CN111818103A - 一种网络靶场中基于流量的溯源攻击路径方法 - Google Patents
一种网络靶场中基于流量的溯源攻击路径方法 Download PDFInfo
- Publication number
- CN111818103A CN111818103A CN202010938005.4A CN202010938005A CN111818103A CN 111818103 A CN111818103 A CN 111818103A CN 202010938005 A CN202010938005 A CN 202010938005A CN 111818103 A CN111818103 A CN 111818103A
- Authority
- CN
- China
- Prior art keywords
- traffic
- malicious
- flow
- attack
- index
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 82
- 238000000605 extraction Methods 0.000 claims abstract description 30
- 238000012544 monitoring process Methods 0.000 claims abstract description 24
- 238000001514 detection method Methods 0.000 claims description 15
- 238000010276 construction Methods 0.000 claims description 14
- 239000000523 sample Substances 0.000 claims description 3
- 230000006399 behavior Effects 0.000 abstract description 28
- 238000005516 engineering process Methods 0.000 abstract description 15
- 230000008569 process Effects 0.000 abstract description 11
- 239000000284 extract Substances 0.000 abstract description 2
- 230000002349 favourable effect Effects 0.000 abstract description 2
- 238000004458 analytical method Methods 0.000 description 11
- 238000013461 design Methods 0.000 description 8
- 238000011160 research Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 241000270730 Alligator mississippiensis Species 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000002513 implantation Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000008929 regeneration Effects 0.000 description 1
- 238000011069 regeneration method Methods 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种网络靶场中基于流量的溯源攻击路径方法,基于定向网络的网络攻击追踪溯源技术进行设计,通过网络靶场中准确有效的流量监测,从反向溯源角度,实现溯源攻击路径的刻画,能够辅助安全分析人员更好的拆解网络攻击行为,其中,反向溯源方式,通过攻击者行为特征的提取生成攻击者指纹,并定向的在历史日志中溯源攻击者的流量,更有针对性和目标性,可以更全面的复刻攻击路径,针对攻击路径的刻画,引入网络杀伤链模型,通过查找攻击时间节点将不同协议和时间节点的网络流量进行合理划分,更有利于安全分析人员分析攻击发生的过程。
Description
技术领域
本发明涉及一种网络靶场中基于流量的溯源攻击路径方法,属于网络靶场技术领域。
背景技术
国家网络靶场建设是国家网络空间安全战略的迫切需要,是提升我国网络空间安全能力的重要战略举措,是建设强大信息系统国度的安全保障。通过国家网络靶场建设,可为金融、电信、能源、交通、电力等国家关键信息基础设施安全体系建设提供分析、设计、研发、集成、测试、评估、运维等全生命周期保障服务,解决无法在真实环境中对复杂大规模异构网络和用户进行逼真的模拟和测试,以及风险评估等问题,实现国家网络空间安全能力的整体跃升。
在网络靶场中,安全分析人员往往需要复画恶意攻击路径分析攻击者的攻击手段,分析可能存在的漏洞。网络追踪溯源作为分析网络攻击的重要技术手段受到广泛的关注和研究。
CohenD等曾将网络攻击追踪溯源划分为追踪溯源攻击主机、追踪溯源攻击控制主机、追踪溯源攻击者、追踪溯源攻击组织机构四个级别。陈周国等则在此基础上,详细阐述了各级别追踪溯源面临的具体问题,并综述了为实现各级目标可以采取的技术手段。但是该工作没有区分攻击的指向性,因而所综述的技术手段在应对定向网络攻击追踪溯源方面存在局限性。
首先,在追踪溯源第一层次上使用的InputDebugging、Itrace、PPM、DPM、SPIE等方法,是网络数据包层面的技术方法,主要针对非定向网络攻击(如DDoS),而定向网络攻击频繁使用跳板主机、跳板网络和公共网络服务,因而上述方法的追踪溯源能力有限;其次,第二层次上使用的内部监测、日志分析、网络流分析、事件响应分析等技术,以被动追踪溯源手段为主,缺少对追踪溯源关键线索的主动获取,收集到的线索有限,难以有效溯源复杂的定向网络攻击;再次,在第三层次上总结的自然语言文档分析、Email分析、聊天记录分析、攻击代码分析、键盘信息分析等技术,能够在一定程度上帮助追踪溯源定向网络攻击,但这些分析技术基于对已知样本和数据的挖掘利用,并没有提及如何高效地捕获这些样本和数据。
姜建国等根据不同的攻击场景,将网络攻击追踪溯源划分为虚假IP追踪、Botnet追踪、匿名网络追踪、跳板追踪和局域网追踪5类问题,并将解决这五类问题的技术方法归纳为4种类型:包标记、流水印、日志记录和渗透测试。从问题划分来看,该工作没有充分考虑在定向网络攻击这一特定场景下的追踪溯源问题,因此所归纳总结的技术方法更倾向于追踪溯源非定向网络攻击。文献综述的包标记方法主要包括Itrace、PPM、DPM技术,如前文所述,作为网络数据包层面的追踪溯源方法,难以应对复杂的定向网络攻击。流水印技术不需要修改协议,也适用于加密流量,甚至可以用来追踪溯源一些以匿名网络为跳板的定向网络攻击。但是流水印技术需要大量匿名网络基础设施的支持,因而不易实施,同时在技术上要保证水印检测的准确率也有一定难度。日志记录技术则是一种被动追踪溯源方法,存在所记录的信息有限、可能被攻击者篡改的问题。渗透测试的方法可以为定向网络攻击的追踪溯源提供关键突破,但是技术难度大并且存在司法可信性方面的疑问,目前已公开的追踪溯源报告中,很少提及此类方法。由此发现目前在网络靶场场景中尚缺乏有效的网络攻击路径溯源方法。
网络攻击追踪溯源分为“被动追踪溯源”和“主动追踪溯源”两类。被动追踪溯源指溯源者不干扰攻击过程,仅利用攻击者主动暴露的线索求解追踪溯源各级目标的过程。主动追踪溯源指溯源者有意识地部署环溯源境或释放溯源工具,干扰攻击者的行为,导致其产生原定计划外的攻击动作或网络流量,从而探测或收集额外的攻击者线索,并利用上述信息求解追踪溯源各级目标的过程。
被动溯源通常以记录日志和流量为主要手段,部署简单,但缺点也显而易见:获得的线索是“攻击者可控的”,即便在防御者做出最大努力、记录全部日志和流量的前提下,也有可能无法得到溯源关键线索。主动追踪溯源则是按照溯源者的意愿,尝试获得溯源关键线索,缺点是技术难度大。从实施时间来看,被动追踪溯源包括攻击前部署、攻击中记录和攻击后回溯三个阶段;而主动追踪溯源则主要包括攻击前部署和攻击中实施两个阶段。从实施空间来看,被动追踪溯源主要发生在防御者一侧,而主动追踪溯源既可以发生在防御者一侧(如蜜罐主机),也可以发生在攻击者一侧(如攻击者浏览器、主机)。
现有的网络攻击追踪溯源研究成果,在应对定向网络攻击追踪溯源问题上存在以下不足。总体来看,现有研究成果大多面向非定向网络攻击,而缺少专门面向定向网络攻击追踪溯源的理论和技术的研究。定向网络攻击是应用和业务层面上而非网络层面上的攻击,更具隐蔽性、匿名性、持久性和复杂性,追踪溯源的难度更大。同时,定向网络攻击使用的攻击工具和攻击方法,也和非定向网络攻击有着显著的区别。因此,在定向网络攻击追踪溯源理论和技术方面,都需要相应地创新。
从技术细节来看,现有技术手段以被动追踪溯源技术为主,缺少主动获取追踪溯源关键信息方面的研究。网络攻击的隐蔽性和匿名性符合“木桶原理”,因此,追踪溯源的突破往往取决于若干少量的核心关键线索。被动追踪溯源收集到的是攻击者有意或无意泄露的信息,线索质量难以满足溯源方的预期。主动溯源则是主动出击,在司法允许的范围内,结合陷阱、诱捕、欺骗和软硬件特性利用等方法,同时在攻击目标和攻击者两端获取高质量的关键溯源线索。从系统性来看,各类追踪溯源技术独立使用、各自为战,而缺少定向网络攻击追踪溯源的整体模型研究。
发明内容
本发明所要解决的技术问题是提供一种网络靶场中基于流量的溯源攻击路径方法,基于定向网络的网络攻击追踪溯源技术进行设计,能够在网络靶场中基于准确有效的流量实现溯源攻击路径的刻画,高效辅助安全人员进行网络攻击的分析。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种网络靶场中基于流量的溯源攻击路径方法,用于对网络靶场中恶意流量的攻击路径实现刻画,包括实时执行如下步骤:
步骤A. 针对网络靶场中的全部数据流量进行监听采集,获得各条数据流量,构成流量集群,并标记各条数据流量的状态为未处理,然后进入步骤B;
步骤B. 针对流量集群中的全部数据流量进行恶意流量检测,获得其中的各条恶意流量,然后进入步骤C;
步骤C. 由状态为未处理的各条恶意流量中,随机选取一条恶意流量,作为当前恶意流量,并创建当前恶意流量所对应的攻击者指纹库、恶意攻击流量库,将当前恶意流量加入该恶意攻击流量库中,然后进入步骤D;
步骤D. 根据当前恶意流量的协议类型,提取当前恶意流量中的各个恶意流量特征,作为当前恶意流量所对应的各个攻击者指纹,并加入当前恶意流量所对应的攻击者指纹库中,然后进入步骤E;
步骤E. 根据当前恶意流量所对应攻击者指纹库中的各个攻击者指纹,判断流量集群中是否存在符合至少一个该攻击者指纹、且状态为未处理的各条数据流量,是则定义该各条数据流量为当前恶意流量所对应的各条从数据流量,并进入步骤F;否则标记当前恶意流量的状态为已处理,并进入步骤H;
步骤F. 按步骤D的方法,分别提取当前恶意流量所对应各条从数据流量中的各个流量特征,作为各个攻击者指纹,并加入当前恶意流量所对应的攻击者指纹库中,然后进入步骤G;
步骤G. 标记当前恶意流量所对应各条从数据流量的状态为已处理,并复制至当前恶意流量所对应的恶意攻击流量库中,然后返回步骤E;
步骤H. 根据当前恶意流量所对应攻击者指纹库中的各个攻击者指纹,以及当前恶意流量所对应恶意攻击流量库中的各条数据流量,刻画并获得当前恶意流量所对应的攻击路径,然后进入步骤I;
步骤I. 判断是否存在状态为未处理的各条恶意流量,是则返回步骤C,否则结束方法。
作为本发明的一种优选技术方案:所述步骤A. 针对网络靶场中的全部数据流量进行监听采集,获得各条数据流量,构成流量集群,并构建流量集群所对应的索引集,标记各条数据流量索引的状态为未处理,然后进入步骤B;
所述步骤B. 针对索引集中的全部数据流量索引进行恶意流量索引检测,获得其中的各条恶意流量索引,然后进入步骤C;
所述步骤C. 由状态为未处理的各条恶意流量索引中,随机选取一条恶意流量索引,作为当前恶意流量索引,并创建当前恶意流量索引所对应的攻击者指纹库、恶意攻击流量库,将当前恶意流量索引所对应流量集群中的数据流量加入该恶意攻击流量库中,然后进入步骤D;
所述步骤D. 根据当前恶意流量索引的协议类型,提取当前恶意流量索引中的各个恶意流量特征,作为当前恶意流量索引所对应的各个攻击者指纹,并加入当前恶意流量索引所对应的攻击者指纹库中,然后进入步骤E;
所述步骤E. 根据当前恶意流量索引所对应攻击者指纹库中的各个攻击者指纹,判断索引集中是否存在符合至少一个该攻击者指纹、且状态为未处理的各条数据流量索引,是则定义该各条数据流量索引为当前恶意流量索引所对应的各条从数据流量索引,并进入步骤F;否则标记当前恶意流量索引的状态为已处理,并进入步骤H;
所述步骤F. 按步骤D的方法,分别提取当前恶意流量索引所对应各条从数据流量索引中的各个流量特征,作为各个攻击者指纹,并加入当前恶意流量索引所对应的攻击者指纹库中,然后进入步骤G;
所述步骤G. 标记当前恶意流量索引所对应各条从数据流量索引的状态为已处理,并复制该各条从数据流量索引分别对应流量集群中的各条数据流量、至当前恶意流量索引所对应的恶意攻击流量库中,然后返回步骤E;
所述步骤H. 根据当前恶意流量索引所对应攻击者指纹库中的各个攻击者指纹,以及当前恶意流量索引所对应恶意攻击流量库中的各条数据流量,刻画并获得当前恶意流量索引所对应的攻击路径,然后进入步骤I;
所述步骤I. 判断是否存在状态为未处理的各条恶意流量索引,是则返回步骤C,否则结束方法。
作为本发明的一种优选技术方案:所述步骤H中,根据网络杀伤链模型,结合树型网络,通过有相无环图刻画并获得攻击路径。
作为本发明的一种优选技术方案:所述步骤H中,按如下步骤,刻画获得攻击路径;
步骤H1. 针对恶意攻击流量库中的各条数据流量,按时序进行排列,获得流量时序排列,并查找获得其中各个攻击节点,然后进入步骤H2;
步骤H2. 根据网络杀伤链模型,区分流量时序排列中的各个攻击阶段,并构建所对应的有相无环图,构成攻击路径。
作为本发明的一种优选技术方案:所述步骤D中的各个恶意流量特征包括内容特征、数据流统计特征、网络连接行为特征;其中,内容特征包括信息窃取流量的内容特征、下载式攻击流量的内容特征、C&C流量的内容特征。
作为本发明的一种优选技术方案:所述步骤D中,应用WireShark、Tcptrace、QPA、Tstat中的任意一种工具,实现恶意流量特征的提取。
作为本发明的一种优选技术方案:所述步骤A中,应用PacketBeat方式或探针方式针对网络靶场中的全部数据流量进行监听采集,获得各条数据流量,并构成Elasticsearch流量集群。
作为本发明的一种优选技术方案:所述步骤B中,应用恶意流量检测引擎maltrail,实现恶意流量或恶意流量索引的检测。
与上述相对应,本发明所要解决的技术问题是提供一种网络靶场中基于流量的溯源攻击路径方法的系统,基于定向网络的网络攻击追踪溯源技术进行设计,能够在网络靶场中基于准确有效的流量实现溯源攻击路径的刻画,高效辅助安全人员进行网络攻击的分析。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种网络靶场中基于流量的溯源攻击路径方法的系统,包括数据采集模块、攻击指纹提取模块、反向溯源模块、攻击路径刻画模块、以及攻击者指纹库、恶意攻击流量库;
其中,数据采集模块包括流量监听工具、流量集群构建工具、以及端口模块,流量监听工具用于实现步骤A中的监听采集操作,流量集群构建工具用于实现步骤A中流量集群的构建,端口模块用于为步骤A中的索引集提供数据访问接口;
攻击指纹提取模块用于实现步骤D与步骤F中的恶意流量特征提取操作;
反向溯源模块用于实现步骤E与步骤G的操作;
攻击路径刻画模块用于实现步骤H的操作;
攻击者指纹库用于存储攻击者指纹,恶意攻击流量库用于存储符合攻击者指纹的各条数据流量。
作为本发明的一种优选技术方案:还包括展示模块,用于结合网络靶场的拓扑图,针对步骤H所获得的攻击路径进行展示。
本发明所述一种网络靶场中基于流量的溯源攻击路径方法,采用以上技术方案与现有技术相比,具有以下技术效果:
本发明所设计网络靶场中基于流量的溯源攻击路径方法,在实际的网络靶场环境下,基于定向网络的网络攻击追踪溯源技术进行设计,基于网络靶场中准确有效的流量监测,从反向溯源角度,实现溯源攻击路径的刻画,能够辅助安全分析人员更好的拆解网络攻击行为,其中,反向溯源方式,通过攻击者行为特征的提取生成攻击者指纹,并定向的在历史日志中溯源攻击者的流量,更有针对性和目标性,可以更全面的复刻攻击路径,针对攻击路径的刻画,引入网络杀伤链模型,通过查找攻击时间节点将不同协议和时间节点的网络流量进行合理划分,更有利于安全分析人员分析攻击发生的过程,此外,从内容特征、统计特征和网络连接行为多维度提取攻击者行为,并通过自学习的方式不断进行完善攻击者指纹,能够有效保证攻击路径的刻画的准确性。
附图说明
图1是本发明所设计网络靶场中基于流量的溯源攻击路径方法的流程图;
图2是本发明所设计网络靶场中基于流量的溯源攻击路径方法中攻击者指纹生成示意图;
图3是本发明所设计网络靶场中基于流量的溯源攻击路径方法中索引集示意图;
图4是下载式攻击过程示意图;
图5是TLS协议握手过程示意图;
图6是本发明所设计网络靶场中基于流量的溯源攻击路径方法的系统示意图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
本发明设计了一种网络靶场中基于流量的溯源攻击路径方法,用于对网络靶场中恶意流量的攻击路径实现刻画,实际应用当中,如图1所示,实时执行如下步骤A至步骤I。
步骤A. 针对网络靶场中的全部数据流量进行监听采集,获得各条数据流量,构成流量集群,并标记各条数据流量的状态为未处理,然后进入步骤B。
步骤B. 针对流量集群中的全部数据流量进行恶意流量检测,获得其中的各条恶意流量,然后进入步骤C。
步骤C. 由状态为未处理的各条恶意流量中,随机选取一条恶意流量,作为当前恶意流量,并创建当前恶意流量所对应的攻击者指纹库、恶意攻击流量库,将当前恶意流量加入该恶意攻击流量库中,然后进入步骤D。
接下来按图2所示,即执行如下关于攻击者指纹的提取。
步骤D. 根据当前恶意流量的协议类型,提取当前恶意流量中的各个恶意流量特征,作为当前恶意流量所对应的各个攻击者指纹,并加入当前恶意流量所对应的攻击者指纹库中,然后进入步骤E。
步骤E. 根据当前恶意流量所对应攻击者指纹库中的各个攻击者指纹,判断流量集群中是否存在符合至少一个该攻击者指纹、且状态为未处理的各条数据流量,是则定义该各条数据流量为当前恶意流量所对应的各条从数据流量,并进入步骤F;否则标记当前恶意流量的状态为已处理,并进入步骤H。
步骤F. 按步骤D的方法,分别提取当前恶意流量所对应各条从数据流量中的各个流量特征,作为各个攻击者指纹,并加入当前恶意流量所对应的攻击者指纹库中,然后进入步骤G。
步骤G. 标记当前恶意流量所对应各条从数据流量的状态为已处理,并复制至当前恶意流量所对应的恶意攻击流量库中,然后返回步骤E。
步骤H. 根据当前恶意流量所对应攻击者指纹库中的各个攻击者指纹,以及当前恶意流量所对应恶意攻击流量库中的各条数据流量,刻画并获得当前恶意流量所对应的攻击路径,然后进入步骤I。
步骤I. 判断是否存在状态为未处理的各条恶意流量,是则返回步骤C,否则结束方法。
上述为本发明所设计网络靶场中基于流量的溯源攻击路径方法的基础方案,即直接基于监听采集所获各条数据流量构成的流量集群,实现溯源攻击路径的刻画,实际应用当中,如图3所示,还可以针对流量集群,进一步引入流量集群所对应的索引集,以索引集为处理对象,针对上述实时执行的步骤A至步骤I进行进一步优选设计,即按如下执行。
所述步骤A. 针对网络靶场中的全部数据流量进行监听采集,获得各条数据流量,构成流量集群,并构建流量集群所对应的索引集,标记各条数据流量索引的状态为未处理,然后进入步骤B。
所述步骤B. 针对索引集中的全部数据流量索引进行恶意流量索引检测,获得其中的各条恶意流量索引,然后进入步骤C。
所述步骤C. 由状态为未处理的各条恶意流量索引中,随机选取一条恶意流量索引,作为当前恶意流量索引,并创建当前恶意流量索引所对应的攻击者指纹库、恶意攻击流量库,将当前恶意流量索引所对应流量集群中的数据流量加入该恶意攻击流量库中,然后进入步骤D。
接下来按图2所示,即执行如下关于攻击者指纹的提取。
所述步骤D. 根据当前恶意流量索引的协议类型,提取当前恶意流量索引中的各个恶意流量特征,作为当前恶意流量索引所对应的各个攻击者指纹,并加入当前恶意流量索引所对应的攻击者指纹库中,然后进入步骤E。
所述步骤E. 根据当前恶意流量索引所对应攻击者指纹库中的各个攻击者指纹,判断索引集中是否存在符合至少一个该攻击者指纹、且状态为未处理的各条数据流量索引,是则定义该各条数据流量索引为当前恶意流量索引所对应的各条从数据流量索引,并进入步骤F;否则标记当前恶意流量索引的状态为已处理,并进入步骤H。
所述步骤F. 按步骤D的方法,分别提取当前恶意流量索引所对应各条从数据流量索引中的各个流量特征,作为各个攻击者指纹,并加入当前恶意流量索引所对应的攻击者指纹库中,然后进入步骤G。
所述步骤G. 标记当前恶意流量索引所对应各条从数据流量索引的状态为已处理,并复制该各条从数据流量索引分别对应流量集群中的各条数据流量、至当前恶意流量索引所对应的恶意攻击流量库中,然后返回步骤E。
所述步骤H. 根据当前恶意流量索引所对应攻击者指纹库中的各个攻击者指纹,以及当前恶意流量索引所对应恶意攻击流量库中的各条数据流量,刻画并获得当前恶意流量索引所对应的攻击路径,然后进入步骤I。
所述步骤I. 判断是否存在状态为未处理的各条恶意流量索引,是则返回步骤C,否则结束方法。
以上即为本发明设计网络靶场中基于流量的溯源攻击路径方法的基础方案,基于流量集群的实现方案、以及基于流量集群所对应索引集的实现方式,在实际应用当中,恶意流量特征分为 3 类,即内容特征、数据流统计特征和网络连接行为特征。
内容特征包括恶意流量协议段中特有的值以及负载中含有的特殊字符序列。数据流统计特征和网络连接行为特征都是通过对采集的数据进行统计分析得到的,可统称为统计特征。数据流统计特征可以从网络层、传输层和应用层提取,其提取过程一般是先计算流量统计值,再从这些统计值中提取恶意流量特征。一些恶意软件也会存在特有的网络连接行为特征。例如,受蠕虫感染的主机会随机扫描互联网 IP 地址,并产生大量的失败连接。
相比于统计特征,内容特征是最常用且最可靠的。一般而言,对于非加密的恶意流量,安全分析人员首要考虑生成内容特征,而对于加密恶意流量或不含应用负载信息的恶意流量,则考虑生成数据流统计特征和网络连接行为特征。
内容特征的信息提取的方式分为三类:信息窃取流量的内容特征提取方法,下载式攻击流量的内容特征提取方法,蠕虫、APT(Advanced Persistent Threat)、Botnet 等C&C 流量的内容特征自动提取方法。
(1)信息窃取流量的内容特征提取
对于信息窃取流量的内容特征提取,需要重点关注服务器 IP 地址列表和 HTTP、DNS等常见协议的解析。Gator、Cydoor、SaveNow 和 eZula 是 Windows 平台上典型的间谍软件,用于监控并窃取用户的 Web 活动信息,它们的特征隐藏于 HTTP 协议流量中。如下表1 列出了这 4 种恶意流量的特征及其在 HTTP 头中的位置。
表1
| 恶意程序名 | 恶意流量特征 | HTTP头中位置 |
| Gator | Gator/x.xx,其中x.xx为版本号 | User-Agent字段 |
| Cydoor | 前缀为“/bns”或者“/scripts”的URL,包含字符串“Javasite”的URL | URL字段 |
| SaveNow | 前缀“/offer”、“/heartbeat”或“/about”的URL | URL字段 |
| eZula | “eZula”,“mez”或“Wise” | User-Agent字段 |
(2)下载式攻击流量的内容特征提取,下载式攻击过程可分为 4 步,如图4所示。① 攻击者将恶意代码嵌入服务器的 Web页面中;② 等待受害客户端访问该恶意 Web 页面,将Web 页面下载到受害者的 Web 浏览器中;③对浏览器或插件的漏洞进行利用;④ 执行恶意活动。步骤 ① 中,可提取的特征包括服务器的主机名、URL 路径、DNS 属性和 IP 地址;步骤 ② 中,既可以从Web 客户端和服务器的连接交互中提取链接重定向特征,也可以从传输的 HTML 文档内容中提取特征 ;步骤 ③ 和步骤 ④ 中,主要监控受害主机自身行为,如进程活动、网络连接等,提取特征。
(3)内容特征的自动提取方式,目前已经有大量关于恶意流量内容特征自动提取的研究成果,主要从蠕虫的主动感染传播流量以及 APT、BotNet 的远程控制流量中自动提取特征。多态蠕虫进行漏洞利用时负载中会包含不变的字节,如跳转到注入代码的地址,以此为基础提出了多态蠕虫流量特征的自动提取方法 Polygraph。Polygraph 从蠕虫流量负载中提取多个不相交的不变字符串作为多态蠕虫特征。Hamsa 方法是 Polygraph 的改进版,能够进一步提高特征提取速度。
基于 LDA(Latent Dirichlet Allocation)的攻击特征自动提取方法可以降低误报。该方法首先对网络流进行聚类生成若干个簇,然后在每个簇中选择与某一主题相关的单词集合作为特征。在 Contagio 数据集上进行验证的结果表明,该方法提取特征的误报率在 0-0.0088 之间。
APT、Botnet 恶意软件在远程控制受感染主机的过程中会使用固定的协议格式,它们的内容特征大多存在于 C&C 流量中。DNS 流量分析技术可用于定位攻击者的 C&C 服务器,APT 攻击的 DNS 流量具备以下特征 :① 动态域名中常有 Windows、Yahoo 和taobao 等知名域名,且使用如 web、mail、news 和 update 等看似正常的特定域名进行伪装 ;② 使用与合法域名极其相似的钓鱼域名;③常改变域名映射,使域名指向回环 IP 地址、私有 IP 地址或广播 IP 地址;④C&C 服务器包含多个国家的 IP 地址。
关于统计特征提取,其中鉴于信令数据包大小、密钥长度、通信双方维持协议状态机的时间等统计值会在一定范围内变化,且这种变化有规律可循,因此从中提取的统计特征可用于检测恶意流量。
受害主机和 C&C 服务器之间存在心跳流量,这种周期性的通信流量可以保持连接、协同攻击和下载更新等,这种 C&C 心跳流量存在一些固定的行为模式。85% 的受感染主机的每个心跳 TCP 流的数据包数目都小于 15。
基于 TLS 的加密恶意流量统计特征提取已经成为研究热点,如图5所示,TLS 协议在初始握手阶段是不加密的,恶意的 TLS 握手流量特征提取实例特征如下表2所示。而且,也可以从与恶意 TLS 流量相关的上下文流量中提取特征。
表2
关于网络连接行为特征提取,网络连接图是描述恶意软件网络行为特征的一种方法。在网络连接图中,图节点是主机名或 IP 地址等,图的边可以是 URL 路径或 DNS 协议解析路径等,并与某一事件(如 JavaScript 对象下载事件)相关的多个网络连接图进行合并形成网络连接行为特征。通过在一个预先设定的时间窗口内提取重连接数目、源于某一 IP地址的连接数目等特征,其中,时间窗口的大小需要在检测的准确率和速度之间做出折中。此外,一些恶意软件下载网站具有生存期长且频繁再生的特征。
通过从内容特征、统计特征和网络连接行为三方面提取恶意攻击流量的指纹,可以比较全面的刻画攻击者,为复刻攻击行为路径提供支撑。
所述步骤A中,应用PacketBeat方式或探针方式针对网络靶场中的全部数据流量进行监听采集,获得各条数据流量,并构成Elasticsearch流量集群。所述步骤B中,应用恶意流量检测引擎 maltrail,实现恶意流量或恶意流量索引的检测。
目前PacketBeat 内置的协议包括:
(1)ICMP (v4 and v6)
(2)DNS
(3)HTTP
(4)AMQP 0.9.1
(5)Cassandra
(6)Mysql
(7)PostgreSQL
(8)Redis
(9)Thrift-RPC
(10)MongoDB
(11)Memcache
(12)TLS
PacketBeat支持自定义二次开发使其支持其他网络协议。通过数据采集模块,可以采集到多协议的流量数据,存入Elasticsearch构建索引,实现快速反查统计分析。
此外,本发明针对上述步骤进一步设计,步骤D中的各个恶意流量特征具体设计包括内容特征、数据流统计特征、网络连接行为特征;其中,内容特征包括信息窃取流量的内容特征、下载式攻击流量的内容特征、C&C流量的内容特征;实际应用中,根据当前恶意流量索引的协议类型,应用WireShark、Tcptrace、QPA、Tstat中的任意一种工具,实现当前恶意流量索引中各个恶意流量特征的提取。
在网络杀伤链中,攻击者的行为有明显的时序特征。攻击者的攻击方式可能通过多种协议完成,因此每个协议可能分属不同的攻击模型阶段。按照时序图进行分析,将攻击行为按照网络杀伤链模型划分为:侦查追踪、武器构建、载荷投递、漏洞利用、安装植入、持续控制和目标达成七个阶段,通过完整的复现网络杀伤链,可以多方位的评估网络攻击行为。系统首先通过模型对上一步反向溯源检测出来的恶意流量进行时序排列,然后寻找特定的攻击节点,比如载荷投递过程中,攻击者可能会通过特定的漏洞上传木马文件以感染宿主机器,该节点便是载荷投递的时间节点。
对于其中的步骤H,具体设计根据网络杀伤链模型,结合树型网络,通过有相无环图刻画并获得攻击路径,实际当中,具体按如下步骤H1至步骤H2执行。
步骤H1. 针对恶意攻击流量库中的各条数据流量,按时序进行排列,获得流量时序排列,并查找获得其中各个攻击节点,然后进入步骤H2。
步骤H2. 根据网络杀伤链模型,区分流量时序排列中的各个攻击阶段,并构建所对应的有相无环图,构成攻击路径。
针对上述所设计网络靶场中基于流量的溯源攻击路径方法,本发明进一步设计了实现此方法的系统,如图6所示,具体包括数据采集模块、攻击指纹提取模块、反向溯源模块、攻击路径刻画模块、展示模块、以及攻击者指纹库、恶意攻击流量库。
其中,数据采集模块包括流量监听工具、流量集群构建工具、以及端口模块,流量监听工具用于实现步骤A中的监听采集操作,流量集群构建工具用于实现步骤A中流量集群的构建,端口模块用于为步骤A中的索引集提供数据访问接口。
攻击指纹提取模块用于实现步骤D与步骤F中的恶意流量特征提取操作。
反向溯源模块用于实现步骤E与步骤G的操作。
攻击路径刻画模块用于实现步骤H的操作。
展示模块用于结合网络靶场的拓扑图,针对步骤H所获得的攻击路径进行展示。
攻击者指纹库用于存储攻击者指纹,恶意攻击流量库用于存储符合攻击者指纹的各条数据流量。
对于反向溯源模块来说,实际应用当中,可以设计算法如下:
通过接入Elasticsearch 集群接入全流量,对于每一批次流量提取特征,包括内容特征、统计特征和网络连接行为,依次判断其特征是否符合指纹库中的攻击者特征,如果符合则添加到队列中返回。
上述技术方案所设计网络靶场中基于流量的溯源攻击路径方法,在实际的网络靶场环境下,基于定向网络的网络攻击追踪溯源技术进行设计,基于网络靶场中准确有效的流量监测,从反向溯源角度,实现溯源攻击路径的刻画,能够辅助安全分析人员更好的拆解网络攻击行为,其中,反向溯源方式,通过攻击者行为特征的提取生成攻击者指纹,并定向的在历史日志中溯源攻击者的流量,更有针对性和目标性,可以更全面的复刻攻击路径,针对攻击路径的刻画,引入网络杀伤链模型,通过查找攻击时间节点将不同协议和时间节点的网络流量进行合理划分,更有利于安全分析人员分析攻击发生的过程,此外,从内容特征、统计特征和网络连接行为多维度提取攻击者行为,并通过自学习的方式不断进行完善攻击者指纹,能够有效保证攻击路径的刻画的准确性。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。
Claims (10)
1.一种网络靶场中基于流量的溯源攻击路径方法,用于对网络靶场中恶意流量的攻击路径实现刻画,其特征在于,包括实时执行如下步骤:
步骤A. 针对网络靶场中的全部数据流量进行监听采集,获得各条数据流量,构成流量集群,并标记各条数据流量的状态为未处理,然后进入步骤B;
步骤B. 针对流量集群中的全部数据流量进行恶意流量检测,获得其中的各条恶意流量,然后进入步骤C;
步骤C. 由状态为未处理的各条恶意流量中,随机选取一条恶意流量,作为当前恶意流量,并创建当前恶意流量所对应的攻击者指纹库、恶意攻击流量库,将当前恶意流量加入该恶意攻击流量库中,然后进入步骤D;
步骤D. 根据当前恶意流量的协议类型,提取当前恶意流量中的各个恶意流量特征,作为当前恶意流量所对应的各个攻击者指纹,并加入当前恶意流量所对应的攻击者指纹库中,然后进入步骤E;
步骤E. 根据当前恶意流量所对应攻击者指纹库中的各个攻击者指纹,判断流量集群中是否存在符合至少一个该攻击者指纹、且状态为未处理的各条数据流量,是则定义该各条数据流量为当前恶意流量所对应的各条从数据流量,并进入步骤F;否则标记当前恶意流量的状态为已处理,并进入步骤H;
步骤F. 按步骤D的方法,分别提取当前恶意流量所对应各条从数据流量中的各个流量特征,作为各个攻击者指纹,并加入当前恶意流量所对应的攻击者指纹库中,然后进入步骤G;
步骤G. 标记当前恶意流量所对应各条从数据流量的状态为已处理,并复制至当前恶意流量所对应的恶意攻击流量库中,然后返回步骤E;
步骤H. 根据当前恶意流量所对应攻击者指纹库中的各个攻击者指纹,以及当前恶意流量所对应恶意攻击流量库中的各条数据流量,刻画并获得当前恶意流量所对应的攻击路径,然后进入步骤I;
步骤I. 判断是否存在状态为未处理的各条恶意流量,是则返回步骤C,否则结束方法。
2.根据权利要求1所述一种网络靶场中基于流量的溯源攻击路径方法,其特征在于:所述步骤A. 针对网络靶场中的全部数据流量进行监听采集,获得各条数据流量,构成流量集群,并构建流量集群所对应的索引集,标记各条数据流量索引的状态为未处理,然后进入步骤B;
所述步骤B. 针对索引集中的全部数据流量索引进行恶意流量索引检测,获得其中的各条恶意流量索引,然后进入步骤C;
所述步骤C. 由状态为未处理的各条恶意流量索引中,随机选取一条恶意流量索引,作为当前恶意流量索引,并创建当前恶意流量索引所对应的攻击者指纹库、恶意攻击流量库,将当前恶意流量索引所对应流量集群中的数据流量加入该恶意攻击流量库中,然后进入步骤D;
所述步骤D. 根据当前恶意流量索引的协议类型,提取当前恶意流量索引中的各个恶意流量特征,作为当前恶意流量索引所对应的各个攻击者指纹,并加入当前恶意流量索引所对应的攻击者指纹库中,然后进入步骤E;
所述步骤E. 根据当前恶意流量索引所对应攻击者指纹库中的各个攻击者指纹,判断索引集中是否存在符合至少一个该攻击者指纹、且状态为未处理的各条数据流量索引,是则定义该各条数据流量索引为当前恶意流量索引所对应的各条从数据流量索引,并进入步骤F;否则标记当前恶意流量索引的状态为已处理,并进入步骤H;
所述步骤F. 按步骤D的方法,分别提取当前恶意流量索引所对应各条从数据流量索引中的各个流量特征,作为各个攻击者指纹,并加入当前恶意流量索引所对应的攻击者指纹库中,然后进入步骤G;
所述步骤G. 标记当前恶意流量索引所对应各条从数据流量索引的状态为已处理,并复制该各条从数据流量索引分别对应流量集群中的各条数据流量、至当前恶意流量索引所对应的恶意攻击流量库中,然后返回步骤E;
所述步骤H. 根据当前恶意流量索引所对应攻击者指纹库中的各个攻击者指纹,以及当前恶意流量索引所对应恶意攻击流量库中的各条数据流量,刻画并获得当前恶意流量索引所对应的攻击路径,然后进入步骤I;
所述步骤I. 判断是否存在状态为未处理的各条恶意流量索引,是则返回步骤C,否则结束方法。
3.根据权利要求1或2所述一种网络靶场中基于流量的溯源攻击路径方法,其特征在于:所述步骤H中,根据网络杀伤链模型,结合树型网络,通过有相无环图刻画并获得攻击路径。
4.根据权利要求3所述一种网络靶场中基于流量的溯源攻击路径方法,其特征在于:所述步骤H中,按如下步骤,刻画获得攻击路径;
步骤H1. 针对恶意攻击流量库中的各条数据流量,按时序进行排列,获得流量时序排列,并查找获得其中各个攻击节点,然后进入步骤H2;
步骤H2. 根据网络杀伤链模型,区分流量时序排列中的各个攻击阶段,并构建所对应的有相无环图,构成攻击路径。
5.根据权利要求1或2所述一种网络靶场中基于流量的溯源攻击路径方法,其特征在于:所述步骤D中的各个恶意流量特征包括内容特征、数据流统计特征、网络连接行为特征;其中,内容特征包括信息窃取流量的内容特征、下载式攻击流量的内容特征、C&C流量的内容特征。
6.根据权利要求5所述一种网络靶场中基于流量的溯源攻击路径方法,其特征在于:所述步骤D中,应用WireShark、Tcptrace、QPA、Tstat中的任意一种工具,实现恶意流量特征的提取。
7.根据权利要求1或2所述一种网络靶场中基于流量的溯源攻击路径方法,其特征在于:所述步骤A中,应用PacketBeat方式或探针方式针对网络靶场中的全部数据流量进行监听采集,获得各条数据流量,并构成Elasticsearch流量集群。
8.根据权利要求2所述一种网络靶场中基于流量的溯源攻击路径方法,其特征在于:所述步骤B中,应用恶意流量检测引擎 maltrail,实现恶意流量或恶意流量索引的检测。
9.一种针对权利要求2至8中任意一项所述一种网络靶场中基于流量的溯源攻击路径方法的系统,其特征在于:包括数据采集模块、攻击指纹提取模块、反向溯源模块、攻击路径刻画模块、以及攻击者指纹库、恶意攻击流量库;
其中,数据采集模块包括流量监听工具、流量集群构建工具、以及端口模块,流量监听工具用于实现步骤A中的监听采集操作,流量集群构建工具用于实现步骤A中流量集群的构建,端口模块用于为步骤A中的索引集提供数据访问接口;
攻击指纹提取模块用于实现步骤D与步骤F中的恶意流量特征提取操作;
反向溯源模块用于实现步骤E与步骤G的操作;
攻击路径刻画模块用于实现步骤H的操作;
攻击者指纹库用于存储攻击者指纹,恶意攻击流量库用于存储符合攻击者指纹的各条数据流量。
10.根据权利要求9所述一种针对网络靶场中基于流量的溯源攻击路径方法的系统,其特征在于:还包括展示模块,用于结合网络靶场的拓扑图,针对步骤H所获得的攻击路径进行展示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010938005.4A CN111818103B (zh) | 2020-09-09 | 2020-09-09 | 一种网络靶场中基于流量的溯源攻击路径方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010938005.4A CN111818103B (zh) | 2020-09-09 | 2020-09-09 | 一种网络靶场中基于流量的溯源攻击路径方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111818103A true CN111818103A (zh) | 2020-10-23 |
| CN111818103B CN111818103B (zh) | 2020-12-15 |
Family
ID=72860193
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010938005.4A Active CN111818103B (zh) | 2020-09-09 | 2020-09-09 | 一种网络靶场中基于流量的溯源攻击路径方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111818103B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112751704A (zh) * | 2020-12-17 | 2021-05-04 | 杭州安恒信息技术股份有限公司 | 网络靶场中异构网络连通性检查方法、装置及设备 |
| CN112887329A (zh) * | 2021-02-24 | 2021-06-01 | 北京邮电大学 | 隐藏服务溯源方法、装置及电子设备 |
| CN113259316A (zh) * | 2021-04-02 | 2021-08-13 | 国家电网有限公司 | 电力系统内部的攻击路径可视化方法、系统和电子设备 |
| CN113676484A (zh) * | 2021-08-27 | 2021-11-19 | 绿盟科技集团股份有限公司 | 一种攻击溯源方法、装置和电子设备 |
| CN113761522A (zh) * | 2021-09-02 | 2021-12-07 | 恒安嘉新(北京)科技股份公司 | 一种webshell流量的检测方法、装置、设备和存储介质 |
| CN114006717A (zh) * | 2021-01-04 | 2022-02-01 | 北京八分量信息科技有限公司 | 一种区块链节点存储云系统 |
| CN114048487A (zh) * | 2021-11-29 | 2022-02-15 | 北京永信至诚科技股份有限公司 | 网络靶场的攻击过程评估方法、装置、存储介质及设备 |
| CN114978666A (zh) * | 2022-05-18 | 2022-08-30 | 杭州安恒信息技术股份有限公司 | 一种网络攻击流程还原方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | 中国移动通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和系统 |
| US20170222979A1 (en) * | 2016-01-29 | 2017-08-03 | Zenedge, Inc. | Qualifying Client Behavior to Mitigate Attacks on a Host |
| CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
| CN110149350A (zh) * | 2019-06-24 | 2019-08-20 | 国网安徽省电力有限公司信息通信分公司 | 一种告警日志关联的网络攻击事件分析方法及装置 |
| CN110691080A (zh) * | 2019-09-25 | 2020-01-14 | 光通天下网络科技股份有限公司 | 自动溯源方法、装置、设备及介质 |
| CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
-
2020
- 2020-09-09 CN CN202010938005.4A patent/CN111818103B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | 中国移动通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和系统 |
| US20170222979A1 (en) * | 2016-01-29 | 2017-08-03 | Zenedge, Inc. | Qualifying Client Behavior to Mitigate Attacks on a Host |
| CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
| CN110149350A (zh) * | 2019-06-24 | 2019-08-20 | 国网安徽省电力有限公司信息通信分公司 | 一种告警日志关联的网络攻击事件分析方法及装置 |
| CN110691080A (zh) * | 2019-09-25 | 2020-01-14 | 光通天下网络科技股份有限公司 | 自动溯源方法、装置、设备及介质 |
| CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112751704A (zh) * | 2020-12-17 | 2021-05-04 | 杭州安恒信息技术股份有限公司 | 网络靶场中异构网络连通性检查方法、装置及设备 |
| CN112751704B (zh) * | 2020-12-17 | 2022-07-05 | 杭州安恒信息技术股份有限公司 | 网络靶场中异构网络连通性检查方法、装置及设备 |
| CN114006717A (zh) * | 2021-01-04 | 2022-02-01 | 北京八分量信息科技有限公司 | 一种区块链节点存储云系统 |
| CN112887329A (zh) * | 2021-02-24 | 2021-06-01 | 北京邮电大学 | 隐藏服务溯源方法、装置及电子设备 |
| CN113259316A (zh) * | 2021-04-02 | 2021-08-13 | 国家电网有限公司 | 电力系统内部的攻击路径可视化方法、系统和电子设备 |
| CN113676484A (zh) * | 2021-08-27 | 2021-11-19 | 绿盟科技集团股份有限公司 | 一种攻击溯源方法、装置和电子设备 |
| CN113676484B (zh) * | 2021-08-27 | 2023-04-18 | 绿盟科技集团股份有限公司 | 一种攻击溯源方法、装置和电子设备 |
| CN113761522A (zh) * | 2021-09-02 | 2021-12-07 | 恒安嘉新(北京)科技股份公司 | 一种webshell流量的检测方法、装置、设备和存储介质 |
| CN114048487A (zh) * | 2021-11-29 | 2022-02-15 | 北京永信至诚科技股份有限公司 | 网络靶场的攻击过程评估方法、装置、存储介质及设备 |
| CN114048487B (zh) * | 2021-11-29 | 2022-06-17 | 北京永信至诚科技股份有限公司 | 网络靶场的攻击过程评估方法、装置、存储介质及设备 |
| CN114978666A (zh) * | 2022-05-18 | 2022-08-30 | 杭州安恒信息技术股份有限公司 | 一种网络攻击流程还原方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111818103B (zh) | 2020-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| Sharafaldin et al. | Towards a reliable intrusion detection benchmark dataset | |
| Wang et al. | Delving into internet DDoS attacks by botnets: characterization and analysis | |
| CN113783896B (zh) | 一种网络攻击路径追踪方法和装置 | |
| CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
| US8516585B2 (en) | System and method for detection of domain-flux botnets and the like | |
| Xie et al. | A large-scale hidden semi-Markov model for anomaly detection on user browsing behaviors | |
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| RU2495486C1 (ru) | Способ анализа и выявления вредоносных промежуточных узлов в сети | |
| US7313695B2 (en) | Systems and methods for dynamic threat assessment | |
| Najafabadi et al. | User behavior anomaly detection for application layer ddos attacks | |
| US20140047543A1 (en) | Apparatus and method for detecting http botnet based on densities of web transactions | |
| Zarras et al. | Automated generation of models for fast and precise detection of HTTP-based malware | |
| Taylor et al. | Detecting malicious exploit kits using tree-based similarity searches | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| Grill et al. | Malware detection using http user-agent discrepancy identification | |
| CN103701816B (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
| KR101005866B1 (ko) | 룰기반 웹아이디에스 시스템용 웹로그 전처리방법 및 시스템 | |
| Apruzzese et al. | SpacePhish: the evasion-space of adversarial attacks against phishing website detectors using machine learning | |
| Jia et al. | Micro-honeypot: using browser fingerprinting to track attackers | |
| Boulaiche et al. | An auto-learning approach for network intrusion detection | |
| CN101588276A (zh) | 一种检测僵尸网络的方法及其装置 | |
| CN108737332A (zh) | 一种基于机器学习的中间人攻击预测方法 | |
| CN112583827B (zh) | 一种数据泄露检测方法及装置 | |
| Qureshi et al. | Analysis of Challenges in Modern Network Forensic Framework |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20201023 Assignee: Beijing Mingbo Xin'an Information Technology Co.,Ltd. Assignor: XINLIAN TECHNOLOGY (NANJING) Co.,Ltd. Contract record no.: X2023980051461 Denomination of invention: A Traffic Based Traceability Attack Path Method in Network Shooting Range Granted publication date: 20201215 License type: Common License Record date: 20231212 |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20240516 Address after: Room D04, Building 2, No. 28 Zhenxing Road, Science and Technology Park, Changping District, Beijing, 102299 Patentee after: Beijing Mingbo Xin'an Information Technology Co.,Ltd. Country or region after: China Address before: No.1, Dongji Avenue, Jiangning Economic and Technological Development Zone, Nanjing, Jiangsu Province, 210000 Patentee before: XINLIAN TECHNOLOGY (NANJING) Co.,Ltd. Country or region before: China |