CN109600387B - 攻击事件的追溯方法及装置、存储介质、计算机设备 - Google Patents
攻击事件的追溯方法及装置、存储介质、计算机设备 Download PDFInfo
- Publication number
- CN109600387B CN109600387B CN201811646139.8A CN201811646139A CN109600387B CN 109600387 B CN109600387 B CN 109600387B CN 201811646139 A CN201811646139 A CN 201811646139A CN 109600387 B CN109600387 B CN 109600387B
- Authority
- CN
- China
- Prior art keywords
- attack event
- attack
- behavior
- event
- chain information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 79
- 230000000977 initiatory effect Effects 0.000 claims abstract description 62
- 238000012544 monitoring process Methods 0.000 claims abstract description 21
- 238000004590 computer program Methods 0.000 claims description 10
- 238000012795 verification Methods 0.000 claims description 7
- 238000012790 confirmation Methods 0.000 claims description 5
- 238000012423 maintenance Methods 0.000 abstract description 10
- 230000007123 defense Effects 0.000 abstract description 8
- 230000006399 behavior Effects 0.000 description 155
- 230000002159 abnormal effect Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 125000004122 cyclic group Chemical class 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了攻击事件的追溯方法及装置、存储介质、计算机设备,该方法包括:利用云端对攻击事件进行监测;根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息;根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。本申请能够根据所确定的发起攻击端设备快速确定攻击事件的发起攻击端,提升追溯成功率和准确率,为后续的安全防御工作提供科学依据,同时,降低了对运维人员的专业性要求,降低了人员成本。
Description
技术领域
本申请涉及网络安全技术领域,尤其是涉及到攻击事件的追溯方法及装置、存储介质、计算机设备。
背景技术
目前,网络安全环境正发生深刻演变,随着攻击手段多样化,攻击团队专业化、组织化、甚至国家化,攻防不对等加剧,企业用户所部署的大量传统的安全设备,还是难以有效应对日益严峻的威胁形势。
在现有的安全防护系统中,安全日志告警是必不可少的一个功能模块,但随着企业服务器的不断增多、黑客攻击成本不断下降,导致安全告警日志不断增加,企业专业的运维人员在成千上万的安全告警日志中追溯某一个攻击事件十分困难,不仅需要专业的运维人员进行人工查找,对运维人员的专业性有较高的要求,且人员成本较高,同时,对安全告警日志中某一个攻击事件追溯成功的可能性较低,即便追溯到攻击事件,其追溯结果的准确率也不容乐观,无法展开相应的安全防御工作。
发明内容
有鉴于此,本申请提供了攻击事件的追溯方法及装置、存储介质、计算机设备,基于云端确定发现攻击事件的设备从而追溯到原始设备,以解决企业用户在处理攻击事件过程中遇到的难以追溯原始设备的技术问题。
根据本申请的一个方面,提供了一种攻击事件的追溯方法,包括:
利用云端对攻击事件进行监测;
根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息;
根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。
根据本申请的另一方面,提供了一种攻击事件的追溯装置,包括:
监测模块,用于利用云端对攻击事件进行监测;
行为链模块,用于根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息;
追溯模块,用于根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述攻击事件的追溯方法。
依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述攻击事件的追溯方法。
借由上述技术方案,本申请提供的攻击事件的追溯方法及装置、存储介质、计算机设备,利用云端对攻击事件进行监测,根据监测到的攻击事件对应的被攻击端设备,得到该攻击事件的行为链信息,并根据该攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。本申请能够根据所确定的发起攻击端设备快速确定攻击事件的发起攻击端,提升追溯成功率和准确率,为后续的安全防御工作提供科学依据,同时,降低了对运维人员的专业性要求,降低了人员成本。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种攻击事件的追溯方法的流程示意图;
图2示出了本申请实施例提供的另一种攻击事件的追溯方法的流程示意图;
图3示出了本申请实施例提供的一种攻击事件的追溯装置的结构示意图;
图4示出了本申请实施例提供的另一种攻击事件的追溯装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种攻击事件的追溯方法,如图1所示,该方法包括:
步骤101,利用云端对攻击事件进行监测。
利用云端收集来自企业用户的不同服务器的行为日志,并对收集到的行为日志进行监测,若监测到所收集到的行为日志中存在攻击事件,则获取与该攻击事件相关的一系列行为日志,以便后续根据获取到的一系列行为日志确定该攻击事件对应的被攻击端设备。
其中,每个服务器中的行为日志来自不同的客户端设备,客户端设备可以为计算机设备,例如,笔记本电脑、台式电脑、平板电脑等。
步骤102,根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息。
在上述实施例中,根据获取到的攻击事件相关的一系列行为日志,确定与该攻击事件对应的被攻击端设备,并根据所确定的被攻击端设备获取该被攻击端设备中对应该攻击事件的进程链信息和文件链信息,并根据该攻击事件的发生时间,确定基于进程链信息和文件链信息的行为链信息。
步骤103,根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。
在本申请的实施例中,对所确定的攻击事件的行为链信息进行解析,获取该行为链信息中的文件创建信息,该文件创建信息来自该攻击事件对应的创建行为日志,根据文件创建信息获取该攻击事件的创建信息,根据获取到的创建信息追溯发起该攻击事件的发起攻击端设备。
通过应用本实施例的技术方案,利用云端对攻击事件进行监测,根据监测到的攻击事件对应的被攻击端设备,得到该攻击事件的行为链信息,并根据该攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。本申请能够根据所确定的发起攻击端设备快速确定安全告警日志中攻击事件的发起攻击端,提升追溯成功率和准确率,为后续的安全防御工作提供科学依据,同时,降低了对运维人员的专业性要求,降低了人员成本。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种攻击事件的追溯方法,如图2所示,该方法包括:
步骤201,获取来自不同客户端设备的行为日志。
在本申请的实施例中,行为日志包括进程所产生操作日志和安全日志,控制中心收集来自不同客户端设备的操作日志和安全日志,并对收集到的操作日志进行权限校验,以及对收集到的安全日志进行安全解析,以确定使用权限异常的操作日志,以及存在告警标识的安全日志。
此外,还可以包括对获取到的来自不同客户端设备的行为日志进行多维度分类,以便后续在确定与攻击事件对应的行为链信息时,能够更加快速地获取到相应的行为链信息。具体为,获取行为日志中的IP地址、日志类型、日志的发生时间,分别根据获取到的IP地址、日志类型、日志的发生时间对获取到的行为日志进行分类。其中,日志类型包括浏览器访问、读文件、写文件、播放器播放视频等。
需要说明的是,IP地址通常对应一个客户端设备ID,但特殊情况下,例如,在同一IP地址下更换客户端设备,会导致同一IP地址包含多个客户端设备ID,则进一步根据客户端设备ID对行为日志做进一步分类。
步骤202,对获取到的行为日志进行解析,确定包含攻击事件的行为日志。
对收集到的操作日志进行权限校验,具体为,对收集到的操作日志进行解析,确定该操作日志对应的使用权限,根据所确定的使用权限,查询预置的操作日志与执行权限的对应关系表,判断所确定的使用权限与对应关系表中该操作日志对应的执行权限是否一致;若所确定的使用权限与对应关系表中该操作日志对应的执行权限一致,则该操作日志为使用权限正常的操作日志,若所确定的使用权限与对应关系表中该操作日志对应的执行权限不一致,则该操作日志为使用权限异常的操作日志。
对收集到的安全日志进行安全解析,具体为,对收集到的安全日志进行解析,若该安全日志包括用于表征对应该安全日志的进程安全的安全标识,则该安全日志为安全的安全日志;若该安全日志包括用于表征对应该安全日志的进程异常的告警标识,则该安全日志为异常的安全日志。
需要说明的是,在上述实施例中,对确定为使用权限正常的操作日志,以及存在安全标识的安全日志仍进行保存,以便后续针对使用权限异常的操作日志,或者存在告警标识的安全日志获取与使用权限异常的操作日志,或者存在告警标识的安全日志存在关联关系的使用权限正常的操作日志,以及存在安全标识的安全日志,从而得到完整的对应该攻击事件的行为链信息。
步骤203,根据所确定的包含攻击事件的行为日志,确定所述攻击事件对应的被攻击端设备。
在上述实施例中,具体地,根据所确定的包含攻击事件的行为日志,确定所述攻击事件对应的被攻击端设备的步骤如下:
步骤2031,根据所确定的包含攻击事件的行为日志,确定对应所述攻击事件的设备ID。
在本申请的实施例中,确定对应该攻击事件的设备ID的方法有多种,具体为,对所确定的包含攻击事件的行为日志进行解析,若该包含攻击事件的行为日志中包含设备ID标识,则直接确定对应该攻击事件的设备ID;若该包含攻击事件的行为日志中不包含设备ID标识,则进一步根据该包含攻击事件的行为日志中的IP地址、日志类型、日志的发生时间中的一个或多个获取与该包含攻击事件的行为日志中的IP地址、日志类型、日志的发生时间中的一个或多个一致的行为日志,直至获取到的行为日志中存在设备ID标识,并将该设备ID标识作为对应该攻击事件的设备ID。
步骤2032,根据所确定的设备ID确定所述攻击事件对应的被攻击端设备。
步骤204,根据所述被攻击端设备,确定所述攻击事件的进程链信息和文件链信息。
在本申请的实施例中,进程链信息包括与该攻击事件对应的进程的执行主体、进程内容信息,例如,进程内容信息为进程用于启动某一聊天应用程序,或者进程用于运行某一聊天应用程序。文件链信息包括文件创建信息,该文件创建信息是根据与该攻击事件相关联的多个行为日志确定的。例如,用户通过浏览器搜索某一聊天应用程序的下载链接,根据搜索到的下载链接启动某一下载应用程序,并利用所启动的下载应用程序下载该聊天应用程序,若该下载事件中存在包含攻击事件的行为日志,则根据该下载事件获取与该攻击事件相关的行为日志,根据获取到的相关的行为日志确定对应该攻击事件的文件链信息,文件链信息中的文件创建信息包括三个文件创建标识,第一文件创建标识为浏览器标识,第二文件创建标识为下载应用程序标识,第三文件创建标识为聊天应用程序标识,且第一文件创建标识对应的浏览器标识为被攻击端设备中该攻击事件的创建来源标识。
步骤205,根据所述进程链信息和所述文件链信息,得到所述攻击事件的行为链信息。
需要说明的是,在上述实施例中,当同一设备ID下包括多个攻击事件时,根据攻击事件的发生时间,获取与该攻击事件对应的进程链信息和文件链信息,并根据获取到的属于同一攻击事件的进程链信息和文件链信息得到攻击事件的行为链信息,该行为链信息为同一设备ID下,基于同一攻击事件的发生时间,同一执行主体的进程内容信息以及与该攻击事件的发生时间对应的文件创建信息。
步骤206,对得到的所述攻击事件的行为链信息进行合法性校验;以及,若所述攻击事件的行为链信息属于合法的行为链信息,则拒绝对所述攻击事件追溯发起攻击端设备,并生成提示信息;以及,若所述攻击事件的行为链信息属于非法的行为链信息,则继续对所述攻击事件追溯发起攻击端设备。
需要说明的是,在上述实施例中,对得到的对应攻击事件的行为链信息进行合法性校验,例如,通过获取行为链信息中的使用权限和/或安全日志确保所得到的行为链信息存在相应的攻击事件,以避免根据未含有攻击事件的行为链信息追溯发起攻击事件的发起攻击端设备,导致进入攻击事件追溯的死循环中。
步骤207,根据所述攻击事件的行为链信息,确定所述被攻击端设备创建所述攻击事件的创建信息。
根据对应攻击事件的行为链信息,获取该行为链信息中的文件创建信息,以便根据获取到的文件创建信息确定第一文件创建标识,该第一文件创建标识所对应的应用程序标识为被攻击端设备中该攻击事件的创建来源标识。
步骤208,根据所述创建信息确定发起攻击事件的发起攻击端设备。
在上述实施例中,根据攻击事件的创建来源标识获取与该创建来源标识对应的网络行为信息,根据获取到的网络行为信息确定发起攻击事件的发起攻击端设备。其中,该网络行为信息包括该创建来源运行有关攻击事件的网络行为的执行指令,该执行指令包括该网络行为的发送方标识,根据该发送方标识确定发起攻击事件的发起攻击端设备,从而实现根据发现攻击事件的被攻击端设备追溯到控制该被攻击端设备的发起攻击端设备。
步骤209,根据所述发起攻击端设备标识,获取所述发起攻击端设备中相应攻击事件的行为日志;以及,根据所述相应攻击事件的行为日志,确定发起攻击的恶意程序。
根据所确定的发起攻击端设备标识,根据被攻击端设备中创建来源接收网络行为信息的接收时间,获取发起攻击端设备中对应该接收时间,且所发送的网络行为信息中包含被攻击端设备标识的行为日志,所获取到的行为日志即与攻击事件相关的行为日志,并根据与攻击事件相关的行为日志中的应用程序标识,确定发起攻击端设备中发起攻击的恶意程序。
例如,当企业中的员工使用客户端设备B进行相应的应用程序操作时,云端对相应的应用程序操作进行监测,并获取应用程序操作所产生的行为日志。对获取到的行为日志进行解析,获取包含攻击事件的一系列行为日志,并根据所获取到的一系列的行为日志获取该攻击事件的行为链信息,并根据获取到的行为链信息获取创建来源应用程序B1,根据创建来源应用程序B1和对应该创建来源应用程序B1的网络访问行为信息追溯发起攻击端设备A中发起攻击的恶意程序A1。其中,该创建来源应用程序B1可以为木马程序等恶意程序。
此外,云端通过上述追溯方法实现对被攻击端设备中包含攻击事件的行为日志的分析追溯发起攻击事件的发起攻击端设备的同时,将包含进程链信息、行为链信息和文件链信息的攻击链通过控制中心展示给运维人员,以使运维人员根据所展示的攻击链了解攻击者的一系列攻击行为,从而展开相应的安全防御工作。
通过应用本实施例的技术方案,利用云端对攻击事件进行监测,根据监测到的攻击事件对应的被攻击端设备,得到该攻击事件的行为链信息,并根据该攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。可见,基于攻击事件,利用从探测到破坏的一系列循环处理过程所形成的来自不同阶段的行为构成的行为日志,通过追溯算法根据所确定的发起攻击端设备快速确定攻击事件的发起攻击端,提升追溯成功率和准确率,为后续的安全防御工作提供科学依据,同时,降低了对运维人员的专业性要求,降低了人员成本。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种攻击事件的追溯装置,如图3所示,该装置包括:监测模块31、行为链模块32、追溯模块33。
监测模块31,用于利用云端对攻击事件进行监测;
行为链模块32,用于根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息;
追溯模块33,用于根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。
在具体的应用场景中,如图4所示,监测模块31,具体包括:第一获取单元311、解析单元312、第一确定单元313。
第一获取单元311,具体用于获取来自不同客户端设备的行为日志;
解析单元312,具体用于对获取到的行为日志进行解析,确定包含攻击事件的行为日志;
第一确定单元313,具体用于根据所确定的包含攻击事件的行为日志,确定所述攻击事件对应的被攻击端设备。
在具体的应用场景中,如图4所示,第一确定单元313,具体包括:
具体用于根据所确定的包含攻击事件的行为日志,确定对应所述攻击事件的设备ID;以及,
具体用于根据所确定的设备ID确定所述攻击事件对应的被攻击端设备。
在具体的应用场景中,如图4所示,行为链模块32,具体包括:第二获取单元321、行为链确认单元322。
第二获取单元321,具体用于根据所述被攻击端设备,获取所述攻击事件的进程链信息和文件链信息;
行为链确认单元322,具体用于根据所述进程链信息和所述文件链信息,得到所述攻击事件的行为链信息。
在具体的应用场景中,如图4所示,该装置还包括:校验模块34。
校验模块34,用于对得到的所述攻击事件的行为链信息进行合法性校验;以及,
若所述攻击事件的行为链信息属于合法的行为链信息,则拒绝对所述攻击事件追溯发起攻击端设备,并生成提示信息;以及,
若所述攻击事件的行为链信息属于非法的行为链信息,则继续对所述攻击事件追溯发起攻击端设备。
在具体的应用场景中,如图4所示,追溯模块33,具体包括:第二确定单元331、创建来源确认单元332。
第二确定单元331,具体用于根据所述攻击事件的行为链信息,确定所述被攻击端设备创建所述攻击事件的创建信息;
创建来源确认单元332,具体用于根据所述创建信息确定发起攻击事件的发起攻击端设备。
在具体的应用场景中,如图4所示,该装置还包括:恶意程序模块35。
恶意程序模块35,用于根据所述发起攻击端设备标识,获取所述发起攻击端设备中相应攻击事件的行为日志;以及,
根据所述相应攻击事件的行为日志,确定发起攻击的恶意程序。
需要说明的是,本申请实施例提供的一种攻击事件的追溯装置所涉及各功能单元的其他相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
基于上述如图1和图2所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的攻击事件的追溯方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图3、图4所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的攻击事件的追溯方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现利用云端对攻击事件进行监测,根据监测到的攻击事件对应的被攻击端设备,得到该攻击事件的行为链信息,并根据该攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。可见,基于攻击事件,利用从探测到破坏的一系列循环处理过程所形成的来自不同阶段的行为构成的行为日志,通过追溯算法根据所确定的发起攻击端设备快速确定攻击事件的发起攻击端,提升追溯成功率和准确率,为后续的安全防御工作提供科学依据,同时,降低了对运维人员的专业性要求,降低了人员成本。
本发明实施例提供了以下技术方案:
A1、一种攻击事件的追溯方法,其特征在于,包括:
利用云端对攻击事件进行监测;
根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息;
根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。
A2、根据权利要求A1所述的方法,其特征在于,所述利用云端对攻击事件进行监测,具体包括:
获取来自不同客户端设备的行为日志;
对获取到的行为日志进行解析,确定包含攻击事件的行为日志;
根据所确定的包含攻击事件的行为日志,确定所述攻击事件对应的被攻击端设备。
A3、根据权利要求A2所述的方法,其特征在于,所述根据所确定的包含攻击事件的行为日志,确定所述攻击事件对应的被攻击端设备,具体包括:
根据所确定的包含攻击事件的行为日志,确定对应所述攻击事件的设备ID;
根据所确定的设备ID确定所述攻击事件对应的被攻击端设备。
A4、根据权利要求A1所述的方法,其特征在于,所述根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息,具体包括:
根据所述被攻击端设备,确定所述攻击事件的进程链信息和文件链信息;
根据所述进程链信息和所述文件链信息,得到所述攻击事件的行为链信息。
A5、根据权利要求A1所述的方法,其特征在于,所述根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息之后,具体还包括:
对得到的所述攻击事件的行为链信息进行合法性校验;
若所述攻击事件的行为链信息属于合法的行为链信息,则拒绝对所述攻击事件追溯发起攻击端设备,并生成提示信息;
若所述攻击事件的行为链信息属于非法的行为链信息,则继续对所述攻击事件追溯发起攻击端设备。
A6、根据权利要求A1或A4所述的方法,其特征在于,所述根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备,具体包括:
根据所述攻击事件的行为链信息,确定所述被攻击端设备创建所述攻击事件的创建信息;
根据所述创建信息确定发起攻击事件的发起攻击端设备。
A7、根据权利要求A6所述的方法,其特征在于,所述根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备之后,具体还包括:
根据所述发起攻击端设备标识,获取所述发起攻击端设备中相应攻击事件的行为日志;
根据所述相应攻击事件的行为日志,确定发起攻击的恶意程序。
B8、一种攻击事件的追溯装置,其特征在于,包括:
监测模块,用于利用云端对攻击事件进行监测;
行为链模块,用于根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息;
追溯模块,用于根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。
B9、根据权利要求B8所述的装置,其特征在于,所述监测模块,具体包括:
第一获取单元,用于获取来自不同客户端设备的行为日志;
解析单元,用于对获取到的行为日志进行解析,确定包含攻击事件的行为日志;
第一确定单元,用于根据所确定的包含攻击事件的行为日志,确定所述攻击事件对应的被攻击端设备。
B10、根据权利要求B9所述的装置,其特征在于,所述第一确定单元,具体还包括:
根据所确定的包含攻击事件的行为日志,确定对应所述攻击事件的设备ID;
根据所确定的设备ID确定所述攻击事件对应的被攻击端设备。
B11、根据权利要求B8所述的装置,其特征在于,所述行为链模块,具体包括:
第二获取单元,用于根据所述被攻击端设备,获取所述攻击事件的进程链信息和文件链信息;
行为链确认单元,用于根据所述进程链信息和所述文件链信息,得到所述攻击事件的行为链信息。
B12、根据权利要求B8所述的装置,其特征在于,所述装置还包括:
校验模块,用于对得到的所述攻击事件的行为链信息进行合法性校验;以及,
若所述攻击事件的行为链信息属于合法的行为链信息,则拒绝对所述攻击事件追溯发起攻击端设备,并生成提示信息;以及,
若所述攻击事件的行为链信息属于非法的行为链信息,则继续对所述攻击事件追溯发起攻击端设备。
B13、根据权利要求B8或B11所述的装置,其特征在于,所述追溯模块,具体包括:
第二确定单元,用于根据所述攻击事件的行为链信息,确定所述被攻击端设备创建所述攻击事件的创建信息;
创建来源确认单元,用于根据所述创建信息确定发起攻击事件的发起攻击端设备。
B14、根据权利要求B13所述的装置,其特征在于,所述装置还包括:
恶意程序模块,用于根据所述发起攻击端设备标识,获取所述发起攻击端设备中相应攻击事件的行为日志;以及,
根据所述相应攻击事件的行为日志,确定发起攻击的恶意程序。
C15、一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求A1至A7中任一项所述的攻击事件的追溯方法。
C16、一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求A1至A7中任一项所述的攻击事件的追溯方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (14)
1.一种攻击事件的追溯方法,其特征在于,包括:
利用云端对攻击事件进行监测;
根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息,其中,所述行为链信息为同一设备ID下,基于同一攻击事件的发生时间,同一执行主体的进程内容信息以及与所述攻击事件的发生时间对应的文件创建信息;
根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。
2.根据权利要求1所述的方法,其特征在于,所述利用云端对攻击事件进行监测,具体包括:
获取来自不同客户端设备的行为日志;
对获取到的行为日志进行解析,确定包含攻击事件的行为日志;
根据所确定的包含攻击事件的行为日志,确定所述攻击事件对应的被攻击端设备。
3.根据权利要求2所述的方法,其特征在于,所述根据所确定的包含攻击事件的行为日志,确定所述攻击事件对应的被攻击端设备,具体包括:
根据所确定的包含攻击事件的行为日志,确定对应所述攻击事件的设备ID;
根据所确定的设备ID确定所述攻击事件对应的被攻击端设备。
4.根据权利要求1所述的方法,其特征在于,所述根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息之后,具体还包括:
对得到的所述攻击事件的行为链信息进行合法性校验;
若所述攻击事件的行为链信息属于合法的行为链信息,则拒绝对所述攻击事件追溯发起攻击端设备,并生成提示信息;
若所述攻击事件的行为链信息属于非法的行为链信息,则继续对所述攻击事件追溯发起攻击端设备。
5.根据权利要求1所述的方法,其特征在于,所述根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备,具体包括:
根据所述攻击事件的行为链信息,确定所述被攻击端设备创建所述攻击事件的创建信息;
根据所述创建信息确定发起攻击事件的发起攻击端设备。
6.根据权利要求5所述的方法,其特征在于,所述根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备之后,具体还包括:
根据所述发起攻击端设备标识,获取所述发起攻击端设备中相应攻击事件的行为日志;
根据所述相应攻击事件的行为日志,确定发起攻击的恶意程序。
7.一种攻击事件的追溯装置,其特征在于,包括:
监测模块,用于利用云端对攻击事件进行监测;
行为链模块,用于根据监测到的攻击事件对应的被攻击端设备,得到所述攻击事件的行为链信息,其中,所述行为链信息为同一设备ID下,基于同一攻击事件的发生时间,同一执行主体的进程内容信息以及与所述攻击事件的发生时间对应的文件创建信息;
追溯模块,用于根据所述攻击事件的行为链信息,确定发起攻击事件的发起攻击端设备。
8.根据权利要求7所述的装置,其特征在于,所述监测模块,具体包括:
第一获取单元,用于获取来自不同客户端设备的行为日志;
解析单元,用于对获取到的行为日志进行解析,确定包含攻击事件的行为日志;
第一确定单元,用于根据所确定的包含攻击事件的行为日志,确定所述攻击事件对应的被攻击端设备。
9.根据权利要求8所述的装置,其特征在于,所述第一确定单元,具体还包括:
根据所确定的包含攻击事件的行为日志,确定对应所述攻击事件的设备ID;
根据所确定的设备ID确定所述攻击事件对应的被攻击端设备。
10.根据权利要求7所述的装置,其特征在于,所述装置还包括:
校验模块,用于对得到的所述攻击事件的行为链信息进行合法性校验;以及,
若所述攻击事件的行为链信息属于合法的行为链信息,则拒绝对所述攻击事件追溯发起攻击端设备,并生成提示信息;以及,
若所述攻击事件的行为链信息属于非法的行为链信息,则继续对所述攻击事件追溯发起攻击端设备。
11.根据权利要求7或10所述的装置,其特征在于,所述追溯模块,具体包括:
第二确定单元,用于根据所述攻击事件的行为链信息,确定所述被攻击端设备创建所述攻击事件的创建信息;
创建来源确认单元,用于根据所述创建信息确定发起攻击事件的发起攻击端设备。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
恶意程序模块,用于根据所述发起攻击端设备标识,获取所述发起攻击端设备中相应攻击事件的行为日志;以及,
根据所述相应攻击事件的行为日志,确定发起攻击的恶意程序。
13.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至6中任一项所述的攻击事件的追溯方法。
14.一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至6中任一项所述的攻击事件的追溯方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811646139.8A CN109600387B (zh) | 2018-12-29 | 2018-12-29 | 攻击事件的追溯方法及装置、存储介质、计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811646139.8A CN109600387B (zh) | 2018-12-29 | 2018-12-29 | 攻击事件的追溯方法及装置、存储介质、计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109600387A CN109600387A (zh) | 2019-04-09 |
| CN109600387B true CN109600387B (zh) | 2021-07-20 |
Family
ID=65965603
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811646139.8A Active CN109600387B (zh) | 2018-12-29 | 2018-12-29 | 攻击事件的追溯方法及装置、存储介质、计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109600387B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110213077B (zh) * | 2019-04-18 | 2022-02-22 | 国家电网有限公司 | 一种确定电力监控系统安全事件的方法、装置及系统 |
| CN112217777A (zh) * | 2019-07-12 | 2021-01-12 | 上海云盾信息技术有限公司 | 攻击回溯方法及设备 |
| CN113139179A (zh) * | 2020-01-19 | 2021-07-20 | 奇安信科技集团股份有限公司 | 基于web攻击的分析方法及装置 |
| CN113141334A (zh) * | 2020-01-19 | 2021-07-20 | 奇安信科技集团股份有限公司 | 基于网络攻击的数据采集、分析方法及系统 |
| CN112187719B (zh) * | 2020-08-31 | 2023-04-14 | 新浪技术(中国)有限公司 | 被攻击服务器的信息获取方法、装置和电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103595732A (zh) * | 2013-11-29 | 2014-02-19 | 北京奇虎科技有限公司 | 一种网络攻击取证的方法及装置 |
| CN105208000A (zh) * | 2015-08-21 | 2015-12-30 | 深信服网络科技(深圳)有限公司 | 网络分析攻击回溯的方法及网络安全设备 |
| CN108769077A (zh) * | 2018-07-06 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种网络安全溯源分析的方法及装置 |
| CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105763529A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种网络环境下攻击链获取方法及系统 |
| CN106649627B (zh) * | 2016-12-06 | 2019-09-17 | 杭州迪普科技股份有限公司 | 一种日志查找的方法和装置 |
| CN108270722B (zh) * | 2016-12-30 | 2021-08-24 | 阿里巴巴集团控股有限公司 | 一种攻击行为检测方法和装置 |
| US10367832B2 (en) * | 2017-01-27 | 2019-07-30 | Rapid7, Inc. | Reactive virtual security appliances |
| CN107515778B (zh) * | 2017-08-25 | 2020-12-18 | 武汉大学 | 一种基于上下文感知的起源追踪方法及系统 |
-
2018
- 2018-12-29 CN CN201811646139.8A patent/CN109600387B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103595732A (zh) * | 2013-11-29 | 2014-02-19 | 北京奇虎科技有限公司 | 一种网络攻击取证的方法及装置 |
| CN105208000A (zh) * | 2015-08-21 | 2015-12-30 | 深信服网络科技(深圳)有限公司 | 网络分析攻击回溯的方法及网络安全设备 |
| CN108769077A (zh) * | 2018-07-06 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种网络安全溯源分析的方法及装置 |
| CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109600387A (zh) | 2019-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109600387B (zh) | 攻击事件的追溯方法及装置、存储介质、计算机设备 | |
| CN109743315B (zh) | 针对网站的行为识别方法、装置、设备及可读存储介质 | |
| Aslan et al. | Investigation of possibilities to detect malware using existing tools | |
| US9661003B2 (en) | System and method for forensic cyber adversary profiling, attribution and attack identification | |
| JP6499380B2 (ja) | ログ分析装置、ログ分析方法およびログ分析プログラム | |
| US20160232351A1 (en) | Method and device for identifying computer virus variants | |
| Yusoff et al. | Forensic investigation of social media and instant messaging services in Firefox OS: Facebook, Twitter, Google+, Telegram, OpenWapp, and Line as case studies | |
| CN110866248B (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
| CN113973012B (zh) | 一种威胁检测方法、装置、电子设备及可读存储介质 | |
| CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
| CN114189378A (zh) | 一种网络安全事件分析方法、装置、电子设备及存储介质 | |
| JP5613000B2 (ja) | アプリケーション特性解析装置およびプログラム | |
| CN113676497A (zh) | 数据阻断的方法和装置、电子设备和存储介质 | |
| CN109802955B (zh) | 权限控制方法及装置、存储介质、计算机设备 | |
| CN112580041B (zh) | 恶意程序检测方法及装置、存储介质、计算机设备 | |
| CN112398784B (zh) | 防御漏洞攻击的方法及装置、存储介质、计算机设备 | |
| CN112090087B (zh) | 游戏外挂的检测方法及装置、存储介质、计算机设备 | |
| CN108875363B (zh) | 一种加速虚拟执行的方法、装置、电子设备及存储介质 | |
| CN109726548B (zh) | 应用程序行为的处理方法、服务器、系统及存储介质 | |
| CN112580038A (zh) | 反病毒数据的处理方法、装置及设备 | |
| CN112395637A (zh) | 数据库防护方法及装置、存储介质、计算机设备 | |
| CN112580025A (zh) | 基于虚拟机的报毒方法及装置、存储介质、计算机设备 | |
| CN114021134A (zh) | 基于关联程序追踪的程序处理方法及装置、存储介质 | |
| CN109784037B (zh) | 文档文件的安全防护方法及装置、存储介质、计算机设备 | |
| CN112395602B (zh) | 静态安全特征数据库的处理方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee after: Qianxin Safety Technology (Zhuhai) Co.,Ltd. Patentee after: QAX Technology Group Inc. Address before: 519085 No. 501, 601, building 14, kechuangyuan, Gangwan No. 1, Jintang Road, Tangjiawan Town, high tech Zone, Zhuhai City, Guangdong Province Patentee before: 360 ENTERPRISE SECURITY TECHNOLOGY (ZHUHAI) Co.,Ltd. Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |