CN109495520A - 一体化网络攻击取证溯源方法、系统、设备及存储介质 - Google Patents
一体化网络攻击取证溯源方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN109495520A CN109495520A CN201910028806.4A CN201910028806A CN109495520A CN 109495520 A CN109495520 A CN 109495520A CN 201910028806 A CN201910028806 A CN 201910028806A CN 109495520 A CN109495520 A CN 109495520A
- Authority
- CN
- China
- Prior art keywords
- source
- evidence obtaining
- tracing
- data
- evidence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例公开了一体化网络攻击取证溯源方法、系统、设备及存储介质,涉及网络安全技术领域,本发明实施例通过软、硬件两方面技术改进,创新性地实现了取证溯源的一体化操作。使用本发明实施例进行网络攻击取证溯源时,取证、分析、溯源、存档全部在一个设备上完成,无须外部装置辅助进行数据转移和导入导出操作,解决现有设备设计繁琐和存在安全隐患问题。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一体化网络攻击取证溯源方法、系统、设备及存储介质。
背景技术
网络攻击取证溯源涉及两个操作,一是取证,二是溯源。取证需要在目标主机进行,目的是获取主机信息和完整证据链;溯源一般在溯源系统完成,需要分析软件和溯源数据库。
当前取证环节一般会使用移动存储设备进行数据交换。过程为:首先使用移动存储设备存储软件,插入用户主机安装,安装完毕进行取证操作;然后取证完毕再通过移动存储设备将数据导入溯源系统,这样在操作层面存在二个问题:1、便携性不高,进行取证溯源时,要携带多个设备。2、操作性不强,用户需要在移动存储设备上进行繁琐复制、移动、删除操作。
从安全层面上看,上述取证过程除操作复杂外还存在两个不容忽视的安全问题。1、安全性不够,移动存储设备可能被污染,导致黑客利用摆渡攻击方法突破主机、攻入网络。尤其在高等级安全防护网络或隔离网络中,外部移动存储设备在多个网络间乱用,是极大安全隐患。2、被测主机进行软件安装操作后,可能在被测主机中留下安全隐患,如:在软件安装中获取的权限被利用、软件取证后在主机进行不当操作残留文件等。
另外,APT攻击是近年来出现的高级持续性威胁,因其攻击具有高级、长期、威胁三要素,具有极强的隐蔽性和破坏性,现有系统由于知识库不够全面、溯源技术不够先进,在APT攻击的取证溯源上尚有很多不足,不能有效识别攻击。
发明内容
本发明实施例的目的在于提供一体化网络攻击取证溯源方法、系统、设备及存储介质,用以解决现有网络攻击取证溯源技术由于取证环节使用移动存储设备进行数据交换导致操作复杂及存在安全隐患的问题。
为实现上述目的,本发明实施例提供了一体化网络攻击取证溯源方法,所述方法包括:向运行在目标主机的取证平台模块下发取证命令对目标主机进行网络攻击取证;从取证平台模块采集溯源数据;进行溯源数据分析获取预定格式的溯源数据;基于预定格式的溯源数据进行融合;基于融合后的溯源数据进行取证溯源综合分析;及输出网络攻击和取证溯源分析报告。
进一步地,所述对目标主机进行网络攻击取证包括:从目标主机获取网络攻击取证数据;对取证数据进行取证处理;及对取证处理后的取证数据进行取证归类分析。
进一步地,所述取证溯源综合分析包括:从黑客指纹档案库调取黑客指纹数据;将融合后的溯源数据与黑客指纹数据进行比对;及基于比对结果对目标主机的网络攻击行为进行溯源。
进一步地,所述取证溯源综合分析是基于双重检测规则进行的,所述双重检测规则包括:基于目标主机操作系统检测的大项构建的第一类检测体系和基于多渠道获取的恶意软件和恶意行为的特征构建的第二类检测体系。
进一步地,所述操作系统检测大项覆盖文件、注册表、启动方式、固件、内存、认证、连接和痕迹。
进一步地,所述恶意软件和恶意行为的特征的来源包括以下一项或多项:对APT攻击中客户失陷主机的取证分析、公开的互联网黑客报告、公开获取到的大量黑客工具和地下工具集。
进一步地,所述方法还包括:基于融合后的溯源数据进行取证溯源综合分析之后,将取证溯源综合分析结果存储于取证溯源数据库。
本发明实施例的另外一方面,还提供的一体化网络攻击取证溯源系统,所述系统包括:运行在目标主机的取证平台模块,所述取证平台模块包括:用于从目标主机获取网络攻击取证数据的取证获取单元、用于对取证数据进行取证处理的取证处理单元及用于对取证处理后的取证数据进行取证归类分析的取证分析单元;运行在终端设备的溯源平台模块和取证溯源综合分析模块;所述溯源平台模块包括:用于采集溯源数据的溯源数据采集单元、用于进行溯源数据分析获取预定格式的溯源数据的溯源数据分析单元及用于基于预定格式的溯源数据进行融合的溯源数据融合单元;所述取证溯源综合分析模块用于基于融合后的溯源数据进行取证溯源综合分析;及运行于终端设备或云端的数据库平台模块,所述数据库平台模块包括存储有黑客指纹数据的黑客指纹档案库和用于存储取证溯源综合分析结果的取证溯源数据库;其中,所述溯源平台模块通过外延数据线与所述取证平台模块通信交互连接;所述取证溯源综合分析模块与所述所述溯源平台模块通信交互获取融合后的溯源数据,所述取证溯源综合分析模块与所述黑客指纹档案库交互连接获取黑客指纹数据。
本发明实施例的另外一方面,还提供了一种计算机设备,所述设备包括:一个或多个处理器;存储器,用于存储一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述的方法。
本发明实施例的另外一方面,还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序指令,所述计算机程序指令用于执行如上所述的方法。
本发明实施例具有如下优点:
本发明实施例通过软、硬件两方面技术改进,创新性地实现了取证溯源的一体化操作。使用本发明实施例进行网络攻击取证溯源时,取证、分析、溯源、存档全部在一个设备上完成,无须外部装置辅助进行数据转移和导入导出操作,解决现有设备设计繁琐和存在安全隐患问题。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
图1为本发明实施例提供的一体化网络攻击取证溯源系统的一个实施例的逻辑结构示意图。
图2为本发明实施例提供的一体化网络攻击取证溯源系统的另一个实施例的逻辑结构示意图。
图3为本发明实施例提供的一体化网络攻击取证溯源方法的流程示意图。
图4为本发明实施例提供的对目标主机进行网络攻击取证的流程示意图。
图5为本发明实施例提供的取证溯源综合分析的流程示意图。
1-取证平台模块、11-取证获取单元、12-取证处理单元、13-取证分析单元、2-溯源平台模块、21-溯源数据采集单元、22-溯源数据分析单元、23-溯源数据融合单元、3-取证溯源综合分析模块、4-数据库平台模块、41-黑客指纹档案库、42-取证溯源数据库、5-目标主机、6-终端设备、7-云端。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例
本发明实施例提供了是一款适用多种应用场景的一体化网络攻击取证溯源系统,能够发现、识别、审计、溯源企业网络和内部主机的异常行为和攻击活动,评估企业网络安全状态、明确潜在的安全威胁。一是具有强大的恶意软件识别能力,能够帮助用户发现网络内部的安全问题和安全隐患;二是解决了APT(Advanced Persistent Threat,高级持续性威胁)攻击的检测难题,能够帮助企业、机关和国家安全部门发现攻击、追踪溯源。
一体化网络攻击取证溯源系统具备多样化产品形态,支持多种部署方式。既可以以私有云部署方式满足企业批量式采集或常态化采集的场景需求;也可以以反黑工具箱方式为用户提供便携、易用、高效的现场取证支持,满足现场快速采集、分析的场景需求。
参考图1,本发明实施例提供了以私有云方式部署的一体化网络攻击取证溯源系统,其包括:运行在目标主机5的取证平台模块1、运行在终端设备6的溯源平台模块2和取证溯源综合分析模块3以及运行于云端7的数据库平台模块4。取证平台模块1包括:用于从目标主机5获取网络攻击取证数据的取证获取单元11、用于对取证数据进行取证处理的取证处理单元12及用于对取证处理后的取证数据进行取证归类分析的取证分析单元13;溯源平台模块2包括:用于采集溯源数据的溯源数据采集单元21、用于进行溯源数据分析获取预定格式的溯源数据的溯源数据分析单元22及用于基于预定格式的溯源数据进行融合的溯源数据融合单元23;取证溯源综合分析模块3用于基于融合后的溯源数据进行取证溯源综合分析;数据库平台模块4包括存储有黑客指纹数据的黑客指纹档案库41和用于存储取证溯源综合分析结果的取证溯源数据库42;其中,溯源平台模块2通过外延数据线与取证平台模块1通信交互连接;取证溯源综合分析模块3与溯源平台模块2通信交互获取融合后的溯源数据,取证溯源综合分析模块3与黑客指纹档案库41交互连接获取黑客指纹数据。
私有云形态:一次性部署后可常态化驻守客户端,采集端自动采集、自动上传至私有云,再由私有云自动分析、提供分析报告,尽可能简化了用户的日常操作、降低了维护管理的难度和成本。私有云形态支持从多台主机同时获取信息,通过网络传输方式提交到分析中心进行集中展现。
另外,参考图2,本发明实施例还提供了以反黑工具箱方式部署的一体化网络攻击取证溯源系统,其与上述以私有云方式部署的一体化网络攻击取证溯源系统不同之处在于,数据库平台模块4运行于终端设备,溯源平台模块2、取证溯源综合分析模块3以及数据库平台模块4一体装载于终端设备以反黑工具箱方式为用户提供便携、易用、高效的现场取证支持,满足现场快速采集、分析的场景需求。数据库平台模块4无论运行于云端7,还是运行于终端设备6,局负责数据的增、删、改、查等存储管理工作,一方面通过黑客指纹档案库41为取证溯源提供采信依据,另一方面通过取证溯源数据库42记录取证数据、保留证据。
反黑工具箱形态:独创性地采用外延数据线方式实现目标主机间数据交互,解决了采用外接移动存储设备进行数据转移操作时存在的安全性问题以及便携性、操作性差问题。反黑攻击箱形态支持从某单机获取信息,在分析端进行深度分析并以HTML报告的形式进行展现。
参考图3至5,本发明提供的一体化网络攻击取证溯源方法包括:终端设备6向运行在目标主机5的取证平台模块1下发取证命令对目标主机5进行网络攻击取证,在对目标主机进行网络攻击取证中,取证获取单元11首先从目标主机获取网络攻击取证数据并发送至取证处理单元12;取证处理单元12对取证数据进行取证处理并发送至取证分析单元13;取证分析单元13对取证处理后的取证数据进行取证归类分析并发送至溯源平台模块2的溯源数据采集单元21;溯源数据采集单元21从取证平台模块1采集到溯源数据发送至溯源数据分析单元22;溯源数据分析单元22进行溯源数据分析获取预定格式的溯源数据并发送至溯源数据融合单元23;溯源数据融合单元23基于预定格式的溯源数据进行融合并发送至取证溯源综合分析模块3;取证溯源综合分析模块3基于融合后的溯源数据进行取证溯源综合分析,其中,取证溯源综合分析包括:取证溯源综合分析模块3从黑客指纹档案库调取黑客指纹数据;将融合后的溯源数据与黑客指纹数据进行比对;及基于比对结果对目标主机的网络攻击行为进行溯源;及取证溯源综合分析模块3输出网络攻击和取证溯源分析报告;另外,基于融合后的溯源数据进行取证溯源综合分析之后,取证溯源综合分析模块3将取证溯源综合分析结果存储于取证溯源数据库42。
本发明实施例中,针对安全层面问题:采用一体化设计,一是避免了外接移动存储设备可能带来的数据污染;二是实现了目标主机的无痕操作,在被测主机只进行数据读取操作不在主机创建、释放文件或目录。解决现有设备设计原因带来的网络安全问题。
优选地,为满足功能交叉性需求、后期扩充性需求、用户系统化认识需求等多方面需求,本实施例中,取证溯源综合分析是基于双重检测规则进行的,双重检测规则包括:基于目标主机操作系统检测的大项构建的第一类检测体系和基于多渠道获取的恶意软件和恶意行为的特征构建的第二类检测体系。所述操作系统检测大项覆盖文件、注册表、启动方式、固件、内存、认证、连接和痕迹。所述恶意软件和恶意行为的特征的来源包括以下一项或多项:对APT攻击中客户失陷主机的取证分析、公开的互联网黑客报告、公开获取到的大量黑客工具和地下工具集,例如,卡巴斯基、ESET、Avast等公开的报告均属于公开的互联网黑客报告,而扫描器,密码抓取程序,脚本后门等,则属于公开获取到的黑客工具。
针对运行效率问题:本发明实施例采用快速取证技术,在取证溯源时无须对待测主机进行全盘复制和进行后续的系统恢复,可直接从待测主机获取关键证据,取证快速、及时,运行效率高。通过快速取证技术,本设备解决了现有技术磁盘复制带来的磁盘复制慢、系统恢复时间长的延迟问题。
另外,本发明实施例提出的一种计算机设备,所述设备包括:一个或多个处理器;存储器,用于存储一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述的方法。
另外,本发明实施例提出的一种计算机存储介质,所述计算机存储介质存储有计算机程序指令,所述计算机程序指令用于执行如上所述的方法。
在本发明的实施例中,各个模块或系统可以是由计算机程序指令形成的处理器,处理器可以是一种集成电路芯片,具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(FieldProgrammable GateArray,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息,结合其硬件完成上述方法的步骤。
存储介质可以是存储器,例如可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。
其中,非易失性存储器可以是只读存储器(Read-Only Memory,简称ROM)、可编程只读存储器(Programmable ROM,简称PROM)、可擦除可编程只读存储器(Erasable PROM,简称EPROM)、电可擦除可编程只读存储器(Electrically EPROM,简称EEPROM)或闪存。
易失性存储器可以是随机存取存储器(RandomAccess Memory,简称RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,简称SRAM)、动态随机存取存储器(Dynamic RAM,简称DRAM)、同步动态随机存取存储器(Synchronous DRAM,简称SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,简称DDRSDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM,简称ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,简称SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,简称DRRAM)。
本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时,可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (10)
1.一体化网络攻击取证溯源方法,其特征在于,所述方法包括:
向运行在目标主机的取证平台模块下发取证命令对目标主机进行网络攻击取证;
从取证平台模块采集溯源数据;
进行溯源数据分析获取预定格式的溯源数据;
基于预定格式的溯源数据进行融合;
基于融合后的溯源数据进行取证溯源综合分析;及
输出网络攻击和取证溯源分析报告。
2.如权利要求1所述的方法,其特征在于,所述对目标主机进行网络攻击取证包括:
从目标主机获取网络攻击取证数据;
对取证数据进行取证处理;及
对取证处理后的取证数据进行取证归类分析。
3.如权利要求1所述的方法,其特征在于,所述取证溯源综合分析包括:
从黑客指纹档案库调取黑客指纹数据;
将融合后的溯源数据与黑客指纹数据进行比对;及
基于比对结果对目标主机的网络攻击行为进行溯源。
4.如权利要求3所述的方法,其特征在于,所述取证溯源综合分析是基于双重检测规则进行的,所述双重检测规则包括:基于目标主机操作系统检测的大项构建的第一类检测体系和基于多渠道获取的恶意软件和恶意行为的特征构建的第二类检测体系。
5.如权利要求4所述的方法,其特征在于,所述操作系统检测的大项覆盖文件、注册表、启动方式、固件、内存、认证、连接和痕迹。
6.如权利要求4所述的方法,其特征在于,所述恶意软件和恶意行为的特征的来源包括以下一项或多项:对APT攻击中客户失陷主机的取证分析、公开的互联网黑客报告、公开获取到的大量黑客工具和地下工具集。
7.如权利要求1所述的方法,其特征在于,所述方法还包括:基于融合后的溯源数据进行取证溯源综合分析之后,将取证溯源综合分析结果存储于取证溯源数据库。
8.一体化网络攻击取证溯源系统,其特征在于,所述系统包括:
运行在目标主机的取证平台模块,所述取证平台模块包括:用于从目标主机获取网络攻击取证数据的取证获取单元、用于对取证数据进行取证处理的取证处理单元及用于对取证处理后的取证数据进行取证归类分析的取证分析单元;
运行在终端设备的溯源平台模块和取证溯源综合分析模块;所述溯源平台模块包括:用于采集溯源数据的溯源数据采集单元、用于进行溯源数据分析获取预定格式的溯源数据的溯源数据分析单元及用于基于预定格式的溯源数据进行融合的溯源数据融合单元;所述取证溯源综合分析模块用于基于融合后的溯源数据进行取证溯源综合分析;及
运行于终端设备或云端的数据库平台模块,所述数据库平台模块包括存储有黑客指纹数据的黑客指纹档案库和用于存储取证溯源综合分析结果的取证溯源数据库;
其中,所述溯源平台模块通过外延数据线与所述取证平台模块通信交互连接;所述取证溯源综合分析模块与所述溯源平台模块通信交互获取融合后的溯源数据,所述取证溯源综合分析模块与所述黑客指纹档案库交互连接获取黑客指纹数据。
9.一种计算机设备,其特征在于,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1至7中任一所述的方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序指令,所述计算机程序指令用于执行如权利要求1至7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910028806.4A CN109495520B (zh) | 2019-01-11 | 2019-01-11 | 一体化网络攻击取证溯源方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910028806.4A CN109495520B (zh) | 2019-01-11 | 2019-01-11 | 一体化网络攻击取证溯源方法、系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109495520A true CN109495520A (zh) | 2019-03-19 |
| CN109495520B CN109495520B (zh) | 2021-06-25 |
Family
ID=65714520
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910028806.4A Active CN109495520B (zh) | 2019-01-11 | 2019-01-11 | 一体化网络攻击取证溯源方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109495520B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110336808A (zh) * | 2019-06-28 | 2019-10-15 | 南瑞集团有限公司 | 一种面向电力工控网络的攻击溯源方法及系统 |
| CN110830518A (zh) * | 2020-01-08 | 2020-02-21 | 浙江乾冠信息安全研究院有限公司 | 溯源分析方法、装置、电子设备及存储介质 |
| CN110990830A (zh) * | 2019-12-12 | 2020-04-10 | 国网新疆电力有限公司信息通信公司 | 终端取证溯源系统及方法 |
| CN112261045A (zh) * | 2020-10-22 | 2021-01-22 | 广州大学 | 一种基于攻击原理的网络攻击数据自动生成方法及系统 |
| CN112491913A (zh) * | 2020-12-03 | 2021-03-12 | 重庆洞见信息技术有限公司 | 一种黑客攻击溯源分析系统 |
| CN113497786A (zh) * | 2020-03-20 | 2021-10-12 | 腾讯科技(深圳)有限公司 | 一种取证溯源方法、装置以及存储介质 |
| CN113726818A (zh) * | 2021-11-01 | 2021-11-30 | 北京微步在线科技有限公司 | 一种失陷主机检测方法及装置 |
| CN115102785A (zh) * | 2022-07-25 | 2022-09-23 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种针对网络攻击的自动溯源系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090323536A1 (en) * | 2008-06-30 | 2009-12-31 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method, device and system for network interception |
| CN104753946A (zh) * | 2015-04-01 | 2015-07-01 | 浪潮电子信息产业股份有限公司 | 一种基于网络流量元数据的安全分析框架 |
| CN107733913A (zh) * | 2017-11-04 | 2018-02-23 | 武汉虹旭信息技术有限责任公司 | 基于5g网络攻击溯源系统及其方法 |
-
2019
- 2019-01-11 CN CN201910028806.4A patent/CN109495520B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090323536A1 (en) * | 2008-06-30 | 2009-12-31 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method, device and system for network interception |
| CN104753946A (zh) * | 2015-04-01 | 2015-07-01 | 浪潮电子信息产业股份有限公司 | 一种基于网络流量元数据的安全分析框架 |
| CN107733913A (zh) * | 2017-11-04 | 2018-02-23 | 武汉虹旭信息技术有限责任公司 | 基于5g网络攻击溯源系统及其方法 |
Non-Patent Citations (2)
| Title |
|---|
| 万雪姣: "面向安卓移动终端数字取证系统及其框架的设计与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
| 蒋熠等: "网络安全一键式应急系统的构建", 《电信网技术》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110336808A (zh) * | 2019-06-28 | 2019-10-15 | 南瑞集团有限公司 | 一种面向电力工控网络的攻击溯源方法及系统 |
| CN110336808B (zh) * | 2019-06-28 | 2021-08-24 | 南瑞集团有限公司 | 一种面向电力工控网络的攻击溯源方法及系统 |
| CN110990830A (zh) * | 2019-12-12 | 2020-04-10 | 国网新疆电力有限公司信息通信公司 | 终端取证溯源系统及方法 |
| CN110830518A (zh) * | 2020-01-08 | 2020-02-21 | 浙江乾冠信息安全研究院有限公司 | 溯源分析方法、装置、电子设备及存储介质 |
| CN113497786A (zh) * | 2020-03-20 | 2021-10-12 | 腾讯科技(深圳)有限公司 | 一种取证溯源方法、装置以及存储介质 |
| CN112261045A (zh) * | 2020-10-22 | 2021-01-22 | 广州大学 | 一种基于攻击原理的网络攻击数据自动生成方法及系统 |
| CN112491913A (zh) * | 2020-12-03 | 2021-03-12 | 重庆洞见信息技术有限公司 | 一种黑客攻击溯源分析系统 |
| CN113726818A (zh) * | 2021-11-01 | 2021-11-30 | 北京微步在线科技有限公司 | 一种失陷主机检测方法及装置 |
| CN113726818B (zh) * | 2021-11-01 | 2022-02-15 | 北京微步在线科技有限公司 | 一种失陷主机检测方法及装置 |
| CN115102785A (zh) * | 2022-07-25 | 2022-09-23 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种针对网络攻击的自动溯源系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109495520B (zh) | 2021-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109495520A (zh) | 一体化网络攻击取证溯源方法、系统、设备及存储介质 | |
| CN108616534B (zh) | 一种基于区块链防护物联网设备DDoS攻击的方法及系统 | |
| CN103026345B (zh) | 用于事件监测优先级的动态多维模式 | |
| CN101639879B (zh) | 数据库安全监控方法、装置及其系统 | |
| KR101689295B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| CN106603519A (zh) | 一种基于证书特征泛化和服务器变迁行为的ssl/tls加密恶意服务发现方法 | |
| CN104063633B (zh) | 一种基于过滤驱动的安全审计系统 | |
| CN101711470A (zh) | 一种用于在对等网络上创建共享信息列表的系统和方法 | |
| CN101924757A (zh) | 追溯僵尸网络的方法和系统 | |
| CN102045375B (zh) | 远程命令交互方法及堡垒主机 | |
| CN107766728A (zh) | 移动应用安全管理装置、方法及移动作业安全防护系统 | |
| CN109391612A (zh) | 一种基于区块链的身份确认系统及方法 | |
| CN103632102B (zh) | 证件处理方法及终端 | |
| CN104899802A (zh) | 旅馆业入住信息系统及其使用方法 | |
| CN107454118A (zh) | 验证码获取方法及装置、登录方法及系统 | |
| CN104113598A (zh) | 一种数据库三层审计的方法 | |
| CN107590490A (zh) | 发票的全票面信息获取方法、装置及计算机可读存储介质 | |
| CN114679292A (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| CN104486320A (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| CN109977641A (zh) | 一种基于行为分析的验证处理方法及系统 | |
| CN109413047A (zh) | 行为模拟的判定方法、系统、服务器及存储介质 | |
| CN108429747A (zh) | 一种大规模Web服务器信息采集方法 | |
| CN102271331B (zh) | 一种检测业务提供商sp站点可靠性的方法及系统 | |
| CN114363053A (zh) | 一种攻击识别方法、装置及相关设备 | |
| CN110120960A (zh) | 一种网页重定向跳转方法及其系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |