CN111628964A - 网络攻击溯源方法及装置 - Google Patents

Abstract

本申请涉及一种网络攻击溯源方法及装置，方法包括：获取各异常主机以及各异常主机的登录行为关系图，登录行为关系图中包括异常主机与行为关联主机之间发生的登录行为，其中，异常主机为发生网络异常的主机，行为关联主机为登录异常主机的主机，和/或，行为关联主机为被异常主机登录的主机；获取每个异常主机生成的子攻击图，其中，子攻击图中包括从启动进程到攻击进程的链路；根据每个异常主机的子攻击图以及登录行为关系图，生成网络攻击图，其中，网络攻击图中包括异常主机的子攻击图，且不同的异常主机的子攻击图，按照行为关联主机与异常主机之间的发生的登录行为连接。本申请用以能够有效快速进行攻击溯源。

Description

网络攻击溯源方法及装置

技术领域

本申请涉及计算机技术领域，尤其涉及一种网络攻击溯源方法及装置。

背景技术

近年来，随着网络的不断普及，网络攻击者采用的攻击技术及攻击手段也有了新的发展趋势。因此，网络安全问题也需要网络用户不断的关注并采取有效的安全防护措施。

而现有技术当中采用的防护措施中，通过设置防火墙等方式可以有效应对常见的网络攻击。但是，对于黑客通过网络漏洞实行的例如高级持续性威胁攻击，通过现有的这种方式无法进行有效的防护，需要定位网络攻击的源头才能进行有效的防护。因此，如何有效快速进行攻击溯源，是亟需要解决的问题。

发明内容

本申请提供了一种网络攻击溯源方法及装置，用以能够有效快速进行攻击溯源。

第一方面，本申请实施例提供了一种网络攻击溯源方法，包括：获取各异常主机，以及获取各异常主机的登录行为关系图，其中，所述登录行为关系图中包括所述异常主机与行为关联主机之间发生的登录行为，其中，所述异常主机为发生网络异常的主机，所述行为关联主机为登录所述异常主机的主机，和/或，所述行为关联主机为被所述异常主机登录的主机；

获取每个所述异常主机生成的子攻击图，其中，所述子攻击图中包括从启动进程到攻击进程的链路；

根据每个所述异常主机的子攻击图以及所述登录行为关系图，生成网络攻击图，其中，所述网络攻击图中包括所述异常主机的子攻击图，且不同的所述异常主机的所述子攻击图，按照所述行为关联主机与所述异常主机之间的发生的登录行为连接。

可选地，获取各异常主机，以及获取各异常主机的登录行为关系图，包括：

获取各主机的登录日志表；

根据所述登录日志表，获得被网络攻击源攻击的主机，作为所述异常主机；

根据所述登录日志表，获得被所述异常主机登录过的主机，以及获得登录过所述异常主机的主机，作为所述行为关联主机；

根据所述登录日志表，获得所述网络攻击源在各所述异常主机以及所述行为关联主机之间的攻击顺序，根据所述攻击顺序连接所述异常主机以及所述行为关联主机，得到所述登录行为关系图。

可选地，获取每个所述异常主机生成的子攻击图，包括：

获取所述异常主机的进程调用记录表；

解析所述异常主机的进程调用记录表，获得攻击进程，并以追溯父进程的方式从所述攻击进程追溯到启动进程，并建立所述启动进程到所述攻击进程的链路，得到所述异常主机的子攻击图。

可选地，根据每个所述异常主机的子攻击图以及所述登录行为关系图，生成网络攻击图，包括：

获取所述登录行为关系图中，不同的所述异常主机之间跨接的所述行为关联主机之间的连接方式，按照所述连接方式连接所述不同的所述异常主机的子攻击图，在将每个所述异常主机的子攻击图连接后，得到所述网络攻击图。

可选地，所述方法还包括：

获取各所述异常主机的登录权限关系图，其中，所述登录权限关系图中包括所述异常主机与权限关联主机之间的连接，其中，所述权限关联主机为具有登录所述异常主机权限的主机，和/或，所述权限关联主机为能够被所述异常主机登录的主机；

按照所述登录权限关系图，在所述网络攻击图中不同的所述异常主机之间，增加所述异常主机与所述权限关联主机之间的连接。

第二方面，本申请实施例提供了一种网络攻击溯源装置，包括：

第一获取模块，用于获取各异常主机，以及获取各异常主机的登录行为关系图，其中，所述登录行为关系图中包括所述异常主机与行为关联主机之间发生的登录行为，其中，所述异常主机为发生网络异常的主机，所述行为关联主机为登录所述异常主机的主机，和/或，所述行为关联主机为被所述异常主机登录的主机；

第二获取模块，用于获取每个所述异常主机生成的子攻击图，其中，所述子攻击图中包括从启动进程到攻击进程的链路；

处理模块，用于根据每个所述异常主机的子攻击图以及所述登录行为关系图，生成网络攻击图，其中，所述网络攻击图中包括所述异常主机的子攻击图，且不同的所述异常主机的所述子攻击图，按照所述行为关联主机与所述异常主机之间的发生的登录行为连接。

可选地，所述第一获取模块具体用于：

获取各主机的登录日志表；

根据所述登录日志表，获得被网络攻击源攻击的主机，作为所述异常主机；

根据所述登录日志表，获得被所述异常主机登录过的主机，以及获得登录过所述异常主机的主机，作为所述行为关联主机；

根据所述登录日志表，获得所述网络攻击源在各所述异常主机以及所述行为关联主机之间的攻击顺序，根据所述攻击顺序连接所述异常主机以及所述行为关联主机，得到所述登录行为关系图。

可选地，所述第二获取模块具体用于：

获取所述异常主机的进程调用记录表；

解析所述异常主机的进程调用记录表，获得攻击进程，并以追溯父进程的方式从所述攻击进程追溯到启动进程，并建立所述启动进程到所述攻击进程的链路，得到所述异常主机的子攻击图。

可选地，所述处理模块具体用于：

获取所述登录行为关系图中，不同的所述异常主机之间跨接的所述行为关联主机之间的连接方式，按照所述连接方式连接所述不同的所述异常主机的子攻击图，在将每个所述异常主机的子攻击图连接后，得到所述网络攻击图。

可选地，所述装置还包括补充模块，用于：

获取各所述异常主机的登录权限关系图，其中，所述登录权限关系图中包括所述异常主机与权限关联主机之间的连接，其中，所述权限关联主机为具有登录所述异常主机权限的主机，和/或，所述权限关联主机为能够被所述异常主机登录的主机；

按照所述登录权限关系图，在所述网络攻击图中不同的所述异常主机之间，增加所述异常主机与所述权限关联主机之间的连接。

第三方面，本申请提供了一种电子设备，包括：处理器、通信接口、存储器和通信总线，其中，处理器、通信接口和存储器通过通信总线完成相互间的通信；所述存储器，用于存储计算机程序；所述处理器，用于执行所述存储器中所存储的程序，实现第一方面所述的网络攻击溯源方法。

第四方面，本申请提供了一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现第一方面所述的网络攻击溯源方法。

本申请实施例提供的上述技术方案与现有技术相比具有如下优点：本申请实施例提供的该方法，通过获取各异常主机及各异常主机的登录行为关系图，针对每个异常主机分别生成子攻击图，在该子攻击图中包括从启动进程指向攻击进程的链路，根据每个异常主机的子攻击图和所述登录行为关系图，生成包括异常主机的子攻击图和登录行为关系图的网络攻击图，从而使得技术人员根据该网络攻击图有效快速的溯源攻击源，提高了追溯效率。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

图1为本申请实施例中网络攻击溯源的方法流程示意图；

图2为本申请实施例中蠕虫攻击的网络攻击图；

图3为本申请实施例中网络攻击溯源装置的结构示意图；

图4为本申请实施例中电子设备的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。

本申请实施例中为了解决攻击源追溯过于依赖人力，追溯效率低的问题，提供了一种网络攻击溯源方法。该方法可以应用于任意一个电子设备，例如管理各主机的服务器等。

需要说明的是，本申请实施例中的主机是指网络服务器等设备。

如图1所示，网络攻击溯源的具体过程如下：

步骤101，获取各异常主机，以及获取各异常主机的登录行为关系图，其中，登录行为关系图中包括异常主机与行为关联主机之间发生的登录行为，其中，异常主机为发生网络异常的主机，行为关联主机为登录异常主机的主机，和/或，行为关联主机为被异常主机登录的主机。

本申请实施例中，定义异常主机为发出攻击报警，即发生网络异常的主机。定义异常主机的行为关联主机为：登录过异常主机或者被异常主机登录过的主机。

其中，在主机运行过程中，记录登录日志表，该登录日志表记录主机登录或被登录的信息。例如，在登录日志中记录登录会话的源IP、登录时间、SSH进程的标识(PID)、攻击横向移动等。其中，攻击横向移动是指，被网络攻击的异常主机访问过行为关联主机，则攻击从异常主机横向移动到该行为关联主机。

一个具体实施例中，基于该登录日志表，可以得到各异常主机以及各异常主机的登录行为关系图，具体如下：获取各主机的登录日志表，根据该登录日志表，获得被网络攻击源攻击的主机，作为异常主机；根据该登录日志表，获得被异常主机登录过的主机，以及获得登录过异常主机的主机，作为该异常主机的行为关联主机；根据该登录日志表，获得网络攻击源在各异常主机以及行为关联主机之间的攻击顺序，根据该攻击顺序连接异常主机以及行为关联主机，得到登录行为关系图。该具体实施例仅需要通过分析登录日志表，即可识别出异常主机以及该异常主机的行为关联主机，并且识别出网络攻击源在异常主机以及行为关联主机之间的攻击顺序，使得按照该攻击顺序连接异常主机以及行为关联主机，即可得到登录行为关系图，不需要额外获取其他数据，且实现过程简单。

其中，登录行为关系图中记录了各主机之间登录行为。例如，登录行为关系图中的节点为主机，假设节点A和节点B之间通过连线连接，表示节点A登录过节点B，或者，节点B登录过节点A；假设节点A和节点B之间不连接，表示节点A未曾登录过节点B，且节点B未曾登录过节点A。

步骤102，获取每个异常主机生成的子攻击图，其中，子攻击图中包括从启动进程到攻击进程的链路。

其中，在主机运行过程中，记录进程调用记录表，该进程调用记录表中记录进程之间的调用信息。例如，在该进程调用记录表中记录有启动进程以及各中间进程以及各中间进程的来源父进程，包括攻击进程以及攻击进程的来源父进程。

基于进程调用记录表，可以得到各异常主机的子攻击图，具体生成过程包括：获取异常主机的进程调用记录表；解析异常主机的进程调用记录表，获得攻击进程，并以追溯父进程的方式从攻击进程追溯到启动进程，并建立该启动进程到该攻击进程的链路，得到该异常主机的子攻击图。通过进程调用记录表识别得到攻击进程，并追溯到启动进程，使得不需要采集其他数据，即可构建异常主机的子攻击图

一个具体实施例中，当主机上有进程触发攻击报警后，识别该主机为异常主机，通过邻接矩阵的形式记录该异常主机的子攻击图，该邻接矩阵的顶点为进程标识，边表示该边所连接的两个进程之间的调用关系。

步骤103，根据每个异常主机的子攻击图以及登录行为关系图，生成网络攻击图，其中，网络攻击图中包括异常主机的子攻击图，且不同的异常主机的子攻击图，按照行为关联主机与异常主机之间的发生的登录行为连接。

一个具体实施例中，按照登录行为关系图中各主机之间的连接关系，连接各异常主机的子攻击图，得到网络攻击图。具体地，获取登录行为关系图中，不同的异常主机之间跨接的行为关联主机之间的连接方式，按照该连接方式连接不同的异常主机的子攻击图，在将每个异常主机的子攻击图连接后，得到网络攻击图。

也就是说，在获得每个异常主机的子攻击图后，根据登录行为关系图，将各个子攻击图连接起来。具体地，每个子攻击图的最终节点为该子攻击图所属主机的标识，如果在登录行为关系图中两个主机之间存在连线，则将该两个主机的子攻击图的最终节点相连，如果在登录行为关系图中两个主机之间不存在连线，则也无需连接该两个主机的子攻击图的最终节点。

例如，当主机A被攻击时，通过邻接矩阵的形式记录主机A的子攻击图A，当攻击者横向移动到主机B时，通过邻接矩阵的形式记录主机B的子攻击图B。如果在登录行为关系图中，主机A和主机B连接，则将子攻击图A中的最终节点(即主机A的标识)，与子攻击图B中的最终节点(即主机B的标识)相连接。如果在登录行为关系图中，主机A和主机B未连接，则子攻击图A和子攻击图B不连接。

本申请实施例提供的该方法，通过获取各异常主机及各异常主机的关联主机之间的登录行为关系图，针对每个异常主机分别生成子攻击图，在该子攻击图中包括从启动进程指向攻击进程的链路，根据每个异常主机的子攻击图和登录行为关系图，生成包括异常主机的子攻击图和登录行为关系图的网络攻击图，从而使得技术人员根据该网络攻击图即可快速有效溯源攻击源，避免技术人员直接分析网络日志造成的时间浪费，提高了追溯效率。

例如，如图2所示，为蠕虫传播源185.234.xxx.xx通过SSH暴力破解成功登录主机，并通过bash指令从远端下载挖矿程序并执行后，构建的网络攻击图。其中，定义恶意下载源节点为蠕虫传遍源，为黑客通常放置的恶意程序下载地址；定义异常主机节点为入侵发生时有异常的主机；定义攻击进程为入侵行为的恶意进程信息；定义攻击IP节点为攻击者发起攻击的IP，为本申请实施例中需要定位的攻击节点；定义服务器登录节点为黑客用于登录的节点，为发起攻击的节点；定义告警资产节点为用于记录发出安全告警的资产IP；定义http日志节点为http日志，http服务通常为黑客的突破口，相关http日志有助于关联获取到黑客入侵路径，关联源IP(即攻击IP节点)；定义入侵原因分析节点为用于分析漏洞、明确入侵原因的端口；定义告警资产节点为用于记录并发出安全告警的资产IP。基于以上定义，攻击IP节点登录服务器登录节点，访问主机异常节点，从恶意下载源节点所关联的文件节点进行恶意下载攻击；入侵原因分析节点对文件节点进行分析，明确入侵原因。也可以是，攻击进程启动主机异常节点从攻击IP节点进行恶意下载。告警资产节点在主机异常后发出告警，并记录资产IP。

一个具体实施例中，还可以获取各异常主机的登录权限关系图，其中，登录权限关系图中包括异常主机与权限关联主机之间的连接，其中，权限关联主机为具有登录异常主机权限的主机，和/或，权限关系主机为能够被异常主机登录的主机；按照该登录权限关系图，在网络攻击图中不同的异常主机之间，增加异常主机与权限关联主机之间的连接。

也就是说，在获得每个异常主机的子攻击图后，根据登录行为关系图，将各个子攻击图连接起来之后，再根据登录权限关系图，增加异常主机与权限关联主机之间的连接。具体地，每个子攻击图的最终节点为该子攻击图所属主机的标识，如果在登录权限关系图中两个主机之间存在连线，则将该两个主机的子攻击图的最终节点相连，如果在登录权限关系图中两个主机之间不存在连线，则也无需连接该两个主机的子攻击图的最终节点。需要说明的是，在网络攻击图中，对于存在登录行为的两个主机的连接，与存在登录权限的两个主机的连接，可以采用不同的标记进行区分。

该具体实施例中，在网络攻击图中按照登录权限关系图增加子攻击图之间的连接，可以在快速有效进行攻击溯源的基础上，进一步进行安全态势评估，提高安全态势评估的准确度。

基于同一构思，本申请实施例中提供了一种网络攻击溯源装置，该装置的具体实施可参见方法实施例部分的描述，重复之处不再赘述。如图3所示，该装置主要包括：

第一获取模块301，用于获取各异常主机，以及获取各异常主机的登录行为关系图，其中，登录行为关系图中包括异常主机与行为关联主机之间发生的登录行为，其中，异常主机为发生网络异常的主机，行为关联主机为登录异常主机的主机，和/或，行为关联主机为被异常主机登录的主机；

第二获取模块302，用于获取每个异常主机生成的子攻击图，其中，子攻击图中包括从启动进程到攻击进程的链路；

处理模块303，用于根据每个异常主机的子攻击图以及登录行为关系图，生成网络攻击图，其中，网络攻击图中包括异常主机的子攻击图，且不同的异常主机的子攻击图，按照行为关联主机与异常主机之间的发生的登录行为连接。

一个具体实施例中，第一获取模块具体用于：

获取主机的登录日志表；

根据该登录日志表，获得被网络攻击源攻击的主机，作为异常主机；

根据登录日志表，获得以被异常主机登录过的主机，以及获得登录过异常主机的主机，作为行为关联主机；

根据登录日志表，获得网络攻击源在各异常主机以及行为关联主机之间的攻击顺序，根据该攻击顺序连接连接异常主机以及行为关联主机，得到登录行为关系图。

一个具体实施例中，第二获取模块具体用于：

获取异常主机的进程调用记录表；

解析异常主机的进程调用记录表，获得攻击进程，并以追溯父进程的方式从攻击进程追溯到启动进程，并建立该启动进程到该攻击进程的链路，得到异常主机的子攻击图。

一个具体实施例中，处理模块具体用于：

获取登录行为关系图中，不同的异常主机之间跨接的行为关联主机之间的连接方式，按照该连接方式连接不同的异常主机的子攻击图，在将每个异常主机的子攻击图连接后，得到网络攻击图。

一个具体实施例中，该网络攻击溯源装置还包括补充模块，用于：

获取各异常主机的登录权限关系图，其中，登录权限关系图中包括异常主机与权限关联主机之间的连接，其中，权限关联主机为具有登录异常主机权限的主机，和/或，权限关系主机为能够被异常主机登录的主机；

按照登录权限关系图，在网络攻击图中不同的异常主机之间，增加异常主机与权限关联主机之间的连接。

本申请实施例提供的该装置，通过第一获取模块获取各异常主机及各异常主机的关联主机之间的登录行为关系图，由第二获取模块针对每个异常主机分别生成子攻击图，在该子攻击图中包括从启动进程指向攻击进程的链路，通过处理模块根据每个异常主机的子攻击图和登录行为关系图，生成包括异常主机的子攻击图和登录行为关系图的网络攻击图，从而使得技术人员根据该网络攻击图即可快速有效溯源攻击源，避免技术人员直接分析网络日志造成的时间浪费，提高了追溯效率。

基于同一构思，本申请实施例中还提供了一种电子设备，如图4所示，该电子设备主要包括：处理器401、通信接口402、存储器403和通信总线404，其中，处理器401、通信接口402和存储器403通过通信总线404完成相互间的通信。其中，存储器403中存储有可被至处理器401执行的程序，处理器401执行存储器403中存储的程序，实现如下步骤：获取各异常主机，以及获取各异常主机的登录行为关系图，其中，该登录行为关系图中包括异常主机与行为关联主机之间发生的登录行为，其中，异常主机为发生网络异常的主机，行为关联主机为登录异常主机的主机，和/或，行为关联主机为被异常主机登录的主机；获取每个异常主机生成的子攻击图，其中，子攻击图中包括从启动进程到攻击进程的链路；根据每个异常主机的子攻击图以及登录行为关系图，生成网络攻击图，其中，该网络攻击图中包括异常主机的子攻击图，且不同的异常主机的子攻击图，按照行为关联主机与异常主机之间的发生的登录行为连接。

上述电子设备中提到的通信总线404可以时外设部件互连标准(PeripheralComponent Interconnect，简称PCI)总线或扩展工业标准结构(Extended IndustryStandard Architecture，简称EISA)总线等。该通信总线404可以分为地址总线、数据总线、控制总线等。为便于表示，图4中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口402用于上述电子设备与其他设备之间的通信。

存储器403可以包括随机存取存储器(Random Access Memory，简称RAM)，也可以包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。可选地，存储器还可以是至少一个位于远离前述处理器401的存储装置。

上述的处理器401可以是通用处理器，包括中央处理器(Central ProcessingUnit，简称CPU)、网络处理器(Network Processor，简称NP)等，还可以是数字信号处理器(Digital Signal Processing，简称DSP)、专用集成电路(Application SpecificIntegrated Circuit，简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在本申请的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，当该计算机程序在计算机上运行时，使得计算机执行上述实施例中所描述的网络攻击溯源方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。该计算机可以时通用计算机、专用计算机、计算机网络或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、微波等)方式向另外一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如软盘、硬盘、磁带等)、光介质(例如DVD)或者半导体介质(例如固态硬盘)等。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本发明的具体实施方式，使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种网络攻击溯源方法，其特征在于，包括：

获取各异常主机，以及获取各异常主机的登录行为关系图，其中，所述登录行为关系图中包括所述异常主机与行为关联主机之间发生的登录行为，其中，所述异常主机为发生网络异常的主机，所述行为关联主机为登录所述异常主机的主机，和/或，所述行为关联主机为被所述异常主机登录的主机；

获取每个所述异常主机生成的子攻击图，其中，所述子攻击图中包括从启动进程到攻击进程的链路；

根据每个所述异常主机的子攻击图以及所述登录行为关系图，生成网络攻击图，其中，所述网络攻击图中包括所述异常主机的子攻击图，且不同的所述异常主机的所述子攻击图，按照所述行为关联主机与所述异常主机之间的发生的登录行为连接。

2.根据权利要求1所述的网络攻击溯源方法，其特征在于，获取各异常主机，以及获取各异常主机的登录行为关系图，包括：

获取主机的登录日志表；

根据所述登录日志表，获得被网络攻击源攻击的主机，作为所述异常主机；

根据所述登录日志表，获得被所述异常主机登录过的主机，以及获得登录过所述异常主机的主机，作为所述行为关联主机；

根据所述登录日志表，获得所述网络攻击源在各所述异常主机以及所述行为关联主机之间的攻击顺序，根据所述攻击顺序连接所述异常主机以及所述行为关联主机，得到所述登录行为关系图。

3.根据权利要求2所述的网络攻击溯源方法，其特征在于，获取每个所述异常主机生成的子攻击图，包括：

获取所述异常主机的进程调用记录表；

解析所述异常主机的进程调用记录表，获得攻击进程，并以追溯父进程的方式从所述攻击进程追溯到启动进程，并建立所述启动进程到所述攻击进程的链路，得到所述异常主机的子攻击图。

4.根据权利要求3所述的网络攻击溯源方法，其特征在于，根据每个所述异常主机的子攻击图以及所述登录行为关系图，生成网络攻击图，包括：

获取所述登录行为关系图中，不同的所述异常主机之间跨接的所述行为关联主机之间的连接方式，按照所述连接方式连接所述不同的所述异常主机的子攻击图，在将每个所述异常主机的子攻击图连接后，得到所述网络攻击图。

5.根据权利要求4所述的网络攻击溯源方法，其特征在于，所述方法还包括：

获取各所述异常主机的登录权限关系图，其中，所述登录权限关系图中包括所述异常主机与权限关联主机之间的连接，其中，所述权限关联主机为具有登录所述异常主机权限的主机，和/或，所述权限关联主机为能够被所述异常主机登录的主机；

按照所述登录权限关系图，在所述网络攻击图中不同的所述异常主机之间，增加所述异常主机与所述权限关联主机之间的连接。

6.一种网络攻击溯源装置，其特征在于，包括：

第一获取模块，用于获取各异常主机，以及获取各异常主机的登录行为关系图，其中，所述登录行为关系图中包括所述异常主机与行为关联主机之间发生的登录行为，其中，所述异常主机为发生网络异常的主机，所述行为关联主机为登录所述异常主机的主机，和/或，所述行为关联主机为被所述异常主机登录的主机；

第二获取模块，用于获取每个所述异常主机生成的子攻击图，其中，所述子攻击图中包括从启动进程到攻击进程的链路；

处理模块，用于根据每个所述异常主机的子攻击图以及所述登录行为关系图，生成网络攻击图，其中，所述网络攻击图中包括所述异常主机的子攻击图，且不同的所述异常主机的所述子攻击图，按照所述行为关联主机与所述异常主机之间的发生的登录行为连接。

7.根据权利要求6所述的网络攻击溯源装置，其特征在于，所述第一获取模块具体用于：

获取主机的登录日志表；

根据所述登录日志表，获得被网络攻击源攻击的主机，作为所述异常主机；

根据所述登录日志表，获得被所述异常主机登录过的主机，以及获得登录过所述异常主机的主机，作为所述行为关联主机；

根据所述登录日志表，获得所述网络攻击源在各所述异常主机以及所述行为关联主机之间的攻击顺序，根据所述攻击顺序连接所述异常主机以及所述行为关联主机，得到所述登录行为关系图。

8.根据权利要求7所述的网络攻击溯源装置，其特征在于，所述第二获取模块具体用于：

获取所述异常主机的进程调用记录表；

解析所述异常主机的进程调用记录表，获得攻击进程，并以追溯父进程的方式从所述攻击进程追溯到启动进程，并建立所述启动进程到所述攻击进程的链路，得到所述异常主机的子攻击图。

9.根据权利要求8所述的网络攻击溯源装置，其特征在于，所述处理模块具体用于：

获取所述登录行为关系图中，不同的所述异常主机之间跨接的所述行为关联主机之间的连接方式，按照所述连接方式连接所述不同的所述异常主机的子攻击图，在将每个所述异常主机的子攻击图连接后，得到所述网络攻击图。

10.根据权利要求9所述的网络攻击溯源装置，其特征在于，所述装置还包括补充模块，用于：

获取各所述异常主机的登录权限关系图，其中，所述登录权限关系图中包括所述异常主机与权限关联主机之间的连接，其中，所述权限关联主机为具有登录所述异常主机权限的主机，和/或，所述权限关联主机为能够被所述异常主机登录的主机；

按照所述登录权限关系图，在所述网络攻击图中不同的所述异常主机之间，增加所述异常主机与所述权限关联主机之间的连接。

Images