CN110519264B - 攻击事件的追踪溯源方法、装置及设备 - Google Patents
攻击事件的追踪溯源方法、装置及设备 Download PDFInfo
- Publication number
- CN110519264B CN110519264B CN201910792305.3A CN201910792305A CN110519264B CN 110519264 B CN110519264 B CN 110519264B CN 201910792305 A CN201910792305 A CN 201910792305A CN 110519264 B CN110519264 B CN 110519264B
- Authority
- CN
- China
- Prior art keywords
- attack event
- attack
- slice
- slices
- incidence relation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 230000002776 aggregation Effects 0.000 claims abstract description 36
- 238000004220 aggregation Methods 0.000 claims abstract description 36
- 238000004458 analytical method Methods 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 11
- 238000000605 extraction Methods 0.000 claims description 3
- 230000006399 behavior Effects 0.000 abstract description 7
- 230000000875 corresponding effect Effects 0.000 description 49
- 238000010586 diagram Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000003203 everyday effect Effects 0.000 description 3
- 230000004931 aggregating effect Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000003321 amplification Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000012358 sourcing Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种攻击事件的追踪溯源方法、装置及设备,涉及网络安全技术领域,可提高追踪溯源的效率和精确性,帮助用户及时发现存在恶意攻击行为的攻击者。其中方法包括:首先将攻击告警数据按照相同的属性特征划分为攻击事件切片;然后根据所述攻击事件切片对应的切片特征,分析所述攻击事件切片之间的关联关系;最后依据所述关联关系,将所述攻击事件切片进行同源聚合,以便获取相同的攻击者信息。本申请适用于网络安全的追踪溯源。
Description
技术领域
本申请涉及网络安全技术领域,尤其是涉及到一种攻击事件的追踪溯源方法、装置及设备。
背景技术
互联网信息化发达的当代,网络黑客攻击事件越来越多,黑客攻击手段也在不断演化。网络安全环境正发生深刻演变,随着攻击手段多样化,攻击团队专业化、组织化、甚至国家化。功放不对等加剧,企业用户所部署的大量传统的安全设备,还是难以有效对日益严峻的威胁形势。
目前,在现有的安全防护系统中,安全日志告警是必不可少的一个功能模块。然而,随着业务服务器的不断增加、黑客攻击成本不断下降,导致安全告警日志不断增加,企业专业的运维人员在成千上万的安全告警日志中对某个攻击事件进行追踪溯源十分困难。不仅需要专业的运维人员进行人工查找,造成人工成本较高、追踪溯源效率较低,而且无法保证追踪溯源的精确性。
发明内容
有鉴于此,本申请提供了一种攻击事件的追踪溯源方法、装置及设备,主要目的在于解决目前传统方式会造成人工成本较高、追踪溯源效率较低,并且无法保证追踪溯源的精确性的技术问题。
根据本申请的一个方面,提供了一种攻击事件的追踪溯源方法,该方法包括:
将攻击告警数据按照相同的属性特征划分为攻击事件切片;
根据所述攻击事件切片对应的切片特征,分析所述攻击事件切片之间的关联关系;
依据所述关联关系,将所述攻击事件切片进行同源聚合,以便获取相同的攻击者信息。
根据本申请的另一方面,提供了一种攻击事件的追踪溯源装置,该装置包括:
划分模块,用于将攻击告警数据按照相同的属性特征划分为攻击事件切片;
分析模块,用于根据所述攻击事件切片对应的切片特征,分析所述攻击事件切片之间的关联关系;
聚合模块,用于依据所述关联关系,将所述攻击事件切片进行同源聚合,以便获取相同的攻击者信息。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述攻击事件的追踪溯源方法。
依据本申请再一个方面,提供了一种攻击事件追踪溯源的实体设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述攻击事件的追踪溯源方法。
借由上述技术方案,本申请提供的一种攻击事件的追踪溯源方法、装置及设备,首先将攻击告警数据按照相同的属性特征划分为攻击事件切片,然后根据攻击事件切片对应的切片特征,分析攻击事件切片之间的关联关系,进而基于该关联关系,将攻击事件切片进行同源聚合,即通过攻击者相关线索将分散的相同或不同维度的攻击事件进行关联,从而实现对攻击者进行追踪溯源。与目前传统方式相比,可节省人工成本,并且可提高追踪溯源的效率和精确性,帮助用户及时发现存在恶意攻击行为的攻击者。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种攻击事件的追踪溯源方法的流程示意图;
图2示出了本申请实施例提供的另一种攻击事件的追踪溯源方法的流程示意图;
图3示出了本申请实施例提供的追踪溯源遍历流程的实例示意图;
图4示出了本申请实施例提供的追踪溯源的实例结果示意图;
图5示出了本申请实施例提供的一种攻击事件的追踪溯源装置的结构示意图;
图6示出了本申请实施例提供的另一种攻击事件的追踪溯源装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
针对目前传统方式会造成人工成本较高、追踪溯源效率较低,并且无法保证追踪溯源的精确性的技术问题,本实施例提供了一种攻击事件的追踪溯源方法,如图1所示,该方法包括:
101、将攻击告警数据按照相同的属性特征划分为攻击事件切片。
其中,攻击告警数据可利用安全设备采集得到。属性特征可包括攻击事件发起者对应的IP地址、域名、邮箱特征、指纹以及攻击时间等。在本实施例中,首先可从攻击告警数据中提取各个攻击事件,然后将这些攻击事件按照相同的属性特征划分为各个攻击事件切片。由于同一攻击者的攻击事件会存在一定的相似性,如每天使用同一IP地址发起攻击等,因此通过这种切片划分方式将攻击事件按照相关同源关联特征进行初步整合,方便后续将同一攻击者分散的不同维度的攻击事件进行关联。
对于本实施例的执行主体可以为攻击事件追踪溯源的装置或设备。用于将相同或不同维度攻击事件根据攻击事件中提取的关联关系进行自动关联成同一个攻击者。
102、根据攻击事件切片对应的切片特征,分析攻击事件切片之间的关联关系。
在本实施例中提取的切片特征用于作为线索特征进而分析攻击事件切片之间的关联关系。例如,对于万维网(World Wide Web,WEB)类攻击告警的攻击事件切片,cookie/ua都是切片特征信息之一。
103、依据分析得到的关联关系,将攻击事件切片进行同源聚合,以便获取相同的攻击者信息。
例如,一些攻击事件切片之间的关联关系是都使用了相同特征的邮箱进行攻击、攻击工具使用相似字典等,可将这些攻击事件切片进行同源聚合,即将同一个攻击者相同或不同维度的攻击事件进行聚合,然后深度分析聚合后这些攻击事件,从而分析获取这些攻击事件相同的攻击者信息。
通过应用上述攻击事件的追踪溯源方法,通过攻击者相关线索将分散的相同或不同维度的攻击事件进行关联,从而实现对攻击者进行追踪溯源。与目前传统方式相比,可节省人工成本,并且可提高追踪溯源的效率和精确性,帮助用户及时发现存在恶意攻击行为的攻击者。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的实施过程,提供了另一种攻击事件的追踪溯源方法,如图2所示,该方法包括:
201、将攻击告警数据按照相同的属性特征划分为各个攻击事件切片。
在具体的应用场景中,对于攻击事件切片划分规则可根据实际情况而定,为了说明其具体实现过程,示例性的,步骤201具体可包括:将攻击告警数据中在预设时间段内来自相同IP地址、和/或相同域名的攻击事件,划分为同一个攻击事件切片;和/或将攻击告警数据中在预定时间段内具有相同指纹信息、和/或相同样本信息、和/或相同告警信息的攻击事件,划分为同一个攻击事件切片;和/或将攻击告警数据中在预置时间段内包含相同恶意附件的攻击事件,划分为同一个攻击事件切片。
例如,将当前时刻算起最近1周内每天来自相同IP地址的攻击事件,划分为有一个切片;再例如,对应WEB类告警,一个SQL注入有100条告警记录,将这段时间来自各个IP的所有该类型的告警攻击事件划分为一个攻击事件切片;再例如,根据攻击告警数据确定最近2周内接收到的一些邮件其中都包含病毒样本.exe,那么可将其作为一个攻击事件切片;再例如,每天来自同一发件人的邮件所引起的攻击告警,那么可将这些同一发件人的邮件攻击事件作为一个切片等。
202、根据各个攻击事件切片对应的攻击事件告警类型进行数据富化。
在本实施例中,为了获取攻击事件切片更加丰富的切片特征,需要进行数据富化处理,以便根据外部数据源进行拓展,提高切片间关联关系分析的精确性。
例如,IP告警,可查这个IP都被哪些域名解析过,这些域名的whois信息,这个IP在其他开源平台的威胁情报,以及IP返回的的地理位置等。
203、从富化数据和与攻击事件切片对应记录的原始日志数据中,提取与攻击事件切片对应攻击事件的相关同源关联特征,作为攻击事件切片的切片特征。
在提取攻击事件切片的切片特征之后,可将提取到的切片特征存储在Redis数据库(如哈希邻接表)中,即切片与其特征之间的映射关系。后续从Redis数据库读取攻击事件切片以及相应切片特征进行关联关系分析,具体执行以下步骤:
204、对攻击事件切片的切片特征进行评分。
这里评分的目的在于确定该切片是否可以在图数据库中进行遍历(拓线),进而拓展出它的关联关系。图数据库中保存有切片特征评分大于预设阈值的攻击事件切片以及对应的切片特征信息(作为关联关系的判定依据)。
示例性的,步骤204具体可包括:若攻击事件切片为WEB攻击告警IP切片,则利用攻击事件切片对应IP中的类确定相应的评分,其中,不同的类都有各自对应的评分。例如,对于WEB类攻击告警IP切片,根据IP中类判断,如果是代理节点,则给与默认低评分。
需要说明的是,对于攻击事件切片的评分标准可根据实际情况而定,除了上述这种评分方式以外,还可参考该切片在图数据库中存在的关联关系个数,来确定该切片的评分,或者该切片与图数据库中有关联关系的切片为污点节点可进行减分等。
205、若切片特征的评分大于预设阈值,则将攻击事件切片加入待遍历队列。
其中,预设阈值可根据实际需求预先设定。例如根据业务的需求,按照评分分级,切片特征评分大于60分的切片是可以遍历的切片节点,将其加入待遍历队列等待遍历。
206、从待遍历队列中依次提取待遍历的攻击事件切片在图数据库中进行遍历,分析待遍历的攻击事件切片与图数据库中已遍历的攻击事件切片之间的共有特征关联关系。
由于有时图数据库中的切片节点数量巨大,如果采用分别进行关联关系计算的方式会存在较大的任务量,进而影响分析效率。对此,本实施例中采用首先分析攻击事件切片与图数据库中个别攻击事件切片之间的关联关系,然后利用分析得到的关联关系去分析其他攻击事件切片是否也存在该关联关系,进而分析得到攻击事件切片之间的共有特征关联关系,通过这种方式可节省关联关系的计算成本,大大提高关联关系的分析效率。
207、对分析得到的共有特征关联关系进行关联关系评分。
对于本实施例,在分析得到攻击事件切片之间的共有特征关联关系之后,为了保证其分析的可靠性,可选的,可对该共有特征关联关系进行可靠性分析,相应的,步骤207具体可包括:依据共有特征关联关系的关系种类(如不同关系种类都有各自对应的分值等)、关系的值关系附带属性,对共有特征关联关系进行评分;然后参照关联关系评分,将共有特征关联关系进行分级(如强关联关系、弱关联关系、污点关联关系等),以便通过分级结果确定关联关系评分是否符合预设标准。
对于评分过程例如,对于whois邮箱的关联关系与终端设备指纹的关联关系,whois邮箱是可以自己随便填的,用户可控,而终端指纹是统计自动计算得出的唯一性指纹,因为后者比前者更可信,关联关系得分更高,而如果whois邮箱中含有关键字privacy等关键字时,需要进行减分操作,可信度会下降。再如对于whois注册邮箱,其在图数据库的邻接节点中不重复的域名超过100个,说明这个关联关系是个黑洞关系,要进行减分操作,因为其很多可能是域名贩子的邮箱或者隐私保护的邮箱。
共有特征关联关系的评分分值可正可负,体现了此关系对关系两端实体是否同源的贡献度(即存在正贡献度和负贡献度)。例如,通过域名的whois信息的注册邮箱为关联关系,该类关系可信度相对较高,会给该关系一个默认分值,进一步对邮箱进行判断,如果这个邮箱是隐私保护邮箱,这个邮箱就会对该关联关系的可信度产生负贡献。在得到共有特征关联关系的评分之后,按照分值所在的分数范围,确定相应的等级,如果确定为强关联关系,则判定关联关系评分符合预设标准;如果确定为污点关联关系,则判定关联关系评分不符合预设标准。
208、若关联关系评分符合预设标准,则获取具备与共有特征关联关系对应特征的其他攻击事件切片。
其中,其他攻击事件切片在图数据库中不存在。例如,可从Redis数据库中读取具备与该有特征关联关系对应特征的其他攻击事件切片。
209、若其他攻击事件切片的切片评分大于预设阈值,则将其他攻击事件切片加入所述待遍历队列等待遍历。
其中,其他攻击事件切片的切片评分可参考步骤204的评分标准执行,需要说明的是,对于此类切片,其对应的共有特征关联关系的分级(如强关联关系、弱关联关系、污点关联关系等),也可作为影响到该切片评分的因素之一。
210、当待遍历队列中数据为空时,将图数据库中具有符合预设标准的共有特征关联关系的攻击事件切片进行同源聚合,以便获取相同的攻击者信息。
本实施例方法相当于一个类比递归过程,在待遍历队列中数据为空时说明递归遍历结束,这时将图数据库中具有符合预设标准的共有特征关联关系的攻击事件切片进行同源聚合,进而找到相同的攻击者信息。
在确定相同的攻击者信息之后,为了帮助用户及时发现存在恶意攻击行为的攻击者,可选的,本实施例方法还可包括:输出攻击者信息的告警信息;和/或依据图数据库中同源聚合后的攻击事件切片簇,输出包含攻击事件切片节点的攻击者簇信息。
例如,在具体实践中,根据本实施例方法预先编写相应的流程框架,如图3所示,在向该流程框架输入某攻击事件的切片之后,首先对其进行评分判定,根据业务需求确定该评分是否符合要求,进而判定该切片是否能够加入待拓线(遍历)队列,后续从待拓线队列中读取切片数据进行遍历过程,在图数据库中获取拓线切片的关联关系,然后对新增关联关系进行评分判断,根据业务需求选择满足要求的关联关系(新增切片)再进行拓线,然后重复新切片评分、加入队列进行遍历等流程,直至待拓线队列中数据为空时,说明递归遍历结束,从中读取结果,即输出根据该攻击事件切片所直接关联或间接关联出的同源的所有攻击事件切片,以及这些切片之间的关联关系、其他可疑线索关联关系、线索攻击事件等。最终汇聚成一个攻击者簇,方便用户找到相同的攻击者信息,并且对于未遍历的线索节点,可人工触发进行遍历。如图4所示,其中左侧区域为各个攻击事件切片,包括“IP行为帧A”切片、“恶意域名帧B”等;中间区域为这些切片之间共有特征关系关系,包括“满足相同特征邮箱”、“域名解析时间相同”等;右侧区域为依据这些关联关系同源聚合得到的攻击者信息。
本实施例将相同或不同维度攻击事件根据攻击事件中的提取各种特征信息横向关联,并对关联关系、攻击事件的关联程度进行评分,根据评分将相关攻击事件聚合到一起,进而最终提取相同的攻击者或攻击组织。与现有技术相比,可节省人工成本,并且可提高追踪溯源的效率和精确性,帮助用户及时发现存在恶意攻击行为的攻击者。
进一步的,作为图1、图2所示方法的具体实现,本实施例提供了一种攻击事件的追踪溯源装置,如图5所示,该装置包括:划分模块31、分析模块32、聚合模块33。
划分模块31,可用于将攻击告警数据按照相同的属性特征划分为攻击事件切片;
分析模块32,可用于根据所述攻击事件切片对应的切片特征,分析所述攻击事件切片之间的关联关系;
聚合模块33,可用于依据所述关联关系,将所述攻击事件切片进行同源聚合,以便获取相同的攻击者信息。
在具体的应用场景中,所述分析模块32,具体可用于对攻击事件切片的切片特征进行评分;若所述切片特征的评分大于预设阈值,则将所述攻击事件切片加入待遍历队列;从所述待遍历队列中依次提取待遍历的攻击事件切片在图数据库中进行遍历,分析所述待遍历的攻击事件切片与所述图数据库中已遍历的攻击事件切片之间的共有特征关联关系。
在具体的应用场景中,所述聚合模块33,具体可用于对所述共有特征关联关系进行关联关系评分;若所述关联关系评分符合预设标准,则获取具备与所述共有特征关联关系对应特征的其他攻击事件切片,其中,所述其他攻击事件切片在所述图数据库中不存在;若所述其他攻击事件切片的切片评分大于所述预设阈值,则将所述其他攻击事件切片加入所述待遍历队列等待遍历;当所述待遍历队列中数据为空时,将所述图数据库中具有符合所述预设标准的共有特征关联关系的攻击事件切片进行同源聚合。
在具体的应用场景中,如图6所示,本装置还包括:输出模块34;
输出模块34,可用于输出所述攻击者信息的告警信息;和/或依据所述图数据库中同源聚合后的攻击事件切片簇,输出包含攻击事件切片节点的攻击者簇信息。
在具体的应用场景中,所述聚合模块33,具体还可用于依据所述共有特征关联关系的关系种类、关系的值关系附带属性,对所述共有特征关联关系进行评分;参照关联关系评分,将所述共有特征关联关系进行分级,以便通过分级结果确定所述关联关系评分是否符合预设标准。
在具体的应用场景中,所述分析模块32,具体还可用于若攻击事件切片为WEB攻击告警IP切片,则利用所述攻击事件切片对应IP中的类确定相应的评分,其中,不同的类都有各自对应的评分。
在具体的应用场景中,如图6所示,本装置还包括:富化模块35、提取模块36;
富化模块35,可用于根据所述攻击事件切片对应的攻击事件告警类型进行数据富化;
提取模块36,可用于从富化数据和与所述攻击事件切片对应记录的原始日志数据中,提取与所述攻击事件切片对应攻击事件的相关同源关联特征,作为所述切片特征。
在具体的应用场景中,所述划分模块31,具体可用于将攻击告警数据中在预设时间段内来自相同IP地址、和/或相同域名的攻击事件,划分为同一个攻击事件切片;和/或将攻击告警数据中在预定时间段内具有相同指纹信息、和/或相同样本信息、和/或相同告警信息的攻击事件,划分为同一个攻击事件切片;和/或将攻击告警数据中在预置时间段内包含相同恶意附件的攻击事件,划分为同一个攻击事件切片。
需要说明的是,本实施例提供的一种攻击事件的追踪溯源装置所涉及各功能单元的其它相应描述,可以参考图1、图2中的对应描述,在此不再赘述。
基于上述如图1、图2所示方法,相应的,本实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1、图2所示的攻击事件的追踪溯源方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该待识别软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图5和图6所示的虚拟装置实施例,为了实现上述目的,本实施例还提供了一种攻击事件追踪溯源的实体设备,具体可以为个人计算机、服务器、智能手机、平板电脑、智能手表、或者其它网络设备等,该实体设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1、图2所示的方法。
可选的,该实体设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种攻击事件追踪溯源的实体设备结构并不构成对该实体设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理上述实体设备硬件和待识别软件资源的程序,支持信息处理程序以及其它待识别软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与信息处理实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。通过应用本申请的技术方案,将相同或不同维度攻击事件根据攻击事件中的提取各种特征信息横向关联,并对关联关系、攻击事件的关联程度进行评分,根据评分将相关攻击事件聚合到一起,进而最终提取相同的攻击者或攻击组织。与现有技术相比,可节省人工成本,并且可提高追踪溯源的效率和精确性,帮助用户及时发现存在恶意攻击行为的攻击者。
本实施例公开了如下技术方案:
A1、一种攻击事件的追踪溯源方法,包括:
将攻击告警数据按照相同的属性特征划分为攻击事件切片;
根据所述攻击事件切片对应的切片特征,分析所述攻击事件切片之间的关联关系;
依据所述关联关系,将所述攻击事件切片进行同源聚合,以便获取相同的攻击者信息。
A2、根据A1所述的方法,根据所述攻击事件切片对应的切片特征,分析所述攻击事件切片之间的关联关系,具体包括:
对攻击事件切片的切片特征进行评分;
若所述切片特征的评分大于预设阈值,则将所述攻击事件切片加入待遍历队列;
从所述待遍历队列中依次提取待遍历的攻击事件切片在图数据库中进行遍历,分析所述待遍历的攻击事件切片与所述图数据库中已遍历的攻击事件切片之间的共有特征关联关系。
A3、根据A2所述的方法,所述依据所述关联关系,将所述攻击事件切片进行同源聚合,具体包括:
对所述共有特征关联关系进行关联关系评分;
若所述关联关系评分符合预设标准,则获取具备与所述共有特征关联关系对应特征的其他攻击事件切片,其中,所述其他攻击事件切片在所述图数据库中不存在;
若所述其他攻击事件切片的切片评分大于所述预设阈值,则将所述其他攻击事件切片加入所述待遍历队列等待遍历;
当所述待遍历队列中数据为空时,将所述图数据库中具有符合所述预设标准的共有特征关联关系的攻击事件切片进行同源聚合。
A4、根据A3所述的方法,在所述确定相同的攻击者信息之后,所述方法还包括:
输出所述攻击者信息的告警信息;和/或
依据所述图数据库中同源聚合后的攻击事件切片簇,输出包含攻击事件切片节点的攻击者簇信息。
A5、根据A3所述的方法,所述对所述共有特征关联关系进行关联关系评分,具体包括:
依据所述共有特征关联关系的关系种类、关系的值关系附带属性,对所述共有特征关联关系进行评分;
参照关联关系评分,将所述共有特征关联关系进行分级,以便通过分级结果确定所述关联关系评分是否符合预设标准。
A6、根据A2所述的方法,所述对攻击事件切片的切片特征进行评分,具体包括:
若攻击事件切片为WEB攻击告警IP切片,则利用所述攻击事件切片对应IP中的类确定相应的评分,其中,不同的类都有各自对应的评分。
A7、根据A1所述的方法,在根据所述攻击事件切片对应的切片特征,分析所述攻击事件切片之间的关联关系之前,所述方法还包括:
根据所述攻击事件切片对应的攻击事件告警类型进行数据富化;
从富化数据和与所述攻击事件切片对应记录的原始日志数据中,提取与所述攻击事件切片对应攻击事件的相关同源关联特征,作为所述切片特征。
A8、根据A1所述的方法,所述将攻击告警数据按照相同的属性特征划分为攻击事件切片,具体包括:
将攻击告警数据中在预设时间段内来自相同IP地址、和/或相同域名的攻击事件,划分为同一个攻击事件切片;和/或
将攻击告警数据中在预定时间段内具有相同指纹信息、和/或相同样本信息、和/或相同告警信息的攻击事件,划分为同一个攻击事件切片;和/或
将攻击告警数据中在预置时间段内包含相同恶意附件的攻击事件,划分为同一个攻击事件切片。
B9、一种攻击事件的追踪溯源装置,包括:
划分模块,用于将攻击告警数据按照相同的属性特征划分为攻击事件切片;
分析模块,用于根据所述攻击事件切片对应的切片特征,分析所述攻击事件切片之间的关联关系;
聚合模块,用于依据所述关联关系,将所述攻击事件切片进行同源聚合,以便获取相同的攻击者信息。
B10、根据B9所述的装置,
所述分析模块,具体用于对攻击事件切片的切片特征进行评分;
若所述切片特征的评分大于预设阈值,则将所述攻击事件切片加入待遍历队列;
从所述待遍历队列中依次提取待遍历的攻击事件切片在图数据库中进行遍历,分析所述待遍历的攻击事件切片与所述图数据库中已遍历的攻击事件切片之间的共有特征关联关系。
B11、根据B10所述的装置,
所述聚合模块,具体用于对所述共有特征关联关系进行关联关系评分;
若所述关联关系评分符合预设标准,则获取具备与所述共有特征关联关系对应特征的其他攻击事件切片,其中,所述其他攻击事件切片在所述图数据库中不存在;
若所述其他攻击事件切片的切片评分大于所述预设阈值,则将所述其他攻击事件切片加入所述待遍历队列等待遍历;
当所述待遍历队列中数据为空时,将所述图数据库中具有符合所述预设标准的共有特征关联关系的攻击事件切片进行同源聚合。
B12、根据B11所述的装置,所述装置还包括:
输出模块,用于输出所述攻击者信息的告警信息;和/或
依据所述图数据库中同源聚合后的攻击事件切片簇,输出包含攻击事件切片节点的攻击者簇信息。
B13、根据B11所述的装置,
所述聚合模块,具体还用于依据所述共有特征关联关系的关系种类、关系的值关系附带属性,对所述共有特征关联关系进行评分;
参照关联关系评分,将所述共有特征关联关系进行分级,以便通过分级结果确定所述关联关系评分是否符合预设标准。
B14、根据B10所述的装置,
所述分析模块,具体还用于若攻击事件切片为WEB攻击告警IP切片,则利用所述攻击事件切片对应IP中的类确定相应的评分,其中,不同的类都有各自对应的评分。
B15、根据B9所述的装置,所述装置还包括:
富化模块,用于根据所述攻击事件切片对应的攻击事件告警类型进行数据富化;
提取模块,用于从富化数据和与所述攻击事件切片对应记录的原始日志数据中,提取与所述攻击事件切片对应攻击事件的相关同源关联特征,作为所述切片特征。
B16、根据B9所述的装置,
所述划分模块,具体用于将攻击告警数据中在预设时间段内来自相同IP地址、和/或相同域名的攻击事件,划分为同一个攻击事件切片;和/或
将攻击告警数据中在预定时间段内具有相同指纹信息、和/或相同样本信息、和/或相同告警信息的攻击事件,划分为同一个攻击事件切片;和/或
将攻击告警数据中在预置时间段内包含相同恶意附件的攻击事件,划分为同一个攻击事件切片。
C17、一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现A1至A8中任一项所述的攻击事件的追踪溯源方法。
D18、一种攻击事件的追踪溯源设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现A1至A8中任一项所述的攻击事件的追踪溯源方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (16)
1.一种攻击事件的追踪溯源方法,其特征在于,包括:
将攻击告警数据按照相同的属性特征划分为攻击事件切片;
根据所述攻击事件切片对应的切片特征,分析所述攻击事件切片之间的关联关系;
依据所述关联关系,将所述攻击事件切片进行同源聚合,以便获取相同的攻击者信息;
根据所述攻击事件切片对应的切片特征,分析所述攻击事件切片之间的关联关系,具体包括:
对攻击事件切片的切片特征进行评分;
若所述切片特征的评分大于预设阈值,则将所述攻击事件切片加入待遍历队列;
从所述待遍历队列中依次提取待遍历的攻击事件切片在图数据库中进行遍历,以所述图数据库中保存的所述切片特征的评分大于所述预设阈值的所述攻击事件切片以及对应的切片特征信息作为所述关联关系的判定依据,分析所述待遍历的攻击事件切片与所述图数据库中已遍历的攻击事件切片之间的共有特征关联关系。
2.根据权利要求1所述的方法,其特征在于,所述依据所述关联关系,将所述攻击事件切片进行同源聚合,具体包括:
对所述共有特征关联关系进行关联关系评分;
若所述关联关系评分符合预设标准,则获取具备与所述共有特征关联关系对应特征的其他攻击事件切片,其中,所述其他攻击事件切片在所述图数据库中不存在;
若所述其他攻击事件切片的切片评分大于所述预设阈值,则将所述其他攻击事件切片加入所述待遍历队列等待遍历;
当所述待遍历队列中数据为空时,将所述图数据库中具有符合所述预设标准的共有特征关联关系的攻击事件切片进行同源聚合,找到相同的攻击者信息。
3.根据权利要求2所述的方法,其特征在于,在所述找到相同的攻击者信息之后,所述方法还包括:
输出所述攻击者信息的告警信息;和/或
依据所述图数据库中同源聚合后的攻击事件切片簇,输出包含攻击事件切片节点的攻击者簇信息。
4.根据权利要求2所述的方法,其特征在于,所述对所述共有特征关联关系进行关联关系评分,具体包括:
依据所述共有特征关联关系的关系种类、关系的值、关系附带属性,对所述共有特征关联关系进行评分;
参照关联关系评分,将所述共有特征关联关系进行分级,以便通过分级结果确定所述关联关系评分是否符合预设标准。
5.根据权利要求1所述的方法,其特征在于,所述对攻击事件切片的切片特征进行评分,具体包括:
若攻击事件切片为WEB攻击告警IP切片,则利用所述攻击事件切片对应IP中的类确定相应的评分,其中,不同的类都有各自对应的评分。
6.根据权利要求1所述的方法,其特征在于,在根据所述攻击事件切片对应的切片特征,分析所述攻击事件切片之间的关联关系之前,所述方法还包括:
根据所述攻击事件切片对应的攻击事件告警类型进行数据富化;
从富化数据和与所述攻击事件切片对应记录的原始日志数据中,提取与所述攻击事件切片对应攻击事件的相关同源关联特征,作为所述切片特征。
7.根据权利要求1所述的方法,其特征在于,所述将攻击告警数据按照相同的属性特征划分为攻击事件切片,具体包括:
将攻击告警数据中在预设时间段内来自相同IP地址、和/或相同域名的攻击事件,划分为同一个攻击事件切片;和/或
将攻击告警数据中在预定时间段内具有相同指纹信息、和/或相同样本信息、和/或相同告警信息的攻击事件,划分为同一个攻击事件切片;和/或
将攻击告警数据中在预置时间段内包含相同恶意附件的攻击事件,划分为同一个攻击事件切片。
8.一种攻击事件的追踪溯源装置,其特征在于,包括:
划分模块,用于将攻击告警数据按照相同的属性特征划分为攻击事件切片;
分析模块,用于根据所述攻击事件切片对应的切片特征,分析所述攻击事件切片之间的关联关系;
聚合模块,用于依据所述关联关系,将所述攻击事件切片进行同源聚合,以便获取相同的攻击者信息;
所述分析模块,具体用于对攻击事件切片的切片特征进行评分;
若所述切片特征的评分大于预设阈值,则将所述攻击事件切片加入待遍历队列;
从所述待遍历队列中依次提取待遍历的攻击事件切片在图数据库中进行遍历,以所述图数据库中保存的所述切片特征的评分大于所述预设阈值的所述攻击事件切片以及对应的切片特征信息作为所述关联关系的判定依据,分析所述待遍历的攻击事件切片与所述图数据库中已遍历的攻击事件切片之间的共有特征关联关系。
9.根据权利要求8所述的装置,其特征在于,
所述聚合模块,具体用于对所述共有特征关联关系进行关联关系评分;
若所述关联关系评分符合预设标准,则获取具备与所述共有特征关联关系对应特征的其他攻击事件切片,其中,所述其他攻击事件切片在所述图数据库中不存在;
若所述其他攻击事件切片的切片评分大于所述预设阈值,则将所述其他攻击事件切片加入所述待遍历队列等待遍历;
当所述待遍历队列中数据为空时,将所述图数据库中具有符合所述预设标准的共有特征关联关系的攻击事件切片进行同源聚合。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
输出模块,用于输出所述攻击者信息的告警信息;和/或
依据所述图数据库中同源聚合后的攻击事件切片簇,输出包含攻击事件切片节点的攻击者簇信息。
11.根据权利要求9所述的装置,其特征在于,
所述聚合模块,具体还用于依据所述共有特征关联关系的关系种类、关系的值、关系附带属性,对所述共有特征关联关系进行评分;
参照关联关系评分,将所述共有特征关联关系进行分级,以便通过分级结果确定所述关联关系评分是否符合预设标准。
12.根据权利要求8所述的装置,其特征在于,
所述分析模块,具体还用于若攻击事件切片为WEB攻击告警IP切片,则利用所述攻击事件切片对应IP中的类确定相应的评分,其中,不同的类都有各自对应的评分。
13.根据权利要求8所述的装置,其特征在于,所述装置还包括:
富化模块,用于根据所述攻击事件切片对应的攻击事件告警类型进行数据富化;
提取模块,用于从富化数据和与所述攻击事件切片对应记录的原始日志数据中,提取与所述攻击事件切片对应攻击事件的相关同源关联特征,作为所述切片特征。
14.根据权利要求8所述的装置,其特征在于,
所述划分模块,具体用于将攻击告警数据中在预设时间段内来自相同IP地址、和/或相同域名的攻击事件,划分为同一个攻击事件切片;和/或
将攻击告警数据中在预定时间段内具有相同指纹信息、和/或相同样本信息、和/或相同告警信息的攻击事件,划分为同一个攻击事件切片;和/或
将攻击告警数据中在预置时间段内包含相同恶意附件的攻击事件,划分为同一个攻击事件切片。
15.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至7中任一项所述的攻击事件的追踪溯源方法。
16.一种攻击事件的追踪溯源设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7中任一项所述的攻击事件的追踪溯源方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910792305.3A CN110519264B (zh) | 2019-08-26 | 2019-08-26 | 攻击事件的追踪溯源方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910792305.3A CN110519264B (zh) | 2019-08-26 | 2019-08-26 | 攻击事件的追踪溯源方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110519264A CN110519264A (zh) | 2019-11-29 |
| CN110519264B true CN110519264B (zh) | 2022-09-30 |
Family
ID=68626971
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910792305.3A Active CN110519264B (zh) | 2019-08-26 | 2019-08-26 | 攻击事件的追踪溯源方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110519264B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111193749B (zh) * | 2020-01-03 | 2022-05-17 | 北京明略软件系统有限公司 | 一种攻击溯源方法、装置、电子设备和存储介质 |
| CN110830519B (zh) * | 2020-01-08 | 2020-05-08 | 浙江乾冠信息安全研究院有限公司 | 攻击溯源方法、装置、电子设备及存储介质 |
| CN113472725B (zh) * | 2020-03-31 | 2023-04-07 | 阿里巴巴集团控股有限公司 | 一种数据处理的方法和装置 |
| CN112202764B (zh) * | 2020-09-28 | 2023-05-19 | 中远海运科技股份有限公司 | 网络攻击链路可视化系统、方法和服务器 |
| CN114745183B (zh) * | 2022-04-14 | 2023-10-27 | 浙江网商银行股份有限公司 | 告警方法以及装置 |
| CN115134139A (zh) * | 2022-06-27 | 2022-09-30 | 中国工商银行股份有限公司 | 一种网络攻击处理方法及装置 |
| CN116132263B (zh) * | 2023-02-24 | 2023-09-19 | 北京优特捷信息技术有限公司 | 告警解决方案推荐方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104348652A (zh) * | 2013-08-06 | 2015-02-11 | 南京理工大学常熟研究院有限公司 | 基于关联分析的系统安全评估方法和装置 |
| CN106572122A (zh) * | 2016-12-09 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 基于网络行为特征关联分析的主机安全评估方法及系统 |
| US10121000B1 (en) * | 2016-06-28 | 2018-11-06 | Fireeye, Inc. | System and method to detect premium attacks on electronic networks and electronic devices |
| CN109729095A (zh) * | 2019-02-13 | 2019-05-07 | 北京奇安信科技有限公司 | 数据处理方法、装置和计算设备及介质 |
| CN109784043A (zh) * | 2018-12-29 | 2019-05-21 | 北京奇安信科技有限公司 | 攻击事件还原方法、装置、电子设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120284790A1 (en) * | 2006-09-11 | 2012-11-08 | Decision-Zone Inc. | Live service anomaly detection system for providing cyber protection for the electric grid |
-
2019
- 2019-08-26 CN CN201910792305.3A patent/CN110519264B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104348652A (zh) * | 2013-08-06 | 2015-02-11 | 南京理工大学常熟研究院有限公司 | 基于关联分析的系统安全评估方法和装置 |
| US10121000B1 (en) * | 2016-06-28 | 2018-11-06 | Fireeye, Inc. | System and method to detect premium attacks on electronic networks and electronic devices |
| CN106572122A (zh) * | 2016-12-09 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 基于网络行为特征关联分析的主机安全评估方法及系统 |
| CN109784043A (zh) * | 2018-12-29 | 2019-05-21 | 北京奇安信科技有限公司 | 攻击事件还原方法、装置、电子设备及存储介质 |
| CN109729095A (zh) * | 2019-02-13 | 2019-05-07 | 北京奇安信科技有限公司 | 数据处理方法、装置和计算设备及介质 |
Non-Patent Citations (1)
| Title |
|---|
| 郭林等.基于切片技术的远程缓冲区溢出攻击检测模型.《计算机科学》.2006, * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110519264A (zh) | 2019-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110519264B (zh) | 攻击事件的追踪溯源方法、装置及设备 | |
| JP6585131B2 (ja) | ネットワークの異常検出システムのためのグラフ・データベース分析 | |
| CN110691080B (zh) | 自动溯源方法、装置、设备及介质 | |
| CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
| CN111031017B (zh) | 一种异常业务账号识别方法、装置、服务器及存储介质 | |
| CN110809010B (zh) | 威胁信息处理方法、装置、电子设备及介质 | |
| US11057411B2 (en) | Log analysis device, log analysis method, and log analysis program | |
| US9830451B2 (en) | Distributed pattern discovery | |
| CN107547490B (zh) | 一种扫描器识别方法、装置及系统 | |
| JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
| CN110768875A (zh) | 一种基于dns学习的应用识别方法及系统 | |
| Zhang et al. | Toward unsupervised protocol feature word extraction | |
| CN113923003A (zh) | 一种攻击者画像生成方法、系统、设备以及介质 | |
| US11533323B2 (en) | Computer security system for ingesting and analyzing network traffic | |
| Liu et al. | Fingerprinting web browser for tracing anonymous web attackers | |
| Davis et al. | Forensic investigation of instant messaging services on linux OS: Discord and Slack as case studies | |
| US11334665B2 (en) | Systems and methods for automated detection and analysis of security threats | |
| CN110392032B (zh) | 检测异常url的方法、装置及存储介质 | |
| JP7031438B2 (ja) | 情報処理装置、制御方法、及びプログラム | |
| TW201928746A (zh) | 偵測惡意程式的方法和裝置 | |
| CN111163184B (zh) | 一种报文特征的提取方法和装置 | |
| CN112580038A (zh) | 反病毒数据的处理方法、装置及设备 | |
| CN113128538A (zh) | 网络行为分类方法、设备、存储介质及装置 | |
| Pihelgas et al. | Frankenstack: Real-time cyberattack detection and feedback system for technical cyber exercises | |
| CN113918795B (zh) | 一种目标标签的确定方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100032 NO.332, 3rd floor, Building 102, 28 xinjiekouwai street, Xicheng District, Beijing Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: 100032 NO.332, 3rd floor, Building 102, 28 xinjiekouwai street, Xicheng District, Beijing Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |