CN110691080B - 自动溯源方法、装置、设备及介质 - Google Patents

自动溯源方法、装置、设备及介质 Download PDF

Info

Publication number
CN110691080B
CN110691080B CN201910913169.9A CN201910913169A CN110691080B CN 110691080 B CN110691080 B CN 110691080B CN 201910913169 A CN201910913169 A CN 201910913169A CN 110691080 B CN110691080 B CN 110691080B
Authority
CN
China
Prior art keywords
attack
data
ioc
malicious
malicious sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201910913169.9A
Other languages
English (en)
Other versions
CN110691080A (zh
Inventor
陈震宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangtong Tianxia Network Technology Co ltd
Original Assignee
Guangtong Tianxia Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangtong Tianxia Network Technology Co ltd filed Critical Guangtong Tianxia Network Technology Co ltd
Priority to CN201910913169.9A priority Critical patent/CN110691080B/zh
Publication of CN110691080A publication Critical patent/CN110691080A/zh
Application granted granted Critical
Publication of CN110691080B publication Critical patent/CN110691080B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种自动溯源方法,涉及网络安全防护技术领域,用于解决现有溯源数据单一的问题,该方法包括以下步骤:接收恶意样本数据;提取所述恶意样本数据中的关键数据,根据所述的关键数据建立与IP对应的攻击档案;根据所述的恶意样本数据,进行自动分析,提取分析结果中的关键指标,建立与IP对应的IOC威胁情报指标集;根据IP合并所述的攻击档案及所述的IOC威胁情报指标集,得到IP对应的攻击链集合。本发明还公开了一种自动溯源装置、电子设备和计算机存储介质。本发明通过对恶意样本建立攻击档案及IOC威胁情报指标集,进而获取IP对应的溯源数据。

Description

自动溯源方法、装置、设备及介质
技术领域
本发明涉及网络安全防护技术领域,尤其涉及一种自动溯源方法、装置、设备及介质。
背景技术
随着互联网的发展,网络安全变得越来越重要。在网络安全的大背景下,通过部署蜜罐、沙箱集群成为了网络安全公司收集、分析网络攻击的常用方法。全球各地都部署有蜜罐集群,通过这些蜜罐集群可以采集成千上万的恶意样本。恶意样本大部分来自于高、中、低交互蜜罐或一些其他的恶意样本收集组织,随着恶意代码自动化分析技术的成熟,已经实现了集群样本的自动分析,可以细粒度地分析病毒家族、变种、恶意代码因子等联动数据。
安全防御通常都是被动进行防御,其需要根据不同的病毒及其变种,检测分析病毒,并制定对应的规则进行防御。为了使得安全防御拥有主动权,溯源成为了获取攻击对手数据来源的主要方式之一,通过溯源可以获取攻击者的各种数据,进而可以计算、推演出攻击者的地区、组织、目的与利益等。
目前常用的溯源方法是以网络信标为主节点对病毒进行溯源,例如以IP或者域名为主节点进行溯源,以得到IP或域名对应的溯源数据,但是由于分析不同溯源数据源时所需的数据指标不同,因此通过常用的溯源方法收集到的溯源数据,在后续进行数据分析时容易出现数据指标不齐或者数据聚合粒度低的问题;此外,目前溯源方法收集到的溯源数据比较单一,例如只收集并统计了攻击者的地区信息,无法收集到多维度的溯源数据,难以为后续的溯源分析提供详细数据。
发明内容
为了克服现有技术的不足,本发明的目的之一在于提供一种自动溯源方法,其通过建立攻击档案及IOC指标集,以解决数据聚合度差,溯源不准确的问题。
本发明的目的之一采用以下技术方案实现:
一种自动溯源方法,包括以下步骤:
接收恶意样本数据;
提取所述恶意样本数据中的关键数据,根据所述的关键数据建立与IP对应的攻击档案;
根据所述的恶意样本数据,进行自动分析,提取分析结果中的关键指标,建立与IP对应的IOC威胁情报指标集;
根据IP合并所述的攻击档案及所述的IOC威胁情报指标集,得到IP对应的攻击链集合。
进一步地,所述的恶意样本数据来源于共享病毒库、蜜罐记录数据库及其他的恶意样本数据库中的一种或多种。
进一步地,根据所述的恶意样本数据,进行自动分析,提取分析结果中的关键指标,所述关键数据根据预设关键词进行提取,所述的预设关键词包括IP、Session、执行的恶意指令、下载的恶意样本、攻击次数及攻击时间节点。
进一步地,提取所述恶意样本数据中的关键数据,根据所述的关键数据建立与IP对应的攻击档案,包括以下步骤:
以IP对应的Session为主节点,提取IP对应的攻击数据;
根据所需关键数据进行语句过滤,得到所述的攻击档案。
进一步地,所述的IOC威胁情报指标集包括文件系统信标、内存信标及网络信标中的一种或多种;所述文件系统信标包括文件哈希、文件名、字符串、文件路径、文件大小、文件类型、签名证书,所述内存信标包括字符串及内存结构,所述网络信标包括IP、主机名、域名、html、端口、SSL证书。
进一步地,根据所述的恶意样本数据,进行自动分析,提取分析结果中的关键指标,建立与IP对应的IOC威胁情报指标集,包括以下步骤:
当所述恶意样本数据源为共享病毒库时,调用线上分析平台接口,进行线上分析,得到第一IOC威胁情报指标;
当所述恶意样本数据源为蜜罐记录数据库或其他的恶意样本数据库时:
对可执行文件进行静态信息分析,读取恶意样本二进制数据,分析文件系统信标及内存信标,得到第二IOC威胁情报指标;
对所述恶意样本进行家族类型识别、聚合分类及同源分析,并对未被识别出的所述恶意样本进行沙箱动态分析,分析结果为第三IOC威胁情报指标;
得到IOC威胁情报指标集;所述IOC威胁情报指标集为:
第一IOC威胁情报指标;
或/和
第二IOC威胁情报指标和第三IOC威胁情报指标。
进一步地,根据IP合并所述的攻击档案及所述的IOC威胁情报指标集,得到IP对应的攻击链集合,还包括以下步骤:
接收大端情报数据,所述的大端情报数据为流量攻击采集的IP与恶意URL合集;
提取所述大端情报数据中的IP和URL;
根据所述的IP或URL匹配对应的攻击链,得到该IP或URL的溯源数据。
本发明的目的之二在于提供一种自动溯源装置,其通过建立攻击档案及IOC指标集,以解决数据聚合度差,溯源数据不准确的问题。
本发明的目的之二采用以下技术方案实现:
一种自动溯源装置,其包括:
数据接收模块,用于接收恶意样本数据;
档案构建模块,用于提取所述恶意样本数据中的关键数据,根据所述的关键数据建立与IP对应的攻击档案;
指标构建模块,用于根据所述的恶意样本数据,进行自动分析,提取分析结果中的关键指标,建立与IP对应的IOC威胁情报指标集;
结果构建模块,用于根据IP合并所述的攻击档案及所述的IOC威胁情报指标集,得到IP对应的攻击链集合。
本发明的目的之三在于提供执行发明目的之一的电子设备,其包括处理器、存储介质以及计算机程序,所述计算机程序存储于存储介质中,所述计算机程序被处理器执行时实现上述的自动溯源方法。
本发明的目的之四在于提供存储发明目的之一的计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的自动溯源方法。
相比现有技术,本发明的有益效果在于:
本发明通过关键数据的提取得到攻击档案,攻击档案显示了攻击者的攻击习惯、攻击手法等;经过数据分析得到IOC威胁情报指标集,IOC威胁情报指标集显示了攻击者恶意样本的具体分析结果,通过两者的结合得到IP对应的攻击链,完成恶意IP的自动溯源,为溯源提供高指标量、多维度的情报指标,溯源结果精确,便于对攻击者进行全面的溯源分析。
附图说明
图1是实施例一的自动溯源方法流程图;
图2是实施例二的攻击档案建立方法的流程图;
图3是实施例三的IOC威胁情报指标集建立方法的流程图;
图4是实施例四的大端情报数据溯源方法的流程图
图5是实施例五的自动溯源装置的结构框图;
图6是实施例六的电子设备的结构框图。
具体实施方式
以下将结合附图,对本发明进行更为详细的描述,需要说明的是,以下参照附图对本发明进行的描述仅是示意性的,而非限制性的。各个不同实施例之间可以进行相互组合,以构成未在以下描述中示出的其他实施例。
实施例一
实施例一提供了一种自动溯源方法,旨在通过提取关键信息建立攻击档案,再通过自动分析技术实现IOC威胁情报指标集,进而结合攻击档案与IOC威胁情报指标集,得到IP对应的攻击链,达到自动溯源的效果。
请参照图1所示,一种自动溯源方法,包括以下步骤:
S110、接收恶意样本数据;
通常,所述的恶意样本数据来源于共享病毒库、蜜罐记录数据库及其他的恶意样本数据库中的一种或多种。
上述共享病毒库即开源的共享病毒库,例如VirusShare、MalShare、theZoo等均为常用的开源的共享病毒库,这些共享病毒库会实时更新并共享其中的恶意样本,且通过自动分析工具完成对这些共享的恶意样本的自动分析,以获取对应的特征、家族、聚合分类等。上述自动分析工具在本实施例中可以选用ClamAV、Cosa等。
蜜罐包括全世界范围内网络公司部署的蜜罐;蜜罐是一种预先配置好的包含漏洞的系统,用于引诱黑客对系统进行攻击和入侵。它涉及到信息安全诸多技术的灵活应用,能有效弥补传统信息安全防御技术的缺陷,使得防护体系更加完善与安全。蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
其他的恶意样本数据库,例如一些网络防御组织、实验室等采集并整理的恶意样本。
S120、提取所述恶意样本数据中的关键数据,根据所述的关键数据建立与IP对应的攻击档案;
由于恶意样本数据较冗杂,未经过分析处理,而其中只有部分是溯源时需要的,因此需要对恶意样本数据进行数据的过滤。
根据所述的恶意样本数据,进行自动分析,提取分析结果中的关键指标,所述关键数据根据预设关键词进行提取,所述的预设关键词包括IP、Session、执行的恶意指令、下载的恶意样本、攻击次数及攻击时间节点。关键数据通常是从蜜罐采集到的恶意样本数据中提取的,因为蜜罐会主动诱导病毒、黑客等对其进行攻击,所以蜜罐会记录病毒的IP地址及其攻击相关的信息,例如攻击时间、攻击次数等,并储存在蜜罐数据库中;关键数据根据预设关键词进行提取,优选地,预设关键词包括IP、Session(访问主机会话)、执行的恶意指令(Exec)、下载的恶意样本(File)、攻击次数(Count)及攻击时间节点(Attack time),预设关键词可以根据实际需求进行增加。
S130、根据所述的恶意样本数据,进行自动分析,提取分析结果中的关键指标,建立与IP对应的IOC威胁情报指标集;
IOC在网络安全领域中,是指攻击线索的意思,包括攻击者的网络身份(IP+域名),攻击者的攻击工具(恶意文件hash);然后最终情报使用者(通常是网络安全公司)的内部安全产品可以将这些线索来做黑名单防御,或者进一步的深度分析,例如溯源分析。随着威胁情报的发展,IOC威胁情报也进行了扩展,其获得的攻击线索还包括了证书、电子邮件、CAP、样本、行动者、攻击活动、事件、目标等。目前也有很多自动化解读情报的工具,例如OpenIOC,CyBOX等。
S140、根据IP合并所述的攻击档案及所述的IOC威胁情报指标集,得到IP对应的攻击链集合。
具体地,IOC威胁情报指标集包括文件系统信标、内存信标及网络信标中的一种或多种;所述文件系统信标包括文件哈希、文件名、字符串、文件路径、文件大小、文件类型、签名证书,所述内存信标包括字符串及内存结构,所述网络信标包括IP、主机名、域名、html、端口、SSL证书。
本发明合并攻击档案以及IOC威胁情报指标集完成自动溯源。由于同一IP的攻击者通常是相同的,但是其攻击方式、类型不一定相同,因此通过结合两种分析方法实现对一个IP攻击者的溯源,溯源数据更全面,分析粒度精细,便于分析攻击者的目的、背后利益等。
本方法中接收及处理数据过程是通过服务器完成的,例如云服务器,服务器数量不作限制,可以是一个,也可以是多个。
实施例二
实施例二是在实施例一基础上进行,其主要对攻击档案的获取进行解释和说明。
请参照图2所示,提取所述恶意样本数据中的关键数据,根据所述的关键数据建立与IP对应的攻击档案,包括以下步骤:
S210、以IP对应的Session为主节点,提取IP对应的攻击数据;
Session会话机制是一种服务器端机制,其是一次浏览器和服务器的交互的会话,它使用类似于哈希表的结构来保存信息。当攻击者与蜜罐服务器产生交互的时候,就会产生Session,蜜罐会存储这些Session,虽然每一次的攻击(攻击者与蜜罐的交互)都会产生不同的随机Session ID,即不同的Session,但是因为蜜罐会识别攻击源(攻击IP地址),因此,根据IP就可以归纳出同一个IP下的每次会话内容(Session),以IP对应的Session为主节点,就可以得到每次攻击的数据,并对记录的攻击数据进行分析和总结,例如攻击时执行的恶意指令、每一次攻击的时间等。
S220、根据所需关键数据进行语句过滤,得到所述的攻击档案。
蜜罐采集的恶意样本数据库中都有许多表(table),例如Input Table、AuthTable、Sessions Table、Downloads Table等,蜜罐在储存恶意样本时,将不同的攻击数据储存进对应的表中。每个表中都存有很多数据,因此需要进行过滤以提取到所需的数据,以SQL语句过滤为例,只提取包含所需字段的数据,可以通过SQL中的“Select”语法选择数据表并通过“Where”语法过滤出所需字段,所需字段即为预设关键词,包括IP、Session(访问主机会话)、执行的恶意指令(Exec)、下载的恶意样本(File)、攻击次数(Count)及攻击时间节点(Attack time)。
实施例三
实施例三是在实施例一的基础上进行的,其主要对IOC威胁情报指标集的获取过程做了解释和说明。
请参照图3所示,根据所述的恶意样本数据,进行自动分析,提取分析结果中的关键指标,建立与IP对应的IOC威胁情报指标集,包括以下步骤:
S310、当所述恶意样本数据源为共享病毒库时,调用线上分析平台接口,进行线上分析,得到第一IOC威胁情报指标;
当所述恶意样本数据源为蜜罐记录数据库或其他的恶意样本数据库时:
对可执行文件进行静态信息分析,读取恶意样本二进制数据,分析文件系统信标及内存信标,得到第二IOC威胁情报指标;
对所述恶意样本进行家族类型识别、聚合分类及同源分析,并对未被识别出的所述恶意样本进行沙箱动态分析,分析结果为第三IOC威胁情报指标;
S320、得到IOC威胁情报指标集;所述IOC威胁情报指标集为:
第一IOC威胁情报指标;
或/和
第二IOC威胁情报指标和第三IOC威胁情报指标。
目前有许多线上自动分析的平台,其对外提供API用以上传恶意样本,并返回分析结果,通过对分析结果进行过滤,过滤掉不属于文件系统信标、内存信标及网络信标中的数据,就可以得到第一IOC威胁情报指标。
第一IOC威胁情报指标通过线上自动分析获得,这里的分析平台接口,例如Virustotal API、微步云接口等,通过这些接口连接到在线威胁分析平台进行恶意样本的线上自动分析,对返回的字段数据,根据字段名提取需要的IOC威胁情报指标数据。
第二IOC威胁情报通过静态信息分析获得,具体地,需要读取恶意样本的二进制数据,提取样本特征,例如散列值,文件哈希等,通过特征码匹配敏感字符串,归纳字符串特征,并对恶意样本的系统信标及内存信标定性;此处的特征码通常是病毒家族或其变种独有的特征值,例如某些病毒家族都有一段相同的字符串,该字符串就是这些病毒家族的特征值(特征码),这些特征码通常是网络安全公司共享的,或者内部分析得到的,这些特征码储存在服务器中便于特征码匹配,服务器也可以定时自动接收特征码进行更新(从网络安全公司或内部的特征码数据库中接收),此处的服务器指的是进行第二IOC威胁情报分析的服务器。此外,为了获得更多的IOC威胁情报,还需要将未匹配成功的恶意样本例如未知攻击,CVE漏洞等,上传到网络安全公司的实验室进行人工分析,并接收分析后的结果加入到第二IOC威胁情报中。
第三IOC威胁情报指标主要是对病毒(恶意样本)的家族、行为进行同源性分析。可以使用ClamVA、Virustotal等工具快速标识家族类型,通过Cosa Nostra等恶意软件聚类工具进行恶意样本的聚合分类。未被识别的恶意样本通过沙箱进行行为结果分析,例如使用Cuckoo Sandbox等安全分析沙箱,合并聚类结果和沙箱分析结果,得到第三IOC威胁情报指标。通过第三IOC威胁情报指标的同源性分析,可以对恶意样本的类型进行区分,对其变种进行有效的识别,或者可以通过同源性分析发现某一恶意样本对应多个IP,以此分析确定这些IP属于同一攻击者。
通过综合一个恶意样本的第一、第二及第三IOC威胁情报指标,完成恶意样本的IOC威胁情报指标集,或者,当三个IOC威胁情报指标结果完全相同时,以第一IOC威胁情报指标为IOC威胁情报指标集;对于IOC情报指标中重复的信标(文件系统信标、内存信标、网络信标)只保留一个,对于同一恶意样本,有可能其第一、第二、第三IOC威胁情报指标中同一信标的分析结果不同,则合并分析结果相同的部分,保留所有不同的分析结果储存到IOC威胁情报指标集中。
实施例四
实施例四是在实施例一的基础上进行的,其主要对IOC威胁情报指标集的的匹配进行了解释和说明。
请参照图4所示,根据IP合并所述的攻击档案及所述的IOC威胁情报指标集,得到IP对应的攻击链集合,还包括以下步骤:
S410、接收大端情报数据,所述的大端情报数据为流量攻击采集的IP与恶意URL合集;
S420、提取所述大端情报数据中的IP和URL;
S430、根据所述的IP或URL匹配对应的攻击链,得到该IP或URL的溯源数据。
具体地,以IP作为主节点驱动,大端情报IP与攻击链IP为节点关联。为大端情报IP、URL提供更深层面的情报数据,为溯源提供了更粒度的情报来源。大端情报数据并不作具体限制,只要是能收集到攻击者IP或URL的设备就可以,例如具有防火墙功能的网关设备等,通常是在企业或家庭中进行网络防御或网络连接的设备。通过本发明的自动溯源方法,可以与大端情报数据联动,提供细粒度的溯源数据,便于更好的分析攻击者的背景、目的等,以便进行针对性的防御。
实施例五
实施例五公开了一种对应上述实施例的自动溯源方法对应的装置,为上述实施例的虚拟装置结构,请参照图5所示,包括:
数据接收模块510,用于接收恶意样本数据;
档案构建模块520,用于提取所述恶意样本数据中的关键数据,根据所述的关键数据建立与IP对应的攻击档案;
指标构建模块530,用于根据所述的恶意样本数据,进行自动分析,提取分析结果中的关键指标,建立与IP对应的IOC威胁情报指标集;
结果构建模块540,用于根据IP合并所述的攻击档案及所述的IOC威胁情报指标集,得到IP对应的攻击链集合。
优选地,所述的恶意样本数据源包括共享病毒库、蜜罐记录数据库及其他的恶意样本数据库中的一种或多种。根据蜜罐采集到的恶意样本数据提取所述的关键数据,所述关键数据根据预设关键词进行提取,所述的预设关键词包括IP、Session、执行的恶意指令、下载的恶意样本、攻击次数及攻击时间节点。
优选地,提取所述恶意样本数据中的关键数据,根据所述的关键数据建立与IP对应的攻击档案,包括以下步骤:
以IP对应的Session为主节点,提取IP对应的攻击数据;
根据所需关键数据进行语句过滤,得到所述的攻击档案。
优选地,所述的IOC威胁情报指标集包括文件系统信标、内存信标及网络信标中的一种或多种;所述文件系统信标包括文件哈希、文件名、字符串、文件路径、文件大小、文件类型、签名证书,所述内存信标包括字符串及内存结构,所述网络信标包括IP、主机名、域名、html、端口、SSL证书。
优选地,根据所述的恶意样本数据,进行自动分析,提取分析结果中的关键指标,建立与IP对应的IOC威胁情报指标集,包括以下步骤:
当所述恶意样本数据源为共享病毒库时,调用线上分析平台接口,进行线上分析,得到第一IOC威胁情报指标;
当所述恶意样本数据源为蜜罐记录数据库或其他的恶意样本数据库时:
对可执行文件进行静态信息分析,读取恶意样本二进制数据,分析文件系统信标及内存信标,得到第二IOC威胁情报指标;
对所述恶意样本进行家族类型识别、聚合分类及同源分析,并使用未被识别出的所述恶意样本进行沙箱动态分析,分析结果为第三IOC威胁情报指标;
合并第一IOC威胁情报指标、第二IOC威胁情报指标及第三IOC威胁情报指标,得到IOC威胁情报指标集。
优选地,根据IP合并所述的攻击档案及所述的IOC威胁情报指标集,得到IP对应的攻击链集合,还包括以下步骤:
接收大端情报数据,所述的大端情报数据为流量攻击采集的IP与恶意URL合集;
提取所述大端情报数据中的IP和URL;
根据所述的IP或URL匹配对应的攻击链,得到该IP或URL的溯源数据。
实施例六
图6为本发明实施例六提供的一种电子设备的结构示意图,如图6所示,该电子设备包括处理器610、存储器620、输入装置630和输出装置640;计算机设备中处理器610的数量可以是一个或多个,图6中以一个处理器610为例;电子设备中的处理器610、存储器620、输入装置630和输出装置640可以通过总线或其他方式连接,图6中以通过总线连接为例。
存储器620作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的自动溯源方法对应的程序指令/模块(例如自动溯源方法装置中的数据接收模块510,档案构建模块520,指标构建模块530,结果构建模块540)。处理器610通过运行存储在存储器620中的软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,数据处理例如攻击档案的建立过程及IOC威胁情报指标集的建立过程,即实现上述实施例一至实施例四的自动溯源方法。
存储器620可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序,例如ClamAV工具;存储数据区可存储根据终端的使用所创建的数据等,例如存有收集到的恶意样本数据。此外,存储器620可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器620可进一步包括相对于处理器610远程设置的存储器,这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置630可用于接收输入的用户身份信息、恶意样本数据、关键数据、关键指标等。输出装置640可包括显示屏等显示设备,用以显示得到的攻击档案、IOC威胁情报指标集等。
实施例七
本发明实施例七还提供一种包含计算机可执行指令的存储介质,该存储介质可用于计算机执行自动溯源方法,该方法包括:
接收恶意样本数据;
提取所述恶意样本数据中的关键数据,根据所述的关键数据建立与IP对应的攻击档案;
根据所述的恶意样本数据,进行自动分析,提取分析结果中的关键指标,建立与IP对应的IOC威胁情报指标集;
根据IP合并所述的攻击档案及所述的IOC威胁情报指标集,得到IP对应的攻击链集合。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的基于自动溯源方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台电子设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述基于自动溯源方法装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
对本领域的技术人员来说,可根据以上描述的技术方案以及构思,做出其它各种相应的改变以及形变,而所有的这些改变以及形变都应该属于本发明权利要求的保护范围之内。

Claims (8)

1.一种自动溯源方法,其特征在于,包括以下步骤:
接收恶意样本数据;
提取所述恶意样本数据中的关键数据,根据所述的关键数据建立与IP对应的攻击档案,其中,所述关键数据根据预设关键词进行提取,所述的预设关键词包括IP、Session、执行的恶意指令、下载的恶意样本、攻击次数及攻击时间节点;
根据所述的恶意样本数据,进行自动分析,提取分析结果中的关键指标,建立与IP对应的IOC威胁情报指标集;
根据IP合并所述的攻击档案及所述的IOC威胁情报指标集,得到IP对应的攻击链集合;
所述提取所述恶意样本数据中的关键数据,根据所述的关键数据建立与IP对应的攻击档案,包括以下步骤:
以IP对应的Session为主节点,提取IP对应的攻击数据;
根据所需关键数据进行语句过滤,得到所述的攻击档案。
2.如权利要求1所述的自动溯源方法,其特征在于,所述的恶意样本数据来源于共享病毒库、蜜罐记录数据库及其他的恶意样本数据库中的一种或多种。
3.如权利要求2所述的自动溯源方法,其特征在于,所述的IOC威胁情报指标集包括文件系统信标、内存信标及网络信标中的一种或多种;所述文件系统信标包括文件哈希、文件名、字符串、文件路径、文件大小、文件类型、签名证书,所述内存信标包括字符串及内存结构,所述网络信标包括IP、主机名、域名、html、端口、SSL证书。
4.如权利要求3所述的自动溯源方法,其特征在于,根据所述的恶意样本数据,进行自动分析,提取分析结果中的关键指标,建立与IP对应的IOC威胁情报指标集,包括以下步骤:
当所述恶意样本数据源为共享病毒库时,调用线上分析平台接口,进行线上分析,得到第一IOC威胁情报指标;
当所述恶意样本数据源为蜜罐记录数据库或其他的恶意样本数据库时:
对可执行文件进行静态信息分析,读取恶意样本二进制数据,分析文件系统信标及内存信标,得到第二IOC威胁情报指标;
对所述恶意样本进行家族类型识别、聚合分类及同源分析,并对未被识别出的所述恶意样本进行沙箱动态分析,分析结果为第三IOC威胁情报指标;
得到IOC威胁情报指标集;所述IOC威胁情报指标集为:
第一IOC威胁情报指标;
或/和
第二IOC威胁情报指标和第三IOC威胁情报指标。
5.如权利要求1所述的自动溯源方法,其特征在于,根据IP合并所述的攻击档案及所述的IOC威胁情报指标集,得到IP对应的攻击链集合,还包括以下步骤:
接收大端情报数据,所述的大端情报数据为流量攻击采集的IP与恶意URL合集;
提取所述大端情报数据中的IP和URL;
根据所述的IP或URL匹配对应的攻击链,得到该IP或URL的溯源数据。
6.一种自动溯源装置,其特征在于,其包括:
数据接收模块,用于接收恶意样本数据;
档案构建模块,用于提取所述恶意样本数据中的关键数据,根据所述的关键数据建立与IP对应的攻击档案,其中,所述关键数据根据预设关键词进行提取,所述的预设关键词包括IP、Session、执行的恶意指令、下载的恶意样本、攻击次数及攻击时间节点,所述提取所述恶意样本数据中的关键数据,根据所述的关键数据建立与IP对应的攻击档案,包括以下步骤:以IP对应的Session为主节点,提取IP对应的攻击数据;根据所需关键数据进行语句过滤,得到所述的攻击档案;
指标构建模块,用于根据所述的恶意样本数据,进行自动分析,提取分析结果中的关键指标,建立与IP对应的IOC威胁情报指标集;
结果构建模块,用于根据IP合并所述的攻击档案及所述的IOC威胁情报指标集,得到IP对应的攻击链集合。
7.一种电子设备,其包括处理器、存储介质以及计算机程序,所述计算机程序存储于存储介质中,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5任一项所述的自动溯源方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5任一项所述的自动溯源方法。
CN201910913169.9A 2019-09-25 2019-09-25 自动溯源方法、装置、设备及介质 Expired - Fee Related CN110691080B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910913169.9A CN110691080B (zh) 2019-09-25 2019-09-25 自动溯源方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910913169.9A CN110691080B (zh) 2019-09-25 2019-09-25 自动溯源方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN110691080A CN110691080A (zh) 2020-01-14
CN110691080B true CN110691080B (zh) 2022-06-14

Family

ID=69110264

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910913169.9A Expired - Fee Related CN110691080B (zh) 2019-09-25 2019-09-25 自动溯源方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN110691080B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111447215A (zh) * 2020-03-25 2020-07-24 深信服科技股份有限公司 数据检测方法、装置和存储介质
CN111818103B (zh) * 2020-09-09 2020-12-15 信联科技(南京)有限公司 一种网络靶场中基于流量的溯源攻击路径方法
CN112073437B (zh) * 2020-10-09 2023-12-19 腾讯科技(深圳)有限公司 多维度的安全威胁事件分析方法、装置、设备及存储介质
CN112491928A (zh) * 2020-12-14 2021-03-12 江西现代职业技术学院 一种计算机网络安全防护方法
CN114143112B (zh) * 2021-12-08 2024-03-29 赛尔网络有限公司 恶意攻击邮件分析方法、装置、设备及介质
CN115801431A (zh) * 2022-11-29 2023-03-14 国网山东省电力公司信息通信公司 一种威胁自动溯源方法、系统、设备及介质
CN115883260B (zh) * 2023-02-27 2023-05-16 安徽深迪科技有限公司 一种基于隐写技术的数字藏品溯源系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107360155A (zh) * 2017-07-10 2017-11-17 中国科学院信息工程研究所 一种基于威胁情报和沙箱技术的网络攻击自动溯源方法和系统
CN107368856A (zh) * 2017-07-25 2017-11-21 深信服科技股份有限公司 恶意软件的聚类方法及装置、计算机装置及可读存储介质
CN109274677A (zh) * 2018-10-11 2019-01-25 四川长虹电器股份有限公司 基于机器学习的ip分类方法及系统
CN110198303A (zh) * 2019-04-26 2019-09-03 北京奇安信科技有限公司 威胁情报的生成方法及装置、存储介质、电子装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170366571A1 (en) * 2016-06-21 2017-12-21 Ntt Innovation Institute, Inc. Asset protection apparatus, system and method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107360155A (zh) * 2017-07-10 2017-11-17 中国科学院信息工程研究所 一种基于威胁情报和沙箱技术的网络攻击自动溯源方法和系统
CN107368856A (zh) * 2017-07-25 2017-11-21 深信服科技股份有限公司 恶意软件的聚类方法及装置、计算机装置及可读存储介质
CN109274677A (zh) * 2018-10-11 2019-01-25 四川长虹电器股份有限公司 基于机器学习的ip分类方法及系统
CN110198303A (zh) * 2019-04-26 2019-09-03 北京奇安信科技有限公司 威胁情报的生成方法及装置、存储介质、电子装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
面向攻击溯源的威胁情报共享利用研究;杨泽明等;《信息安全研究》;20151005;全文 *

Also Published As

Publication number Publication date
CN110691080A (zh) 2020-01-14

Similar Documents

Publication Publication Date Title
CN110691080B (zh) 自动溯源方法、装置、设备及介质
CN112383546B (zh) 一种处理网络攻击行为的方法、相关设备及存储介质
US9300682B2 (en) Composite analysis of executable content across enterprise network
CN103595732B (zh) 一种网络攻击取证的方法及装置
CN114679329B (zh) 用于基于赝象对恶意软件自动分组的系统
CN110519264B (zh) 攻击事件的追踪溯源方法、装置及设备
CN103279710B (zh) Internet信息系统恶意代码的检测方法和系统
CN110210213B (zh) 过滤恶意样本的方法及装置、存储介质、电子装置
JP6674036B2 (ja) 分類装置、分類方法及び分類プログラム
CN107145779B (zh) 一种离线恶意软件日志的识别方法和装置
Tang et al. A large-scale empirical study on industrial fake apps
CN107547490B (zh) 一种扫描器识别方法、装置及系统
CN108573146A (zh) 一种恶意url检测方法及装置
Taylor et al. Detecting malicious exploit kits using tree-based similarity searches
CN110188538B (zh) 采用沙箱集群检测数据的方法及装置
CN107241296A (zh) 一种Webshell的检测方法及装置
CN110149319B (zh) Apt组织的追踪方法及装置、存储介质、电子装置
CN111104579A (zh) 一种公网资产的识别方法、装置及存储介质
CN110149318B (zh) 邮件元数据的处理方法及装置、存储介质、电子装置
CN113810395B (zh) 一种威胁情报的检测方法、装置及电子设备
Rasool et al. A review of web browser forensic analysis tools and techniques
KR102128008B1 (ko) 사이버 위협 정보 처리 방법 및 장치
CN115766258B (zh) 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质
Kheir Behavioral classification and detection of malware through http user agent anomalies
Hong et al. Ctracer: uncover C&C in advanced persistent threats based on scalable framework for enterprise log data

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20220614

CF01 Termination of patent right due to non-payment of annual fee