(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211025738.4 (22)申请日 2022.08.25 (71)申请人 成都卫士通信息产业股份有限公司 地址 610041 四川省成 都市高新区云华路 333号 申请人 南京华盾电力 信息安全测评有限公 司 (72)发明人 宗琪　仲恺　秦鸿飞　刘慧　黄健　 杨乘胜　江楠　汤敏杰　张晏斌　 邓峰　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 陈建平 (51)Int.Cl. H04L 9/40(2022.01)H04L 43/045(2022.01) (54)发明名称 攻击路径可视化还原方法、 装置、 设备及介 质 (57)摘要 本申请公开了一种攻击路径可视化还原方 法、 装置、 设备及介质,涉及内网信息安全技术领 域， 该方法包括： 采集由目标安全设备返回的原 始安全事件， 并将所述原始安全事件保存至预设 数据库中； 通过预设搜索条件接口获取目标搜索 条件， 并基于所述目标搜索条件从所述预设数据 库中进行溯源， 以得到目标安全事件列表； 利用 所述目标安全事件列表中的发生时间信息、 源地 址和目的地址得到参考攻击 路径动画， 并设置用 户搜索接口， 以便基于通过所述用户搜索接口获 取的用户搜索条件和所述参考攻击路径动画生 成目标攻击路径动画。 通过上述方法， 能够在攻 击路径的可视化界面中展示出安全事件之间的 关联性， 并能够与可视化界面进行交 互。 权利要求书3页 说明书11页 附图6页 CN 115396199 A 2022.11.25 CN 115396199 A 1.一种攻击路径可视化还原方法， 其特 征在于， 包括： 采集由目标安全设备返回的原始安全事件， 并将所述原始安全事件保存至预设数据库 中； 通过预设搜索条件接口获取目标搜索条件， 并基于所述目标搜索条件从所述预设数据 库中进行溯源， 以得到目标安全 事件列表； 利用所述目标安全事件列表中的发生 时间信息、 源地址和目的地址得到参考攻击路径 动画， 并设置用户搜索接口， 以便基于通过所述用户搜索接口获取 的用户搜索条件和所述 参考攻击路径动画生成目标攻击路径动画。 2.根据权利要求1所述的攻击路径可视化还原方法， 其特征在于， 所述基于所述目标搜 索条件从所述预设数据库中进行溯源， 以得到目标安全 事件列表， 包括： 判断当前溯源层级是否大于所述目标搜索条件中的目标溯源层级， 若否则 基于所述目 标搜索条件， 并利用当前溯源地址进行溯源得到包含当前安全事件的当前安全事件列表， 然后提取与所述当前安全事件对应的源地址和目的地址， 以便基于所述当前安全事件对应 的源地址和目的地址得到下一溯源地址以及基于所述当前溯源层级得到下一溯源层级； 判断所述下一溯源层级是否大于所述目标溯源层级， 若否则将所述下一溯源层级和所 述下一溯源地址分别作为所述当前溯源层级和所述当前溯源地址， 然后重新跳转至所述基 于所述目标搜索条件， 并利用当前溯源地址进行溯源得到包含当前安全事件的当前安全事 件列表的步骤， 直至所述下一溯源层级大于所述 目标溯源层级， 并将所述当前安全事件列 表确定为目标安全 事件列表； 相应的， 所述判断当前溯源层级是否大于所述目标搜索条件中的目标溯源层级之前， 还包括： 通过预设搜索条件接口获取包含初始溯源地址和目标溯源层级的目标搜索条件， 并设 置初始溯源层级， 以便将所述初始溯源地址和所述初始溯源层级分别作为所述当前溯源地 址和所述当前溯源层级。 3.根据权利要求2所述的攻击路径可视化还原方法， 其特征在于， 所述利用当前溯源地 址进行溯源得到包含当前安全事件的当前安全事件列 表， 然后提取与所述当前安全事件对 应的源地址和目的地址， 包括： 利用当前溯源地址进行溯源得到所述当前安全事件， 并获取所述当前安全事件的标识 信息， 然后基于所述标识信息判断所述上一安全事件列表中是否已保存所述当前安全事 件； 若已保存则将所述上一安全事件列表作为所述当前安全事件列表， 并提取与 所述当前 安全事件对应的源地址和目的地址； 若未保存则将所述当前安全事件 保存至所述上一安全 事件列表以得到所述当前安全事件列 表， 并提取与所述当前安全事件对应的源地址和目的 地址。 4.根据权利要求1所述的攻击路径可视化还原方法， 其特征在于， 所述利用所述目标安 全事件列表中的发生时间信息、 源地址和目的地址得到参 考攻击路径动画， 包括： 从所述目标安全事件列表中提取发生时间信息、 源地址和目的地址， 并判断预设安全 运营平台的资产台账表中是否已保存与所述源地址和所述目的地址对应的资产类型信息、 资产名称和责任人信息中的任意 一种或几种资产信息；权　利　要　求　书 1/3 页 2 CN 115396199 A 2若已保存则获取与 所述源地址和所述目的地址对应的资产类型信 息、 资产名称和责任 人信息中的任意一种或几种资产信息， 并基于所述发生时间信息、 所述源地址、 所述目的地 址以及所述资产信息得到参考攻击路径动画； 若未保存则基于所述发生时间信息、 所述源 地址和所述目的地址得到参 考攻击路径动画。 5.根据权利要求1至4任一项所述的攻击路径可视化还原方法， 其特征在于， 所述基于 所述目标搜索条件从所述预设数据库中进行溯源， 以得到目标安全 事件列表之后， 还 包括： 统计所述目标安全事件列表中的安全事件的事件数量以及与所述安全事件关联的节 点数量， 并基于所述事 件数量和所述节点数量创建事 件概览散点动画； 基于预设时间顺序获取所述目标安全事件列表中所述安全事件， 并确定所述安全事件 的发生次数、 攻击阶段、 攻击方向、 源地址、 目的地址、 发生时间信息、 事件名称以及上报所 述安全事件的设备地址中的任意一种或几种事件信息， 并基于所述事件信息创建事件信息 栏动画。 6.根据权利要求5所述的攻击路径可视化还原方法， 其特征在于， 所述基于预设时间顺 序获取所述 目标安全事件列表中所述安全事件， 并确定所述安全事件的发生次数、 攻击阶 段、 攻击方向、 源地址、 目的地址、 发生时间信息、 事件名称以及上报所述安全事件的设备地 址中的任意 一种或几种事 件信息， 包括： 基于预设时间顺序获取所述目标安全事件列表中当前所述安全事件， 并确定当前所述 安全事件的发生次数、 发生时间信息、 源地址、 目的地址、 事件名称以及上报所述安全事件 的设备地址中的任意一种或几种事件信息， 然后从预设事件模型表中查询与当前所述安全 事件的事件名称对应的攻击阶段； 基于预设内网标识信息段管理表判断当前所述安全事件的源地址和目的地址是否为 内网地址， 并基于判断结果计算出与当前所述安全事件的源地址至目的地址对应的攻击方 向。 7.根据权利要求6所述的攻击路径可视化还原方法， 其特征在于， 所述基于预设时间顺 序获取所述目标安全事件列表中当前所述安全事件， 并确定当前所述安全事件的发生次 数、 发生时间信息、 源地址、 目的地址、 事件名称以及上报所述安全事件的设备地址中的任 意一种或几种事 件信息， 包括： 基于预设时间顺序获取所述目标安全事件列表中当前所述安全事件， 确定当前所述安 全事件的发生时间信息、 源地址、 目的地址以及事件名称， 并基于 当前所述安全事件的发生 时间判断当前 所述安全事件是否为所述目标安全 事件列表中第一个所述 安全事件； 若是则判定当前 所述安全事件的发生次数为1。 8.根据权利要求7所述的攻击路径可视化还原方法， 其特征在于， 所述基于当前所述安 全事件的发生时间判断当前所述安全事件是否为所述目标安全事件列表中第一个所述安 全事件之后， 还 包括： 若否则判断当前所述安全事件的源地址、 目的地址以及事件名称与 上一所述安全事件 的源地址、 目的地址以及事 件名称是否一 致； 如果一致则将上一所述安全事件的发生 次数进行更新， 以得到当前所述安全事件的发 生次数； 如果 不一致则判定当前 所述安全事件的发生次数为1。 9.一种攻击路径可视化还原装置， 其特 征在于， 包括：权　利　要　求　书 2/3 页 3 CN 115396199 A 3