CN116668107A - 一种自动巡查及网络攻击溯源方法 - Google Patents

Abstract

本发明公开了一种自动巡查及网络攻击溯源方法，一种自动巡查及网络攻击溯源方法，包括：溯源态势单元：溯源态势单元由态势首页模块和黑客画像模块组成，通过已知信息对黑客画像进行大屏展示以及当前溯源总体情况展示；数据收集单元：数据收集单元由安全设备接入模块、日志接入模块和网络攻击监测模块组成，通过数据收集单元，将各种安全设备、日志和监测到的网络攻击接入到攻击者全息追溯微应用中，进行数据整合分析；主机取证单元：主机取证单元由探针部署模块、Linux模块和windows主机取证模块组成。本发明解决了溯源反制能力薄弱、溯源反制工作人员少、工作量大的现状，有利于提升整体溯源反制水平。

Description

一种自动巡查及网络攻击溯源方法

技术领域

本发明属于网络安全技术领域，具体涉及一种自动巡查及网络攻击溯源方法。

背景技术

溯源反制工作是以攻促防的第一步，而网络攻击溯源区别于传统防护理念，需要从攻击者视角出发，通过分析将不同时点、不同部位的攻击碎片重组为攻击事件，并对攻击者手法、目的、背景等进行深度溯源，实现更精准、高效的威胁发现与反制。安徽公司现有防御体系中多为被动防御的安全设备，无法做到主动防御，难以对海量攻击进行溯源，因此需要一种手段，通过对安全设备情报日志、攻击行为数据、攻击者身份等多角度分析，开展身份信息自动化获取，辅助开展反制工作，提升公司主动防御能力。

目前溯源反制主要靠蓝队人员自身经验开展，所需使用的工具、流程、思路因人而异，溯源过程中信息收集大相径庭，极大地限制了溯源反制工作质量和成果，目前很多公司溯源反制对厂商的依赖较大。同时溯源反制工作对于技术的要求较高，需要掌握的知识点多，能够参与到溯源反制工作的人员较少。并且，溯源反制工作作为日常网络安全分析室工作的重要内容之一，已经成为日常工作必不可少工作，同时溯源反制的环节较多，且每个环节所花费的时间较长，常1个完整的溯源反制工作耗时约8小时，随着溯源目标数量的增加，工作量将成几何倍数增加，人工不能够做到24小时及时地进行溯源反制工作

发明内容

(一)解决的技术问题

针对现有的技术不足，本发明的目的是提供一种自动巡查及网络攻击溯源方法，解决了背景技术中提到的问题。

(二)技术方案

本为实现上述目的，本发明提供如下技术方案，一种自动巡查及网络攻击溯源方法，包括：

溯源态势单元：溯源态势单元由态势首页模块和黑客画像模块组成，通过已知信息对黑客画像进行大屏展示以及当前溯源总体情况展示；

数据收集单元：数据收集单元由安全设备接入模块、日志接入模块和网络攻击监测模块组成，通过数据收集单元，将各种安全设备、日志和监测到的网络攻击接入到攻击者全息追溯微应用中，进行数据整合分析；

主机取证单元：主机取证单元由探针部署模块、Linux模块和windows主机取证模块组成，通过主机取证模块单元，对主机的信息进行分析处置，自动化的对主机进行取证；

自动化溯源反制单元：自动化溯源反制单元由事件列表模块和专家模块，通过自动化溯源反制单元，对攻击者信息进行自动化收集，并通过对应的漏洞信息进行自动化溯源反制；

样本分析单元：样本分析单元由信息采集模块和取证痕迹清除模块，通过样本分析模块，使用自动化工具对样本进行一键提取；

黑客情报库：黑客情报库包括攻击者信息模块和黑客知识库，在溯源反制时，根据溯源反制形成的黑客画像进行数据比对，既可以达到信息完善时的精准黑客定位，也可以在信息不充足时形成模糊定位，为接下来的溯源反制提供方向；

工作台：工作台由任务管理模块、智能派单模块和报告管理模块组成；

知识库：知识库包含漏洞知识库、溯源反制经验集、案例库、知识库管理模块；

溯源反制工具单元：溯源反制工具单元包括网络ID全文检索模块、IP批量反查域名模块、引擎检索模块，whois查询模块、服务器信息收集模块、云沙箱样本分析模块、xss盲打模块、在线解码模块、ICP备案查询模块、子域名查询模块、CMS***识别模块、空间资产探测模块、Web指纹探测模块和杀软特征识别；

***配置单元：***配置单元包括用户管理模块、基础信息配置模块、***信息模块和白名单管理模块。

作为优选方案，态势首页模块对提交到攻击者全息追溯微应用的格式化数据，并通过数据类型进行智能化建模并通过大屏输出相关特征，展示目前的溯源整体情况，并可通过点击对应的溯源支线进行详情查看；

黑客画像模块对黑客的信息进行自动化整理输出，进行流程化溯源以及通过数据分析进行黑客个性化溯源。

作为优选方案，安全设备接入模块通过添加监测类安全设备，将监测到的攻击数据进行整合，提交到对应的数据搜集模块，通过分析syslog日志并设置规则匹配可自动进行告警信息解析；

日志接入模块通过对日志进行解析进行标准化输出，为可视化数据展示以及描绘黑客画像打下基础；

网络攻击监测模块对网络侧的攻击，进行数据监测和大屏展示，显示攻击者攻击路径和攻击频率以及攻击手法。

作为优选方案，探针部署模块通过部署主机探针，对主机的组件和服务信息以及事件等进行探测；

linux主机取证模块对Linux主机进行取证事件管理，自动化运行linux相关指令以及相关工具，并对结果进行格式化输出；

windows主机取证模块对windows主机进行取证事件管理，自动化运行windows相关指令以及相关工具，并对结果进行格式化输出。

作为优选方案，事件列表模块为被动检测，通过高精度地理位置、威胁情报指数、历史攻击访问行为、SRC平台记录、空间资产探测记录，多维度收集攻击者身份信息发现资产信息，根据服务的不同，发现相关的反制点；

专家模块为主动检测，通过对攻击者资产进行扫描、web服务识别匹配漏洞库里的漏洞信息，使用相应的poc进行一键getshell功能反制攻击者攻击设施，为描绘黑客画像打下基础。

作为优选方案，信息采集模块从windows/linux服务器上一键提取攻击者样本，并可对样本进行静态检测及动态分析相关文件，完成样本的c2信息收集及样本作者信息收集。并将信息关联到其他模块，进行黑客画像操作，形成完整溯源逻辑；

取证痕迹清理模块在不通服务器平台取证任务结束后，通过平台选项，可选择一键对取证痕迹进行清理，不留下任何有用信息。

作为优选方案，攻击者信息模块可以记录历史溯源过的黑客信息，并可以通过特定的信息匹配方式进行对比；

黑客知识库通过关联互联网公开的知名攻击者组织及团伙建立信息库并保持更新，为所受到的攻击提供来源信息匹配，快速精准定位攻击方。

有益效果

与现有技术相比，本发明提供了一种自动巡查及网络攻击溯源方法，具备以下有益效果：

1、该自动巡查及网络攻击溯源方法，通过对安全监测类设备日志进行分析以及数据梳理，并进行自动化攻击溯源。通过基于攻击者全息追溯微应用工作台模块，使溯源反制工作均衡分配到相应人员手中，并且可以通过特定模板一键导出溯源报告，使溯源反制工作流程化、规范化，更加高效地使溯源反制工作闭环，提升分析室溯源工作能力。通过自动化分析溯源数据，勾勒出黑客画像，通过安全数据算法模型，将攻击者信息以可视化方式展示，同时为构建黑客情报库，通过特定id匹配已溯源到的攻击者，减少溯源时间。

2、该自动巡查及网络攻击溯源方法，能够降低溯源反制技术门槛，使能够参加溯源反制工作人员增加，并且可以通过工作台模块均衡分配工作任务，让每个工作人员都能够参与到溯源反制工作中并且得到锻炼，解决了溯源反制能力薄弱、溯源反制工作人员少、工作量大的现状，有利于提升整体溯源反制水平。

具体实施方式

为了更好地了解本发明的目的、结构及功能，对本发明一种自动巡查及网络攻击溯源方法做进一步详细的描述。

实施例1：一种自动巡查及网络攻击溯源方法，包括：

溯源态势单元：溯源态势单元由态势首页模块和黑客画像模块组成，通过已知信息对黑客画像进行大屏展示以及当前溯源总体情况展示；

数据收集单元：数据收集单元由安全设备接入模块、日志接入模块和网络攻击监测模块组成，目的是通过建设数据搜集模块，将各种安全设备、日志和监测到的网络攻击接入到攻击者全息追溯微应用中，进行数据整合分析。打造自动化数据搜集，提升数据搜集能力，改进当前***的信息不全、预警不及时等缺点；

主机取证单元：主机取证单元由探针部署模块、Linux模块和windows主机取证模块组成，通过主机取证模块单元，强化主机的事件管理能力以及对主机的掌控能力，对主机的信息进行分析处置，自动化的对主机进行取证，方便溯源分析。提升了平台的主机侧的信息管理能力；

自动化溯源反制单元：自动化溯源反制单元由事件列表模块和专家模块，通过自动化溯源反制单元，针对攻击来源太多、人工溯源反制难以完全覆盖的问题，提升对攻击者的资产进行自动化信息收集能力，并通过对应的漏洞信息进行自动化溯源反制，达到攻击者溯源的全覆盖功能；

样本分析单元：样本分析单元由信息采集模块和取证痕迹清除模块，通过建设样本分析模块，使用自动化工具对样本进行一键提取，提升获取样本的速度和效率，提升准确率和时间维度能力，避免因手工查找等方式可能存在的效率低和准确率低等问题。并可以一键清除取证痕迹，达到无声无息的目的，不惊扰攻击者；

黑客情报库：黑客情报库包括攻击者信息模块和黑客知识库，通过建设黑客情报库，涵盖国内外所有已知黑客个人/组织信息以及相关红队信息，并通过不停地更新信息，来达到黑客的情报搜集。通过该方式，可在溯源反制时，根据溯源反制形成的黑客画像进行数据比对，既可以达到信息完善时的精准黑客定位，也可以在信息不充足时形成模糊定位，为接下来的溯源反制提供方向；

工作台：工作台由任务管理模块、智能派单模块和报告管理模块组成；

知识库：知识库包含漏洞知识库、溯源反制经验集、案例库、知识库管理模块；

溯源反制工具单元：溯源反制工具单元包括网络ID全文检索模块、IP批量反查域名模块、引擎检索模块，whois查询模块、服务器信息收集模块、云沙箱样本分析模块、xss盲打模块、在线解码模块、ICP备案查询模块、子域名查询模块、CMS***识别模块、空间资产探测模块、Web指纹探测模块和杀软特征识别；

***配置单元：***配置单元包括用户管理模块、基础信息配置模块、***信息模块和白名单管理模块。

具体的，态势首页模块对提交到攻击者全息追溯微应用的格式化数据，比如txt、xml、json等格式数据进行智能分析，并通过数据类型进行智能化建模并通过大屏输出相关特征，展示目前的溯源整体情况，并可通过点击对应的溯源支线进行详情查看；

黑客画像模块基于平台和蓝队成员已溯源到的黑客信息，对黑客的常用工具、IP、所在地等信息进行自动化整理输出，便于溯源成员对目标黑客有清晰的了解，进行流程化溯源以及通过数据分析进行黑客个性化溯源。

具体的，安全设备接入模块通过添加监测类安全设备，如天眼，将监测到的攻击数据进行整合，提交到对应的数据搜集模块，通过分析syslog日志并设置规则匹配可自动进行告警信息解析；

确保安全设备和终端内的日志可手动或自动的搜集，进行自定义添加攻击者攻击信息等，日志接入模块通过对日志进行解析进行标准化输出，为可视化数据展示以及描绘黑客画像打下基础；

网络攻击监测模块对网络侧的攻击，进行数据监测和大屏展示，显示攻击者攻击路径和攻击频率以及攻击手法，如DDOS、sql注入、命令执行等。

具体的，探针部署模块通过部署主机探针，对主机的组件和服务信息以及事件等进行探测，包含启动的服务组件信息、所安装应用等；

linux主机取证模块对Linux主机进行取证事件管理，自动化运行linux相关指令以及相关工具，并对结果进行格式化输出，包含日志、进程、网络连接、历史命令、用户、ssh记录等信息；

windows主机取证模块对windows主机进行取证事件管理，自动化运行windows相关指令以及相关工具，并对结果进行格式化输出，包含日志、进程、网络连接、历史命令、用户、RDP记录等信息。

具体的，事件列表模块为被动检测，通过高精度地理位置、威胁情报指数、历史攻击访问行为、SRC平台记录、空间资产探测记录，多维度收集攻击者身份信息发现资产信息，根据服务的不同，发现相关的反制点；

专家模块为主动检测，通过对攻击者资产进行扫描、web服务识别匹配漏洞库里的漏洞信息，使用相应的poc进行一键getshell功能反制攻击者攻击设施，为描绘黑客画像打下基础。

具体的，信息采集模块从windows/linux服务器上一键提取攻击者样本，并可对样本进行静态检测及动态分析相关文件，完成样本的c2信息收集及样本作者信息收集。并将信息关联到其他模块，进行黑客画像操作，形成完整溯源逻辑；

取证痕迹清理模块在不通服务器平台取证任务结束后，通过平台选项，可选择一键对取证痕迹进行清理，包括连接记录、操作记录等，不留下任何有用信息。

具体的，攻击者信息模块可以记录历史溯源过的黑客信息，并可以通过特定的信息匹配方式进行对比，固定信息如IP、ID、手机号、微信号等，行为信息如攻击手法、后门特征等；

黑客知识库通过关联互联网公开的知名攻击者组织及团伙建立信息库并保持更新，为所受到的攻击提供来源信息匹配，快速精准定位攻击方。

通过蓝队工作台，实现溯源报告一键生成，任务的管理，任务以工单下发，实现工作分配任务，达成溯源任务的智慧管理，提升溯源任务的效率，任务管理模块使操作者可以新建、编辑以及删除溯源任务，通过智能派单模块，平台会将新生成和积累的溯源任务智能派发工作给蓝方人员，蓝方人员完成溯源后，可以通过报告管理模块将溯源后的结果根据特定模板一键生成溯源报告。

进一步的，通过建设知识库，可以提供常见安全知识，如漏洞检索，溯源反制经验等宝贵信息，拓展蓝队人员的溯源思路和提升弹药库的存储量，形成技能的数字化管理，漏洞知识库主要是CVE和CNVD等漏洞的信息检索，也包括在野未编号的漏洞搜集以及内部审计出来的漏洞信息，溯源反制经验集可以通过长期的更新提供常见溯源反制经验文本信息，包括网上公开、个人分享以及往期的经典溯源经验，做到类似的溯源手法有迹可循，特殊的溯源经验存档入库，案例库可以记录历史溯源案例，以及可以手动添加溯源案例，以便后期作为经验参考，知识库管理模块可以对知识库内容进行统一管理。

进一步的，建设溯源反制工具集单元，目的是根据常用的溯源反制经验，对常用工具进行汇总、归纳，形成完整的溯源流程体系，通过平台的集合使溯源过程不需要多次切换工具，形成一站式溯源，提高溯源反制的效率和流畅性。网络ID全文检索模块是根据溯源到的攻击方ID在全网络平台进行相关信息检索，通过匹配百度、搜搜、bing、github等网站进行自动化匹配，包括个人常用ID，手机号、QQ号、微信号码等，减少重复工作；IP批量反查域名模块通过IP地址批量反向查询绑定域名信息，获取攻击者的备案信息，进行深度溯源，支持excel、txt、手工导入ip地址信息；引擎检索模块通过已经获取到的黑客信息，使用搜索引擎的高级功能对其进行检索，发现更多有价值的信息；whois查询模块可以调用多方接口，快速查询域名WHOIS信息，内容包含注册手机号、邮箱、域名注册商、真实姓名等信息；服务器信息收集模块通过脚本获取计算机名、域名、IP地址、操作***版本等信息；云沙箱样本分析模块可以通过将样本传入沙箱进行分析，获得样本的基本信息、触发的行为、安全等级等信息；xss盲打模块通过xss盲打漏洞获取管理员Cookie、账号和密码等信息；在线解码模块对于常用的编码/加密方式进行解码/解密操作，包括base64、url、unicode、MD5等；ICP备案查询模块调用多个接口快速、批量查询ICP备案信息；子域名查询模块能够快速扫描获得目标机器子域名信息；CMS***识别模块通过指纹探测识别***是否为CMS，并识别漏洞信息；空间资产探测模块是基于互联网空间探测引擎提供高效检索工具；Web指纹探测模块通过探测web指纹，快速获得溯源目标web的组建信息以及所使用框架，根据框架可以精准定位可能存在的漏洞；杀软特征识别模块根据进程名识别是否为杀毒软件；常见高危漏洞getshell工具是提供溯源反制工作中常见高危漏洞getshell的工具，一键获取服务器权限；弱口令扫描工具是内置弱口令字典，可快速对资产***进行弱口令扫描。

进一步的，用户管理模块提供新建或删除用户功能，做到对所有用户进行身份识别、验证、授权和审计；基础信息配置模块是提供关系***的基础信息配置；基础信息模块为显示服务器硬件状态，对服务器的硬件信息进行实时监测和预警，提供软件版本信息；白名单管理模块提供对资产的xls文件批量导入加白以及手动加白方式。

具体实施工作：首先根据业务、流程、管理方法等对需求进行收集，然后对功能模块的部署进行讨论和规划设计，编写适应性调整方案并交实施单位确认，形成***实施方案和实施计划。确保***配置完成后能够正常运行。同时对***的功能和性能都需要进行回归测试，确认实施方案不会对原有业务模块产生预期外影响，确保实施方案的可靠性；

数据收集及处理：数据收集及处理工作主要包含制定、确认数据清理和数据收集方案、计划，设计数据收集模板，收集用户、组织、业务流程等数据及梳理网络资产台账配合实施单位人员校核、确认数据等；

***部署及配置：部署工作主要包括***在互联网大区环境上的安装部署工作；

***测试：为确保***的稳定可靠，在实施过程中将组织开展***测试。在开展***测试前，要确保***已经通过开发阶段测试，包括单元测试、安全测试、功能测试、性能测试等工作。并确保***已经在功能、性能上均通过第三方机构测试，在安全方面通过第三方机构的安全评估，并获得相应的报告。

完成基于攻击者全息追溯微应用的研发，包括溯源态势、数据收集、主机取证、自动化溯源反制、样本分析等模块，将溯源过程更加完整化、流程化、规范化。通过攻击者全息追溯微应用，降低参与溯源反制的技术门槛，由此前的手工溯源反制，转变到自动化溯源，实现24小时实时全面覆盖溯源目标，不漏过一个攻击者。提升网络安全分析室成员的溯源反制水平，公司在溯源反制能力上提升到新的高度。

可以理解，本发明是通过一些实施例进行描述的，本领域技术人员知悉的，在不脱离本发明的精神和范围的情况下，可以对这些特征和实施例进行各种改变或等效替换。另外，在本发明的教导下，可以对这些特征和实施例进行修改以适应具体的情况及材料而不会脱离本发明的精神和范围。因此，本发明不受此处所公开的具体实施例的限制，所有落入本申请的权利要求范围内的实施例都属于本发明所保护的范围内。

Claims (7)

1.一种自动巡查及网络攻击溯源方法，其特征在于，包括：

溯源态势单元：溯源态势单元由态势首页模块和黑客画像模块组成，通过已知信息对黑客画像进行大屏展示以及当前溯源总体情况展示；

数据收集单元：数据收集单元由安全设备接入模块、日志接入模块和网络攻击监测模块组成，通过数据收集单元，将各种安全设备、日志和监测到的网络攻击接入到攻击者全息追溯微应用中，进行数据整合分析；

主机取证单元：主机取证单元由探针部署模块、Linux模块和windows主机取证模块组成，通过主机取证模块单元，对主机的信息进行分析处置，自动化的对主机进行取证；

自动化溯源反制单元：自动化溯源反制单元由事件列表模块和专家模块，通过自动化溯源反制单元，对攻击者信息进行自动化收集，并通过对应的漏洞信息进行自动化溯源反制；

样本分析单元：样本分析单元由信息采集模块和取证痕迹清除模块，通过样本分析模块，使用自动化工具对样本进行一键提取；

黑客情报库：黑客情报库包括攻击者信息模块和黑客知识库，在溯源反制时，根据溯源反制形成的黑客画像进行数据比对，既可以达到信息完善时的精准黑客定位，也可以在信息不充足时形成模糊定位，为接下来的溯源反制提供方向；

工作台：工作台由任务管理模块、智能派单模块和报告管理模块组成；

知识库：知识库包含漏洞知识库、溯源反制经验集、案例库、知识库管理模块；

溯源反制工具单元：溯源反制工具单元包括网络ID全文检索模块、IP批量反查域名模块、引擎检索模块，whois查询模块、服务器信息收集模块、云沙箱样本分析模块、xss盲打模块、在线解码模块、ICP备案查询模块、子域名查询模块、CMS***识别模块、空间资产探测模块、Web指纹探测模块和杀软特征识别；

***配置单元：***配置单元包括用户管理模块、基础信息配置模块、***信息模块和白名单管理模块。

2.根据权利要求1的一种自动巡查及网络攻击溯源方法，其特征在于，态势首页模块对提交到攻击者全息追溯微应用的格式化数据，并通过数据类型进行智能化建模并通过大屏输出相关特征，展示目前的溯源整体情况，并可通过点击对应的溯源支线进行详情查看；

黑客画像模块对黑客的信息进行自动化整理输出，进行流程化溯源以及通过数据分析进行黑客个性化溯源。

3.根据权力要求1的一种自动巡查及网络攻击溯源方法，其特征在于，安全设备接入模块通过添加监测类安全设备，将监测到的攻击数据进行整合，提交到对应的数据搜集模块，通过分析syslog日志并设置规则匹配可自动进行告警信息解析；

日志接入模块通过对日志进行解析进行标准化输出，为可视化数据展示以及描绘黑客画像打下基础；

网络攻击监测模块对网络侧的攻击，进行数据监测和大屏展示，显示攻击者攻击路径和攻击频率以及攻击手法。

4.根据权利要求1的一种自动巡查及网络攻击溯源方法，其特征在于，探针部署模块通过部署主机探针，对主机的组件和服务信息以及事件等进行探测；

linux主机取证模块对Linux主机进行取证事件管理，自动化运行linux相关指令以及相关工具，并对结果进行格式化输出；

windows主机取证模块对windows主机进行取证事件管理，自动化运行windows相关指令以及相关工具，并对结果进行格式化输出。

5.根据权利要求1的一种自动巡查及网络攻击溯源方法，其特征在于，事件列表模块为被动检测，通过高精度地理位置、威胁情报指数、历史攻击访问行为、SRC平台记录、空间资产探测记录，多维度收集攻击者身份信息发现资产信息，根据服务的不同，发现相关的反制点；

专家模块为主动检测，通过对攻击者资产进行扫描、web服务识别匹配漏洞库里的漏洞信息，使用相应的poc进行一键getshell功能反制攻击者攻击设施，为描绘黑客画像打下基础。

6.根据权利要求1的一种自动巡查及网络攻击溯源方法，其特征在于，信息采集模块从windows/linux服务器上一键提取攻击者样本，并可对样本进行静态检测及动态分析相关文件，完成样本的c2信息收集及样本作者信息收集。并将信息关联到其他模块，进行黑客画像操作，形成完整溯源逻辑；

取证痕迹清理模块在不通服务器平台取证任务结束后，通过平台选项，可选择一键对取证痕迹进行清理，不留下任何有用信息。

7.根据权利要求1的一种自动巡查及网络攻击溯源方法，其特征在于，攻击者信息模块可以记录历史溯源过的黑客信息，并可以通过特定的信息匹配方式进行对比；

黑客知识库通过关联互联网公开的知名攻击者组织及团伙建立信息库并保持更新，为所受到的攻击提供来源信息匹配，快速精准定位攻击方。