CN110958257B - 一种内网渗透过程还原方法和系统 - Google Patents

Abstract

本申请实施例公开了一种内网渗透过程还原方法和系统，通过捕获攻击事件；根据所述攻击事件获取所述攻击事件对应的流量元数据特征；根据所述攻击事件对应的流量元数据特征基于数据库确定所述攻击事件对应的攻击类别；进一步，基于机器学习组件对所述攻击事件对应的攻击类别进行关联分析和聚类，得到所述攻击事件对应的攻击路径。实现了攻击过程的还原，为防止网络入侵技术提供重要依据。

Description

一种内网渗透过程还原方法和系统

技术领域

本申请实施例涉及网络安全技术领域，具体涉及一种内网渗透过程还原方法和系统。

背景技术

传统的入侵检测技术主要从三个层面展开，分别是基于网络的入侵检测技术(NIDS)、基于主机的入侵检测技术(HIDS)和基于混合的入侵检测技术(hybrid IDS)。HIDS通过监视多个计算机中的网络通信流量来识别单个主机上的恶意活动，一般直接部署在相应监测主机中；NIDS则是通过检测骨干网中的恶意流量来监视整个网络中的安全状态，因此，NIDS中的传感器必须位于网络的瓶颈处，通常用于在整个网络边界上来捕获所有网络流量。基于混合的IDS技术则是通过分析应用程序日志、系统调用、文件系统修改(密码文件、二进制文件、访问控制列表、能力数据库等)和其他主机状态和活动来检测入侵。

通常可以以攻击链模型来描述一整个网络攻击过程,传统网络攻击分析方法只是分析攻击链模型中某一个步骤或某几个步骤。因此在追溯攻击者入侵过程中存在局限。

发明内容

为此，本申请实施例提供一种内网渗透过程还原方法，以还原攻击者入侵过程。

为了实现上述目的，本申请实施例提供如下技术方案：

根据本申请实施例的第一方面，提供了一种内网渗透过程还原方法，所述方法包括：

捕获攻击事件；

根据所述攻击事件获取所述攻击事件对应的流量元数据特征；

根据所述攻击事件对应的流量元数据特征基于数据库确定所述攻击事件对应的攻击类别；

基于机器学习组件对所述攻击事件对应的攻击类别进行关联分析和聚类，得到所述攻击事件对应的攻击路径。

可选地，所述流量元数据特征是定期对网络数据报文进行分析和提取得到的，所述流量元数据特征包括内容特征、数据流特征和网络连接行为特征；

所述内容特征包括恶意流量协议段特定值以及负载特定字符序列；

所述数据流特征是根据数据流中数据包大小、密钥长度和通信协议状态机时间确定；

所述网络连接行为特征是根据流量数据中的网络连接数确定。

可选地，所述基于机器学习组件对所述攻击事件对应的攻击类别进行关联分析和聚类，得到所述攻击事件对应的攻击路径，包括：

所述机器学习组件基于数据库对所述攻击事件对应的攻击类别进行时序关联分析和聚类，得到一条或多条所述攻击事件对应的攻击路径，以还原内网渗透过程；其中，所述机器学习组件是根据所述数据库中的内网渗透事件特征训练得到。

可选地，所述攻击事件对应的攻击类别为攻击链中的攻击类别，包括侦查、工具制作、投递、攻击渗透、安装工具、命令控制和恶意活动。

可选地，所述捕获攻击事件，包括：

检测网络中设定锚点被触发时，将触发所述锚点的事件确定为攻击事件；所述设定锚点为设定的网络异常类型。

根据本申请实施例的第二方面，提供了一种内网渗透过程还原系统，所述系统包括：

捕获模块，用于捕获攻击事件；

攻击事件理解第一模块，用于根据所述攻击事件获取所述攻击事件对应的流量元数据特征；

攻击事件理解第二模块，用于根据所述攻击事件对应的流量元数据特征基于数据库确定所述攻击事件对应的攻击类别；

渗透过程还原模块，用于基于机器学习组件对所述攻击事件对应的攻击类别进行关联分析和聚类，得到所述攻击事件对应的攻击路径。

可选地，所述流量元数据特征是定期对网络数据报文进行分析和提取得到的，所述流量元数据特征包括内容特征、数据流特征和网络连接行为特征；

所述内容特征包括恶意流量协议段特定值以及负载特定字符序列；

所述数据流特征是根据数据流中数据包大小、密钥长度和通信协议状态机时间确定；

所述网络连接行为特征是根据流量数据中的网络连接数确定。

可选地，所述渗透过程还原模块具体用于：

所述机器学习组件基于数据库对所述攻击事件对应的攻击类别进行时序关联分析和聚类，得到一条或多条所述攻击事件对应的攻击路径，以还原内网渗透过程；其中，所述机器学习组件是根据所述数据库中的内网渗透事件特征训练得到。

可选地，所述攻击事件对应的攻击类别为攻击链中的攻击类别，包括侦查、工具制作、投递、攻击渗透、安装工具、命令控制和恶意活动。

可选地，所述捕获模块具体用于：

检测网络中设定锚点被触发时，将触发所述锚点的事件确定为攻击事件；所述设定锚点为设定的网络异常类型。

综上所述，本申请实施例提供的内网渗透过程还原方法和系统，通过捕获攻击事件；根据所述攻击事件获取所述攻击事件对应的流量元数据特征；根据所述攻击事件对应的流量元数据特征基于数据库确定所述攻击事件对应的攻击类别；进一步，基于机器学习组件对所述攻击事件对应的攻击类别进行关联分析和聚类，得到所述攻击事件对应的攻击路径。实现了攻击过程的还原，为防止网络入侵技术提供重要依据。

附图说明

为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引伸获得其它的实施附图。

本说明书所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明可实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本发明所能产生的功效及所能达成的目的下，均应仍落在本发明所揭示的技术内容能涵盖的范围内。

图1为本申请实施例提供的一种内网渗透过程还原方法流程示意图；

图2为本申请实施例提供的流量采集网络拓扑图；

图3为本申请实施例提供的内网渗透过程还原实施例示意图；

图4为本申请实施例提供的一种内网渗透过程还原系统框图。

具体实施方式

以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

渗透攻击与普通网络攻击不同的地方在于，普通的网络攻击只是单一类型的攻击。普通的网络攻击是单一类型的攻击，例如，在普通的网络攻击事件中，攻击者可能仅仅利用目标网络的Web服务器漏洞，入侵网站更改网页，或者在网页上挂木马。这种攻击方式是随机的，目的单一。而渗透攻击是一种系统渐进型的综合攻击方式，其攻击目标是明确的，攻击目的往往不单一，危害性严重。例如，攻击者会针对性的对某个目标网络进行攻击，以获取其内部商业资料，进行网络破坏等。因此，攻击者实施攻击的步骤是非常系统的，假设其获取了目标网络中网站服务器的权限，则不会仅满足于控制此台服务器，而是会利用此台服务器，继续入侵目标网络，获取整个网络中所有主机的权限。为了实现渗透攻击，攻击者采用的攻击方式不仅此于一种Web脚本漏洞攻击。攻击者会综合运用远程溢出、木马攻击、密码破解、嗅探、ARP欺骗等多种攻击方式，逐步控制网络。总体来说，与普通网络攻击相比，网络渗透攻击具有几个特性：攻击目的的明确性，攻击步骤的逐步与渐进性，攻击手段的多样性和综合性。

传统的入侵检测技术主要从三个层面进行展开，基于网络的入侵检测技术(NIDS)、基于主机的入侵检测技术(HIDS)和基于混合的入侵检测技术(hybrid IDS)。其中，HIDS通过监视多个计算机中的网络通信流量来识别单个主机上的恶意活动，一般直接部署在相应监测主机中；NIDS则是通过检测骨干网中的恶意流量来监视整个网络中的安全状态。因此，NIDS中的传感器必须位于网络的瓶颈处，通常用于在整个网络边界上来捕获所有网络流量。基于混合的IDS技术则是通过分析应用程序日志、系统调用、文件系统修改(密码文件、二进制文件、访问控制列表、能力数据库等)和其他主机状态和活动来检测入侵。

关于如何构建入侵攻击过程的模型逐渐成为学术界和工业届的理论研究方向。一个网络入侵的剖析可以用一系列模型来进行描述，其中的一个就是网络攻击链，它描述了网络入侵各个阶段的攻击过程。攻击链可以帮助建立对威胁因素和攻击者的TTPs(战略、战术、行为模式)的理解，只要能及时在有效攻击发起前发现攻击链中某一阶段的威胁攻击，切断该节点，威胁就能被成功阻断。下面对攻击链模型进行详细描述。

探测扫描阶段：包括攻击者在攻击前的对目标的扫描，包括网络扫描、系统扫描、端口、漏洞扫描等，扫描行为是攻击入侵的前期准备阶段，通过信息收集，掌握目标机器的系统，漏洞信息，对进一步进行入侵攻击有事半功倍的效果。

渗透攻击阶段：该阶段是已经对目标机器做了扫描，或是直接对目标机器进行攻击，包括利用栈、堆方面的漏洞，利用Web系统平台方面的漏洞，逻辑配置错误方面的漏洞，内存破坏方面的漏洞等，对目标主机发起攻击。

攻陷入侵阶段：该阶段表示了目标主机已经被黑客成功攻陷，攻陷阶段的表现形式：例如FTP登录成功，Telnet猜测成功等。

安装工具阶段：是指在攻击者成功进入目标主机后在目标主机中安装恶意软件，木马程序或是直接挂马等，通过这些恶意的工具实现与黑客的控制链接，下载其他恶意软件等。

恶意行为阶段：即攻击者在目标主机安装完恶意软件后，恶意软件在目标主机产生的恶意行为包括，控制链接和对主机进行恶意操作等。

简而言之，攻击链可概括为：侦查——工具制作——投递——攻击渗透——安装工具——命令控制——恶意活动。

攻击链模型大体可以分成3步,首先，攻击者需要扫描目标主机来发现其中存在的问题,并根据问题来特制一个利用该漏洞的恶意文件；进一步,攻击者需要向目标植入相应的恶意样本，并在目标主机中启动该样本；最后，攻击者通过控制该样本来发动网络攻击。上述模型是一个非常简易的攻击链模型。本申请实施例则是基于该模型和时序方法来对所发现的攻击事件进行整合归纳，从而还原一个完整的内网渗透过程。

基于Netflow的网络异常流量检测主要采用了统计学的随机原则，即从总体数据中抽取样本数据，然后根据样本数据中的分布特征来判断流量分布是否发生了变化，从而确定网络中是否存在异常行为。但是，基于Netflow的异常流量分析仅适合高性能数据采集模式及分析。因为，其记录的流量信息只包含若干IP地址、端口以及包数等信息，而完全抛弃了流量包本身内容相关的属性特征，进而无法对网络入侵过程进行有效还原。

基于日志的网络入侵检测则主要是将网络中多种设备日志，Netflow等信息作为数据分析的来源，然后基于数据挖掘的相关算法将上述信息进行统一建模增加入侵检测过程中攻击场景还原能力，从而对网络攻击进行判定。然而，在完成入侵操作后，很多黑客会执行删除日志的操作，从而导致基于日志的网络入侵检测方法大打折扣。

从上述方法中，可以看出传统网络攻击分析方法侧重于攻击检测，其包括基于Netflow的网络异常流量检测和基于日志的网络入侵检测，而并未从宏观角度对网络攻击过程进行分析。但无论是已知还是未知网络攻击，在攻击过程中必然会产生网络流量，全流量审计分析可以确保在攻击行为绕过检测后，依然能够进行事后挖掘分析。全流量留存是指留存攻击链模型中产生的所有流量,即整个网络系统通讯过程中的全流量。传统的网络攻击分析方法一般都是检测到了网络攻击,才会记录相应的网络流量,并对其进行分析；而全流量审计则是指无差别的记录所有网络通信流量，以便后续网络攻击事件的挖掘分析,即使此刻的某一个攻击行为未被检测出,只要再未来的某一个时刻发生了攻击,基于全流量审计分析,依旧可以进行事后挖掘分析,从而推导出该事件。

本申请实施例提供一种内网渗透过程还原方法，针对现有技术中的异常流量检测方法进行优化。首先，根据整个网络中已采集的全流量并提取流量元数据，通过确定威胁因素关联化模型、进行关联扩展与推测，分析出可能的多条攻击途径，从而还原攻击者的内网渗透过程。在此过程中，不间断的读取全流量数据。

图1示出了本申请实施例提供的内网渗透过程还原方法流程示意图，如图1所示，所述方法包括如下步骤：

步骤101：捕获攻击事件。

步骤102：根据所述攻击事件获取所述攻击事件对应的流量元数据特征。

步骤103：根据所述攻击事件对应的流量元数据特征基于数据库确定所述攻击事件对应的攻击类别。

步骤104：基于机器学习组件对所述攻击事件对应的攻击类别进行关联分析和聚类，得到所述攻击事件对应的攻击路径。

在步骤101中，检测网络中设定锚点被触发时，将触发所述锚点的事件确定为攻击事件；所述设定锚点为设定的网络异常类型。

在步骤102中，所述流量元数据特征是定期对网络数据报文进行分析和提取得到的，所述流量元数据特征包括内容特征、数据流特征和网络连接行为特征；所述内容特征包括恶意流量协议段特定值以及负载特定字符序列；所述数据流特征是根据数据流中数据包大小、密钥长度和通信协议状态机时间确定；所述网络连接行为特征是根据流量数据中的网络连接数确定。

在步骤103中，所述机器学习组件基于数据库对所述攻击事件对应的攻击类别进行时序关联分析和聚类，得到一条或多条所述攻击事件对应的攻击路径，以还原内网渗透过程；其中，所述机器学习组件是根据所述数据库中的内网渗透事件特征训练得到。所述攻击路径是指攻击类别在攻击链上的关系。

所述攻击事件对应的攻击类别为攻击链中的攻击类别，包括侦查、工具制作、投递、攻击渗透、安装工具、命令控制和恶意活动。

在一种可能的实施方式中，在得到一条或多条所述攻击事件对应的攻击路径之后，所述方法还包括：经过系统沙盘自动推演确定最终一条攻击途径。

在上述各步骤的基础上，下面对本申请实施例提供的内网渗透过程还原方法流程进行进一步的详细说明。

首先，在攻击事件数据预处理阶段，包括全流量采集和储存、流量元数据特征提取两个部分。

全流量采集与存储，也可以称为镜像流量采集和存储，主要针对应用层和网络层流量的采集和存储。目前网络系统中一共可分为5层,但软件可识别分析的网络层就只有应用层和网络层，本申请实施例提供的方法主要从软件层面进行实现，因此作用于应用层和网络层。

本申请实施例可以采用嗅探法进行全流量采集。通过在交换机的镜像端口设置数据采集点，来捕获流量数据。所述嗅探法基本可以完全复制目标网络中的数据报文，同时也有利于分析整个攻击事件。由于采集到的流量需要较大的存储空间开销，因此在数据库中需要对所有存储流量进行标记，以便后续分析时进行读取。图2示出了所述镜像流量采集网络拓扑示意图。

如图2所示，所述镜像流量采集网络拓扑图包括服务器、移动设备、个人主机以及交换机等设备。其中,服务器,移动设备和个人主机可由用户随时接入内网中；而部署的交换机主要用于采集内网的全流量,因而将其部署在内网出口，内网出口指连接公网的那条线路。

流量元数据特征提取，所述流量元数据特征提取是定期对网络数据报文进行分析和提取得到的，所述网络数据报文来自于上述全流量数据库。流量元数据特征可以包括内容特征、数据流统计特征和网络连接行为特征。

内容特征包括恶意流量协议段中特有的值以及负载中含有的特殊字符序列；其中负载中含有的特殊字符序列是指：攻击者经常向目标主机发送特殊指令,而这些特殊指令则可在流量中被发现。比如wget/tftp/curl等下载命令,如果在疑似被入侵的主机网络流量中发现该种类型命令,即可被认为是负载中含有的特殊字符序列。

数据流统计特征和网络连接行为特征都是通过对采集到的数据进行统计分析得到的，可以统称为统计特征。数据流统计特征可以从网络层、传输层和应用层提取，其提取过程可以是先计算流量统计值，再从这些统计值中提取恶意流量特征。其中，恶意流量特征是鉴于恶意流量中数据包大小、密钥长度以及通信双方维持协议状态机的时间等统计值会在一定范围内变化，且这种变化有规律可循的特征。因此从中可提取恶意流量的统计值,即恶意流量的统计特征。一些恶意软件也会存在特有的网络连接行为特征，例如，受“蠕虫”感染的主机会随机扫描互联网IP地址，并产生大量的失败连接。

数据流统计特征和网络连接行为特征均是通过对来源于网络层、传输层和应用层的流量数据进行统计分析来得到的。鉴于数据流中数据包大小、密钥长度以及通信双方维持协议状态机的时间等统计值会在一定范围内变化，且这种变化有规律可循。在读取若干流量数据的情况下,可计算数据流中上述三种元素的统计值,即数据流统计特征。而网络行为特征则是指对流量数据中的网络连接数量的统计,首先需要解析流量数据,然后统计其中的网络连接数量,即网络连接行为特征。

进一步，攻击事件的捕获是指在网络攻击全生命周期中的必经之路上设定了多处锚点,如果触发锚点,将会认定发生一次攻击事件。锚点可以理解为设定的网络异常类型，比如将发生DDoS攻击设定为一个锚点,当检测到网络中发生DDoS攻击事件时,则会以此为基础来对整个网络攻击过程进行回溯。

进一步，基于知识库的攻击事件理解是指首先通过时间知识库来查找攻击事件的一些特征信息,比如使用的攻击漏洞,通信过程中的特征字符串等；这里以漏洞扫描攻击事件为例进行说明：攻击者经常向受害主机发送一些具有特殊构造的字符数据报文来触发某个漏洞；在理解漏洞扫描的攻击事件,可以在知识库中找到对应漏洞类型,漏洞危害程度以及该漏洞的利用方式,进而掌握攻击者是如何通过利用该漏洞来发动攻击的,并推测其如何使用该漏洞进行攻击的,即推测出攻击类别。在基于知识库的攻击事件理解中使用到”确定威胁因素关联模型”来推演出攻击事件的攻击路径。

进一步，基于攻击链模型来关联攻击时间对应的攻击类别在整个网络攻击全生命周期中发生的先后顺序关系,同时推测与触发锚点相关的几条攻击路径,这些攻击路径则是由已输入大量内网渗透事件攻击特征的机器学习模型计算来得到的。而所述大量内网渗透事件来自于数据库，数据库中存在对安全事件的存储。关联化和聚类是指分析了若干攻击事件之间的联系。关联化和聚类过程是基于机器学习组件中的决策树模型来完成，然后根据攻击链模型元素之间的时序关系对整个内网渗透过程进行还原。

因此，在整个网络攻击全生命周期中,整个分析系统会捕获到若干攻击事件,而基于知识库的攻击事件理解会推导出若干攻击路径,在结合攻击链模型的基础上，可关联出最符合攻击事件的一条攻击路径。举例说明，漏洞扫描攻击事件、恶意样本植入事件和DDoS攻击事件,三个事件发生具有紧密的时序关系。而在漏洞扫描攻击事件中发现了3种漏洞扫描类型,如认证型漏洞,命令注入型漏洞以及远程代码执行漏洞扫描,在观分析到后续恶意样本植入事件和DDoS攻击事件的后,可推测出攻击者主要利用漏洞扫描找到能植入恶意样本的漏洞,因此可关联到命令注入型和远程代码执行漏洞扫描这两条攻击路径。

以RDP协议中的3389端口的漏洞利用为例，攻击者首先需要发送扫描3399端口的特征报文，然后再发送3389端口的漏洞利用报文；而在捕获的全流量中，发现了扫描流量事件和漏洞利用流量事件，根据攻击事件发生的先后关系，分析出上述两个攻击事件之间的关系。通过这种时序关联分析，可以完整描述某一个整个内网渗透攻击过程。

以还原攻击事件的攻击路径举例。在捕获到的内网流量数据包中，发现主机B对内网进行暴力破解，所述暴力破解可当作触发行为的锚点，同时推测主机B的权限已经被控制，进一步通过读取主机B的网络通信包来分析其权限丢失原因，并基于事件知识库和机器学习推测出几条相关的攻击路径。此外由于部分网络无法触发锚点，需要进一步对流量包自动关联分析，来发现协议及程序中的轻微异常。由此通过所述“确定威胁因素关联化模型”不断分析网络中的流量，还原出整个攻击过程。攻击链模型元素,实际就是上述所识别到的6类攻击类别,这6类攻击类别发生具有先后的时序关系。

在一种可能的实施方式中，如图3所示，第一步，攻击事件数据预处理，进行全流量采集和存储以及流量元数据特征提取，并且将攻击事件以数据化的方式进行存储，以供决策树模型训练。第二步，基于数据知识库对输入的攻击事件进行检测，确定出攻击链的过程分类(即攻击类别)。第三步，基于时间序列分析对攻击事件对应的攻击类别发生的先后进行排序，从而推导出整个内网渗透过程。

整个内网渗透过程的推导,实际上就是在整个网络攻击生命周期中推导出上述6类攻击类别。举例来说,某一次网络攻击中,检测到了针对37215端口的注入型漏洞的扫描,同时也检测到了针对目标主机的DDoS攻击,这两个攻击时间分属于攻击链模型中的侦查和恶意活动。此时需要读取网络通信过程中的全流量,从而发现恶意样本下载事件、恶意样本运行事件以及恶意样本与C&C服务器通信事件。进一步通过机器学习中的决策树模型,对上述发现的攻击事件进行分类,分别归属于投递、安装工具以及命令控制三个阶段。而在整个攻击链模型中,攻击事件发生具有一个特定的时序关系,因此可以推导出攻击事件发生的先后顺序,从而完成整个内网渗透过程中的推导。

上述方法将众多较为孤立的攻击事件以攻击链模型的方式结合起来，并辅以机器学习、时序分析的方式进行推导，从而完整归纳整个攻击过程。这样，间接地解决了整个内网渗透过程中的攻击事件不够紧密联系的问题。此外,提出了一种确定威胁因素关联化模型来理解攻击事件,该模型在事件知识库的基础上大大提升了攻击事件理解的正确率。进一步通过基于机器学习的攻击事件时序关联方法，将若干单一攻击事件及其攻击路径整合成一个具体的攻击过程；使得分析者能从该过程中了解到攻击者做了哪些与渗透攻击相关的事情，比如扫描、暴力破解、提权、植入木马和发动恶意攻击等恶意行为。从而为日后网络攻防事件的回溯提供重要思路与线索，可以对未来的安全事件作出预警。

综上所述，本申请实施例提供的内网渗透过程还原方法，通过捕获攻击事件；根据所述攻击事件获取所述攻击事件对应的流量元数据特征；根据所述攻击事件对应的流量元数据特征基于数据库确定所述攻击事件对应的攻击类别；进一步，基于机器学习组件对所述攻击事件对应的攻击类别进行关联分析和聚类，得到所述攻击事件对应的攻击路径。实现了攻击过程的还原，为防止网络入侵技术提供重要依据。

基于相同的技术构思，本申请实施例还提供了一种内网渗透过程还原系统，如图4所示，所述系统包括：

捕获模块401，用于捕获攻击事件。

攻击事件理解第一模块402，用于根据所述攻击事件获取所述攻击事件对应的流量元数据特征。

攻击事件理解第二模块403，用于根据所述攻击事件对应的流量元数据特征基于数据库确定所述攻击事件对应的攻击类别。

渗透过程还原模块404，用于基于机器学习组件对所述攻击事件对应的攻击类别进行关联分析和聚类，得到所述攻击事件对应的攻击路径。

在一种可能的实施方式中，所述流量元数据特征是定期对网络数据报文进行分析和提取得到的，所述流量元数据特征包括内容特征、数据流特征和网络连接行为特征；所述内容特征包括恶意流量协议段特定值以及负载特定字符序列；所述数据流特征是根据数据流中数据包大小、密钥长度和通信协议状态机时间确定；所述网络连接行为特征是根据流量数据中的网络连接数确定。

在一种可能的实施方式中，所述渗透过程还原模块404具体用于：所述机器学习组件基于数据库对所述攻击事件对应的攻击类别进行时序关联分析和聚类，得到一条或多条所述攻击事件对应的攻击路径，以还原内网渗透过程；其中，所述机器学习组件是根据所述数据库中的内网渗透事件特征训练得到。

在一种可能的实施方式中，所述攻击事件对应的攻击类别为攻击链中的攻击类别，包括侦查、工具制作、投递、攻击渗透、安装工具、命令控制和恶意活动。

在一种可能的实施方式中，所述捕获模块401具体用于：检测网络中设定锚点被触发时，将触发所述锚点的事件确定为攻击事件；所述设定锚点为设定的网络异常类型。

本说明书中上述方法的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。相关之处参见方法实施例的部分说明即可。

需要说明的是，尽管在附图中以特定顺序描述了本发明方法的操作，但这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。

虽然本申请提供了如实施例或流程图的方法操作步骤，但基于常规或者无创造性的手段可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的装置或客户端产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境，甚至为分布式数据处理环境)。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、产品或者设备所固有的要素。在没有更多限制的情况下，并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的相同或等同要素。

上述实施例阐明的单元、装置或模块等，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本申请时可以把各模块的功能在同一个或多个软件和/或硬件中实现，也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内部包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构、类等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，移动终端，服务器，或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例采用递进的方式描述，各个实施例之间相同或相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。本申请可用于众多通用或专用的计算机系统环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。

以上所述的具体实施例，对本申请的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本申请的具体实施例而已，并不用于限定本申请的保护范围，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (4)

1.一种内网渗透过程还原方法，其特征在于，所述方法包括：

捕获攻击事件；

根据所述攻击事件获取所述攻击事件对应的流量元数据特征；所述流量元数据特征是定期对网络数据报文进行分析和提取得到的，所述流量元数据特征包括内容特征、数据流特征和网络连接行为特征；所述内容特征包括恶意流量协议段特定值以及负载特定字符序列；所述数据流特征是根据数据流中数据包大小、密钥长度和通信协议状态机时间确定；所述网络连接行为特征是根据流量数据中的网络连接数确定；

根据所述攻击事件对应的流量元数据特征基于数据库确定所述攻击事件对应的攻击类别；

机器学习组件基于数据库对所述攻击事件对应的攻击类别进行时序关联分析和聚类，得到一条或多条所述攻击事件对应的攻击路径，以还原内网渗透过程；其中，所述机器学习组件是根据所述数据库中的内网渗透事件特征训练得到；

所述攻击事件对应的攻击类别为攻击链中的攻击类别，包括侦查、工具制作、投递、攻击渗透、安装工具、命令控制和恶意活动。

2.如权利要求1所述的方法，其特征在于，所述捕获攻击事件，包括：

检测网络中设定锚点被触发时，将触发所述锚点的事件确定为攻击事件；所述设定锚点为设定的网络异常类型。

3.一种内网渗透过程还原系统，其特征在于，所述系统包括：

捕获模块，用于捕获攻击事件；

攻击事件理解第一模块，用于根据所述攻击事件获取所述攻击事件对应的流量元数据特征；所述流量元数据特征是定期对网络数据报文进行分析和提取得到的，所述流量元数据特征包括内容特征、数据流特征和网络连接行为特征；所述内容特征包括恶意流量协议段特定值以及负载特定字符序列；所述数据流特征是根据数据流中数据包大小、密钥长度和通信协议状态机时间确定；所述网络连接行为特征是根据流量数据中的网络连接数确定；

攻击事件理解第二模块，用于根据所述攻击事件对应的流量元数据特征基于数据库确定所述攻击事件对应的攻击类别；

渗透过程还原模块，用于机器学习组件基于数据库对所述攻击事件对应的攻击类别进行时序关联分析和聚类，得到一条或多条所述攻击事件对应的攻击路径，以还原内网渗透过程；其中，所述机器学习组件是根据所述数据库中的内网渗透事件特征训练得到；

所述攻击事件对应的攻击类别为攻击链中的攻击类别，包括侦查、工具制作、投递、攻击渗透、安装工具、命令控制和恶意活动。

4.如权利要求3所述的系统，其特征在于，所述捕获模块具体用于：

检测网络中设定锚点被触发时，将触发所述锚点的事件确定为攻击事件；所述设定锚点为设定的网络异常类型。

Images