(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111676939.6 (22)申请日 2021.12.31 (71)申请人 上海浦东发展银行股份有限公司 地址 200002 上海市黄浦区中山 东一路12 号 申请人 奇安信科技 集团股份有限公司 (72)发明人 吴楚豪　余涛涛　周宜胜　高权　 王猛　崔兆栋　陈杰　尹志杰　 巫祺炜　盛瑞琨　常丽娟　杨雪婷　 (74)专利代理 机构 北京中强智尚知识产权代理 有限公司 1 1448 代理人 刘敏 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络攻击的溯源方法和装置、 电子设备 及存储介质 (57)摘要 本申请提供了一种网络攻击的溯源方法和 装置、 电子设备及存储介质， 涉及网络安全技术 领域。 该方法包括： 当捕获到预设攻击事件发生 时， 获取预设攻击事件的初始攻击要素的信息； 获取预先构建的要素矩阵； 依据获取的初始攻击 要素的信息， 对比要素矩阵， 确定用于获取初始 攻击要素的信息的至少一个第一目标关键手段； 结合初始攻击要素的信息， 通过至少一个第一目 标关键手段获取与初始攻击要素关联的至少一 个第一目标关键要素的信息； 基于初始攻击要素 的信息和至少一个第一目标关键要素的信息， 对 攻击方进行溯源。 可 以看到， 本申请实施例降低 了溯源工作的技术门槛， 同时避免过多依赖个人 能力导致的混乱和遗漏， 极大提升了溯源的效 率。 权利要求书3页 说明书12页 附图3页 CN 114338211 A 2022.04.12 CN 114338211 A 1.一种网络攻击的溯源方法， 其特 征在于， 包括： 当捕获到预设攻击事 件发生时， 获取 所述预设攻击事 件的初始攻击要素的信息； 获取预先构建的要素矩阵， 其中所述要素矩阵中包括用于溯源攻击方的一个或多个关 键要素， 以及用于获取 各个关键要素的信息的一个或多个关键手段； 依据获取的所述初始攻击要素的信息， 对比所述要素矩阵， 确定用于获取所述初始攻 击要素的信息的至少一个第一目标关键手段； 结合所述初始攻击要素的信 息， 通过所述至少一个第 一目标关键手段获取与 所述初始 攻击要素关联的至少一个第一目标关键要素的信息； 基于所述初始攻击要素的信 息和所述至少一个第 一目标关键要素的信 息， 对攻击方进 行溯源。 2.根据权利要求1所述的网络攻击的溯源方法， 其特征在于， 在结合所述初始攻击要素 的信息， 通过所述至少一个第一目标关键手段获取与所述初始 攻击要素关联的至少一个第 一目标关键要素的信息之后， 所述方法还 包括： 依据所述至少一个第一目标关键要素的信息， 对比所述要素矩阵， 确定用于获取所述 至少一个第一目标关键要素的信息的至少一个第二目标关键手段； 结合所述至少一个第 一目标关键要素的信 息， 通过所述至少一个第 二目标关键手段获 取与所述至少一个第一目标关键要素关联的至少一个第二目标关键要素的信息； 基于所述初始攻击要素的信 息和所述至少一个第 一目标关键要素的信 息， 对攻击方进 行溯源， 包括： 基于所述初始攻击要素的信 息、 所述至少一个第 一目标关键要素的信 息以及所述至少 一个第二目标关键要素的信息， 对攻击方进行溯源。 3.根据权利要求2所述的网络攻击的溯源方法， 其特征在于， 所述要素矩阵采用第 一类 二维表进行展示， 所述第一类二维表的行中记载用于溯源攻击方 的一个或多个关键要素， 所述第一类二维表的列中记载一个或多个关键手段， 所述行和所述列交叉构成的单元格中 记载标识符， 所述标识符至少包括： 第一标识符， 当所述要 素矩阵的任一单元格中记载的是 第一标识符时， 表示该单元格所在列对应的关键手段用于获取该单元格所在行对应的关键 要素的信息； 依据获取的所述初始攻击要素的信息， 对比所述要素矩阵， 确定用于获取所述初始攻 击要素的信息的至少一个第一目标关键手段， 包括： 依据获取的所述初始攻击要素的信 息， 查询所述要素矩阵中所述初始攻击要素所在行 中标识符是第一标识符的一个或多个单 元格； 将所述一个或多个单元格所在列记载的关键手段作为用于获取所述初始攻击要素的 信息的至少一个第一目标关键手段。 4.根据权利要求3所述的网络攻击的溯源方法， 其特 征在于， 在结合所述初始攻击要素的信 息， 通过所述至少一个第 一目标关键手段获取与所述初 始攻击要素关联的至少一个第一 目标关键要素 的信息之后， 所述方法还包括： 将所述初始 攻击要素 的信息和所述至少一个第一目标关键要素的信息写入所述要素矩阵对应的单元 格中； 在结合所述至少一个第 一目标关键要素的信 息， 通过所述至少一个第 二目标关键手段权　利　要　求　书 1/3 页 2 CN 114338211 A 2获取与所述至少一个第一目标关键要 素关联的至少一个第二目标关键要 素的信息之后， 所 述方法还包括： 将所述至少一个第二目标关键要 素的信息写入所述要 素矩阵对应的单元格 中； 依据所述至少一个第二目标关键要素的信息， 对比所述要素矩阵， 确定用于获取所述 至少一个第二目标关键要素的信息的至少一个第三目标关键手段； 结合所述至少一个第 二目标关键要素的信 息， 通过所述至少一个第 三目标关键手段获 取与所述至少一个第二目标关键要素关联的至少一个第三目标关键要素的信息； 将所述至少一个第三目标关键要素的信息写入所述要素矩阵对应的单 元格中； 依据所述至少一个第N目标关键要素的信 息， 对比所述要素矩阵， 确定用于获取所述至 少一个第N目标关键要素的信息的至少一个第N+1目标关键手段； 结合所述至少一个第 N目标关键要素的信息， 通过所述至少一个第N+1目标关键手段获 取与所述至少一个第N目标关键要素关联的至少一个第N+1目标关键要素的信息； 将所述至少一个第N+1目标关键要素的信息写入所述要素矩阵对应的单 元格中； 循环执行上述步骤， 当所述要素矩阵对应的单元格的信息写入率大于预设阈值时， 结 合写入的信息对攻击方进行溯源。 5.根据权利要求2所述的网络攻击的溯源方法， 其特征在于， 所述要素矩阵采用第 二类 二维表进行展示， 所述第二类二维表的列中记载用于溯源攻击方 的一个或多个关键要素， 所述第二类二维表的行中记载一个或多个关键手段， 所述行和所述列交叉构成的单元格中 记载标识符， 所述标识符至少包括： 第二标识符， 当所述要 素矩阵的任一单元格中记载的是 第二标识符时， 表示该单元格所在行对应的关键手段用于获取该单元格所在列对应的关键 要素的信息； 依据获取的所述初始攻击要素的信息， 对比所述要素矩阵， 确定用于获取所述初始攻 击要素的信息的至少一个第一目标关键手段， 包括： 依据获取的所述初始攻击要素的信 息， 查询所述要素矩阵中所述初始攻击要素所在列 中标识符是第二标识符的一个或多个单 元格； 将所述一个或多个单元格所在行记载的关键手段作为用于获取所述初始攻击要素的 信息的至少一个第一目标关键手段。 6.根据权利要求5所述的网络攻击的溯源方法， 其特 征在于， 在结合所述初始攻击要素的信 息， 通过所述至少一个第 一目标关键手段获取与所述初 始攻击要素关联的至少一个第一 目标关键要素 的信息之后， 所述方法还包括： 将所述初始 攻击要素 的信息和所述至少一个第一目标关键要素的信息写入所述要素矩阵对应的单元 格中； 在结合所述至少一个第 一目标关键要素的信 息， 通过所述至少一个第 二目标关键手段 获取与所述至少一个第一目标关键要 素关联的至少一个第二目标关键要 素的信息之后， 所 述方法还包括： 将所述至少一个第二目标关键要 素的信息写入所述要 素矩阵对应的单元格 中； 依据所述至少一个第二目标关键要素的信息， 对比所述要素矩阵， 确定用于获取所述 至少一个第二目标关键要素的信息的至少一个第三目标关键手段； 结合所述至少一个第 二目标关键要素的信 息， 通过所述至少一个第 三目标关键手段获权　利　要　求　书 2/3 页 3 CN 114338211 A 3