CN111756759B - 一种网络攻击溯源方法、装置及设备 - Google Patents
一种网络攻击溯源方法、装置及设备 Download PDFInfo
- Publication number
- CN111756759B CN111756759B CN202010597712.1A CN202010597712A CN111756759B CN 111756759 B CN111756759 B CN 111756759B CN 202010597712 A CN202010597712 A CN 202010597712A CN 111756759 B CN111756759 B CN 111756759B
- Authority
- CN
- China
- Prior art keywords
- attack
- target
- event
- network
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网络攻击溯源方法,该方法能够自动监测网络中的攻击事件,按照属于内网或外网对攻击源和攻击目标进行区分,确定安全事件的攻击方向,然后将攻击方向、攻击源的IP地址、攻击目标的IP地址存储至数据库,最终从数据库匹配与该攻击事件相关的信息,根据匹配结果生成网络攻击路径。实现了自动化监测攻击事件,并分析与攻击事件相关的网络攻击路径的目的,显著提升了网络安全性。此外,本申请还提供了一种网络攻击溯源装置、设备及可读存储介质,其技术效果与上述方法的技术效果相对应。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种网络攻击溯源方法、装置、设备及可读存储介质。
背景技术
随着网络使用的广泛性,网络系统的安全、稳定、可靠的运行也越来越重要,因此,网络安全问题引起了更多用户的关注。
目前,一般都是基于安全防护中心进行人工管理,需要人工统计网络安全事件以及手动处理安全事件。由于人工处理带来的不可靠性,可能会导致网络瘫痪、数据泄露等问题。
此外,对于攻击者的各种攻击手段,比如大部分攻击者都会使用伪造的IP地址,使攻击目标不能确定攻击者的未知,从而难以进行有效的针对性防护。因此,对攻击源进行追踪成为网络安全中重要的一个环节。
可见,如何实时监测网络中发生的安全事件,并对安全事件进行网络攻击路线的分析,是本领域的技术人员需要解决的问题。
发明内容
本申请的目的是提供一种网络攻击溯源方法、装置、设备及可读存储介质,用以解决目前安全事件的监测工作以及网络攻击路线的分析工作主要通过人工处理实现,导致效率低且可靠性较差的问题。其具体方案如下:
第一方面,本申请提供了一种网络攻击溯源方法,包括:
监测目标网络,在发生攻击事件时生成告警日志;
根据所述告警日志,分别判断攻击源和攻击目标是否属于内网,得到所述攻击事件的攻击方向;
将所述攻击事件的攻击方向和五元组信息存储至数据库,其中所述五元组信息包括攻击源的IP地址和攻击目标的IP地址;
若所述攻击事件的攻击方向为内网攻击外网或内网攻击内网,则在数据库中匹配以所述攻击事件的攻击源为攻击目标的五元组信息;
根据匹配到的五元组信息和所述攻击事件的五元组信息,生成网络攻击路径。
优选的,所述将所述攻击事件的攻击方向和五元组信息存储至数据库,包括:
若攻击目标属于内网,则判断攻击目标是否为服务器,得到所述攻击事件的攻击目标类型;
将所述攻击事件的攻击方向、五元组信息和攻击目标类型存储至数据库。
优选的,所述判断攻击目标是否为服务器,得到所述攻击事件的攻击目标类型,包括:
S1、根据端口或协议判断攻击目标是否为服务器,若是,则判定攻击目标类型为服务器,否则进入S2;
S2、根据请求头和请求内容判断攻击目标是否为服务器,若是,则判定攻击目标类型为服务器,否则进入S3;
S3、根据响应头和响应内容判断攻击目标是否为服务器,若是,则判定攻击目标类型为服务器,否则进入S4;
S4、根据cookie判断攻击目标是否为服务器,若是,则判定攻击目标类型为服务器,否则进入S5;
S5、判定攻击目标类型为个人PC。
优选的,所述分别判断攻击源和攻击目标是否属于内网,得到所述攻击事件的攻击方向,包括:
根据地理库进行匹配,分别判断攻击源和攻击目标是否属于内网,得到所述攻击事件的攻击方向。
优选的,所述将所述攻击事件的攻击方向和五元组信息存储至数据库,包括:
根据所述告警日志中的攻击操作记录,确定所述攻击事件的攻击阶段,其中所述攻击阶段包括弱点探测、渗透入侵、获取权限、命令控制和数据盗取;
将所述攻击事件的攻击方向、五元组信息和攻击阶段存储至数据库。
优选的,所述将所述攻击事件的攻击方向和五元组信息存储至数据库,其中所述五元组信息包括攻击源的IP地址和攻击目标的IP地址,包括:
将所述攻击事件的攻击方向和五元组信息存储至数据库,其中所述五元组信息包括攻击源的IP地址、攻击目标的IP地址、攻击源的端口、攻击目标的端口、攻击源与攻击目标的通讯协议。
优选的,在所述根据匹配到的五元组信息和所述攻击事件的五元组信息,生成网络攻击路径之后,还包括:
根据所述网络攻击路径中各个攻击目标的攻击数量、攻击时长、攻击手段数量,确定所述网络攻击路径的严重等级。
第二方面,本申请提供了一种网络攻击溯源装置,包括:
网络监测模块:用于监测目标网络,在发生攻击事件时生成告警日志;
攻击方向判断模块:用于根据所述告警日志,分别判断攻击源和攻击目标是否属于内网,得到所述攻击事件的攻击方向;
信息存储模块:用于将所述攻击事件的攻击方向和五元组信息存储至数据库,其中所述五元组信息包括攻击源的IP地址和攻击目标的IP地址;
匹配模块:用于若所述攻击事件的攻击方向为内网攻击外网或内网攻击内网,则在数据库中匹配以所述攻击事件的攻击源为攻击目标的五元组信息;
攻击路径生成模块:用于根据匹配到的五元组信息和所述攻击事件的五元组信息,生成网络攻击路径。
第三方面,本申请提供了一种网络攻击溯源设备,包括:
存储器:用于存储计算机程序;
处理器:用于执行所述计算机程序,以实现如上所述的网络攻击溯源方法的步骤。
第四方面,本申请提供了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时用于实现如上所述的网络攻击溯源方法的步骤。
本申请所提供的一种网络攻击溯源方法,包括:监测目标网络,在发生攻击事件时生成告警日志;根据告警日志,分别判断攻击源和攻击目标是否属于内网,得到攻击事件的攻击方向;将攻击事件的攻击方向和五元组信息存储至数据库,其中五元组信息包括攻击源的IP地址和攻击目标的IP地址;若攻击事件的攻击方向为内网攻击外网或内网攻击内网,则在数据库中匹配以攻击事件的攻击源为攻击目标的五元组信息;根据匹配到的五元组信息和攻击事件的五元组信息,生成网络攻击路径。
可见,该方法能够自动监测网络中的攻击事件,按照属于内网或外网对攻击源和攻击目标进行区分,确定安全事件的攻击方向,然后将攻击方向、攻击源的IP地址、攻击目标的IP地址存储至数据库,最终从数据库匹配与该攻击事件相关的信息,根据匹配结果生成网络攻击路径。实现了自动化监测攻击事件,并分析与攻击事件相关的网络攻击路径的目的,显著提升了网络安全性。
此外,本申请还提供了一种网络攻击溯源装置、设备及可读存储介质,其技术效果与上述方法的技术效果相对应,这里不再赘述。
附图说明
为了更清楚的说明本申请实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请所提供的一种网络攻击溯源方法实施例一的实现流程图;
图2为本申请所提供的一种网络攻击溯源方法实施例二的实现流程图;
图3为本申请所提供的一种网络攻击溯源方法实施例二中S203的细化流程图;
图4为本申请所提供的一种网络攻击溯源装置实施例的功能框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
攻击者利用网络的广泛使用,严重威胁着网络安全。随着互联网逐渐成为人们的日常,越来越多的传统运行方式正在被低耗、开放、高效的分布式网络应用所代替。但是,互联网安全也随之愈演愈烈,攻击者利用后门等攻击方式进行多方面的攻陷攻击目标,使国家和各大网络用户遭受着严重的威胁。
为了更好的保护网络安全,需要对攻击源进行网络追溯,以及使用户了解网络中的攻击源、攻击目标信息,从而能更有效的进行网络安全防范。对于严重受损的攻击目标如果无法快速查找攻击源,会导致网络资产的流失,造成相应的损失。对于网络安全事件,目前需要人工手动统计和人工告警,存在一定的延迟。
针对该问题,本申请提供了一种网络攻击溯源方法、装置、设备及可读存储介质,实现了自动化监测攻击事件,并分析与攻击事件相关的网络攻击路径的目的,显著提升了网络安全性。
下面对本申请提供的一种网络攻击溯源方法实施例一进行介绍,参见图1,实施例一包括:
S101、监测目标网络,在发生攻击事件时生成告警日志;
S102、根据所述告警日志,分别判断攻击源和攻击目标是否属于内网,得到所述攻击事件的攻击方向;
S103、将所述攻击事件的攻击方向和五元组信息存储至数据库,其中所述五元组信息包括攻击源的IP地址和攻击目标的IP地址;
S104、若所述攻击事件的攻击方向为内网攻击外网或内网攻击内网,则在数据库中匹配以所述攻击事件的攻击源为攻击目标的五元组信息;
S105、根据匹配到的五元组信息和所述攻击事件的五元组信息,生成网络攻击路径。
攻击溯源,通常是指网络事件发起者的相关信息,用在发生网络攻击事件时对攻击源的查找以及追溯。攻击溯源可通过计算机网络去定位攻击源的网络地址信息。
在错综复杂的网络流量环境中,基于主机的攻击检测到网络攻击行为并提取相同的攻击特征,建立网络拓扑图,将各个模块具体化,即为攻击路径。
具体的,实时监测目标网络,当捕获到目标网络中的攻击事件时,生成对应的告警日志,后续可以将告警日志写入数据库中。
本实施例能够根据告警日志判断攻击事件的攻击方向,具体的,分别判断攻击源和攻击目标属于内网还是属于外网,将判断结果作为该攻击事件的攻击方向。可以理解的是,由于在实际应用中,我们更关心的是内网,所以攻击方向主要有以下三种可能:外网攻击内网、内网攻击内网、内网攻击外网。
判断攻击方向的过程具体可以如下:根据地理库进行匹配,判断攻击源的IP地址是否为内网地址,如果是则判定攻击源属于内网,否则判断攻击源属于外网,且此时可以直接确定攻击方向为外网攻击内网;判断攻击目标的IP地址是否为内网地址,如果是,则判定攻击目标属于内网,否则判定攻击目标属于外网。结合两次判断结果,即可得到攻击方向。
当攻击方向为内网攻击内网或者内网攻击外网时,攻击源所在的内网地址极有可能已经被黑客攻陷,作为跳板对外网发起攻击行为,如DDOS、web后门访问等。因此,对于这一类的攻击事件,需要特别关注,对其进行网络攻击溯源。
具体的,本实施例在每次监测到攻击事件并生产告警日志之后,会将告警日志对应的五元组信息和攻击事件的攻击方向一并记录到数据库中,其中,五元组信息包括但不限于攻击源的IP地址和攻击目标的IP地址,因此,当需要进行网络攻击溯源时可以直接从数据库中搜素到相关信息。具体的,对于攻击方向为内网攻击外网或内网攻击内网的攻击事件,可以在数据库中匹配以该攻击事件的攻击源为攻击目标的五元组信息,并根据匹配结果生成网络攻击路径。
可以理解的是,在实际应用中,在得到网络攻击路径之后,可以继续匹配以攻击路径的攻击源为攻击目标的五元组信息,不断重复该匹配过程,从而不断扩展网络攻击路径,查找最初的攻击源。
内网的服务器被攻陷是极其严重的一个现象,可能会导致服务器上的信息泄露,所以需要特别关注。因此,作为一种优选的实施方式,在确定攻击目标之后,可以进一步判断攻击目标是否为服务器,得到攻击事件的攻击目标类型。具体的,根据端口判断攻击目标是否为服务器,如攻击目标的端口为80,已知80为http服务器默认端口,则可判定攻击目标为服务器;若端口不能判定,则可以检测攻击目标是否有返回响应内容,如果攻击目标有返回响应内容,则可以判断攻击目标为服务器;若以上两点均不满足,则判定攻击目标不是服务器,可确定攻击目标为个人PC机。个人PC机可能通过下载恶意文件使电脑不知不觉中被黑客所攻击。
本实施例所提供一种网络攻击溯源方法,该方法能够自动监测网络中的攻击事件,按照属于内网或外网对攻击源和攻击目标进行区分,确定安全事件的攻击方向,然后将攻击方向、攻击源的IP地址、攻击目标的IP地址存储至数据库,最终从数据库匹配与该攻击事件相关的信息,根据匹配结果生成网络攻击路径。实现了自动化监测攻击事件,并分析与攻击事件相关的网络攻击路径的目的,显著提升了网络安全性。
下面开始详细介绍本申请提供的一种网络攻击溯源方法实施例二,实施例二基于前述实施例一实现,并在实施例一的基础上进行了一定程度上的拓展。
目前,如何实时统计网络中发生的攻击事件,分析网络攻击路线,并对网络攻击事件进行分析威胁等级,以便于用户能清晰的知道哪些事件是紧急处理的和可修复的,是网络安全防护中非常关键的过程。针对该问题,实施例二不仅能够在捕获到攻击事件之后,确定攻击事件的攻击方向,分析攻击目标类型,生成网络攻击路径,还能够确定攻击事件的攻击阶段,分析网络攻击路径的严重等级。
参见图2,实施例二具体包括:
S201、监测目标网络,在发生攻击事件时生成告警日志;
S202、根据所述告警日志和地理库,分别判断攻击源和攻击目标是否属于内网,得到所述攻击事件的攻击方向;
S203、若攻击目标属于内网,则判断攻击目标是否为服务器,得到所述攻击事件的攻击目标类型,所述攻击目标类型包括内网服务器和个人PC机;
S204、根据所述告警日志中的攻击操作记录,确定所述攻击事件的攻击阶段,其中所述攻击阶段包括弱点探测、渗透入侵、获取权限、命令控制和数据盗取;
本实施例追溯攻击过程,并将攻击过程的威胁活动划分为弱点探测、渗透入侵、获取权限、命令控制、数据盗取这五个攻击阶段,攻击阶段越往后说明该攻击事件越发严重。在网络攻击溯源过程中,将攻击事件分别以五个攻击阶段去分析所发生的攻击事件。以弱点探测为例,网络中发生的弱口令、SMB远程溢出攻击、密码明文传输、远控工具利用等风险,当有告警日志产生时,可以确定这个告警日志的攻击阶段为弱点探测。
S205、将所述攻击事件的攻击方向、五元组信息、攻击目标类型、攻击阶段存储至数据库,其中所述五元组信息包括攻击源的IP地址、攻击目标的IP地址、攻击源的端口、攻击目标的端口、攻击源与攻击目标的通讯协议;
除此之外,还可以基于流量检测引擎,可追踪到攻击主机和控制主机。
S206、若所述攻击事件的攻击方向为内网攻击外网或内网攻击内网,则在数据库中匹配以所述攻击事件的攻击源为攻击目标的五元组信息;
本实施例将攻击源和攻击目标划分成内网、外网,在实际应用中,主要关心内网,尤其是外网攻击内网,外网借助内网设备攻击内网。
S207、根据匹配到的五元组信息和所述攻击事件的五元组信息,生成网络攻击路径;
S208、根据所述网络攻击路径中各个攻击目标的攻击数量、攻击时长、攻击手段数量,确定所述网络攻击路径的严重等级。
网络攻击路线的严重等级是根据攻击数量、攻击时间、攻击手段、威胁严重性来进行分析。首先,将攻击数量、攻击时间、攻击手段、威胁严重性的top10的攻击源IP地址都保存在内存中,将这些IP地址进行整理去重,将最后得到的攻击源IP地址保存在数据库中并展示网络攻击路线。同理,攻击目标也以此方式进行分析严重等级,此处不再一一阐述。网络攻击路线解决了用户清楚的了解网络环境中的安全问题,并有效快速的进行修复弥补黑客进一步攻击。
若内网中的服务器被攻陷,可能会泄露重要资料,黑客可能会利用服务器进一步攻击内网其他设备,从而导致进一步的损失。所以,需要重点关注内网的服务器是否被攻击,根据漏洞进一步的进行防护。下面举例介绍一下具体的HTTP服务的检测方法:
根据协议、端口判断是否是HTTP服务器,比如HTTP服务器有常用的80、8080端口,若协议、端口均满足要求,则可以判断此攻击事件中存在HTTP服务器;若无法根据协议、端口进行判断,则需要下一步的判断。根据请求头和请求内容判断是否是HTTP服务器,服务器会先创建socket建立连接发送请求,对其请求协议进行解析并判断是否符合。根据响应头和响应内容判断是否是HTTP服务器,根据状态码、响应报文将不同信息进行分割,存入函数中,进行分析是否与请求内容对应,如果不是,则进行下一步判断。根据cookie的信息判断是否是HTTP服务器,根据服务器向客户端发送的cookie可以解析,是否与url、请求体是否一致,进而判断是否是HTTP服务器。如果不是,则判断攻击目标不是HTTP服务器。如果是服务器,则确定此次攻击事件的攻击目标类型为服务器,后续需要特别关注。
因此,如图3所示,上述S203,即所述判断攻击目标是否为服务器,得到所述攻击事件的攻击目标类型的过程,具体包括:
S301、根据端口或协议判断攻击目标是否为服务器,若是,则判定攻击目标类型为服务器,否则进入S302;
S302、根据请求头和请求内容判断攻击目标是否为服务器,若是,则判定攻击目标类型为服务器,否则进入S303;
S303、根据响应头和响应内容判断攻击目标是否为服务器,若是,则判定攻击目标类型为服务器,否则进入S304;
S304、根据cookie判断攻击目标是否为服务器,若是,则判定攻击目标类型为服务器,否则进入S305;
S305、判定攻击目标类型为个人PC。
可见,本实施例提供的一种网络攻击溯源方法,能够对网络中发生的攻击事件进行追溯,并根据攻击源和攻击目标还原出网络攻击路线,将攻击源、攻击目标按内网、外网、内网服务器、内网PC机进行区别,确定攻击事件的攻击方向和攻击目标类型,还能够分析攻击事件的攻击阶段,以及网络攻击路径的严重等级,可以帮助用户有效的了解到告警的严重性,并对攻击目标进行及时的修复。
下面对本申请实施例提供的一种网络攻击溯源装置进行介绍,下文描述的一种网络攻击溯源装置与上文描述的一种网络攻击溯源方法可相互对应参照。
如图4所示,本实施例的网络攻击溯源装置,包括:
网络监测模块401:用于监测目标网络,在发生攻击事件时生成告警日志;
攻击方向判断模块402:用于根据所述告警日志,分别判断攻击源和攻击目标是否属于内网,得到所述攻击事件的攻击方向;
信息存储模块403:用于将所述攻击事件的攻击方向和五元组信息存储至数据库,其中所述五元组信息包括攻击源的IP地址和攻击目标的IP地址;
匹配模块404:用于若所述攻击事件的攻击方向为内网攻击外网或内网攻击内网,则在数据库中匹配以所述攻击事件的攻击源为攻击目标的五元组信息;
攻击路径生成模块405:用于根据匹配到的五元组信息和所述攻击事件的五元组信息,生成网络攻击路径。
本实施例的网络攻击溯源装置用于实现前述的网络攻击溯源方法,因此该装置中的具体实施方式可见前文中的网络攻击溯源方法的实施例部分,例如,网络监测模块401、攻击方向判断模块402、信息存储模块403、匹配模块404、攻击路径生成模块405,分别用于实现上述网络攻击溯源方法中步骤S101,S102,S103,S104,S105。所以,其具体实施方式可以参照相应的各个部分实施例的描述,在此不再展开介绍。
另外,由于本实施例的网络攻击溯源装置用于实现前述的网络攻击溯源方法,因此其作用与上述方法的作用相对应,这里不再赘述。
此外,本申请还提供了一种网络攻击溯源设备,包括:
存储器:用于存储计算机程序;
处理器:用于执行所述计算机程序,以实现如上文所述的网络攻击溯源方法的步骤。
最后,本申请提供了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时用于实现如上文所述的网络攻击溯源方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的方案进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (8)
1.一种网络攻击溯源方法,其特征在于,包括:
监测目标网络,在发生攻击事件时生成告警日志;
根据所述告警日志,分别判断攻击源和攻击目标是否属于内网,得到所述攻击事件的攻击方向;
将所述攻击事件的攻击方向和五元组信息存储至数据库,其中所述五元组信息包括攻击源的IP地址和攻击目标的IP地址;
若所述攻击事件的攻击方向为内网攻击外网或内网攻击内网,则在数据库中匹配以所述攻击事件的攻击源为攻击目标的五元组信息;
根据匹配到的五元组信息和所述攻击事件的五元组信息,生成网络攻击路径;
其中,所述将所述攻击事件的攻击方向和五元组信息存储至数据库,包括:
若攻击目标属于内网,则判断攻击目标是否为服务器,得到所述攻击事件的攻击目标类型;
将所述攻击事件的攻击方向、五元组信息和攻击目标类型存储至数据库;
其中,所述判断攻击目标是否为服务器,得到所述攻击事件的攻击目标类型,包括:
S1、根据端口或协议判断攻击目标是否为服务器,若是,则判定攻击目标类型为服务器,否则进入S2;
S2、根据请求头和请求内容判断攻击目标是否为服务器,若是,则判定攻击目标类型为服务器,否则进入S3;
S3、根据响应头和响应内容判断攻击目标是否为服务器,若是,则判定攻击目标类型为服务器,否则进入S4;
S4、根据cookie判断攻击目标是否为服务器,若是,则判定攻击目标类型为服务器,否则进入S5;
S5、判定攻击目标类型为个人PC。
2.如权利要求1所述的方法,其特征在于,所述分别判断攻击源和攻击目标是否属于内网,得到所述攻击事件的攻击方向,包括:
根据地理库进行匹配,分别判断攻击源和攻击目标是否属于内网,得到所述攻击事件的攻击方向。
3.如权利要求1所述的方法,其特征在于,所述将所述攻击事件的攻击方向和五元组信息存储至数据库,包括:
根据所述告警日志中的攻击操作记录,确定所述攻击事件的攻击阶段,其中所述攻击阶段包括弱点探测、渗透入侵、获取权限、命令控制和数据盗取;
将所述攻击事件的攻击方向、五元组信息和攻击阶段存储至数据库。
4.如权利要求1所述的方法,其特征在于,所述将所述攻击事件的攻击方向和五元组信息存储至数据库,其中所述五元组信息包括攻击源的IP地址和攻击目标的IP地址,包括:
将所述攻击事件的攻击方向和五元组信息存储至数据库,其中所述五元组信息包括攻击源的IP地址、攻击目标的IP地址、攻击源的端口、攻击目标的端口、攻击源与攻击目标的通讯协议。
5.如权利要求1-4任意一项所述的方法,其特征在于,在所述根据匹配到的五元组信息和所述攻击事件的五元组信息,生成网络攻击路径之后,还包括:
根据所述网络攻击路径中各个攻击目标的攻击数量、攻击时长、攻击手段数量,确定所述网络攻击路径的严重等级。
6.一种网络攻击溯源装置,其特征在于,包括:
网络监测模块:用于监测目标网络,在发生攻击事件时生成告警日志;
攻击方向判断模块:用于根据所述告警日志,分别判断攻击源和攻击目标是否属于内网,得到所述攻击事件的攻击方向;
信息存储模块:用于将所述攻击事件的攻击方向和五元组信息存储至数据库,其中所述五元组信息包括攻击源的IP地址和攻击目标的IP地址;
匹配模块:用于若所述攻击事件的攻击方向为内网攻击外网或内网攻击内网,则在数据库中匹配以所述攻击事件的攻击源为攻击目标的五元组信息;
攻击路径生成模块:用于根据匹配到的五元组信息和所述攻击事件的五元组信息,生成网络攻击路径;
其中,所述信息存储模块,具体用于:
若攻击目标属于内网,则判断攻击目标是否为服务器,得到所述攻击事件的攻击目标类型;
将所述攻击事件的攻击方向、五元组信息和攻击目标类型存储至数据库;
其中,所述判断攻击目标是否为服务器,得到所述攻击事件的攻击目标类型,包括:
S1、根据端口或协议判断攻击目标是否为服务器,若是,则判定攻击目标类型为服务器,否则进入S2;
S2、根据请求头和请求内容判断攻击目标是否为服务器,若是,则判定攻击目标类型为服务器,否则进入S3;
S3、根据响应头和响应内容判断攻击目标是否为服务器,若是,则判定攻击目标类型为服务器,否则进入S4;
S4、根据cookie判断攻击目标是否为服务器,若是,则判定攻击目标类型为服务器,否则进入S5;
S5、判定攻击目标类型为个人PC。
7.一种网络攻击溯源设备,其特征在于,包括:
存储器:用于存储计算机程序;
处理器:用于执行所述计算机程序,以实现如权利要求1-5任意一项所述的网络攻击溯源方法的步骤。
8.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时用于实现如权利要求1-5任意一项所述的网络攻击溯源方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010597712.1A CN111756759B (zh) | 2020-06-28 | 2020-06-28 | 一种网络攻击溯源方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010597712.1A CN111756759B (zh) | 2020-06-28 | 2020-06-28 | 一种网络攻击溯源方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111756759A CN111756759A (zh) | 2020-10-09 |
| CN111756759B true CN111756759B (zh) | 2023-04-07 |
Family
ID=72677562
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010597712.1A Active CN111756759B (zh) | 2020-06-28 | 2020-06-28 | 一种网络攻击溯源方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111756759B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935192B (zh) * | 2020-10-12 | 2021-03-23 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
| CN112351017B (zh) * | 2020-10-28 | 2022-08-26 | 北京奇虎科技有限公司 | 横向渗透防护方法、装置、设备及存储介质 |
| CN112532631A (zh) * | 2020-11-30 | 2021-03-19 | 深信服科技股份有限公司 | 一种设备安全风险评估方法、装置、设备及介质 |
| CN112511559B (zh) * | 2020-12-17 | 2023-06-16 | 中国农业银行股份有限公司 | 内网横向移动攻击的检测方法及系统 |
| CN112769827B (zh) * | 2021-01-08 | 2021-09-10 | 中国电子科技集团公司第十五研究所 | 一种网络攻击代理端检测及溯源方法与装置 |
| CN112822685B (zh) * | 2021-02-01 | 2022-12-23 | 中国南方电网有限责任公司 | 一种基于溯源的Android移动攻击防范方法、装置和系统 |
| CN113923009A (zh) * | 2021-09-30 | 2022-01-11 | 中通服创立信息科技有限责任公司 | 一种网络安全事件溯源分析方法、装置、介质及电子设备 |
| CN114363002B (zh) * | 2021-12-07 | 2023-06-09 | 绿盟科技集团股份有限公司 | 一种网络攻击关系图的生成方法及装置 |
| CN114143112B (zh) * | 2021-12-08 | 2024-03-29 | 赛尔网络有限公司 | 恶意攻击邮件分析方法、装置、设备及介质 |
| CN114422240B (zh) * | 2022-01-19 | 2024-03-15 | 湖南警察学院 | 基于攻击行为分析的物联网跨层攻击路径识别方法 |
| CN114666101B (zh) * | 2022-03-01 | 2024-03-22 | 国网新疆电力有限公司信息通信公司 | 一种攻击溯源检测系统及方法 |
| CN115296917B (zh) * | 2022-08-09 | 2023-07-07 | 山东港口科技集团烟台有限公司 | 资产暴露面信息获取方法、装置、设备以及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107292169A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 恶意软件的威胁溯源方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350745B (zh) * | 2008-08-15 | 2011-08-03 | 北京启明星辰信息技术股份有限公司 | 一种入侵检测方法及装置 |
| CN106850687A (zh) * | 2017-03-29 | 2017-06-13 | 北京百度网讯科技有限公司 | 用于检测网络攻击的方法和装置 |
| CN110971579A (zh) * | 2018-09-30 | 2020-04-07 | 北京国双科技有限公司 | 一种网络攻击展示方法及装置 |
| CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
-
2020
- 2020-06-28 CN CN202010597712.1A patent/CN111756759B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107292169A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 恶意软件的威胁溯源方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111756759A (zh) | 2020-10-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111756759B (zh) | 一种网络攻击溯源方法、装置及设备 | |
| EP3588898B1 (en) | Defense against apt attack | |
| CN107888607B (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| CN113329029B (zh) | 一种针对apt攻击的态势感知节点防御方法及系统 | |
| CN107733725B (zh) | 一种安全预警方法、装置、设备及存储介质 | |
| CN111641620A (zh) | 用于检测进化DDoS攻击的新型云蜜罐方法及架构 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN112532631A (zh) | 一种设备安全风险评估方法、装置、设备及介质 | |
| Surnin et al. | Probabilistic estimation of honeypot detection in Internet of things environment | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| CN112217777A (zh) | 攻击回溯方法及设备 | |
| CN110581850A (zh) | 一种基于网络流量基因检测方法 | |
| Sornalakshmi | Detection of DoS attack and zero day threat with SIEM | |
| CN118337540B (zh) | 一种基于物联网的网络入侵攻击识别系统及方法 | |
| CN114257403A (zh) | 误报检测方法、设备及可读存储介质 | |
| Asha et al. | Analysis on botnet detection techniques | |
| Anastasiadis et al. | A novel high-interaction honeypot network for internet of vehicles | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| CN117829677A (zh) | 一种工业网络靶场任务自动评估方法、设备及介质 | |
| Su et al. | Attack detection of distributed denial of service based on Splunk | |
| CN112953895A (zh) | 一种攻击行为检测方法、装置、设备及可读存储介质 | |
| CN113709097B (zh) | 网络风险感知方法及防御方法 | |
| Mahajan et al. | Performance analysis of honeypots against flooding attack | |
| CN109255243B (zh) | 一种终端内潜在威胁的修复方法、系统、装置及存储介质 | |
| CN106993005A (zh) | 一种网络服务器的预警方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |