CN108900514B - 基于同源分析的攻击信息追踪溯源方法及装置 - Google Patents
基于同源分析的攻击信息追踪溯源方法及装置 Download PDFInfo
- Publication number
- CN108900514B CN108900514B CN201810727242.9A CN201810727242A CN108900514B CN 108900514 B CN108900514 B CN 108900514B CN 201810727242 A CN201810727242 A CN 201810727242A CN 108900514 B CN108900514 B CN 108900514B
- Authority
- CN
- China
- Prior art keywords
- logs
- attack
- source
- similar
- addresses
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种基于同源分析的攻击信息追踪溯源方法及装置,该方法包括:获取目标时间段内表征攻击信息的多条攻击日志;根据多条攻击日志的特征信息从多条攻击日志中提取具有相似性的多条相似攻击日志;将多条相似攻击日志按照预设规则进行排序,获得排序结果;根据排序结果判断多条相似攻击日志之间是否具有关联性;在为是时,确定多条相似攻击日志中的多个源IP地址来自同一个攻击者,则将多个源IP地址发送给网络安全防护设备,以使网络安全防护设备基于多个源IP地址生成告警提示。由此,本方案中,能够快速地对同源攻击进行分析,再对同源攻击统一生成告警提示,以提示用户及时对攻击信息进行防护,进而提高了网络安全性。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种基于同源分析的攻击信息追踪溯源方法及装置。
背景技术
互联网信息化发达的当代,网络黑客攻击事件也越来越多,黑客攻击手段也在不断演化。通过对攻击流量和日志的分析经验发现,很多网络黑客在对攻击目标进行简单踩点的时候会使用自己真实IP,而当攻击进行前,又会切换到代理跳板机的IP地址,然后在被攻击服务器的WEB相关日志中留下了很多代理IP地址的攻击记录。
而为了分析网络攻击事件,通常的做法是通过技术手段对代理跳板机进行反向渗透,拿到服务器权限后追查到使用代理真实IP,然后才能把代理IP地址和真实IP关联在一起,或者根据分析人员的经验判断,哪些攻击源IP可能存在关联,但是,反向渗透需要的技术门槛较高,一般的安全工作者无法搞定,分析人员的经验判断可能存在误差,由此,对网络基于同源分析的攻击信息追踪溯源不准确,无法对网络攻击信息进行准确的溯源,进而无法保证网络安全。
发明内容
有鉴于此,本发明实施例的目的在于提供一种基于同源分析的攻击信息追踪溯源方法及装置,以改善上述问题。
第一方面,本发明实施例提供了一种基于同源分析的攻击信息追踪溯源方法,所述方法包括:
获取目标时间段内表征攻击信息的多条攻击日志;
根据所述多条攻击日志的特征信息从所述多条攻击日志中提取具有相似性的多条相似攻击日志;
将所述多条相似攻击日志按照预设规则进行排序,获得排序结果;
根据所述排序结果判断所述多条相似攻击日志之间是否具有关联性;
在为是时,确定所述多条相似攻击日志中的多个源IP地址来自同一个攻击者,则将所述多个源IP地址发送给网络安全防护设备,以使所述网络安全防护设备基于所述多个源IP地址生成告警提示。
进一步地,所述多条相似攻击日志按照预设规则进行排序,获得排序结果,包括:
将所述多条相似攻击日志按照时间先后进行排序,获得排序结果。
进一步地,根据所述排序结果判断所述多条相似攻击日志之间是否具有关联性,包括:
根据所述排序结果判断排序后的每条相似攻击日志中的源TCP端口号是否为递增或递减,其中,两个所述源TCP端口号之间递增或递减的幅度处于预设范围内;
其中,在排序后的每条相似攻击日志中的源TCP端口号为递增或递减时,则表明所述多条相似攻击日志之间具有关联性。
进一步地,获取目标时间段内表征攻击信息的多条攻击日志,包括:
从所述网络安全防护设备上获取多条日志;
根据所述多条日志的时间在目标时间段内从所述多条日志中提取多条攻击日志。
进一步地,获取目标时间段内表征攻击信息的多条攻击日志,包括:
从被攻击服务器上获取多条WEB日志;
从所述网络安全防护设备上获取多条日志;
根据所述多条日志及所述多条WEB日志的时间在目标时间段内从所述多条日志及所述多条WEB日志中提取多条攻击日志。
进一步地,在为是时,确定所述多条相似攻击日志中的多个源IP地址来自同一个攻击者,则将所述多个源IP地址发送给网络安全防护设备,以使所述网络安全防护设备基于所述多个源IP地址生成告警提示之后,所述方法还包括:
将所述多个源IP地址分别添加通用唯一识别码UUID,并将添加所述UUID后的多个源IP地址存储于数据库中。
第二方面,本发明实施例提供了一种基于同源分析的攻击信息追踪溯源装置,所述装置包括:
攻击日志获取模块,用于获取目标时间段内表征攻击信息的多条攻击日志;
相似攻击日志获取模块,用于根据所述多条攻击日志的特征信息从所述多条攻击日志中提取具有相似性的多条相似攻击日志;
日志排序模块,用于将所述多条相似攻击日志按照预设规则进行排序,获得排序结果;
关联性判断模块,用于根据所述排序结果判断所述多条相似攻击日志之间是否具有关联性;
结果确定模块,用于在所述关联性判断模块判断所述多条相似攻击日志之间具有关联性时,确定所述多条相似攻击日志中的多个源IP地址来自同一个攻击者,则将所述多个源IP地址发送给网络安全防护设备,以使所述网络安全防护设备基于所述多个源IP地址生成告警提示。
进一步地,所述日志排序模块,用于将所述多条相似攻击日志按照时间先后进行排序,获得排序结果。
进一步地,所述关联性判断模块,用于根据所述排序结果判断排序后的每条相似攻击日志中的源TCP端口号是否为递增或递减,其中,两个所述源TCP端口号之间递增或递减的幅度处于预设范围内;
其中,在排序后的每条相似攻击日志中的源TCP端口号为递增或递减时,则表明所述多条相似攻击日志之间具有关联性。
进一步地,所述攻击日志获取模块,用于从所述网络安全防护设备上获取多条日志;
根据所述多条日志的时间在目标时间段内从所述多条日志中提取多条攻击日志。
进一步地,所述攻击日志获取模块,用于从被攻击服务器上获取多条WEB日志;
从所述网络安全防护设备上获取多条日志;
根据所述多条日志及所述多条WEB日志的时间在目标时间段内从所述多条日志及所述多条WEB日志中提取多条攻击日志。
进一步地,所述装置还包括:标识码添加模块,用于将所述多个源IP地址分别添加通用唯一识别码UUID,并将添加所述UUID后的多个源IP地址存储于数据库中。
第三方面,本发明实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
第四方面,本发明实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
本发明实施例的有益效果是:
本发明实施例提供一种基于同源分析的攻击信息追踪溯源方法及装置,该方法首先获取目标时间段内表征攻击信息的多条攻击日志,然后根据所述多条攻击日志的特征信息从所述多条攻击日志中提取具有相似性的多条相似攻击日志,再将所述多条相似攻击日志按照预设规则进行排序,获得排序结果,再根据所述排序结果判断所述多条相似攻击日志之间是否具有关联性,在为是时,确定所述多条相似攻击日志中的多个源IP地址来自同一个攻击者,则将所述多个源IP地址发送给网络安全防护设备,以使所述网络安全防护设备基于所述多个源IP地址生成告警提示。由此,本方案中,可对多条相似攻击日志进行溯源,从而能够快速、高效率地对同源攻击进行分析和挖掘,在对同源攻击统一生成告警提示,以提示用户及时对攻击信息进行防护,进而提高了网络安全性。
本发明的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明实施例了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了一种可应用于本申请实施例中的电子设备的结构框图;
图2为本发明实施例提供的一种基于同源分析的攻击信息追踪溯源方法的流程图;
图3为本发明实施例提供的一种基于同源分析的攻击信息追踪溯源装置的结构框图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参照图1,图1示出了一种可应用于本申请实施例中的电子设备100的结构框图。电子设备100可以包括基于同源分析的攻击信息追踪溯源装置、存储器101、存储控制器102、处理器103、外设接口104、输入输出单元105、音频单元106、显示单元107。
所述存储器101、存储控制器102、处理器103、外设接口104、输入输出单元105、音频单元106、显示单元107各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述基于同源分析的攻击信息追踪溯源装置包括至少一个可以软件或固件(firmware)的形式存储于所述存储器101中或固化在所述基于同源分析的攻击信息追踪溯源装置的操作系统(operating system,OS)中的软件功能模块。所述处理器103用于执行存储器101中存储的可执行模块,例如所述基于同源分析的攻击信息追踪溯源装置包括的软件功能模块或计算机程序。
其中,存储器101可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器101用于存储程序,所述处理器103在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的服务器所执行的方法可以应用于处理器103中,或者由处理器103实现。
处理器103可以是一种集成电路芯片,具有信号的处理能力。上述的处理器103可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器103也可以是任何常规的处理器等。
所述外设接口104将各种输入/输出装置耦合至处理器103以及存储器101。在一些实施例中,外设接口104,处理器103以及存储控制器102可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
输入输出单元105用于提供给用户输入数据实现用户与所述服务器(或本地终端)的交互。所述输入输出单元105可以是,但不限于,鼠标和键盘等。
音频单元106向用户提供音频接口,其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。
显示单元107在所述电子设备100与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中,所述显示单元107可以是液晶显示器或触控显示器。若为触控显示器,其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作,并将该感应到的触控操作交由处理器103进行计算和处理。
所述外设接口104将各种输入/输入装置耦合至处理器103以及存储器101。在一些实施例中,外设接口104,处理器103以及存储控制器102可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
输入输出单元105用于提供给用户输入数据实现用户与处理终端的交互。所述输入输出单元105可以是,但不限于,鼠标和键盘等。
可以理解,图1所示的结构仅为示意,所述电子设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
请参照图2,图2为本发明实施例提供的一种基于同源分析的攻击信息追踪溯源方法的流程图,所述方法包括如下步骤:
步骤S110:获取目标时间段内表征攻击信息的多条攻击日志。
为了对网络攻击事件进行追踪溯源,可以从网络安全防护设备上获取多条日志,该多条日志为网络安全方法设备上记录的关于网络攻击事件的告警记录,由于多条日志数量巨多,对全部这些日志进行分析显然工作量很大,所以为了进一步对多条日志进行分析,还需对多条日志进行过滤,则根据所述多条日志的时间在目标时间段内从所述多条日志中提取多条攻击日志。
其中,目标时间段可以为几天内的多条日志,例如时间为2018年的2月15号到2018年的2月20号,实际过程中,目标时间段可以按照需求进行定义。
另外,获取更多的日志进行分析,从而获得较好的分析结果,还可以从被攻击服务器上获取多条WEB日志,以及从所述网络安全防护设备上获取多条日志,然后根据所述多条日志及所述多条WEB日志的时间在目标时间段内从所述多条日志及所述多条WEB日志中提取多条攻击日志。
其中,WEB日志记录在被攻击服务器上,若在被攻击服务器上不能获取到WEB日志则不需要获取,若在被攻击服务器上获取到WEB日志则将被攻击服务器上的WEB日志全部获取,而为了多这些日志进行进一步过滤,可以通过上述方法提取目标时间段内的多条日志和WEB日志作为多条攻击日志。
步骤S120:根据所述多条攻击日志的特征信息从所述多条攻击日志中提取具有相似性的多条相似攻击日志。
其中,特征信息为攻击日志中的HTTP请求头中的信息,所述多条攻击日志中包括的内容有超文本传输协议HTTP请求头,该HTTP请求头中的内容包括用户代理User-Agent、Cookies、支持压缩格式、本地语言、请求编码、浏览器版本、操作系统版本号等信息,其中相似性判断的规则为:如对于两条攻击日志,其攻击日志中的HTTP请求头中的任意至少三种信息相同,则判定这两条攻击日志相似,如第一条攻击日志中的HTTP请求头中的支持压缩格式为.txt、本地语言为汉语、操作系统版本号均为Windows8,用户代理User-Agent为XX1、Cookies为XXX1、支持压缩格式为XXXX1、浏览器版本为X1,而第二条攻击日志中的HTTP请求头中的支持压缩格式为.txt、本地语言为汉语、操作系统版本号均为Windows8,用户代理User-Agent为XX2、Cookies为XXX2、支持压缩格式为XXXX2、浏览器版本为X2,所以,则在将第一条攻击日志和第二条攻击日志中的HTTP请求头中的信息进行一一比对后,在发现其中至少有三个信息一致,则任务第一条攻击日志与第二条攻击日志为相似攻击日志。
当然,上述的判断标准还可以为其他判断规则,如两条攻击日志中的HTTP请求头中的至少两种信息一致,则认为该两条攻击日志为相似攻击日志,对于上述的多条攻击日志均可按上述判断规则来判断是否为相似攻击日志,从而获得多条相似攻击日志。需要说明的是,其他用于判断相似攻击日志的方式均可在本发明的保护范围内。
步骤S130:将所述多条相似攻击日志按照预设规则进行排序,获得排序结果。
在上述获得多条相似攻击日志后,为了进一步分析,还需对这些相似攻击日志进行排序,具体,可以将所述多条相似攻击日志按照时间先后进行排序,获得排序结果,当然,还可以将相似攻击日志按照其他方式进行排序,例如,按照每条日志的存储空间大小进行排序。
由于黑客在攻击时,很可能是一段时间内进行连续攻击,所以,本发明实施例中,将多条相似攻击日志按照时间递增的排序方式进行排序,获得排序结果。当然,还可将多条相似攻击日志按照时间顺序以时间递减的排序方式进行排序,获得排序结果。
步骤S140:根据所述排序结果判断所述多条相似攻击日志之间是否具有关联性。
在上述将多条相似攻击日志按照时间递增顺序进行排序后,由此排序结果为获得排序后的多条相似攻击日志,为了对这多条相似攻击日志进行溯源,可以根据所述排序结果判断排序后的每条相似攻击日志中的源TCP端口号是否为递增或递减,其中,两个所述源TCP端口号之间递增或递减的幅度处于预设范围内,其中,在排序后的每条相似攻击日志中的源TCP端口号为递增或递减时,则表明所述多条相似攻击日志之间具有关联性。
例如,在排序后,从多条相似攻击日志中获取每条相似攻击日志的源TCP端口号,即该条相似攻击日志中的具体信息是由哪个TCP端口发送来的,如TCP端口号为1033,下面表格中为将多条相似攻击日志按照时间递增顺序进行排序后的排序结果:
| 源TCP端口号 | 时间 | 内容 | 其他 |
| 1033 | 2018/3/2/13:01 | xx | xx |
| 1034 | 2018/3/2/13:02 | xx | xx |
| 1045 | 2018/3/3/13:03 | xx | xx |
| ... | ... | ... | ... |
| 1164 | 2018/3/20/08:37 | xx | xx |
例如,在上述第一条相似攻击日志与第二条相似攻击日志中的源TCP端口号的递增幅度为1,第三条相似攻击日志与第四条相似攻击日志的递增幅度为11,若递增的幅度的预设范围为100,则此时相邻两条相似攻击日志的递增幅度处于该预设范围内,则表明多条相似攻击日志之间具有关联性。
需要说明的是,若时间顺序是以时间递减进行排序的,则所述多条相似攻击日志的源TCP端口号也应是以递减的方式排序的,则若两条相似攻击日志的源TCP端口号的递减的幅度处于预设范围,则也表明这两条相似攻击日志具有关联性,由此,可判断多条相似攻击日志之间是否具有关联性。
另外需要说明的是,若在某个时间区间内该多条相似攻击日志的源TCP端口号的递减或递增幅度处于预设范围内时,也表明上述获得的多条相似攻击日志之间具有关联性,例如,在第一个时间区间为2018/3/2/13:01-2018/3/2/13:02,该时间区间内有五条相似攻击日志,若这五条相似攻击日志的源TCP端口号的递增幅度处于预设范围内时,表明这五条相似攻击日志之间具有关联性,若在第二个时间区间为2018/3/5/14:30-2018/3/5/14:31,该时间区间内有8条相似攻击日志,若这八条相似攻击日志的源TCP端口号的递增幅度处于预设范围内时,表明这八条相似攻击日志之间具有关联性,进而表明这总共十三条相似攻击日志之间也具有关联性。
但是,若判断多条相似攻击日志中其中某一条相似攻击日志与其排序的前一条相似攻击日志之间不具有关联性,则可将不具有关联性的相似攻击日志剔除,如第一条相似攻击日志与第二条相似攻击日志具有关联性,第二条相似攻击日志与第三条相似攻击日志具有关联性,第三条相似攻击日志与第四条相似攻击日志不具有关联性,则可将第四条相似攻击关联日志剔除,或者还可以再重新获取多条相似攻击日志后,再进行后续的步骤。
若判定所述多条相似攻击日志之间具有关联性时,执行步骤S150:确定所述多条相似攻击日志中的多个源IP地址来自同一个攻击者,则将所述多个源IP地址发送给网络安全防护设备,以使所述网络安全防护设备基于所述多个源IP地址生成告警提示。
从上述的多条相似攻击日志中获取源IP地址,由于这多条相似攻击日志之间具有一定的关联性,则认为这多条相似攻击日志中的攻击信息来源与同一个攻击者,则多条相似攻击日志中的多个源IP地址可为同一个攻击者从这些源IP地址中发起的攻击信息,为了对这些源IP地址进行拦截,则可将这多个源IP地址发送给网络安全防护设备,网络完全防护设备可以介于这些源IP地址生成告警提示,则可提示用于来自这些源IP地址的信息均为攻击信息,进而可有效提高网络安全性。
另外,为了对这些源IP地址进行辨识,还可将多个源IP地址分别添加通用唯一识别码UUID后保存至数据库中,从而用户可从数据库中基于UUID即可查找到对应的源IP地址,用户收到一条信息之后,可根据该信息中的源IP地址对数据库中的标有UUID的源IP地址进行比对,若一致,则表明该信息为攻击信息,则用户可对该攻击信息进行防护,以此提高了网络安全性。
请参照图3,图3为本发明实施例提供的一种基于同源分析的攻击信息追踪溯源装置200的结构框图,所述装置包括:
攻击日志获取模块210,用于获取目标时间段内表征攻击信息的多条攻击日志;
相似攻击日志获取模块220,用于根据所述多条攻击日志的特征信息从所述多条攻击日志中提取具有相似性的多条相似攻击日志;
日志排序模块230,用于将所述多条相似攻击日志按照预设规则进行排序,获得排序结果;
关联性判断模块240,用于根据所述排序结果判断所述多条相似攻击日志之间是否具有关联性;
结果确定模块250,用于在所述关联性判断模块240判断所述多条相似攻击日志之间具有关联性时,确定所述多条相似攻击日志中的多个源IP地址来自同一个攻击者,则将所述多个源IP地址发送给网络安全防护设备,以使所述网络安全防护设备基于所述多个源IP地址生成告警提示。
进一步地,所述日志排序模块230,用于将所述多条相似攻击日志按照时间先后进行排序,获得排序结果。
进一步地,所述关联性判断模块240,用于根据所述排序结果判断排序后的每条相似攻击日志中的源TCP端口号是否为递增或递减,其中,两个所述源TCP端口号之间递增或递减的幅度处于预设范围内;
其中,在排序后的每条相似攻击日志中的源TCP端口号为递增或递减时,则表明所述多条相似攻击日志之间具有关联性。
进一步地,所述攻击日志获取模块210,用于从所述网络安全防护设备上获取多条日志;
根据所述多条日志的时间在目标时间段内从所述多条日志中提取多条攻击日志。
进一步地,所述攻击日志获取模块210,用于从被攻击服务器上获取多条WEB日志;
从所述网络安全防护设备上获取多条日志;
根据所述多条日志及所述多条WEB日志的时间在目标时间段内从所述多条日志及所述多条WEB日志中提取多条攻击日志。
进一步地,所述装置还包括:标识码添加模块,用于将所述多个源IP地址分别添加通用唯一识别码UUID,并将添加所述UUID后的多个源IP地址存储于数据库中。
本发明实施例还提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述的基于同源分析的攻击信息追踪溯源方法中的步骤。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
综上所述,本发明实施例提供一种基于同源分析的攻击信息追踪溯源方法及装置,该方法首先获取目标时间段内表征攻击信息的多条攻击日志,然后根据所述多条攻击日志的特征信息从所述多条攻击日志中提取具有相似性的多条相似攻击日志,再将所述多条相似攻击日志按照预设规则进行排序,获得排序结果,再根据所述排序结果判断所述多条相似攻击日志之间是否具有关联性,在为是时,确定所述多条相似攻击日志中的多个源IP地址来自同一个攻击者,则将所述多个源IP地址发送给网络安全防护设备,以使所述网络安全防护设备基于所述多个源IP地址生成告警提示。由此,本方案中,可对多条相似攻击日志进行溯源,从而能够快速、高效率地对同源攻击进行分析和挖掘,再对同源攻击统一生成告警提示,以提示用户及时对攻击信息进行防护,进而提高了网络安全性。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (9)
1.一种基于同源分析的攻击信息追踪溯源方法,其特征在于,所述方法包括:
获取目标时间段内表征攻击信息的多条攻击日志;
根据所述多条攻击日志的特征信息从所述多条攻击日志中提取具有相似性的多条相似攻击日志;
将所述多条相似攻击日志按照预设规则进行排序,获得排序结果;
根据所述排序结果判断所述多条相似攻击日志之间是否具有关联性;
在为是时,确定所述多条相似攻击日志中的多个源IP地址来自同一个攻击者,则将所述多个源IP地址发送给网络安全防护设备,以使所述网络安全防护设备基于所述多个源IP地址生成告警提示;
根据所述排序结果判断所述多条相似攻击日志之间是否具有关联性,包括:
根据所述排序结果判断排序后的每条相似攻击日志中的源TCP端口号是否为递增或递减,其中,两个所述源TCP端口号之间递增或递减的幅度处于预设范围内;
其中,在排序后的每条相似攻击日志中的源TCP端口号为递增或递减时,则表明所述多条相似攻击日志之间具有关联性。
2.根据权利要求1所述的方法,其特征在于,所述多条相似攻击日志按照预设规则进行排序,获得排序结果,包括:
将所述多条相似攻击日志按照时间先后进行排序,获得排序结果。
3.根据权利要求1所述的方法,其特征在于,获取目标时间段内表征攻击信息的多条攻击日志,包括:
从所述网络安全防护设备上获取多条日志;
根据所述多条日志的时间在目标时间段内从所述多条日志中提取多条攻击日志。
4.根据权利要求1所述的方法,其特征在于,获取目标时间段内表征攻击信息的多条攻击日志,包括:
从被攻击服务器上获取多条WEB日志;
从所述网络安全防护设备上获取多条日志;
根据所述多条日志及所述多条WEB日志的时间在目标时间段内从所述多条日志及所述多条WEB日志中提取多条攻击日志。
5.根据权利要求1所述的方法,其特征在于,在为是时,确定所述多条相似攻击日志中的多个源IP地址来自同一个攻击者,则将所述多个源IP地址发送给网络安全防护设备,以使所述网络安全防护设备基于所述多个源IP地址生成告警提示之后,所述方法还包括:
将所述多个源IP地址分别添加通用唯一识别码UUID,并将添加所述UUID后的多个源IP地址存储于数据库中。
6.一种基于同源分析的攻击信息追踪溯源装置,其特征在于,所述装置包括:
攻击日志获取模块,用于获取目标时间段内表征攻击信息的多条攻击日志;
相似攻击日志获取模块,用于根据所述多条攻击日志的特征信息从所述多条攻击日志中提取具有相似性的多条相似攻击日志;
日志排序模块,用于将所述多条相似攻击日志按照预设规则进行排序,获得排序结果;
关联性判断模块,用于根据所述排序结果判断所述多条相似攻击日志之间是否具有关联性;
结果确定模块,用于在所述关联性判断模块判断所述多条相似攻击日志之间具有关联性时,确定所述多条相似攻击日志中的多个源IP地址来自同一个攻击者,则将所述多个源IP地址发送给网络安全防护设备,以使所述网络安全防护设备基于所述多个源IP地址生成告警提示;
所述关联性判断模块用于:
根据所述排序结果判断排序后的每条相似攻击日志中的源TCP端口号是否为递增或递减,其中,两个所述源TCP端口号之间递增或递减的幅度处于预设范围内;
其中,在排序后的每条相似攻击日志中的源TCP端口号为递增或递减时,则表明所述多条相似攻击日志之间具有关联性。
7.根据权利要求6所述的装置,其特征在于,所述日志排序模块,用于将所述多条相似攻击日志按照时间先后进行排序,获得排序结果。
8.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-5任一所述方法中的步骤。
9.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-5任一所述方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810727242.9A CN108900514B (zh) | 2018-07-04 | 2018-07-04 | 基于同源分析的攻击信息追踪溯源方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810727242.9A CN108900514B (zh) | 2018-07-04 | 2018-07-04 | 基于同源分析的攻击信息追踪溯源方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108900514A CN108900514A (zh) | 2018-11-27 |
| CN108900514B true CN108900514B (zh) | 2021-04-23 |
Family
ID=64348042
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810727242.9A Active CN108900514B (zh) | 2018-07-04 | 2018-07-04 | 基于同源分析的攻击信息追踪溯源方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108900514B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112822147B (zh) * | 2019-11-18 | 2022-12-06 | 上海云盾信息技术有限公司 | 一种用于分析攻击链的方法、系统及设备 |
| CN110830500B (zh) * | 2019-11-20 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 网络攻击追踪方法、装置、电子设备及可读存储介质 |
| CN110830519B (zh) * | 2020-01-08 | 2020-05-08 | 浙江乾冠信息安全研究院有限公司 | 攻击溯源方法、装置、电子设备及存储介质 |
| CN111488572B (zh) * | 2020-03-27 | 2024-01-19 | 杭州迪普科技股份有限公司 | 用户行为分析日志生成方法、装置、电子设备及介质 |
| CN113810351A (zh) * | 2020-06-16 | 2021-12-17 | 深信服科技股份有限公司 | 网络攻击的攻击者确定方法及装置和计算机可读存储介质 |
| CN111985192A (zh) * | 2020-09-28 | 2020-11-24 | 杭州安恒信息安全技术有限公司 | 一种Web攻击报告生成方法、装置、设备及计算机介质 |
| CN114531262A (zh) * | 2020-11-23 | 2022-05-24 | 中国电信股份有限公司 | 识别漏洞扫描行为的方法和装置 |
| CN112559595A (zh) * | 2020-12-14 | 2021-03-26 | 东软集团股份有限公司 | 安全事件挖掘方法、装置、存储介质及电子设备 |
| CN112738087A (zh) * | 2020-12-29 | 2021-04-30 | 杭州迪普科技股份有限公司 | 攻击日志的展示方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741633A (zh) * | 2008-11-06 | 2010-06-16 | 北京启明星辰信息技术股份有限公司 | 一种海量日志关联分析方法及系统 |
| CN103297561A (zh) * | 2013-05-31 | 2013-09-11 | 中国联合网络通信集团有限公司 | Ip地址溯源方法和装置 |
| CN103561127A (zh) * | 2013-11-01 | 2014-02-05 | 中国联合网络通信集团有限公司 | 用户溯源的方法及系统 |
| CN104219334A (zh) * | 2013-05-30 | 2014-12-17 | 中国联合网络通信集团有限公司 | 用户溯源方法、装置及宽带接入服务器 |
| CN104811447A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 一种基于攻击关联的安全检测方法和系统 |
| CN105471623A (zh) * | 2015-11-16 | 2016-04-06 | 中国烟草总公司江苏省公司 | 一种基于模糊场景的关键ip地址安全报警关联分析方法 |
| CN106911629A (zh) * | 2015-12-22 | 2017-06-30 | 中国移动通信集团公司 | 一种报警关联方法及装置 |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN108055148A (zh) * | 2017-12-08 | 2018-05-18 | 国网江苏省电力有限公司 | 一种自动化可溯源的电力无线专网网管诊断方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160261753A1 (en) * | 2015-03-08 | 2016-09-08 | Adam Kleinberg | System and Method to provide automated telecom services order management |
-
2018
- 2018-07-04 CN CN201810727242.9A patent/CN108900514B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741633A (zh) * | 2008-11-06 | 2010-06-16 | 北京启明星辰信息技术股份有限公司 | 一种海量日志关联分析方法及系统 |
| CN104219334A (zh) * | 2013-05-30 | 2014-12-17 | 中国联合网络通信集团有限公司 | 用户溯源方法、装置及宽带接入服务器 |
| CN103297561A (zh) * | 2013-05-31 | 2013-09-11 | 中国联合网络通信集团有限公司 | Ip地址溯源方法和装置 |
| CN103561127A (zh) * | 2013-11-01 | 2014-02-05 | 中国联合网络通信集团有限公司 | 用户溯源的方法及系统 |
| CN104811447A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 一种基于攻击关联的安全检测方法和系统 |
| CN105471623A (zh) * | 2015-11-16 | 2016-04-06 | 中国烟草总公司江苏省公司 | 一种基于模糊场景的关键ip地址安全报警关联分析方法 |
| CN106911629A (zh) * | 2015-12-22 | 2017-06-30 | 中国移动通信集团公司 | 一种报警关联方法及装置 |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN108055148A (zh) * | 2017-12-08 | 2018-05-18 | 国网江苏省电力有限公司 | 一种自动化可溯源的电力无线专网网管诊断方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108900514A (zh) | 2018-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108900514B (zh) | 基于同源分析的攻击信息追踪溯源方法及装置 | |
| CN108768943B (zh) | 一种检测异常账号的方法、装置及服务器 | |
| US10728264B2 (en) | Characterizing behavior anomaly analysis performance based on threat intelligence | |
| CN107578263B (zh) | 一种广告异常访问的检测方法、装置和电子设备 | |
| CN105224600B (zh) | 一种样本相似度的检测方法及装置 | |
| CN105119783B (zh) | 网络请求数据的检测方法及装置 | |
| CN108924118B (zh) | 一种撞库行为检测方法及系统 | |
| CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN108156141B (zh) | 一种实时数据识别方法、装置及电子设备 | |
| CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
| CN108600172B (zh) | 撞库攻击检测方法、装置、设备及计算机可读存储介质 | |
| Armstrong et al. | Uniform manifold approximation and projection (UMAP) reveals composite patterns and resolves visualization artifacts in microbiome data | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| CN108881271B (zh) | 一种代理主机的反向追踪溯源方法及装置 | |
| US11080427B2 (en) | Method and apparatus for detecting label data leakage channel | |
| CN114780606B (zh) | 一种大数据挖掘方法及系统 | |
| CN106301979B (zh) | 检测异常渠道的方法和系统 | |
| CN113343228B (zh) | 事件可信度分析方法、装置、电子设备及可读存储介质 | |
| CN108133229B (zh) | 一种安卓apk文件的分类加密方法及系统 | |
| CN106850632B (zh) | 一种异常组合数据的检测方法及装置 | |
| CN110955890A (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
| CN110188537B (zh) | 数据的分离存储方法及装置、存储介质、电子装置 | |
| CN109325348B (zh) | 应用安全的分析方法、装置、计算设备及计算机存储介质 | |
| US20180091404A1 (en) | Identifying problematic messages | |
| CN112579407A (zh) | 风险用户检测方法、装置、电子设备和计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: No. 188, Lianhui street, Xixing street, Binjiang District, Hangzhou, Zhejiang Province, 310000 Applicant after: Hangzhou Anheng Information Technology Co.,Ltd. Address before: 310000 15-storey Zhejiang Zhongcai Building, No. 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province Applicant before: Hangzhou Anheng Information Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |