CN112822147A - 一种用于分析攻击链的方法、系统及设备 - Google Patents
一种用于分析攻击链的方法、系统及设备 Download PDFInfo
- Publication number
- CN112822147A CN112822147A CN201911128864.0A CN201911128864A CN112822147A CN 112822147 A CN112822147 A CN 112822147A CN 201911128864 A CN201911128864 A CN 201911128864A CN 112822147 A CN112822147 A CN 112822147A
- Authority
- CN
- China
- Prior art keywords
- attack
- information
- directional
- analyzing
- backtracking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请的目的是提供一种用于分析攻击链的方法、系统及设备,本申请通过取目标应用系统的请求流量以及访问日志;分析所述请求流量和访问日志确定攻击过程,根据分析得到的攻击过程确定定向攻击;对所述定向攻击进行回溯,确定回溯信息,并对所述定向攻击对应的攻击日志进行分析,根据对定向攻击的分析结果确定所有攻击对应的时间节点;根据所述回溯信息以及所述时间节点生成攻击链。从而将攻击过程以链式进行可视化展示,以方便管理员更直观快捷查看整个攻击过程,为后续管理员相关处置决定做策略参考,形成的完整攻击链为后续溯源提供取证材料;将分析过程以及攻击者攻击过程进行模型化,达到标准分析过程,让分析过程及时效性得以保证。
Description
技术领域
本申请涉及计算机领域,尤其涉及一种用于分析攻击链的方法、系统及设备。
背景技术
随着云端网站应用防护系统(WAF)的发展,因其具备的良好扩展性、稳定性以及易维护等特定,越来越多的企业开始采用云WAF的方式来保护自身业务系统安全。随着大型企业及重点业务系统接入云WAF,对云WAF提出了新的要求,不单单需要具备相关防御能力,还需要具备威胁分析能力,确保在多种多样的攻击数据中理顺逻辑关系,确认攻击特征,并将攻击可视化展现,让系统管理员快速识别真正的威胁者以及其攻击过程。
而传统云WAF系统在威胁分析报表中只是进行攻击类型趋势或者攻击类型排名统计,不利于系统管理员对各种系统攻击进行分析,在遭受攻击影响时多数采用人工对日志进行二次分析来确定黑客的完整攻击入侵过程,造成分析过程繁琐、耗费时间长。
现有的解决方案包括以下两种方式:
方案一,通过预设取证策略分析,检测到攻击事件后,通过对原始流量进行分析,把已知的攻击行为特征采集出来,再收集与攻击特征相关的数据,并与采集的攻击行为特征做对比,判断其攻击行为。这种方式主要针对已知的攻击行为,无法对比未知的攻击行为特征,分析攻击行为,并且非专门针对WAF的检测模块、未将攻击回溯到黑客情报收集阶段,导致攻击链不完整。并且是事后分析,无法做到实时拦截。
方案二,安全人员人工分析,通过一个或多个安全人员对WEB应用攻击日志、访问日志进行人工分析形成攻击过程。这种方式消耗人力巨大,并且受限于安全人员分析经验,分析过程不可控,无法将此种分析常态化,多数应用在攻击对WEB应用产生了影响之后,多属于事后分析,对了解攻击过程有时延。
发明内容
本申请的一个目的是提供一种用于分析攻击链的方法、系统及设备,解决现有技术中无法对比未知的攻击行为特征,分析攻击行为,未将攻击回溯到黑客情报收集阶段导致攻击链不完整,无法做到实时拦截的问题,以及对攻击日志以及访问日志进行人工分析时消耗人力巨大并分析过程不可控、分析无法常态化的问题。
根据本申请的一个方面,提供了一种用于分析攻击链的方法,该方法包括:
获取目标应用系统的请求流量以及访问日志;
分析所述请求流量和访问日志确定攻击过程,根据分析得到的攻击过程确定定向攻击;对所述定向攻击进行回溯,确定回溯信息,并对所述定向攻击对应的攻击日志进行分析,根据对定向攻击的分析结果确定所有攻击对应的时间节点;
根据所述回溯信息以及所述时间节点生成攻击链。
进一步地,所述获取目标应用系统的请求流量以及访问日志包括:
接管用户的请求流量,将所述请求流量返回服务器;
获取所述服务器对所述请求流量的响应流量,得到目标应用系统的请求流量以及访问日志。
进一步地,对所述定向攻击进行回溯,确定回溯信息,包括:
根据所述定向攻击对应的互联网协议地址回溯使用所述互联网协议地址进行访问时的所有访问日志,以回溯至信息收集过程,将回溯过程中收集的数据作为回溯信息。
进一步地,所述时间节点包括数据采集时间点、网站后门访问时间节点、攻击扫描时间点、手工探测时间点和未公开漏洞利用时间点中任一种或任几种组合。
进一步地,根据所述回溯信息以及所述时间节点生成攻击链之后,包括:
将所述攻击链作为互联网协议地址画像中的一个维度更新所述互联网协议地址画像。
进一步地,分析所述请求流量和访问日志确定攻击过程包括:利用预设的攻击过程模型分析所述请求流量和访问日志确定攻击过程,其中,所述预设的攻击过程模型,包括:
根据所述请求流量收集目标业务系统的相关信息;
对所述目标业务系统的相关信息进行扫描,确定目标攻击点;
对所述目标攻击点进行攻击,攻击成功后上传获取所述目标业务系统数据的请求;
对所述访问日志以及对所述目标点进行攻击形成的攻击日志进行清除。进一步地,所述目标业务系统的相关信息包括企业域名、企业子域名、互联网协议地址、端口信息。
进一步地,所述通过扫描器对所述目标业务系统的相关信息进行扫描,确定目标攻击点,包括:
通过扫描器对所述目标业务系统的相关信息进行扫描时的扫描特征分析所述扫描器探测的访问日志,得到所述扫描器获取的数据信息,其中,所述扫描特征包括扫描互联网协议地址、扫描开始时间、扫描结束时间、扫描网站、扫描器类型以及扫描次数中任几种组合。
进一步地,所述方法还包括:
根据预设频率以及攻击特征确定探测类型,其中,所述探测类型包括手工探测和扫描器探测。
进一步地,使用手工探测对所述目标攻击点进行攻击的同时或之后,包括:
获取手工探测参数,其中,所述手工探测参数包括手工探测开始时间、手工探测次数、手工探测互联网协议地址、手工探测的统一资源定位符中任一种或任几种组合。
根据本申请的另一方面提供了一种使用前述用于分析攻击链的方法的系统,所述系统包括:检测防御模块、大数据平台模块、大数据分析模块,其中,
所述检测防御模块用于获取目标应用系统的请求流量以及访问日志,并将所述请求流量及访问日志发送至所述大数据平台模块;
所述大数据分析模块用于从所述大数据平台模块中获取所述请求流量和访问日志,分析所述请求流量和访问日志确定攻击过程;所述大数据分析模块用于根据所述攻击过程确定定向攻击,对所述定向攻击进行回溯,确定回溯信息,并对所述定向攻击对应的攻击日志进行分析,根据对定向攻击的分析结果确定所有攻击对应的时间节点,以及根据所述回溯信息以及所述时间节点生成攻击链。
根据本申请另一个方面,还提供了一种计算机可读介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现如前述任一项所述的方法。
根据本申请又一个方面,还提供了一种用于分析攻击链的设备,其中,所述设备包括:
一个或多个处理器;以及
存储有计算机可读指令的存储器,所述计算机可读指令在被执行时使所述处理器执行如前述任一项所述方法的操作。
与现有技术相比,本申请通过获取目标应用系统的请求流量以及访问日志;分析所述请求流量和访问日志确定攻击过程,根据分析得到的攻击过程确定定向攻击;对所述定向攻击进行回溯,确定回溯信息,并对所述定向攻击对应的攻击日志进行分析,根据对定向攻击的分析结果确定所有攻击对应的时间节点;根据所述回溯信息以及所述时间节点生成攻击链。从而将攻击过程以链式进行可视化展示,以方便管理员更直观快捷查看整个攻击过程,为后续管理员相关处置决定做策略参考,形成的完整攻击链为后续溯源提供取证材料;将分析过程以及攻击者攻击过程进行模型化,达到标准分析过程,让分析过程及时效性得以保证。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1示出根据本申请的一个方面提供的一种用于分析攻击链的方法流程示意图;
图2示出本申请又一优选实施例中回溯攻击的方法流程示意图;
图3示出了本申请再一优选实施例中使用用于分析攻击链的方法的系统框架示意图;
图4示出本申请再一优选实施例中检测防御模块应用流程示意图;
图5示出本申请再一优选实施例中攻击过程模型流程示意图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本申请作进一步详细描述。
在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
图1示出根据本申请的一个方面提供的一种用于分析攻击链的方法流程示意图,该方法包括:步骤S11~S14,步骤S11,获取目标应用系统的请求流量以及访问日志;步骤S12,分析所述请求流量和访问日志确定攻击过程,根据分析得到的攻击过程确定定向攻击;步骤S13,对所述定向攻击进行回溯,确定回溯信息,并对所述定向攻击对应的攻击日志进行分析,根据对定向攻击的分析结果确定所有攻击对应的时间节点;步骤S14,根据所述回溯信息以及所述时间节点生成攻击链。将攻击过程以链式进行可视化展示,以方便管理员更直观快捷查看整个攻击过程,为后续相关处置决定做策略参考,形成的完整攻击链为后续溯源提供取证材料。将分析过程以及攻击者攻击过程进行模型化,达到标准分析过程,让分析过程及时效性得以保证。
具体地,步骤S11中,获取目标应用系统的请求流量以及访问日志。在此,当目标应用系统被访客访问后,所述目标应用系统获取所述访客请求流量,服务器保存所述访客的访问日志,通过获取所述请求流量以及访问日志用以分析目标应用系统是否被攻击或分析被攻击后的具体攻击过程。优选地,在网页应用防护系统采用内容分发网络(CDN),所述服务器为真实服务器(真实Server),通过所述真实服务器可以访问用户的真实源。
步骤S12中,分析所述请求流量和访问日志确定攻击过程,根据分析得到的攻击过程确定定向攻击。在此,优选地,利用预设攻击过程模型分析获取到的请求流量以及访问日志以确定攻击过程。所述预设的攻击过程模型可以通过分析历史请求流量以及历史访问日志获取所述目标应用系统所有请求流量以及访问日志的分析结果,利用所述分析结果中包含的数据信息,例如访问互联网协议地址、访问时间等,模型化后得到预设的攻击过程模型,便于分析攻击过程。接着,向预设的攻击过程模型中输入获取到的请求流量以及访问日志,筛选得到所述攻击过程模型中对于目标应用系统具有针对性攻击行为的请求操作,将其确定为定向攻击。具体地,定向攻击为对业务系统威胁程度高的攻击,对业务系统有针对性攻击,将对业务系统威胁不大的攻击筛选掉,从中发现真正的威胁者。比如,某黑客仅针对某一个系统进行了攻击,该攻击的威胁度较高,则识别为定向攻击;当攻击者触发了防火墙拦截并且拦截界面在浏览器中成功显示、进行了低频探测或对网站后门(webshell)进行访问的操作,则识别为定向攻击。通过对攻击过程以及分析过程模型化,达到标准分析过程,让分析过程及时效性得以保证。
步骤S13中,对所述定向攻击进行回溯,确定回溯信息,并对所述定向攻击对应的攻击日志进行分析,根据对定向攻击的分析结果确定所有攻击对应的时间节点。在此,被确定的所述定向攻击存在一进行了所述定向攻击的互联网协议地址(IP),对所述IP进行回溯确定所述IP的所有访问日志,得到回溯信息,例如所述IP的信息采集阶段获取的数据信息和信息采集各个时间节点、所述IP发起定向攻击的攻击操作等。接着对所述定向攻击对应的攻击日志进行分析,确定所述定向攻击各个攻击操作,根据定向攻击回溯后得到所有攻击者的攻击操作对应的每一个时间节点,例如扫描操作及扫描时间点、手工注入操作及手工注入时间点等。
步骤S14,根据所述回溯信息以及所述时间节点生成攻击链。在此,按照所述时间节点的顺序排列根据所述回溯信息得到的攻击操作,生成攻击链,其中所述攻击链为链式可视化图表,以便于随时取证攻击信息,并解放了安全管理员纷繁复杂的分析工作。
优选地,步骤S11中,接管用户的请求流量,将所述请求流量返回服务器;获取所述服务器对所述请求流量的响应流量,得到目标应用系统的请求流量以及访问日志。在此,通过接管用户的请求流量以及接收所述服务器对所述请求流量的响应流量,来收集所述目标业务系统的请求流量以及访问日志,以实现获取全部的访问流量和响应流量。
优选地,所述时间节点包括数据采集时间点、网站后门访问时间节点、攻击扫描时间点、手工探测时间点和未公开漏洞利用时间点中任一种或任几种组合。根据所述时间节点将所述回溯信息根据时间节点进行完整的顺序排列,生成攻击链,以便于使得攻击者攻击过程快速地以链式呈现可视化分析结果,同时便于为后续取证提供数据依据。
图2示出本申请又一优选实施例中回溯攻击的方法流程示意图,在确定定向攻击后将对攻击进行回溯,回溯到信息收集过程;同时对统计进行全方面的攻击日志统计分析,分析出网页后台(Webshell)访问时间节点、攻击扫描时间点、手工攻击时间点、未公布漏洞(0day)利用时间点等,形成整个攻击链的数据分析模型,以便生成攻击链。
优选地,根据所述回溯信息以及所述时间节点生成攻击链之后,将所述攻击链作为互联网协议地址画像中的一个维度更新所述互联网协议地址画像。在此,所述互联网协议地址画像(IP画像)一一对应每一个被记录的IP对应的访问操作,将所述攻击链作为IP画像中的一个维度更新所述IP画像以形成完整的持续更新的IP访问操作记录档案,便于为后续取证提供数据依据。
优选地,步骤S12中,利用预设的攻击过程模型分析所述请求流量和访问日志确定攻击过程,其中,所述预设的攻击过程模型包括:根据所述请求流量收集目标业务系统的相关信息;对所述目标业务系统的相关信息进行扫描,并结合所述访问日志确定目标攻击点;对所述目标攻击点进行攻击,攻击成功后上传获取所述目标业务系统数据的请求,;对所述访问日志以及对所述目标点进行攻击形成的攻击日志进行清除。在此,通过预设的攻击过程模型分析所述请求流量和访问日志确定攻击过程,利用所述攻击过程模型筛选攻击过程以确定定向攻击。所述预设的攻击过程模型可以为:根据所述请求流量确定收集目标业务系统相关信息的收集过程以及收集时间点,其中,所述目标业务系统的相关信息可以为所述目标业务系统的业务信息、域名信息等。根据所述请求流量确定其中的扫描器对所述目标业务系统的相关信息进行的扫描操作,根据所述扫描操作可以得到扫描获取的数据信息、扫描频率、扫描时间点等信息,结合所述访问日志信息确定目标攻击点,其中,所述目标攻击点可以为黑客对目标业务系统进行攻击的代码以及代码组合。优选地,使用手工探测作为扫描器探测的补充攻击操作对所述目标攻击点进行攻击。接着,攻击成功后,获取所述目标业务系统数据或上传网站后门(webshell)以获取数据和长期潜伏获取数据。然后,清除所述访问日志以及对所述目标点进行攻击形成的攻击日志以避免被追踪,在此,所述访问日志以及攻击日志储存于所述服务器。优选地,所述目标业务系统的相关信息包括企业域名、企业子域名、互联网协议地址、端口信息。在此,所述目标业务系统的相关信息包括但不限于以下的一项或多项:企业域名、企业子域名、互联网协议地址、端口信息,被黑客用于准备入侵目标业务系统。需要注意的是,此处预设的攻击过程模型仅为举例,并且所述预设的攻击过程模型可以根据分析得到的历史攻击过程进行更新,以达到更好的分析效果。
优选地,所述预设的攻击过程模型可以包括:通过扫描器对所述目标业务系统的相关信息进行扫描时的扫描特征分析所述扫描器探测的访问日志,得到所述扫描器获取的数据信息,其中,所述扫描特征包括扫描互联网协议地址、扫描开始时间、扫描结束时间、扫描网站、扫描器类型以及扫描次数中任几种组合;根据所述扫描器获取的数据信息确定目标攻击点。在此,扫描器对所述目标业务系统的相关信息进行扫描以获取所述目标业务系统的相关信息,在此过程中,所述扫描器探测的访问日志内包括但不限于以下一项或多项任几种组合:扫描互联网协议地址、扫描开始时间、扫描结束时间、扫描网站、扫描器类型以及扫描次数。通过所述扫描特征分析所述扫描器探测的访问日志得到所述扫描器获取的数据信息,在此,所述数据信息为扫描特征对应的数据信息组合,例如确定单个IP单次扫描开始时间、结束时间对应的所述目标业务系统被获取的数据信息。
优选地,所述预设的攻击过程模型可以包括:还根据预设频率以及攻击特征确定探测类型,其中,所述探测类型包括手工探测和扫描器探测。在此,所述预设频率为预设的频率阈值,限定探测频率在预设频率阈值内的探测类型为手工探测,在预设频率阈值外的探测类型为扫描器探测。在本申请一优选实施例中,手工探测与扫描器的攻击特征不同,例如程序中包含了JavaScript脚本的嵌入时,判定为手工探测。
优选地,所述预设的攻击过程模型可以包括:使用手工探测对所述目标攻击点进行攻击的同时或之后,获取手工探测参数,其中,所述手工探测参数包括手工探测开始时间、手工探测次数、手工探测互联网协议地址、手工探测的统一资源定位符中任一种或任几种组合。在此,获取手工参数的操作在黑客使用手工探测对所述目标攻击点进行攻击的同时或之后进行,根据所述手工探测参数建立黑客使用手工探测进行攻击的过程,其中,所述目标攻击点为通过扫描器对获取的业务系统进行的扫描得知的目标攻击点,比如:可SQL注入、弱密码等。
优选地,所述预设的攻击过程模型可以包括:判断所述攻击成功后上传获取所述目标业务系统数据的请求时的请求包中是否包含允许在服务器上执行的脚本文件,若是,则所述上传方式为所述上传至网站后门,若否,则所述上传方式为所述直接获取数据。在此,通过对请求流量以及访问流量分析以判断所述攻击成功后的数据进行请求上传时的请求包中是否分辨包含允许在服务器上执行的脚本文件,在本申请一优选实施例中,上传至网站后门是的特征为在所述请求包中包含以asp、php、jsp或cgi等网页文件形式存在的命令执行环境中被允许执行的数据信息,而直接获取数据则是发起下载请求;当请求包中未包含脚本文件、响应时间大于某一预设值且当响应包大小大于某一值时,判定为通过下载请求以直接获取数据。在此,直接获取的数据包括但不限于数据库文件、配置文件以及源码文件。在本申请一实施例中,如果攻击者在每隔一段时间便进行上传或直接获取数据的操作,则证明攻击者长期进行了数据获取。优选地,步骤S13中,根据所述定向攻击对应的互联网协议地址回溯使用所述互联网协议地址进行访问时的所有访问日志,以回溯至信息收集过程,将回溯过程中收集的数据作为回溯信息。在此,根据定向攻击确定对应的互联网协议地址(IP),根据所述IP进行索引后筛选所有访问日志,得到所述IP对应的访问日志,分析所述IP对应的访问日志并结合所述攻击过程模型得到所述IP进行攻击前的信息收集过程,例如所述IP使用扫描器对所述目标业务系统进行的扫描操作以及扫描特征等;接着,将所述IP在信息收集过程中产生的所有数据进行收集后作为回溯信息,例如所述IP获取的所述目标业务系统的数据信息以及上传至所述目标业务系统的请求数据。
优选地,所述预设的攻击过程模型可以包括:对所述目标攻击点进行攻击之后,所述攻击被拦截,未能成功攻击。在此,在预设攻击过程模型中还可以包括:所述攻击被实时拦截导致攻击失败,同时获取失败后的攻击日志数据,例如攻击对应的IP、攻击时间节点、被拦截的时间节点等,对攻击对应的IP地址进行回溯操作以形成所述IP对应的攻击过程。
图3示出了本申请再一优选实施例中使用用于分析攻击链的方法的系统框架示意图,所述系统包括:检测防御模块100、大数据平台模块200、大数据分析模块300,其中,所述检测防御模块100用于获取目标应用系统的请求流量以及访问日志,并将所述请求流量及访问日志发送至所述大数据平台模块200;所述大数据分析模块300用于从所述大数据平台模块200中获取所述请求流量和访问日志,分析所述请求流量和访问日志确定攻击过程;所述大数据分析模块300用于根据所述攻击过程确定定向攻击,对所述定向攻击进行回溯,确定回溯信息,并对所述定向攻击对应的攻击日志进行分析,根据对定向攻击的分析结果确定所有攻击对应的时间节点,以及根据所述回溯信息以及所述时间节点生成攻击链。从而将攻击过程以链式进行可视化展示,以方便管理员更直观快捷查看整个攻击过程,为后续管理员相关处置决定做策略参考,形成的完整攻击链为后续溯源提供取证材料;将分析过程以及攻击者攻击过程进行模型化,达到标准分析过程,让分析过程及时效性得以保证。如图所示,云WAF检测防御模块为所述检测防御模块100,所述大数据平台模块200标识为大数据平台,所述大数据分析模块300标识为大数据分析模块,所述服务器标识为真实Server。
具体地,所述检测防御模块100用于获取目标应用系统的请求流量以及访问日志。在此,如图4所示,当目标应用系统被访客访问后,所述检测防御模块100获取所述访客请求流量,将安全请求返回服务器(真实Server),服务器响应请求进行保存所述访客的访问日志,从而检测防御模块100接管服务器的响应请求流量。所述检测防御模块100获取所述请求流量以及访问日志用以分析目标应用系统是否被攻击或分析被攻击后的具体攻击过程,并将所述请求流量及访问日志发送至所述大数据平台模块200,所述大数据平台模块200用于储存所述请求流量及访问日志。通过将WEB应用系统流量反向代理到检测防御模块100实现全访问流量及响应流量获取,并负责主动防御及未知威胁检测,为大数据平台提供相关数据。
接着,大数据分析模块300用于根据所述请求流量和访问日志,分析所述请求流量和访问日志确定攻击过程,根据所述攻击过程确定定向攻击。在此,所述大数据分析模块300建立攻击过程模型所需要的数据信息根据自所述大数据平台模块200获取的所述请求流量以及访问日志得到,所述大数据分析模块300分析所述请求流量以及访问日志获取所述目标应用系统所有请求流量以及访问日志的分析结果,利用所述分析结果中包含的数据信息,例如访问互联网协议地址、访问时间等,,便于分析攻击过程。接着,所述大数据分析模块300筛选攻击过程得到所述攻击过程中对于目标应用系统具有针对性攻击行为的请求操作,将其确定为定向攻击。比如,某黑客仅针对某一个系统进行了攻击,则识别为定向攻击;当攻击者触发了防火墙拦截并且拦截界面在浏览器中成功显示、进行了低频探测或对网站后门(webshell)进行访问的操作,则识别为定向攻击。
接着,所述大数据分析模块300用于对所述定向攻击进行回溯,确定回溯信息,并对所述定向攻击对应的攻击日志进行分析,根据对定向攻击的分析结果确定所有攻击对应的时间节点。在此,被确定的所述定向攻击存在一进行了所述定向攻击的互联网协议地址(IP),所述大数据分析模块300对所述IP进行回溯确定所述IP的所有访问日志,得到回溯信息,例如所述IP的信息采集阶段获取的数据信息和信息采集各个时间节点、所述IP发起定向攻击的攻击操作等。接着对所述定向攻击对应的攻击日志进行分析,确定所述定向攻击各个攻击操作,根据定向攻击回溯后得到所有攻击者的攻击操作对应的每一个时间节点,例如扫描操作及扫描时间点、手工注入操作及手工注入时间点等。接着,所述大数据分析模块300根据所述回溯信息以及所述时间节点生成攻击链。在此,按照所述时间节点的顺序排列根据所述回溯信息得到的攻击操作,生成攻击链,其中所述攻击链为链式可视化图表,以便于随时取证攻击信息。
在本申请一实施例中,大数据分析模块300通过大数据平台对攻击进行实时在线分析,按照攻击者攻击过程,提供攻击链分析模型;利用预设的攻击过程模型对攻击者分析,所述预设的攻击过程模型如下:如图5所示,包括前期信息收集,主要搜集企业相关业务系统信息,为入侵做前期准备;中期通过扫描器对前期获取的业务系统进行扫描,找出目标攻击点进行突破,同时配合手工探测进行攻击;如果攻击成功后一般会上传网站后门(WebShell)或者直接获取数据;获取日志后对攻击日志进行清除;大数据分析模块将此过程进行模型化,获得攻击分析模型;攻击分析模型以定向攻击为起点对攻击进行回溯,回溯到信息收集过程;同时对统计进行全方面的攻击日志统计分析,分析出Webshell访问时间节点、攻击扫描时间点、手工攻击时间点、0day利用时间点等,形成整个攻击链的数据分析模型。
优选地,所述大数据分析模块300还用于将所述攻击链作为互联网协议地址画像中的一个维度更新所述互联网协议地址画像。在此,所述互联网协议地址画像(IP画像)一一对应每一个被记录的IP对应的访问操作,所述大数据分析模块300将所述攻击链作为IP画像中的一个维度更新所述IP画像以形成完整的持续更新的IP访问操作记录档案,便于为后续取证提供数据依据。
在本申请一优选实施例中,所述系统作为攻击数据分析的一个模块,通过将网页应用系统流量反向代理到云WAF检测防御模块实现全访问流量及响应流量获取,通过检测模块确定攻击,并将攻击通过大数据分析模块分析后形成一个完整的攻击链,以链式方式展示;将人工分析过程中多个环节模型化,同时将攻击者攻击过程模型化,通过模型化后自动将攻击者攻击过程以链式的方法可视化展现,将一次攻击事件完整展示,解放攻击分析者日常繁杂的分析任务。在此,对数据的分析支持以单个用户及全网数据为维度进行分析,分析结果同时可以作为此攻击IP画像的一个纬度,用于绘制IP档案。分析结果同样可以作为取证材料,为后续溯源及报案等提供数据依据。
在本申请一实施例中,通过上述系统,生成攻击链的具体步骤如下:
S1:访客发起请求,访问某WEB应用系统;
S2:云WAF检测防御模块接管访客访问流量,对访客流量进行分析,检测请求体及响应数据通过AI模型与规则双引擎结合的方式进行检测,检测访客是否进行了恶意扫描或恶意攻击。该系统中的云WAF在定义威胁程度时是按照攻击将会对系统产生的影响为纬度,如在整个云WAF系统中,某黑客仅针对某一个系统进行了攻击,则此攻击针对性明显,将会被系统识别为定向攻击;当攻击者触发了云WAF的拦截并且拦截页面在浏览器中成功显示、进行了低频探测、有对webshell进行访问等类型的高危动作均会被识别为定向攻击。
S3:通过S2确定进行了攻击的IP,接着回溯此IP所有访问日志,确定其信息采集阶段的数据,例如首次采集时间节点。同时将此IP其他攻击信息同样进行整理分析。
S4:生成攻击链,通过时间节点为维度统计S3得到的分析结果,生成链式可视化图表。后续此IP的攻击数据不断累加到此攻击链上对此IP对应的攻击链进行更新,形成一个不断完善的攻击链。实现了随时取证此IP对应的攻击信息。
S5:提供给IP画像集成的IP档案库,作为IP画像的一个纬度,可视化展示此IP对应黑客的威胁程度,为整个云WAF防御平台作为联动防御分析使用。
从而针对WEB应用的攻击过程自动生成以链式进行可视化展示,为后续管理员相关处置决定做策略参考,为溯源提供取证材料。整个过程集成在云WAF中,完全自动,无需业务系统安全管理员部署及维护,解放了安全管理员依靠手工分析工作;同时,将攻击过程及分析过程模型化,达到标准分析过程,保证了分析的时效性,适用于海量分析任务,并且增加了攻击采集信息过程数据,让攻击链更加完整;补充了云WAF威胁分析的可视化展示维度,让云WAF的数据报表更有针对性、可用性及参考价值;补充了IP画像的威胁维度,为云WAF平台进行全网联防联控带来新的数据信息。
此外,本申请实施例还提供了一种计算机可读介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现前述的方法。
根据本申请再一个方面,还提供了一种用于分析攻击链的设备,其中,所述设备包括:
一个或多个处理器;以及
存储有计算机可读指令的存储器,所述计算机可读指令在被执行时使所述处理器执行前述的方法的操作。
例如,计算机可读指令在被执行时使所述一个或多个处理器:
获取目标应用系统的请求流量以及访问日志;分析所述请求流量和访问日志确定攻击过程,根据分析得到的攻击过程确定定向攻击;对所述定向攻击进行回溯,确定回溯信息,并对所述定向攻击对应的攻击日志进行分析,根据对定向攻击的分析结果确定所有攻击对应的时间节点;根据所述回溯信息以及所述时间节点生成攻击链。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本申请的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本申请的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本申请的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (14)
1.一种用于分析攻击链的方法,其中,所述方法包括:
获取目标应用系统的请求流量以及访问日志;
分析所述请求流量和访问日志确定攻击过程,根据分析得到的攻击过程确定定向攻击;
对所述定向攻击进行回溯,确定回溯信息,并对所述定向攻击对应的攻击日志进行分析,根据对定向攻击的分析结果确定所有攻击对应的时间节点;
根据所述回溯信息以及所述时间节点生成攻击链。
2.根据权利要求1所述的方法,其中,所述获取目标应用系统的请求流量以及访问日志包括:
接管用户的请求流量,将所述请求流量返回服务器;
获取所述服务器对所述请求流量的响应流量,得到目标应用系统的请求流量以及访问日志。
3.根据权利要求1所述的方法,其中,对所述定向攻击进行回溯,确定回溯信息,包括:
根据所述定向攻击对应的互联网协议地址回溯使用所述互联网协议地址进行访问时的所有访问日志,以回溯至信息收集过程,将回溯过程中收集的数据作为回溯信息。
4.根据权利要求1所述的方法,其中,所述时间节点包括数据采集时间点、网站后门访问时间节点、攻击扫描时间点、手工探测时间点和未公开漏洞利用时间点中任一种或任几种组合。
5.根据权利要求1所述的方法,其中,根据所述回溯信息以及所述时间节点生成攻击链之后,包括:
将所述攻击链作为互联网协议地址画像中的一个维度更新所述互联网协议地址画像。
6.根据权利要求1所述的方法,其中,分析所述请求流量和访问日志确定攻击过程包括:利用预设的攻击过程模型分析所述请求流量和访问日志确定攻击过程,其中,所述预设的攻击过程模型,包括:
根据所述请求流量收集目标业务系统的相关信息;
对所述目标业务系统的相关信息进行扫描确定目标攻击点;
对所述目标攻击点进行攻击,攻击成功后上传获取所述目标业务系统数据的请求;
对所述访问日志以及对所述目标点进行攻击形成的攻击日志进行清除。
7.根据权利要求6所述的方法,其中,所述目标业务系统的相关信息包括企业域名、企业子域名、互联网协议地址、端口信息。
8.根据权利要求6所述的方法,其中,所述通过扫描器对所述目标业务系统的相关信息进行扫描确定目标攻击点,包括:
通过扫描器对所述目标业务系统的相关信息进行扫描时的扫描特征分析所述扫描器探测的访问日志,得到所述扫描器获取的数据信息,其中,所述扫描特征包括扫描互联网协议地址、扫描开始时间、扫描结束时间、扫描网站、扫描器类型以及扫描次数中任几种组合。
9.根据权利要求1所述的方法,其中,所述方法还包括:
根据预设频率以及攻击特征确定探测类型,其中,所述探测类型包括手工探测和扫描器探测。
10.根据权利要求6所述的方法,其中,使用手工探测对所述目标攻击点进行攻击的同时或之后,包括:
获取手工探测参数,其中,所述手工探测参数包括手工探测开始时间、手工探测次数、手工探测互联网协议地址、手工探测的统一资源定位符中任一种或任几种组合。
11.一种使用如权利要求1至10所述的用于分析攻击链的方法的系统,其中,所述系统包括:检测防御模块、大数据平台模块、大数据分析模块,其中,
所述检测防御模块用于获取目标应用系统的请求流量以及访问日志,并将所述请求流量及访问日志发送至所述大数据平台模块;
所述大数据分析模块用于从所述大数据平台模块中获取所述请求流量和访问日志,分析所述请求流量和访问日志确定攻击过程;
所述大数据分析模块用于根据所述攻击过程确定定向攻击,对所述定向攻击进行回溯,确定回溯信息,并对所述定向攻击对应的攻击日志进行分析,根据对定向攻击的分析结果确定所有攻击对应的时间节点,以及根据所述回溯信息以及所述时间节点生成攻击链。
12.根据权利要求11所述的系统,其中,所述大数据分析模块还用于将所述攻击链作为互联网协议地址画像中的一个维度更新所述互联网协议地址画像。
13.一种计算机可读介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现如权利要求1至10中任一项所述的方法。
14.一种用于分析攻击链的设备,其中,所述设备包括:
一个或多个处理器;以及
存储有计算机可读指令的存储器,所述计算机可读指令在被执行时使所述处理器执行如权利要求1至10中任一项所述方法的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911128864.0A CN112822147B (zh) | 2019-11-18 | 2019-11-18 | 一种用于分析攻击链的方法、系统及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911128864.0A CN112822147B (zh) | 2019-11-18 | 2019-11-18 | 一种用于分析攻击链的方法、系统及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112822147A true CN112822147A (zh) | 2021-05-18 |
| CN112822147B CN112822147B (zh) | 2022-12-06 |
Family
ID=75852615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911128864.0A Active CN112822147B (zh) | 2019-11-18 | 2019-11-18 | 一种用于分析攻击链的方法、系统及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112822147B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114003903A (zh) * | 2021-12-28 | 2022-02-01 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
| CN114363002A (zh) * | 2021-12-07 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种网络攻击关系图的生成方法及装置 |
| CN114448679A (zh) * | 2022-01-04 | 2022-05-06 | 深圳萨摩耶数字科技有限公司 | 攻击链构建方法、装置、电子设备及存储介质 |
| CN115001832A (zh) * | 2022-06-10 | 2022-09-02 | 阿里云计算有限公司 | 防止密码攻击的方法、装置及电子设备 |
| CN116582371A (zh) * | 2023-07-13 | 2023-08-11 | 上海观安信息技术股份有限公司 | 扫描器的检测方法及装置、存储介质、电子设备 |
| CN117675415A (zh) * | 2024-01-31 | 2024-03-08 | 北京六方云信息技术有限公司 | 攻击防御方法、装置、终端设备以及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553624A (zh) * | 2003-12-19 | 2004-12-08 | 上海交通大学 | 基于主动网回溯技术防御拒绝服务攻击的方法 |
| CN104836815A (zh) * | 2015-06-01 | 2015-08-12 | 广东电网有限责任公司信息中心 | 一种基于日志分析功能的安全事件回溯方法及系统 |
| CN105763529A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种网络环境下攻击链获取方法及系统 |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN108769077A (zh) * | 2018-07-06 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种网络安全溯源分析的方法及装置 |
| CN108900514A (zh) * | 2018-07-04 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | 基于同源分析的攻击信息追踪溯源方法及装置 |
| CN109660515A (zh) * | 2018-11-15 | 2019-04-19 | 中国科学院信息工程研究所 | 攻击链检测方法及装置 |
| US20190340354A1 (en) * | 2018-05-01 | 2019-11-07 | Royal Bank Of Canada | System and method for reducing false positive security events |
-
2019
- 2019-11-18 CN CN201911128864.0A patent/CN112822147B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553624A (zh) * | 2003-12-19 | 2004-12-08 | 上海交通大学 | 基于主动网回溯技术防御拒绝服务攻击的方法 |
| CN104836815A (zh) * | 2015-06-01 | 2015-08-12 | 广东电网有限责任公司信息中心 | 一种基于日志分析功能的安全事件回溯方法及系统 |
| CN105763529A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种网络环境下攻击链获取方法及系统 |
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
| US20190340354A1 (en) * | 2018-05-01 | 2019-11-07 | Royal Bank Of Canada | System and method for reducing false positive security events |
| CN108900514A (zh) * | 2018-07-04 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | 基于同源分析的攻击信息追踪溯源方法及装置 |
| CN108769077A (zh) * | 2018-07-06 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种网络安全溯源分析的方法及装置 |
| CN109660515A (zh) * | 2018-11-15 | 2019-04-19 | 中国科学院信息工程研究所 | 攻击链检测方法及装置 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114363002A (zh) * | 2021-12-07 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种网络攻击关系图的生成方法及装置 |
| CN114363002B (zh) * | 2021-12-07 | 2023-06-09 | 绿盟科技集团股份有限公司 | 一种网络攻击关系图的生成方法及装置 |
| CN114003903A (zh) * | 2021-12-28 | 2022-02-01 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
| CN114003903B (zh) * | 2021-12-28 | 2022-03-08 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
| CN114448679A (zh) * | 2022-01-04 | 2022-05-06 | 深圳萨摩耶数字科技有限公司 | 攻击链构建方法、装置、电子设备及存储介质 |
| CN114448679B (zh) * | 2022-01-04 | 2024-05-24 | 深圳萨摩耶数字科技有限公司 | 攻击链构建方法、装置、电子设备及存储介质 |
| CN115001832A (zh) * | 2022-06-10 | 2022-09-02 | 阿里云计算有限公司 | 防止密码攻击的方法、装置及电子设备 |
| CN115001832B (zh) * | 2022-06-10 | 2024-02-20 | 阿里云计算有限公司 | 防止密码攻击的方法、装置及电子设备 |
| CN116582371A (zh) * | 2023-07-13 | 2023-08-11 | 上海观安信息技术股份有限公司 | 扫描器的检测方法及装置、存储介质、电子设备 |
| CN116582371B (zh) * | 2023-07-13 | 2023-09-22 | 上海观安信息技术股份有限公司 | 扫描器的检测方法及装置、存储介质、电子设备 |
| CN117675415A (zh) * | 2024-01-31 | 2024-03-08 | 北京六方云信息技术有限公司 | 攻击防御方法、装置、终端设备以及存储介质 |
| CN117675415B (zh) * | 2024-01-31 | 2024-04-19 | 北京六方云信息技术有限公司 | 攻击防御方法、装置、终端设备以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112822147B (zh) | 2022-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112822147B (zh) | 一种用于分析攻击链的方法、系统及设备 | |
| US11785040B2 (en) | Systems and methods for cyber security alert triage | |
| Zhang et al. | Crawlphish: Large-scale analysis of client-side cloaking techniques in phishing | |
| US11025674B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| Shiravi et al. | Toward developing a systematic approach to generate benchmark datasets for intrusion detection | |
| US9430646B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
| CN103685575B (zh) | 一种基于云架构的网站安全监控方法 | |
| US11290468B2 (en) | Content delivery network (CDN) bot detection using primitive and compound feature sets | |
| US20230362200A1 (en) | Dynamic cybersecurity scoring and operational risk reduction assessment | |
| Kumari et al. | An insight into digital forensics branches and tools | |
| Riccardi et al. | A framework for financial botnet analysis | |
| US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
| US20230362142A1 (en) | Network action classification and analysis using widely distributed and selectively attributed sensor nodes and cloud-based processing | |
| CN114244564B (zh) | 攻击防御方法、装置、设备及可读存储介质 | |
| WO2020016906A1 (en) | Method and system for intrusion detection in an enterprise | |
| Sommestad et al. | Variables influencing the effectiveness of signature-based network intrusion detection systems | |
| Djap et al. | Xb-pot: Revealing honeypot-based attacker’s behaviors | |
| CN107231364A (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
| EP3789890A1 (en) | Fully qualified domain name (fqdn) determination | |
| Bhardwaj et al. | Sql injection attack detection, evidence collection, and notifying system using standard intrusion detection system in network forensics | |
| CN115102785B (zh) | 一种针对网络攻击的自动溯源系统及方法 | |
| Holz et al. | A retrospective analysis of user exposure to (illicit) cryptocurrency mining on the web | |
| Yang et al. | Network forensics in the era of artificial intelligence | |
| CN112738068B (zh) | 一种网络脆弱性扫描方法及装置 | |
| Aarya et al. | Web scanning: existing techniques and future |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |