后序溯源子图,以及对待确定节点进行反向追踪,确定所有以待确定节点为终点的第二子路径组成前序溯源子图,并在前后两个子图中查找匹配的警报事件,从而确定出待确定节点是否与警报事件关联。
[0032]进一步地,所述根据所述保留节点生成缩减溯源图,包括:
[0033]从所述溯源图包括的节点与边中,删除所述保留节点以外的其他节点、以及与所述其他节点相连的边,得到缩减溯源图。
[0034]在上述实现过程中,通过删除未被保留的节点,以及与这些节点相连的边,实现了对溯源图的缩减。
[0035]本申请实施例第二方面提供了一种溯源图的缩减装置,所述装置包括:
[0036]获取模块,用于获取溯源图,并确定待确定节点;
[0037]筛选模块,用于从所述待确定节点中,确定满足预设条件的保留节点;其中,所述预设条件包括:节点为存活的主体节点,和/或节点与警报事件关联;
[0038]生成模块,用于根据所述保留节点生成缩减溯源图。
[0039]本申请实施例第三方面提供了一种电子设备,所述电子设备包括:
[0040]处理器;
[0041]用于存储处理器可执行指令的存储器;
[0042]其中,所述处理器调用所述可执行指令时实现第一方面任一所述方法的操作。
[0043]本申请实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机指令,所述计算机指令被处理器执行时实现第一方面任一所述方法的步骤。
附图说明
[0044]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0045]图1为本申请实施例提供的一种溯源图的缩减方法的流程示意图;
[0046]图2为本申请实施例提供的另一种溯源图的缩减方法的流程示意图;
[0047]图3为本申请实施例提供的一个溯源图的示意图;
[0048]图4为本申请实施例提供的另一种溯源图的缩减方法的流程示意图;
[0049]图5为本申本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种溯源图的缩减方法,其特征在于,所述方法包括:获取溯源图,并确定待确定节点;从所述待确定节点中,确定满足预设条件的保留节点;其中,所述预设条件包括:节点为存活的主体节点,和/或节点与警报事件关联;根据所述保留节点生成缩减溯源图。2.根据权利要求1所述的方法,其特征在于,所述溯源图为原始溯源图,所述待确定节点为所述原始溯源图所包括的节点。3.根据权利要求1所述的方法,其特征在于,所述获取溯源图,并确定待确定节点,包括:响应于满足触发条件,获取历史缩减溯源图以及新增日志数据;根据所述新增日志数据确定所述待确定节点;所述根据所述保留节点生成缩减溯源图,包括:根据所述历史缩减溯源图与所述保留节点,生成当前缩减溯源图。4.根据权利要求3所述的方法,其特征在于,所述触发条件包括以下一种或多种:到达预设的周期时间;所述新增日志数据达到预设数量阈值;监测到所述新增日志数据到达。5.根据权利要求1所述的方法,其特征在于,所述节点与警报事件关联,包括:与所述节点相连的边存在匹配的警报事件;或者对于所述节点所在的路径,所述路径在所述节点之前与之后存在匹配的警报事件。6.根据权利要求5所述的方法,其特征在于,若所述预设条件包括所述对于所述节点所在的路径,所述路径在所述节点之前与之后存在匹配的警报事件,所述确定满足预设条件的...
【专利技术属性】
技术研发人员:甘欣雨,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。