CN112165451B - Apt攻击分析方法、系统及服务器 - Google Patents
Apt攻击分析方法、系统及服务器 Download PDFInfo
- Publication number
- CN112165451B CN112165451B CN202010897647.4A CN202010897647A CN112165451B CN 112165451 B CN112165451 B CN 112165451B CN 202010897647 A CN202010897647 A CN 202010897647A CN 112165451 B CN112165451 B CN 112165451B
- Authority
- CN
- China
- Prior art keywords
- log
- domain name
- address
- apt attack
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 223
- 238000003860 storage Methods 0.000 claims abstract description 106
- 238000000034 method Methods 0.000 claims abstract description 70
- 238000013075 data extraction Methods 0.000 claims abstract description 24
- 238000009826 distribution Methods 0.000 claims description 27
- 238000004590 computer program Methods 0.000 claims description 21
- 238000000605 extraction Methods 0.000 claims description 6
- 230000004931 aggregating effect Effects 0.000 claims description 4
- 238000012098 association analyses Methods 0.000 abstract description 12
- 230000008569 process Effects 0.000 description 30
- 238000010586 diagram Methods 0.000 description 15
- 239000000284 extract Substances 0.000 description 12
- 238000012545 processing Methods 0.000 description 11
- 230000003993 interaction Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 238000013480 data collection Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000002085 persistent effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001052 transient effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种APT攻击分析方法、系统及服务器,用以解决现有技术中难以对域名解析日志与APT攻击事件进行关联分析的问题。所述方法包括:根据预设数据抽取条件,从日志采集存储服务器中抽取待分析的日志数据;对待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由第一目标域名解析出的第一目标IP地址;根据第一目标域名和第一目标IP地址,创建拦截名单并发送至域名解析服务器,以使域名解析服务器根据拦截名单,确定是否响应客户端发起的域名解析请求。该技术方案实现了域名解析日志与APT攻击事件之间的关联分析,使得用于数据备份的日志数据起到了发现APT攻击的作用。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种APT攻击分析方法、系统及服务器。
背景技术
现有技术中,域名解析日志一般仅用于对DNS(DomainName System,域名系统)服务器解析的域名数据进行备份保存,并没有相应的机制对域名解析日志中的各日志数据与APT(AdvancedPersistentThreat,高级持续性威胁)事件的关联进行分析。
因此,在DNS服务器对用户的域名解析请求处理过程中,无法实现对用户请求解析的域名,以及该域名对应的IP(InternetProtocol,互联网协议)地址进行APT检查判断,无法得知用户访问的域名、IP是否安全,不能在用户第一时间访问危险站点时就发现威胁,导致用户对危险域名和IP进行访问,从而对用户设备造成安全威胁。
发明内容
本申请实施例的目的是提供一种APT攻击分析方法、系统及服务器,用以解决现有技术中难以对域名解析日志与APT攻击事件进行关联分析的问题。
为解决上述技术问题,本申请实施例是这样实现的:
一方面,本申请实施例提供一种APT攻击分析方法,应用于APT攻击分析服务器,包括:
根据预设数据抽取条件,从日志采集存储服务器中抽取待分析的日志数据;所述待分析的日志数据至少包括域名解析日志和APT攻击事件日志;
对所述待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由所述第一目标域名解析出的第一目标互联网协议IP地址;
根据所述第一目标域名和所述第一目标IP地址,创建拦截名单并发送至域名解析服务器,以使所述域名解析服务器根据所述拦截名单,确定是否响应客户端发起的域名解析请求。
另一方面,本申请实施例提供一种数据采集方法,应用于日志采集存储服务器,包括:
接收各服务器发送的原始日志数据,所述原始日志数据包括域名解析服务器发送的域名解析日志、APT攻击事件服务器发送的APT攻击事件日志、以及客户端IP地址分配服务器发送的客户端IP地址分配日志;
解析所述原始日志数据,抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据;
将所述待分析的日志数据写入指定数据库。
再一方面,本申请实施例提供一种APT攻击分析系统,包括域名解析服务器、日志采集存储服务器和APT攻击分析服务器;其中,
所述日志采集存储服务器,用于响应预设数据抽取条件,向所述APT攻击分析服务器提供待分析的日志数据;
所述APT攻击分析服务器,用于根据预设数据抽取条件,从日志采集存储服务器中抽取待分析的日志数据;所述待分析的日志数据至少包括域名解析日志和APT攻击事件日志;对所述待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由所述第一目标域名解析出的第一目标互联网协议IP地址;根据所述第一目标域名和所述第一目标IP地址,创建拦截名单并发送至域名解析服务器;
所述域名解析服务器,用于接收所述APT攻击分析服务器发送的所述拦截名单,并根据所述拦截名单,确定是否响应客户端发起的域名解析请求。
再一方面,本申请实施例提供一种APT攻击分析服务器,包括:
抽取模块,用于根据预设数据抽取条件,从日志采集存储服务器中抽取待分析的日志数据;所述待分析的日志数据至少包括域名解析日志和APT攻击事件日志;
第一确定模块,用于对所述待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由所述第一目标域名解析出的第一目标IP地址;
创建模块,用于根据所述第一目标域名和所述第一目标IP地址,创建拦截名单并发送至域名解析服务器,以使所述域名解析服务器根据所述拦截名单,确定是否响应客户端发起的域名解析请求。
再一方面,本申请实施例提供一种日志采集存储服务器,包括:
接收模块,用于接收各服务器发送的原始日志数据,所述原始日志数据包括域名解析服务器发送的域名解析日志、APT攻击事件服务器发送的APT攻击事件日志、以及客户端IP地址分配服务器发送的客户端IP地址分配日志;
解析及抽取模块,用于解析所述原始日志数据,抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据;
第四执行模块,用于将所述待分析的日志数据写入指定数据库。
再一方面,本申请实施例提供一种APT攻击分析设备,包括处理器和与所述处理器电连接的存储器,所述存储器存储有计算机程序,所述处理器用于从所述存储器调用并执行所述计算机程序以实现上述的APT攻击分析方法。
再一方面,本申请实施例提供一种数据采集设备,包括处理器和与所述处理器电连接的存储器,所述存储器存储有计算机程序,所述处理器用于从所述存储器调用并执行所述计算机程序以实现上述的数据采集方法。
再一方面,本申请实施例提供一种存储介质,用于存储计算机程序,所述计算机程序能够被处理器执行以实现上述的APT攻击分析方法。
再一方面,本申请实施例提供一种存储介质,用于存储计算机程序,所述计算机程序能够被处理器执行以实现上述的数据采集方法。
采用本申请实施例的技术方案,APT攻击分析服务器通过根据预设数据抽取条件,从日志采集存储服务器中抽取包括域名解析日志和APT攻击事件日志等待分析的日志数据,并对待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由第一目标域名解析出的第一目标IP地址,并创建拦截名单以及将拦截名单发送至域名解析服务器。可见,该技术方案通过APT分析服务器和日志采集存储服务器之间的交互,即可从日志采集存储服务器中抽取待分析的日志数据,无需从产生各日志的服务器中分别抽取待分析的日志数据,避免了多方交互易导致数据丢失的问题,使得对日志数据的分析更加简单、高效。并且,通过对待分析的日志数据中的各项日志进行关键字段匹配,以确定域名解析日志中产生APT攻击事件的日志数据,并根据产生APT攻击事件的日志数据生成拦截名单,实现了域名解析日志与APT攻击事件之间的关联分析,使得用于数据备份的日志数据起到了发现APT攻击的作用。
进一步地,日志采集存储服务器通过接收各服务器发送的原始日志数据,解析原始日志数据,以抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据,并将待分析的日志数据写入指定数据库。由于日志采集存储服务器中存储有域名解析服务器发送的域名解析日志、APT攻击事件服务器发送的APT攻击事件日志、以及客户端IP地址分配服务器发送的客户端IP地址分配日志,因此相较于传统的各日志以文本的形式分别存储于各服务器中的方式而言,解决了APT攻击分析过程中需要跨服务器采集数据的问题,避免了数据延迟、数据丢失等问题,提高了APT攻击分析的效率。此外,由于对各日志数据的解析过程在日志采集存储服务器中完成,因此能够避免在数据采集过程中对被采集的各服务器的性能产生影响。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是根据本申请一实施例的一种APT攻击分析系统的示意性架构图;
图2是根据本申请另一实施例的一种APT攻击分析系统的示意性架构图;
图3是根据本申请一实施例的一种APT攻击分析方法的示意性流程图;
图4是根据本申请一实施例的一种数据采集方法的示意性流程图;
图5是根据本申请另一实施例的一种APT攻击分析方法的示意性流程图;
图6是根据本申请一实施例的一种APT攻击分析服务器的结构示意图;
图7是根据本申请一实施例的一种日志采集存储服务器的结构示意图;
图8是根据本申请一实施例的一种APT攻击分析设备的硬件结构示意图;
图9是根据本申请一实施例的一种数据采集设备的硬件结构示意图。
具体实施方式
本申请实施例提供一种APT攻击分析方法、系统及服务器,用以解决现有技术中难以对域名解析日志与APT攻击事件进行关联分析的问题。
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
图1是根据本申请一实施例的一种APT攻击分析系统的示意性架构图,该系统包括域名解析服务器集、日志采集存储服务器120、APT攻击分析服务器130。其中,域名解析服务器集中包括多个域名解析服务器110,各域名解析服务器110分别与日志采集存储服务器120之间网络连接。
如图1所示,示意性的展示一个域名解析服务器110与日志采集存储服务器120之间的网络连接关系,其中,域名解析服务器110还与APT攻击分析服务器130之间网络连接,日志采集存储服务器120与APT攻击分析服务器130之间网络连接。
本实施例中,日志采集存储服务器120用于响应预设数据抽取条件,向APT攻击分析服务器130提供待分析的日志数据。
本实施例中,APT攻击分析服务器130用于根据预设数据抽取条件,从日志采集存储服务器120中抽取待分析的日志数据;待分析的日志数据至少包括域名解析日志和APT攻击事件日志;对待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由第一目标域名解析出的第一目标互联网协议IP地址;根据第一目标域名和第一目标IP地址,创建拦截名单并发送至域名解析服务器110。
本实施例中,域名解析服务器110用于接收APT攻击分析服务器130发送的拦截名单,并根据拦截名单,确定是否响应客户端发起的域名解析请求。
在一个实施例中,APT攻击分析系统还包括APT攻击事件服务器集、客户端IP地址分配服务器集、以及分析结果展示服务器160。
其中,APT攻击事件服务器集中包括多个APT攻击事件服务器140,各APT攻击事件服务器140分别与日志采集存储服务器120之间网络连接,客户端IP地址分配服务器集中包括多个客户端IP地址分配服务器150,各客户端IP地址分配服务器150分别与日志采集存储服务器120之间网络连接。
如图2所示,示意性的展示一个域名解析服务器110、一个APT攻击事件服务器140和一个客户端IP地址分配服务器150分别与日志采集存储服务器120之间的网络连接关系,其中,域名解析服务器110还与APT攻击分析服务器130之间网络连接,日志采集存储服务器120与APT攻击分析服务器130之间网络连接,APT攻击分析服务器130与分析结果展示服务器160之间网络连接。
本实施例中,域名解析服务器110用于向日志采集存储服务器120发送域名解析日志。APT攻击事件服务器140用于向日志采集存储服务器120发送APT攻击事件日志。客户端IP地址分配服务器150用于向日志采集存储服务器120发送客户端IP地址分配日志。
本实施例中,日志采集存储服务器120用于接收各服务器发送的原始日志数据,解析原始日志数据,抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据,将待分析的日志数据写入指定数据库。
本实施例中,APT攻击分析服务器130还用于将与产生APT攻击事件相关的目标日志数据进行聚合,得到分析结果,并将分析结果存入第一数据库。
本实施例中,分析结果展示服务器160用于从APT攻击分析服务器130的第一数据库中读取分析结果,并展示分析结果。
以下分别叙述APT攻击分析系统中的日志采集存储服务器120和APT攻击分析服务器130,在对域名解析日志数据与APT攻击事件的关联分析过程中具体执行的操作。
如图3所示,是根据本申请一实施例的一种APT攻击分析方法的示意性流程图,应用于如图1-2中所示的APT攻击分析服务器130,包括:
S302,根据预设数据抽取条件,从日志采集存储服务器中抽取待分析的日志数据。
预设数据抽取条件可以是:预设的数据抽取频率、日志采集存储服务器中的日志数据的存储量达到预设存储量、日志采集存储服务器中的日志数据的存储时长达到预设时长等。
其中,待分析的日志数据包括域名解析日志、APT攻击事件日志等。
其中,域名解析日志可为域名解析服务器在处理客户端的域名解析请求的过程中产生的工作日志。APT攻击事件日志可为APT攻击事件服务器监测并记录的产生APT攻击事件的相关数据的日志。
在一个实施例中,APT攻击事件服务器可为APT威胁情报系统。
S304,对待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由第一目标域名解析出的第一目标IP地址。
S306,根据第一目标域名和第一目标IP地址,创建拦截名单并发送至域名解析服务器。
本实施例中,域名解析服务器根据接收到的APT攻击事件服务器发送的拦截名单,确定是否响应客户端发起的域名解析请求,能够避免客户端访问与APT攻击事件相关的域名和IP地址,提高了访问的安全性。
此外,拦截名单还可共享给其他的APT攻击分析系统,以加强各系统之间的安全数据联系,提高相关系统的安全性。
采用本申请实施例的技术方案,APT攻击分析服务器通过根据预设数据抽取条件,从日志采集存储服务器中抽取包括域名解析日志和APT攻击事件日志等待分析的日志数据,并对待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由第一目标域名解析出的第一目标IP地址,并创建拦截名单以及将拦截名单发送至域名解析服务器。可见,该技术方案通过APT分析服务器和日志采集存储服务器之间的交互,即可从日志采集存储服务器中抽取待分析的日志数据,无需从产生各日志的服务器中分别抽取待分析的日志数据,避免了多方交互易导致数据丢失的问题,使得对日志数据的分析更加简单、高效。并且,通过对待分析的日志数据中的各项日志进行关键字段匹配,以确定域名解析日志中产生APT攻击事件的日志数据,并根据产生APT攻击事件的日志数据生成拦截名单,实现了域名解析日志与APT攻击事件之间的关联分析,使得用于数据备份的日志数据起到了发现APT攻击的作用。
在一个实施例中,域名解析日志中每条日志可包括如下与APT攻击分析相关的设定字段:访问时间、访问的第一域名、由第一域名解析出的第一IP地址、以及访问第一域名的客户端的第二IP地址。
其中,访问时间可用时间戳字段表征,访问的第一域名可用域名字段表征,由第一域名解析出的第一IP地址可用IP字段表征,访问第一域名的客户端的第二IP地址可用用户IP字段表征。域名解析日志中每条日志还可包括如下与APT攻击分析相关的设定字段:日志数据的索引名字段和域名解析日志服务器的IP字段。例如,域名解析日志中的一条日志数据可包括:索引名/域名解析日志服务器的IP/时间戳/域名/IP/用户IP。
APT攻击事件日志中每条日志可包括如下与APT攻击分析相关的设定字段:产生APT攻击事件的第二域名、由第二域名解析出的第三IP地址、以及与第二域名及第三IP地址相对应的APT攻击事件信息。
其中,产生APT攻击事件的第二域名可用域名字段表征,由第二域名解析出的第三IP地址可用IP字段表征,与第二域名及第三IP地址相对应的APT攻击事件信息可用APT攻击事件情报字段表征。APT攻击事件日志中每条日志还可包括如下与APT攻击分析相关的设定字段:日志数据的索引名字段。例如,APT攻击事件日志中的一条日志数据可包括:索引名/域名/IP/APT攻击事件情报。
在一个实施例中,待分析的日志数据还可包括客户端IP地址分配日志。客户端IP地址分配日志中每条日志可包括如下与APT攻击分析相关的设定字段:分配时间、客户端的第四IP地址、以及客户端对应的用户标识信息。
其中,分配时间可用时间戳字段表征,客户端的第四IP地址可用用户IP字段表征,客户端对应的用户标识信息可用用户名ID字段表征。客户端IP地址分配日志中每条日志还可包括如下与APT攻击分析相关的设定字段:日志数据的索引名字段。例如,客户端IP地址分配日志中的一条日志数据可包括:索引名/时间戳/用户IP/用户名ID。
其中,客户端IP地址分配日志可为客户端IP地址分配服务器在为各客户端分配IP地址的过程中产生的工作日志。
可选的,客户端IP地址分配服务器可为IMC(智能管理中心)用户IP分配系统。
在一个实施例中,可将域名解析日志与APT攻击事件日志进行第一关键字段匹配,以确定产生APT攻击事件的第一目标域名和由第一目标域名解析出的第一目标IP地址。
其中,第一关键字段包括域名字段和由域名解析出的IP地址字段,第一关键字段匹配是指将域名解析日志中的第一域名字段与APT攻击事件日志中的第二域名字段进行匹配,将域名解析日志中的第一IP地址字段与APT攻击事件日志中的第三IP地址字段进行匹配。
本实施例中,针对域名解析日志中的任一条日志,若APT攻击事件日志的某条日志的第二域名与该条日志的第一域名相同、且APT攻击事件日志的同一条日志的第三IP地址与该条日志的第一IP地址相同,则确定该条日志的第一域名为产生APT攻击事件的第一目标域名、以及确定该条日志的第一IP地址为产生APT攻击事件的第一目标IP地址。
可选的,APT攻击事件日志中可包括有效期限字段,该字段用于描述一条APT攻击事件日志数据的有效期。
在一个实施例中,在将域名解析日志与APT攻击事件日志进行第一关键字段匹配时,若APT攻击事件日志的某条日志的第二域名与域名解析日志的某条日志的第一域名相同、且APT攻击事件日志的同一条日志的第三IP地址与域名解析日志的同一条日志的第一IP地址相同,则进一步判断APT攻击事件日志的同一条日志的有效期限。
若当前匹配时间处于APT攻击事件日志的同一条日志的有效期限内,则确定域名解析日志的同一条日志的第一域名为产生APT攻击事件的第一目标域名、以及确定域名解析日志的同一条日志的第一IP地址为产生APT攻击事件的第一目标IP地址。
若当前匹配时间处于APT攻击事件日志的同一条日志的有效期限之外,则确定匹配失败,APT攻击事件日志中没有与域名解析日志的同一条日志的第一域名和第一IP地址相同的第二域名和第三IP地址。
在上述实施例中,通过分析域名解析日志与APT攻击事件日志,能够确定在域名解析日志中产生APT攻击事件的域名和由该域名解析出的IP地址,实现了域名解析日志与APT攻击事件之间的关联分析,使得用于数据备份的日志数据起到了发现APT攻击的作用,增加了发现APT攻击事件的维度。
在确定产生APT攻击事件的第一目标域名和由第一目标域名解析出的第一目标地址之后,可进一步从APT攻击事件日志中确定与上述产生APT攻击事件相关的目标日志数据。
在一个实施例中,可首先从APT攻击事件日志中确定与第一目标域名相同的第二域名作为第二目标域名、以及与第一目标IP地址相同的第三IP地址作为第三目标IP地址,其次,从APT攻击事件日志中确定与第二目标域名和第三目标IP地址对应的目标APT攻击事件信息。
在本实施例中,通过域名解析日志中产生APT攻击事件的域名及IP与APT攻击事件日志之间进行关联分析,以确定APT攻击事件日志中与产生APT攻击事件相关的目标日志数据,为后续得到产生APT攻击事件的分析结果提供了数据基础。
在一个实施例中,对待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由第一目标域名解析出的第一目标IP地址之后,还可根据下述A1-A4确定发起解析上述第一目标域名的用户:
A1、根据产生APT攻击事件的第一目标域名,从域名解析日志中确定访问第一目标域名的客户端的第二IP地址和访问时间,作为第二目标IP地址和目标访问时间。
A2、将域名解析日志与客户端IP地址分配日志进行第二关键字段匹配。
其中,第二关键字段包括客户端的IP地址字段和时间字段,第二关键字段匹配是指将域名解析日志中的访问时间字段与客户端IP地址分配日志中的分配时间字段进行匹配,将域名解析日志中的访问第一域名的客户端的第二IP地址字段与客户端IP地址分配日志中的客户端的第四IP地址字段进行匹配。
A3、从客户端IP地址分配日志中确定与第二目标IP地址相同的客户端的第四IP地址作为第四目标IP地址、以及与目标访问时间之间满足预设关系的分配时间作为目标分配时间。
其中,预设关系可为目标访问时间与目标分配时间之间的差值阈值。
A4、从客户端IP地址分配日志中确定与第四目标IP地址和目标分配时间对应的用户标识信息作为目标用户标识信息。
在本实施例中,对通过域名解析服务器访问过产生APT攻击事件的域名和IP地址的用户进行分析定位,以找到参与APT攻击事件的目标用户标识信息,提高了用户定位的精确度,以便精准阻止用户继续访问产生APT攻击事件域名以及对应的IP地址。
在一个实施例中,可将与产生APT攻击事件相关的目标日志数据进行聚合,得到分析结果,并将分析结果存入第一数据库,以使分析结果展示服务器从第一数据库中读取分析结果,并展示分析结果。
其中,目标日志数据包括目标访问时间、第一目标域名、第一目标IP地址、客户端的第二目标IP地址、目标APT攻击事件信息、目标用户标识信息等。分析结果可为聚合后的目标日志数据。第一数据库可为现有的任意一种用于存储数据的数据库。
其中,目标访问时间可用时间戳字段表征,第一目标域名可用域名字段表征,第一目标IP地址可用IP字段表征,客户端的第二目标IP地址可用用户IP字段表征,目标APT攻击事件信息可用APT攻击事件情报字段表征,目标用户标识信息可用用户名ID字段表征。例如,目标日志数据中的一条日志数据可包括:时间戳/域名/IP/用户IP/APT攻击事件情报/用户名ID。
在本实施例中,通过聚合与产生APT攻击事件相关的目标日志数据,并将聚合后的目标日志数据存入数据库中,使得分析结果展示服务器能够根据用户需求从数据库中读取数据并展示,提高了数据展示的便利性。
在一个实施例中,从客户端IP地址分配日志中确定与第四目标IP地址和目标分配时间对应的用户标识信息作为目标用户标识信息之后,可根据以下B1-B3中的任意一种方式防止目标用户标识信息对应的目标用户访问第一目标域名及第一目标IP地址:
B1、向客户端的第二目标IP地址对应的目标客户端发送目标用户正在访问存在APT攻击威胁的域名的提示信息,以使目标客户端向目标用户展示提示信息,目标用户响应于提示信息停止访问第一目标域名及第一目标IP地址。
可选的,客户端可采用消息弹窗的方式向目标用户展示提示信息。
B2、在客户端IP地址分配服务器上停止为目标用户提供服务。
B3、确定目标用户的联系方式,根据联系方式发送目标用户正在访问存在APT攻击威胁的域名的提示信息,以使目标用户停止访问第一目标域名以及第一目标IP地址。
可选的,确定出的目标用户的联系方式可为目标用户的通讯号码、邮箱账号、聊天账号等。若确定出目标用户的通讯号码,则可向该通讯号码发送目标用户正在访问存在APT攻击威胁的域名的提示短消息;若确定出目标用户的邮箱账号,则可向该邮箱账号发送目标用户正在访问存在APT攻击威胁的域名的提示邮件;若确定出目标用户的聊天账号,则可向该聊天账号发送目标用户正在访问存在APT攻击威胁的域名的提示消息。
在本实施例中,通过防止目标用户标识信息对应的目标用户访问第一目标域名以及第一目标IP地址,可实现在域名解析阶段阻止用户访问危险域名以及对应的IP地址,提高了访问的安全性。
在一个实施例中,域名解析日志来自域名解析服务器,APT攻击事件日志来自APT攻击事件服务器,客户端IP地址分配日志来自客户端IP地址分配服务器。
待分析的日志数据由日志采集存储服务器根据来自各服务器的日志数据,通过抽取与APT攻击分析相关的设定字段的数据得到。
在本实施例中,由于日志采集存储服务器中存储有域名解析服务器发送的域名解析日志、APT攻击事件服务器发送的APT攻击事件日志、以及客户端IP地址分配服务器发送的客户端IP地址分配日志,因此相较于传统的各日志以文本的形式分别存储于各服务器中的方式而言,解决了APT攻击分析过程中需要跨服务器采集数据的问题,避免了数据延迟、数据丢失等问题,提高了APT攻击分析的效率。此外,由于对各日志数据的抽取过程在日志采集存储服务器中完成,因此能够避免在数据采集过程中对被采集的各服务器的性能产生影响。
如图4所示,是根据本申请一实施例的一种数据采集方法的示意性流程图,该方法应用于如图1-2中所示的日志采集存储服务器120,包括:
S402,接收各服务器发送的原始日志数据。
其中,原始日志数据包括域名解析服务器发送的域名解析日志、APT攻击事件服务器发送的APT攻击事件日志、以及客户端IP地址分配服务器发送的客户端IP地址分配日志。
S404,解析原始日志数据,抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据。
S406,将待分析的日志数据写入指定数据库。
本实施例中,将待分析的日志数据写入指定数据库之后,APT攻击分析服务器可根据预设数据抽取条件,从日志采集存储服务器的指定数据库中抽取待分析的日志数据。
其中,指定数据库可为无需提前建表且支持实时搜索功能的数据库。例如,ElasticSearch数据库。
此外,日志采集存储服务器中各日志数据保存时间与销毁时间的周期性管理可采用自动化配置管理,不需要编写脚本来完成。
采用本申请实施例的技术方案,日志采集存储服务器通过接收各服务器发送的原始日志数据,解析原始日志数据,以抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据,并将待分析的日志数据写入指定数据库。由于日志采集存储服务器中存储有域名解析服务器发送的域名解析日志、APT攻击事件服务器发送的APT攻击事件日志、以及客户端IP地址分配服务器发送的客户端IP地址分配日志,因此相较于传统的各日志以文本的形式分别存储于各服务器中的方式而言,解决了APT攻击分析过程中需要跨服务器采集数据的问题,避免了数据延迟、数据丢失等问题,提高了APT攻击分析的效率。此外,由于对各日志数据的解析过程在日志采集存储服务器中完成,因此能够避免在数据采集过程中对被采集的各服务器的性能产生影响。
在一个实施例中,接收各服务器发送的原始日志数据,解析原始日志数据,抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据,可包括下述C1-C3:
本实施例中,日志采集存储服务器可为日志数据采集系统Graylog。日志数据采集系统Graylog可通过创建网络数据监听Syslog,接收域名解析服务器发送的域名解析日志和客户端IP地址分配服务器发送的客户端IP地址分配日志。日志数据采集系统Graylog可通过创建REST API(一种设计风格)接口,接收APT攻击事件服务器发送的APT攻击事件日志。
C1、接收域名解析服务器发送的原始域名解析日志,解析原始域名解析日志,抽取与APT攻击分析相关的设定字段的数据,得到待分析的域名解析日志。
在一个实施例中,可通过Rsyslog(rocket-fast system forlog,日志处理)服务转发域名解析服务器的原始域名解析日志,并按照Syslog协议的方式将原始域名解析日志推送给日志数据采集系统Graylog的网络数据监听Syslog,Graylog通过读取自己创建的Syslog网络数据监听,接收域名解析服务器传递的原始域名解析日志,将原始域名解析日志转存到本地的kafka数据库,再由Graylog消费读取kafka数据库中存储的原始域名解析日志并进行字段拆分,抽取与APT攻击分析相关的设定字段的数据,保存到ElasticSearch数据库,以得到待分析的域名解析日志。
可选的,Rsyslog服务可单独部署在一个服务器上,或部署在域名解析服务器上。
C2、接收APT攻击事件服务器发送的原始APT攻击事件日志,解析原始APT攻击事件日志,抽取与APT攻击分析相关的设定字段的数据,得到待分析的APT攻击事件日志。
在一个实施例中,可通过Graylog创建基于HTTP协议的REST API接口,接收各APT攻击事件服务器发送的原始APT攻击事件日志,并将原始APT攻击事件日志存入kafka数据库,再由Graylog消费读取kafka数据库中存储的JSON格式的原始APT攻击事件日志,并按Key-Value(键-值对)的方式进行字段的拆分,抽取与APT攻击分析相关的设定字段的数据,保存到ElasticSearch数据库,以得到待分析的APT攻击事件日志。
C3、接收客户端IP地址分配服务器发送的原始客户端IP地址分配日志,解析原始客户端IP地址分配日志,抽取与APT攻击分析相关的设定字段的数据,得到待分析的客户端IP地址分配日志。
在一个实施例中,可通过Graylog创建网络数据监听Syslog,Graylog通过读取自己创建的Syslog网络数据监听,接收客户端IP地址分配服务器发送的基于Syslog协议的原始客户端IP地址分配日志,将原始客户端IP地址分配日志存入kafka数据库,再由Graylog消费读取kafka数据库中存储的原始客户端IP地址分配日志并进行字段拆分,抽取与APT攻击分析相关的设定字段的数据,保存到ElasticSearch数据库,以得到待分析的客户端IP地址分配日志。
在本实施例中,通过接收各服务器发送的原始日志数据,实现了高效的日志数据采集管理模式,有利于保证各原始日志数据的完整性,避免了文本方式跨服务器数据统计的低效与易出错性,且相较于传统的日志数据采集方式而言,无需在被采集的服务器侧安装数据采集代理服务程序,避免了对被采集的服务器本身性能和稳定性的影响,此外,通过快速方便的创建REST API接口接收数据,减少通过变更脚本和代码的形式以实现对输入的日志数据格式的变更,提高了日志采集的效率。
在一个实施例中,接收各服务器发送的原始日志数据之后,解析原始日志数据之前,可将接收到的原始日志数据实时存储在第二数据库中,当第二数据库中存储的原始日志数据达到预设数据获取条件时,从第二数据库中读取原始日志数据,执行解析原始日志数据的步骤。
其中,第二数据库可为能够实时处理大量数据(如日志数据)的数据库。例如,Kafka数据库。
预设数据获取条件可以是:原始日志数据的存储量达到预设存储量、原始日志数据的存储时长达到预设时长、接收到来自指定数据库的数据获取请求。例如,预设数据获取条件为第二数据库中原始日志数据的存储量达到预设存储量20条,则当第二数据库中原始日志数据的存储量达到20条时,从第二数据库中读取原始日志数据,执行解析原始日志数据的步骤。
再例如,预设数据获取条件为第二数据库中原始日志数据的存储时长达到预设时长0.5天,则当第二数据库中原始日志数据的存储时长达到0.5天时,从第二数据库中读取原始日志数据,执行解析原始日志数据的步骤。
再例如,指定数据库为ElasticSearch数据库,预设数据获取条件为接收到来自ElasticSearch数据库的数据获取请求,则当接收到来自ElasticSearch数据库的数据获取请求时,从第二数据库中读取原始日志数据,执行解析原始日志数据的步骤,抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据,并将待分析的日志数据写入ElasticSearch数据库中。
在本实施例中,通过将接收到的各服务器发送的原始日志数据实时存储在能够实时处理大量数据(如日志数据)的第二数据库中,当第二数据库中存储的原始日志数据达到预设数据获取条件时,从第二数据库中读取原始日志数据,执行解析原始日志数据的步骤,抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据,并将待分析的日志数据写入无需提前建表且支持实时搜索功能的指定数据库中,针对不同的数据处理阶段采用不同的数据库存储数据,实现了对日志数据的高效存储效果。
图5是根据本申请另一实施例的一种APT攻击分析方法的示意性流程图,如图5所示,该方法应用于如图1-2所示的APT攻击分析系统,包括:
S501,日志采集存储服务器接收各服务器发送的原始日志数据,并将接收到的原始日志数据实时存储在第二数据库中。
该步骤中接收各服务器发送的原始日志数据的具体过程已在上述数据采集方法实施例中详细叙述,此处不再赘述。
本实施例中,第二数据库可为kafka数据库。
S502,当第二数据库中存储的原始日志数据达到预设数据获取条件时,日志采集存储服务器从第二数据库中读取原始日志数据,解析原始日志数据,抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据。
其中,待分析的日志数据包括域名解析日志、APT攻击事件日志和客户端IP地址分配日志。
该步骤中数据获取条件的具体内容已在上述数据采集方法实施例中详细叙述,此处不再赘述。
该步骤中的待分析的日志数据的具体内容已在上述APT攻击分析方法实施例中详细叙述,此处不再赘述。
S503,日志采集存储服务器将待分析的日志数据写入指定数据库。
本实施例中,指定数据库可为ElasticSearch数据库。
S504,APT攻击分析服务器根据预设数据抽取条件,从日志采集存储服务器中抽取待分析的日志数据。
该步骤中预设数据抽取条件的具体内容已在上述APT攻击分析方法实施例中详细叙述,此处不再赘述。
S505,APT攻击分析服务器将域名解析日志与APT攻击事件日志进行第一关键字段匹配,确定产生APT攻击事件的第一目标域名和由第一目标域名解析出的第一目标IP地址。之后,执行S506和S508。
其中,第一关键字段包括域名字段和由域名解析出的IP地址字段,第一关键字段匹配是指将域名解析日志中的第一域名字段与APT攻击事件日志中的第二域名字段进行匹配,将域名解析日志中的第一IP地址字段与APT攻击事件日志中的第三IP地址字段进行匹配。
该步骤中进行第一关键字段匹配的具体过程已在上述APT攻击分析方法实施例中详细叙述,此处不再赘述。
S506,APT攻击分析服务器根据第一目标域名和第一目标IP地址,创建拦截名单并发送至域名解析服务器。
S507,域名解析服务器根据拦截名单,确定是否响应客户端发起的域名解析请求。
S508,APT攻击分析服务器根据第一目标域名,从域名解析日志中确定访问第一目标域名的客户端的第二IP地址和访问时间,作为第二目标IP地址和目标访问时间。
S509,APT攻击分析服务器将域名解析日志与客户端IP地址分配日志进行第二关键字段匹配,从客户端IP地址分配日志中确定与第二目标IP地址相同的客户端的第四IP地址作为第四目标IP地址、以及与目标访问时间之间满足预设关系的分配时间作为目标分配时间。
其中,第二关键字段包括客户端的IP地址字段和时间字段。第二关键字段匹配是指将域名解析日志中的访问时间字段与客户端IP地址分配日志中的分配时间字段进行匹配,将域名解析日志中的访问第一域名的客户端的第二IP地址字段与客户端IP地址分配日志中的客户端的第四IP地址字段进行匹配。
S510,APT攻击分析服务器从客户端IP地址分配日志中确定与第四目标IP地址和目标分配时间对应的用户标识信息作为目标用户标识信息。之后,执行S511和S512。
S511,提示目标用户标识信息对应的目标用户停止访问第一目标域名及第一目标IP地址。
该步骤中具体提示方式已在上述APT攻击分析方法实施例中详细叙述,此处不再赘述。
S512,APT攻击分析服务器从APT攻击事件日志中确定与第一目标域名相同的第二域名作为第二目标域名、以及与第一目标IP地址相同的第三IP地址作为第三目标IP地址,并确定在APT攻击事件日志中与第二目标域名和第三目标IP地址对应的目标APT攻击事件信息。
S513,APT攻击分析服务器将与产生APT攻击事件相关的目标日志数据进行聚合,得到分析结果,并存入第一数据库。
其中,目标日志数据包括目标访问时间、第一目标域名、第一目标IP地址、客户端的第二目标IP地址、目标APT攻击事件信息和目标用户标识信息。
S514,分析结果展示服务器从第一数据库中读取分析结果,并展示分析结果。
采用本申请实施例的技术方案,APT攻击分析服务器通过根据预设数据抽取条件,从日志采集存储服务器中抽取包括域名解析日志和APT攻击事件日志等待分析的日志数据,并对待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由第一目标域名解析出的第一目标IP地址,并创建拦截名单以及将拦截名单发送至域名解析服务器。可见,该技术方案通过APT分析服务器和日志采集存储服务器之间的交互,即可从日志采集存储服务器中抽取待分析的日志数据,无需从产生各日志的服务器中分别抽取待分析的日志数据,避免了多方交互易导致数据丢失的问题,使得对日志数据的分析更加简单、高效。并且,通过对待分析的日志数据中的各项日志进行关键字段匹配,以确定域名解析日志中产生APT攻击事件的日志数据,并根据产生APT攻击事件的日志数据生成拦截名单,实现了域名解析日志与APT攻击事件之间的关联分析,使得用于数据备份的日志数据起到了发现APT攻击的作用。
进一步地,日志采集存储服务器通过接收各服务器发送的原始日志数据,解析原始日志数据,以抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据,并将待分析的日志数据写入指定数据库。由于日志采集存储服务器中存储有域名解析服务器发送的域名解析日志、APT攻击事件服务器发送的APT攻击事件日志、以及客户端IP地址分配服务器发送的客户端IP地址分配日志,因此相较于传统的各日志以文本的形式分别存储于各服务器中的方式而言,解决了APT攻击分析过程中需要跨服务器采集数据的问题,避免了数据延迟、数据丢失等问题,提高了APT攻击分析的效率。此外,由于对各日志数据的解析过程在日志采集存储服务器中完成,因此能够避免在数据采集过程中对被采集的各服务器的性能产生影响。
综上,已经对本主题的特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作可以按照不同的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序,以实现期望的结果。在某些实施方式中,多任务处理和并行处理可以是有利的。
以上为本申请实施例提供的APT攻击分析方法,基于同样的思路,本申请实施例还提供一种APT攻击分析服务器。
图6是根据本申请一实施例的一种APT攻击分析服务器的结构示意图,如图6所示,APT攻击分析服务器包括:
抽取模块610,用于根据预设数据抽取条件,从日志采集存储服务器中抽取待分析的日志数据;待分析的日志数据至少包括域名解析日志和APT攻击事件日志;
第一确定模块620,用于对待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由第一目标域名解析出的第一目标IP地址;
创建模块630,用于根据第一目标域名和第一目标IP地址,创建拦截名单并发送至域名解析服务器,以使域名解析服务器根据拦截名单,确定是否响应客户端发起的域名解析请求。
在一个实施例中,域名解析日志中每条日志包括如下与APT攻击分析相关的设定字段:访问时间、访问的第一域名、由第一域名解析出的第一IP地址、以及访问第一域名的客户端的第二IP地址;
APT攻击事件日志中每条日志包括如下与APT攻击分析相关的设定字段:产生APT攻击事件的第二域名、由第二域名解析出的第三IP地址、以及与第二域名及第三IP地址相对应的APT攻击事件信息。
在一个实施例中,第一确定模块620包括:
匹配单元,用于将域名解析日志与APT攻击事件日志进行第一关键字段匹配;第一关键字段包括域名字段和由域名解析出的IP地址字段,第一关键字段匹配是指将域名解析日志中的第一域名字段与APT攻击事件日志中的第二域名字段进行匹配,将域名解析日志中的第一IP地址字段与APT攻击事件日志中的第三IP地址字段进行匹配;
确定单元,用于针对域名解析日志中的任一条日志,若APT攻击事件日志的某条日志的第二域名与该条日志的第一域名相同、且APT攻击事件日志的同一条日志的第三IP地址与该条日志的第一IP地址相同,则确定该条日志的第一域名为产生APT攻击事件的第一目标域名、以及确定该条日志的第一IP地址为产生APT攻击事件的第一目标IP地址。
在一个实施例中,待分析的日志数据还包括客户端IP地址分配日志;客户端IP地址分配日志中每条日志包括如下与APT攻击分析相关的设定字段:分配时间、客户端的第四IP地址、以及客户端对应的用户标识信息。
在一个实施例中,APT攻击分析服务器还包括:
第二确定模块,用于根据第一目标域名,从域名解析日志中确定访问第一目标域名的客户端的第二IP地址和访问时间,作为第二目标IP地址和目标访问时间;
匹配模块,用于将域名解析日志与客户端IP地址分配日志进行第二关键字段匹配;第二关键字段包括客户端的IP地址字段和时间字段;第二关键字段匹配是指将域名解析日志中的访问时间字段与客户端IP地址分配日志中的分配时间字段进行匹配,将域名解析日志中的访问第一域名的客户端的第二IP地址字段与客户端IP地址分配日志中的客户端的第四IP地址字段进行匹配;
第三确定模块,用于从客户端IP地址分配日志中确定与第二目标IP地址相同的客户端的第四IP地址作为第四目标IP地址、以及与目标访问时间之间满足预设关系的分配时间作为目标分配时间;
第四确定模块,用于从客户端IP地址分配日志中确定与第四目标IP地址和目标分配时间对应的用户标识信息作为目标用户标识信息。
在一个实施例中,APT攻击分析服务器还包括:
第五确定模块,用于从APT攻击事件日志中确定与第一目标域名相同的第二域名作为第二目标域名、以及与第一目标IP地址相同的第三IP地址作为第三目标IP地址;
第六确定模块,用于从APT攻击事件日志中确定与第二目标域名和第三目标IP地址对应的目标APT攻击事件信息。
在一个实施例中,APT攻击分析服务器还包括:
第一执行模块,用于将与产生APT攻击事件相关的目标日志数据进行聚合,得到分析结果;目标日志数据包括目标访问时间、第一目标域名、第一目标IP地址、客户端的第二目标IP地址、目标APT攻击事件信息和目标用户标识信息;
第二执行模块,用于将分析结果存入第一数据库,以使分析结果展示服务器从第一数据库中读取分析结果,并展示分析结果。
在一个实施例中,APT攻击分析服务器还包括:
第三执行模块,用于根据以下至少一种方式防止目标用户标识信息对应的目标用户访问第一目标域名及第一目标IP地址:
向客户端的第二目标IP地址对应的目标客户端发送目标用户正在访问存在APT攻击威胁的域名的提示信息,以使目标客户端向目标用户展示提示信息,目标用户响应于提示信息停止访问第一目标域名及第一目标IP地址;
在客户端IP地址分配服务器上停止为目标用户提供服务;
确定目标用户的联系方式,根据联系方式发送目标用户正在访问存在APT攻击威胁的域名的提示信息,以使目标用户停止访问第一目标域名以及第一目标IP地址。
采用本申请实施例的服务器,APT攻击分析服务器通过根据预设数据抽取条件,从日志采集存储服务器中抽取包括域名解析日志和APT攻击事件日志等待分析的日志数据,并对待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由第一目标域名解析出的第一目标IP地址,并创建拦截名单以及将拦截名单发送至域名解析服务器。可见,该服务器通过APT分析服务器和日志采集存储服务器之间的交互,即可从日志采集存储服务器中抽取待分析的日志数据,无需从产生各日志的服务器中分别抽取待分析的日志数据,避免了多方交互易导致数据丢失的问题,使得对日志数据的分析更加简单、高效。并且,通过对待分析的日志数据中的各项日志进行关键字段匹配,以确定域名解析日志中产生APT攻击事件的日志数据,并根据产生APT攻击事件的日志数据生成拦截名单,实现了域名解析日志与APT攻击事件之间的关联分析,使得用于数据备份的日志数据起到了发现APT攻击的作用。
本领域的技术人员应可理解,上述APT攻击分析服务器能够用来实现前文所述的APT攻击分析方法,其中的细节描述应与前文方法部分描述类似,为避免繁琐,此处不另赘述。
以上为本申请实施例提供的数据采集方法,基于同样的思路,本申请实施例还提供一种日志采集存储服务器。
图7是根据本申请一实施例的一种日志采集存储服务器的结构示意图,如图7所示,日志采集存储服务器包括:
接收模块710,用于接收各服务器发送的原始日志数据,原始日志数据包括域名解析服务器发送的域名解析日志、APT攻击事件服务器发送的APT攻击事件日志、以及客户端IP地址分配服务器发送的客户端IP地址分配日志;
解析及抽取模块720,用于解析原始日志数据,抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据;
第四执行模块730,用于将待分析的日志数据写入指定数据库。
在一个实施例中,日志采集存储服务器还包括:
存储模块,用于将接收到的原始日志数据实时存储在第二数据库中;
第五执行模块,用于当第二数据库中存储的原始日志数据达到预设数据获取条件时,从第二数据库中读取原始日志数据,执行解析原始日志数据的步骤。
采用本申请实施例的服务器,日志采集存储服务器通过接收各服务器发送的原始日志数据,解析原始日志数据,以抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据,并将待分析的日志数据写入指定数据库。由于日志采集存储服务器中存储有域名解析服务器发送的域名解析日志、APT攻击事件服务器发送的APT攻击事件日志、以及客户端IP地址分配服务器发送的客户端IP地址分配日志,因此相较于传统的各日志以文本的形式分别存储于各服务器中的方式而言,解决了APT攻击分析过程中需要跨服务器采集数据的问题,避免了数据延迟、数据丢失等问题,提高了APT攻击分析的效率。此外,由于对各日志数据的解析过程在日志采集存储服务器中完成,因此能够避免在数据采集过程中对被采集的各服务器的性能产生影响。
本领域的技术人员应可理解,上述日志采集存储服务器能够用来实现前文所述的数据采集方法,其中的细节描述应与前文方法部分描述类似,为避免繁琐,此处不另赘述。
基于同样的思路,本申请实施例还提供一种APT攻击分析设备,如图8所示。APT攻击分析设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上的处理器801和存储器802,存储器802中可以存储有一个或一个以上存储应用程序或数据。其中,存储器802可以是短暂存储或持久存储。存储在存储器802的应用程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对APT攻击分析设备中的一系列计算机可执行指令。更进一步地,处理器801可以设置为与存储器802通信,在APT攻击分析设备上执行存储器802中的一系列计算机可执行指令。APT攻击分析设备还可以包括一个或一个以上电源803,一个或一个以上有线或无线网络接口804,一个或一个以上输入输出接口805,一个或一个以上键盘806。
具体在本实施例中,APT攻击分析设备包括有存储器,以及一个或一个以上的程序,其中一个或者一个以上程序存储于存储器中,且一个或者一个以上程序可以包括一个或一个以上模块,且每个模块可以包括对APT攻击分析设备中的一系列计算机可执行指令,且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令:
根据预设数据抽取条件,从日志采集存储服务器中抽取待分析的日志数据;待分析的日志数据至少包括域名解析日志和APT攻击事件日志;
对待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由第一目标域名解析出的第一目标IP地址;
根据第一目标域名和第一目标IP地址,创建拦截名单并发送至域名解析服务器,以使域名解析服务器根据拦截名单,确定是否响应客户端发起的域名解析请求。
可选地,域名解析日志中每条日志包括如下与APT攻击分析相关的设定字段:访问时间、访问的第一域名、由第一域名解析出的第一IP地址、以及访问第一域名的客户端的第二IP地址;
APT攻击事件日志中每条日志包括如下与APT攻击分析相关的设定字段:产生APT攻击事件的第二域名、由第二域名解析出的第三IP地址、以及与第二域名及第三IP地址相对应的APT攻击事件信息。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
将域名解析日志与APT攻击事件日志进行第一关键字段匹配;第一关键字段包括域名字段和由域名解析出的IP地址字段,第一关键字段匹配是指将域名解析日志中的第一域名字段与APT攻击事件日志中的第二域名字段进行匹配,将域名解析日志中的第一IP地址字段与APT攻击事件日志中的第三IP地址字段进行匹配;
针对域名解析日志中的任一条日志,若APT攻击事件日志的某条日志的第二域名与该条日志的第一域名相同、且APT攻击事件日志的同一条日志的第三IP地址与该条日志的第一IP地址相同,则确定该条日志的第一域名为产生APT攻击事件的第一目标域名、以及确定该条日志的第一IP地址为产生APT攻击事件的第一目标IP地址。
可选地,待分析的日志数据还包括客户端IP地址分配日志;客户端IP地址分配日志中每条日志包括如下与APT攻击分析相关的设定字段:分配时间、客户端的第四IP地址、以及客户端对应的用户标识信息。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
根据第一目标域名,从域名解析日志中确定访问第一目标域名的客户端的第二IP地址和访问时间,作为第二目标IP地址和目标访问时间;
将域名解析日志与客户端IP地址分配日志进行第二关键字段匹配;第二关键字段包括客户端的IP地址字段和时间字段;第二关键字段匹配是指将域名解析日志中的访问时间字段与客户端IP地址分配日志中的分配时间字段进行匹配,将域名解析日志中的访问第一域名的客户端的第二IP地址字段与客户端IP地址分配日志中的客户端的第四IP地址字段进行匹配;
从客户端IP地址分配日志中确定与第二目标IP地址相同的客户端的第四IP地址作为第四目标IP地址、以及与目标访问时间之间满足预设关系的分配时间作为目标分配时间;
从客户端IP地址分配日志中确定与第四目标IP地址和目标分配时间对应的用户标识信息作为目标用户标识信息。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
从APT攻击事件日志中确定与第一目标域名相同的第二域名作为第二目标域名、以及与第一目标IP地址相同的第三IP地址作为第三目标IP地址;
从APT攻击事件日志中确定与第二目标域名和第三目标IP地址对应的目标APT攻击事件信息。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
将与产生APT攻击事件相关的目标日志数据进行聚合,得到分析结果;目标日志数据包括目标访问时间、第一目标域名、第一目标IP地址、客户端的第二目标IP地址、目标APT攻击事件信息和目标用户标识信息;
将分析结果存入第一数据库,以使分析结果展示服务器从第一数据库中读取分析结果,并展示分析结果。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
根据以下至少一种方式防止目标用户标识信息对应的目标用户访问第一目标域名及第一目标IP地址:
向客户端的第二目标IP地址对应的目标客户端发送目标用户正在访问存在APT攻击威胁的域名的提示信息,以使目标客户端向目标用户展示提示信息,目标用户响应于提示信息停止访问第一目标域名及第一目标IP地址;
在客户端IP地址分配服务器上停止为目标用户提供服务;
确定目标用户的联系方式,根据联系方式发送目标用户正在访问存在APT攻击威胁的域名的提示信息,以使目标用户停止访问第一目标域名以及第一目标IP地址。
采用本申请实施例的设备,APT攻击分析服务器通过根据预设数据抽取条件,从日志采集存储服务器中抽取包括域名解析日志和APT攻击事件日志等待分析的日志数据,并对待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由第一目标域名解析出的第一目标IP地址,并创建拦截名单以及将拦截名单发送至域名解析服务器。可见,该设备通过APT分析服务器和日志采集存储服务器之间的交互,即可从日志采集存储服务器中抽取待分析的日志数据,无需从产生各日志的服务器中分别抽取待分析的日志数据,避免了多方交互易导致数据丢失的问题,使得对日志数据的分析更加简单、高效。并且,通过对待分析的日志数据中的各项日志进行关键字段匹配,以确定域名解析日志中产生APT攻击事件的日志数据,并根据产生APT攻击事件的日志数据生成拦截名单,实现了域名解析日志与APT攻击事件之间的关联分析,使得用于数据备份的日志数据起到了发现APT攻击的作用。
基于同样的思路,本申请实施例还提供一种数据采集设备,如图9所示。数据采集设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上的处理器901和存储器902,存储器902中可以存储有一个或一个以上存储应用程序或数据。其中,存储器902可以是短暂存储或持久存储。存储在存储器902的应用程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对数据采集设备中的一系列计算机可执行指令。更进一步地,处理器901可以设置为与存储器902通信,在数据采集设备上执行存储器902中的一系列计算机可执行指令。数据采集设备还可以包括一个或一个以上电源903,一个或一个以上有线或无线网络接口904,一个或一个以上输入输出接口905,一个或一个以上键盘906。
具体在本实施例中,数据采集设备包括有存储器,以及一个或一个以上的程序,其中一个或者一个以上程序存储于存储器中,且一个或者一个以上程序可以包括一个或一个以上模块,且每个模块可以包括对数据采集设备中的一系列计算机可执行指令,且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令:
接收各服务器发送的原始日志数据,原始日志数据包括域名解析服务器发送的域名解析日志、APT攻击事件服务器发送的APT攻击事件日志、以及客户端IP地址分配服务器发送的客户端IP地址分配日志;
解析原始日志数据,抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据;
将待分析的日志数据写入指定数据库。
可选地,计算机可执行指令在被执行时,还可以使所述处理器:
将接收到的原始日志数据实时存储在第二数据库中;
当第二数据库中存储的原始日志数据达到预设数据获取条件时,从第二数据库中读取原始日志数据,执行解析原始日志数据的步骤。
采用本申请实施例的设备,日志采集存储服务器通过接收各服务器发送的原始日志数据,解析原始日志数据,以抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据,并将待分析的日志数据写入指定数据库。由于日志采集存储服务器中存储有域名解析服务器发送的域名解析日志、APT攻击事件服务器发送的APT攻击事件日志、以及客户端IP地址分配服务器发送的客户端IP地址分配日志,因此相较于传统的各日志以文本的形式分别存储于各服务器中的方式而言,解决了APT攻击分析过程中需要跨服务器采集数据的问题,避免了数据延迟、数据丢失等问题,提高了APT攻击分析的效率。此外,由于对各日志数据的解析过程在日志采集存储服务器中完成,因此能够避免在数据采集过程中对被采集的各服务器的性能产生影响。
本申请实施例还提出了一种存储介质,该存储介质存储一个或多个计算机程序,该一个或多个计算机程序包括指令,该指令当被包括多个应用程序的APT攻击分析设备执行时,能够使该APT攻击分析设备执行上述APT攻击分析方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本申请实施例还提出了一种存储介质,该存储介质存储一个或多个计算机程序,该一个或多个计算机程序包括指令,该指令当被包括多个应用程序的数据采集设备执行时,能够使该数据采集设备执行上述数据采集方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (13)
1.一种APT攻击分析方法,其特征在于,应用于APT攻击分析服务器,包括:
根据预设数据抽取条件,从日志采集存储服务器中抽取待分析的日志数据;所述待分析的日志数据至少包括域名解析日志和APT攻击事件日志;
对所述待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由所述第一目标域名解析出的第一目标IP地址;
根据所述第一目标域名和所述第一目标IP地址,创建拦截名单并发送至域名解析服务器,以使所述域名解析服务器根据所述拦截名单,确定是否响应客户端发起的域名解析请求;
其中,所述域名解析日志中每条日志包括如下与APT攻击分析相关的设定字段:访问时间、访问的第一域名、由所述第一域名解析出的第一IP地址、以及访问所述第一域名的客户端的第二IP地址;
所述APT攻击事件日志中每条日志包括如下与APT攻击分析相关的设定字段:产生APT攻击事件的第二域名、由所述第二域名解析出的第三IP地址、以及与所述第二域名及所述第三IP地址相对应的APT攻击事件信息;所述APT攻击事件日志中还包括有效期限字段,该字段用于描述一条APT攻击事件日志数据的有效期;
所述对所述待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由所述第一目标域名解析出的第一目标IP地址,包括:
将所述域名解析日志与所述APT攻击事件日志进行第一关键字段匹配;所述第一关键字段包括域名字段和由所述域名解析出的IP地址字段,所述第一关键字段匹配是指将所述域名解析日志中的所述第一域名字段与所述APT攻击事件日志中的所述第二域名字段进行匹配,将所述域名解析日志中的所述第一IP地址字段与所述APT攻击事件日志中的所述第三IP地址字段进行匹配;
针对所述域名解析日志中的任一条日志,若所述APT攻击事件日志的某条日志的第二域名与该条日志的第一域名相同、且所述APT攻击事件日志的同一条日志的第三IP地址与该条日志的第一IP地址相同,则进一步判断所述APT攻击事件日志的同一条日志的有效期限;若当前匹配时间处于所述APT攻击事件日志的同一条日志的有效期限内,则确定该条日志的第一域名为产生APT攻击事件的第一目标域名、以及确定该条日志的第一IP地址为产生APT攻击事件的第一目标IP地址;若当前匹配时间处于所述APT攻击事件日志的同一条日志的有效期限之外,则确定匹配失败,所述APT攻击事件日志中没有与该条日志的第一域名和第一IP地址相同的第二域名和第三IP地址。
2.根据权利要求1所述的方法,其特征在于,所述待分析的日志数据还包括客户端IP地址分配日志;所述客户端IP地址分配日志中每条日志包括如下与APT攻击分析相关的设定字段:分配时间、客户端的第四IP地址、以及客户端对应的用户标识信息。
3.根据权利要求2所述的方法,其特征在于,所述确定产生APT攻击事件的第一目标域名和由所述第一目标域名解析出的第一目标IP地址之后,所述方法还包括:
根据所述第一目标域名,从所述域名解析日志中确定访问所述第一目标域名的客户端的第二IP地址和访问时间,作为第二目标IP地址和目标访问时间;
将所述域名解析日志与所述客户端IP地址分配日志进行第二关键字段匹配;所述第二关键字段包括客户端的IP地址字段和时间字段;所述第二关键字段匹配是指将所述域名解析日志中的访问时间字段与所述客户端IP地址分配日志中的分配时间字段进行匹配,将所述域名解析日志中的访问所述第一域名的客户端的第二IP地址字段与所述客户端IP地址分配日志中的所述客户端的第四IP地址字段进行匹配;
从所述客户端IP地址分配日志中确定与所述第二目标IP地址相同的客户端的第四IP地址作为第四目标IP地址、以及与所述目标访问时间之间满足预设关系的分配时间作为目标分配时间;
从所述客户端IP地址分配日志中确定与所述第四目标IP地址和所述目标分配时间对应的用户标识信息作为目标用户标识信息。
4.根据权利要求3所述的方法,其特征在于,所述对所述待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由所述第一目标域名解析出的第一目标地址之后,所述方法还包括:
从所述APT攻击事件日志中确定与所述第一目标域名相同的第二域名作为第二目标域名、以及与所述第一目标IP地址相同的第三IP地址作为第三目标IP地址;
从所述APT攻击事件日志中确定与所述第二目标域名和所述第三目标IP地址对应的目标APT攻击事件信息。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
将与产生APT攻击事件相关的目标日志数据进行聚合,得到分析结果;所述目标日志数据包括所述目标访问时间、所述第一目标域名、所述第一目标IP地址、所述客户端的第二目标IP地址、所述目标APT攻击事件信息和所述目标用户标识信息;
将所述分析结果存入第一数据库,以使分析结果展示服务器从所述第一数据库中读取所述分析结果,并展示所述分析结果。
6.根据权利要求5所述的方法,其特征在于,所述从所述客户端IP地址分配日志中确定与所述第四目标IP地址和所述目标分配时间对应的用户标识信息作为目标用户标识信息之后,所述方法还包括:
根据以下至少一种方式防止所述目标用户标识信息对应的目标用户访问所述第一目标域名及所述第一目标IP地址:
向所述客户端的第二目标IP地址对应的目标客户端发送所述目标用户正在访问存在APT攻击威胁的域名的提示信息,以使所述目标客户端向所述目标用户展示所述提示信息,所述目标用户响应于所述提示信息停止访问所述第一目标域名及所述第一目标IP地址;
在客户端IP地址分配服务器上停止为所述目标用户提供服务;
确定所述目标用户的联系方式,根据所述联系方式发送所述目标用户正在访问存在APT攻击威胁的域名的提示信息,以使所述目标用户停止访问所述第一目标域名以及所述第一目标IP地址。
7.一种数据采集方法,其特征在于,应用于日志采集存储服务器,与权利要求1的APT攻击分析方法配合使用,包括:
接收各服务器发送的原始日志数据,所述原始日志数据包括域名解析服务器发送的域名解析日志、APT攻击事件服务器发送的APT攻击事件日志、以及客户端IP地址分配服务器发送的客户端IP地址分配日志;
解析所述原始日志数据,抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据;
将所述待分析的日志数据写入指定数据库。
8.根据权利要求7所述的方法,其特征在于,所述接收各服务器发送的原始日志数据之后,所述解析所述原始日志数据之前,所述方法还包括:
将接收到的原始日志数据实时存储在第二数据库中;
当所述第二数据库中存储的所述原始日志数据达到预设数据获取条件时,从所述第二数据库中读取所述原始日志数据,执行解析所述原始日志数据的步骤。
9.一种APT攻击分析系统,其特征在于,包括域名解析服务器、日志采集存储服务器和APT攻击分析服务器;其中,
所述日志采集存储服务器,用于响应预设数据抽取条件,向所述APT攻击分析服务器提供待分析的日志数据;
所述APT攻击分析服务器,用于根据预设数据抽取条件,从日志采集存储服务器中抽取待分析的日志数据;所述待分析的日志数据至少包括域名解析日志和APT攻击事件日志;对所述待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由所述第一目标域名解析出的第一目标IP地址;根据所述第一目标域名和所述第一目标IP地址,创建拦截名单并发送至域名解析服务器;
所述域名解析服务器,用于接收所述APT攻击分析服务器发送的所述拦截名单,并根据所述拦截名单,确定是否响应客户端发起的域名解析请求;
其中,所述域名解析日志中每条日志包括如下与APT攻击分析相关的设定字段:访问时间、访问的第一域名、由所述第一域名解析出的第一IP地址、以及访问所述第一域名的客户端的第二IP地址;
所述APT攻击事件日志中每条日志包括如下与APT攻击分析相关的设定字段:产生APT攻击事件的第二域名、由所述第二域名解析出的第三IP地址、以及与所述第二域名及所述第三IP地址相对应的APT攻击事件信息;所述APT攻击事件日志中还包括有效期限字段,该字段用于描述一条APT攻击事件日志数据的有效期;
所述APT攻击分析服务器,具体用于:
将所述域名解析日志与所述APT攻击事件日志进行第一关键字段匹配;所述第一关键字段包括域名字段和由所述域名解析出的IP地址字段,所述第一关键字段匹配是指将所述域名解析日志中的所述第一域名字段与所述APT攻击事件日志中的所述第二域名字段进行匹配,将所述域名解析日志中的所述第一IP地址字段与所述APT攻击事件日志中的所述第三IP地址字段进行匹配;
针对所述域名解析日志中的任一条日志,若所述APT攻击事件日志的某条日志的第二域名与该条日志的第一域名相同、且所述APT攻击事件日志的同一条日志的第三IP地址与该条日志的第一IP地址相同,则进一步判断所述APT攻击事件日志的同一条日志的有效期限;若当前匹配时间处于所述APT攻击事件日志的同一条日志的有效期限内,则确定该条日志的第一域名为产生APT攻击事件的第一目标域名、以及确定该条日志的第一IP地址为产生APT攻击事件的第一目标IP地址;若当前匹配时间处于所述APT攻击事件日志的同一条日志的有效期限之外,则确定匹配失败,所述APT攻击事件日志中没有与该条日志的第一域名和第一IP地址相同的第二域名和第三IP地址。
10.一种APT攻击分析服务器,其特征在于,包括:
抽取模块,用于根据预设数据抽取条件,从日志采集存储服务器中抽取待分析的日志数据;所述待分析的日志数据至少包括域名解析日志和APT攻击事件日志;
第一确定模块,用于对所述待分析的日志数据中的各项日志进行关键字段匹配,确定产生APT攻击事件的第一目标域名和由所述第一目标域名解析出的第一目标IP地址;
创建模块,用于根据所述第一目标域名和所述第一目标IP地址,创建拦截名单并发送至域名解析服务器,以使所述域名解析服务器根据所述拦截名单,确定是否响应客户端发起的域名解析请求;
域名解析日志中每条日志包括如下与APT攻击分析相关的设定字段:访问时间、访问的第一域名、由第一域名解析出的第一IP地址、以及访问第一域名的客户端的第二IP地址;
APT攻击事件日志中每条日志包括如下与APT攻击分析相关的设定字段:产生APT攻击事件的第二域名、由第二域名解析出的第三IP地址、以及与第二域名及第三IP地址相对应的APT攻击事件信息;所述APT攻击事件日志中还包括有效期限字段,该字段用于描述一条APT攻击事件日志数据的有效期;
第一确定模块包括:
匹配单元,用于将域名解析日志与APT攻击事件日志进行第一关键字段匹配;第一关键字段包括域名字段和由域名解析出的IP地址字段,第一关键字段匹配是指将域名解析日志中的第一域名字段与APT攻击事件日志中的第二域名字段进行匹配,将域名解析日志中的第一IP地址字段与APT攻击事件日志中的第三IP地址字段进行匹配;
确定单元,用于针对域名解析日志中的任一条日志,若APT攻击事件日志的某条日志的第二域名与该条日志的第一域名相同、且APT攻击事件日志的同一条日志的第三IP地址与该条日志的第一IP地址相同,则进一步判断所述APT攻击事件日志的同一条日志的有效期限;若当前匹配时间处于所述APT攻击事件日志的同一条日志的有效期限内,则确定该条日志的第一域名为产生APT攻击事件的第一目标域名、以及确定该条日志的第一IP地址为产生APT攻击事件的第一目标IP地址;若当前匹配时间处于所述APT攻击事件日志的同一条日志的有效期限之外,则确定匹配失败,所述APT攻击事件日志中没有与该条日志的第一域名和第一IP地址相同的第二域名和第三IP地址。
11.一种日志采集存储服务器,与权利要求10的APT攻击分析服务器配合使用,其特征在于,包括:
接收模块,用于接收各服务器发送的原始日志数据,所述原始日志数据包括域名解析服务器发送的域名解析日志、APT攻击事件服务器发送的APT攻击事件日志、以及客户端IP地址分配服务器发送的客户端IP地址分配日志;
解析及抽取模块,用于解析所述原始日志数据,抽取与APT攻击分析相关的设定字段的数据,得到待分析的日志数据;
第四执行模块,用于将所述待分析的日志数据写入指定数据库。
12.一种APT攻击分析设备,其特征在于,包括处理器和与所述处理器电连接的存储器,所述存储器存储有计算机程序,所述处理器用于从所述存储器调用并执行所述计算机程序以实现权利要求1-6任意一项所述的APT攻击分析方法。
13.一种存储介质,其特征在于,所述存储介质用于存储计算机程序,所述计算机程序能够被处理器执行以实现权利要求1-6任意一项所述的APT攻击分析方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010897647.4A CN112165451B (zh) | 2020-08-31 | 2020-08-31 | Apt攻击分析方法、系统及服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010897647.4A CN112165451B (zh) | 2020-08-31 | 2020-08-31 | Apt攻击分析方法、系统及服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112165451A CN112165451A (zh) | 2021-01-01 |
CN112165451B true CN112165451B (zh) | 2023-07-18 |
Family
ID=73857378
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010897647.4A Active CN112165451B (zh) | 2020-08-31 | 2020-08-31 | Apt攻击分析方法、系统及服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112165451B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113014573B (zh) * | 2021-02-23 | 2023-04-07 | 杭州安恒信息技术股份有限公司 | Dns服务器的监控方法、系统、电子装置和存储介质 |
CN113726775B (zh) * | 2021-08-30 | 2022-09-30 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
CN115834260A (zh) * | 2023-02-21 | 2023-03-21 | 芯知科技(江苏)有限公司 | 网络安全防御系统、方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103916406A (zh) * | 2014-04-25 | 2014-07-09 | 上海交通大学 | 一种基于dns日志分析的apt攻击检测系统和方法 |
CN109495423A (zh) * | 2017-09-11 | 2019-03-19 | 网宿科技股份有限公司 | 一种防止网络攻击的方法及系统 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103607385B (zh) * | 2013-11-14 | 2017-01-18 | 北京奇虎科技有限公司 | 基于浏览器进行安全检测的方法和装置 |
CN106027540A (zh) * | 2016-06-01 | 2016-10-12 | 中青奇未(北京)网络科技有限公司 | 一种页面拦截方法和系统、以及一种安全桌面 |
CN107360197B (zh) * | 2017-09-08 | 2020-12-25 | 杭州安恒信息技术股份有限公司 | 一种基于dns日志的网络钓鱼分析方法及装置 |
CN108234462A (zh) * | 2017-12-22 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于云防护的智能拦截威胁ip的方法 |
CN110266670A (zh) * | 2019-06-06 | 2019-09-20 | 深圳前海微众银行股份有限公司 | 一种终端网络外联行为的处理方法及装置 |
CN110913032A (zh) * | 2019-11-18 | 2020-03-24 | 国家电网有限公司 | 一种电网威胁情报实现dns域名请求分析方法及其平台 |
-
2020
- 2020-08-31 CN CN202010897647.4A patent/CN112165451B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103916406A (zh) * | 2014-04-25 | 2014-07-09 | 上海交通大学 | 一种基于dns日志分析的apt攻击检测系统和方法 |
CN109495423A (zh) * | 2017-09-11 | 2019-03-19 | 网宿科技股份有限公司 | 一种防止网络攻击的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112165451A (zh) | 2021-01-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112165451B (zh) | Apt攻击分析方法、系统及服务器 | |
US10560465B2 (en) | Real time anomaly detection for data streams | |
CN106202235B (zh) | 一种数据处理方法及装置 | |
CN108197200B (zh) | 日志追踪方法、装置、计算机设备和存储介质 | |
CN113010818B (zh) | 访问限流方法、装置、电子设备及存储介质 | |
US9225617B2 (en) | Techniques for detecting new browser windows | |
JP2019517040A (ja) | クラウドプラットフォームベースのクライアントアプリケーション情報統計方法および装置 | |
US11188443B2 (en) | Method, apparatus and system for processing log data | |
CN111176941B (zh) | 一种数据处理的方法、装置和存储介质 | |
CN108052824B (zh) | 一种风险防控方法、装置及电子设备 | |
US9626328B1 (en) | Method and system for on-demand aggregated logging for distributed systems | |
CN106686151B (zh) | 一种ip地址获取方法及装置 | |
CN106713242B (zh) | 数据请求的处理方法及处理装置 | |
US10812346B1 (en) | Application discovery and dependency mapping | |
CN114338684A (zh) | 一种能源管理系统及方法 | |
CN107276998B (zh) | 一种基于OpenSSL的性能优化方法及装置 | |
CN110442439B (zh) | 任务进程处理方法、装置和计算机设备 | |
CN107239475B (zh) | 一种调用文件方法及装置 | |
CN102075355B (zh) | 日志系统及其使用方法 | |
CN113127335A (zh) | 一种系统测试的方法和装置 | |
CN110830459A (zh) | 一种隐身安全代理访问方法、网关端、客户端、设备 | |
US10970341B2 (en) | Predictive modeling in event processing systems for big data processing in cloud | |
JP2017535867A (ja) | コード・セットへの要求を監視する方法、システム、およびコンピュータ・プログラム | |
CN109818799A (zh) | 日志采集分析方法及设备 | |
White et al. | Coalmine: an experience in building a system for social media analytics |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20230308 Address after: Room 501-502, 5/F, Sina Headquarters Scientific Research Building, Block N-1 and N-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Applicant after: Sina Technology (China) Co.,Ltd. Address before: 100193 7th floor, scientific research building, Sina headquarters, plot n-1, n-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Applicant before: Sina.com Technology (China) Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |