CN106549929A - 一种apt攻击源头的定位方法及系统 - Google Patents

一种apt攻击源头的定位方法及系统 Download PDF

Info

Publication number
CN106549929A
CN106549929A CN201610556224.XA CN201610556224A CN106549929A CN 106549929 A CN106549929 A CN 106549929A CN 201610556224 A CN201610556224 A CN 201610556224A CN 106549929 A CN106549929 A CN 106549929A
Authority
CN
China
Prior art keywords
data
node
flows
abnormal
network node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610556224.XA
Other languages
English (en)
Other versions
CN106549929B (zh
Inventor
白淳升
李柏松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Electronic Equipment Co Ltd
Original Assignee
Beijing Antiy Electronic Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Electronic Equipment Co Ltd filed Critical Beijing Antiy Electronic Equipment Co Ltd
Priority to CN201610556224.XA priority Critical patent/CN106549929B/zh
Publication of CN106549929A publication Critical patent/CN106549929A/zh
Application granted granted Critical
Publication of CN106549929B publication Critical patent/CN106549929B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种APT攻击源头的定位方法及系统,包括:获取各网络节点的流量数据;提取所述流量数据中所有非本地IP地址并按网络节点分别存储所述流量数据;分析所述流量数据并判断是否存在异常网络连接;若存在异常网络连接,则从总出口节点开始依次向下比对,定位起始异常网络节点;监控所述起始异常网络节点并追溯攻击源头。本发明所述技术方案能够对通过控制网络设备来转发通信数据的隐匿式攻击进行发现和溯源。

Description

一种APT攻击源头的定位方法及系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种APT攻击源头的定位方法及系统。
背景技术
随着互联网技术的飞速发展,应用其技术的领域越来越广泛,网络攻击事件也就频频出现,近年来出现了一种新型的网络威胁,即APT攻击,此类攻击会采用多种攻击手段隐藏自身,如:采用加密通讯、暗网网络、网络设备端劫持等技术,尤其是基于网络设备劫持的攻击,攻击者的C&C地址并不会出现在恶意代码样本和全部网络流量中,使得传统的利用流量和样本分析来发现攻击源的方式几乎不起作用。
此类攻击是最新发现的一种攻击技术,目前对此类APT攻击事件尚没有较好的溯源方法。
发明内容
本发明所述的技术方案通过获取各网络节点的流量数据,并对流量数据进行分析比对,判断是否存在异常网络连接,并最终定位起始异常网络节点,进而定位攻击源头,从而解决现有技术无法有效定位攻击源头的问题。
本发明采用如下方法来实现:一种APT攻击源头的定位方法,包括:
获取各网络节点的流量数据;
提取所述流量数据中所有非本地IP地址并按网络节点分别存储所述流量数据;
分析所述流量数据并判断是否存在异常网络连接;
若存在异常网络连接,则从总出口节点开始依次向下比对,定位起始异常网络节点;
监控所述起始异常网络节点并追溯攻击源头。
进一步地,所述分析所述流量数据并判断是否存在异常网络连接,具体为:
将总出口节点的流量数据与所有叶子节点的流量数据进行比对,并判断是否存在异常网络连接。
进一步地,所述将总出口节点的流量数据与所有叶子节点的流量数据进行比对,并判断是否存在异常网络连接,具体为:
将总出口节点的流量数据按照非本地IP地址进行去重处理后形成集合A;
将各叶子节点的流量数据按照非本地IP地址进行去重处理,并将所有叶子节点的流量数据汇总后形成集合B;
判断集合A中是否存在不在集合B中的异常数据,若存在,则存在异常网络连接,否则不存在异常网络连接。
进一步地,所述若存在异常网络连接,则从总出口节点开始依次向下比对,定位起始异常网路节点,具体为:
获取所述异常数据;
查询一级节点中是否存在所述异常数据,若不存在,则所述总出口节点为起始异常网络节点,否则继续向下级节点重复查询操作直到查询不到所述异常数据,则当前节点的上级节点为起始异常网络节点。
进一步地,所述监控所述起始异常网络节点并追溯攻击源头,具体为:
监控所述起始异常网络节点,并分析所述起始异常网络节点的入口与出口流量,确定异常数据所对应的非本地IP;
监控疑似被感染终端设备,取证并分析定位攻击源头。
本发明可以采用如下系统来实现:一种APT攻击源头的定位系统,包括:
数据捕获单元,用于获取各网络节点的流量数据;
数据存储单元,用于提取所述流量数据中所有非本地IP地址并按网络节点分别存储所述流量数据;
数据分析单元,用于分析所述流量数据并判断是否存在异常网络连接;
若存在异常网络连接,则从总出口节点开始依次向下比对,定位起始异常网络节点;监控所述起始异常网络节点并追溯攻击源头。
进一步地,所述分析所述流量数据并判断是否存在异常网络连接,具体为:
将总出口节点的流量数据与所有叶子节点的流量数据进行比对,并判断是否存在异常网络连接。
进一步地,所述将总出口节点的流量数据与所有叶子节点的流量数据进行比对,并判断是否存在异常网络连接,具体为:
将总出口节点的流量数据按照非本地IP地址进行去重处理后形成集合A;
将各叶子节点的流量数据按照非本地IP地址进行去重处理后,将所有叶子节点的流量数据汇总后形成集合B;
判断集合A中是否存在不在集合B中的异常数据,若存在,则存在异常网络连接,否则不存在异常网络连接。
进一步地,所述若存在异常网络连接,则从总出口节点开始依次向下比对,定位起始异常网路节点,具体为:
获取所述异常数据;
查询一级节点中是否存在所述异常数据,若不存在,则所述总出口节点为起始异常网络节点,否则继续向下级节点重复查询操作直到查询不到所述异常数据,则当前节点的上级节点为起始异常网络节点。
进一步地,所述监控所述起始异常网络节点并追溯攻击源头,具体为:
监控所述起始异常网络节点,并分析所述起始异常网络节点的入口与出口流量,确定异常数据所对应的非本地IP;
监控疑似被感染终端设备,取证并分析定位攻击源头。
综上,本发明给出一种APT攻击源头的定位方法及系统,通过获取各网络节点的流量数据,并基于非本地IP地址为标识存储各网络节点的流量数据,对各网络节点的流量数据进行统计分析,判断是否存在异常网络连接,若存在,则进一步定位起始异常网络节点,并基于该节点分析定位问题设备,进而监控所述起始异常网络节点和问题设备,最终定位真正的攻击源头。
有益效果为:本发明所述技术方案能够通过抓取各网络节点的流量数据,进而定位起始异常网络节点,从而经过监控和取证分析定位攻击源头。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种APT攻击源头的定位方法实施例流程图;
图2为本发明提供的一种APT攻击源头的定位系统实施例结构图;
图3为本发明中所提到的网络节点拓扑结构示意图。
具体实施方式
本发明给出了一种APT攻击源头的定位方法及系统实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种APT攻击源头的定位方法实施例,如图1所示,包括:
S101获取各网络节点的流量数据;其中,可以通过各网络节点提供的端口镜像功能,获取各网络节点的流量数据;
S102提取所述流量数据中所有非本地IP地址并按网络节点分别存储所述流量数据;其中,可以配置多块网卡,每一个网络节点的流量数据单独存储在一块网卡上,便于后期分别读取和分析;其中,所述非本地IP地址是与网络节点进行通讯的对方IP地址;可以通过网卡序号与各网络节点建立一一对应;
S103分析所述流量数据并判断是否存在异常网络连接;
S104若存在异常网络连接,则从总出口节点开始依次向下比对,定位起始异常网络节点;
S105监控所述起始异常网络节点并追溯攻击源头。
优选地,所述分析所述流量数据并判断是否存在异常网络连接,具体为:
将总出口节点的流量数据与所有叶子节点的流量数据进行比对,并判断是否存在异常网络连接。
优选地,所述将总出口节点的流量数据与所有叶子节点的流量数据进行比对,并判断是否存在异常网络连接,具体为:
将总出口节点的流量数据按照非本地IP地址进行去重处理后形成集合A;
将各叶子节点的流量数据按照非本地IP地址进行去重处理,并将所有叶子节点的流量数据汇总后形成集合B;
判断集合A中是否存在不在集合B中的异常数据,若存在,则存在异常网络连接,否则不存在异常网络连接。
优选地,所述若存在异常网络连接,则从总出口节点开始依次向下比对,定位起始异常网路节点,具体为:
获取所述异常数据;
查询一级节点中是否存在所述异常数据,若不存在,则所述总出口节点为起始异常网络节点,否则继续向下级节点重复查询操作直到查询不到所述异常数据,则当前节点的上级节点为起始异常网络节点。
例如:总出口节点中有集合B之外的异常数据,并通过比对发现,一级节点、二级节点均存在异常数据,但是三级节点中不存在异常数据,则可以判定二级节点中存在起始异常网络节点。
上述方法实施例中,还包括:对所述起始异常网络节点进行持续监控,判断所述异常数据出现的次数是否超过设定阈值,若是,则判断该网络节点为起始异常网络节点。
优选地,所述监控所述起始异常网络节点并追溯攻击源头,具体为:
监控所述起始异常网络节点,并分析所述起始异常网络节点的入口与出口流量,确定异常数据所对应的非本地IP;
监控疑似被感染终端设备,取证并分析定位攻击源头。
本发明还提供了一种APT攻击源头的定位系统实施例,如图2所示,包括:
数据捕获单元201,用于获取各网络节点的流量数据;
数据存储单元202,用于提取所述流量数据中所有非本地IP地址并按网络节点分别存储所述流量数据;
数据分析单元203,用于分析所述流量数据并判断是否存在异常网络连接;
若存在异常网络连接,则从总出口节点开始依次向下比对,定位起始异常网络节点;监控所述起始异常网络节点并追溯攻击源头。
优选地,所述分析所述流量数据并判断是否存在异常网络连接,具体为:
将总出口节点的流量数据与所有叶子节点的流量数据进行比对,并判断是否存在异常网络连接。
优选地,所述将总出口节点的流量数据与所有叶子节点的流量数据进行比对,并判断是否存在异常网络连接,具体为:
将总出口节点的流量数据按照非本地IP地址进行去重处理后形成集合A;
将各叶子节点的流量数据按照非本地IP地址进行去重处理后,将所有叶子节点的流量数据汇总后形成集合B;
判断集合A中是否存在不在集合B中的异常数据,若存在,则存在异常网络连接,否则不存在异常网络连接。
优选地,所述若存在异常网络连接,则从总出口节点开始依次向下比对,定位起始异常网路节点,具体为:
获取所述异常数据;
查询一级节点中是否存在所述异常数据,若不存在,则所述总出口节点为起始异常网络节点,否则继续向下级节点重复查询操作直到查询不到所述异常数据,则当前节点的上级节点为起始异常网络节点。
优选地,所述监控所述起始异常网络节点并追溯攻击源头,具体为:
监控所述起始异常网络节点,并分析所述起始异常网络节点的入口与出口流量,确定异常数据所对应的非本地IP;
监控疑似被感染终端设备,取证并分析定位攻击源头。
其中,本发明中所提到的各网络节点拓扑结构包括但不限于:总出口节点、一级节点、二级节点、三级节点或者叶子节点,如图3所示。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
如上所述,上述实施例给出了一种APT攻击源头的定位方法及系统实施例,通过获取网络拓扑部署中的各网络节点的流量数据,并提取流量数据中涉及的非本地IP地址,并按照各网络节点分别存储流量数据,对各流量数据进行分析比对后确定是否存在异常网络连接;若存在异常网络连接,则进一步从总出口节点逐步向下对比直到定位到起始异常网络节点。并进一步监控起始异常网络节点和相关疑似被感染终端设备,进而定位攻击源头。
综上,上述实施例解决了现有技术对于APT攻击事件没有有效的溯源方法的问题,通过对各级网络节点的流量数据进行比对,最终定位起始异常网络节点,进而通过持续监控起始异常网络节点和相关设备,并进行取证分析,最终能够定位隐藏C&C的APT攻击源头。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。

Claims (10)

1.一种APT攻击源头的定位方法,其特征在于,包括:
获取各网络节点的流量数据;
提取所述流量数据中所有非本地IP地址并按网络节点分别存储所述流量数据;
分析所述流量数据并判断是否存在异常网络连接;
若存在异常网络连接,则从总出口节点开始依次向下比对,定位起始异常网络节点;
监控所述起始异常网络节点并追溯攻击源头。
2.如权利要求1所述的方法,其特征在于,所述分析所述流量数据并判断是否存在异常网络连接,具体为:
将总出口节点的流量数据与所有叶子节点的流量数据进行比对,并判断是否存在异常网络连接。
3.如权利要求2所述的方法,其特征在于,所述将总出口节点的流量数据与所有叶子节点的流量数据进行比对,并判断是否存在异常网络连接,具体为:
将总出口节点的流量数据按照非本地IP地址进行去重处理后形成集合A;
将各叶子节点的流量数据按照非本地IP地址进行去重处理,并将所有叶子节点的流量数据汇总后形成集合B;
判断集合A中是否存在不在集合B中的异常数据,若存在,则存在异常网络连接,否则不存在异常网络连接。
4.如权利要求3所述的方法,其特征在于,所述若存在异常网络连接,则从总出口节点开始依次向下比对,定位起始异常网路节点,具体为:
获取所述异常数据;
查询一级节点中是否存在所述异常数据,若不存在,则所述总出口节点为起始异常网络节点,否则继续向下级节点重复查询操作直到查询不到所述异常数据,则当前节点的上级节点为起始异常网络节点。
5.如权利要求4所述的方法,其特征在于,所述监控所述起始异常网络节点并追溯攻击源头,具体为:
监控所述起始异常网络节点,并分析所述起始异常网络节点的入口与出口流量,确定异常数据所对应的非本地IP;
监控疑似被感染终端设备,取证并分析定位攻击源头。
6.一种APT攻击源头的定位系统,其特征在于,包括:
数据捕获单元,用于获取各网络节点的流量数据;
数据存储单元,用于提取所述流量数据中所有非本地IP地址并按网络节点分别存储所述流量数据;
数据分析单元,用于分析所述流量数据并判断是否存在异常网络连接;
若存在异常网络连接,则从总出口节点开始依次向下比对,定位起始异常网络节点;监控所述起始异常网络节点并追溯攻击源头。
7.如权利要求6所述的系统,其特征在于,所述分析所述流量数据并判断是否存在异常网络连接,具体为:
将总出口节点的流量数据与所有叶子节点的流量数据进行比对,并判断是否存在异常网络连接。
8.如权利要求7所述的系统,其特征在于,所述将总出口节点的流量数据与所有叶子节点的流量数据进行比对,并判断是否存在异常网络连接,具体为:
将总出口节点的流量数据按照非本地IP地址进行去重处理后形成集合A;
将各叶子节点的流量数据按照非本地IP地址进行去重处理后,将所有叶子节点的流量数据汇总后形成集合B;
判断集合A中是否存在不在集合B中的异常数据,若存在,则存在异常网络连接,否则不存在异常网络连接。
9.如权利要求8所述的系统,其特征在于,所述若存在异常网络连接,则从总出口节点开始依次向下比对,定位起始异常网路节点,具体为:
获取所述异常数据;
查询一级节点中是否存在所述异常数据,若不存在,则所述总出口节点为起始异常网络节点,否则继续向下级节点重复查询操作直到查询不到所述异常数据,则当前节点的上级节点为起始异常网络节点。
10.如权利要求9所述的系统,其特征在于,所述监控所述起始异常网络节点并追溯攻击源头,具体为:
监控所述起始异常网络节点,并分析所述起始异常网络节点的入口与出口流量,确定异常数据所对应的非本地IP;
监控疑似被感染终端设备,取证并分析定位攻击源头。
CN201610556224.XA 2016-07-15 2016-07-15 一种apt攻击源头的定位方法及系统 Active CN106549929B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610556224.XA CN106549929B (zh) 2016-07-15 2016-07-15 一种apt攻击源头的定位方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610556224.XA CN106549929B (zh) 2016-07-15 2016-07-15 一种apt攻击源头的定位方法及系统

Publications (2)

Publication Number Publication Date
CN106549929A true CN106549929A (zh) 2017-03-29
CN106549929B CN106549929B (zh) 2019-11-05

Family

ID=58367801

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610556224.XA Active CN106549929B (zh) 2016-07-15 2016-07-15 一种apt攻击源头的定位方法及系统

Country Status (1)

Country Link
CN (1) CN106549929B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110300085A (zh) * 2018-03-22 2019-10-01 北京京东尚科信息技术有限公司 网络攻击的取证方法、装置、系统、统计集群和计算集群

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102497362A (zh) * 2011-12-07 2012-06-13 北京润通丰华科技有限公司 异常网络流量的攻击源追踪方法及装置
CN102801738A (zh) * 2012-08-30 2012-11-28 中国人民解放军国防科学技术大学 基于概要矩阵的分布式拒绝服务攻击检测方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102497362A (zh) * 2011-12-07 2012-06-13 北京润通丰华科技有限公司 异常网络流量的攻击源追踪方法及装置
CN102801738A (zh) * 2012-08-30 2012-11-28 中国人民解放军国防科学技术大学 基于概要矩阵的分布式拒绝服务攻击检测方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王丽娜,余荣威,付楠,鞠瑞,徐鹏志: "基于大数据分析的APT防御方法", 《信息安全研究》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110300085A (zh) * 2018-03-22 2019-10-01 北京京东尚科信息技术有限公司 网络攻击的取证方法、装置、系统、统计集群和计算集群
CN110300085B (zh) * 2018-03-22 2022-08-12 北京京东尚科信息技术有限公司 网络攻击的取证方法、装置、系统、统计集群和计算集群

Also Published As

Publication number Publication date
CN106549929B (zh) 2019-11-05

Similar Documents

Publication Publication Date Title
CN108616534B (zh) 一种基于区块链防护物联网设备DDoS攻击的方法及系统
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
CN105577679B (zh) 一种基于特征选择与密度峰值聚类的异常流量检测方法
Qin et al. DDoS attack detection using flow entropy and clustering technique
CN102271091B (zh) 一种网络异常事件分类方法
CN101924757B (zh) 追溯僵尸网络的方法和系统
KR100748246B1 (ko) 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법
CN109962903A (zh) 一种家庭网关安全监控方法、装置、系统和介质
CN104618377B (zh) 基于NetFlow的僵尸网络检测系统与检测方法
CN101442535B (zh) 一种基于关键词序列的应用识别与跟踪方法
CN101656634A (zh) 基于IPv6网络环境的入侵检测系统及方法
KR20150091775A (ko) 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템
CN109150920A (zh) 一种基于软件定义网络的攻击检测溯源方法
CN105260662A (zh) 一种未知应用漏洞威胁检测装置及方法
CN114143037B (zh) 一种基于进程行为分析的恶意加密信道检测方法
CN109218321A (zh) 一种网络入侵检测方法及系统
Brahmi et al. Towards a multiagent-based distributed intrusion detection system using data mining approaches
CN102611713A (zh) 基于熵运算的网络入侵检测方法和装置
CN105491018A (zh) 一种基于dpi技术的网络数据安全性分析系统及方法
CN110336808A (zh) 一种面向电力工控网络的攻击溯源方法及系统
CN110839042B (zh) 一种基于流量的自反馈恶意软件监测系统和方法
CN101316268B (zh) 一种异常流的检测方法及系统
Komárek et al. Passive NAT detection using HTTP access logs
CN110266603A (zh) 基于http协议的身份认证业务网络流量分析系统及方法
CN106549929A (zh) 一种apt攻击源头的定位方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 100190 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a

Applicant after: Beijing ahtech network Safe Technology Ltd

Address before: 100190 Beijing, Zhongguancun, South Street, No. four, No. 18 Zijin Digital Park, building 1, floor 5

Applicant before: Beijing Antiy Electronic Installation Co., Ltd.

GR01 Patent grant
GR01 Patent grant