(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111645946.X (22)申请日 2021.12.3 0 (71)申请人 绿盟科技 集团股份有限公司 地址 100089 北京市海淀区北洼路4 号益泰 大厦5层 申请人 北京神州绿盟科技有限公司 (72)发明人 周庚乾　张喆　吴铁军　赵陈菲　 滑亚康　叶晓虎　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 代理人 田小倩 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络攻击路径获取方法、 装置及电子设 备 (57)摘要 本申请提供了一种网络攻击 路径获取方法、 装置及电子设备， 通过该方法可以根据预设网络 攻击事件图谱， 建立网络攻击事件中各类型节点 实体之间关联关系， 也就是参与网络攻击事件各 个网络设备之间的关联关系， 从而根据该关联关 系得到网络攻击事件对应的网络攻击路径， 进而 实现了RAT远程控制网络的攻击路径还原， 避免 人工参与流量数据分析导致攻击路径还原效率 低以及准确性低的问题。 权利要求书2页 说明书10页 附图10页 CN 114363036 A 2022.04.15 CN 114363036 A 1.一种网络攻击路径获取 方法， 其特 征在于， 包括 获取设定时间段内的N种 告警日志， 在所述N种 告警日志中提取出至少包含各类型网络 实体的目标数据， 其中， 所述各类型网络实体为所述告警日志对应的网络攻击事件中的各 个实体， N 为大于1的正整数； 根据得到的所有目标数据， 生成N个包含两种类型网络实体的二分图， 其中， 每个二分 图中包含了两类网络实体之间的关联关系； 根据预设网络攻击事件图谱以及N个二分图， 建立所述目标数据中各类型网络实体之 间的关联关系， 其中， 所述预设网络攻击事件图谱包含了网络攻击事件中各类型 的网络实 体之间的关联关系； 根据各类型网络实体之间的关联关系， 生成网络攻击事 件对应的网络攻击路径。 2.如权利要求1所述的方法， 其特征在于， 在所述告警日志中提取出至少包含 网络攻击 事件对应的网络实体的目标 数据， 包括： 确定所述告警日志中网络攻击事 件的各个网络攻击阶段； 提取各个网络攻击阶段中参与网络攻击事件的各类型网络实体， 得到包含所述各类型 网络实体的所述目标 数据。 3.如权利要求2所述的方法， 其特征在于， 所述提取各个网络攻击阶段中参与网络攻击 事件的各类型网络实体， 包括： 在所述告警日志的漏洞数据中提取 出网络攻击事 件中的攻击主机以及被攻击主机； 在所述告警日志的恶意代码数据中提取出网络攻击事件中存储恶意程序主机以及下 载恶意程序主机； 在所述告警日志的攻击指令数据中提取出网络攻击事件中指令服务器、 目标主机以及 执行指令主机； 将所述攻击主机、 被攻击主机、 恶意程序主机、 下载恶意程序主机、 指令服务器、 目标主 机以及执 行指令主机作为所述 攻击事件的各类型网络实体。 4.如权利要求2所述的方法， 其特征在于， 所述根据预设网络攻击事件图谱， 建立所述 目标数据中各类型网络实体之间的关联关系， 包括： 在所述预设网络攻击事件图谱中识别出各攻击阶段中各类型网络实体之间的预设关 联； 按照所述预设 关联， 建立所述各攻击阶段中各类型网络实体之间的关联关系。 5.如权利要求1所述的方法， 其特征在于， 所述根据各类型网络实体之间的关联关系， 生成网络攻击事 件对应的网络攻击路径， 包括： 根据各类型网络实体之间的关联关系， 确定出包含所有类型网络实体的连通结构， 其 中， 所述连通结构中包 含了各类型网络实体； 根据所述连通结构， 确定网络攻击事 件中各个攻击阶段对应的阶段攻击路径； 根据各个阶段攻击路径， 生成所述网络攻击事 件对应的网络攻击路径。 6.一种网络攻击路径获取装置， 其特 征在于， 包括： 提取模块， 用于获取设定时间段内的N种告警日志， 在所述N种告警日志中提取出至少 包含各类型网络实体的目标数据， 其中， 所述各类型网络实体为所述告警日志对应的网络 攻击事件中的各个实体；权　利　要　求　书 1/2 页 2 CN 114363036 A 2处理模块， 用于根据得到的所有目标数据， 生成N个包含两种类型网络实体的二分图， 根据预设网络攻击事件图谱以及N个二分图， 建立所述 目标数据中各类型网络实体之间的 关联关系， 其中， 所述预设网络攻击事件图谱包含了网络攻击事件中各类型 的网络实体之 间的关联关系， 每 个二分图中包 含了两个网络实体之间的关联关系， N 为大于1的正整数； 生成模块， 用于根据各类型网络实体之间的关联关系， 生成网络攻击事件对应的网络 攻击路径。 7.如权利要求6所述的装置， 其特征在于， 所述提取模块， 具体用于确定所述告警日志 中网络攻击事件的各个网络攻击阶段； 提取各个网络攻击阶段中参与网络攻击事件的各类 型网络实体， 得到包 含所述各类型网络实体的所述目标 数据。 8.如权利要求6所述的装置， 其特征在于， 所述生成模块， 具体用于根据各类型网络实 体之间的关联关系， 确定出包含所有类型网络实体的连通结构； 根据所述连通结构， 确定网 络攻击事件中各个攻击阶段对应的阶段攻击路径； 根据各个阶段攻击路径， 生成所述网络 攻击事件对应的网络攻击路径， 其中， 所述连通结构中包 含了各类型网络实体。 9.一种电子设备， 其特 征在于， 包括： 存储器， 用于存放计算机程序； 处理器， 用于执行所述存储器上所存放的计算机程序时， 实现权利要求1 ‑5中任一项所 述的方法步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质内存储有计算机 程序， 所述计算机程序被处 理器执行时实现权利要求1 ‑5任一项所述的方法步骤。权　利　要　求　书 2/2 页 3 CN 114363036 A 3