CN107040552A - 网络攻击路径预测方法 - Google Patents
网络攻击路径预测方法 Download PDFInfo
- Publication number
- CN107040552A CN107040552A CN201710441468.8A CN201710441468A CN107040552A CN 107040552 A CN107040552 A CN 107040552A CN 201710441468 A CN201710441468 A CN 201710441468A CN 107040552 A CN107040552 A CN 107040552A
- Authority
- CN
- China
- Prior art keywords
- assets
- information
- network attack
- network
- networked asset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
本发明提供了一种网络攻击路径预测方法,因为采用主动式扫描和被动式扫描24小时全天实时检测网络资产信息,能够实时掌握资产的最新动态,根据最新的网络资产信息,识别每个资产连接情况,绘制资产连接信息和网络资产拓扑结构图,进而分析判断出所有网络攻击的可能路径,网络管理员根据预测出的所有可能网络攻击路径,提前做好网络系统、核心资产的防御。因此,通过本发明的网络攻击路径预测方法能够有效的防护网络攻击,保护企业核心数据不被入侵和窃取,同时能够降低人力维护成本。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种网络攻击路径预测方法。
背景技术
随着计算机信息技术的飞速发展,人们的日常工作学习越来越依赖网络。但最近网络安全事件频频爆出,已经严重影响到了整个社会和个人的信息安全。网络安全威胁的范围和内容不断扩大和演化,网络安全形势与挑战日益严峻复杂。在一个开放的网络环境中,大量信息在网上流动,全球平均每20秒就发生一起Internet计算机侵入事件。因此,为了保护网络安全,市面上出现了像防火墙、入侵防御系统等设备,但这些设备都是基于网络数据包中特有的参数进行规则匹配,如果在数据包中匹配上了规则库便进行告警和阻断,具有一定的滞后性,对即将发生和将要发生的攻击不能检测到,很难实现协助网络安全人员做好提前防护工作。比如:现有网络资产目前存在哪些风险,哪些资产会进行网络连接和数据交互,更不能做到攻击路径的提前预知(黑客会利用哪条路径进行攻击)来协助网络安全人员做好提前防护,攻击发生后攻击路径溯源这样全方位网络资产风险定位技术。
发明内容
本发明是为了解决上述问题而进行的,目的在于提供一种能够预知网络资产被攻击的路径,从而有效防护网络攻击,保护企业核心数据不被入侵和窃取,并且能够降低人力维护成本的网络攻击路径预测方法。
本发明提供了一种网络攻击路径预测方法,其特征在于,包括以下步骤:
步骤1,采用主动式扫描和被动式扫描捕获IP数据包发现网络资产,并存储入网络资产信息库,对网络资产信息进行24小时全天候实时检测,同时对网络资产信息库进行实时更新;
步骤2,根据网络资产信息库中的每个资产的信息,绘制资产连接信息和网络资产拓扑结构图;
步骤3,对资产连接信息和网络资产拓扑结构图进行分析,判断出所有网络攻击的可能路径。
进一步,在本发明提供的网络攻击路径预测方法中,还可以具有这样的特征:其中,所述步骤1中,在所述网络资产信息存储之前先对所述IP数据包进行拆分,提取与资产信息相关的数据字段。
进一步,在本发明提供的网络攻击路径预测方法中,还可以具有这样的特征:其中,步骤1中,网络资产包括IP、端口、协议信息、应用服务信息、系统类型、系统版本信息、域名、用途、指纹。
进一步,在本发明提供的网络攻击路径预测方法中,还可以具有这样的特征:其中,在采用主动式扫描和被动式扫描捕获IP数据包时,如果发现有病毒入侵,则根据资产连接信息和网络资产拓扑结构图预测出病毒即将入侵的路径,并对已经发生的攻击路径进行溯源。
进一步,在本发明提供的网络攻击路径预测方法中,还可以具有这样的特征:其中,还可以通过对资产连接信息和网络资产拓扑结构图分析得出各资产之间的连接关系是否合理。
本发明的优点如下:
根据本发明所涉及的网络攻击路径预测方法,因为采用主动式扫描和被动式扫描24小时全天实时检测网络资产信息,能够实时掌握资产的最新动态,根据最新的网络资产信息,识别每个资产连接情况,绘制资产连接信息和网络资产拓扑结构图,进而分析判断出所有网络攻击的可能路径,网络管理员根据预测出的所有可能网络攻击路径,提前做好网络系统、核心资产的防御。因此,通过本发明的网络攻击路径预测方法能够有效的防护网络攻击,保护企业核心数据不被入侵和窃取,同时能够降低人力维护成本。
附图说明
图1是本发明中网络攻击路径预测方法的流程图。
图2是本发明实施例中网络攻击路径预测的简易原理图。
图2中,11为攻击电脑,12为路由器,13为检测设备、14为资产E、15为第一交换机,16为第二交换机,17为资产A,18为资产B,19为资产C,20为资产D,实线箭头表示检测设备采集信息,虚线箭头表示网络攻击时的可能路径。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,以下实施例结合附图对本发明的网络攻击路径预测方法作具体阐述。
如图1所示,本发明的网络攻击路径预测方法,包括以下步骤:
步骤S1,采用主动式扫描和被动式扫描捕获IP数据包发现网络资产,并存储入网络资产信息库,对网络资产信息进行24小时全天候实时检测,同时对网络资产信息库进行实时更新。
本实施例中,在网络资产信息存储之前先对IP数据包进行拆分,提取与资产信息相关的数据字段。网络资产包括IP、端口、协议信息、应用服务信息、系统类型、系统版本信息、域名、用途、指纹。在本实施例中,网络资产为计算机中包含的一些信息,资产A17、资产B18、资产C19、资产D20、资产E14分别为一台计算机中包含的信息。
检测设备13相当于一个网络流量捕获器,在捕获的网络流量中,通过IP数据报文来提取里面的字段信息,例如,源目标IP、端口、协议信息、应用服务信息、系统版本信息等。如图2所示,检测设备13采用主动式扫描和被动式扫描从路由器12、第一交换机15、第二交换机16捕获IP数据包,从而发现资产A17、资产B18、资产C19、资产D20、资产E14的信息。
步骤S2,根据网络资产信息库中的每个资产的信息,绘制资产连接信息和网络资产拓扑结构图。通过对网络资产信息库中存储的资产信息进行分析,得出哪些资产之间会有数据交互,哪些资产能够连接互联网,根据这些交互关系,绘制出资产连接信息和网络资产拓扑结构图。
步骤S3,对资产连接信息和网络资产拓扑结构图进行分析,判断出所有网络攻击的可能路径。还可以通过对资产连接信息和网络资产拓扑结构图分析得出各资产之间的连接关系是否合理。工作人员通过对资产连接信息和网络资产拓扑结构图的分析可以知道目前企业的各资产之间的连接关系是否合理,如果不合理则重新进行调整,判断哪些资产需要重点防护,对需要重点防护的资产加强防护措施。
在采用主动式扫描和被动式扫描捕获IP数据包时,如果发现有病毒入侵,则根据资产连接信息和网络资产拓扑结构图预测出病毒即将入侵的路径,并对已经发生的攻击路径进行溯源。工作人员根据预测出的病毒即将入侵的路径,及时对该路径做出相应的防御措施,切断该路径中与核心资产连接的设备,从而阻止病毒入侵到核心资产。然后对已经发生的攻击进行检查,找到相关漏洞,然后对该漏洞进行修补加强,或者,改变不同网络设备之间的连接关系,并加强重要设备的防御措施,避免下次黑客再次从该路径入侵。
如图2所示,资产A17、资产B18均连接第一交换机15,第一交换机连接路由器12,资产E14连接路由器12,因此,资产A17、资产B18、资产E14间能够通过TCP连接,进行数据交互,同时它们也都可以直接连接互联网。资产C19、资产D20属于核心资产,存储着重要的数据,仅连接第二交换机16,资产B18也与第二交换机17连接,因此,资产C19、资产D20仅能与资产B18通过TCP连接,进行数据交互,并且资产C19、资产D20也不能连接互联网。通过本发明的网络攻击路径预测方法可以得出上述信息,并能够分析得出:黑客如果要入侵和窃取资产C19、资产D20,就必须要先通过资产E14或资产A17,然后以资产B18为跳板,到达资产C19、资产D20。预测出该可能的攻击途径后,只需提前对该攻击路径做好防护措施,比如加强对资产B18的保护,或者在监测到企业网络被攻击时,及时切断资产B18与资产C19、资产D20的TCP连接,使其不能进行数据交换等防护措施,即可保护企业核心数据不被入侵和窃取,避免遭受损失。
本发明充分发挥了资产关联技术并进行资产集中式管理和时实监控,掌握资产最新动态。通过对企业资产、资产状态的执行情况进行实时、动态跟踪和分析,可提前预测可供黑客攻击路径的资产,并对该资产来做重点加固和防御,降低了企业平时安全维护一半以上的人力成本。
以上所述的实施例仅用于说明本发明的技术思想及特点,其目的在于使本领域内的技术人员能够了解本发明的内容并据以实施,不能仅以本实施例来限定本发明的专利范围,即凡依本发明所揭示的精神所作的同等变化或修饰,仍落在本发明的专利范围内。
Claims (5)
1.一种网络攻击路径预测方法,其特征在于,包括以下步骤:
步骤1,采用主动式扫描和被动式扫描捕获IP数据包发现网络资产,并存储入网络资产信息库,对网络资产信息进行24小时全天候实时检测,同时对网络资产信息库进行实时更新;
步骤2,根据网络资产信息库中的每个资产的信息,绘制资产连接信息和网络资产拓扑结构图;
步骤3,对资产连接信息和网络资产拓扑结构图进行分析,判断出所有网络攻击的可能路径。
2.根据权利要求1所述的网络攻击路径预测方法,其特征在于:所述步骤1中,在所述网络资产信息存储之前先对所述IP数据包进行拆分,提取与资产信息相关的数据字段。
3.根据权利要求1所述的网络攻击路径预测方法,其特征在于:所述步骤1中,所述网络资产包括IP、端口、协议信息、应用服务信息、系统类型、系统版本信息、域名、用途、指纹。
4.根据权利要求1所述的网络攻击路径预测方法,其特征在于:在采用主动式扫描和被动式扫描捕获IP数据包时,如果发现有病毒入侵,则根据资产连接信息和网络资产拓扑结构图预测出病毒即将入侵的路径,并对已经发生的攻击路径进行溯源。
5.根据权利要求1所述的网络攻击路径预测方法,其特征在于:还可以通过对资产连接信息和网络资产拓扑结构图分析得出各资产之间的连接关系是否合理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710441468.8A CN107040552A (zh) | 2017-06-13 | 2017-06-13 | 网络攻击路径预测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710441468.8A CN107040552A (zh) | 2017-06-13 | 2017-06-13 | 网络攻击路径预测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107040552A true CN107040552A (zh) | 2017-08-11 |
Family
ID=59541587
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710441468.8A Pending CN107040552A (zh) | 2017-06-13 | 2017-06-13 | 网络攻击路径预测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107040552A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107979597A (zh) * | 2017-11-24 | 2018-05-01 | 上海携程商务有限公司 | 分布式扫描的内网资产管理方法、系统、设备及存储介质 |
| CN108055246A (zh) * | 2017-11-29 | 2018-05-18 | 国家计算机网络与信息安全管理中心 | 一种非正常网络空间资产自动加入黑名单的控制系统 |
| CN108429728A (zh) * | 2017-09-05 | 2018-08-21 | 河南理工大学 | 一种基于时间增益补偿的攻击路径预测方法 |
| CN111030975A (zh) * | 2019-04-26 | 2020-04-17 | 北京安天网络安全技术有限公司 | 一种基于载荷分析的威胁预测方法、装置及存储设备 |
| CN111028085A (zh) * | 2019-03-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种基于主被动结合的网络靶场资产信息采集方法及装置 |
| CN111030834A (zh) * | 2019-04-26 | 2020-04-17 | 北京安天网络安全技术有限公司 | 一种基于载荷传播行为的威胁预测方法、装置及存储设备 |
| CN113039755A (zh) * | 2018-12-26 | 2021-06-25 | 西门子股份公司 | 用于工业控制系统的监测方法、装置、系统和计算机可读介质 |
| CN114600423A (zh) * | 2019-10-29 | 2022-06-07 | 日立安斯泰莫株式会社 | 分析装置及分析方法 |
| CN114615066A (zh) * | 2022-03-17 | 2022-06-10 | 浙江网商银行股份有限公司 | 目标路径确定方法以及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282332A (zh) * | 2008-05-22 | 2008-10-08 | 上海交通大学 | 面向网络安全告警关联的攻击图生成系统 |
| CN102098306A (zh) * | 2011-01-27 | 2011-06-15 | 北京信安天元科技有限公司 | 基于关联矩阵的网络攻击路径分析方法 |
| CN105939306A (zh) * | 2015-07-08 | 2016-09-14 | 北京匡恩网络科技有限责任公司 | 一种基于连通性的网络结构安全性分析方法 |
| EP3079337A1 (en) * | 2015-04-09 | 2016-10-12 | Accenture Global Services Limited | Event correlation across heterogeneous operations |
-
2017
- 2017-06-13 CN CN201710441468.8A patent/CN107040552A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282332A (zh) * | 2008-05-22 | 2008-10-08 | 上海交通大学 | 面向网络安全告警关联的攻击图生成系统 |
| CN102098306A (zh) * | 2011-01-27 | 2011-06-15 | 北京信安天元科技有限公司 | 基于关联矩阵的网络攻击路径分析方法 |
| EP3079337A1 (en) * | 2015-04-09 | 2016-10-12 | Accenture Global Services Limited | Event correlation across heterogeneous operations |
| CN105939306A (zh) * | 2015-07-08 | 2016-09-14 | 北京匡恩网络科技有限责任公司 | 一种基于连通性的网络结构安全性分析方法 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108429728A (zh) * | 2017-09-05 | 2018-08-21 | 河南理工大学 | 一种基于时间增益补偿的攻击路径预测方法 |
| CN108429728B (zh) * | 2017-09-05 | 2020-11-06 | 河南理工大学 | 一种基于时间增益补偿的攻击路径预测方法 |
| CN107979597A (zh) * | 2017-11-24 | 2018-05-01 | 上海携程商务有限公司 | 分布式扫描的内网资产管理方法、系统、设备及存储介质 |
| CN108055246B (zh) * | 2017-11-29 | 2020-11-24 | 国家计算机网络与信息安全管理中心 | 一种非正常网络空间资产自动加入黑名单的控制系统 |
| CN108055246A (zh) * | 2017-11-29 | 2018-05-18 | 国家计算机网络与信息安全管理中心 | 一种非正常网络空间资产自动加入黑名单的控制系统 |
| CN113039755A (zh) * | 2018-12-26 | 2021-06-25 | 西门子股份公司 | 用于工业控制系统的监测方法、装置、系统和计算机可读介质 |
| CN111028085A (zh) * | 2019-03-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种基于主被动结合的网络靶场资产信息采集方法及装置 |
| CN111030975A (zh) * | 2019-04-26 | 2020-04-17 | 北京安天网络安全技术有限公司 | 一种基于载荷分析的威胁预测方法、装置及存储设备 |
| CN111030834A (zh) * | 2019-04-26 | 2020-04-17 | 北京安天网络安全技术有限公司 | 一种基于载荷传播行为的威胁预测方法、装置及存储设备 |
| CN111030975B (zh) * | 2019-04-26 | 2023-02-28 | 北京安天网络安全技术有限公司 | 一种基于载荷分析的威胁预测方法、装置及存储设备 |
| CN111030834B (zh) * | 2019-04-26 | 2023-09-05 | 北京安天网络安全技术有限公司 | 一种基于载荷传播行为的威胁预测方法、装置及存储设备 |
| CN114600423A (zh) * | 2019-10-29 | 2022-06-07 | 日立安斯泰莫株式会社 | 分析装置及分析方法 |
| CN114600423B (zh) * | 2019-10-29 | 2024-04-30 | 日立安斯泰莫株式会社 | 分析装置及分析方法 |
| CN114615066A (zh) * | 2022-03-17 | 2022-06-10 | 浙江网商银行股份有限公司 | 目标路径确定方法以及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107040552A (zh) | 网络攻击路径预测方法 | |
| CN106790023B (zh) | 网络安全联合防御方法和装置 | |
| US8209759B2 (en) | Security incident manager | |
| Pilli et al. | Network forensic frameworks: Survey and research challenges | |
| JP5248612B2 (ja) | 侵入検知の方法およびシステム | |
| US20100268818A1 (en) | Systems and methods for forensic analysis of network behavior | |
| KR20120072266A (ko) | 전역 네트워크 보안상황 제어 장치 및 방법 | |
| CN107347047A (zh) | 攻击防护方法和装置 | |
| CN106713358A (zh) | 一种攻击性检测方法及装置 | |
| CN108696531A (zh) | 一种安全策略自适应分析与大数据可视化平台系统 | |
| CN106302450A (zh) | 一种基于ddos攻击中恶意地址的检测方法及装置 | |
| CN113364799A (zh) | 一种网络威胁行为的处理方法和系统 | |
| CN109787964A (zh) | 进程行为溯源装置和方法 | |
| KR20140044970A (ko) | 접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치 | |
| JP2007122749A (ja) | 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 | |
| Kumar et al. | Intrusion detection system-false positive alert reduction technique | |
| TWI744545B (zh) | 分散式網路流分析惡意行為偵測系統與其方法 | |
| CN114448718B (zh) | 一种并行检测和修复的网络安全保障方法 | |
| Dhangar et al. | Analysis of proposed intrusion detection system | |
| Ahmed et al. | Collecting and analyzing digital proof material to detect cybercrimes | |
| Kohli | Developing cyber security asset management framework for UK rail | |
| CN114978667A (zh) | 一种基于图神经网络的SDN网络DDoS攻击检测方法 | |
| Dadkhah et al. | Alert correlation through a multi components architecture | |
| WO2010071625A1 (en) | Systems and methods for forensic analysis of network behavior | |
| Patil et al. | Network intrusion detection and prevention techniques for DoS attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170811 |
|
| RJ01 | Rejection of invention patent application after publication |