CN111030973B - 一种基于标识文件定位攻击的方法、装置及存储设备 - Google Patents

一种基于标识文件定位攻击的方法、装置及存储设备 Download PDF

Info

Publication number
CN111030973B
CN111030973B CN201910247702.2A CN201910247702A CN111030973B CN 111030973 B CN111030973 B CN 111030973B CN 201910247702 A CN201910247702 A CN 201910247702A CN 111030973 B CN111030973 B CN 111030973B
Authority
CN
China
Prior art keywords
attack
file
activities
activity
positioning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910247702.2A
Other languages
English (en)
Other versions
CN111030973A (zh
Inventor
朱晴
李淑慧
康学斌
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Antiy Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Antiy Technology Group Co Ltd filed Critical Antiy Technology Group Co Ltd
Priority to CN201910247702.2A priority Critical patent/CN111030973B/zh
Publication of CN111030973A publication Critical patent/CN111030973A/zh
Application granted granted Critical
Publication of CN111030973B publication Critical patent/CN111030973B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开一种基于标识文件定位攻击的方法、装置及存储设备,用以解决现有方法很难了解到系统全部的实时情况,导致难以对攻击进行回溯定位,并进行准确的信息采集和攻防评估的问题。该方法包括:确定标识文件的详细路径;实时采集系统中的进程活动、网络活动及文件活动;当标识文件被进程操作时,触发攻击回溯定位功能;回溯定位攻击IP,生成攻击IP读取标识文件事件,并将所述事件提交给评估系统,进行攻击靶场评估。

Description

一种基于标识文件定位攻击的方法、装置及存储设备
技术领域
本发明实施例涉及网络安全领域,尤其涉及一种基于标识文件定位攻击的方法、装置及存储设备。
背景技术
网络信息安全问题已经成为人们必须面临的重大挑战,过去我们面临的敌人的威胁主要来自于武器,而今天面临的大部分威胁却来自于网络的攻击。为了增强对现有网络系统脆弱性分析与评估的能力,确保计算机网络环境的安全性,有必要研究出科学合理的采集分析与评估方法,用以解决主机系统的脆弱性的问题,最终达到避免互联网安全事件发生的目的。
网络靶场是针对网络攻防演练和网络新技术评测的重要基础设施,用来提高网络和信息系统的稳定性、安全性和各项性能。而靶场采集是指在靶场环境下发生的事件及状态进行采集捕获,通过监控系统的文件、流量等,可以清楚的了解到系统的被攻击的情况。但是,由于系统的复杂性,目前难以了解到系统全部的实时情况,导致难以对攻击进行回溯定位,进行准确的信息采集和攻防评估。
发明内容
基于上述存在的问题,本发明实施例提供一种基于标识文件定位攻击的方法、装置及存储设备,用以解决现有方法很难了解到系统全部的实时情况,导致难以对攻击进行回溯定位,并进行准确的信息采集和攻防评估的问题。
本发明实施例公开一种基于标识文件定位攻击的方法,包括:
确定标识文件的详细路径;实时采集系统中的进程活动、网络活动及文件活动;当标识文件被进程操作时,触发攻击回溯定位功能;回溯定位攻击IP,生成攻击IP读取标识文件事件,并将所述事件提交给评估系统,进行攻击靶场评估。
进一步地,实时采集系统中的进程活动、网络活动及文件活动,具体包括:运行的进程、进程的联网活动,进程创建的子进程活动,进程创建的线程活动,进程操作的文件活动。
进一步地,标识文件被进程操作,其中所述操作为读和/或写操作。
进一步地,当标识文件被进程操作时,触发攻击回溯定位功能,具体为:定位操作标识文件的进程,查看进程是否有联网活动,且是否为对外开放端口的应用服务;若是,则将与所述进程建立链接的远程进程的IP标识为攻击IP;否则,进一步定位创建所述进程的父进程,查看所述父进程是否有联网活动,且是否为对外开放端口的应用服务。
本发明实施例公开一种基于标识文件定位攻击的装置,包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
确定标识文件的详细路径;实时采集系统中的进程活动、网络活动及文件活动;当标识文件被进程操作时,触发攻击回溯定位功能;回溯定位攻击IP,生成攻击IP读取标识文件事件,并将所述事件提交给评估系统,进行攻击靶场评估。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
实时采集系统中的进程活动、网络活动及文件活动,具体包括:运行的进程、进程的联网活动,进程创建的子进程活动,进程创建的线程活动,进程操作的文件活动。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
标识文件被进程操作,其中所述操作为读和/或写操作。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
当标识文件被进程操作时,触发攻击回溯定位功能,具体为:定位操作标识文件的进程,查看进程是否有联网活动,且是否为对外开放端口的应用服务;若是,则将与所述进程建立链接的远程进程的IP标识为攻击IP;否则,进一步定位创建所述进程的父进程,查看所述父进程是否有联网活动,且是否为对外开放端口的应用服务。
本发明实施例同时公开一种基于标识文件定位攻击的装置,包括:
路径确定模块:用于确定标识文件的详细路径;
采集模块:用于实时采集系统中的进程活动、网络活动及文件活动;
触发模块:用于当标识文件被进程操作时,触发攻击回溯定位功能;
回溯模块:用于回溯定位攻击IP;
事件生成模块:用于生成攻击IP读取标识文件事件,
评估模块:用于将所述事件提交给评估系统,进行攻击靶场评估。
本发明实施例提供了一种存储设备,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的基于标识文件定位攻击的方法步骤。
与现有技术相比,本发明实施例提供的一种基于标识文件定位攻击的方法、装置及存储设备,至少实现了如下的有益效果:
确定标识文件的详细路径;实时采集系统中的进程活动、网络活动及文件活动;当标识文件被进程操作时,触发攻击回溯定位功能;回溯定位攻击IP,生成攻击IP读取标识文件事件,并将所述事件提交给评估系统,进行攻击靶场评估。通过所述方法能够准确高效地对应出打靶的攻击IP,以及完成靶场采集评估。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于标识文件定位攻击的方法流程图;
图2为本发明实施例提供的又一基于标识文件定位攻击的方法流程图;
图3为本发明实施例提供的基于标识文件定位攻击的装置结构图;
图4为本发明实施例提供的又一基于标识文件定位攻击的装置结构图。
具体实施方式
为了使本发明的目的,技术方案和优点更加清楚,下面结合附图,对本发明实施例提供的基于标识文件定位攻击的方法的具体实施方式进行详细地说明。应当理解,下面所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本发明实施例提供了一种基于标识文件定位攻击的方法流程图,如图1所示,包括:
步骤11,确定标识文件的详细路径;
步骤12,实时采集系统中的进程活动、网络活动及文件活动;
采取socket进程通信同步系统信息,进行实时采集;实时采集系统中的进程活动、网络活动及文件活动,具体包括:运行的进程、进程的联网活动,进程创建的子进程活动,进程创建的线程活动,进程操作的文件活动。
步骤13,当标识文件被进程操作时,触发攻击回溯定位功能;
标识文件被进程操作,其中所述操作为读和/或写操作。
步骤14,回溯定位攻击IP,生成攻击IP读取标识文件事件,并将所述事件提交给评估系统,进行攻击靶场评估。
本发明实施例提供的方法能够准确高效地对应出打靶的攻击IP,以及完成靶场采集评估。
本发明实施例提供的又一基于标识文件定位攻击的方法流程图,如图2所示,包括:
步骤21,确定标识文件的详细路径;
步骤22,实时采集系统中的进程活动、网络活动及文件活动;
步骤23,当标识文件被进程操作时,触发攻击回溯定位功能;
步骤24,定位操作标识文件的进程,查看进程是否有联网活动,且是否为对外开放端口的应用服务;若是,执行步骤25,否则,执行步骤260;
步骤25,将与所述进程建立链接的远程进程的IP标识为攻击IP;
步骤260,进一步定位创建所述进程的父进程,查看所述父进程是否有联网活动,且是否为对外开放端口的应用服务;若是,执行步骤25,否则继续执行步骤26n(其中,n≥1,n取整数);
步骤26n,进一步定位创建步骤26(n-1)中的父进程的父进程,查看所述父进程是否有联网活动,且是否为对外开放端口的应用服务。
步骤27,回溯定位攻击IP,生成攻击IP读取标识文件事件,并将所述事件提交给评估系统,进行攻击靶场评估.
本发明实施例提供的方法能够准确高效的判断打靶是否成功,并且定位对应出打靶的攻击者IP,以及完成靶场采集评估。
本发明实施例还提供了一种基于标识文件定位攻击的装置,如图3所示,包括:所述装置包括存储器310和处理器320,所述存储器310用于存储多条指令,所述处理器320用于加载所述存储器310中存储的指令以执行:
确定标识文件的详细路径;实时采集系统中的进程活动、网络活动及文件活动;当标识文件被进程操作时,触发攻击回溯定位功能;回溯定位攻击IP,生成攻击IP读取标识文件事件,并将所述事件提交给评估系统,进行攻击靶场评估。
所述处理器320用于加载所述存储器310中存储的指令以执行:
实时采集系统中的进程活动、网络活动及文件活动,具体包括:运行的进程、进程的联网活动,进程创建的子进程活动,进程创建的线程活动,进程操作的文件活动。
所述处理器320用于加载所述存储器310中存储的指令以执行:
标识文件被进程操作,其中所述操作为读和/或写操作。
所述处理器320用于加载所述存储器310中存储的指令以执行:
当标识文件被进程操作时,触发攻击回溯定位功能,具体为:定位操作标识文件的进程,查看进程是否有联网活动,且是否为对外开放端口的应用服务;若是,则将与所述进程建立链接的远程进程的IP标识为攻击IP;否则,进一步定位创建所述进程的父进程,查看所述父进程是否有联网活动,且是否为对外开放端口的应用服务。
本发明实施例同时提供了又一种基于标识文件定位攻击的装置,如图4所示,包括:
路径确定模块41:用于确定标识文件的详细路径;
采集模块42:用于实时采集系统中的进程活动、网络活动及文件活动;
触发模块43:用于当标识文件被进程操作时,触发攻击回溯定位功能;
回溯模块44:用于回溯定位攻击IP;
事件生成模块45:用于生成攻击IP读取标识文件事件,
评估模块46:用于将所述事件提交给评估系统,进行攻击靶场评估。
本发明实施例还提供一种存储设备,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的基于标识文件定位攻击的方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (8)

1.一种基于标识文件定位攻击的方法,其特征在于:
确定标识文件的详细路径;
实时采集系统中的进程活动、网络活动及文件活动;
定位操作标识文件的进程,查看进程是否有联网活动,且是否为对外开放端口的应用服务;
若是,则将与所述进程建立链接的远程进程的IP标识为攻击IP;
否则,进一步定位创建所述进程的父进程,查看所述父进程是否有联网活动,且是否为对外开放端口的应用服务;
回溯定位攻击IP,生成攻击IP读取标识文件事件,并将所述事件提交给评估系统,进行攻击靶场评估。
2.如权利要求1所述的方法,其特征在于,实时采集系统中的进程活动、网络活动及文件活动,具体包括:
运行的进程、进程的联网活动,进程创建的子进程活动,进程创建的线程活动,进程操作的文件活动。
3.如权利要求1所述的方法,其特征在于,标识文件被进程操作,其中所述操作为读和/或写操作。
4.一种基于标识文件定位攻击靶场的装置,其特征在于,所述装置包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
确定标识文件的详细路径;
实时采集系统中的进程活动、网络活动及文件活动;
定位操作标识文件的进程,查看进程是否有联网活动,且是否为对外开放端口的应用服务;
若是,则将与所述进程建立链接的远程进程的IP标识为攻击IP;
否则,进一步定位创建所述进程的父进程,查看所述父进程是否有联网活动,且是否为对外开放端口的应用服务;
回溯定位攻击IP,生成攻击IP读取标识文件事件,并将所述事件提交给评估系统,进行攻击靶场评估。
5.如权利要求4所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
实时采集系统中的进程活动、网络活动及文件活动,具体包括:
运行的进程、进程的联网活动,进程创建的子进程活动,进程创建的线程活动,进程操作的文件活动。
6.如权利要求4所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
标识文件被进程操作,其中所述操作为读和/或写操作。
7.一种基于标识文件定位攻击的装置,其特征在于,包括:
路径确定模块:用于确定标识文件的详细路径;
采集模块:用于实时采集系统中的进程活动、网络活动及文件活动;
触发模块:用于定位操作标识文件的进程,查看进程是否有联网活动,且是否为对外开放端口的应用服务;若是,则将与所述进程建立链接的远程进程的IP标识为攻击IP;否则,进一步定位创建所述进程的父进程,查看所述父进程是否有联网活动,且是否为对外开放端口的应用服务;
回溯模块:用于回溯定位攻击IP;
事件生成模块:用于生成攻击IP读取标识文件事件,
评估模块:用于将所述事件提交给评估系统,进行攻击靶场评估。
8.一种存储设备,其特征在于,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行权利要求1-3任一所述的方法的步骤。
CN201910247702.2A 2019-03-29 2019-03-29 一种基于标识文件定位攻击的方法、装置及存储设备 Active CN111030973B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910247702.2A CN111030973B (zh) 2019-03-29 2019-03-29 一种基于标识文件定位攻击的方法、装置及存储设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910247702.2A CN111030973B (zh) 2019-03-29 2019-03-29 一种基于标识文件定位攻击的方法、装置及存储设备

Publications (2)

Publication Number Publication Date
CN111030973A CN111030973A (zh) 2020-04-17
CN111030973B true CN111030973B (zh) 2023-02-24

Family

ID=70203436

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910247702.2A Active CN111030973B (zh) 2019-03-29 2019-03-29 一种基于标识文件定位攻击的方法、装置及存储设备

Country Status (1)

Country Link
CN (1) CN111030973B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113407416B (zh) * 2021-06-29 2022-06-24 杭州默安科技有限公司 一种文件操作ip溯源方法和系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103294950A (zh) * 2012-11-29 2013-09-11 北京安天电子设备有限公司 一种基于反向追踪的高威窃密恶意代码检测方法及系统
CN103399812A (zh) * 2013-07-22 2013-11-20 西安电子科技大学 基于Xen硬件虚拟化的磁盘文件操作监控系统及监控方法
CN103685233A (zh) * 2013-11-15 2014-03-26 中国人民解放军91635部队 一种基于Windows内核驱动的木马监测方法
CN107046535A (zh) * 2017-03-24 2017-08-15 中国科学院信息工程研究所 一种异常感知和追踪方法及系统
CN108121914A (zh) * 2018-01-17 2018-06-05 四川神琥科技有限公司 一种文档泄密防护追踪系统
CN109067815A (zh) * 2018-11-06 2018-12-21 深信服科技股份有限公司 攻击事件溯源分析方法、系统、用户设备及存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10440036B2 (en) * 2015-12-09 2019-10-08 Checkpoint Software Technologies Ltd Method and system for modeling all operations and executions of an attack and malicious process entry
US10291409B2 (en) * 2017-02-21 2019-05-14 Adobe Inc. Storing, migrating, and controlling access to electronic documents during electronic document signing processes
CN108259449B (zh) * 2017-03-27 2020-03-06 新华三技术有限公司 一种防御apt攻击的方法和系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103294950A (zh) * 2012-11-29 2013-09-11 北京安天电子设备有限公司 一种基于反向追踪的高威窃密恶意代码检测方法及系统
CN103399812A (zh) * 2013-07-22 2013-11-20 西安电子科技大学 基于Xen硬件虚拟化的磁盘文件操作监控系统及监控方法
CN103685233A (zh) * 2013-11-15 2014-03-26 中国人民解放军91635部队 一种基于Windows内核驱动的木马监测方法
CN107046535A (zh) * 2017-03-24 2017-08-15 中国科学院信息工程研究所 一种异常感知和追踪方法及系统
CN108121914A (zh) * 2018-01-17 2018-06-05 四川神琥科技有限公司 一种文档泄密防护追踪系统
CN109067815A (zh) * 2018-11-06 2018-12-21 深信服科技股份有限公司 攻击事件溯源分析方法、系统、用户设备及存储介质

Also Published As

Publication number Publication date
CN111030973A (zh) 2020-04-17

Similar Documents

Publication Publication Date Title
CN110324310B (zh) 网络资产指纹识别方法、系统及设备
CN109918907B (zh) Linux平台进程内存恶意代码取证方法、控制器及介质
CN112395616B (zh) 漏洞处理的方法、装置及计算机设备
CN113067812B (zh) Apt攻击事件溯源分析方法、装置和计算机可读介质
CN111028085A (zh) 一种基于主被动结合的网络靶场资产信息采集方法及装置
CN110875928A (zh) 一种攻击溯源方法、装置、介质和设备
CN112866292B (zh) 一种面向多样本组合攻击的攻击行为预测方法和装置
CN113496033A (zh) 访问行为识别方法和装置及存储介质
CN112131571B (zh) 威胁溯源方法及相关设备
CN115766258B (zh) 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质
KR101266930B1 (ko) 포렌식 감사 데이터 시각화 시스템
US10805326B1 (en) Systems and methods for threat visualization with signature composure, spatial scale and temporal expansion
CN111030973B (zh) 一种基于标识文件定位攻击的方法、装置及存储设备
CN111400718A (zh) 一种系统漏洞与攻击的检测方法、装置及其相关设备
JP2019159431A (ja) 評価プログラム、評価方法および評価装置
CN112751863B (zh) 一种攻击行为分析方法及装置
CN112581027B (zh) 一种风险信息管理方法、装置、电子设备及存储介质
CN110213094B (zh) 一种威胁活动拓扑图的建立方法、装置及存储设备
CN111104670B (zh) 一种apt攻击的识别和防护方法
US10931693B2 (en) Computation apparatus and method for identifying attacks on a technical system on the basis of events of an event sequence
CN116015823A (zh) 一种事件检测方法、装置、电子设备及存储介质
WO2020017000A1 (ja) サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置
CN115827379A (zh) 异常进程检测方法、装置、设备和介质
Chen et al. A survey on threat hunting: Approaches and applications
CN117056918A (zh) 一种代码分析方法及相关设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Applicant after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road)

Applicant before: Harbin Antian Science and Technology Group Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant