CN114338211B - 一种网络攻击的溯源方法和装置、电子设备及存储介质 - Google Patents
一种网络攻击的溯源方法和装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114338211B CN114338211B CN202111676939.6A CN202111676939A CN114338211B CN 114338211 B CN114338211 B CN 114338211B CN 202111676939 A CN202111676939 A CN 202111676939A CN 114338211 B CN114338211 B CN 114338211B
- Authority
- CN
- China
- Prior art keywords
- information
- target key
- tracing
- attack
- initial attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 239000011159 matrix material Substances 0.000 claims abstract description 133
- 238000004590 computer program Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 description 8
- 230000007123 defense Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 244000035744 Hura crepitans Species 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012098 association analyses Methods 0.000 description 1
- 238000003339 best practice Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种网络攻击的溯源方法和装置、电子设备及存储介质,涉及网络安全技术领域。该方法包括:当捕获到预设攻击事件发生时,获取预设攻击事件的初始攻击要素的信息;获取预先构建的要素矩阵;依据获取的初始攻击要素的信息,对比要素矩阵,确定用于获取初始攻击要素的信息的至少一个第一目标关键手段;结合初始攻击要素的信息,通过至少一个第一目标关键手段获取与初始攻击要素关联的至少一个第一目标关键要素的信息;基于初始攻击要素的信息和至少一个第一目标关键要素的信息,对攻击方进行溯源。可以看到,本申请实施例降低了溯源工作的技术门槛,同时避免过多依赖个人能力导致的混乱和遗漏,极大提升了溯源的效率。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络攻击的溯源方法和装置、电子设备及存储介质。
背景技术
随着近些年实战攻防演习的兴起,网络攻防对抗博弈不断升级,随着防守方的能力不断提升,对防守方的要求也不断提高,不单单仅限于防得住的被动挨打局面,更需要在防守现场开展溯源工作,对攻击方进行画像定位,确定其组织或身份。目前在各类攻防演习防守现场,溯源工作的开展通常依赖现场个别技术人员的个人能力以及其个人经验,缺少统一的流程和方法,溯源的效率较低,且不同的人员由于经验、思路、想法的参差无法统一,可能会导致防守现场的混乱,也容易存在遗漏。因此,亟需解决这一技术问题。
发明内容
鉴于上述问题,提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的网络攻击的溯源方法和装置、电子设备及存储介质,不依赖于个人能力或经验,降低了溯源工作的技术门槛,极大提升了溯源的效率。所述技术方案如下:
第一方面,提供了一种网络攻击的溯源方法,包括:
当捕获到预设攻击事件发生时,获取所述预设攻击事件的初始攻击要素的信息;
获取预先构建的要素矩阵,其中所述要素矩阵中包括用于溯源攻击方的一个或多个关键要素,以及用于获取各个关键要素的信息的一个或多个关键手段;
依据获取的所述初始攻击要素的信息,对比所述要素矩阵,确定用于获取所述初始攻击要素的信息的至少一个第一目标关键手段;
结合所述初始攻击要素的信息,通过所述至少一个第一目标关键手段获取与所述初始攻击要素关联的至少一个第一目标关键要素的信息;
基于所述初始攻击要素的信息和所述至少一个第一目标关键要素的信息,对攻击方进行溯源。
在一种可能的实现方式中,在结合所述初始攻击要素的信息,通过所述至少一个第一目标关键手段获取与所述初始攻击要素关联的至少一个第一目标关键要素的信息之后,所述方法还包括:
依据所述至少一个第一目标关键要素的信息,对比所述要素矩阵,确定用于获取所述至少一个第一目标关键要素的信息的至少一个第二目标关键手段;
结合所述至少一个第一目标关键要素的信息,通过所述至少一个第二目标关键手段获取与所述至少一个第一目标关键要素关联的至少一个第二目标关键要素的信息;
基于所述初始攻击要素的信息和所述至少一个第一目标关键要素的信息,对攻击方进行溯源,包括:
基于所述初始攻击要素的信息、所述至少一个第一目标关键要素的信息以及所述至少一个第二目标关键要素的信息,对攻击方进行溯源。
在一种可能的实现方式中,所述要素矩阵采用第一类二维表进行展示,所述第一类二维表的行中记载用于溯源攻击方的一个或多个关键要素,所述第一类二维表的列中记载一个或多个关键手段,所述行和所述列交叉构成的单元格中记载标识符,所述标识符至少包括:第一标识符,当所述要素矩阵的任一单元格中记载的是第一标识符时,表示该单元格所在列对应的关键手段用于获取该单元格所在行对应的关键要素的信息;
依据获取的所述初始攻击要素的信息,对比所述要素矩阵,确定用于获取所述初始攻击要素的信息的至少一个第一目标关键手段,包括:
依据获取的所述初始攻击要素的信息,查询所述要素矩阵中所述初始攻击要素所在行中标识符是第一标识符的一个或多个单元格;
将所述一个或多个单元格所在列记载的关键手段作为用于获取所述初始攻击要素的信息的至少一个第一目标关键手段。
在一种可能的实现方式中,在结合所述初始攻击要素的信息,通过所述至少一个第一目标关键手段获取与所述初始攻击要素关联的至少一个第一目标关键要素的信息之后,所述方法还包括:将所述初始攻击要素的信息和所述至少一个第一目标关键要素的信息写入所述要素矩阵对应的单元格中;
在结合所述至少一个第一目标关键要素的信息,通过所述至少一个第二目标关键手段获取与所述至少一个第一目标关键要素关联的至少一个第二目标关键要素的信息之后,所述方法还包括:将所述至少一个第二目标关键要素的信息写入所述要素矩阵对应的单元格中;
依据所述至少一个第二目标关键要素的信息,对比所述要素矩阵,确定用于获取所述至少一个第二目标关键要素的信息的至少一个第三目标关键手段;
结合所述至少一个第二目标关键要素的信息,通过所述至少一个第三目标关键手段获取与所述至少一个第二目标关键要素关联的至少一个第三目标关键要素的信息;
将所述至少一个第三目标关键要素的信息写入所述要素矩阵对应的单元格中;
依据所述至少一个第N目标关键要素的信息,对比所述要素矩阵,确定用于获取所述至少一个第N目标关键要素的信息的至少一个第N+1目标关键手段;
结合所述至少一个第N目标关键要素的信息,通过所述至少一个第N+1目标关键手段获取与所述至少一个第N目标关键要素关联的至少一个第N+1目标关键要素的信息;
将所述至少一个第N+1目标关键要素的信息写入所述要素矩阵对应的单元格中;
循环执行上述步骤,当所述要素矩阵对应的单元格的信息写入率大于预设阈值时,结合写入的信息对攻击方进行溯源。
在一种可能的实现方式中,所述要素矩阵采用第二类二维表进行展示,所述第二类二维表的列中记载用于溯源攻击方的一个或多个关键要素,所述二维表的行中记载一个或多个关键手段,所述行和所述列交叉构成的单元格中记载标识符,所述标识符至少包括:第二标识符,当所述要素矩阵的任一单元格中记载的是第二标识符时,表示该单元格所在行对应的关键手段用于获取该单元格所在列对应的关键要素的信息;
依据获取的所述初始攻击要素的信息,对比所述要素矩阵,确定用于获取所述初始攻击要素的信息的至少一个第一目标关键手段,包括:
依据获取的所述初始攻击要素的信息,查询所述要素矩阵中所述初始攻击要素所在列中标识符是第二标识符的一个或多个单元格;
将所述一个或多个单元格所在行记载的关键手段作为用于获取所述初始攻击要素的信息的至少一个第一目标关键手段。
在一种可能的实现方式中,在结合所述初始攻击要素的信息,通过所述至少一个第一目标关键手段获取与所述初始攻击要素关联的至少一个第一目标关键要素的信息之后,所述方法还包括:将所述初始攻击要素的信息和所述至少一个第一目标关键要素的信息写入所述要素矩阵对应的单元格中;
在结合所述至少一个第一目标关键要素的信息,通过所述至少一个第二目标关键手段获取与所述至少一个第一目标关键要素关联的至少一个第二目标关键要素的信息之后,所述方法还包括:将所述至少一个第二目标关键要素的信息写入所述要素矩阵对应的单元格中;
依据所述至少一个第二目标关键要素的信息,对比所述要素矩阵,确定用于获取所述至少一个第二目标关键要素的信息的至少一个第三目标关键手段;
结合所述至少一个第二目标关键要素的信息,通过所述至少一个第三目标关键手段获取与所述至少一个第二目标关键要素关联的至少一个第三目标关键要素的信息;
将所述至少一个第三目标关键要素的信息写入所述要素矩阵对应的单元格中;
依据所述至少一个第N目标关键要素的信息,对比所述要素矩阵,确定用于获取所述至少一个第N目标关键要素的信息的至少一个第N+1目标关键手段;
结合所述至少一个第N目标关键要素的信息,通过所述至少一个第N+1目标关键手段获取与所述至少一个第N目标关键要素关联的至少一个第N+1目标关键要素的信息;
将所述至少一个第N+1目标关键要素的信息写入所述要素矩阵对应的单元格中;
循环执行上述步骤,当所述要素矩阵对应的单元格的信息写入率大于预设阈值时,结合写入的信息对攻击方进行溯源。
在一种可能的实现方式中,所述要素矩阵中还包括一个或多个关键要素各自对应的要素等级,不同的要素等级表示与攻击方相关的程度;
基于所述初始攻击要素的信息和所述至少一个第一目标关键要素的信息,对攻击方进行溯源,包括:
结合所述初始攻击要素的要素等级和所述至少一个第一目标关键要素的要素等级,根据所述初始攻击要素的信息和所述至少一个第一目标关键要素的信息进行溯源分析,对攻击方进行画像。
第二方面,提供了一种网络攻击的溯源装置,包括:
第一获取模块,用于当捕获到预设攻击事件发生时,获取所述预设攻击事件的初始攻击要素的信息;
第二获取模块,用于获取预先构建的要素矩阵,其中所述要素矩阵中包括用于溯源攻击方的一个或多个关键要素,以及用于获取各个关键要素的信息的一个或多个关键手段;
确定模块,用于依据获取的所述初始攻击要素的信息,对比所述要素矩阵,确定用于获取所述初始攻击要素的信息的至少一个第一目标关键手段;
第三获取模块,用于结合所述初始攻击要素的信息,通过所述至少一个第一目标关键手段获取与所述初始攻击要素关联的至少一个第一目标关键要素的信息;
溯源模块,用于基于所述初始攻击要素的信息和所述至少一个第一目标关键要素的信息,对攻击方进行溯源。
第三方面,提供了一种电子设备,该电子设备包括处理器和存储器,其中,所述存储器中存储有计算机程序,所述处理器被配置为运行所述计算机程序以执行上述任一项所述的网络攻击的溯源方法。
第四方面,提供了一种存储介质,所述存储介质存储有计算机程序,其中,所述计算机程序被配置为运行时执行上述任一项所述的网络攻击的溯源方法。
借由上述技术方案,本申请实施例提供的网络攻击的溯源方法和装置、电子设备及存储介质,结合攻防演习的最佳实践,对溯源过程中所依赖的关键要素进行枚举,同时结合能够获取到关键要素的不同关键手段,形成要素矩阵,可以参考对比要素矩阵结合相应流程开展溯源工作,降低了溯源工作的技术门槛,同时避免过多依赖个人能力导致的混乱和遗漏,极大提升了溯源的效率。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例描述中所需要使用的附图作简单地介绍。
图1示出了根据本申请实施例的网络攻击的溯源方法的流程图;
图2示出了根据本申请实施例的构建的要素矩阵的示意图;
图3示出了根据本申请另一实施例的网络攻击的溯源方法的流程图;
图4示出了根据本申请实施例的网络攻击的溯源装置的结构图。
具体实施方式
下面将参照附图更详细地描述本申请的示例性实施例。虽然附图中显示了本申请的示例性实施例,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”及其变体要被解读为意味着“包括但不限于”的开放式术语。
本申请实施例提供了一种网络攻击的溯源方法,可以应用在服务器、个人电脑、智能手机、平板电脑等电子设备上,如图1所示,该网络攻击的溯源方法可以包括以下步骤S101至S105:
步骤S101,当捕获到预设攻击事件发生时,获取预设攻击事件的初始攻击要素的信息;
步骤S102,获取预先构建的要素矩阵,其中要素矩阵中包括用于溯源攻击方的一个或多个关键要素,以及用于获取各个关键要素的信息的一个或多个关键手段;
步骤S103,依据获取的初始攻击要素的信息,对比要素矩阵,确定用于获取初始攻击要素的信息的至少一个第一目标关键手段;
步骤S104,结合初始攻击要素的信息,通过至少一个第一目标关键手段获取与初始攻击要素关联的至少一个第一目标关键要素的信息;
步骤S105,基于初始攻击要素的信息和至少一个第一目标关键要素的信息,对攻击方进行溯源。
本申请实施例对溯源过程中所依赖的关键要素进行枚举,同时结合能够获取到关键要素的不同关键手段,形成要素矩阵,可以参考对比要素矩阵结合相应流程开展溯源工作,即结合初始攻击要素的信息,通过至少一个第一目标关键手段获取与初始攻击要素关联的至少一个第一目标关键要素的信息,基于初始攻击要素的信息和至少一个第一目标关键要素的信息,对攻击方进行溯源,降低了溯源工作的技术门槛,同时避免过多依赖个人能力导致的混乱和遗漏,极大提升了溯源的效率。
上文步骤S101中提及的预设攻击事件可以根据实际需求来设置,如安全设备监控告警事件或者入侵事件等,本实施例对此不作限制。当捕获到预设攻击事件发生时,触发溯源需求,可以获取预设攻击事件的初始攻击要素的信息,例如可以获取安全设备监控告警事件中的IP(Internet Protocol,互联网协议)信息,或者可以获取入侵事件中的域名信息等,需要说明的是,此处仅是例举,并不对本实施例进行限制。
本申请实施例中提供了一种可能的实现方式,上面步骤S104中结合初始攻击要素的信息,通过至少一个第一目标关键手段获取与初始攻击要素关联的至少一个第一目标关键要素的信息之后,还可以包括以下步骤A1至A2:
步骤A1,依据至少一个第一目标关键要素的信息,对比要素矩阵,确定用于获取至少一个第一目标关键要素的信息的至少一个第二目标关键手段;
步骤A2,结合至少一个第一目标关键要素的信息,通过至少一个第二目标关键手段获取与至少一个第一目标关键要素关联的至少一个第二目标关键要素的信息;
进而,上面步骤S105基于初始攻击要素的信息和至少一个第一目标关键要素的信息,对攻击方进行溯源,具体可以实施为以下步骤A3:
步骤A3,基于初始攻击要素的信息、至少一个第一目标关键要素的信息以及至少一个第二目标关键要素的信息,对攻击方进行溯源。
可以看到,本实施例能够基于已获取的关键要素的信息来获取更多的关键要素的信息,进而利用这些关键要素的信息对攻击方进行溯源,溯源的结果更加清晰准确。
本申请实施例中提供了一种可能的实现方式,要素矩阵可以采用第一类二维表进行展示,该第一类二维表的行中记载用于溯源攻击方的一个或多个关键要素,第一类二维表的列中记载一个或多个关键手段,行和列交叉构成的单元格中记载标识符,标识符至少可以包括:第一标识符,当要素矩阵的任一单元格中记载的是第一标识符时,表示该单元格所在列对应的关键手段用于获取该单元格所在行对应的关键要素的信息,那么上文步骤S103中依据获取的初始攻击要素的信息,对比要素矩阵,确定用于获取初始攻击要素的信息的至少一个第一目标关键手段,具体可以包括如下步骤B1至B2:
步骤B1,依据获取的初始攻击要素的信息,查询要素矩阵中初始攻击要素所在行中标识符是第一标识符的一个或多个单元格;
步骤B2,将一个或多个单元格所在列记载的关键手段作为用于获取初始攻击要素的信息的至少一个第一目标关键手段。
可以看到,本实施例通过查询要素矩阵中初始攻击要素所在行中标识符是第一标识符的一个或多个单元格,进而将一个或多个单元格所在列记载的关键手段作为用于获取初始攻击要素的信息的至少一个第一目标关键手段,可以快速找到用于获取初始攻击要素的信息的至少一个第一目标关键手段,提高溯源的效率。
本申请实施例中提供了一种可能的实现方式,上文步骤S104中结合初始攻击要素的信息,通过至少一个第一目标关键手段获取与初始攻击要素关联的至少一个第一目标关键要素的信息之后,还可以包括以下步骤C1:
步骤C1,将初始攻击要素的信息和至少一个第一目标关键要素的信息写入要素矩阵对应的单元格中;
上文步骤A2结合至少一个第一目标关键要素的信息,通过至少一个第二目标关键手段获取与至少一个第一目标关键要素关联的至少一个第二目标关键要素的信息之后,还可以包括以下步骤C2至C5:
步骤C2,将至少一个第二目标关键要素的信息写入要素矩阵对应的单元格中;
步骤C3,依据至少一个第二目标关键要素的信息,对比要素矩阵,确定用于获取至少一个第二目标关键要素的信息的至少一个第三目标关键手段;
结合至少一个第二目标关键要素的信息,通过至少一个第三目标关键手段获取与至少一个第二目标关键要素关联的至少一个第三目标关键要素的信息;
将至少一个第三目标关键要素的信息写入要素矩阵对应的单元格中;
步骤C4,依据至少一个第N目标关键要素的信息,对比要素矩阵,确定用于获取至少一个第N目标关键要素的信息的至少一个第N+1目标关键手段,其中N为正整数;
结合至少一个第N目标关键要素的信息,通过至少一个第N+1目标关键手段获取与至少一个第N目标关键要素关联的至少一个第N+1目标关键要素的信息;
将至少一个第N+1目标关键要素的信息写入要素矩阵对应的单元格中;
步骤C5,循环执行上述步骤,当要素矩阵对应的单元格的信息写入率大于预设阈值时,结合写入的信息对攻击方进行溯源。
该步骤中,要素矩阵对应的单元格的信息写入率可以是指写入关键要素的信息数量与要素矩阵中全部关键要素的信息数量的比值,预设阈值可以根据实际需求来设置,如预设阈值为95%或100%等,本实施例对此不作限制。本实施例通过获取更多的关键要素的信息,进而利用这些关键要素的信息对攻击方进行溯源,溯源的结果更加清晰准确。
本申请实施例中提供了一种可能的实现方式,要素矩阵还可以采用第二类二维表进行展示,该第二类二维表的列中记载用于溯源攻击方的一个或多个关键要素,第二类二维表的行中记载一个或多个关键手段,行和列交叉构成的单元格中记载标识符,标识符至少可以包括:第二标识符,当要素矩阵的任一单元格中记载的是第二标识符时,表示该单元格所在行对应的关键手段用于获取该单元格所在列对应的关键要素的信息,那么上文步骤S103中依据获取的初始攻击要素的信息,对比要素矩阵,确定用于获取初始攻击要素的信息的至少一个第一目标关键手段,具体可以包括如下步骤D1至D2:
步骤D1,依据获取的初始攻击要素的信息,查询要素矩阵中初始攻击要素所在列中标识符是第二标识符的一个或多个单元格;
步骤D2,将一个或多个单元格所在行记载的关键手段作为用于获取初始攻击要素的信息的至少一个第一目标关键手段。
可以看到,本实施例通过查询要素矩阵中初始攻击要素所在行中标识符是第二标识符的一个或多个单元格,进而将一个或多个单元格所在行记载的关键手段作为用于获取初始攻击要素的信息的至少一个第一目标关键手段,可以快速找到用于获取初始攻击要素的信息的至少一个第一目标关键手段,提高溯源的效率。
本申请实施例中提供了一种可能的实现方式,上文步骤S104中结合初始攻击要素的信息,通过至少一个第一目标关键手段获取与初始攻击要素关联的至少一个第一目标关键要素的信息之后,还可以包括以下步骤E1:
步骤E1,将初始攻击要素的信息和至少一个第一目标关键要素的信息写入要素矩阵对应的单元格中;
上文步骤A2结合至少一个第一目标关键要素的信息,通过至少一个第二目标关键手段获取与至少一个第一目标关键要素关联的至少一个第二目标关键要素的信息之后,还可以包括以下步骤E2至E5:
步骤E2,将至少一个第二目标关键要素的信息写入要素矩阵对应的单元格中;
步骤E3,依据至少一个第二目标关键要素的信息,对比要素矩阵,确定用于获取至少一个第二目标关键要素的信息的至少一个第三目标关键手段;
结合至少一个第二目标关键要素的信息,通过至少一个第三目标关键手段获取与至少一个第二目标关键要素关联的至少一个第三目标关键要素的信息;
将至少一个第三目标关键要素的信息写入要素矩阵对应的单元格中;
步骤E4,依据至少一个第N目标关键要素的信息,对比要素矩阵,确定用于获取至少一个第N目标关键要素的信息的至少一个第N+1目标关键手段,其中N为正整数;
结合至少一个第N目标关键要素的信息,通过至少一个第N+1目标关键手段获取与至少一个第N目标关键要素关联的至少一个第N+1目标关键要素的信息;
将至少一个第N+1目标关键要素的信息写入要素矩阵对应的单元格中;
步骤E5,循环执行上述步骤,当要素矩阵对应的单元格的信息写入率大于预设阈值时,结合写入的信息对攻击方进行溯源。
该步骤中,要素矩阵对应的单元格的信息写入率可以是指写入关键要素的信息数量与要素矩阵中全部关键要素的信息数量的比值,预设阈值可以根据实际需求来设置,如预设阈值为95%或100%等,本实施例对此不作限制。本实施例通过获取更多的关键要素的信息,进而利用这些关键要素的信息对攻击方进行溯源,溯源的结果更加清晰准确。
本申请实施例中提供了一种可能的实现方式,要素矩阵中还包括一个或多个关键要素各自对应的要素等级,不同的要素等级表示与攻击方相关的程度,上面的步骤S105基于初始攻击要素的信息和至少一个第一目标关键要素的信息,对攻击方进行溯源,具体可以是结合初始攻击要素的要素等级和至少一个第一目标关键要素的要素等级,根据初始攻击要素的信息和至少一个第一目标关键要素的信息进行溯源分析,对攻击方进行画像。
举例来说,要素等级可以分为一级和二级,一级要素为与攻击方强相关的要素,即如果能够获取到攻击方的该要素信息就可以定位到该攻击方的相关身份;二级要素为与攻击方非强相关的要素,即通过对二级要素的搜集和获取可以不断勾勒出攻击方的轮廓,结合初始攻击要素的要素等级和至少一个第一目标关键要素的要素等级,根据初始攻击要素的信息和至少一个第一目标关键要素的信息进行溯源分析,对攻击方进行画像,可以提高溯源的效率和准确率。
以上介绍了图1所示的实施例中各个环节的多种实现方式,下面通过具体的实施例对本申请实施例提供的网络攻击的溯源方法做进一步说明。
在具体的实施例中,在进行网络攻击的溯源之前构建要素矩阵。图2示出了构建的要素矩阵,该要素矩阵采用第一类二维表进行展示,该第一类二维表的行中记载用于溯源攻击方的一个或多个关键要素,是在溯源过程中结合实践经验总结归纳的,包括IP、域名、邮箱等,本申请实施例对此不作限制。
在图2中对各个关键要素进行了分级,例如,分为一级和二级,一级要素为与攻击方强相关的要素,即如果能够获取到攻击方的该要素信息就可以定位到该攻击方的相关身份;二级要素为与攻击方非强相关的要素,即通过对二级要素的搜集和获取可以不断勾勒出攻击方的轮廓。如图2所示,IP的要素等级为二级,域名的要素等级为二级,邮箱的要素等级为二级。
该第一类二维表的列中记载一个或多个关键手段,是结合实践经验总结归纳列出在溯源过程中常用的关键手段,可以分为内部手段和外部手段,内部手段主要是企业内部相关安全建设设施,可以包括防火墙、IDS(Intrusion detection system,入侵检测***)/IPS(Intrusion Prevention system,入侵防御***)、WAF(Web Application Firewall,网站应用级入侵防御***)、EDR(Endpoint Detection&Response,端点检测与响应)等,本申请实施例对此不作限制。
外部手段主要是非企业内部,互联网上公开的相关渠道,可以包括威胁情报、IP定位、沙箱等,本申请实施例对此不作限制。第一类二维表的行和列交叉构成的单元格中记载标识符,标识符至少可以包括:第一标识符,其中,第一标识符可以采用例如“√”、“○”、“×”等符号来标识,当要素矩阵的任一单元格中记载的是第一标识符时,表示该单元格所在列对应的关键手段用于获取该单元格所在行对应的关键要素的信息,即要素矩阵横纵相交处打勾的,表示通过该种手段可以获取到对应的关键要素的信息。需要说明的是,这里并不是指通过该种手段就一定能获取到对应的关键要素的信息,而是指如果是要想获取对应要素的相关信息是可以通过该种手段来获取的,但具体是否能够获取到有效的结果,则需要根据具体实际的结果情况来看。
因此,在开展溯源工作时,可以依据要素矩阵,结合下面图3所示的流程,通过对应手段,查询获取关键要素的信息,并将结果填写至矩阵内,来完成溯源工作,最终矩阵内的信息完善的越全面,则溯源的结果就越清晰。
图3示出了根据本申请另一实施例的网络攻击的溯源方法的流程图,如图3所示,该网络攻击的溯源方法可以包括以下步骤S301至S309。
步骤S301,当捕获到预设攻击事件发生时,触发溯源需求,获取预设攻击事件的初始攻击要素的信息。
该步骤中,预设攻击事件如安全设备监控告警事件或者入侵事件等,本实施例对此不作限制。当捕获到预设攻击事件发生时,可以获取预设攻击事件的初始攻击要素的信息,例如可以获取安全设备监控告警事件中的IP信息,或者可以获取入侵事件中的域名信息等,需要说明的是,此处仅是例举,并不对本实施例进行限制。
步骤S302,获取预先构建的要素矩阵,依据获取的初始攻击要素的信息,对比要素矩阵,确定用于获取初始攻击要素的信息的至少一个第一目标关键手段。
该步骤中,可以依据获取的初始攻击要素的信息,查询要素矩阵中初始攻击要素所在行中标识符是第一标识符的一个或多个单元格,进而将一个或多个单元格所在列记载的关键手段作为用于获取初始攻击要素的信息的至少一个第一目标关键手段。例如,获取的初始攻击要素的信息为IP的信息,则查询到图2所示的要素矩阵中至少一个第一目标关键手段为内部手段中的防火墙、IDS/IPS、WAF、EDR等;以及外部手段中的威胁情报、沙箱等。
步骤S303,结合初始攻击要素的信息,通过至少一个第一目标关键手段获取与初始攻击要素关联的至少一个第一目标关键要素的信息。
该步骤中,仍然以上面的举例为例,关键手段防火墙可以获取关键要素域名的信息,IDS/IPS可以获取关键要素域名的信息等。
步骤S304,将初始攻击要素的信息和至少一个第一目标关键要素的信息写入要素矩阵对应的单元格中。
步骤S305,依据至少一个第一目标关键要素的信息,对比要素矩阵,确定用于获取至少一个第一目标关键要素的信息的至少一个第二目标关键手段。
步骤S306,结合至少一个第一目标关键要素的信息,通过至少一个第二目标关键手段获取与至少一个第一目标关键要素关联的至少一个第二目标关键要素的信息。
步骤S307,将至少一个第二目标关键要素的信息写入要素矩阵对应的单元格中。
步骤S308,依据步骤S305至步骤S307的方法,将至少一个第N+1目标关键要素的信息写入要素矩阵对应的单元格中。
步骤S309,当要素矩阵对应的单元格的信息写入率大于预设阈值时,结合写入的信息对攻击方进行溯源。
该步骤中,要素矩阵对应的单元格的信息写入率是指写入关键要素的信息数量与要素矩阵中全部关键要素的信息数量的比值,预设阈值可以根据实际需求来设置,如预设阈值为95%或100%等,本实施例对此不作限制。本实施例通过获取更多的关键要素的信息,进而利用这些关键要素的信息对攻击方进行溯源,溯源的结果更加清晰准确。
本申请实施例可以依据获取的初始攻击要素,对比要素矩阵,通过相关的内部或外部手段去获取更多的要素信息,并将结果补充在要素矩阵中,同时还可以对新捕获到的要素信息再次进行关联分析,对比要素矩阵获取新一轮要素信息并进行补充,从而不断丰富矩阵的内容,当无法再获取更新的要素信息内容时,即完成一次溯源工作,降低了溯源工作的技术门槛,同时避免过多依赖个人能力导致的混乱和遗漏,极大提升了溯源的效率。
需要说明的是,实际应用中,上述所有可能的实施方式可以采用结合的方式任意组合,形成本申请的可能的实施例,在此不再一一赘述。
基于上文各个实施例提供的网络攻击的溯源方法,基于同一发明构思,本申请实施例还提供了一种网络攻击的溯源装置。
图4示出了根据本申请实施例的网络攻击的溯源装置的结构图。如图4所示,该网络攻击的溯源装置可以包括第一获取模块410、第二获取模块420、确定模块430、第三获取模块440以及溯源模块450。
第一获取模块410,用于当捕获到预设攻击事件发生时,获取预设攻击事件的初始攻击要素的信息;
第二获取模块420,用于获取预先构建的要素矩阵,其中要素矩阵中包括用于溯源攻击方的一个或多个关键要素,以及用于获取各个关键要素的信息的一个或多个关键手段;
确定模块430,用于依据获取的初始攻击要素的信息,对比要素矩阵,确定用于获取初始攻击要素的信息的至少一个第一目标关键手段;
第三获取模块440,用于结合初始攻击要素的信息,通过至少一个第一目标关键手段获取与初始攻击要素关联的至少一个第一目标关键要素的信息;
溯源模块450,用于基于初始攻击要素的信息和至少一个第一目标关键要素的信息,对攻击方进行溯源。
本申请实施例中提供了一种可能的实现方式,上文图4展示的确定模块430还用于:在第三获取模块结合初始攻击要素的信息,通过至少一个第一目标关键手段获取与初始攻击要素关联的至少一个第一目标关键要素的信息之后,依据至少一个第一目标关键要素的信息,对比要素矩阵,确定用于获取至少一个第一目标关键要素的信息的至少一个第二目标关键手段;
第三获取模块440还用于:结合至少一个第一目标关键要素的信息,通过至少一个第二目标关键手段获取与至少一个第一目标关键要素关联的至少一个第二目标关键要素的信息;
溯源模块450还用于:基于初始攻击要素的信息、至少一个第一目标关键要素的信息以及至少一个第二目标关键要素的信息,对攻击方进行溯源。
本申请实施例中提供了一种可能的实现方式,要素矩阵采用第一类二维表进行展示,第一类二维表的行中记载用于溯源攻击方的一个或多个关键要素,第一类二维表的列中记载一个或多个关键手段,行和列交叉构成的单元格中记载标识符,标识符至少包括:第一标识符,当要素矩阵的任一单元格中记载的是第一标识符时,表示该单元格所在列对应的关键手段用于获取该单元格所在行对应的关键要素的信息,上文图4展示的确定模块430还用于:依据获取的初始攻击要素的信息,查询要素矩阵中初始攻击要素所在行中标识符是第一标识符的一个或多个单元格;将一个或多个单元格所在列记载的关键手段作为用于获取初始攻击要素的信息的至少一个第一目标关键手段。
本申请实施例中提供了一种可能的实现方式,上文图4展示的溯源模块450还用于:
将初始攻击要素的信息和至少一个第一目标关键要素的信息写入要素矩阵对应的单元格中;
将至少一个第二目标关键要素的信息写入要素矩阵对应的单元格中;
将至少一个第三目标关键要素的信息写入要素矩阵对应的单元格中;
将至少一个第N+1目标关键要素的信息写入要素矩阵对应的单元格中;
循环执行上述步骤,当要素矩阵对应的单元格的信息写入率大于预设阈值时,结合写入的信息对攻击方进行溯源。
本申请实施例中提供了一种可能的实现方式,要素矩阵采用第二类二维表进行展示,第二类二维表的列中记载用于溯源攻击方的一个或多个关键要素,第二类二维表的行中记载一个或多个关键手段,行和列交叉构成的单元格中记载标识符,标识符至少包括:第二标识符,当要素矩阵的任一单元格中记载的是第二标识符时,表示该单元格所在行对应的关键手段用于获取该单元格所在列对应的关键要素的信息,上文图4展示的确定模块430还用于:依据获取的初始攻击要素的信息,查询要素矩阵中初始攻击要素所在列中标识符是第二标识符的一个或多个单元格;将一个或多个单元格所在行记载的关键手段作为用于获取初始攻击要素的信息的至少一个第一目标关键手段。
本申请实施例中提供了一种可能的实现方式,上文图4展示的溯源模块450还用于:
将初始攻击要素的信息和至少一个第一目标关键要素的信息写入要素矩阵对应的单元格中;
将至少一个第二目标关键要素的信息写入要素矩阵对应的单元格中;
将至少一个第三目标关键要素的信息写入要素矩阵对应的单元格中;
将至少一个第N+1目标关键要素的信息写入要素矩阵对应的单元格中;
循环执行上述步骤,当要素矩阵对应的单元格的信息写入率大于预设阈值时,结合写入的信息对攻击方进行溯源。
本申请实施例中提供了一种可能的实现方式,要素矩阵中还包括一个或多个关键要素各自对应的要素等级,不同的要素等级表示与攻击方相关的程度,上文图4展示的溯源模块450还用于:
结合初始攻击要素的要素等级和至少一个第一目标关键要素的要素等级,根据初始攻击要素的信息和至少一个第一目标关键要素的信息进行溯源分析,对攻击方进行画像。
基于同一发明构思,本申请实施例还提供了一种电子设备,包括处理器和存储器,存储器中存储有计算机程序,处理器被设置为运行计算机程序以执行上述任意一个实施例的网络攻击的溯源方法。
基于同一发明构思,本申请实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,计算机程序被设置为运行时执行上述任意一个实施例的网络攻击的溯源方法。
所属领域的技术人员可以清楚地了解到,上述描述的***、装置、模块的具体工作过程,可以参考前述方法实施例中的对应过程,为简洁起见,在此不另赘述。
本领域普通技术人员可以理解:本申请的技术方案本质上或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,其包括若干程序指令,用以使得一电子设备(例如个人计算机,服务器,或者网络设备等)在运行所述程序指令时执行本申请各实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM)、随机存取存储器(RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,实现前述方法实施例的全部或部分步骤可以通过程序指令相关的硬件(诸如个人计算机,服务器,或者网络设备等的电子设备)来完成,所述程序指令可以存储于一计算机可读取存储介质中,当所述程序指令被电子设备的处理器执行时,所述电子设备执行本申请各实施例所述方法的全部或部分步骤。
以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:在本申请的精神和原则之内,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案脱离本申请的保护范围。
Claims (10)
1.一种网络攻击的溯源方法,其特征在于,包括:
当捕获到预设攻击事件发生时,获取所述预设攻击事件的初始攻击要素的信息;
获取预先构建的要素矩阵,其中所述要素矩阵中包括用于溯源攻击方的一个或多个关键要素,以及用于获取各个关键要素的信息的一个或多个关键手段;
依据获取的所述初始攻击要素的信息,对比所述要素矩阵,确定用于获取所述初始攻击要素的信息的至少一个第一目标关键手段;
结合所述初始攻击要素的信息,通过所述至少一个第一目标关键手段获取与所述初始攻击要素关联的至少一个第一目标关键要素的信息;
基于所述初始攻击要素的信息和所述至少一个第一目标关键要素的信息,对攻击方进行溯源。
2.根据权利要求1所述的网络攻击的溯源方法,其特征在于,在结合所述初始攻击要素的信息,通过所述至少一个第一目标关键手段获取与所述初始攻击要素关联的至少一个第一目标关键要素的信息之后,所述方法还包括:
依据所述至少一个第一目标关键要素的信息,对比所述要素矩阵,确定用于获取所述至少一个第一目标关键要素的信息的至少一个第二目标关键手段;
结合所述至少一个第一目标关键要素的信息,通过所述至少一个第二目标关键手段获取与所述至少一个第一目标关键要素关联的至少一个第二目标关键要素的信息;
基于所述初始攻击要素的信息和所述至少一个第一目标关键要素的信息,对攻击方进行溯源,包括:
基于所述初始攻击要素的信息、所述至少一个第一目标关键要素的信息以及所述至少一个第二目标关键要素的信息,对攻击方进行溯源。
3.根据权利要求2所述的网络攻击的溯源方法,其特征在于,所述要素矩阵采用第一类二维表进行展示,所述第一类二维表的行中记载用于溯源攻击方的一个或多个关键要素,所述第一类二维表的列中记载一个或多个关键手段,所述行和所述列交叉构成的单元格中记载标识符,所述标识符至少包括:第一标识符,当所述要素矩阵的任一单元格中记载的是第一标识符时,表示该单元格所在列对应的关键手段用于获取该单元格所在行对应的关键要素的信息;
依据获取的所述初始攻击要素的信息,对比所述要素矩阵,确定用于获取所述初始攻击要素的信息的至少一个第一目标关键手段,包括:
依据获取的所述初始攻击要素的信息,查询所述要素矩阵中所述初始攻击要素所在行中标识符是第一标识符的一个或多个单元格;
将所述一个或多个单元格所在列记载的关键手段作为用于获取所述初始攻击要素的信息的至少一个第一目标关键手段。
4.根据权利要求3所述的网络攻击的溯源方法,其特征在于,
在结合所述初始攻击要素的信息,通过所述至少一个第一目标关键手段获取与所述初始攻击要素关联的至少一个第一目标关键要素的信息之后,所述方法还包括:将所述初始攻击要素的信息和所述至少一个第一目标关键要素的信息写入所述要素矩阵对应的单元格中;
在结合所述至少一个第一目标关键要素的信息,通过所述至少一个第二目标关键手段获取与所述至少一个第一目标关键要素关联的至少一个第二目标关键要素的信息之后,所述方法还包括:将所述至少一个第二目标关键要素的信息写入所述要素矩阵对应的单元格中;
依据所述至少一个第二目标关键要素的信息,对比所述要素矩阵,确定用于获取所述至少一个第二目标关键要素的信息的至少一个第三目标关键手段;
结合所述至少一个第二目标关键要素的信息,通过所述至少一个第三目标关键手段获取与所述至少一个第二目标关键要素关联的至少一个第三目标关键要素的信息;
将所述至少一个第三目标关键要素的信息写入所述要素矩阵对应的单元格中;
依据所述至少一个第N目标关键要素的信息,对比所述要素矩阵,确定用于获取所述至少一个第N目标关键要素的信息的至少一个第N+1目标关键手段;
结合所述至少一个第N目标关键要素的信息,通过所述至少一个第N+1目标关键手段获取与所述至少一个第N目标关键要素关联的至少一个第N+1目标关键要素的信息;
将所述至少一个第N+1目标关键要素的信息写入所述要素矩阵对应的单元格中;
当所述要素矩阵对应的单元格的信息写入率大于预设阈值时,结合写入的信息对攻击方进行溯源。
5.根据权利要求2所述的网络攻击的溯源方法,其特征在于,所述要素矩阵采用第二类二维表进行展示,所述第二类二维表的列中记载用于溯源攻击方的一个或多个关键要素,所述第二类二维表的行中记载一个或多个关键手段,所述行和所述列交叉构成的单元格中记载标识符,所述标识符至少包括:第二标识符,当所述要素矩阵的任一单元格中记载的是第二标识符时,表示该单元格所在行对应的关键手段用于获取该单元格所在列对应的关键要素的信息;
依据获取的所述初始攻击要素的信息,对比所述要素矩阵,确定用于获取所述初始攻击要素的信息的至少一个第一目标关键手段,包括:
依据获取的所述初始攻击要素的信息,查询所述要素矩阵中所述初始攻击要素所在列中标识符是第二标识符的一个或多个单元格;
将所述一个或多个单元格所在行记载的关键手段作为用于获取所述初始攻击要素的信息的至少一个第一目标关键手段。
6.根据权利要求5所述的网络攻击的溯源方法,其特征在于,
在结合所述初始攻击要素的信息,通过所述至少一个第一目标关键手段获取与所述初始攻击要素关联的至少一个第一目标关键要素的信息之后,所述方法还包括:将所述初始攻击要素的信息和所述至少一个第一目标关键要素的信息写入所述要素矩阵对应的单元格中;
在结合所述至少一个第一目标关键要素的信息,通过所述至少一个第二目标关键手段获取与所述至少一个第一目标关键要素关联的至少一个第二目标关键要素的信息之后,所述方法还包括:将所述至少一个第二目标关键要素的信息写入所述要素矩阵对应的单元格中;
依据所述至少一个第二目标关键要素的信息,对比所述要素矩阵,确定用于获取所述至少一个第二目标关键要素的信息的至少一个第三目标关键手段;
结合所述至少一个第二目标关键要素的信息,通过所述至少一个第三目标关键手段获取与所述至少一个第二目标关键要素关联的至少一个第三目标关键要素的信息;
将所述至少一个第三目标关键要素的信息写入所述要素矩阵对应的单元格中;
依据所述至少一个第N目标关键要素的信息,对比所述要素矩阵,确定用于获取所述至少一个第N目标关键要素的信息的至少一个第N+1目标关键手段;
结合所述至少一个第N目标关键要素的信息,通过所述至少一个第N+1目标关键手段获取与所述至少一个第N目标关键要素关联的至少一个第N+1目标关键要素的信息;
将所述至少一个第N+1目标关键要素的信息写入所述要素矩阵对应的单元格中;
当所述要素矩阵对应的单元格的信息写入率大于预设阈值时,结合写入的信息对攻击方进行溯源。
7.根据权利要求1所述的网络攻击的溯源方法,其特征在于,所述要素矩阵中还包括一个或多个关键要素各自对应的要素等级,不同的要素等级表示与攻击方相关的程度;
基于所述初始攻击要素的信息和所述至少一个第一目标关键要素的信息,对攻击方进行溯源,包括:
结合所述初始攻击要素的要素等级和所述至少一个第一目标关键要素的要素等级,根据所述初始攻击要素的信息和所述至少一个第一目标关键要素的信息进行溯源分析,对攻击方进行画像。
8.一种网络攻击的溯源装置,其特征在于,包括:
第一获取模块,用于当捕获到预设攻击事件发生时,获取所述预设攻击事件的初始攻击要素的信息;
第二获取模块,用于获取预先构建的要素矩阵,其中所述要素矩阵中包括用于溯源攻击方的一个或多个关键要素,以及用于获取各个关键要素的信息的一个或多个关键手段;
确定模块,用于依据获取的所述初始攻击要素的信息,对比所述要素矩阵,确定用于获取所述初始攻击要素的信息的至少一个第一目标关键手段;
第三获取模块,用于结合所述初始攻击要素的信息,通过所述至少一个第一目标关键手段获取与所述初始攻击要素关联的至少一个第一目标关键要素的信息;
溯源模块,用于基于所述初始攻击要素的信息和所述至少一个第一目标关键要素的信息,对攻击方进行溯源。
9.一种电子设备,其特征在于,包括处理器和存储器,其中,所述存储器中存储有计算机程序,所述处理器被配置为运行所述计算机程序以执行权利要求1至7中任一项所述的网络攻击的溯源方法。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被配置为运行时执行权利要求1至7中任一项所述的网络攻击的溯源方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111676939.6A CN114338211B (zh) | 2021-12-31 | 2021-12-31 | 一种网络攻击的溯源方法和装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111676939.6A CN114338211B (zh) | 2021-12-31 | 2021-12-31 | 一种网络攻击的溯源方法和装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114338211A CN114338211A (zh) | 2022-04-12 |
CN114338211B true CN114338211B (zh) | 2023-10-20 |
Family
ID=81023773
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111676939.6A Active CN114338211B (zh) | 2021-12-31 | 2021-12-31 | 一种网络攻击的溯源方法和装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114338211B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、***、用户设备及存储介质 |
WO2019037498A1 (zh) * | 2017-08-25 | 2019-02-28 | 腾讯科技(深圳)有限公司 | 主动跟踪方法、装置及*** |
CN111193749A (zh) * | 2020-01-03 | 2020-05-22 | 北京明略软件***有限公司 | 一种攻击溯源方法、装置、电子设备和存储介质 |
CN111669370A (zh) * | 2020-05-15 | 2020-09-15 | 深圳供电局有限公司 | 一种基于数据分析的网络攻击溯源方法及*** |
CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
CN111953527A (zh) * | 2020-07-28 | 2020-11-17 | 深圳供电局有限公司 | 一种网络攻击还原*** |
WO2021169293A1 (zh) * | 2020-02-27 | 2021-09-02 | 华为技术有限公司 | 攻击行为检测方法、装置及攻击检测设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI20096394A0 (fi) * | 2009-12-23 | 2009-12-23 | Valtion Teknillinen | Tunkeutumisen havaitseminen viestintäverkoissa |
-
2021
- 2021-12-31 CN CN202111676939.6A patent/CN114338211B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019037498A1 (zh) * | 2017-08-25 | 2019-02-28 | 腾讯科技(深圳)有限公司 | 主动跟踪方法、装置及*** |
CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、***、用户设备及存储介质 |
CN111193749A (zh) * | 2020-01-03 | 2020-05-22 | 北京明略软件***有限公司 | 一种攻击溯源方法、装置、电子设备和存储介质 |
WO2021169293A1 (zh) * | 2020-02-27 | 2021-09-02 | 华为技术有限公司 | 攻击行为检测方法、装置及攻击检测设备 |
CN111669370A (zh) * | 2020-05-15 | 2020-09-15 | 深圳供电局有限公司 | 一种基于数据分析的网络攻击溯源方法及*** |
CN111953527A (zh) * | 2020-07-28 | 2020-11-17 | 深圳供电局有限公司 | 一种网络攻击还原*** |
CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
Non-Patent Citations (1)
Title |
---|
APT攻击检测与反制技术体系的研究;陈瑞东;张小松;牛伟纳;蓝皓月;;电子科技大学学报(06);第72-81页 * |
Also Published As
Publication number | Publication date |
---|---|
CN114338211A (zh) | 2022-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106657057B (zh) | 反爬虫***及方法 | |
Chae et al. | Feature selection for intrusion detection using NSL-KDD | |
CN106375331B (zh) | 一种攻击组织的挖掘方法及装置 | |
CN113726780B (zh) | 基于态势感知的网络监控方法、装置、电子设备 | |
CN108924118B (zh) | 一种撞库行为检测方法及*** | |
CN101902349B (zh) | 一种检测端口扫描行为的方法和*** | |
CN111046379A (zh) | 一种对抗攻击的监测方法和装置 | |
CN107566390B (zh) | 一种基于威胁情报的工业控制***网络安全性分析***及方法 | |
CN113162953B (zh) | 网络威胁报文检测及溯源取证方法和装置 | |
CN110602032A (zh) | 攻击识别方法及设备 | |
CN110493225B (zh) | 一种请求传输方法、装置、设备及可读存储介质 | |
CN110708292A (zh) | Ip处理方法、装置、介质、电子设备 | |
CN114244564B (zh) | 攻击防御方法、装置、设备及可读存储介质 | |
CN110430212A (zh) | 多元数据融合的物联网威胁感知方法和*** | |
CN114338211B (zh) | 一种网络攻击的溯源方法和装置、电子设备及存储介质 | |
CN113676497A (zh) | 数据阻断的方法和装置、电子设备和存储介质 | |
CN111885034B (zh) | 物联网攻击事件追踪方法、装置和计算机设备 | |
CN112966264A (zh) | Xss攻击检测方法、装置、设备及机器可读存储介质 | |
CN112560085B (zh) | 业务预测模型的隐私保护方法及装置 | |
CN113824736B (zh) | 一种资产风险处置方法、装置、设备及存储介质 | |
CN111131239B (zh) | 一种网络安防装置、方法、设备及介质 | |
Kao et al. | Hacking Tool Identification in Penetration Testing | |
US10362062B1 (en) | System and method for evaluating security entities in a computing environment | |
CN116094847B (zh) | 蜜罐识别方法、装置、计算机设备和存储介质 | |
CN115065509B (zh) | 基于偏离函数的统计推断攻击的风险识别方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |