CN109067815A - 攻击事件溯源分析方法、系统、用户设备及存储介质 - Google Patents
攻击事件溯源分析方法、系统、用户设备及存储介质 Download PDFInfo
- Publication number
- CN109067815A CN109067815A CN201811315599.2A CN201811315599A CN109067815A CN 109067815 A CN109067815 A CN 109067815A CN 201811315599 A CN201811315599 A CN 201811315599A CN 109067815 A CN109067815 A CN 109067815A
- Authority
- CN
- China
- Prior art keywords
- attack
- source
- detection
- threat
- tracing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
本发明公开了一种攻击事件溯源分析方法、系统、用户设备及存储介质,本发明通过在检测到攻击事件时,获取各监测点的探针数据;根据所述探针数据建立各监测点之间的关联关系;对所述探针数据进行威胁检测;在检测到威胁时,将所述探针数据对应的监测点作为攻击目标;根据所述攻击目标及所述关联关系进行溯源,获得攻击链;将所述攻击链作为所述攻击事件的溯源结果,实现了当攻击事件发生时对数据进行多维度威胁检测及溯源,还原攻击的相关过程,最终形成攻击链条视图,为后续威胁应对及修复提供依据,加强了威胁抵御能力,有效降低被攻击者的损失。
Description
技术领域
本发明涉及终端安全领域,尤其涉及一种攻击事件溯源分析方法、系统、用户设备及存储介质。
背景技术
目前随着攻击手段多样化,攻击团队专业化、组织化,攻防不对等加剧。尽管随着人们网络安全意识的提高,用户设备中经常会用到多个安全产品,例如防火墙,邮件网关,杀毒软件,堡垒主机,VPN等等,但还是难以有效应对日益严峻的威胁形势。
传统安全产品单点防御,侧重于某一个主题,某一个方向,安全产品之间无法共享安全数据及规则,没有形成一个安全闭环。当发生攻击威胁时,每个安全产品只会上报各自的问题,并没有形成完整的攻击链,用户不清楚整体威胁是如何发生的,不能从根本上斩断攻击链,也无法从整个攻击链上进行全面防御,导致威胁发现能力不足。同时传统安全产品普遍缺乏对黑客攻击过程进行监控的能力,黑客怎么攻进来的,黑客带走了什么都无法监测,也就无法精准地去做防护。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种攻击事件溯源分析方法、系统、用户设备及存储介质,旨在解决现有技术中多种安全产品不能形成一个安全闭环,当发生攻击事件时无法找到威胁根源的技术问题。
为实现上述目的,本发明提供一种攻击事件溯源分析方法,所述方法包括以下步骤:
在检测到攻击事件时,获取各监测点的探针数据;
根据所述探针数据建立各监测点之间的关联关系;
对所述探针数据进行威胁检测;
在检测到威胁时,将所述探针数据对应的监测点作为攻击目标;
根据所述攻击目标及所述关联关系进行溯源,获得攻击链;
将所述攻击链作为所述攻击事件的溯源结果。
优选地,所述根据所述攻击目标及所述关联关系进行溯源,获得攻击链,具体包括:
根据所述关联关系对所述攻击目标进行溯源,获得攻击源;
根据所述攻击源、所述攻击目标及所述关联关系生成攻击链。
优选地,所述根据所述关联关系对所述攻击目标进行溯源,获得攻击源,具体包括:
获取用户输入的溯源时间;
根据所述关联关系及所述溯源时间对所述攻击目标进行溯源,获得攻击源。
优选地,所述对所述探针数据进行威胁检测,具体包括:
根据入侵指标特征检测模型、高频威胁检测模型、基线检测模型以及机器学习检测模型对所述探针数据进行威胁检测。
优选地,所述对所述探针数据进行威胁检测之后,所述方法还包括:
在未检测到威胁时,根据预设攻击关键点规则进行触发检测;
在触发检测结果为具有未知威胁时,对所述探针数据进行云检测;
在云检测结果为具有云端已知威胁时,将所述探针数据对应的监测点作为攻击目标;
根据所述攻击目标及所述关联关系进行溯源,获得攻击链;
将所述攻击链作为所述攻击事件的溯源结果。
优选地,所述云检测包括IP信誉检测、DNS检测、URL检测、多引擎检测、沙箱检测、黑盒检测以及白盒检测中的至少一种。
优选地,所述在触发检测结果为具有未知威胁时,对所述探针数据进行云检测之后,所述方法还包括:
在云检测结果为没有云端已知威胁时,根据所述探针数据及所述关联关系生成关联视图;
将所述关联视图作为所述攻击事件的溯源结果。
此外,为实现上述目的,本发明还提出一种攻击事件溯源分析系统,所述攻击事件溯源分析系统包括:
数据获取模块,用于在检测到攻击事件时,获取各监测点的探针数据;
关系确定模块,用于根据所述探针数据建立各监测点的关联关系;
数据检测模块,用于对所述探针数据进行威胁检测;
目标确定模块,用于在检测到威胁时,将所述探针数据对应的监测点作为攻击目标;
威胁溯源模块,用于根据所述攻击目标及所述关联关系进行溯源,获得攻击链;
结果可视化模块,用于将所述攻击链作为所述攻击事件的溯源结果。
此外,为实现上述目的,本发明还提出一种用户设备,所述用户设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的攻击事件溯源分析程序,所述攻击事件溯源分析程序配置为实现所述的攻击事件溯源分析方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有攻击事件溯源分析程序,所述攻击事件溯源分析程序被处理器执行时实现所述的攻击事件溯源分析方法的步骤。
本发明通过在检测到攻击事件时,获取各监测点的探针数据;根据所述探针数据建立各监测点之间的关联关系;对所述探针数据进行威胁检测;在检测到威胁时,将所述探针数据对应的监测点作为攻击目标;根据所述攻击目标及所述关联关系进行溯源,获得攻击链;将所述攻击链作为所述攻击事件的溯源结果,实现了当攻击事件发生时对数据进行多维度威胁检测及溯源,还原攻击的相关过程,最终形成攻击链条视图,为后续威胁应对及修复提供依据,加强了威胁抵御能力,有效降低被攻击者的损失。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的用户设备结构示意图;
图2为本发明攻击事件溯源分析方法第一实施例的流程示意图;
图3为本发明攻击事件溯源分析方法第二实施例的流程示意图;
图4为本发明攻击事件溯源分析方法第三实施例的流程示意图;
图5为本发明攻击事件溯源分析系统第一实施例的功能模块图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的用户设备的结构示意图。
如图1所示,该用户设备可以包括:处理器1001,例如CPU,通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对用户设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及攻击事件溯源分析程序。
在图1所示的用户设备中,网络接口1004主要用于与外部网络进行数据通信;用户接口1003主要用于接收用户的输入指令;所述用户设备通过处理器1001调用存储器1005中存储的攻击事件溯源分析程序,并执行以下操作:
在检测到攻击事件时,获取各监测点的探针数据;
根据探针数据建立各监测点之间的关联关系;
对探针数据进行威胁检测;
在检测到威胁时,将探针数据对应的监测点作为攻击目标;
根据攻击目标及关联关系进行溯源,获得攻击链;
将攻击链作为攻击事件的溯源结果。
进一步地,处理器1001可以调用存储器1005中存储的攻击事件溯源分析程序,还执行以下操作:
根据关联关系对攻击目标进行溯源,获得攻击源;
根据攻击源、攻击目标及关联关系生成攻击链。
进一步地,处理器1001可以调用存储器1005中存储的攻击事件溯源分析程序,还执行以下操作:
获取用户输入的溯源时间;
根据关联关系及溯源时间对攻击目标进行溯源,获得攻击源。
进一步地,处理器1001可以调用存储器1005中存储的攻击事件溯源分析程序,还执行以下操作:
根据入侵指标特征检测模型、高频威胁检测模型、基线检测模型以及机器学习检测模型对探针数据进行威胁检测。
进一步地,处理器1001可以调用存储器1005中存储的攻击事件溯源分析程序,还执行以下操作:
在未检测到威胁时,根据预设攻击关键点规则进行触发检测;
在触发检测结果为具有未知威胁时,对探针数据进行云检测;
在云检测结果为具有云端已知威胁时,将探针数据对应的监测点作为攻击目标;
根据攻击目标及关联关系进行溯源,获得攻击链;
将攻击链作为攻击事件的溯源结果。
进一步地,处理器1001可以调用存储器1005中存储的攻击事件溯源分析程序,还执行以下操作:
云检测包括IP信誉检测、DNS检测、URL检测、多引擎检测、沙箱检测、黑盒检测以及白盒检测中的至少一种。
进一步地,处理器1001可以调用存储器1005中存储的攻击事件溯源分析程序,还执行以下操作:
在云检测结果为没有云端已知威胁时,根据探针数据及关联关系生成关联视图;
将关联视图作为攻击事件的溯源结果。
本实施例通过在检测到攻击事件时,获取各监测点的探针数据;根据所述探针数据建立各监测点之间的关联关系;对所述探针数据进行威胁检测;在检测到威胁时,将所述探针数据对应的监测点作为攻击目标;根据所述攻击目标及所述关联关系进行溯源,获得攻击链;将所述攻击链作为所述攻击事件的溯源结果。实现了当攻击事件发生时对数据进行多维度威胁检测及溯源,还原攻击的相关过程,最终形成攻击链条视图,为后续威胁应对及修复提供依据,加强了威胁抵御能力,有效降低被攻击者的损失。
基于上述硬件结构,提出本发明攻击事件溯源分析方法实施例。
参照图2,图2为本发明攻击事件溯源分析方法第一实施例的流程示意图。
在第一实施例中,所述攻击事件溯源分析方法包括以下步骤:
S10:用户设备在检测到攻击事件时,获取各监测点的探针数据。
应理解的是,用户设备可以是智能手机、平板电脑或笔记本电脑等设备,本实施例对此不加以限制。
可以理解的是,攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。而各监测点,可以为防火墙,邮件网关,杀软,堡垒主机,虚拟专用网络(Virtual Private Network,VPN)等等,也可以为各端点,本实施例对此不加以限制。
本实施例中,用户设备在检测到攻击事件时,向各监测点的探针发送数据采集指令;接收探针根据数据采集指令反馈的探针数据。
需要说明的是,探针可以部署在各监测点的信息采集装置中,探针主要用于采集端点数据及网络数据,在采集之前可以先确定数据采集内容。采集内容可以包括:终端运行信息、终端硬件信息、网络数据、域名系统(Domain Name System,DNS)数据、通信数据、统一资源定位器(Uniform Resoure Locator,URLs)信息、地址解析协议(Address ResolutionProtocol,ARP)信息、网络互连协议(Internet Protocol,IP)变更信息、进程创建信息、进程退出信息、跨进程访问、创建远程线程、服务创建、服务状态变更、作业(Job)创建、Job删除、文件属性修改、删除文件、创建文件、创建文件流、删除文件流、注册表创建键、注册表删除键、注册表重命名键、注册表设置值、注册表重命名值、驱动加载、镜像加载、物理内存访问、设备数据、主引导记录(Main Boot Record,MBR)数据、管道(Pipe)创建、Pipe连接、命名事件创建、命名事件打开、油槽创建、油槽打开、命名映射(Mapping)创建、命名Mapping打开、命令提示符(command,CMD)命令、命令提示符(PowerShell)命令、事件过滤器(WMIEvent Filter)命令、事件消费者(WMI Event Consumer)命令、事件消费者过滤(WMI EventConsumer To Filter)命令、跨进程的窗口消息、跨进程窗口查找、钩子(HOOK)数据及各种隐藏类型数据,例如驱动隐藏,模块隐藏,进程隐藏,网络流量数据。
通过在各监测点部署网络探针及端点探针,可以获得整个网络中心的网络数据及端点数据供后续分析使用,使得对威胁的检测和溯源的结果更加准确。
S20:根据所述探针数据建立各监测点之间的关联关系。
可以理解的是,由于利用探针获取的探针数据基本都是各监测点的点集数据,因此可以把探针数据和关联关系保存到数据库中。考虑到在对攻击事件进行溯源分析时,需要完成数据多维度的关联,数据库需要有存储大量数据、高扩展、高效关联、查找的能力,而传统关系型数据库并不能满足需求。因为根据探针数据的特点,每一个探针数据都可能成为查找目标,且需要多维关联,所以数据并不会去建立主键,而图形数据库的数据模型主要是以节点和关系来体现,可以处理键值对,适合快速解决复杂的关系问题,因此图形数据库为本实施例的优选方案。
S30:对所述探针数据进行威胁检测。
可以理解的是,获取的探针数据分批过检测模型,如果命中,即发现威胁,以威胁为中心,根据关联关系进行分析,进行溯源。
本实施例中,根据入侵指标(Indicator Of Compromise,IOC)特征检测模型、高频威胁检测模型、基线检测模型以及机器学习(Machine Learning,ML)检测模型对探针数据进行威胁检测。
具体地,IOC特征检测模型根据已知威胁的特征码形成,高频威胁检测模型根据出现频次大于预设次数的威胁形成,基线检测模型根据操作系统安全配置基线形成,ML检测模型根据深度学习算法形成。
需要说明的是,所有探针数据都需要先根据IOC特征检测模型和高频威胁检测模型,对于未检出的数据,要经过基线检测模型和ML检测模型检测,若检测到可疑数据,则可以将可疑数据提交到云端做进一步的云检测,对于云端已知的威胁,可以开启攻击溯源,对于未知的威胁,可以交给分析师来完成人工分析。
IOC特征检测,是基于已有的威胁做定向检测,对检测结果可以进行溯源,攻击可视化。具体地,每个IOC实质都是一个复合指示器,通常我们会将多个指标组合到一起作为一个IOC,最终在形式上IOC就是一个复合表达式,当表达式值为真时的,则该IOC命中。
高频威胁检测,是针对近期的热点威胁,快速迭代编写的检测规则,后续经过市场验证后,会合入IOC特征检测模型,此类威胁的特点是在一定时期内爆发的频次非常高,因此将出现频次大于预设次数的威胁形成高频威胁检测模型。例如针对时下非常流行的勒索、挖矿病毒等快速编写的检测规则。对于高频威胁检测模型的检测结果可以进行溯源,攻击可视化。
基线检测,是针对操作系统容易爆发威胁的基础处理,监测异常点,也可以用于触发器(Trigger)的处理。具体地,基线检测分类如表1所示:
表1基线检测分类及说明
表1列出了常用的基线检测方式,当然,基线检测的方式还有很多,本实施例对此不加限制。
通过对探针数据进行确定性检测(IOC特征检测、高频威胁检测)以及非确定性检测(基线检测、ML检测),能快速识别出探针数据中是否有威胁,在检测到威胁时快速进行溯源,在短时间内对威胁进行处理,缩短威胁检测时间,降低攻击事件的损失。
S40:在检测到威胁时,将所述探针数据对应的监测点作为攻击目标。
可以理解的是,在检测到威胁时,为了对威胁进行溯源,还原攻击的相关过程,需要确定溯源的出发点,即攻击目标。
需要说明的是,在未检测到威胁时,可以进一步通过触发器检测探针数据中是否具有未知威胁,若有未知威胁,则需要提交到云端做进一步检查。
S50:根据所述攻击目标及所述关联关系进行溯源,获得攻击链。
具体地,根据关联关系对攻击目标进行溯源,获得攻击源,根据攻击源、攻击目标及关联关系生成攻击链。
应理解的是,对攻击目标进行溯源,是指在攻击事件发生后,根据攻击目标,进而关联分析出整个攻击过程。本实施例中,可以根据威胁检测结果或者云检测结果进行溯源。溯源的维度有多种,如表2所示:
表2溯源维度及说明
溯源的过程是以某些关键项为出发点,关联到以进程为中心的数据过程,或者关联到以主机为中心的过程,或者关联到以网络为中心的过程。
IOC溯源是多维度的过程,只要命中IOC就可以展开针对命中数据关联溯源,所以这就要求图形数据库,存储的时候将相关的关联关系一并存储。
溯源过程中,时间是一个关键项,因为时间选择为一天和一个月,形成的数据关联视图相差很大,时间越长,关联视图越庞大,对于人眼分辨并不太有利,因此选择合适的溯源时间非常重要。所以在具体实现中,可以获取用户输入的溯源时间;根据关联关系及溯源时间对攻击目标进行溯源,获得攻击源。
通过对攻击目标进行多维度的溯源,能获得更全面的溯源结果,而在溯源时根据用户输入的溯源时间进行查询,减少了用户设备运行需要使用的资源,提高了运行效率。
应理解的是,溯源后生成攻击链可以将完整的攻击过程更加直观的可视化的展示给用户,提高用户对攻击流程的直观感受。
S60:将所述攻击链作为所述攻击事件的溯源结果。
需要说明的是,在检测到威胁时,可以根据威胁溯源,将攻击链作为溯源结果,以便于用户根据攻击链找到威胁根源,部署对抗措施,提升主动防御能力,将安全隐患消灭于萌芽状态。
本实施例通过在检测到攻击事件时,获取各监测点的探针数据;根据所述探针数据建立各监测点之间的关联关系;对所述探针数据进行威胁检测;在检测到威胁时,将所述探针数据对应的监测点作为攻击目标;根据所述攻击目标及所述关联关系进行溯源,获得攻击链;将所述攻击链作为所述攻击事件的溯源结果。实现了当攻击事件发生时对数据进行多维度威胁检测及溯源,还原攻击的相关过程,最终形成攻击链条视图,为后续威胁应对及修复提供依据,加强了威胁抵御能力,有效降低被攻击者的损失。
进一步地,如图3所示,基于第一实施例提出本发明攻击事件溯源分析方法第二实施例,在本实施例中,步骤S30之后,所述方法还包括:
S401:在未检测到威胁时,根据预设攻击关键点规则进行触发检测。
具体地,可以设定一些关键节点的阀值,例如:单位时间账户频繁登陆,爆发式登陆,很有可能是弱密码暴力破解。或者防火墙关闭,防火墙策略修改,关键文件权限特性修改等等。可以编写攻击阶段的Trigger,攻击不可以绕过的点。一旦触发Trigger,就可以联动云检测,如果有威胁,就完成溯源。如果未查找到相关威胁,则持续关联跟踪,向分析师提交关联视图,由人工来干预分析,以确定是否为新型攻击。经分析师确定后,生成检测规则包,补充检测引擎,生成IOC,分发给各安全产品终端处理威胁。
Trigger的设计思路可以如下:一个注入的基本处理大致分为以下几个步骤:第一步:以特定权限打开进程;第二步:为目标进程分配内存;第三步:写入可用于漏洞利用载荷的代码;第四步:加载执行。从多数的注入思路来看,操作目标进程的内存是必不可少的。也就是说内存分配,以执行权限来分配内存页。所以针对注入的关键点应该是跨进程分配可执行内存。那么就可以编写规则,生成一个触发器条件。
通过触发检测可以快速对未检测到威胁的数据进行进一步的判断,以确定是否将数据提交云端进行云检测,提高威胁检测效率。
S402:在触发检测结果为具有未知威胁时,对所述探针数据进行云检测。
可以理解的是,云检测是远程云中心提供的检测能力,云中心的黑名单数据更全面,云检测包括IP信誉检测、DNS检测、URL检测、多引擎检测、沙箱检测、黑盒检测以及白盒检测中的至少一种。
需要说明的是,IP信誉检测的数据源可以是日志中的网络数据,DNS检测的数据源可以是日志中DNS数据,URL检测的数据源可以是日志中URL访问记录,黑盒检测以及白盒检测的数据源可以是日志中的安全散列算法(Secure Hash Algorithm,SHA)值,如SHA256值和SHA1值,也可以是日志中的消息摘要算法5(Message-Digest Algorithm 5,MD5)值,多引擎检测和沙箱检测需要多步骤联动,由Trigger触发,其数据源均由分析师联动安全产品终端提取样本得到。
S403:在云检测结果为具有云端已知威胁时,将探针数据对应的监测点作为攻击目标。
可以理解的是,对于云端已知的威胁,可以根据攻击目标开启攻击溯源,获得攻击链作为攻击事件的溯源结果。
本实施例通过在未检测到威胁时,根据预设攻击关键点规则进行触发检测;在触发检测结果为具有未知威胁时,对探针数据进行云检测;在云检测结果为具有云端已知威胁时,将探针数据对应的监测点作为攻击目标,对未检测到威胁的数据进行深度和全面的检测,获得更精确的威胁检测结果,从而使对威胁的溯源分析更加准确和高效。
进一步地,如图4所示,基于第二实施例提出本发明攻击事件溯源分析方法第三实施例,在本实施例中,步骤S402之后,所述方法还包括:
S4031:在云检测结果为没有云端已知威胁时,根据所述探针数据及所述关联关系生成关联视图。
可以理解的是,对于触发Trigger且云检测结果中未检测到云端已知威胁时,需要调用数据形成关联视图,关联用户,进程,目标体,网络等等,将关联视图提交给分析师,由人工来干预分析,以确定是否是新型攻击。
S4032:将所述关联视图作为所述攻击事件的溯源结果。
可以理解的是,将关联视图作为溯源结果提交给分析师进行人工威胁发现,以生成新的检测规则,这样一方面可以丰富检测模型,另一方面可以使用户尽快发现新的威胁。
本实施例通过在云检测结果为没有云端已知威胁时,根据探针数据及关联关系生成关联视图;将关联视图作为攻击事件的溯源结果,由分析师根据溯源结果进行分析处理,有效降低被攻击者的损失。
本发明进一步提供一种攻击事件溯源分析系统。
参照图5,图5为本发明攻击事件溯源分析系统第一实施例的功能模块图。
本发明攻击事件溯源分析系统第一实施例中,该攻击事件溯源分析系统包括:
数据获取模块10,用于在检测到攻击事件时,获取各监测点的探针数据。
应理解的是,用户设备可以是智能手机、平板电脑或笔记本电脑等设备,本实施例对此不加以限制。
可以理解的是,攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。而各监测点,可以为防火墙,邮件网关,杀软,堡垒主机,虚拟专用网络(Virtual Private Network,VPN)等等,也可以为各端点,本实施例对此不加以限制。
本实施例中,用户设备在检测到攻击事件时,向各监测点的探针发送数据采集指令;接收探针根据数据采集指令反馈的探针数据。
需要说明的是,探针可以部署在各监测点的信息采集装置中,探针主要用于采集端点数据及网络数据,在采集之前可以先确定数据采集内容。采集内容可以包括:终端运行信息、终端硬件信息、网络数据、域名系统(Domain Name System,DNS)数据、通信数据、统一资源定位器(Uniform Resoure Locator,URLs)信息、地址解析协议(Address ResolutionProtocol,ARP)信息、网络互连协议(Internet Protocol,IP)变更信息、进程创建信息、进程退出信息、跨进程访问、创建远程线程、服务创建、服务状态变更、作业(Job)创建、Job删除、文件属性修改、删除文件、创建文件、创建文件流、删除文件流、注册表创建键、注册表删除键、注册表重命名键、注册表设置值、注册表重命名值、驱动加载、镜像加载、物理内存访问、设备数据、主引导记录(Main Boot Record,MBR)数据、管道(Pipe)创建、Pipe连接、命名事件创建、命名事件打开、油槽创建、油槽打开、命名映射(Mapping)创建、命名Mapping打开、命令提示符(command,CMD)命令、命令提示符(PowerShell)命令、事件过滤器(WMIEvent Filter)命令、事件消费者(WMI Event Consumer)命令、事件消费者过滤(WMI EventConsumer To Filter)命令、跨进程的窗口消息、跨进程窗口查找、钩子(HOOK)数据及各种隐藏类型数据,例如驱动隐藏,模块隐藏,进程隐藏,网络流量数据。
通过在各监测点部署网络探针及端点探针,可以获得整个网络中心的网络数据及端点数据供后续分析使用,使得对威胁的检测和溯源的结果更加准确。
关系确定模块20,用于根据所述探针数据建立各监测点的关联关系。
可以理解的是,由于利用探针获取的探针数据基本都是各监测点的点集数据,因此可以把探针数据和关联关系保存到数据库中。考虑到在对攻击事件进行溯源分析时,需要完成数据多维度的关联,数据库需要有存储大量数据、高扩展、高效关联、查找的能力,而传统关系型数据库并不能满足需求。因为根据探针数据的特点,每一个探针数据都可能成为查找目标,且需要多维关联,所以数据并不会去建立主键,而图形数据库的数据模型主要是以节点和关系来体现,可以处理键值对,适合快速解决复杂的关系问题,因此图形数据库为本实施例的优选方案。
数据检测模块30,用于对所述探针数据进行威胁检测。
可以理解的是,获取的探针数据分批过检测模型,如果命中,即发现威胁,以威胁为中心,根据关联关系进行分析,进行溯源。
本实施例中,根据入侵指标(Indicator Of Compromise,IOC)特征检测模型、高频威胁检测模型、基线检测模型以及机器学习(Machine Learning,ML)检测模型对探针数据进行威胁检测。
具体地,IOC特征检测模型根据已知威胁的特征码形成,高频威胁检测模型根据出现频次大于预设次数的威胁形成,、基线检测模型根据操作系统安全配置基线形成,ML检测模型根据深度学习算法形成。
需要说明的是,所有探针数据都需要先根据IOC特征检测模型和高频威胁检测模型,对于未检出的数据,要经过基线检测模型和ML检测模型检测,若检测到可疑数据,则可以将可疑数据提交到云端做进一步的云检测,对于云端已知的威胁,可以开启攻击溯源,对于未知的威胁,可以交给分析师来完成人工分析。
IOC特征检测,是基于已有的威胁做定向检测,对检测结果可以进行溯源,攻击可视化。具体地,每个IOC实质都是一个复合指示器,通常我们会将多个指标组合到一起作为一个IOC,最终在形式上IOC就是一个复合表达式,当表达式值为真时的,则该IOC命中。
高频威胁检测,是针对近期的热点威胁,快速迭代编写的检测规则,后续经过市场验证后,会合入IOC特征检测模型,此类威胁的特点是在一定时期内爆发的频次非常高,因此将出现频次大于预设次数的威胁形成高频威胁检测模型。例如针对时下非常流行的勒索、挖矿病毒等快速编写的检测规则。对于高频威胁检测模型的检测结果可以进行溯源,攻击可视化。
基线检测,是针对操作系统容易爆发威胁的基础处理,监测异常点,也可以用于触发器(Trigger)的处理。具体地,基线检测分类如表1所示:
表1基线检测分类及说明
表1列出了常用的基线检测方式,当然,基线检测的方式还有很多,本实施例对此不加限制。
通过对探针数据进行确定性检测(IOC特征检测、高频威胁检测)以及非确定性检测(基线检测、ML检测),能快速识别出探针数据中是否有威胁,在检测到威胁时快速进行溯源,在短时间内对威胁进行处理,缩短威胁检测时间,降低攻击事件的损失。
目标确定模块40,用于在检测到威胁时,将所述探针数据对应的监测点作为攻击目标。
可以理解的是,在检测到威胁时,为了对威胁进行溯源,还原攻击的相关过程,需要确定溯源的出发点,即攻击目标。
需要说明的是,在未检测到威胁时,可以进一步通过触发器检测探针数据中是否具有未知威胁,若有未知威胁,则需要提交到云端做进一步检查。
威胁溯源模块50,根据所述攻击目标及所述关联关系进行溯源,获得攻击链。
具体地,根据关联关系对攻击目标进行溯源,获得攻击源,根据攻击源、攻击目标及关联关系生成攻击链。
应理解的是,对攻击目标进行溯源,是指在攻击事件发生后,根据攻击目标,进而关联分析出整个攻击过程。本实施例中,可以根据威胁检测结果或者云检测结果进行溯源。溯源的维度有多种,如表2所示:
表2溯源维度及说明
溯源的过程是以某些关键项为出发点,关联到以进程为中心的数据过程,或者关联到以主机为中心的过程,或者关联到以网络为中心的过程。
IOC溯源是多维度的过程,只要命中IOC就可以展开针对命中数据关联溯源,所以这就要求图形数据库,存储的时候将相关的关联关系一并存储。
溯源过程中,时间是一个关键项,因为时间选择为一天和一个月,形成的数据关联视图相差很大,时间越长,关联视图越庞大,对于人眼分辨并不太有利,因此选择合适的溯源时间非常重要。所以在具体实现中,可以获取用户输入的溯源时间;根据关联关系及溯源时间对攻击目标进行溯源,获得攻击源。
通过对攻击目标进行多维度的溯源,能获得更全面的溯源结果,而在溯源时根据用户输入的溯源时间进行查询,减少了系统运行使用资源,提高了运行效率。
应理解的是,溯源后生成攻击链可以将完整的攻击过程更加直观的可视化的展示给用户,提高用户对攻击流程的直观感受。
结果可视化模块60,用于将所述攻击链作为所述攻击事件的溯源结果。
需要说明的是,在检测到威胁时,可以根据威胁溯源,将攻击链作为溯源结果,以便于用户根据攻击链找到威胁根源,部署对抗措施,提升主动防御能力,将安全隐患消灭于萌芽状态。
本实施例通过在检测到攻击事件时,获取各监测点的探针数据;根据所述探针数据建立各监测点之间的关联关系;对所述探针数据进行威胁检测;在检测到威胁时,将所述探针数据对应的监测点作为攻击目标;根据所述攻击目标及所述关联关系进行溯源,获得攻击链;将所述攻击链作为所述攻击事件的溯源结果。实现了当攻击事件发生时对数据进行多维度威胁检测及溯源,还原攻击的相关过程,最终形成攻击链条视图,为后续威胁应对及修复提供依据,加强了威胁抵御能力,有效降低被攻击者的损失。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有攻击事件溯源分析程序,所述攻击事件溯源分析程序被处理器执行时执行如下操作:
在检测到攻击事件时,获取各监测点的探针数据;
根据探针数据建立各监测点之间的关联关系;
对探针数据进行威胁检测;
在检测到威胁时,将探针数据对应的监测点作为攻击目标;
根据攻击目标及关联关系进行溯源,获得攻击链;
将攻击链作为攻击事件的溯源结果。
进一步地,所述攻击事件溯源分析程序被处理器执行时还实现如下操作:
根据关联关系对攻击目标进行溯源,获得攻击源;
根据攻击源、攻击目标及关联关系生成攻击链。
进一步地,所述攻击事件溯源分析程序被处理器执行时还实现如下操作:
获取用户输入的溯源时间;
根据关联关系及溯源时间对攻击目标进行溯源,获得攻击源。
进一步地,所述攻击事件溯源分析程序被处理器执行时还实现如下操作:
根据入侵指标特征检测模型、高频威胁检测模型、基线检测模型以及机器学习检测模型对探针数据进行威胁检测。
进一步地,所述攻击事件溯源分析程序被处理器执行时还实现如下操作:
在未检测到威胁时,根据预设攻击关键点规则进行触发检测;
在触发检测结果为具有未知威胁时,对探针数据进行云检测;
在云检测结果为具有云端已知威胁时,将探针数据对应的监测点作为攻击目标;
根据攻击目标及关联关系进行溯源,获得攻击链;
将攻击链作为攻击事件的溯源结果。
进一步地,所述攻击事件溯源分析程序被处理器执行时还实现如下操作:
云检测包括IP信誉检测、DNS检测、URL检测、多引擎检测、沙箱检测、黑盒检测以及白盒检测中的至少一种。
进一步地,所述攻击事件溯源分析程序被处理器执行时还实现如下操作:
在云检测结果为没有云端已知威胁时,根据探针数据及关联关系生成关联视图;
将关联视图作为攻击事件的溯源结果。
本实施例通过在检测到攻击事件时,获取各监测点的探针数据;根据所述探针数据建立各监测点之间的关联关系;对所述探针数据进行威胁检测;在检测到威胁时,将所述探针数据对应的监测点作为攻击目标;根据所述攻击目标及所述关联关系进行溯源,获得攻击链;将所述攻击链作为所述攻击事件的溯源结果。实现了当攻击事件发生时对数据进行多维度威胁检测及溯源,还原攻击的相关过程,最终形成攻击链条视图,为后续威胁应对及修复提供依据,加强了威胁抵御能力,有效降低被攻击者的损失。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种攻击事件溯源分析方法,其特征在于,所述攻击事件溯源分析方法包括以下步骤:
用户设备在检测到攻击事件时,获取各监测点的探针数据;
根据所述探针数据建立各监测点之间的关联关系;
对所述探针数据进行威胁检测;
在检测到威胁时,将所述探针数据对应的监测点作为攻击目标;
根据所述攻击目标及所述关联关系进行溯源,获得攻击链;
将所述攻击链作为所述攻击事件的溯源结果。
2.如权利要求1所述的攻击事件溯源分析方法,其特征在于,所述根据所述攻击目标及所述关联关系进行溯源,获得攻击链,具体包括:
根据所述关联关系对所述攻击目标进行溯源,获得攻击源;
根据所述攻击源、所述攻击目标及所述关联关系生成攻击链。
3.如权利要求2所述的攻击事件溯源分析方法,其特征在于,所述根据所述关联关系对所述攻击目标进行溯源,获得攻击源,具体包括:
获取用户输入的溯源时间;
根据所述关联关系及所述溯源时间对所述攻击目标进行溯源,获得攻击源。
4.如权利要求1所述的攻击事件溯源分析方法,其特征在于,所述对所述探针数据进行威胁检测,具体包括:
根据入侵指标特征检测模型、高频威胁检测模型、基线检测模型以及机器学习检测模型对所述探针数据进行威胁检测。
5.如权利要求4所述的攻击事件溯源分析方法,其特征在于,所述对所述探针数据进行威胁检测之后,所述方法还包括:
在未检测到威胁时,根据预设攻击关键点规则进行触发检测;
在触发检测结果为具有未知威胁时,对所述探针数据进行云检测;
在云检测结果为具有云端已知威胁时,将所述探针数据对应的监测点作为攻击目标;
根据所述攻击目标及所述关联关系进行溯源,获得攻击链;
将所述攻击链作为所述攻击事件的溯源结果。
6.如权利要求5所述的攻击事件溯源分析方法,其特征在于,所述云检测包括IP信誉检测、DNS检测、URL检测、多引擎检测、沙箱检测、黑盒检测以及白盒检测中的至少一种。
7.如权利要求5至6中任一项所述的攻击事件溯源分析方法,其特征在于,所述在触发检测结果为具有未知威胁时,对所述探针数据进行云检测之后,所述方法还包括:
在云检测结果为没有云端已知威胁时,根据所述探针数据及所述关联关系生成关联视图;
将所述关联视图作为所述攻击事件的溯源结果。
8.一种攻击事件溯源分析系统,其特征在于,所述攻击事件溯源分析系统包括:
数据获取模块,用于在检测到攻击事件时,获取各监测点的探针数据;
关系确定模块,用于根据所述探针数据建立各监测点的关联关系;
数据检测模块,用于对所述探针数据进行威胁检测;
目标确定模块,用于在检测到威胁时,将所述探针数据对应的监测点作为攻击目标;
威胁溯源模块,用于根据所述攻击目标及所述关联关系进行溯源,获得攻击链;
结果可视化模块,用于将所述攻击链作为所述攻击事件的溯源结果。
9.一种用户设备,其特征在于,所述用户设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的攻击事件溯源分析程序,所述攻击事件溯源分析程序配置为实现如权利要求1至7中任一项所述的攻击事件溯源分析方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有攻击事件溯源分析程序,所述攻击事件溯源分析程序被处理器执行时实现如权利要求1至7中任一项所述的攻击事件溯源分析方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811315599.2A CN109067815B (zh) | 2018-11-06 | 2018-11-06 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811315599.2A CN109067815B (zh) | 2018-11-06 | 2018-11-06 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109067815A true CN109067815A (zh) | 2018-12-21 |
| CN109067815B CN109067815B (zh) | 2021-11-19 |
Family
ID=64789201
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811315599.2A Active CN109067815B (zh) | 2018-11-06 | 2018-11-06 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109067815B (zh) |
Cited By (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109600387A (zh) * | 2018-12-29 | 2019-04-09 | 360企业安全技术(珠海)有限公司 | 攻击事件的追溯方法及装置、存储介质、计算机设备 |
| CN109753811A (zh) * | 2018-12-28 | 2019-05-14 | 北京东方国信科技股份有限公司 | 一种检测敏感信息的数据探针设计方法及装置 |
| CN110096363A (zh) * | 2019-04-29 | 2019-08-06 | 亚信科技(成都)有限公司 | 一种网络事件与进程的关联方法及装置 |
| CN110351273A (zh) * | 2019-07-11 | 2019-10-18 | 武汉思普崚技术有限公司 | 一种网络追踪长链条攻击的方法、装置和系统 |
| CN110351274A (zh) * | 2019-07-11 | 2019-10-18 | 武汉思普崚技术有限公司 | 一种网络攻击面追踪的方法、服务器和系统 |
| CN110365673A (zh) * | 2019-07-11 | 2019-10-22 | 武汉思普崚技术有限公司 | 一种隔离网络攻击面的方法、服务器和系统 |
| CN110365674A (zh) * | 2019-07-11 | 2019-10-22 | 武汉思普崚技术有限公司 | 一种预测网络攻击面的方法、服务器和系统 |
| CN110365675A (zh) * | 2019-07-11 | 2019-10-22 | 武汉思普崚技术有限公司 | 一种网络追踪长链条攻击的方法、装置和系统 |
| CN110381047A (zh) * | 2019-07-11 | 2019-10-25 | 武汉思普崚技术有限公司 | 一种网络攻击面追踪的方法、服务器和系统 |
| CN110830500A (zh) * | 2019-11-20 | 2020-02-21 | 北京天融信网络安全技术有限公司 | 网络攻击追踪方法、装置、电子设备及可读存储介质 |
| CN110826067A (zh) * | 2019-10-31 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
| CN110839019A (zh) * | 2019-10-24 | 2020-02-25 | 国网福建省电力有限公司 | 一种面向电力监控系统的网络安全威胁溯源方法 |
| CN110912895A (zh) * | 2019-11-26 | 2020-03-24 | 华侨大学 | 一种基于感知哈希的网络数据流溯源方法 |
| CN110990830A (zh) * | 2019-12-12 | 2020-04-10 | 国网新疆电力有限公司信息通信公司 | 终端取证溯源系统及方法 |
| CN111030973A (zh) * | 2019-03-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种基于标识文件定位攻击的方法、装置及存储设备 |
| CN111147504A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
| CN111181918A (zh) * | 2019-11-29 | 2020-05-19 | 杭州安恒信息技术股份有限公司 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
| CN111404879A (zh) * | 2020-02-26 | 2020-07-10 | 亚信科技(成都)有限公司 | 一种网络威胁的可视化方法及装置 |
| CN111565205A (zh) * | 2020-07-16 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击识别方法、装置、计算机设备和存储介质 |
| CN111726358A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击路径分析方法、装置、计算机设备及存储介质 |
| CN112187710A (zh) * | 2020-08-17 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 威胁情报数据的感知方法、装置、电子装置和存储介质 |
| CN112182567A (zh) * | 2020-09-29 | 2021-01-05 | 西安电子科技大学 | 一种多步攻击溯源方法、系统、终端及可读存储介质 |
| CN112217777A (zh) * | 2019-07-12 | 2021-01-12 | 上海云盾信息技术有限公司 | 攻击回溯方法及设备 |
| CN112287340A (zh) * | 2020-03-06 | 2021-01-29 | 杭州奇盾信息技术有限公司 | 用于终端攻击的取证溯源方法、装置、计算机设备 |
| CN112560020A (zh) * | 2021-02-19 | 2021-03-26 | 鹏城实验室 | 威胁攻击检测方法、装置、终端设备以及存储介质 |
| CN112784268A (zh) * | 2021-01-28 | 2021-05-11 | 深信服科技股份有限公司 | 一种主机行为数据的分析方法、装置、设备及存储介质 |
| CN113055396A (zh) * | 2021-03-26 | 2021-06-29 | 深信服科技股份有限公司 | 一种跨终端溯源分析的方法、装置、系统和存储介质 |
| CN113544676A (zh) * | 2019-03-12 | 2021-10-22 | 三菱电机株式会社 | 攻击估计装置、攻击控制方法和攻击估计程序 |
| CN113672925A (zh) * | 2021-08-26 | 2021-11-19 | 安天科技集团股份有限公司 | 阻止勒索软件攻击的方法、装置、存储介质及电子设备 |
| CN113779573A (zh) * | 2021-08-04 | 2021-12-10 | 国家计算机网络与信息安全管理中心 | 一种基于系统溯源图的大规模勒索软件分析方法和分析装置 |
| CN113965378A (zh) * | 2021-10-21 | 2022-01-21 | 北京中睿天下信息技术有限公司 | 一种威胁邮件溯源分析方法、系统、设备及存储介质 |
| CN114143105A (zh) * | 2021-12-06 | 2022-03-04 | 安天科技集团股份有限公司 | 网空威胁行为体的溯源方法、装置、电子设备及存储介质 |
| CN114301709A (zh) * | 2021-12-30 | 2022-04-08 | 山石网科通信技术股份有限公司 | 报文的处理方法和装置、存储介质及处理器 |
| CN114338211A (zh) * | 2021-12-31 | 2022-04-12 | 上海浦东发展银行股份有限公司 | 一种网络攻击的溯源方法和装置、电子设备及存储介质 |
| CN114465753A (zh) * | 2021-12-10 | 2022-05-10 | 奇安信科技集团股份有限公司 | 远程操作行为识别方法、装置、电子设备及存储介质 |
| CN117176480A (zh) * | 2023-11-03 | 2023-12-05 | 北京锐服信科技有限公司 | 一种攻击事件的溯源的方法与系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140007241A1 (en) * | 2012-06-27 | 2014-01-02 | Tenable Network Security, Inc. | System and method for identifying exploitable weak points in a network |
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN105208000A (zh) * | 2015-08-21 | 2015-12-30 | 深信服网络科技(深圳)有限公司 | 网络分析攻击回溯的方法及网络安全设备 |
| CN105763529A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种网络环境下攻击链获取方法及系统 |
| CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
| CN107370755A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种多维度深层次检测apt攻击的方法 |
| CN107659583A (zh) * | 2017-10-27 | 2018-02-02 | 深信服科技股份有限公司 | 一种检测事中攻击的方法及系统 |
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
-
2018
- 2018-11-06 CN CN201811315599.2A patent/CN109067815B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140007241A1 (en) * | 2012-06-27 | 2014-01-02 | Tenable Network Security, Inc. | System and method for identifying exploitable weak points in a network |
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| CN105208000A (zh) * | 2015-08-21 | 2015-12-30 | 深信服网络科技(深圳)有限公司 | 网络分析攻击回溯的方法及网络安全设备 |
| CN105763529A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种网络环境下攻击链获取方法及系统 |
| CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN107370755A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种多维度深层次检测apt攻击的方法 |
| CN107659583A (zh) * | 2017-10-27 | 2018-02-02 | 深信服科技股份有限公司 | 一种检测事中攻击的方法及系统 |
Cited By (57)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109753811A (zh) * | 2018-12-28 | 2019-05-14 | 北京东方国信科技股份有限公司 | 一种检测敏感信息的数据探针设计方法及装置 |
| CN109753811B (zh) * | 2018-12-28 | 2021-04-23 | 北京东方国信科技股份有限公司 | 一种检测敏感信息的数据探针设计方法及装置 |
| CN109600387B (zh) * | 2018-12-29 | 2021-07-20 | 360企业安全技术(珠海)有限公司 | 攻击事件的追溯方法及装置、存储介质、计算机设备 |
| CN109600387A (zh) * | 2018-12-29 | 2019-04-09 | 360企业安全技术(珠海)有限公司 | 攻击事件的追溯方法及装置、存储介质、计算机设备 |
| CN113544676A (zh) * | 2019-03-12 | 2021-10-22 | 三菱电机株式会社 | 攻击估计装置、攻击控制方法和攻击估计程序 |
| CN111030973B (zh) * | 2019-03-29 | 2023-02-24 | 安天科技集团股份有限公司 | 一种基于标识文件定位攻击的方法、装置及存储设备 |
| CN111030973A (zh) * | 2019-03-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种基于标识文件定位攻击的方法、装置及存储设备 |
| CN110096363A (zh) * | 2019-04-29 | 2019-08-06 | 亚信科技(成都)有限公司 | 一种网络事件与进程的关联方法及装置 |
| CN110365675B (zh) * | 2019-07-11 | 2021-09-03 | 武汉思普崚技术有限公司 | 一种网络追踪长链条攻击的方法、装置和系统 |
| CN110365674A (zh) * | 2019-07-11 | 2019-10-22 | 武汉思普崚技术有限公司 | 一种预测网络攻击面的方法、服务器和系统 |
| CN110365675A (zh) * | 2019-07-11 | 2019-10-22 | 武汉思普崚技术有限公司 | 一种网络追踪长链条攻击的方法、装置和系统 |
| CN110365673B (zh) * | 2019-07-11 | 2021-09-03 | 武汉思普崚技术有限公司 | 一种隔离网络攻击面的方法、服务器和系统 |
| CN110365673A (zh) * | 2019-07-11 | 2019-10-22 | 武汉思普崚技术有限公司 | 一种隔离网络攻击面的方法、服务器和系统 |
| CN110365674B (zh) * | 2019-07-11 | 2021-09-03 | 武汉思普崚技术有限公司 | 一种预测网络攻击面的方法、服务器和系统 |
| CN110381047A (zh) * | 2019-07-11 | 2019-10-25 | 武汉思普崚技术有限公司 | 一种网络攻击面追踪的方法、服务器和系统 |
| CN110381047B (zh) * | 2019-07-11 | 2021-09-03 | 武汉思普崚技术有限公司 | 一种网络攻击面追踪的方法、服务器和系统 |
| CN110351274A (zh) * | 2019-07-11 | 2019-10-18 | 武汉思普崚技术有限公司 | 一种网络攻击面追踪的方法、服务器和系统 |
| CN110351274B (zh) * | 2019-07-11 | 2021-11-26 | 武汉思普崚技术有限公司 | 一种网络攻击面追踪的方法、服务器和系统 |
| CN110351273A (zh) * | 2019-07-11 | 2019-10-18 | 武汉思普崚技术有限公司 | 一种网络追踪长链条攻击的方法、装置和系统 |
| CN110351273B (zh) * | 2019-07-11 | 2021-09-03 | 武汉思普崚技术有限公司 | 一种网络追踪长链条攻击的方法、装置和系统 |
| CN112217777A (zh) * | 2019-07-12 | 2021-01-12 | 上海云盾信息技术有限公司 | 攻击回溯方法及设备 |
| CN110839019A (zh) * | 2019-10-24 | 2020-02-25 | 国网福建省电力有限公司 | 一种面向电力监控系统的网络安全威胁溯源方法 |
| CN110826067B (zh) * | 2019-10-31 | 2022-08-09 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
| CN110826067A (zh) * | 2019-10-31 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
| CN110830500B (zh) * | 2019-11-20 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 网络攻击追踪方法、装置、电子设备及可读存储介质 |
| CN110830500A (zh) * | 2019-11-20 | 2020-02-21 | 北京天融信网络安全技术有限公司 | 网络攻击追踪方法、装置、电子设备及可读存储介质 |
| CN110912895B (zh) * | 2019-11-26 | 2022-03-04 | 华侨大学 | 一种基于感知哈希的网络数据流溯源方法 |
| CN110912895A (zh) * | 2019-11-26 | 2020-03-24 | 华侨大学 | 一种基于感知哈希的网络数据流溯源方法 |
| CN111181918A (zh) * | 2019-11-29 | 2020-05-19 | 杭州安恒信息技术股份有限公司 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
| CN111181918B (zh) * | 2019-11-29 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
| CN110990830A (zh) * | 2019-12-12 | 2020-04-10 | 国网新疆电力有限公司信息通信公司 | 终端取证溯源系统及方法 |
| CN111147504A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
| CN111404879A (zh) * | 2020-02-26 | 2020-07-10 | 亚信科技(成都)有限公司 | 一种网络威胁的可视化方法及装置 |
| CN112287340A (zh) * | 2020-03-06 | 2021-01-29 | 杭州奇盾信息技术有限公司 | 用于终端攻击的取证溯源方法、装置、计算机设备 |
| CN112287340B (zh) * | 2020-03-06 | 2022-05-27 | 杭州奇盾信息技术有限公司 | 用于终端攻击的取证溯源方法、装置、计算机设备 |
| CN111726358A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击路径分析方法、装置、计算机设备及存储介质 |
| CN111565205A (zh) * | 2020-07-16 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击识别方法、装置、计算机设备和存储介质 |
| CN112187710A (zh) * | 2020-08-17 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 威胁情报数据的感知方法、装置、电子装置和存储介质 |
| CN112182567B (zh) * | 2020-09-29 | 2022-12-27 | 西安电子科技大学 | 一种多步攻击溯源方法、系统、终端及可读存储介质 |
| CN112182567A (zh) * | 2020-09-29 | 2021-01-05 | 西安电子科技大学 | 一种多步攻击溯源方法、系统、终端及可读存储介质 |
| CN112784268A (zh) * | 2021-01-28 | 2021-05-11 | 深信服科技股份有限公司 | 一种主机行为数据的分析方法、装置、设备及存储介质 |
| CN112560020A (zh) * | 2021-02-19 | 2021-03-26 | 鹏城实验室 | 威胁攻击检测方法、装置、终端设备以及存储介质 |
| CN113055396A (zh) * | 2021-03-26 | 2021-06-29 | 深信服科技股份有限公司 | 一种跨终端溯源分析的方法、装置、系统和存储介质 |
| CN113779573B (zh) * | 2021-08-04 | 2023-08-29 | 国家计算机网络与信息安全管理中心 | 一种基于系统溯源图的大规模勒索软件分析方法和分析装置 |
| CN113779573A (zh) * | 2021-08-04 | 2021-12-10 | 国家计算机网络与信息安全管理中心 | 一种基于系统溯源图的大规模勒索软件分析方法和分析装置 |
| CN113672925B (zh) * | 2021-08-26 | 2024-01-26 | 安天科技集团股份有限公司 | 阻止勒索软件攻击的方法、装置、存储介质及电子设备 |
| CN113672925A (zh) * | 2021-08-26 | 2021-11-19 | 安天科技集团股份有限公司 | 阻止勒索软件攻击的方法、装置、存储介质及电子设备 |
| CN113965378A (zh) * | 2021-10-21 | 2022-01-21 | 北京中睿天下信息技术有限公司 | 一种威胁邮件溯源分析方法、系统、设备及存储介质 |
| CN114143105B (zh) * | 2021-12-06 | 2023-12-26 | 安天科技集团股份有限公司 | 网空威胁行为体的溯源方法、装置、电子设备及存储介质 |
| CN114143105A (zh) * | 2021-12-06 | 2022-03-04 | 安天科技集团股份有限公司 | 网空威胁行为体的溯源方法、装置、电子设备及存储介质 |
| CN114465753A (zh) * | 2021-12-10 | 2022-05-10 | 奇安信科技集团股份有限公司 | 远程操作行为识别方法、装置、电子设备及存储介质 |
| CN114301709A (zh) * | 2021-12-30 | 2022-04-08 | 山石网科通信技术股份有限公司 | 报文的处理方法和装置、存储介质及处理器 |
| CN114301709B (zh) * | 2021-12-30 | 2024-04-02 | 山石网科通信技术股份有限公司 | 报文的处理方法和装置、存储介质及计算设备 |
| CN114338211B (zh) * | 2021-12-31 | 2023-10-20 | 上海浦东发展银行股份有限公司 | 一种网络攻击的溯源方法和装置、电子设备及存储介质 |
| CN114338211A (zh) * | 2021-12-31 | 2022-04-12 | 上海浦东发展银行股份有限公司 | 一种网络攻击的溯源方法和装置、电子设备及存储介质 |
| CN117176480A (zh) * | 2023-11-03 | 2023-12-05 | 北京锐服信科技有限公司 | 一种攻击事件的溯源的方法与系统 |
| CN117176480B (zh) * | 2023-11-03 | 2024-01-09 | 北京锐服信科技有限公司 | 一种攻击事件的溯源的方法与系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109067815B (zh) | 2021-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109067815A (zh) | 攻击事件溯源分析方法、系统、用户设备及存储介质 | |
| US9588848B2 (en) | System and method of restoring modified data | |
| CN109922075A (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| JP6100898B2 (ja) | メッセージを処理するための方法およびデバイス | |
| CN108768989A (zh) | 一种采用拟态技术的apt攻击防御方法、系统 | |
| US10372907B2 (en) | System and method of detecting malicious computer systems | |
| US20210194915A1 (en) | Identification of potential network vulnerability and security responses in light of real-time network risk assessment | |
| Riccardi et al. | A framework for financial botnet analysis | |
| Barabosch et al. | Bee master: Detecting host-based code injection attacks | |
| CN109561112A (zh) | 一种人工智能实时检测安全攻击系统 | |
| KR20170122548A (ko) | 비정상 프로세스의 연관 데이터 분석을 이용한 apt 공격 인지 방법 및 장치 | |
| US20230007013A1 (en) | Visualization tool for real-time network risk assessment | |
| CN109120626A (zh) | 安全威胁处理方法、系统、安全感知服务器及存储介质 | |
| CN105243328A (zh) | 一种基于行为特征的摆渡木马防御方法 | |
| US11693961B2 (en) | Analysis of historical network traffic to identify network vulnerabilities | |
| Kara | Cyber-espionage malware attacks detection and analysis: A case study | |
| CN111988322B (zh) | 一种攻击事件展示系统 | |
| US11599638B2 (en) | Game engine-based computer security | |
| EP3252645B1 (en) | System and method of detecting malicious computer systems | |
| Salsabila et al. | Flubot malware hybrid analysis on android operating system | |
| US20230267207A1 (en) | Antiransomware Using Machine Learning | |
| Sabhnani et al. | Formulation of a Heuristic Rule for Misuse and Anomaly Detection for U2R Attacks in Solaris Operating System Environment. | |
| Fan et al. | Privacy Petri net and privacy leak software | |
| Geetha et al. | Malware Detection In Smartphone As An Information Security | |
| Aljehani et al. | Detecting A Crypto-mining Malware By Deep Learning Analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |