CN115801431A

CN115801431A - 一种威胁自动溯源方法、***、设备及介质

Info

Publication number: CN115801431A
Application number: CN202211509573.8A
Authority: CN
Inventors: 赵丽娜; 张腾; 张婕; 胡乾昊; 袁传新; 刘超; 黄华; 盛华; 王云霄
Original assignee: Dong'e Power Supply Co Of State Grid Shandong Electric Power Co; State Grid Corp of China SGCC; Information and Telecommunication Branch of State Grid Shandong Electric Power Co Ltd
Current assignee: Dong'e Power Supply Co Of State Grid Shandong Electric Power Co; State Grid Corp of China SGCC; Information and Telecommunication Branch of State Grid Shandong Electric Power Co Ltd
Priority date: 2022-11-29
Filing date: 2022-11-29
Publication date: 2023-03-14

Abstract

本发明涉及一种威胁自动溯源方法、***、设备及介质。本申请公开的方法通过收集网络中的流量镜像和蜜罐数据并进行解析，得到告警信息；提取所述告警信息中的关键数据获得IP对应的攻击档案，攻击档案显示了攻击者的攻击路径、攻击方法等；根据与IP对应的所述攻击档案，在社交平台收集相关攻击者信息，对其真实身份开展溯源分析得到攻击者全面的真实身份信息。多维度的进行情报分析，溯源结果精确，解决了复杂网络环境中无法自动对威胁进行溯源的问题。本申请公开实现所述威胁自动溯源方法的***、设备及介质，同样能够实现方法对应的效果。

Description

一种威胁自动溯源方法、***、设备及介质

技术领域

本发明涉及网络威胁溯源领域，尤其涉及一种威胁自动溯源方法、***、设备及介质。

背景技术

随着互联网和5G技术的快速发展，网络环境的复杂性、多变性以及信息***的脆弱性、开放性和易受攻击性，导致网络安全问题日益严重，特别是在复杂网络环境中，网络威胁经过层层网络环境的转换，因此难以追溯其真正的攻击者。

现有技术中通常是靠人工的方式通过多种安全设备追溯网络威胁的攻击路径，实现对威胁的溯源。目前这种方法收集到的溯源数据比较单一，例如只收集并统计了攻击者的地区信息，无法收集到多维度的溯源数据，难以为后续的溯源分析提供详细数据。并且这种方式耗时耗力，在出现威胁时不能做到及时响应，无法解决在复杂网络环境中自动对威胁进行溯源的问题。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本发明提供一种威胁自动溯源方法、***、设备及介质。

第一方面，本发明提供一种威胁自动溯源方法，包括：

收集攻击威胁的告警信息；

提取所述告警信息中攻击威胁的关键数据；

根据所述攻击威胁的关键数据，通过爬虫框架维护设定的各类信息收集网站，进行自动分析，建立与IP对应的攻击档案；

根据与IP对应的所述攻击档案，在社交平台收集相关攻击者信息，对其真实身份开展溯源分析。

更进一步地，所述收集攻击威胁的告警信息包括：通过在网络环境中部署流量检测设备和蜜罐，采集流量镜像和蜜罐数据；

在所述流量检测设备和蜜罐中对所述流量镜像和蜜罐数据进行解析，得到解析信息，并将所述解析信息发送到溯源分析平台；

在所述溯源分析平台中，根据所述解析信息得到攻击威胁的所述告警信息。

更进一步地，所述提取所述告警信息中攻击威胁的关键数据，包括：

在溯源分析平台中，利用预设关键词匹配所述告警信息中的内容，从所述告警信息中提取提取攻击威胁的所述关键数据，预设的所述关键词包括：攻击IP、攻击时间、受攻击的IP、攻击类型、恶意文件。

更进一步地，所述根据所述攻击威胁的关键数据，通过爬虫框架维护设定的各类信息收集网站，进行自动分析，建立与IP对应的攻击档案，包括以下步骤：

通过攻击类型分析攻击详情的请求包，验证是否可以获取到攻击者相关特征；

通过相关特征利用爬虫框架维护各类信息收集网站，判断所用IP具体是代理还是真实IP地址；

以IP为主节点，提取IP对应的攻击数据得到所述的攻击档案。

更进一步地，所述根据与IP对应的所述攻击档案，在社交平台收集相关攻击者信息，对其真实身份开展溯源分析包括：

根据与IP对应的所述攻击档案在搜索引擎、社交平台、技术论坛、指纹库、社工库进行ID追踪，获取攻击者的社交账号；利用所述社交账号追溯邮箱、手机号信息，继续通过邮箱、手机号搜索相关注册信息，来反追踪攻击者真实姓名，通过姓名找到相关简历信息；

通过攻击IP历史解析记录/域名，对域名注册信息进行溯源分析。

更进一步地，根据所述的溯源分析形成完整的溯源数据并统一存储；所述溯源数据采用设定数据格式存储，所述溯源数据的详细描述采用文件形式存储。

第二方面，本发明提供对应所述威胁自动溯源方法的一种威胁自动溯源***，包括：数据收集模块、数据提取模块以及溯源分析模块；

所述数据收集模块用于收集网络中的流量镜像和蜜罐数据并进行分析，得到告警信息；

所述数据提取模块用于提取所述告警信息中攻击威胁的关键数据，根据所述的关键数据建立与IP对应的攻击档案；

所述溯源分析模块用于根据与IP对应的所述攻击档案，在社交平台收集相关攻击者信息，对其真实身份开展溯源分析。

第三方面，本发明提供一种威胁自动溯源设备，包括至少一处理单元、存储单元和总线单元，所述总线单元连接所述存储单元和所述处理单元，所述存储单元中存储有计算机程序和告警信息，所述处理单元执行所述计算机程序调用所述告警信息以实现所述的威胁自动溯源方法。

第四方面，本发明提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述的威胁自动溯源方法。

本发明实施例提供的上述技术方案与现有技术相比具有如下优点：

本发明通过收集网络中的流量镜像和蜜罐数据并进行解析，得到告警信息；提取所述告警信息中的关键数据获得IP对应的攻击档案，攻击档案显示了攻击者的攻击路径、攻击方法等；根据与IP对应的所述攻击档案，在社交平台收集相关攻击者信息，对其真实身份开展溯源分析得到攻击者全面的真实身份信息。多维度的情报分析，溯源结果精确，解决了复杂网络环境中无法自动对威胁进行溯源的问题。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种威胁自动溯源方法的流程图；

图2为本发明实施例提供的收集攻击威胁的告警信息的流程图；

图3为本发明实施例提供的根据所述攻击威胁的关键数据，通过爬虫框架维护设定的各类信息收集网站，进行自动分析，建立与IP对应的攻击档案的流程图；

图4为本发明实施例提供的根据与IP对应的所述攻击档案，在社交平台收集相关攻击者信息，对其真实身份开展溯源分析的流程图；

图5为本发明实施例提供的一种威胁自动溯源***的示意图；

图6为本发明实施例提供的一种威胁自动溯源设备的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

实施例1

参阅图1所示，本实施例提供的一种威胁自动溯源方法，包括以下步骤：

S100，收集攻击威胁的告警信息，所述的告警信息来源于流量镜像和蜜罐数据。

具体实施过程中，参阅图2所示，所述收集攻击威胁的告警信息包括：

S101，通过在网络环境中部署流量检测设备和蜜罐来采集流量镜像和蜜罐数据。

其中，所述蜜罐(Honeypot)是一个包含漏洞的***，它模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标。蜜罐需要基于一个节点进行布置，可以部署在任意的网络位置，在所述蜜罐中配置用于吸引攻击者的蜜标和蜜饵。蜜罐没有其他的任务需要完成，因此所有连接的尝试都被视为是可疑的，从攻击者进入蜜罐的一瞬间开始，攻击者的行为都将被蜜罐完整记录下来形成蜜罐数据。

一种优选地实施方式中，所述蜜罐采用重定向技术形成蜜场，在蜜场中，攻击者踩中的是虚拟蜜罐，经过重定向以后，由真实的蜜罐进行响应，再把响应行为传到虚拟蜜罐，通过安装重定向器即可部署新的虚拟蜜罐，更容易。

一种优选地实施方式中，将多个所述蜜罐配置成蜜网，通过蜜网给攻击者提供横向移动的空间和更丰富的入侵接口。这样，当攻击者踩过一连串蜜罐的时候，可以得到含有攻击者的手法和习性。

S102，在所述流量检测设备和蜜罐中对所述流量镜像和蜜罐数据进行解析，得到解析信息，并将所述解析信息发送到溯源分析平台；

S103，在所述溯源分析平台中，根据所述解析信息得到攻击威胁的所述告警信息。

S200，提取所述告警信息中攻击威胁的关键数据；具体实施过程中，在溯源分析平台中，利用预设关键词匹配所述告警信息中的内容，从所述告警信息中提取提取攻击威胁的所述关键数据，预设的所述关键词包括：攻击IP、攻击时间、受攻击的IP、攻击类型、恶意文件。

上述关键字是示例性的，实际应用中并不局限于上述关键字，可预先构建关键字库，加载所述关键字库中的关键在来匹配告警信息获取所述关键数据。

攻击IP、攻击类型、恶意文件、攻击详情是溯源分析的入手点。

S300，根据所述攻击威胁的关键数据，通过爬虫框架维护设定的各类信息收集网站，进行自动分析，建立与IP对应的攻击档案。具体实施过程中，参阅图3所示，所述步骤S300，包括以下步骤：

S301，通过攻击类型分析攻击详情的请求包，验证是否可以获取到攻击者相关特征；

若获得攻击者相关特征，则S302，通过相关特征利用爬虫框架维护各类信息收集网站，判断所用IP具体是代理还是真实IP地址；

S303，以IP为主节点，提取IP对应的攻击数据得到所述的攻击档案。

S400，根据与IP对应的所述攻击档案，在社交平台收集相关攻击者信息，对其真实身份开展溯源分析。

具体实施过程中，参阅图4所示，所述根据与IP对应的所述攻击档案，在社交平台收集相关攻击者信息，对其真实身份开展溯源分析包括：

S401，根据与IP对应的所述攻击档案在搜索引擎、社交平台、技术论坛、指纹库、社工库进行ID追踪，获取攻击者的社交账号。

S402，利用所述社交账号追溯与社交账号相关联的邮箱、手机号信息。

S403，继续通过邮箱、手机号搜索相关注册信息，来反追踪攻击者真实姓名，通过真实姓名找到相关简历信息。

S404，通过攻击IP历史解析记录/域名，对域名注册信息进行溯源分析。

根据所述的溯源分析形成完整的溯源数据并统一存储；所述溯源数据采用设定数据格式存储，所述溯源数据的详细描述采用文件形式存储。

实施例2

实施例2公开了一种对应上述实施例的威胁自动溯源方法的***，为上述实施例的虚拟装置结构，请参照图5所示，一种威胁自动溯源***，包括：数据收集模块、关键字库、数据提取模块以及溯源分析模块；

所述数据收集模块用于收集网络中的流量镜像和蜜罐数据并进行分析，得到告警信息。

所述关键字库用于存储提取告警信息中关键数据时用到的关键字。

所述数据提取模块用于根据预设的关键字提取所述告警信息中攻击威胁的关键数据，根据所述的关键数据建立与IP对应的攻击档案。

实施例3

参阅图6所示，本发明实施例提供一种威胁自动溯源设备，包括至少一处理单元、存储单元和总线单元，所述总线单元连接所述存储单元和所述处理单元，所述存储单元中存储有计算机程序和告警信息，所述处理单元执行所述计算机程序调用所述告警信息以实现所述的威胁自动溯源方法。

存储单元作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本发明实施例中的威胁自动溯源方法对应的软件程序、计算机可执行程序以及模块(例如一种威胁自动溯源***中的数据收集模块，数据提取模块，溯源分析模块)。处理单元通过运行存储在存储单元中的软件程序、计算机可执行程序以及模块，从而实现上述威胁自动溯源方法。

存储单元可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作***、至少一个功能所需的应用程序；存储数据区可存储待分析的告警信息等。此外，存储单元可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储单元可进一步包括相对于处理单元远程设置的存储器，这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

实施例4

本发明实施例4提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述的威胁自动溯源方法，该方法包括：

收集攻击威胁的告警信息；

提取所述告警信息中攻击威胁的关键数据；

当然，本发明实施例所提供的一种实现威胁自动溯源方法的存储介质，其存储的计算机程序不限于如上所述的方法操作，还可以执行本发明任意实施例所提供的实现威胁自动溯源方法中的相关操作。

通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本发明可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(Read—Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等，包括若干指令用以使得一台电子设备(可以是手机，个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

在本发明所提供的实施例中，应该理解到，所揭露的结构和方法，可以通过其它的方式实现。例如，以上所描述的结构实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，结构或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

以上所述仅是本发明的具体实施方式，使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。

Claims

1.一种威胁自动溯源方法，其特征在于，包括：

收集攻击威胁的告警信息；

提取所述告警信息中攻击威胁的关键数据；

2.根据权利要求1所述的威胁自动溯源方法，其特征在于，所述收集攻击威胁的告警信息包括：通过在网络环境中部署流量检测设备和蜜罐，采集流量镜像和蜜罐数据；

3.根据权利要求1所述的威胁自动溯源方法，其特征在于，所述提取所述告警信息中攻击威胁的关键数据，包括：

4.根据权利要求1所述的威胁自动溯源方法，其特征在于，所述根据所述攻击威胁的关键数据，通过爬虫框架维护设定的各类信息收集网站，进行自动分析，建立与IP对应的攻击档案，包括以下步骤：

通过所述相关特征利用爬虫框架维护各类信息收集网站，判断所用IP具体是代理还是真实IP地址；

以IP为主节点，提取IP对应的攻击数据得到所述的攻击档案。

5.根据权利要求1所述的威胁自动溯源方法，其特征在于，所述根据与IP对应的所述攻击档案，在社交平台收集相关攻击者信息，对其真实身份开展溯源分析包括：

6.根据权利要求1所述的威胁自动溯源方法，其特征在于，根据所述的溯源分析形成完整的溯源数据并统一存储；所述溯源数据采用设定数据格式存储，所述溯源数据的详细描述采用文件形式存储。

7.一种威胁自动溯源***，其特征在于，包括：数据收集模块、数据提取模块以及溯源分析模块；

8.一种威胁自动溯源设备，其特征在于，包括至少一处理单元、存储单元和总线单元，所述总线单元连接所述存储单元和所述处理单元，所述存储单元中存储有计算机程序和告警信息，所述处理单元执行所述计算机程序调用所述告警信息以实现权利要求l至6中任一所述的威胁自动溯源方法。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求l至6中任一项所述的威胁自动溯源方法的步骤。