CN110830500B - 网络攻击追踪方法、装置、电子设备及可读存储介质 - Google Patents
网络攻击追踪方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN110830500B CN110830500B CN201911152317.6A CN201911152317A CN110830500B CN 110830500 B CN110830500 B CN 110830500B CN 201911152317 A CN201911152317 A CN 201911152317A CN 110830500 B CN110830500 B CN 110830500B
- Authority
- CN
- China
- Prior art keywords
- tracking
- data
- network
- network attack
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种网络攻击追踪方法、装置、电子设备及可读存储介质,涉及网络通信领域。该方法包括:接收用户的追踪请求,所述追踪请求包括追踪参数;根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件;针对所述网络攻击事件和支撑数据进行交叉分析,获得对网络攻击的描述信息,其中,所述支撑数据为除所述网络数据以外的与网络攻击相关的分析数据。该方案通过先利用网络数据检索出与追踪参数相关的网络攻击事件,然后再与其他与网络攻击相关的支撑数据进行交叉数据,如此参与网络攻击分析的数据源较多,进而可实现对网络攻击更全面的分析。
Description
技术领域
本申请涉及网络通信领域,具体而言,涉及一种网络攻击追踪方法、装置、电子设备及可读存储介质。
背景技术
近年来,随着互联网网络的高速发展,基于互联网的信息也成井喷状态增加,很多不法信息也夹杂在其中不断增长。
为了对这些不法信息进行追踪,目前采用的方法是直接基于原始流量数据进行分析,但是这种情况下只能分析出原始流量数据中哪些数据是异常数据,对网络攻击的分析不全面,分析效果不好。
发明内容
本申请实施例的目的在于提供一种网络攻击追踪方法、装置、电子设备及可读存储介质,用以改善现有技术中用于网络攻击分析的数据较少导致分析不全面,效果不好的问题。
第一方面,本申请实施例提供了一种网络攻击追踪方法,所述方法包括:接收用户的追踪请求,所述追踪请求包括追踪参数;根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件;针对所述网络攻击事件和支撑数据进行交叉分析,获得对网络攻击的描述信息,其中,所述支撑数据为除所述网络数据以外的与网络攻击相关的分析数据。
在上述实现过程中,通过先利用网络数据检索出与追踪参数相关的网络攻击事件,然后再与其他与网络攻击相关的支撑数据进行交叉数据,如此参与网络攻击分析的数据源较多,进而可实现对网络攻击更全面的分析。
可选地,所述根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件,包括:根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的初始网络攻击事件;将所述初始网络攻击事件按照预设聚合规则进行聚合,获得符合所述聚合规则的所述网络攻击事件。
在上述实现过程中,通过对初始网络攻击事件按照预设聚合规则进行聚合,以便在后续进行网络攻击分析时,减少分析的数据量,提高分析效率。
可选地,在所述追踪参数为多个时,所述追踪请求中包括封装的多个追踪参数,所述根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件,包括:对所述封装的多个追踪参数进行拆解,确定各个追踪参数;根据各个追踪参数分别在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件。
在上述实现过程中,在追踪参数包括多个时,可以先将多个追踪参数进行封装,以便于用户可以将多个追踪参数一起发送,进而在利用追踪参数进行数据查找时,可以同时针对多个追踪参数分别进行查找,提高了查找效率。
可选地,所述根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件,包括:根据所述追踪参数确定追踪模式;按照所述追踪模式在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件。
在上述实现过程中,可以根据实际需求针对追踪参数设置对应的追踪模式,更加灵活。
可选地,所述追踪模式为单次追踪、定时追踪或实时追踪。
可选地,所述网络数据包括原始网络流量数据、情报数据、告警数据、历史结论数据中的至少一种。
可选地,在所述网络数据包括原始网络流量数据和告警数据时,所述针对所述网络攻击事件和支撑数据进行交叉分析,获得对网络攻击的描述信息,包括:对所述原始网络流量数据与所述告警数据进行交叉分析,获得表征网络攻击的特征信息;根据所述特征信息对所述网络攻击事件和支撑数据进行交叉分析,获得对网络攻击的描述信息。
在上述实现过程中,先利用原始网络流量数据与告警数据进行交叉分析,获得表征网络攻击的特征信息,如此根据特征信息对网络攻击事件和支撑数据进行分析可更加准确分析出对网络攻击的描述信息。
可选地,所述获得对网络攻击的描述信息之后,还包括:
将所述描述信息反馈给对应的用户终端,以便用户可通过用户终端了解到相关的网络攻击信息,进而可以及时采取补救措施,维护网络安全。
可选地,所述追踪参数包括端口、公司名称、地址区域、时间、IP地址中的至少一种。
可选地,所述支撑数据包括日志数据、设备数据、监控数据、漏洞数据中的至少一种。
可选地,所述网络攻击的描述信息包括网络攻击影响的业务、网络攻击影响的设备数量、网络攻击影响的范围、告警产生的原因、网络攻击手段、网络攻击发起者、网络攻击发起的时间周期、网络攻击的次数中的至少一种。
第二方面,本申请实施例提供了一种网络攻击追踪装置,所述装置包括:
追踪参数获取模块,用于接收用户的追踪请求,所述追踪请求包括追踪参数;
查找模块,用于根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件;
分析模块,用于针对所述网络攻击事件和支撑数据进行交叉分析,获得对网络攻击的描述信息,其中,所述支撑数据为除所述网络数据以外的与网络攻击相关的分析数据。
可选地,所述查找模块,用于根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的初始网络攻击事件;将所述初始网络攻击事件按照预设聚合规则进行聚合,获得符合所述聚合规则的所述网络攻击事件。
可选地,在所述追踪参数为多个时,所述追踪请求中包括封装的多个追踪参数,所述查找模块,还用于对所述封装的多个追踪参数进行拆解,确定各个追踪参数;根据各个追踪参数分别在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件。
可选地,所述查找模块,还用于根据所述追踪参数确定追踪模式;按照所述追踪模式在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件。
可选地,所述追踪模式为单次追踪、定时追踪或实时追踪。
可选地,所述网络数据包括原始网络流量数据、情报数据、告警数据、历史结论数据中的至少一种。
可选地,在所述网络数据包括原始网络流量数据和告警数据时,所述分析模块,用于对所述原始网络流量数据与所述告警数据进行交叉分析,获得表征网络攻击的特征信息;根据所述特征信息对所述网络攻击事件和支撑数据进行交叉分析,获得对网络攻击的描述信息。
可选地,所述装置还包括:
反馈模块,用于将所述描述信息反馈给对应的用户终端。
可选地,所述追踪参数包括端口、公司名称、地址区域、时间、IP地址中的至少一种。
可选地,所述支撑数据包括日志数据、设备数据、监控数据、漏洞数据中的至少一种。
可选地,所述网络攻击的描述信息包括网络攻击影响的业务、网络攻击影响的设备数量、网络攻击影响的范围、告警产生的原因、网络攻击手段、网络攻击发起者、网络攻击发起的时间周期、网络攻击的次数中的至少一种。
第三方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
第四方面,本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种电子设备的结构示意图;
图2为本申请实施例提供的一种网络攻击追踪方法的流程图;
图3为本发明实施例提供的一种网络攻击追踪装置的结构框图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供一种网络攻击追踪方法,该方法利用网络数据先检索出与追踪参数相关的网络攻击事件,然后再与其他与网络攻击相关的支撑数据进行交叉数据,如此参与网络攻击分析的数据源较多,进而可实现对网络攻击更全面的分析。
下面结合各个附图对本申请实施例提供的网络攻击追踪方法进行详细说明。
请参照图1,图1为本申请实施例提供的一种电子设备的结构示意图,所述电子设备可以包括:至少一个处理器110,例如CPU,至少一个通信接口120,至少一个存储器130和至少一个通信总线140。其中,通信总线140用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口120用于与其他节点设备进行信令或数据的通信。存储器130可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器130可选的还可以是至少一个位于远离前述处理器的存储装置。存储器130中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器110执行时,电子设备执行下述图2所示方法过程。
其中,存储器130可用于存储网络数据和支撑数据,处理器110可用于利用追踪参数对网络数据进行查找,并对网络攻击事件和支撑数据进行交叉分析,从而可获得对网络攻击的描述信息。
请参照图2,图2为本申请实施例提供的一种网络攻击追踪方法的流程图,该方法包括如下步骤:
步骤S110:接收用户的追踪请求。
其中,追踪请求中包括追踪参数,用户的追踪请求可以理解为用户触发的追踪指令,如用户可以通过用户终端输入对应的追踪参数,然后用户可点击用户终端上相应的按钮,即可触发追踪请求。
追踪参数可以理解为需要进行追踪的标签数据,如作为一种示例,追踪参数可以包括端口、公司名称、地址区域、时间以及IP地址中的至少一种。其中,地址区域可以是指某个省、某个市或者某个区或者自定义的区域等。
当然,追踪参数可以是用户根据追踪需求自定义的追踪数据,如金融行业、游戏行业等行业标签数据,在用户提交的追踪参数包括这些行业标签数据时,则还可以对金融行业和游戏行业相关的数据进行追踪。
或者,追踪参数还可以包括攻击过程中的任何数据,如攻击手段、被攻击目标、攻击源或者其任意组合等。
用户发送的追踪请求中的追踪参数可以为一个或多个,如用户想要对某个公司在某个时间段内的数据进行追踪,则其追踪参数可以为这个公司的名称和相应的时间段。
另外,可能各个追踪参数的格式不同,所以用户从电子设备输入追踪参数,触发追踪请求后,其追踪参数可以通过对应的适配器传输至电子设备,适配器可以适配各个不同格式的追踪参数,如此电子设备可获取到用户的发送的追踪请求中的追踪参数。
步骤S120:根据所述追踪参数在预存储的网络数据中查出与所述追踪参数相关的网络攻击事件。
其中,网络数据是指网络产生或传输的数据,在网络数据中可能携带有上述的追踪参数,如此,可利用追踪参数从网站数据中获取所需的数据。作为一种示例,网络数据可以包括原始网络流量数据、情报数据、告警数据、历史结论数据等数据中的至少一种。
这些网络数据可以是预先存储在电子设备中的,其中原始网络流量数据是指各个网络设备传输的网络数据,其可以通过对网络流量数据进行镜像而获得的;情报数据是指包含有网络异常信息的数据;告警数据是针对网络数据异常产生的告警信息;历史结论数据是指在网络事件发生后,经过人为处置认为真实存在的数据。
需要说明的是,上述仅列举了其中一些网络数据,在实际情况中,网络数据还可包括更多类型的数据,如日志数据等。
电子设备在获取到追踪参数后,可调用检索引擎根据追踪参数在预存储的网络数据进行检索,以查找与追踪参数相关的网络攻击事件。若追踪参数为多个时,检索引擎可根据每个追踪参数并行检索对应的网络攻击事件,如追踪对象为IP和端口时,则检索引擎根据IP从网络数据中查找出与IP相关的网络攻击事件,同时根据端口从网络数据中查找出与端口相关的网络攻击事件。
其中,网络攻击事件可以理解为是通过网络产生的对电子设备中的信息系统造成威胁或潜在危害的信息安全事件。可以理解地,可以先根据追踪参数从网络数据中查找出与追踪参数相关的数据,由于这些数据中可能有的数据并不是真的网络攻击相关的数据,所以,还可以对这部分数据继续进行筛选,从而获得网络攻击数据,即网络攻击事件。
步骤S130:针对所述网络攻击事件和支撑数据进行交叉分析,获得对网络攻击的描述信息。
为了对网络攻击进行全方位追踪,还需获得其他数据与网络攻击事件一起分析,其他数据即为支撑数据,其中,支撑数据是指除网络数据以外的与网络攻击相关的分析数据。
作为一种示例,支撑数据可以包括日志数据、设备数据、监控数据、漏洞数据等数据中的至少一种。
支撑数据也可以是预先获取到并存储到电子设备中的,在利用网络攻击事件和支撑数据进行交叉分析时,可以是指将获得的各个网络攻击事件分别与支撑数据进行分析,针对每个网络攻击事件均可获得对应的分析结果,这些分析结果即为对网络攻击的描述信息。
其中,电子设备可以调用数据分析引擎来对网络攻击事件与支撑数据进行交叉分析,其分析过程可以是针对各个网络攻击事件与支撑数据并行进行分析,如此可提高分析效率。
上述的对网络攻击的描述信息是指对网络攻击的追踪结果,其可以包括网络攻击影响的业务、网络攻击影响的设备数量、网络攻击影响的范围、告警产生的原因、网络攻击手段、网络攻击发起者、网络攻击发起的时间周期、网络攻击的次数中的至少一种。
例如,在网络攻击事件与支撑数据进行交叉分析时,可以通过追踪IP获得网络攻击发起者以及网络攻击影响的设备、范围及网络攻击次数,可以通过追踪数据业务类型获得网络攻击影响的业务,可以通过获得的网络攻击影响的设备确定其可能受影响的同类设备,可以通过追踪告警数据获得告警产生的原因以及网络攻击手段等。
在上述实现过程中,通过先利用网络数据检索出与追踪参数相关的网络攻击事件,然后再与其他与网络攻击相关的支撑数据进行交叉数据,如此参与网络攻击分析的数据源较多,进而可实现对网络攻击更全面的分析。
另外,在上述获得的网络攻击事件中,可能针对同一个行为产生多个相同的数据,如用户采用用户账户登录系统时,若多次输入账户均显示账户错误,如此可产生多个相同的告警数据,则在获取网络攻击事件中可能包括有多个相同的告警事件。所以为了后续进行分析时,减少分析的数据量,则还可以对网络攻击事件进行聚合后再分析,如先根据追踪参数在网络数据中查找与追踪参数相关的初始网络攻击事件,然后将初始网络攻击事件按照预设聚合规则进行聚合,获得符合聚合规则的网络攻击事件。
其中,预设聚合规则可以为IP、端口、时间等,如针对同一个IP或端口的初始网络攻击事件聚合为一个网络攻击事件,又如获取的初始网络攻击事件的时间是当前时间以前的所有网络攻击事件,则可以聚合最近一个月的初始网络攻击事件作为最后的网络攻击事件即可。
为了确保符合预设聚合规则的数据能够聚合,可以在进行追踪或者聚合之前,将所有数据进行规范化,即将数据转换为统一格式,使得数据在聚合时可以容易识别将属于同一聚合规则的数据实现聚合。
另外,为了便于对预设聚合规则的调用,可以将预设聚合规则封装为不同的模板,以此可以根据实际需求选择对应的模板即可调用对应的聚合规则对数据进行聚合,方便快捷。
在上述实现过程中,通过对初始网络攻击事件按照预设聚合规则进行聚合,以便在后续进行网络攻击分析时,减少分析的数据量,提高分析效率。
作为一种示例,在追踪参数为多个时,为了便于用户提交追踪参数,可以对追踪参数进行封装,即追踪请求中包括封装的多个追踪参数,电子设备在获得追踪请求后,从中获取封装的多个追踪参数,为了查找与追踪参数相关的网络攻击事件,还可以先对封装的多个追踪参数进行拆解,确定各个追踪参数,然后再根据各个追踪参数分别在预存储的网络数据中查找与追踪参数相关的网络攻击事件。
另外,电子设备中还可以预先将各个追踪参数生成模板进行存储,电子设备在获得用户发送的追踪参数后,可从模板中查找是否有与用户发送的追踪参数一致的追踪参数,若有,则表示可以根据这些追踪参数进行数据追踪,若没有,则表明用户提交的追踪参数可能有误,则可能无法按照这些追踪参数进行数据追踪,此时可向用户反馈无法追踪的提示信息,提示用户输入其他的追踪参数。
在上述实现过程中,在追踪参数包括多个时,可以先将多个追踪参数进行封装,以便于用户可以将多个追踪参数一起发送,进而在利用追踪参数进行数据查找时,可以同时针对多个追踪参数分别进行查找,提高了查找效率。
作为一种示例,在数据追踪时,还可以根据需求设定追踪模式,即可以根据追踪参数确定追踪模式,然后按照追踪模式在预存储的网络数据中查找与追踪参数相关的网络攻击事件。
其中,追踪模式可以为单次追踪、定时追踪和实时追踪等模式。可以针对每个追踪参数设定一种追踪模式,如针对追踪参数IP可以设定实时追踪模式,针对追踪参数端口可以设定单次追踪模式,也可以针对所有的追踪参数设定相同的追踪模式,如针对追踪参数IP和端口均设定定时追踪模式。
上述的追踪模式可以是用户根据需求设定的,如用户针对某个公司的数据进行追踪时,为了确保该公司的网络安全,可以设定追踪模式为实时追踪。如此,可以根据实际情况灵活针对不同的追踪参数设置对应的追踪模式。
为了更加准确分析出对网络攻击的描述信息,作为一种示例,在上述网络数据包括原始网络流量数据和告警数据时,在利用网络攻击事件和支撑数据进行交叉分析的过程中,还可以先对原始网络流量数据与告警数据进行交叉分析,获得表征网络攻击的特征信息,然后根据该特征信息对网络攻击事件和支撑数据进行交叉分析,获得对网络攻击的描述信息。
可以理解地,告警数据是针对原始网络流量数据产生的,即在对原始网络流量数据进行分析时,若发现其原始网络流量数据中的某些数据为异常数据,则产生针对该异常数据的告警数据,对原始网络流量数据和告警数据进行交叉分析可对告警数据进行溯源,从中分析出表征网络攻击的特征信息。其中,特征信息可以是一些表征网络攻击的关键词或字段,如木门病毒,或者其他病毒数据均可认为是表征网络攻击的特征信息。也就是说,对告警数据进行溯源是指对告警数据产生的原因进行分析,从而可针对告警数据分析出原始网络流量数据中是否有针对网络攻击所产生的数据,以此来获得表征网络攻击的特征信息。
然后可利用这些特征信息对网络攻击事件和支撑数据进行交叉分析,即利用特征信息在网络攻击事件和支撑数据对网络攻击进行追溯,由此可获得针对网络攻击的攻击路径和攻击行为等信息,对这些信息进行进一步分析可获得对网络攻击的描述信息。
所以,通过对网络攻击事件和支撑数据的交叉分析,可以分析出网络攻击手段、攻击来源、攻击过程、受影响的同类设备等,如通过分析发现A攻击了B,则表明与B类似的同类设备很可能也会受到攻击。
其中,在分析过程中,可以针对攻击过程进行逆向和正向分析,如从A追溯发现A攻击了B,若从B逆向分析则发现B被A攻击。
在上述实现过程中,先利用原始网络流量数据与告警数据进行交叉分析,获得表征网络攻击的特征信息,如此根据特征信息对网络攻击事件和支撑数据进行分析可更加准确分析出对网络攻击的描述信息。
在获得对网络攻击的描述信息后,还可以将描述信息反馈给对应的用户终端,从而使得用户可以通过用户终端了解到相关的网络攻击信息,进而可以及时采取补救措施,维护网络安全。
请参照图3,图3为本发明实施例提供的一种网络攻击追踪装置200的结构框图,该装置200可以是电子设备上的模块、程序段或代码。应理解,该装置200与上述图2方法实施例对应,能够执行图2方法实施例涉及的各个步骤,该装置200具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置200包括:
追踪参数获取模块210,用于接收用户的追踪请求,所述追踪请求包括追踪参数;
查找模块220,用于根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件;
分析模块230,用于针对所述网络攻击事件和支撑数据进行交叉分析,获得对网络攻击的描述信息,其中,所述支撑数据为除所述网络数据以外的与网络攻击相关的分析数据。
可选地,所述查找模块220,用于根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的初始网络攻击事件;将所述初始网络攻击事件按照预设聚合规则进行聚合,获得符合所述聚合规则的所述网络攻击事件。
可选地,在所述追踪参数为多个时,所述追踪请求中包括封装的多个追踪参数,所述查找模块220,还用于对所述封装的多个追踪参数进行拆解,确定各个追踪参数;根据各个追踪参数分别在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件。
可选地,所述查找模块220,还用于根据所述追踪参数确定追踪模式;按照所述追踪模式在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件。
可选地,所述追踪模式为单次追踪、定时追踪或实时追踪。
可选地,所述网络数据包括原始网络流量数据、情报数据、告警数据、历史结论数据中的至少一种。
可选地,在所述网络数据包括原始网络流量数据和告警数据时,所述分析模块230,用于对所述原始网络流量数据与所述告警数据进行交叉分析,获得表征网络攻击的特征信息;根据所述特征信息对所述网络攻击事件和支撑数据进行交叉分析,获得对网络攻击的描述信息。
可选地,所述装置200还包括:
反馈模块,用于将所述描述信息反馈给对应的用户终端。
可选地,所述追踪参数包括端口、公司名称、地址区域、时间、IP地址中的至少一种。
可选地,所述支撑数据包括日志数据、设备数据、监控数据、漏洞数据中的至少一种。
可选地,所述网络攻击的描述信息包括网络攻击影响的业务、网络攻击影响的设备数量、网络攻击影响的范围、告警产生的原因、网络攻击手段、网络攻击发起者、网络攻击发起的时间周期、网络攻击的次数中的至少一种。
本申请实施例提供一种可读存储介质,所述计算机程序被处理器执行时,执行如图2所示方法实施例中电子设备所执行的方法过程。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:接收用户的追踪请求,所述追踪请求包括追踪参数;根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件;针对所述网络攻击事件和支撑数据进行交叉分析,获得对网络攻击的描述信息,其中,所述支撑数据为除所述网络数据以外的与网络攻击相关的分析数据。
综上所述,本申请实施例提供一种网络攻击追踪方法、装置、电子设备及可读存储介质,该方案通过先利用网络数据检索出与追踪参数相关的网络攻击事件,然后再与其他与网络攻击相关的支撑数据进行交叉数据,如此参与网络攻击分析的数据源较多,进而可实现对网络攻击更全面的分析。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (13)
1.一种网络攻击追踪方法,其特征在于,所述方法包括:
接收用户的追踪请求,所述追踪请求包括追踪参数;
根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件;
针对所述网络攻击事件和支撑数据进行交叉分析,获得对网络攻击的描述信息,其中,所述支撑数据为除所述网络数据以外的与网络攻击相关的分析数据;
其中,预先存储有针对各个追踪参数生成的模板,在所述接收用户的追踪请求之后,在根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件之前,还包括:
从所述模板中查找是否有与所述用户发送的追踪参数一致的追踪参数;
若有,则执行步骤:根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件;
若没有,则确定所述用户发送的追踪参数有误,并向所述用户反馈无法追踪的提示信息;
其中,所述根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件,包括:
根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的初始网络攻击事件;
将所述初始网络攻击事件按照预设聚合规则进行聚合,获得符合所述聚合规则的所述网络攻击事件,其中,所述预设聚合规则为通过调用封装的模板获得的,不同的预设聚合规则封装为不同的模板。
2.根据权利要求1所述的方法,其特征在于,在所述追踪参数为多个时,所述追踪请求中包括封装的多个追踪参数,所述根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件,包括:
对所述封装的多个追踪参数进行拆解,确定各个追踪参数;
根据各个追踪参数分别在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件。
3.根据权利要求1所述的方法,其特征在于,所述根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件,包括:
根据所述追踪参数确定追踪模式;
按照所述追踪模式在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件。
4.根据权利要求3所述的方法,其特征在于,所述追踪模式为单次追踪、定时追踪或实时追踪。
5.根据权利要求1所述的方法,其特征在于,所述网络数据包括原始网络流量数据、情报数据、告警数据、历史结论数据中的至少一种。
6.根据权利要求5所述的方法,其特征在于,在所述网络数据包括原始网络流量数据和告警数据时,所述针对所述网络攻击事件和支撑数据进行交叉分析,获得对网络攻击的描述信息,包括:
对所述原始网络流量数据与所述告警数据进行交叉分析,获得表征网络攻击的特征信息;
根据所述特征信息对所述网络攻击事件和支撑数据进行交叉分析,获得对网络攻击的描述信息。
7.根据权利要求1所述的方法,其特征在于,所述获得对网络攻击的描述信息之后,还包括:
将所述描述信息反馈给对应的用户终端。
8.根据权利要求1-7任一所述的方法,其特征在于,所述追踪参数包括端口、公司名称、地址区域、时间、IP地址中的至少一种。
9.根据权利要求1-7任一所述的方法,其特征在于,所述支撑数据包括日志数据、设备数据、监控数据、漏洞数据中的至少一种。
10.根据权利要求1-7任一所述的方法,其特征在于,所述网络攻击的描述信息包括网络攻击影响的业务、网络攻击影响的设备数量、网络攻击影响的范围、告警产生的原因、网络攻击手段、网络攻击发起者、网络攻击发起的时间周期、网络攻击的次数中的至少一种。
11.一种网络攻击追踪装置,其特征在于,所述装置包括:
追踪参数获取模块,用于接收用户的追踪请求,所述追踪请求包括追踪参数;
查找模块,用于根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件;
分析模块,用于针对所述网络攻击事件和支撑数据进行交叉分析,获得对网络攻击的描述信息,其中,所述支撑数据为除所述网络数据以外的与网络攻击相关的分析数据;
其中,预先存储有针对各个追踪参数生成的模板,所述装置还包括:
参数判断模块,用于从所述模板中查找是否有与所述用户发送的追踪参数一致的追踪参数;若有,则执行步骤:根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件;若没有,则确定所述用户发送的追踪参数有误,并向所述用户反馈无法追踪的提示信息;
其中,所述查找模块,具体用于:
根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的初始网络攻击事件;
将所述初始网络攻击事件按照预设聚合规则进行聚合,获得符合所述聚合规则的所述网络攻击事件,其中,所述预设聚合规则为通过调用封装的模板获得的,不同的预设聚合规则封装为不同的模板。
12.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-10任一所述的方法。
13.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-10任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911152317.6A CN110830500B (zh) | 2019-11-20 | 2019-11-20 | 网络攻击追踪方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911152317.6A CN110830500B (zh) | 2019-11-20 | 2019-11-20 | 网络攻击追踪方法、装置、电子设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110830500A CN110830500A (zh) | 2020-02-21 |
| CN110830500B true CN110830500B (zh) | 2022-03-11 |
Family
ID=69558007
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911152317.6A Active CN110830500B (zh) | 2019-11-20 | 2019-11-20 | 网络攻击追踪方法、装置、电子设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110830500B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI736258B (zh) * | 2020-05-11 | 2021-08-11 | 臺灣銀行股份有限公司 | 設備強化順序分析方法 |
| CN111813774B (zh) * | 2020-05-18 | 2021-02-05 | 广州锦行网络科技有限公司 | 一种基于sysdig系统监控获取溯源信息的方法 |
| CN111953527B (zh) * | 2020-07-28 | 2023-02-03 | 深圳供电局有限公司 | 一种网络攻击还原系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
| CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
| CN108900514A (zh) * | 2018-07-04 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | 基于同源分析的攻击信息追踪溯源方法及装置 |
| CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
| CN109474567A (zh) * | 2017-10-19 | 2019-03-15 | 公安部第三研究所 | Ddos攻击溯源方法、装置、存储介质及电子设备 |
-
2019
- 2019-11-20 CN CN201911152317.6A patent/CN110830500B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
| CN109474567A (zh) * | 2017-10-19 | 2019-03-15 | 公安部第三研究所 | Ddos攻击溯源方法、装置、存储介质及电子设备 |
| CN108900514A (zh) * | 2018-07-04 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | 基于同源分析的攻击信息追踪溯源方法及装置 |
| CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
| CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110830500A (zh) | 2020-02-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108763031B (zh) | 一种基于日志的威胁情报检测方法及装置 | |
| US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| US11909753B2 (en) | Virtual private cloud flow log event fingerprinting and aggregation | |
| US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
| US10560483B2 (en) | Rating organization cybersecurity using active and passive external reconnaissance | |
| US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| US20210392152A1 (en) | Intrusion detection using robust singular value decomposition | |
| CN110830500B (zh) | 网络攻击追踪方法、装置、电子设备及可读存储介质 | |
| CN108696589B (zh) | 区块链数据传输方法、装置、设备和存储介质 | |
| US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
| US20220014561A1 (en) | System and methods for automated internet-scale web application vulnerability scanning and enhanced security profiling | |
| US20210092160A1 (en) | Data set creation with crowd-based reinforcement | |
| US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| CN111885210A (zh) | 一种基于最终用户环境的云计算网络监控系统 | |
| US20210133742A1 (en) | Detection of security threats in a network environment | |
| CN112581129A (zh) | 区块链交易数据治理方法及装置、计算机设备及存储介质 | |
| CN110442582B (zh) | 场景检测方法、装置、设备和介质 | |
| CN111046393B (zh) | 漏洞信息上传方法、装置、终端设备及存储介质 | |
| CN114826727B (zh) | 流量数据采集方法、装置、计算机设备、存储介质 | |
| CN114363002B (zh) | 一种网络攻击关系图的生成方法及装置 | |
| CN115328734A (zh) | 跨服务的日志处理方法、装置及服务器 | |
| CN114510717A (zh) | 一种elf文件的检测方法、装置、存储介质 | |
| CN114021127A (zh) | 入侵防御数据处理方法、装置及计算机设备、存储介质 | |
| CN112995360A (zh) | 一种域名检测方法、装置、dga服务设备及存储介质 | |
| CN107066538B (zh) | 一种数据统计的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |