CN114003903A - 一种网络攻击追踪溯源方法及装置 - Google Patents
一种网络攻击追踪溯源方法及装置 Download PDFInfo
- Publication number
- CN114003903A CN114003903A CN202111615214.6A CN202111615214A CN114003903A CN 114003903 A CN114003903 A CN 114003903A CN 202111615214 A CN202111615214 A CN 202111615214A CN 114003903 A CN114003903 A CN 114003903A
- Authority
- CN
- China
- Prior art keywords
- attacker
- tracing
- target
- information
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供一种网络攻击追踪溯源方法及装置,涉及网络安全技术领域,该网络攻击追踪溯源方法包括:先获取目标网络服务的访问日志,并检测目标网络服务中的第一恶意文件;然后根据访问日志和第一恶意文件,提取目标攻击者的攻击者信息;接着,根据访问日志和攻击者信息确定目标攻击者访问的其他文件,作为待检测文件;进一步地,根据待检测文件、访问日志、第一恶意文件以及攻击者信息,构建目标攻击者的攻击者画像;最后,根据攻击者画像进行网络攻击追踪溯源,得到追踪溯源结果,能够在真实服务场景下,对网络攻击进行追踪溯源,完全贴合实际服务场景,从而有利于提升追踪溯源准确度,保障网络安全。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种网络攻击追踪溯源方法及装置。
背景技术
目前,计算机网络技术飞速发展,越来越多的企业提供目标网络服务,与此同时,对于网络服务的主体,也就是网络服务器的安全防护也越加重要。现有的网络攻击追踪溯源方法,通常先获取预先部署的蜜罐服务器中的访问日志;然后对访问日志中攻击者的信息提取;再对攻击者信息进行筛选匹配,记录有效的攻击者信息并存储备案。然而,在实践中发现,现有方法中,该蜜罐服务器只能模拟正常服务,和实际服务场景存在差别,从而导致追踪溯源准确度低。
发明内容
本申请实施例的目的在于提供一种网络攻击追踪溯源方法及装置,能够在真实服务场景下,对网络攻击进行追踪溯源,完全贴合实际服务场景,从而有利于提升追踪溯源准确度,保障网络安全。
本申请实施例第一方面提供了一种网络攻击追踪溯源方法,包括:
获取目标网络服务的访问日志,并检测所述目标网络服务中的第一恶意文件;
根据所述访问日志和所述第一恶意文件,提取目标攻击者的攻击者信息;
根据所述访问日志和所述攻击者信息确定所述目标攻击者访问的其他文件,作为待检测文件;
根据所述待检测文件、所述访问日志、所述第一恶意文件以及所述攻击者信息,构建所述目标攻击者的攻击者画像;
根据所述攻击者画像进行网络攻击追踪溯源,得到追踪溯源结果。
在上述实现过程中,先获取目标网络服务的访问日志,并检测目标网络服务中的第一恶意文件;然后根据访问日志和第一恶意文件,提取目标攻击者的攻击者信息;接着,根据访问日志和攻击者信息确定目标攻击者访问的其他文件,作为待检测文件;进一步地,根据待检测文件、访问日志、第一恶意文件以及攻击者信息,构建目标攻击者的攻击者画像;最后,根据攻击者画像进行网络攻击追踪溯源,得到追踪溯源结果,能够在真实服务场景下,对网络攻击进行追踪溯源,完全贴合实际服务场景,从而有利于提升追踪溯源准确度,保障网络安全。
进一步地,所述检测所述目标网络服务中的第一恶意文件,包括:
获取所述目标网络服务目录下的脚本文件;
对所述脚本文件进行恶意文件检测,确定出第一恶意文件。
进一步地,所述根据所述访问日志和所述第一恶意文件,提取目标攻击者的攻击者信息,包括:
根据所述访问日志提取所述第一恶意文件的第一访问记录;
根据所述第一访问记录提取目标攻击者的攻击者信息。
进一步地,所述根据所述访问日志和所述攻击者信息确定所述目标攻击者访问的其他文件,作为待检测文件,包括:
根据所述访问日志和所述攻击者信息,确定所述目标攻击者访问其他文件的第二访问记录;
根据所述第二访问记录确定待检测文件。
进一步地,所述根据所述待检测文件、所述访问日志、所述第一恶意文件以及所述攻击者信息,构建所述目标攻击者的攻击者画像,包括:
对所述待检测文件进行完整性校验,得到校验结果;
根据所述校验结果从待检测文件中确定出未被篡改的文件和被篡改的文件;
对所述未被篡改的文件进行入侵点检测,得到入侵点检测结果,以及对所述被篡改的文件再次进行恶意文件检测,得到第二恶意文件;
根据所述访问日志、所述第一恶意文件、所述第二恶意文件、所述入侵点检测结果以及所述攻击者信息,进行多维度信息统计,得到多维度信息统计结果;
根据所述多维度信息统计结果构建所述目标攻击者的攻击者画像。
进一步地,所述根据所述访问日志、所述第一恶意文件、所述第二恶意文件、所述入侵点检测结果以及所述攻击者信息,进行多维度信息统计,得到多维度信息统计结果,包括:
根据所述第二恶意文件、所述访问日志以及所述攻击者信息,生成所述目标攻击者的基本信息;
根据所述入侵点检测结果对攻击者入侵点的数据进行统计,得到入侵点统计结果;
根据所述入侵点统计结果评估所述目标攻击者的攻击技术水平;
从所述访问日志中获取所述目标攻击者的所有访问记录,并对所述目标攻击者的所有访问记录进行统计分析,得到时间统计结果;
汇总所述基本信息、所述入侵点统计结果、所述攻击技术水平以及所述时间统计结果得到多维度信息统计结果。
进一步地,所述根据所述攻击者画像进行网络攻击追踪溯源,得到追踪溯源结果,包括:
将所述攻击者画像与预设的画像数据库进行匹配,得到画像匹配信息和画像相似度;
判断所述画像相似度是否大于预设相似度阈值;
如果是,则根据所述画像匹配信息对所述目标攻击者进行追踪朔源,得到追踪朔源结果;
如果否,则将所述攻击者画像添加至所述画像数据库中,以更新所述画像数据库。
本申请实施例第二方面提供了一种网络攻击追踪溯源***,所述网络攻击追踪溯源***包括:
获取单元,用于获取目标终端中目标网络服务的访问日志;
检测单元,用于检测所述目标网络服务中的第一恶意文件;
提取单元,用于根据所述访问日志和所述第一恶意文件,提取目标攻击者的攻击者信息;
确定单元,根据所述访问日志和所述攻击者信息确定所述目标攻击者访问的其他文件,作为待检测文件;
画像构建单元,用于根据所述待检测文件、所述访问日志、所述第一恶意文件以及所述攻击者信息,构建所述目标攻击者的攻击者画像;
追踪溯源单元,用于根据所述攻击者画像进行网络攻击追踪溯源,得到追踪溯源结果。
在上述实现过程中,获取单元先获取目标网络服务的访问日志,检测单元检测目标网络服务中的第一恶意文件;然后提取单元根据访问日志和第一恶意文件,提取目标攻击者的攻击者信息;接着,确定单元根据访问日志和攻击者信息确定目标攻击者访问的其他文件,作为待检测文件;进一步地,画像构建单元根据待检测文件、访问日志、第一恶意文件以及攻击者信息,构建目标攻击者的攻击者画像;最后,追踪溯源单元根据攻击者画像进行网络攻击追踪溯源,得到追踪溯源结果,能够在真实服务场景下,对网络攻击进行追踪溯源,完全贴合实际服务场景,从而有利于提升追踪溯源准确度,保障网络安全。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的网络攻击追踪溯源方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的网络攻击追踪溯源方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络攻击追踪溯源方法的流程示意图;
图2为本申请实施例提供的一种网络攻击追踪溯源***的结构示意图;
图3为本申请实施例提供的一种网络攻击追踪溯源***的信息交互示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供了一种网络攻击追踪溯源方法的流程示意图。其中,该网络攻击追踪溯源方法包括:
S101、获取目标网络服务的访问日志,并检测目标网络服务中的第一恶意文件。
本申请实施例中,该目标网络服务具体可以为WEB服务等,对此本申请实施例不作限定。
本申请实施例中,该方法可以应用于网络攻击追踪溯源***,如图3所示,该追踪溯源***包括恶意文件检测、日志分析以及追送溯源三个部分,其中,可以通过恶意文件检测***检测目标网络服务中的第一恶意文件。
本申请实施例中,该追踪溯源***可以运行于计算机、服务器等计算装置上,对此本实施例中不作任何限定。
在本申请实施例中,该追踪溯源***还可以运行于智能手机、平板电脑等智能设备上,对此本实施例中不作任何限定。
本申请实施例中,恶意文件检测主要对目标网络服务下的所有文件进行恶意文件检测。锁定入侵痕迹,发现攻击行为。
本申请实施例中,该恶意文件检测具体可以为webshell检测模块,对此本申请实施例不作限定。其中,通过webshell检测模块进行恶意文件检测时,包括两类检测方式:静态检测方式和动态检测方式。
本申请实施例中,该方法通过webshell检测引擎锁定真实的攻击,采集真实环境的日志信息,且关联分析,找到攻击的入侵点,可以用于后续的漏洞修复。
本申请实施例中,当采用静态检测方式时,包括数据的传递以及执行所传递的数据两步。对于执行数据部分,可以收集关键词,类似exec、passthru、shell_exec、system、eval等,然后匹配脚本文件中的关键词找出可疑函数,当执行数据部分匹配到可疑函数时再进行判断其数据传递部分是否为用户可控,譬如 $_POST、$_GET、$_REQUEST、$_FILES、$_COOKIE、$_SERVER 等等。
本申请实施例中,当采用动态检测方式时,可以基于沙箱环境的动态运行,监控沙箱的行为,如果检测的文件是执行命令的脚本文件,就会产生执行命令的子进程,然后传递webshell需要参数,还可以进行Fuzz测试。
本申请实施例中,该目标网络服务具体可以为web服务等,对此本申请实施例不作限定。
作为一种可选的实施方式,检测目标网络服务中的第一恶意文件,包括:
获取目标网络服务目录下的脚本文件;
对脚本文件进行恶意文件检测,确定出第一恶意文件。
S102、根据访问日志提取第一恶意文件的第一访问记录,并根据第一访问记录提取目标攻击者的攻击者信息。
本申请实施例中,该攻击者信息包括但不限于攻击源IP地址、请求数据头对应的代理、请求时间、传递的请求信息等,对此本申请实施例不作限定。
本申请实施例中,实施上述步骤S102,能够根据访问日志和第一恶意文件,提取目标攻击者的攻击者信息。
S103、根据访问日志和攻击者信息,确定目标攻击者访问其他文件的第二访问记录。
本申请实施例中,该方法通过关联的访问信息,减少了文件完整性校验的数量,提高了安全检测的效率。
如图3所示,可以通过日志分析根据恶意文件的第一访问记录,获取到攻击者信息,然后根据攻击者信息,在整个日志中搜索同样来源的第二访问记录,这些请求记录所指向的请求文件中就包含攻击的入侵点或者攻击者留下的后门,具体地,可以通过以下代码逻辑实现:
if hash(request_file) == file_hash:
if is_ vuln_file(request_file):
invade.append(request_file)
else:
webshell_ detection(request_file)
通过上述处理逻辑可以提高检测的准确性,以及避免了对全部文件的完整性验证,提高了效率。
在步骤S103之后,还包括以下步骤:
S104、根据第二访问记录确定待检测文件。
本申请实施例中,实施上述步骤S103~步骤S104,能够根据访问日志和攻击者信息确定目标攻击者访问的其他文件,作为待检测文件。
S105、对待检测文件进行完整性校验,得到校验结果。
S106、根据校验结果从待检测文件中确定出未被篡改的文件和被篡改的文件。
S107、对未被篡改的文件进行入侵点检测,得到入侵点检测结果,以及对被篡改的文件再次进行恶意文件检测,得到第二恶意文件。
本申请实施例中,通过对这些文件完整性进行校验,能够判断是否文件被篡改,如果被篡改则判断是否为入侵点。
S108、根据第二恶意文件、访问日志以及攻击者信息,生成目标攻击者的基本信息。
本申请实施例中,在进行多维度信息统计时,先收集目标攻击者的基本信息,包括但不限于攻击源IP地址、操作***类型、开放端口信息、端口绑定服务信息、地理位置、所属的ASN所在地、IP的反查域名等,对此本申请实施例不作限定。
S109、根据入侵点检测结果对攻击者入侵点的数据进行统计,得到入侵点统计结果。
S110、根据入侵点统计结果评估目标攻击者的攻击技术水平。
本申请实施例中,对攻击者入侵点的数据进行统计,能够判定是脚本攻击还是手动攻击,利用前是否有验证漏洞的过程,从而能够衡量目标攻击者的技术水平。
S111、从访问日志中获取目标攻击者的所有访问记录,并对目标攻击者的所有访问记录进行统计分析,得到时间统计结果。
本申请实施例中,对目标攻击者的所有访问记录做时间上的统计分析,得到时间统计结果,具体地,该时间统计结果包括攻击时长、攻击频率、有效攻击次数等,对此本申请实施例不作限定。
S112、汇总基本信息、入侵点统计结果、攻击技术水平以及时间统计结果得到多维度信息统计结果。
本申请实施例中,实施上述步骤S108~步骤S112,能够根据访问日志、第一恶意文件、第二恶意文件、入侵点检测结果以及攻击者信息,进行多维度信息统计,得到多维度信息统计结果。
在步骤S112之后,还包括以下步骤:
S113、根据多维度信息统计结果构建目标攻击者的攻击者画像。
本申请实施例中,最终结合多维度信息统计结果,对目标攻击者进行测绘记录,建立攻击者画像,并和画像数据库中以往的数据进行相似度匹配。
本申请实施例中,该方法通过多维度的信息来源,测绘攻击者画像,实现溯源反制的效果。
本申请实施例中,实施上述步骤S105~步骤S113,能够根据待检测文件、访问日志、第一恶意文件以及攻击者信息,构建目标攻击者的攻击者画像。
S114、将攻击者画像与预设的画像数据库进行匹配,得到画像匹配信息和画像相似度。
S115、判断画像相似度是否大于预设相似度阈值,如果是,执行步骤S116;如果否,执行步骤S117。
S116、根据画像匹配信息对目标攻击者进行追踪朔源,得到追踪朔源结果,并结束本流程。
S117、将攻击者画像添加至画像数据库中,以更新画像数据库。
本申请实施例中,实施上述步骤S114~步骤S117,能够根据攻击者画像进行网络攻击追踪溯源,得到追踪溯源结果。
本申请实施例中,该方法可以有效的检测目标网络服务中是否存在恶意文件,然后通过目标网络服务中的访问日志来获取到恶意文件的第一访问记录,提取到攻击者信息,再通过攻击者信息在访问日志中筛选出攻击者的全部访问其他文件,全部访问其他文件中含有目标攻击者的入侵点和后门文件。所有的访问日志都是基于真实流量,完全贴合真实业务。
本申请实施例中,该方法基于访问日志分析,在处理原始日志的同时,多维度的测绘攻击者画像,并且和数据库以往数据进行相似性对比,补充攻击流程,完成检测闭环。从而能够保证对于真实的环境下的追踪溯源,善于发现攻击入侵点,完善整个攻击流程逻辑,同时还能够可测绘攻击者画像。
可见,实施本实施例所描述的网络攻击追踪溯源方法,能够在真实服务场景下,对网络攻击进行追踪溯源,完全贴合实际服务场景,从而有利于提升追踪溯源准确度,保障网络安全。
实施例2
请参看图2,图2为本申请实施例提供的一种网络攻击追踪溯源***的结构示意图。如图2所示,该网络攻击追踪溯源***包括:
获取单元210,用于获取目标终端中目标网络服务的访问日志;
检测单元220,用于检测目标网络服务中的第一恶意文件;
提取单元230,用于根据访问日志和第一恶意文件,提取目标攻击者的攻击者信息;
确定单元240,根据访问日志和攻击者信息确定目标攻击者访问的其他文件,作为待检测文件;
画像构建单元250,用于根据待检测文件、访问日志、第一恶意文件以及攻击者信息,构建目标攻击者的攻击者画像;
追踪溯源单元260,用于根据攻击者画像进行网络攻击追踪溯源,得到追踪溯源结果。
作为一种可选的实施方式,检测单元220包括:
获取子单元221,用于获取目标网络服务目录下的脚本文件;
第一检测子单元222,用于对脚本文件进行恶意文件检测,确定出第一恶意文件。
作为一种可选的实施方式,提取单元230,具体用于根据访问日志提取第一恶意文件的第一访问记录;以及根据第一访问记录提取目标攻击者的攻击者信息。
作为一种可选的实施方式,确定单元240,具体用于根据访问日志和攻击者信息,确定目标攻击者访问其他文件的第二访问记录;以及根据第二访问记录确定待检测文件。
作为一种可选的实施方式,画像构建单元250包括:
校验子单元251,用于对待检测文件进行完整性校验,得到校验结果;
确定子单元252,用于根据校验结果从待检测文件中确定出未被篡改的文件和被篡改的文件;
第二检测子单元253,用于对未被篡改的文件进行入侵点检测,得到入侵点检测结果,以及对被篡改的文件再次进行恶意文件检测,得到第二恶意文件;
统计子单元254,用于根据访问日志、第一恶意文件、第二恶意文件、入侵点检测结果以及攻击者信息,进行多维度信息统计,得到多维度信息统计结果;
构建子单元255,用于根据多维度信息统计结果构建目标攻击者的攻击者画像。
作为一种可选的实施方式,统计子单元254包括:
生成模块,用于根据第二恶意文件、访问日志以及攻击者信息,生成目标攻击者的基本信息;
统计模块,用于根据入侵点检测结果对攻击者入侵点的数据进行统计,得到入侵点统计结果;
评估模块,用于根据入侵点统计结果评估目标攻击者的攻击技术水平;
获取模块,用于从访问日志中获取目标攻击者的所有访问记录,并对目标攻击者的所有访问记录进行统计分析,得到时间统计结果;
汇总模块,用于汇总基本信息、入侵点统计结果、攻击技术水平以及时间统计结果得到多维度信息统计结果。
作为一种可选的实施方式,追踪溯源单元260包括:
匹配子单元261,用于将攻击者画像与预设的画像数据库进行匹配,得到画像匹配信息和画像相似度;
判断子单元262,用于判断画像相似度是否大于预设相似度阈值;
溯源子单元263,用于当判断出大于预设相似度阈值时,则根据画像匹配信息对目标攻击者进行追踪朔源,得到追踪朔源结果;
更新子单元263,用于当判断出不大于预设相似度阈值时,则将攻击者画像添加至画像数据库中,以更新画像数据库。
本申请实施例中,对于网络攻击追踪溯源***的解释说明可以参照实施例1中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的网络攻击追踪溯源***,能够在真实服务场景下,对网络攻击进行追踪溯源,完全贴合实际服务场景,从而有利于提升追踪溯源准确度,保障网络安全。
本申请实施例提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例1中的网络攻击追踪溯源方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例1中的网络攻击追踪溯源方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种网络攻击追踪溯源方法,其特征在于,包括:
获取目标网络服务的访问日志,并检测所述目标网络服务中的第一恶意文件;
根据所述访问日志和所述第一恶意文件,提取目标攻击者的攻击者信息;
根据所述访问日志和所述攻击者信息确定所述目标攻击者访问的其他文件,作为待检测文件;
根据所述待检测文件、所述访问日志、所述第一恶意文件以及所述攻击者信息,构建所述目标攻击者的攻击者画像;
根据所述攻击者画像进行网络攻击追踪溯源,得到追踪溯源结果。
2.根据权利要求1所述的网络攻击追踪溯源方法,其特征在于,检测所述目标网络服务中的第一恶意文件,包括:
获取所述目标网络服务目录下的脚本文件;
对所述脚本文件进行恶意文件检测,确定出第一恶意文件。
3.根据权利要求1所述的网络攻击追踪溯源方法,其特征在于,所述根据所述访问日志和所述第一恶意文件,提取目标攻击者的攻击者信息,包括:
根据所述访问日志提取所述第一恶意文件的第一访问记录;
根据所述第一访问记录提取目标攻击者的攻击者信息。
4.根据权利要求1所述的网络攻击追踪溯源方法,其特征在于,所述根据所述访问日志和所述攻击者信息确定所述目标攻击者访问的其他文件,作为待检测文件,包括:
根据所述访问日志和所述攻击者信息,确定所述目标攻击者访问其他文件的第二访问记录;
根据所述第二访问记录确定待检测文件。
5.根据权利要求1所述的网络攻击追踪溯源方法,其特征在于,所述根据所述待检测文件、所述访问日志、所述第一恶意文件以及所述攻击者信息,构建所述目标攻击者的攻击者画像,包括:
对所述待检测文件进行完整性校验,得到校验结果;
根据所述校验结果从待检测文件中确定出未被篡改的文件和被篡改的文件;
对所述未被篡改的文件进行入侵点检测,得到入侵点检测结果,以及对所述被篡改的文件再次进行恶意文件检测,得到第二恶意文件;
根据所述访问日志、所述第一恶意文件、所述第二恶意文件、所述入侵点检测结果以及所述攻击者信息,进行多维度信息统计,得到多维度信息统计结果;
根据所述多维度信息统计结果构建所述目标攻击者的攻击者画像。
6.根据权利要求5所述的网络攻击追踪溯源方法,其特征在于,所述根据所述访问日志、所述第一恶意文件、所述第二恶意文件、所述入侵点检测结果以及所述攻击者信息,进行多维度信息统计,得到多维度信息统计结果,包括:
根据所述第二恶意文件、所述访问日志以及所述攻击者信息,生成所述目标攻击者的基本信息;
根据所述入侵点检测结果对攻击者入侵点的数据进行统计,得到入侵点统计结果;
根据所述入侵点统计结果评估所述目标攻击者的攻击技术水平;
从所述访问日志中获取所述目标攻击者的所有访问记录,并对所述目标攻击者的所有访问记录进行统计分析,得到时间统计结果;
汇总所述基本信息、所述入侵点统计结果、所述攻击技术水平以及所述时间统计结果得到多维度信息统计结果。
7.根据权利要求1所述的网络攻击追踪溯源方法,其特征在于,所述根据所述攻击者画像进行网络攻击追踪溯源,得到追踪溯源结果,包括:
将所述攻击者画像与预设的画像数据库进行匹配,得到画像匹配信息和画像相似度;
判断所述画像相似度是否大于预设相似度阈值;
如果是,则根据所述画像匹配信息对所述目标攻击者进行追踪朔源,得到追踪朔源结果;
如果否,则将所述攻击者画像添加至所述画像数据库中,以更新所述画像数据库。
8.一种网络攻击追踪溯源***,其特征在于,所述网络攻击追踪溯源***包括:
获取单元,用于获取目标终端中目标网络服务的访问日志;
检测单元,用于检测所述目标网络服务中的第一恶意文件;
提取单元,用于根据所述访问日志和所述第一恶意文件,提取目标攻击者的攻击者信息;
确定单元,根据所述访问日志和所述攻击者信息确定所述目标攻击者访问的其他文件,作为待检测文件;
画像构建单元,用于根据所述待检测文件、所述访问日志、所述第一恶意文件以及所述攻击者信息,构建所述目标攻击者的攻击者画像;
追踪溯源单元,用于根据所述攻击者画像进行网络攻击追踪溯源,得到追踪溯源结果。
9.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至7中任一项所述的网络攻击追踪溯源方法。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至7任一项所述的网络攻击追踪溯源方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111615214.6A CN114003903B (zh) | 2021-12-28 | 2021-12-28 | 一种网络攻击追踪溯源方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111615214.6A CN114003903B (zh) | 2021-12-28 | 2021-12-28 | 一种网络攻击追踪溯源方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114003903A true CN114003903A (zh) | 2022-02-01 |
| CN114003903B CN114003903B (zh) | 2022-03-08 |
Family
ID=79932090
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111615214.6A Active CN114003903B (zh) | 2021-12-28 | 2021-12-28 | 一种网络攻击追踪溯源方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114003903B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113904796A (zh) * | 2021-08-27 | 2022-01-07 | 国家计算机网络与信息安全管理中心 | 网络安全检测用流量的设备后门检测方法 |
| CN114598507A (zh) * | 2022-02-22 | 2022-06-07 | 烽台科技(北京)有限公司 | 攻击者画像生成方法、装置、终端设备及存储介质 |
| CN114780956A (zh) * | 2022-06-21 | 2022-07-22 | 一物一码数据(广州)实业有限公司 | 基于大数据分析的追踪溯源*** |
| CN115834260A (zh) * | 2023-02-21 | 2023-03-21 | 芯知科技(江苏)有限公司 | 网络安全防御***、方法及装置 |
Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006254424A (ja) * | 2005-02-14 | 2006-09-21 | Mitsuhiro Kawasaki | 空間情報関連物を携えた「平面画像情報が、目前に迫る5感覚立体化情報処理関連物」 |
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全***及实现方法 |
| CN106657025A (zh) * | 2016-11-29 | 2017-05-10 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
| CN106909847A (zh) * | 2017-02-17 | 2017-06-30 | 国家计算机网络与信息安全管理中心 | 一种恶意代码检测的方法、装置及*** |
| CN109660557A (zh) * | 2019-01-16 | 2019-04-19 | 光通天下网络科技股份有限公司 | 攻击ip画像生成方法、攻击ip画像生成装置和电子设备 |
| CN110889113A (zh) * | 2019-10-30 | 2020-03-17 | 泰康保险集团股份有限公司 | 一种日志分析方法、服务器、电子设备及存储介质 |
| CN110941823A (zh) * | 2018-09-21 | 2020-03-31 | 武汉安天信息技术有限责任公司 | 威胁情报获取方法及装置 |
| CN111083117A (zh) * | 2019-11-22 | 2020-04-28 | 上海交通大学 | 一种基于蜜罐的僵尸网络的追踪溯源*** |
| CN111881460A (zh) * | 2020-08-06 | 2020-11-03 | 深信服科技股份有限公司 | 一种漏洞利用检测方法、***、设备及计算机存储介质 |
| CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
| CN112491892A (zh) * | 2020-11-27 | 2021-03-12 | 杭州安恒信息安全技术有限公司 | 一种网络攻击诱导方法、装置、设备及介质 |
| CN112765366A (zh) * | 2021-01-24 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 基于知识图谱的apt组织画像构建方法 |
| CN112822147A (zh) * | 2019-11-18 | 2021-05-18 | 上海云盾信息技术有限公司 | 一种用于分析攻击链的方法、***及设备 |
| CN112887285A (zh) * | 2021-01-15 | 2021-06-01 | 中国科学院地理科学与资源研究所 | 一种跨空间图层映射的网络行为智能画像分析方法 |
| CN113282928A (zh) * | 2021-06-11 | 2021-08-20 | 杭州安恒信息技术股份有限公司 | 恶意文件的处理方法、装置、***、电子装置和存储介质 |
| CN113486351A (zh) * | 2020-06-15 | 2021-10-08 | 中国民用航空局空中交通管理局 | 一种民航空管网络安全检测预警平台 |
| CN113626814A (zh) * | 2021-08-10 | 2021-11-09 | 国网福建省电力有限公司 | 一种基于恶意攻击行为的Window***应急响应方法 |
-
2021
- 2021-12-28 CN CN202111615214.6A patent/CN114003903B/zh active Active
Patent Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006254424A (ja) * | 2005-02-14 | 2006-09-21 | Mitsuhiro Kawasaki | 空間情報関連物を携えた「平面画像情報が、目前に迫る5感覚立体化情報処理関連物」 |
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全***及实现方法 |
| CN106657025A (zh) * | 2016-11-29 | 2017-05-10 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
| CN106909847A (zh) * | 2017-02-17 | 2017-06-30 | 国家计算机网络与信息安全管理中心 | 一种恶意代码检测的方法、装置及*** |
| CN110941823A (zh) * | 2018-09-21 | 2020-03-31 | 武汉安天信息技术有限责任公司 | 威胁情报获取方法及装置 |
| CN109660557A (zh) * | 2019-01-16 | 2019-04-19 | 光通天下网络科技股份有限公司 | 攻击ip画像生成方法、攻击ip画像生成装置和电子设备 |
| CN110889113A (zh) * | 2019-10-30 | 2020-03-17 | 泰康保险集团股份有限公司 | 一种日志分析方法、服务器、电子设备及存储介质 |
| CN112822147A (zh) * | 2019-11-18 | 2021-05-18 | 上海云盾信息技术有限公司 | 一种用于分析攻击链的方法、***及设备 |
| CN111083117A (zh) * | 2019-11-22 | 2020-04-28 | 上海交通大学 | 一种基于蜜罐的僵尸网络的追踪溯源*** |
| CN113486351A (zh) * | 2020-06-15 | 2021-10-08 | 中国民用航空局空中交通管理局 | 一种民航空管网络安全检测预警平台 |
| CN111881460A (zh) * | 2020-08-06 | 2020-11-03 | 深信服科技股份有限公司 | 一种漏洞利用检测方法、***、设备及计算机存储介质 |
| CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
| CN112491892A (zh) * | 2020-11-27 | 2021-03-12 | 杭州安恒信息安全技术有限公司 | 一种网络攻击诱导方法、装置、设备及介质 |
| CN112887285A (zh) * | 2021-01-15 | 2021-06-01 | 中国科学院地理科学与资源研究所 | 一种跨空间图层映射的网络行为智能画像分析方法 |
| CN112765366A (zh) * | 2021-01-24 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 基于知识图谱的apt组织画像构建方法 |
| CN113282928A (zh) * | 2021-06-11 | 2021-08-20 | 杭州安恒信息技术股份有限公司 | 恶意文件的处理方法、装置、***、电子装置和存储介质 |
| CN113626814A (zh) * | 2021-08-10 | 2021-11-09 | 国网福建省电力有限公司 | 一种基于恶意攻击行为的Window***应急响应方法 |
Non-Patent Citations (7)
| Title |
|---|
| HQ的小屋: "网络安全学习篇之攻击溯源思路及案例", 《HTTPS://BLOG.CSDN.NET/QQ_44762164/ARTICLE/DETAILS/118675540》 * |
| MARC PIC: "Remote KYC: Attacks and Counter-Measures", 《2019 EUROPEAN INTELLIGENCE AND SECURITY INFORMATICS CONFERENCE (EISIC)》 * |
| TIANTIAN ZHU: "APTSHIELD: A Stable, Efficient and Real-time APT Detection System for Linux Hosts", 《CRYPTOGRAPHY AND SECURITY》 * |
| 倪建伟: "基于网络日志的用户行为检测和画像构建***", 《计算机时代》 * |
| 杨沛安等: "面向攻击识别的威胁情报画像分析", 《计算机工程》 * |
| 王祖俪: "网络安全中攻击者画像的关键技术研究", 《信息技术与信息化》 * |
| 黄志宏: "基于大数据和图社群聚类算法的攻击者画像构建", 《计算机应用研究》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113904796A (zh) * | 2021-08-27 | 2022-01-07 | 国家计算机网络与信息安全管理中心 | 网络安全检测用流量的设备后门检测方法 |
| CN113904796B (zh) * | 2021-08-27 | 2023-11-17 | 国家计算机网络与信息安全管理中心 | 网络流量安全检测的设备后门检测方法 |
| CN114598507A (zh) * | 2022-02-22 | 2022-06-07 | 烽台科技(北京)有限公司 | 攻击者画像生成方法、装置、终端设备及存储介质 |
| CN114780956A (zh) * | 2022-06-21 | 2022-07-22 | 一物一码数据(广州)实业有限公司 | 基于大数据分析的追踪溯源*** |
| CN114780956B (zh) * | 2022-06-21 | 2022-10-14 | 一物一码数据(广州)实业有限公司 | 基于大数据分析的追踪溯源*** |
| CN115834260A (zh) * | 2023-02-21 | 2023-03-21 | 芯知科技(江苏)有限公司 | 网络安全防御***、方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114003903B (zh) | 2022-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114003903B (zh) | 一种网络攻击追踪溯源方法及装置 | |
| CN107888571B (zh) | 一种基于HTTP日志的多维度webshell入侵检测方法及检测*** | |
| CN109922052B (zh) | 一种结合多重特征的恶意url检测方法 | |
| CN110602029B (zh) | 一种用于识别网络攻击的方法和*** | |
| CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
| CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
| CN114915479B (zh) | 一种基于Web日志的Web攻击阶段分析方法及*** | |
| CN109347808B (zh) | 一种基于用户群行为活动的安全分析方法 | |
| CN110392013A (zh) | 一种基于网络流量分类的恶意软件识别方法、***及电子设备 | |
| CN111756724A (zh) | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 | |
| CN107733699B (zh) | 互联网资产安全管理方法、***、设备及可读存储介质 | |
| CN108337269A (zh) | 一种WebShell检测方法 | |
| WO2018127794A1 (en) | Management of security vulnerabilities | |
| CN114021040A (zh) | 基于业务访问的恶意事件的告警及防护方法和*** | |
| CN108989294A (zh) | 一种准确识别网站访问的恶意用户的方法及*** | |
| CN113595975A (zh) | 一种Java内存Webshell的检测方法及装置 | |
| CN114531283B (zh) | 入侵检测模型的鲁棒性测定方法、***、存储介质及终端 | |
| CN111885011B (zh) | 一种业务数据网络安全分析挖掘的方法及*** | |
| Xu et al. | A fast detection method of network crime based on user portrait | |
| Wang et al. | Minedetector: Javascript browser-side cryptomining detection using static methods | |
| CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
| Bo et al. | Tom: A threat operating model for early warning of cyber security threats | |
| WO2017124954A1 (zh) | 一种通过丢失账号定位恶意账号的方法和*** | |
| CN114143105B (zh) | 网空威胁行为体的溯源方法、装置、电子设备及存储介质 | |
| CN118070024B (zh) | 基于深度学习的用户行为数据处理方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |