CN103226675A - 一种分析入侵行为的溯源系统及方法 - Google Patents
一种分析入侵行为的溯源系统及方法 Download PDFInfo
- Publication number
- CN103226675A CN103226675A CN201310090041XA CN201310090041A CN103226675A CN 103226675 A CN103226675 A CN 103226675A CN 201310090041X A CN201310090041X A CN 201310090041XA CN 201310090041 A CN201310090041 A CN 201310090041A CN 103226675 A CN103226675 A CN 103226675A
- Authority
- CN
- China
- Prior art keywords
- source
- information
- tracing
- module
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种分析入侵行为的溯源系统,包括前端目标系统和后端存储系统,二者通过私有网络互联,前端目标系统包括溯源信息收集模块和数据发送模块,后端存储系统包括数据接收模块、溯源信息存储模块、查询模块和过滤模块,溯源信息收集模块用于拦截操作系统调用,并根据操作系统调用产生对应的溯源信息,溯源信息包括文件对象、进程对象和网络连接对象,以及三种对象之间的依赖关系,数据发送模块用于将溯源信息进行数字签名并发送到后端存储系统的数据接收模块,数据接收模块用于对前端目标系统进行验证,并在验证通过后将溯源信息转发给溯源信息存储模块,否则丢弃该溯源信息。本发明的系统能使用户发现入侵的来源,以及入侵的具体行为。
Description
技术领域
本发明属于计算机系统安全领域,更具体地,涉及一种分析入侵行为的溯源系统及方法。
背景技术
目前,利用计算机网络实施犯罪的案件屡见不鲜,黑客们通过各种方法向目标计算机发动入侵。入侵检测被认为是防火墙之后的第二道安全闸门,它能够在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。现有的入侵检测技术主要是从计算机系统中的若干关键点收集信息,分析是否有违反安全策略的行为。一旦系统被入侵,入侵检测工具会及时作出响应,包括切断网络连接、记录事件和报警等,并向管理员提供入侵对象,比如是一个被修改过的文件、一个可疑进程或者是网络上的异常连接。但是作为一名系统管理员,在知道系统被入侵后,更重要的是弄清黑客是如何攻破计算机的,之后找到这些漏洞并修补,以免下次受到类似的攻击。另外还需要找到黑客对系统所做的其他破坏,进而对这些破坏进行修复来减小损失。当前主要使用的方法是分析系统/网络日志和检查磁盘状态。从日志中可以发现一些用户不期望的行为,比如重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等。检查磁盘状态则可以发现黑客删除或者遗留在系统中的攻击工具包,或者是一些目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的。这样的分析工具有很多,比较著名的有Snort、Ethereal,Tripwire等。但是,这些分析所用的信息来源都不够全面。日志仅仅记录部分或者应用程序指定的信息,比如HTTP连接,用户登录信息等,这些信息并不足以让管理员分析系统被攻击后到底发生了什么。磁盘检测仅能够提供文件的最终状态,文件是如何被黑客修改到这个状态也无从而知。另外,这些信息来源的一个共同缺点是它们把合法用户的行为和黑客的行为混合记录在一起,即便里面包含了足够的入侵分析信息,如何将入侵分析信息从中提取出来也是耗时耗力的过程。
发明内容
针对现有技术的缺陷,本发明的目的在于提供一种分析入侵行为的溯源系统,旨在解决现有方法中存在的无法准确提取入侵分析信息的问题,并使用户能够发现入侵的来源,以及入侵的具体行为。
为实现上述目的,本发明提供了一种分析入侵行为的溯源系统,包括前端目标系统和后端存储系统,二者通过私有网络互联,前端目标系统包括溯源信息收集模块和数据发送模块,后端存储系统包括数据接收模块、溯源信息存储模块、查询模块和过滤模块,溯源信息收集模块用于拦截操作系统调用,并根据操作系统调用产生对应的溯源信息,其中溯源信息包括文件对象、进程对象和网络连接对象,以及三种对象之间的依赖关系,数据发送模块用于将溯源信息进行数字签名并发送到后端存储系统的数据接收模块,数据接收模块用于对前端目标系统进行验证,并在验证通过后将溯源信息转发给溯源信息存储模块,否则丢弃该溯源信息,溯源信息存储模块用于将溯源信息以文件的形式存放在文件系统上,同时存放到多个数据库中,查询模块用于接收用户提供的入侵对象,在数据库的溯源信息中查询该入侵对象,并将查询结果发送给过滤模块,过滤模块用于根据默认规则对查询结果进行过滤,并以溯源图的形式将过滤后的查询结果提交给用户。
文件系统是只能写入文件,不能删除和修改文件的文件系统,多个数据库包括名字数据库、依赖关系数据库和对象信息数据库,名字数据库用于保存对象的名字,依赖关系数据库用于保存对象间的依赖关系,对象信息数据库用于保存元数据信息或者是进程的环境变量和参数。
溯源信息收集模块包括拦截子模块、生成溯源信息子模块和检测子模块,拦截子模块用于判断当前的操作系统调用是否需要监听,若是则进行拦截,将拦截的操作系统调用及参数发送到生成溯源信息子模块,否则继续监听其他操作系统调用,生成溯源信息子模块用于将操作系统调用转换为溯源信息,并将转换后的溯源信息发送到检测子模块,检测子模块用于判断转换后的溯源信息是重复的还是构成循环的,若该溯源信息重复,则丢弃,若该溯源信息构成循环,则通过CA算法消除循环。
通过本发明所构思的以上技术方案,与现有技术相比,本系统具有以下的有益效果:
1、能够分析出入侵的具体行为:一方面,由于采用了溯源信息收集模块,入侵的各种行为都被转换为溯源信息保存在后端存储系统中。另一方面,由于采用查询模块,用户可以对溯源信息进行查询,通过查询可以发现一次入侵过程都包含了哪些入侵行为,以及这些入侵行为都造成了系统中的哪些破坏。
2、保护了溯源信息的安全性:由于采用前端目标系统和后端存储系统分离的架构,使得溯源信息得到了更好的保护。即便入侵者攻破了前端目标系统,他也很难进入后端存储系统对溯源信息进行修改。一方面是由于前端目标系统和后端存储系统之间是通过用户搭建的私有网络互连的,并且后端存储系统需要对前端目标系统进行验证;另一方面,溯源信息在后端的存储是只可增加写,而不能进行修改和删除操作。
本发明的另一目的在于提供一种分析入侵行为的溯源方法,旨在解决现有方法中存在的无法准确提取入侵分析信息的问题,并使用户能够发现入侵的来源,以及入侵的具体行为。
为实现上述目的,本发明提供了一种分析入侵行为的溯源方法,是应用在一种分析入侵行为的溯源系统中,该系统包括前端目标系统和后端存储系统,二者通过私有网络互联,前端目标系统包括溯源信息收集模块和数据发送模块,后端存储系统包括数据接收模块、溯源信息存储模块、查询模块和过滤模块,该溯源方法包括以下步骤:
(1)溯源信息收集模块实时拦截操作系统调用,并将其转换为溯源信息;
(2)数据发送模块将溯源信息进行数字签名并发送到后端存储系统的数据接收模块;
(3)数据接收模块对前端目标系统进行验证,并在验证通过后将溯源信息转发给溯源信息存储模块,否则丢弃该溯源信息
(4)溯源信息存储模块将溯源信息以文件的形式存放在文件系统上,同时存放到多个数据库中;
(5)查询模块接收用户提供的入侵对象,在数据库的溯源信息中查询该入侵对象,并将查询结果发送给过滤模块;
(6)过滤模块根据默认规则对查询结果进行过滤,并以溯源图的形式将过滤后的查询结果提交给用户。
步骤(3)具体为,数据接收模块根据接收到的溯源信息计算其报文摘要,并用公钥解密加密后的报文摘要,将计算得到的报文摘要和解密得到的报文摘要进行比对,若一致则验证通过。
步骤(6)中的默认规则包括删除溯源图中的临时对象、系统库文件对象、配置文件对象。
溯源信息收集模块包括拦截子模块、生成溯源信息子模块和检测子模块,步骤(1)包括以下子步骤:
(1-1)拦截子模块判断当前的操作系统调用是否需要监听,若是则进行拦截,将拦截的操作系统调用及参数发送到生成溯源信息子模块,然后进入步骤(1-2),否则继续监听其他操作系统调用;
(1-2)生成溯源信息子模块将操作系统调用转换为溯源信息,并将转换后的溯源信息发送到检测子模块;
(1-3)检测子模块判断转换后的溯源信息是重复的还是构成循环的,若该溯源信息重复,则丢弃,若该溯源信息构成循环,则通过CA算法消除循环。
步骤(5)包括以下子步骤:
(5-1)查询模块接收用户提供的入侵对象,并判断在数据库中是否存在与该对象匹配的溯源信息,如果存在则进入步骤(5-2),否则过程结束;
(5-2)对入侵对象作为输入进行追溯查询,并判断结果是否为空,如若追溯查询的结果为空,则过程结束,否则进入步骤(5-3);
(5-3)对追溯查询的结果进行传播查询,并判断结果是否为空,若传播查询的结果为空,则过程结束,否则将传播查询的结果作为输入,并返回步骤(5-2)。
步骤(5-2)包括以下子步骤:
(5-2-1)将输入加入溯源图中,并将该输入设置为起始点;
(5-2-2)判断是否可在数据库中查找到起始点所依赖的对象,如果可查找到则进入步骤(5-2-3)。否则将图中新增加的根节点作为查询结果,过程结束;
(5-2-3)将该起始点所依赖的对象作为起始点的父节点加入溯源图中,并将该对象设置为起始点,并返回步骤(5-2-2)。
步骤(5-3)包括以下子步骤:
(5-3-1)将输入加入溯源图中,并将该输入设置为起始点;
(5-3-2)判断是否可在数据库中查找到依赖该起始点的对象,如果可查找到则进入步骤(5-3-3)。否则将图中新增加的叶子节点作为查询结果,过程结束;
(5-3-3)将依赖该起始点的对象作为起始点的子节点加入溯源图中,并将该对象设置为起始点,并返回步骤(5-3-2)。
通过本发明所构思的以上技术方案,与现有技术相比,本方法具有以下的有益效果:
1、能够分析出入侵的具体行为:一方面,由于采用了溯源信息收集模块,入侵的各种行为都被转换为溯源信息保存在后端存储系统中。另一方面,由于采用查询模块,用户可以对溯源信息进行查询,通过查询可以发现一次入侵过程都包含了哪些入侵行为,以及这些入侵行为都造成了系统中的哪些破坏。
2、保护了溯源信息的安全性:由于采用前端目标系统和后端存储系统分离的架构,使得溯源信息得到了更好的保护。即便入侵者攻破了前端目标系统,他也很难进入后端存储系统对溯源信息进行修改。一方面是由于前端目标系统和后端存储系统之间是通过用户搭建的私有网络互连的,并且后端存储系统需要对前端目标系统进行验证;另一方面,溯源信息在后端的存储是只可增加写,而不能进行修改和删除操作。
附图说明
图1是本发明分析入侵行为的溯源系统的示意框图。
图2是本发明系统中溯源信息收集模块的示意框图。
图3是本发明分析入侵行为的溯源方法的流程图。
图4是本发明方法中步骤(1)的细化流程图。
图5是本发明方法中步骤(5)的细化流程图。
图6是本发明方法中步骤(5-2)的细化流程图。
图7是本发明方法中步骤(5-3)的细化流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明分析入侵行为的溯源系统包括前端目标系统和后端存储系统,二者通过私有网络互联。前端目标系统包括溯源信息收集模块和数据发送模块,后端存储系统包括数据接收模块、溯源信息存储模块、查询模块和过滤模块。
溯源信息收集模块用于拦截操作系统调用,包括读(Read)、写(Write)、打开(Open)、创建子线程(Fork)、连接(Connect)、接受(Accept)等,并根据这些操作系统调用产生对应的溯源信息。溯源信息包括三种对象:分别为文件对象、进程对象和网络连接对象,以及三种对象之间的依赖关系。文件对象指存储在系统中的文件,通过文件的元数据(文件名、路径名、拥有者、修改时间等)进行描述。进程对象是指运行在系统中的进程,通过进程名称、进程号(Process ID,简称PID)、进程运行参数及环境变量进行描述。网络连接对象表示系统和外界交互的一个通道,通过IP地址和端口号进行描述。该模块对系统中的每个对象分配一个唯一的编号以及版本号来标识该对象。不同的操作系统调用将产生不同的对象和依赖关系。
下表1示出了操作系统调用和溯源信息之间的关系:
表1操作系统调用和溯源信息关系表
当事件描述中的事件发生时,就会触发对应的操作系统调用,进而产生相应的溯源信息。例如:当事件进程1创建进程2发生时,就会触发创建Fork系统调用,该系统调用将产生两个进程对象,分别为进程1和进程2,以及它们的依赖关系:进程2依赖于进程1,将该操作系统调用产生的溯源信息用进程1—>进程2表示。
如图2所示,溯源信息收集模块包括拦截子模块、生成溯源信息子模块和检测子模块。拦截子模块用于拦截操作系统调用并将操作系统调用及参数传递给生成溯源信息子模块。生成溯源信息子模块用于将操作系统调用及参数转换为溯源信息,包括初始化对象以及对象间的依赖关系。另外,由于产生的这些溯源信息中有很多是重复或者是构成循环的,因此检测子模块用于对生成的溯源信息进行去重及消除循环。当检测到重复的溯源信息时就过滤掉该信息,当检测到溯源信息产生循环时就用循环避免算法消除循环。
数据发送模块用于接收来自溯源信息收集模块产生的溯源信息,并将这些溯源信息发往后端存储系统中的数据接收模块。
数据接收模块用于验证前端目标系统是否合法,如果合法则接收来自前端目标系统的溯源信息,并发往溯源信息存储模块。不合法则拒绝接收相应的溯源信息。
溯源信息存储模块用于将溯源信息存放在一个不能修改、不能删除,只能增加内容的文件系统上,另外还建立多个数据库,根据溯源信息的内容将其分类存放到数据库中。
查询模块用于通过用户提供的入侵对象,查询数据库中的溯源信息,将入侵是如何产生的以及入侵的具体行为以溯源图的方式提供给过滤模块。
过滤模块用于根据系统默认的规则,对查询模块生成的溯源图进行优化,并删减图中不必要的节点和边。
如图3所示,本发明分析入侵行为的溯源方法是应用在一种分析入侵行为的溯源系统中,该系统包括前端目标系统和后端存储系统,二者通过私有网络互联,前端目标系统包括溯源信息收集模块和数据发送模块,后端存储系统包括数据接收模块、溯源信息存储模块、查询模块和过滤模块。
本发明的方法包括以下步骤:
(1)溯源信息收集模块实时拦截操作系统调用,并将其转换为溯源信息;
本步骤的优点在于,该模块工作在操作系统内核当中,能够自动收集上层应用产生的溯源信息,不需要用户对上层程序进行修改;
(2)数据发送模块将溯源信息进行数字签名并发送到后端存储系统的数据接收模块;具体而言,数据发送模块将根据溯源信息产生一个报文摘要,用私钥对报文摘要进行加密,最后将溯源信息和加密后的报文摘要通过用户搭建的私有网络发送,以保证溯源信息传输的安全性;
(3)数据接收模块对前端目标系统进行验证,并在验证通过后将溯源信息转发给溯源信息存储模块,否则丢弃该溯源信息;具体而言,数据接收模块根据接收到的溯源信息计算其报文摘要,并用公钥解密加密后的报文摘要,将计算得到的报文摘要和解密得到的报文摘要进行比对,若一致则验证通过;
(4)溯源信息存储模块将溯源信息以文件的形式存放在文件系统上,同时存放到多个数据库中;具体而言,该文件系统是只能写入文件,不能删除和修改文件的,以此保证溯源信息的完整性。多个数据库包括名字数据库、依赖关系数据库和对象信息数据库,名字数据库用于保存对象的名字,依赖关系数据库用于保存对象间的依赖关系,对象信息数据库用于保存对象的其他信息(例如文件的元数据信息或者是进程的环境变量和参数);
(5)查询模块接收用户提供的入侵对象,在数据库的溯源信息中查询该入侵对象,并将查询结果发送给过滤模块;具体而言,入侵对象包括系统中的文件、进程或者网络上的某个IP地址,查询结果是以溯源图的形式呈现出来;
本步骤的优点在于能够将和入侵对象有关联的其他所有对象找到,并将各个对象之间的关系以溯源图的形式描绘出来;
(6)过滤模块根据默认规则对查询结果进行过滤,并以溯源图的形式将过滤后的查询结果提交给用户;具体而言,默认规则包括删除溯源图中的临时对象、系统库文件对象、配置文件对象。
如图4所示,本发明方法的步骤(1)包括以下子步骤:
(1-1)拦截子模块判断当前的操作系统调用是否需要监听,若是则进行拦截,将拦截的操作系统调用及参数发送到生成溯源信息子模块,然后进入步骤(1-2),否则继续监听其他操作系统调用;具体而言,对于读(Read)、写(Write)、接收(Recv)、发送(Send)、创建(Creat)、打开(Open)、创建子进程(Fork)、加载(Exec)、内存映射(Mmap)、截断(Truncate)、接受(Accept)、连接(Connect)、重命名(Rename)、更改权限(Chmod)的操作系统调用,需要进行监听;
(1-2)生成溯源信息子模块将操作系统调用转换为溯源信息,并将转换后的溯源信息发送到检测子模块;
(1-3)检测子模块判断转换后的溯源信息是重复的还是构成循环的,若该溯源信息重复,则丢弃,若该溯源信息构成循环,则通过循环避免算法(Cycle Avoidance算法,简称CA算法)消除循环;例如,已有的溯源信息显示对象A依赖于对象B,新收到的溯源信息显示对象B依赖于对象A,则增加对象B的版本号来避免循环,也就是说对象B的版本1依赖于对象A。
如图5所示,本发明方法的步骤(5)包括以下子步骤:
(5-1)查询模块接收用户提供的入侵对象,并判断在数据库中是否存在与该对象匹配的溯源信息,如果存在则进入步骤(5-2),否则过程结束;举例而言,如果用户提供的入侵对象是文件名,若查询模块根据文件名在数据库的溯源信息中查找到相应的文件对象,则说明匹配成功;
(5-2)对入侵对象作为输入进行追溯查询,并判断结果是否为空,如若追溯查询的结果为空,则过程结束,否则进入步骤(5-3);
(5-3)对追溯查询的结果进行传播查询,并判断结果是否为空,若传播查询的结果为空,则过程结束,否则将传播查询的结果作为输入,并返回步骤(5-2)。
如图6所示,本发明方法的步骤(5-2)包括以下子步骤:
(5-2-1)将输入加入溯源图中,并将该输入设置为起始点;
(5-2-2)判断是否可在数据库中查找到起始点所依赖的对象,如果可查找到则进入步骤(5-2-3)。否则将图中新增加的根节点作为查询结果,过程结束;
(5-2-3)将该起始点所依赖的对象作为起始点的父节点加入溯源图中,并将该对象设置为起始点,并返回步骤(5-2-2)。
如图7所示,本发明方法的步骤(5-3)包括以下子步骤:
(5-3-1)将输入加入溯源图中,并将该输入设置为起始点;
(5-3-2)判断是否可在数据库中查找到依赖该起始点的对象,如果可查找到则进入步骤(5-3-3)。否则将图中新增加的叶子节点作为查询结果,过程结束;
(5-3-3)将依赖该起始点的对象作为起始点的子节点加入溯源图中,并将该对象设置为起始点,并返回步骤(5-3-2)。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种分析入侵行为的溯源系统,其特征在于,
包括前端目标系统和后端存储系统,二者通过私有网络互联;
前端目标系统包括溯源信息收集模块和数据发送模块;
后端存储系统包括数据接收模块、溯源信息存储模块、查询模块和过滤模块;
溯源信息收集模块用于拦截操作系统调用,并根据操作系统调用产生对应的溯源信息,其中溯源信息包括文件对象、进程对象和网络连接对象,以及三种对象之间的依赖关系;
数据发送模块用于将溯源信息进行数字签名并发送到后端存储系统的数据接收模块;
数据接收模块用于对前端目标系统进行验证,并在验证通过后将溯源信息转发给溯源信息存储模块,否则丢弃该溯源信息;
溯源信息存储模块用于将溯源信息以文件的形式存放在文件系统上,同时存放到多个数据库中;
查询模块用于接收用户提供的入侵对象,在数据库的溯源信息中查询该入侵对象,并将查询结果发送给过滤模块;
过滤模块用于根据默认规则对查询结果进行过滤,并以溯源图的形式将过滤后的查询结果提交给用户。
2.根据权利要求1所述的溯源系统,其特征在于,
文件系统是只能写入文件,不能删除和修改文件的文件系统;
多个数据库包括名字数据库、依赖关系数据库和对象信息数据库;
名字数据库用于保存对象的名字;
依赖关系数据库用于保存对象间的依赖关系;
对象信息数据库用于保存元数据信息或者是进程的环境变量和参数。
3.根据权利要求1所述的溯源系统,其特征在于,
溯源信息收集模块包括拦截子模块、生成溯源信息子模块和检测子模块;
拦截子模块用于判断当前的操作系统调用是否需要监听,若是则进行拦截,将拦截的操作系统调用及参数发送到生成溯源信息子模块,否则继续监听其他操作系统调用;
生成溯源信息子模块用于将操作系统调用转换为溯源信息,并将转换后的溯源信息发送到检测子模块;
检测子模块用于判断转换后的溯源信息是重复的还是构成循环的,若该溯源信息重复,则丢弃,若该溯源信息构成循环,则通过CA算法消除循环。
4.一种分析入侵行为的溯源方法,是应用在一种分析入侵行为的溯源系统中,该系统包括前端目标系统和后端存储系统,二者通过私有网络互联,前端目标系统包括溯源信息收集模块和数据发送模块,后端存储系统包括数据接收模块、溯源信息存储模块、查询模块和过滤模块。其特征在于,该溯源方法包括以下步骤:
(1)溯源信息收集模块实时拦截操作系统调用,并将其转换为溯源信息;
(2)数据发送模块将溯源信息进行数字签名并发送到后端存储系统的数据接收模块;
(3)数据接收模块对前端目标系统进行验证,并在验证通过后将溯源信息转发给溯源信息存储模块,否则丢弃该溯源信息
(4)溯源信息存储模块将溯源信息以文件的形式存放在文件系统上,同时存放到多个数据库中;
(5)查询模块接收用户提供的入侵对象,在数据库的溯源信息中查询该入侵对象,并将查询结果发送给过滤模块;
(6)过滤模块根据默认规则对查询结果进行过滤,并以溯源图的形式将过滤后的查询结果提交给用户。
5.根据权利要求4所述的溯源方法,其特征在于,步骤(3)具体为,数据接收模块根据接收到的溯源信息计算其报文摘要,并用公钥解密加密后的报文摘要,将计算得到的报文摘要和解密得到的报文摘要进行比对,若一致则验证通过。
6.根据权利要求4所述的溯源方法,其特征在于,步骤(6)中的默认规则包括删除溯源图中的临时对象、系统库文件对象、配置文件对象。
7.根据权利要求4所述的溯源方法,其特征在于,
溯源信息收集模块包括拦截子模块、生成溯源信息子模块和检测子模块;
步骤(1)包括以下子步骤:
(1-1)拦截子模块判断当前的操作系统调用是否需要监听,若是则进行拦截,将拦截的操作系统调用及参数发送到生成溯源信息子模块,然后进入步骤(1-2),否则继续监听其他操作系统调用;
(1-2)生成溯源信息子模块将操作系统调用转换为溯源信息,并将转换后的溯源信息发送到检测子模块;
(1-3)检测子模块判断转换后的溯源信息是重复的还是构成循环的,若该溯源信息重复,则丢弃,若该溯源信息构成循环,则通过CA算法消除循环。
8.根据权利要求4所述的溯源方法,其特征在于,步骤(5)包括以下子步骤:
(5-1)查询模块接收用户提供的入侵对象,并判断在数据库中是否存在与该对象匹配的溯源信息,如果存在则进入步骤(5-2),否则过程结束;
(5-2)对入侵对象作为输入进行追溯查询,并判断结果是否为空,如若追溯查询的结果为空,则过程结束,否则进入步骤(5-3);
(5-3)对追溯查询的结果进行传播查询,并判断结果是否为空,若传播查询的结果为空,则过程结束,否则将传播查询的结果作为输入,并返回步骤(5-2)。
9.根据权利要求8所述的溯源方法,其特征在于,步骤(5-2)包括以下子步骤:
(5-2-1)将输入加入溯源图中,并将该输入设置为起始点;
(5-2-2)判断是否可在数据库中查找到起始点所依赖的对象,如果可查找到则进入步骤(5-2-3)。否则将图中新增加的根节点作为查询结果,过程结束;
(5-2-3)将该起始点所依赖的对象作为起始点的父节点加入溯源图中,并将该对象设置为起始点,并返回步骤(5-2-2)。
10.根据权利要求8所述的溯源方法,其特征在于,步骤(5-3)包括以下子步骤:
(5-3-1)将输入加入溯源图中,并将该输入设置为起始点;
(5-3-2)判断是否可在数据库中查找到依赖该起始点的对象,如果可查找到则进入步骤(5-3-3)。否则将图中新增加的叶子节点作为查询结果,过程结束;
(5-3-3)将依赖该起始点的对象作为起始点的子节点加入溯源图中,并将该对象设置为起始点,并返回步骤(5-3-2)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310090041.XA CN103226675B (zh) | 2013-03-20 | 2013-03-20 | 一种分析入侵行为的溯源系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310090041.XA CN103226675B (zh) | 2013-03-20 | 2013-03-20 | 一种分析入侵行为的溯源系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103226675A true CN103226675A (zh) | 2013-07-31 |
| CN103226675B CN103226675B (zh) | 2015-07-29 |
Family
ID=48837119
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310090041.XA Active CN103226675B (zh) | 2013-03-20 | 2013-03-20 | 一种分析入侵行为的溯源系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103226675B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105930740A (zh) * | 2016-04-15 | 2016-09-07 | 重庆鑫合信科技有限公司 | 软体文件被修改时的来源追溯方法、监测方法、还原方法及系统 |
| CN106027529A (zh) * | 2016-05-25 | 2016-10-12 | 华中科技大学 | 一种基于溯源信息的入侵检测系统及方法 |
| CN106302404A (zh) * | 2016-08-01 | 2017-01-04 | 华中科技大学 | 一种收集网络溯源信息的方法及系统 |
| CN107403091A (zh) * | 2017-07-06 | 2017-11-28 | 华中科技大学 | 一种结合溯源路径和溯源图的实时入侵检测系统 |
| CN107920067A (zh) * | 2017-11-10 | 2018-04-17 | 华中科技大学 | 一种主动对象存储系统上的入侵检测方法 |
| CN108415922A (zh) * | 2017-09-30 | 2018-08-17 | 平安科技(深圳)有限公司 | 数据库修改方法及应用服务器 |
| US10425282B2 (en) | 2014-11-28 | 2019-09-24 | Hewlett Packard Enterprise Development Lp | Verifying a network configuration |
| CN112269316A (zh) * | 2020-10-28 | 2021-01-26 | 中国科学院信息工程研究所 | 一种基于图神经网络的高鲁棒性威胁狩猎系统与方法 |
| WO2021053422A1 (en) * | 2019-09-20 | 2021-03-25 | International Business Machines Corporation | Correspondence of external operations to containers and mutation events |
| CN113852641A (zh) * | 2021-09-30 | 2021-12-28 | 浙江创邻科技有限公司 | 一种基于图数据库的网络攻击溯源系统、方法及设备 |
| US11757717B2 (en) | 2014-11-28 | 2023-09-12 | Hewlett Packard Enterprise Development Lp | Verifying network elements |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030159069A1 (en) * | 2002-02-19 | 2003-08-21 | Byeong Cheol Choi | Network-based attack tracing system and method using distributed agent and manager system |
| CN101604361A (zh) * | 2008-06-11 | 2009-12-16 | 北京奇虎科技有限公司 | 一种恶意软件的检测方法及装置 |
| CN102045344A (zh) * | 2010-11-16 | 2011-05-04 | 北京邮电大学 | 一种基于路径信息弹性分片的跨域溯源方法及系统 |
-
2013
- 2013-03-20 CN CN201310090041.XA patent/CN103226675B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030159069A1 (en) * | 2002-02-19 | 2003-08-21 | Byeong Cheol Choi | Network-based attack tracing system and method using distributed agent and manager system |
| CN101604361A (zh) * | 2008-06-11 | 2009-12-16 | 北京奇虎科技有限公司 | 一种恶意软件的检测方法及装置 |
| CN102045344A (zh) * | 2010-11-16 | 2011-05-04 | 北京邮电大学 | 一种基于路径信息弹性分片的跨域溯源方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 王黎维 等: "一种优化关系型溯源信息存储的新方法", 《计算机学报》 * |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10425282B2 (en) | 2014-11-28 | 2019-09-24 | Hewlett Packard Enterprise Development Lp | Verifying a network configuration |
| US11757717B2 (en) | 2014-11-28 | 2023-09-12 | Hewlett Packard Enterprise Development Lp | Verifying network elements |
| CN105930740A (zh) * | 2016-04-15 | 2016-09-07 | 重庆鑫合信科技有限公司 | 软体文件被修改时的来源追溯方法、监测方法、还原方法及系统 |
| CN105930740B (zh) * | 2016-04-15 | 2018-10-16 | 重庆鑫合信科技有限公司 | 软体文件被修改时的来源追溯方法、监测方法、还原方法及系统 |
| CN106027529A (zh) * | 2016-05-25 | 2016-10-12 | 华中科技大学 | 一种基于溯源信息的入侵检测系统及方法 |
| CN106302404A (zh) * | 2016-08-01 | 2017-01-04 | 华中科技大学 | 一种收集网络溯源信息的方法及系统 |
| CN106302404B (zh) * | 2016-08-01 | 2019-06-18 | 华中科技大学 | 一种收集网络溯源信息的方法及系统 |
| CN107403091A (zh) * | 2017-07-06 | 2017-11-28 | 华中科技大学 | 一种结合溯源路径和溯源图的实时入侵检测系统 |
| CN108415922B (zh) * | 2017-09-30 | 2021-10-22 | 平安科技(深圳)有限公司 | 数据库修改方法及应用服务器 |
| CN108415922A (zh) * | 2017-09-30 | 2018-08-17 | 平安科技(深圳)有限公司 | 数据库修改方法及应用服务器 |
| CN107920067B (zh) * | 2017-11-10 | 2020-05-19 | 华中科技大学 | 一种主动对象存储系统上的入侵检测方法 |
| CN107920067A (zh) * | 2017-11-10 | 2018-04-17 | 华中科技大学 | 一种主动对象存储系统上的入侵检测方法 |
| WO2021053422A1 (en) * | 2019-09-20 | 2021-03-25 | International Business Machines Corporation | Correspondence of external operations to containers and mutation events |
| GB2602435A (en) * | 2019-09-20 | 2022-06-29 | Ibm | Correspondence of external operations to containers and mutation events |
| GB2602435B (en) * | 2019-09-20 | 2023-01-04 | Ibm | Correspondence of external operations to containers and mutation events |
| US11580199B2 (en) | 2019-09-20 | 2023-02-14 | International Business Machines Corporation | Correspondence of external operations to containers and mutation events |
| CN112269316A (zh) * | 2020-10-28 | 2021-01-26 | 中国科学院信息工程研究所 | 一种基于图神经网络的高鲁棒性威胁狩猎系统与方法 |
| CN113852641A (zh) * | 2021-09-30 | 2021-12-28 | 浙江创邻科技有限公司 | 一种基于图数据库的网络攻击溯源系统、方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103226675B (zh) | 2015-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103226675B (zh) | 一种分析入侵行为的溯源系统及方法 | |
| CN106411562B (zh) | 一种电力信息网络安全联动防御方法及系统 | |
| AU2010202627B2 (en) | Automated forensic document signatures | |
| CN113486351A (zh) | 一种民航空管网络安全检测预警平台 | |
| Xu et al. | Alert correlation through triggering events and common resources | |
| CN110213226B (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
| Sindhu et al. | Digital forensics and cyber crime datamining | |
| CN105553940A (zh) | 一种基于大数据处理平台的安全防护方法 | |
| CN107154939B (zh) | 一种数据追踪的方法及系统 | |
| CN112134877A (zh) | 网络威胁检测方法、装置、设备及存储介质 | |
| Singh et al. | An approach to understand the end user behavior through log analysis | |
| CN106027529A (zh) | 一种基于溯源信息的入侵检测系统及方法 | |
| CN103428196A (zh) | 一种基于url白名单的web应用入侵检测方法和装置 | |
| CN109347808B (zh) | 一种基于用户群行为活动的安全分析方法 | |
| CN114117432A (zh) | 一种基于数据溯源图的apt攻击链还原系统 | |
| Meng et al. | Adaptive non-critical alarm reduction using hash-based contextual signatures in intrusion detection | |
| CN113315666A (zh) | 一种面向信息网络安全的防御控制方法及系统 | |
| Suo et al. | Research on the application of honeypot technology in intrusion detection system | |
| Roschke et al. | Using vulnerability information and attack graphs for intrusion detection | |
| CN107835153B (zh) | 一种脆弱性态势数据融合方法 | |
| Rathod et al. | Database intrusion detection by transaction signature | |
| Muragijimana et al. | Digital crimes in cloud environment and the analysis via blockchain | |
| CN107018143A (zh) | 基于大数据分析的apt监测防御平台的监测防御系统 | |
| CN113343231A (zh) | 一种基于集中管控的威胁情报的数据采集系统 | |
| Zhong | The application of Apriori algorithm for network forensics analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |