CN113497786B - 一种取证溯源方法、装置以及存储介质 - Google Patents

一种取证溯源方法、装置以及存储介质 Download PDF

Info

Publication number
CN113497786B
CN113497786B CN202010200812.6A CN202010200812A CN113497786B CN 113497786 B CN113497786 B CN 113497786B CN 202010200812 A CN202010200812 A CN 202010200812A CN 113497786 B CN113497786 B CN 113497786B
Authority
CN
China
Prior art keywords
data
sample
external
information
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010200812.6A
Other languages
English (en)
Other versions
CN113497786A (zh
Inventor
吕承琨
彭宁
马文瑞
徐超
程虎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202010200812.6A priority Critical patent/CN113497786B/zh
Publication of CN113497786A publication Critical patent/CN113497786A/zh
Application granted granted Critical
Publication of CN113497786B publication Critical patent/CN113497786B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2474Sequence data queries, e.g. querying versioned data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Fuzzy Systems (AREA)
  • Probability & Statistics with Applications (AREA)
  • Software Systems (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Technology Law (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请实施例公开了一种取证溯源方法、装置以及存储介质,用于网络安全技术领域。本申请实施例方法包括:获取外部特征数据库;基于初始样本数据,获取样本元数据;基于外部特征数据库以及样本元数据,确定样本指纹特征信息所对应的样本特征数据种类以及样本特征数据版本;若满足主动触发条件,则向目标攻击服务器发送漏洞利用数据;接收目标攻击服务器发送的取证信息。本申请实施例可以自动并且实时对目标攻击服务器的信息进行获取,其次,由于不需要溯源分析人员进行溯源分析工作,可以及时进行溯源分析,没有滞后期,由此提升了取证溯源的效率。

Description

一种取证溯源方法、装置以及存储介质
技术领域
本申请实施例涉及网络安全技术领域,尤其涉及一种取证溯源方法、装置以及存储介质。
背景技术
随着科技的进步以及网络的发展,网络安全也逐渐被人们所关注,各种部门、科研单位或者企业的若被网络攻击,例如对于计算机和计算机网络来说,破坏、揭露、修改、使软件以及服务失去功能,或者在没有得到授权的情况下偷取或访问任何一计算机的数据,则会使得网络安全性降低,而通过研究恶意样本间的关联与同源分析,揭示恶意代码攻击背后的开发者或攻击组织的关系,可以为网络攻击溯源提供更加全面的数据支持。面对网络攻击,通过网络攻击者溯源及恶意样本的同源分析,可以提升网络安全性。
目前,网络攻击的取证溯源包括取证以及溯源两个操作,取证可以获取被攻击者主机信息和完整证据链,而溯源则需要分析软件和溯源数据库,从而的得到网络攻击者的详细信息。具体地,可以先获取到事件失陷指标(indicators of compromise,IOC),然后由溯源分析人员通过IOC从网络设备溯源,其中可以包括但不限于传输信息、命令和控制服务器(command and control server,C2 server)以及钓鱼链接,然后从事件失陷指标中得到网络攻击者的详细信息。
然而,IOC的获取以及人工溯源处理阶段是分离的,然而网络攻击时间段具有不确定性,当溯源分析人员进行溯源分析时,可能C2服务器已经关闭或者域名已经停止解析,对网络攻击者的服务器取证的实时性较低,其次,由于溯源分析人员进行溯源分析工作,溯源分析周期的稳定性较低,因此对网络攻击的取证溯源存在滞后期,由此降低取证溯源的效率。
发明内容
本申请实施例提供了一种取证溯源方法、装置以及存储介质,可以自动并且实时对目标攻击服务器的信息进行获取,其次,由于不需要溯源分析人员进行溯源分析工作,可以及时进行溯源分析,没有滞后期,由此提升了取证溯源的效率。
有鉴于此,本申请第一方面提供一种取证溯源的方法,包括:
获取外部特征数据库,其中,外部特征数据库包括至少一个外部特征数据,外部特征数据包括外部指纹特征信息,外部指纹特征信息与外部特征数据种类以及外部特征数据版本相对应;
基于初始样本数据,获取样本元数据,其中,初始样本数据为目标攻击服务器的数据,样本元数据包括样本指纹特征信息;
基于外部特征数据库以及样本元数据,确定样本指纹特征信息所对应的样本特征数据种类以及样本特征数据版本;
若满足主动触发条件,则向目标攻击服务器发送漏洞利用数据,其中,漏洞利用数据是根据样本数据种类以及样本数据版本确定的,主动触发条件为样本特征数据种类属于目标种类,样本特征数据版本处于目标版本范围;
接收目标攻击服务器发送的取证信息,其中,取证信息是目标攻击服务器运行漏洞利用数据得到的。
本申请第一方面提供一种取证溯源装置,包括:
获取模块,用于获取外部特征数据库,其中,外部特征数据库包括至少一个外部特征数据,外部特征数据包括外部指纹特征信息,外部指纹特征信息与外部特征数据种类以及外部特征数据版本相对应;
获取模块,还用于基于初始样本数据,获取样本元数据,其中,初始样本数据为目标攻击服务器的数据,样本元数据包括样本指纹特征信息;
确定模块,用于基于外部特征数据库以及样本元数据,确定样本指纹特征信息所对应的样本特征数据种类以及样本特征数据版本;
发送模块,用于若满足主动触发条件,则向目标攻击服务器发送漏洞利用数据,其中,漏洞利用数据是根据样本数据种类以及样本数据版本确定的,主动触发条件为样本特征数据种类属于目标种类,样本特征数据版本处于目标版本范围;
接收模块,用于接收目标攻击服务器发送的取证信息,其中,取证信息是目标攻击服务器运行漏洞利用数据得到的。
在一种可能的设计中,在本申请实施例的第二方面的一种实现方式中,样本元数据包括通信协议数据、内存特征数据、特殊字段数据以及函数序列数据。
确定模块,还用于基于通信协议数据,内存特征数据,特殊字段数据以及函数序列数据中至少一种数据,确定样本指纹特征信息。
在一种可能的设计中,在本申请实施例的第二方面的另一种实现方式中,
获取模块,具体用于:
从第三方样本数据网站获取初始样本数据;
或,
从目标攻击服务器获取初始样本数据。
在一种可能的设计中,在本申请实施例的第二方面的另一种实现方式中,
确定模块,具体用于:
获取样本指纹特征信息;
获取外部特征数据库中包括的至少一个外部指纹特征信息;
将样本指纹特征信息与至少一个外部指纹特征信息进行匹配,确定目标外部指纹特征信息,其中,目标外部指纹特征信息与样本指纹特征信息相同;
通过目标外部指纹特征信息确定样本特征数据种类以及样本特征数据版本。
在一种可能的设计中,在本申请实施例的第二方面的另一种实现方式中,
发送模块,具体用于:
若满足主动触发条件,则根据样本数据种类以及样本数据版本确定漏洞利用数据;
向目标攻击服务器发送漏洞利用数据。
在一种可能的设计中,在本申请实施例的第二方面的另一种实现方式中,
接收模块,具体用于:
若目标攻击服务器运行漏洞利用数据,则使得目标攻击服务器确定取证信息,且发送取证信息;
接收目标攻击服务器发送的取证信息。
在一种可能的设计中,在本申请实施例的第二方面的另一种实现方式中,
获取模块,还用于若不满足主动触发条件,则获取诱导代码段,其中,诱导代码段属于样本元数据;
获取模块,还用于基于诱导代码段,获取诱导数据;
发送模块,还用于若满足诱导流程条件,则向目标攻击服务器发送漏洞利用数据,其中,诱导流程条件为诱导数据被目标攻击服务器访问,且诱导代码段被目标攻击服务器执行。
在一种可能的设计中,在本申请实施例的第二方面的另一种实现方式中,取证溯源装置还包括添加模块,
获取模块,还用于获取初始外部特征数据;
确定模块,还用于基于初始外部特征数据,确定初始指纹特征信息;
确定模块,还用于对初始指纹特征信息进行分析处理,确定初始指纹特征信息对应的初始特征数据种类以及初始特征数据版本;
添加模块,用于将初始外部特征数据添加至外部特征数据库。
本申请的第三方面提供了一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面的方法。
从以上技术方案可以看出,本申请实施例具有以下优点:
本申请实施例中,提供了一种取证溯源方法,首先可以获取包括至少一个外部特征数据的外部特征数据库,该外部特征数据可以包括外部指纹特征信息,且外部指纹特征信息与外部特征数据种类以及外部特征数据版本相对应,然后基于初始样本数据,获取样本元数据,该初始样本数据为目标攻击服务器的数据,而样本元数据可以包括样本指纹特征信息,再基于所获取到的外部特征数据库以及样本元数据,确定样本指纹特征信息所对应的样本特征数据种类以及样本特征数据版本,当满足主动触发条件时,则向目标攻击服务器发送漏洞利用数据,该漏洞利用数据是根据样本数据种类以及样本数据版本确定的,并且该主动触发条件可以为样本特征数据种类属于目标种类,且样本特征数据版本处于目标版本范围,最后接收目标攻击服务器发送的取证信息,从而完成取证溯源,该取证信息是目标攻击服务器运行漏洞利用数据得到的。通过上述方式,可以通过样本元数据中包括的样本指纹特征信息,以及特征数据库确定样本特征数据种类以及样本特征数据版本,当满足主动触发条件时,则可以向目标攻击服务器发送漏洞利用数据,并且接收目标攻击服务器运行漏洞利用数据得到的取证信息,由此可以自动并且实时对目标攻击服务器的信息进行获取,其次,由于不需要溯源分析人员进行溯源分析工作,可以及时进行溯源分析,没有滞后期,由此提升了取证溯源的效率。
附图说明
图1为本申请实施例中取证溯源系统的一个架构示意图;
图2为本申请实施例中取证溯源方法一个实施例示意图;
图3为本申请实施例中取证信息一个实施例示意图;
图4为本申请实施例中取证溯源方法另一实施例示意图;
图5为本申请实施例中取证溯源方法一个流程示意图;
图6为本申请实施例中取证溯源装置一个实施例示意图;
图7为本申请实施例中服务器一个实施例示意图。
具体实施方式
本申请实施例提供了一种取证溯源方法、装置以及存储介质,用于自动并且实时对目标攻击服务器的信息进行获取,其次,由于不需要溯源分析人员进行溯源分析工作,可以及时进行溯源分析,没有滞后期,由此提升了取证溯源的效率。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“对应于”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应理解,本申请实施例可以应用于部门、科研单位或者企业被网络攻击时,对攻击服务器进行取证溯源的场景,例如对于计算机和计算机网络来说,破坏、揭露、修改、使软件以及服务失去功能,或者在没有得到授权的情况下偷取或访问任何一计算机的数据,也就是网络出现了漏洞,使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。取证溯源方法可以揭示恶意代码攻击背后的开发者或攻击组织的关系,为网络攻击溯源提供更加全面的数据支持,并且通过网络攻击者溯源及恶意样本的同源分析,可以提升网络安全性。
具体地,以应用于企业邮箱(Enterprise Mailbox)被网络攻击作为一个示例进行说明,企业邮箱是指以企业的域名作为后缀的电子邮件地址。通常一个企业经常有多个员工要使用电子邮件,企业电子邮局可以让集团邮局管理员任意开设不同名字的邮箱,并根据不同的需求设定邮箱的空间,而且可以随时关闭或者删除这些邮箱。而当攻击服务器利用企业邮箱的系统漏洞对其发起网络攻击时,例如,向企业邮箱发送看似合法但实际上却隐藏恶意代码的文件,而企业邮箱通过特定漏洞获得访问权,漏洞利用即会从攻击服务器载入其他恶意软件,从而执行各种网络攻击行为,例如盗取个人数据,或者将企业邮箱所登录的计算设备作为僵尸网络的一部分来发送垃圾邮件,从而则会导致企业邮箱中的信息发生泄露或被监控。通过本申请实施例,可以基于攻击服务器得到初始样本数据,再基于初始样本数据该样本元数据中包括的样本指纹特征信息,以及特征数据库确定样本特征数据种类以及样本特征数据版本,当满足主动触发条件时,则可以向目标攻击服务器发送漏洞利用数据,并且接收目标攻击服务器运行漏洞利用数据得到的取证信息,由此可以完成对攻击服务器取证溯源,从而提升企业邮箱的安全性。
目前,网络攻击的取证溯源包括取证以及溯源两个操作,其中取证可以获取被攻击者主机信息和完整证据链,而溯源则需要分析软件和溯源数据库,从而的得到网络攻击者的详细信息。具体地,可以先获取到IOC,然后由溯源分析人员通过IOC从网络设备溯源,其中可以包括但不限于传输信息、命令和C2 server以及钓鱼链接,然后从事件失陷指标中得到网络攻击者的详细信息。然而,IOC的获取以及人工溯源处理阶段是分离的,然而网络攻击时间段具有不确定性,当溯源分析人员进行溯源分析时,可能C2服务器已经关闭或者域名已经停止解析,对网络攻击者的服务器取证的实时性较低,其次,由于溯源分析人员进行溯源分析工作,溯源分析周期的稳定性较低,因此对网络攻击的取证溯源存在滞后期,由此降低取证溯源的效率。
为了在上述各种场景中,提升提升取证溯源的效率,本申请实施例提出了一种取证溯源方法,该方法应用于图1所示的取证溯源系统,请参阅图1,图1为本申请实施例中模型取证溯源的一个架构示意图,如图所示,取证溯源系统中包括服务器和终端设备。而取证溯源装置可以部署于服务器,也可以部署于具有较高计算力的终端设备,下面将以取证溯源装置部署于服务器为示例进行介绍。
具体的,服务器在进行取证溯源时,取证溯源装置首先可以获取包括至少一个外部特征数据的外部特征数据库,该外部特征数据可以包括外部指纹特征信息,且外部指纹特征信息与外部特征数据种类以及外部特征数据版本相对应,然后基于初始样本数据,获取样本元数据,该初始样本数据为目标攻击服务器的数据,而样本元数据可以包括样本指纹特征信息,再基于所获取到的外部特征数据库以及样本元数据,确定样本指纹特征信息所对应的样本特征数据种类以及样本特征数据版本,当满足主动触发条件时,则向目标攻击服务器发送漏洞利用数据,该漏洞利用数据是根据样本数据种类以及样本数据版本确定的,并且该主动触发条件可以为样本特征数据种类属于目标种类,样本特征数据版本处于目标版本范围,最后接收目标攻击服务器发送的取证信息,从而完成取证溯源,该取证信息是目标攻击服务器运行漏洞利用数据得到的。由于可以通过样本元数据中包括的样本指纹特征信息,以及特征数据库确定样本特征数据种类以及样本特征数据版本,当满足主动触发条件时,则可以向目标攻击服务器发送漏洞利用数据,并且接收目标攻击服务器运行漏洞利用数据得到的取证信息,由此可以自动并且实时对目标攻击服务器的信息进行获取,其次,由于不需要溯源分析人员进行溯源分析工作,可以及时进行溯源分析,没有滞后期,由此提升了取证溯源的效率。
服务器和终端设备之间可以通过无线网络、有线网络或可移动存储介质进行通信。其中,上述的无线网络使用标准通信技术和/或协议。无线网络通常为因特网、但也可以是任何网络,包括但不限于蓝牙、局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)、移动、专用网络或者虚拟专用网络的任何组合)。在一些实施例中,可以使用定制或专用数据通信技术取代或者补充上述数据通信技术。可移动存储介质可以为通用串行总线(Universal Serial Bus,USB)闪存盘、移动硬盘或其他可移动存储介质等。
其中,图1中的服务器可以是一台服务器或多台服务器组成的服务器集群或云计算中心等,具体此处均不限定。终端设备可以为图1中示出的平板电脑、笔记本电脑、掌上电脑、手机、个人电脑(personal computer,PC)及语音交互设备,也可以为监控设备、人脸识别设备等,此处不做限定。其中,语音交互设备包含但不仅限于智能音响以及智能家电。
虽然图1中仅示出了五个终端设备和一个服务器,但应当理解,图1中的示例仅用于理解本方案,具体终端设备和服务器的数量均应当结合实际情况灵活确定。
结合上述介绍,下面将对本申请中取证溯源方法进行介绍,请参阅图2,图2为本申请实施例中取证溯源的方法一个实施例示意图,如图所示,本申请实施例中取证溯源的方法一个实施例包括:
101、获取外部特征数据库,其中,外部特征数据库包括至少一个外部特征数据,外部特征数据包括外部指纹特征信息,外部指纹特征信息与外部特征数据种类以及外部特征数据版本相对应;
本实施例中,取证溯源装置首先可以获取到包括至少一个外部特征数据的外部特征数据库,该外部特征数据包括外部指纹特征信息,并且外部指纹特征信息与外部特征数据种类以及外部特征数据版本相对应。其中,外部特征数据种类是指有具有明显特征的恶意软件种类,而外部特征数据版本即为该恶意软件种类所对应的版本。例如外部指纹特征信息A1可以对应于外部特征数据种类A以及外部特征数据版本1,或者外部指纹特征信息A2可以对应于外部特征数据种类A以及外部特征数据版本2,或者外部指纹特征信息A3可以对应于外部特征数据种类A以及外部特征数据版本3。可以理解的是,前述示例仅用于理解本方案,具体外部指纹特征信息与外部特征数据种类以及外部特征数据版本的对应关系均应当结合实际情况灵活确定。
需要说明的是,取证溯源装置可以部署于服务器,也可以部署于终端设备,本申请中以取证溯源装置部署于服务器为例进行说明,然而这不应理解为对本申请的限定。
102、基于初始样本数据,获取样本元数据,其中,初始样本数据为目标攻击服务器的数据,样本元数据包括样本指纹特征信息;
本实施例中,取证溯源装置还可以获取到目标攻击服务器的数据,该数据为初始样本数据,然后基于该初始样本数据可以获取到样本元数据,该样本元数据可以包括样本指纹特征信息。
可以理解的是,前述步骤101以及步骤102并无时序限定,也就是说步骤101以及步骤102可以同时发生,步骤101以及步骤102还可以具有先后顺序的发生,具体时序应当结合实际情况灵活确定,步骤101以及步骤102的时序不应理解为对本申请的限定。
103、基于外部特征数据库以及样本元数据,确定样本指纹特征信息所对应的样本特征数据种类以及样本特征数据版本;
本实施例中,在通过前述步骤101以及步骤102获取到外部特征数据库以及样本元数据之后,取证溯源装置可以基于该外部特征数据库以及样本元数据,确定样本指纹特征信息所对应的样本特征数据种类以及样本特征数据版本。例如样本指纹特征信息B1可以对应的样本特征数据种类B以及样本特征数据版本1,或者例如样本指纹特征信息B2以对应的样本特征数据种类B以及样本特征数据版本2,例如样本指纹特征信息B3以对应的样本特征数据种类B以及样本特征数据版本3。应理解,前述示例仅用于理解本方案,具体样本指纹特征信息与样本特征数据种类以及样本特征数据版本的对应关系均应当结合实际情况灵活确定。
104、若满足主动触发条件,则向目标攻击服务器发送漏洞利用数据,其中,漏洞利用数据是根据样本数据种类以及样本数据版本确定的,主动触发条件为样本特征数据种类属于目标种类,样本特征数据版本处于目标版本范围;
本实施例中,取证溯源装置可以对是否满足主动触发条件进行判断,当满足主动触发条件时,则取证溯源装置可以向目标攻击服务器发送该漏洞利用数据,该主动触发条件可以为样本特征数据种类属于目标种类,样本特征数据版本处于目标版本范围。进一步地,主动触发条件还可以包括样本特征数据中的漏洞代码可以不需要通过人工进行交互,即该漏洞代码可以自动运行。具体地,当前样本特征数据的种类以及版本为漏洞利用程序支持的种类以及版本,并且样本特征数据数据漏洞代码位于无需人工交互的流程中,例如木马上线阶段,则取证溯源装置可以向目标攻击服务器发送漏洞利用数据。实际应用中,需要进行人工交互的流程可以包括但不限于文件管理,语音、视频管理等。
为了便于理解,以样本特征数据种类为gh0st,且样本特征数据版本为3.5作为一个示例进行说明,若主动触发条件为样本特征数据种类为gh0st,而样本特征数据版本为1.0至3.6的目标版本范围,则可以判断满足该主动触发条件,即可以向目标攻击服务器发送漏洞利用数据。若主动触发条件为样本特征数据种类为gh0st,而样本特征数据版本为1.0至3.0的目标版本范围,则可以判断不满足该主动触发条件。当主动触发条件中的样本特征数据种类不为gh0st,则可以直接判断不满足该主动触发条件。需要理解的是,前述示例仅用于理解本方案,具体是否满足主动触发条件的判断应当结合实际情况灵活确定。
105、接收目标攻击服务器发送的取证信息,其中,取证信息是目标攻击服务器运行漏洞利用数据得到的。
本实施例中,取证溯源装置还可以接收目标攻击服务器发送的取证信息,该取证信息是目标攻击服务器运行漏洞利用数据得到的。具体地,取证信息为目标攻击服务器的具体信息,可以包括但不限于使用者名称,硬盘序列号,制造商名称,媒体存取控制位(media access control address,MAC)地址,系统日志,网际互连协议(internetprotocol,IP)地址,用户组,文件MD5列表,剪贴板数据以及进程列表等,为了便于理解,请参阅图3,图3为本申请实施例中取证信息一个实施例示意图,如图所示,图3中(A)所示出的取证信息中包括有使用者名称,硬盘序列号,制造商名称以及MAC地址,其使用者名称为小一,硬盘序列号为M716D7BT,制造商名称为联想(LENOVO)以及MAC地址为31-4C-63-3B-31-7C。其次,图3中(B)所示出的取证信息中包括有使用者名称,硬盘序列号,MAC地址以及IP地址以及文件,其使用者名称为小八,硬盘序列号为CC10CE2D,MAC地址为18-31-BF-07-EA-5E以及IP地址为192.168.0.97。可以理解的是,图3中的示例仅用于理解本方案,具体取证信息应当结合实际情况灵活确定。
本申请实施例中,提供了一种取证溯源方法,通过上述方式,可以通过样本元数据中包括的样本指纹特征信息,以及特征数据库确定样本特征数据种类以及样本特征数据版本,当满足主动触发条件时,则可以向目标攻击服务器发送漏洞利用数据,并且接收目标攻击服务器运行漏洞利用数据得到的取证信息,由此可以自动并且实时对目标攻击服务器的信息进行获取,其次,由于不需要溯源分析人员进行溯源分析工作,可以及时进行溯源分析,没有滞后期,由此提升了取证溯源的效率。
可选地,在上述图2对应的实施例的基础上,本申请实施例提供的取证溯源方法一个可选实施例中,样本元数据可以包括通信协议数据、内存特征数据、特殊字段数据以及函数序列数据。
取证溯源方法还可以包括:
基于通信协议数据,内存特征数据,特殊字段数据以及函数序列数据中至少一种数据,确定样本指纹特征信息。
本实施例中,取证溯源装置可以先获取到初始样本数据,然后基于该初始样本数据,获取样本元数据,该样本元数据中可以包括通信协议数据、内存特征数据、特殊字段数据以及函数序列数据。其次,还可以基于样本元数据中包括的通信协议数据,内存特征数据,特殊字段数据以及函数序列数据中至少一种数据,确定样本指纹特征信息。
具体地,通信协议数据为初始样本数据在发出网络行为时的产生的数据。其次,内存特征数据为初始样本数据在指定时机产生的内存数据,其中指定时机为系统中自定的时机点,该时机点包括但不限于执行网络行为时,执行函数WriteFile文件写操作时以及执行加解密函数时,该内存特征数据可以包括但不限于内存中的指令序列以及内存中的特征字符串。而特殊字段数据则为初始样本数据的文件结构中包含的数据,其包括但不限于可执行文件中包含的时间戳以及程序数据库文件(program database file,PDB)信息。再次,函数序列数据即为初始样本数据在运行过程中所执行的数据。因此基于初始样本数据可以得到包括通信协议数据、内存特征数据、特殊字段数据以及函数序列数据的样本元数据。
进一步地,样本指纹特征信息可以通过通信协议数据确定,或通过内存特征数据确定,或通过特殊字段数据确定,或通过函数序列数据确定,或通过通信协议数据以及内存特征数据确定,或通过内存特征数据以及通过特殊字段数据确定,或通过特殊字段数据以及函数序列数据确定,或通过通信协议数据,内存特征数据以及特殊字段数据确定,或通过通信协议数据,内存特征数据,特殊字段数据以及函数序列数据确定,本申请实施例中不对确定样本指纹特征信息的数据进行穷举,可以理解的是,在实际应用中,只要满足前述数数据中至少一种数据确定样本指纹特征信息即可,具体确定样本指纹特征信息的数据应当结合实际情况灵活确定。
本申请实施例中,提供了一种获取样本元数据的方法,通过上述方式,可以基于所获取的初始样本数据的文件结构或者在运行初始样本数据时获取到样本元数据所包括的多个数据,提升样本元数据的多样性,其次,还可以基于多个数据中至少一种数据,可以确定样本指纹特征信息,提升后续步骤中确定样本特征数据种类以及样本特征数据版本可行性,由此可以提升本方案的灵活性以及可行性。
可选地,在上述图2对应的实施例的基础上,本申请实施例提供的取证溯源方法另一可选实施例中,获取初始样本数据,可以包括:
从第三方样本数据网站获取初始样本数据;
或,
从目标攻击服务器获取初始样本数据。
本实施例中,取证溯源装置可以从第三方样本数据网站获取初始样本数据。具体地,第三方样本数据库网站可以包括但不限于Virus Total网站以及VirSCAN网站。
其次,取证溯源装置还可以从目标攻击服务器获取初始样本数据。具体地,取证溯源装置可以获取目标攻击服务器对应的客户端采集的初始样本数据,或者从目标攻击服务器的使用流量中还原出得初始样本数据,其中从目标攻击服务器的使用流量中还原初始样本数据是指解析目标攻击服务器中的特定协议,例如超文本传输协议(hypertexttransfer protocol,HTTP)或者简单邮件传输协议(simple mail transfer protocol,SMTP),然后提取目标攻击服务器中已知文件格式的文件数据,例如可移植(portableexecutable,PE)文件,OFFICE文件或者Jscript脚本文件,而被提取的已知文件格式的文件数据即为取证溯源装置可以获取到的初始样本数据。
本申请实施例中,提供了一种获取初始样本数据的方法,通过上述方式,可以通过不通的渠道或者方法获取初始样本数据,从第三方样本数据网站获取初始样本数据可以提升初始样本数据的多样性,而从目标攻击服务器获取初始样本数据则可以提升初始样本数据的准确性,由此可以本方案的灵活性以及准确度。
可选地,在上述图2对应的实施例的基础上,本申请实施例提供的取证溯源方法另一可选实施例中,基于外部特征数据库以及样本元数据,确定样本指纹特征信息所对应的样本特征数据种类以及样本特征数据版本,可以包括:
获取样本指纹特征信息;
获取外部特征数据库中包括的至少一个外部指纹特征信息;
将样本指纹特征信息与至少一个外部指纹特征信息进行匹配,确定目标外部指纹特征信息,其中,目标外部指纹特征信息与样本指纹特征信息相同;
通过目标外部指纹特征信息确定样本特征数据种类以及样本特征数据版本。
本实施例中,取证溯源装置可以到获取样本指纹特征信息,还可以获取到外部特征数据库中包括的至少一个外部指纹特征信息,然后将样本指纹特征信息与至少一个外部指纹特征信息进行匹配,确定目标外部指纹特征信息,该目标外部指纹特征信息与样本指纹特征信息是相同的,再通过目标外部指纹特征信息确定样本特征数据种类以及样本特征数据版本。
为了便于理解,以样本指纹特征信息A2,且外部特征数据库中包括外部指纹特征信息A1,外部指纹特征信息A2以及外部指纹特征信息B1作为一个示例进行说明,由此可以获取样本指纹特征信息A2,当获取到外部特征数据库中包括的外部指纹特征信息A1以及外部指纹特征信息B1时,则可以确定样本指纹特征信息与外部指纹特征信息的匹配失败。当获取到外部特征数据库中包括的外部指纹特征信息A2时,由于外部指纹特征信息A2与样本指纹特征信息A2是相同的,因此该外部指纹特征信息A2为目标外部指纹特征信息。根据前述实施例可知,外部指纹特征信息A2可以对应于外部特征数据种类A以及外部特征数据版本2,由此可以确定样本特征数据种类A以及样本特征数据版本2。
其次,以样本指纹特征信息B1,且外部特征数据库中包括外部指纹特征信息A1,外部指纹特征信息B1以及外部指纹特征信息B2作为另一个示例进行说明,由此可以获取样本指纹特征信息B1,当获取到外部特征数据库中包括的外部指纹特征信息A1以及外部指纹特征信息B2时,则可以确定样本指纹特征信息与外部指纹特征信息的匹配失败。当获取到外部特征数据库中包括的外部指纹特征信息B1时,由于外部指纹特征信息B1与样本指纹特征信息B1是相同的,因此该外部指纹特征信息B1为目标外部指纹特征信息。根据前述实施例可知,外部指纹特征信息B1可以对应于外部特征数据种类B以及外部特征数据版本1,由此可以确定样本特征数据种类B以及样本特征数据版本1。
可以理解的是,前述示例仅用于理解本方案,具体样本特征数据种类以及样本特征数据版本均应当结合实际情况灵活确定。
本申请实施例中,提供了一种确定样本特征数据种类以及样本特征数据版本的方法,通过上述方式,以样本指纹特征信息与外部特征数据库中包括的至少一个外部指纹特征信息匹配,当目标外部指纹特征信息与样本指纹特征信息相同时,则可以通过目标外部指纹特征信息确定样本特征数据种类以及样本特征数据版本,从而提升样本特征数据种类以及样本特征数据版本的准确度,由此可以提升本方案的可操作性以及可行性。
可选地,在上述图2对应的实施例的基础上,本申请实施例提供的取证溯源方法另一可选实施例中,若满足主动触发条件,则向目标攻击服务器发送漏洞利用数据,可以包括:
若满足主动触发条件,则根据样本数据种类以及样本数据版本确定漏洞利用数据;
向目标攻击服务器发送漏洞利用数据。
本实施例中,当样本特征数据种类属于目标种类,样本特征数据版本处于目标版本范围,则取证溯源装置可以根据样本数据种类以及样本数据版本确定漏洞利用数据,然后向目标攻击服务器发送漏洞利用数据。
具体地,以样本特征数据的样本特征数据种类为为gh0st,且样本特征数据版本为3.6作为一个示例进行说明,若主动触发条件为样本特征数据种类为gh0st,而样本特征数据版本为1.0至3.6的目标版本范围,则可以判断满足该主动触发条件,即可以向目标攻击服务器发送漏洞利用数据。若主动触发条件为样本特征数据种类为gh0st,而样本特征数据版本为1.0至3.0的目标版本范围,则可以判断不满足该主动触发条件。当主动触发条件中的样本特征数据种类不为gh0st,则可以直接判断不满足该主动触发条件。
进一步地,再根据样本数据种类以及样本数据版本确定漏洞利用数据,其中查找漏洞利用可以从私有的数据库中,即通过私有漏洞利用程序确定漏洞利用数据。其次,还可以通过查抄查找漏洞的漏洞利用数据库,包括但不限于CIRCL数据库,VulDB数据库,SecurityFocus数据库,0day.today数据库,Rapid7数据库,NIST数据库,Vulner数据库以及MITER数据库,从漏洞利用数据库确定样本数据种类以及样本数据版本所对应的漏洞利用数据。在通过前述方式确定漏洞利用数据之后,即可向目标攻击服务器发送该漏洞利用数据进行溯源。
本申请实施例中,提供了另一种取证溯源方法,通过上述方式,可以通过不同方式根据样本数据种类以及样本数据版本确定漏洞利用数据,再向目标攻击服务器发送漏洞利用数据,从而提升确定漏洞利用数据多样性,由此提升本方案的灵活性。
可选地,在上述图2对应的实施例的基础上,本申请实施例提供的取证溯源方法另一可选实施例中,接收目标攻击服务器发送的取证信息,可以包括:
若目标攻击服务器运行漏洞利用数据,则使得目标攻击服务器确定取证信息,且发送取证信息;
接收目标攻击服务器发送的取证信息。
本实施例中,在向目标攻击服务器发送漏洞利用数据之后,当目标攻击服务器运行该漏洞利用数据时,则可以使得标攻击服务器通过该漏洞利用数据确定取证信息,发送所确定的取证信息,而取证溯源装置即可接收目标攻击服务器发送的取证信息。具体地,目标攻击服务器运行漏洞利用数据之后,该漏洞利用数据中的漏洞利用代码可以提取取证信息,使得目标攻击服务器确定取证信息,并且还可以使得目标攻击服务器发送该取证信息,由此取证溯源装置可以接收到目标攻击服务器发送的取证信息。取证信息可以为自定义的信息,即当需要获取目标攻击服务器的使用者名称,硬盘序列号,制造商名称,MAC地址以及系统日志时,漏洞利用代码即可提取包括使用者名称,硬盘序列号,制造商名称,MAC地址以及系统日志的取证信息,应理解,在实际应用中,取证信息还可以包括但不限于IP地址,用户组,文件MD5列表,剪贴板数据以及进程列表。进一步地,在接收到取证信息之后,取证溯源装置还可以将取证信息以家族,版本,主机名,时间的格式写入存储数据库,使得再次受到该目标攻击服务器的网络攻击时,可以直接从该存储数据库中获取取证信息。
本申请实施例中,提供了一种获取取证信息的方法,通过上述方式,可以通过漏洞利用数据使得目标攻击服务器确定取证信息,并且接收该取证信息完成取证溯源,通过具体的实施方式以及流程获取取证信息,由此可以提升本方案的可操作性。
可选地,在上述图2对应的实施例的基础上,本申请实施例提供的取证溯源方法另一可选实施例中,接收目标攻击服务器发送的取证信息之前,取证溯源方法还包括:
若不满足主动触发条件,则获取诱导代码段,其中,诱导代码段属于样本元数据;
基于诱导代码段,获取诱导数据;
若满足诱导流程条件,则向目标攻击服务器发送漏洞利用数据,其中,诱导流程条件为诱导数据被目标攻击服务器访问,且诱导代码段被目标攻击服务器执行。
本实施例中,在确定样本指纹特征信息所对应的样本特征数据种类以及样本特征数据版本之后,并且接收目标攻击服务器发送的取证信息之前,取证溯源装置对是否满足主动触发条件进行判断,当不满足主动触发条件时,则取证溯源装置可以获取诱导代码段,该诱导代码段属于样本元数据,然后基于该诱导代码段,获取诱导数据。然后取证溯源装置可以判断是否满足诱导流程条件,当满足诱导流程条件时,则向目标攻击服务器发送漏洞利用数据,该诱导流程条件可以为诱导数据被目标攻击服务器访问,且诱导代码段被目标攻击服务器执行。具体地,由于取证溯源装置已被网络攻击,当不满足主动触发条件可以指示取证溯源装置中存在漏洞,但漏洞处于需要人工交互的流程中,例如文件管理,语音、视频管理等功能,因此该漏洞存在被目标攻击服务器再次攻击的可能性,由此可以从样本元数据中提取被目标攻击服务器运行过的代码段,确定该代码段为诱导代码段,再基于该诱导代码段生成诱导数据,当目标攻击服务器对诱导数据进行访问,并且再次执行诱导数据中的诱导代码段时,则可以向目标攻击服务器发送漏洞利用数据。其中生成漏洞利用数据已在前述实施例中进行介绍,在此不再赘述。
本申请实施例中,提供了另一种取证溯源方法,通过上述方式,即使不满足主动触发条件,也可以基于样本元数据的诱导代码段获取诱导数据,诱导目标攻击服务器访问该诱导数据,并且再次执行诱导代码,可以向目标攻击服务器发送漏洞利用数据,为本方案提供另一种取证溯源的可能性,从而提升本方案的可行性。
可选地,在上述图2对应的实施例的基础上,本申请实施例提供的取证溯源方法另一可选实施例中,取证溯源方法还包括:
若不满足诱导流程条件,则终止取证溯源流程。
本实施例中,取证溯源装置可以判断是否满足诱导流程条件,当不满足诱导流程条件时,则取证溯源装置终止取证溯源流程。具体地,不满足诱导流程条件可以为诱导数据未目标攻击服务器访问,或者诱导数据被目标攻击服务器访问,但诱导代码段并未被目标攻击服务器执行,当出现前述情况时,则终止取证溯源流程。
本申请实施例中,提供了另一种取证溯源方法,通过上述方式,在无法满足主动触发条件且又无法满足诱导流程条件,则终止取证溯源流程及时止损,由此节省信息利用资源。
可选地,在上述图2对应的实施例的基础上,本申请实施例提供的取证溯源方法另一可选实施例中,获取外部特征数据库之前,取证溯源方法还包括:
获取初始外部特征数据;
基于初始外部特征数据,确定初始指纹特征信息;
对初始指纹特征信息进行分析处理,确定初始指纹特征信息对应的初始特征数据种类以及初始特征数据版本;
将初始外部特征数据添加至外部特征数据库。
本实施例中,获取外部特征数据库之前,可以获取到初始外部特征数据,然后基于该初始外部特征数据,确定初始指纹特征信息,然后对初始指纹特征信息进行分析处理,确定初始指纹特征信息对应的初始特征数据种类以及初始特征数据版本,然后将初始外部特征数据添加至外部特征数据库,由此取证溯源装置可以获取到外部特征数据库。具体地,分析处理即为提取初始指纹特征信息,如果目标攻击服务器的攻击程序为开放源代码(opensource code)软件,开放源代码也可以被称为源代码公开,开放源代码软件可以取得已经过编译的二进制可执行档,因此可以直接通过分析通信协议数据、内存特征数据、特殊字段数据以及函数序列数据确定初始特征数据种类以及初始特征数据版本,其次,目标攻击服务器的攻击程序为非开放源代码软件如果攻击程序,是目标攻击服务器的私有攻击程序,则可以对该初始外部特征数据自定义初始特征数据种类以及初始特征数据版本。
应理解,虽然仅介绍了将一个初始外部特征数据添加至外部特征数据库的实施例,在实际应用中,通过本实施例中的方法可以将多个外部特征添加至外部特征数据库。
本申请实施例中,提供了另一种取证溯源方法,通过上述方式,可以获取到包括多种不同外部特征数据的外部特征数据库,由此可以得到多个外部指纹特征信息,提升外部指纹特征信息的多样性,因此在将外部特征数据库以及所述样本元数据进行匹配时,能够提升样本特征数据种类以及样本特征数据版本的确定效率,从而提升取证溯源的效率。
进一步地,以取证溯源沙箱部署于取证溯源装置为示例进行说明,请参阅图4,图4为本申请实施例中取证溯源方法另一实施例示意图,如图所示,沙箱内可以包括特征匹配模块A1,利用模块A2,通信模块A3,数据引擎A4,外部特征数据库A5,诱导数据A6以及存储数据库A7。其中,数据引擎A4可以提取初始样本数据中包括的网络协议,内存特征,文件结构及函数序列四个部分的数据,通过在内核层部署驱动程序,用户层注入相关功能动态链接库(dynamic link library,DLL)从而获取到包括通信协议数据、内存特征数据、特殊字段数据以及函数序列数据的样本元数据。其次,特征匹配模块A1可以结构化分析数据引擎提供的包括通信协议数据、内存特征数据、特殊字段数据以及函数序列数据的样本元数据,并且确定样本指纹特征信息,然后基于样本指纹特征信息,通过通信模块A3外部特征数据库中的数据,确定样本指纹特征信息所对应的样本特征数据种类以及样本特征数据版本,即确定样本元数据的样本特征数据种类以及样本特征数据版本。再次,通信模块A3可以与沙箱外部的自动取证系统进行数据交互,利用模块A2则可以根据样本特征数据种类以及样本特征数据版本,远程目标攻击服务器的IP以及端口为参数,自动执行不同的漏洞利用代码,并且得到取证信息,并通过通信模块A3将取证信息存入至存储数据库A5,同时按照漏洞所处于的不同功能模块,将沙箱外部诱饵文件传入沙箱。外部特征数据库A7可以存放外部特征数据的外部特征数据种类以及外部特征数据版本,类型可以包括网络协议,内存特征,文件结构及函数序列四个部分,而诱导数据为包含假的敏感信息的文件,可以使得目标攻击服务器查看该诱导数据,并且还可以伪装取证溯源沙箱,而存储数据库则用于保存最终的对于目标攻击服务器的取证结果。
再进一步地,请参阅图5,图5为本申请实施例中取证溯源方法一个流程示意图,如图所示,流程包括步骤S1获取初始样本数据,步骤S21获取样本元数据,步骤S22获取外部特征数据库,步骤S3确定样本特征数据种类以及样本特征数据版本,步骤S4是否满足主动触发条件,步骤S5向目标攻击服务器发送漏洞利用数据,步骤S6接收目标攻击服务器发送的取证信息,步骤S7获取诱导代码段,步骤S8获取诱导数据,步骤S9是否满足诱导流程条件以及步骤S10终止取证溯源。
具体地,步骤S1可以从第三方样本数据网站,或者从目标攻击服务器获取初始样本数据。然后步骤S21即可基于初始样本数据,即沙箱内的数据引擎收集初始样本数据在运行时产生的各种数据信息,分别为样本的网络协议数据,特定时机下内存快照中的特征数据,样本文件结构中的特定数据,以及样本运行中执行的函数序列数据,从而获取到包括通信协议数据、内存特征数据、特殊字段数据以及函数序列数据的样本元数据,并且还可以基于通信协议数据,内存特征数据,特殊字段数据以及函数序列数据中至少一种数据,确定样本指纹特征信息。而步骤S22则可以获取外部特征数据库,可以理解的是,步骤S21以及步骤S22并无时序限定,也就是说步骤S21以及步骤S22可以同时发生,步骤S21以及步骤S22还可以具有先后顺序的发生,具体时序应当结合实际情况灵活确定,步骤S21以及步骤S22的时序不应理解为对本申请的限定。然后步骤S3可以通过沙箱中的匹配模块将通信协议数据、内存特征数据、特殊字段数据以及函数序列数据数据格式化后,与步骤S22获取到的外部特征数据库中包括的至少一个外部指纹特征信息进行匹配,确定目标外部指纹特征信息,且目标外部指纹特征信息与样本指纹特征信息相同,然后通过目标外部指纹特征信息确定样本特征数据种类以及样本特征数据版本。
其次,步骤S4可以判断是否满足主动触发条件,该主动触发条件为样本特征数据种类属于目标种类,样本特征数据版本处于目标版本范围。若是,则执行步骤S5,步骤S5可以根据样本数据种类以及样本数据版本确定漏洞利用数据,然后向目标攻击服务器发送漏洞利用数据,而目标攻击服务器运行漏洞利用数据,则使得目标攻击服务器确定取证信息,且通过步骤S6接收目标攻击服务器发送的取证信息,在这之后还可以将该取证信息以家族,版本,主机名,时间的格式写入存储数据库。
进一步地,若通过步骤S4判断不满足主动触发条件,则则执行步骤S7采取被动处理模式,步骤S7可以获取诱导代码段,该诱导代码段属于样本元数据,然后步骤S8可以基于步骤S7获取到的诱导代码段,获取诱导数据。然后步骤S9可以判断是否满足诱导流程条件,该诱导流程条件为诱导数据被目标攻击服务器访问,且诱导代码段被目标攻击服务器执行。若是,则执行步骤S5,前述实施例已详细描述步骤S5,在此不再赘述。若否,则执行步骤S10,步骤S10为终止取证溯源。
结合上述描述,下面对本申请中的取证溯源装置进行详细描述,请参阅图6,图6为本申请实施例中取证溯源装置一个实施例示意图,取证溯源装置20包括:
获取模块201,用于获取外部特征数据库,其中,外部特征数据库包括至少一个外部特征数据,外部特征数据包括外部指纹特征信息,外部指纹特征信息与外部特征数据种类以及外部特征数据版本相对应;
获取模块201,还用于基于初始样本数据,获取样本元数据,其中,初始样本数据为目标攻击服务器的数据,样本元数据包括样本指纹特征信息;
确定模块202,用于基于外部特征数据库以及样本元数据,确定样本指纹特征信息所对应的样本特征数据种类以及样本特征数据版本;
发送模块203,用于若满足主动触发条件,则向目标攻击服务器发送漏洞利用数据,其中,漏洞利用数据是根据样本数据种类以及样本数据版本确定的,主动触发条件为样本特征数据种类属于目标种类,样本特征数据版本处于目标版本范围;
接收模块204,用于接收目标攻击服务器发送的取证信息,其中,取证信息是目标攻击服务器运行漏洞利用数据得到的。
可选地,在上述图6所对应的实施例的基础上,本申请实施例提供的取证溯源装置20的一个实施例中,样本元数据包括通信协议数据、内存特征数据、特殊字段数据以及函数序列数据。
确定模块202,还用于基于通信协议数据,内存特征数据,特殊字段数据以及函数序列数据中至少一种数据,确定样本指纹特征信息。
可选地,在上述图6所对应的实施例的基础上,本申请实施例提供的取证溯源装置20的另一实施例中,
获取模块201,具体用于:
从第三方样本数据网站获取初始样本数据;
或,
从目标攻击服务器获取初始样本数据。
可选地,在上述图6所对应的实施例的基础上,本申请实施例提供的取证溯源装置20的另一实施例中,
确定模块202,具体用于:
获取样本指纹特征信息;
获取外部特征数据库中包括的至少一个外部指纹特征信息;
将样本指纹特征信息与至少一个外部指纹特征信息进行匹配,确定目标外部指纹特征信息,其中,目标外部指纹特征信息与样本指纹特征信息相同;
通过目标外部指纹特征信息确定样本特征数据种类以及样本特征数据版本。
可选地,在上述图6所对应的实施例的基础上,本申请实施例提供的取证溯源装置20的另一实施例中,
发送模块203,具体用于:
若满足主动触发条件,则根据样本数据种类以及样本数据版本确定漏洞利用数据;
向目标攻击服务器发送漏洞利用数据。
可选地,在上述图6所对应的实施例的基础上,本申请实施例提供的取证溯源装置20的另一实施例中,
接收模块204,具体用于:
若目标攻击服务器运行漏洞利用数据,则使得目标攻击服务器确定取证信息,且发送取证信息;
接收目标攻击服务器发送的取证信息。
可选地,在上述图6所对应的实施例的基础上,本申请实施例提供的取证溯源装置20的另一实施例中,
获取模块201,还用于若不满足主动触发条件,则获取诱导代码段,其中,诱导代码段属于样本元数据;
获取模块201,还用于基于诱导代码段,获取诱导数据;
发送模块203,还用于若满足诱导流程条件,则向目标攻击服务器发送漏洞利用数据,其中,诱导流程条件为诱导数据被目标攻击服务器访问,且诱导代码段被目标攻击服务器执行。
可选地,在上述图6所对应的实施例的基础上,本申请实施例提供的取证溯源装置20的另一实施例中,取证溯源装置20还包括添加模块205,
获取模块201,还用于获取初始外部特征数据;
确定模块202,还用于基于初始外部特征数据,确定初始指纹特征信息;
确定模块202,还用于对初始指纹特征信息进行分析处理,确定初始指纹特征信息对应的初始特征数据种类以及初始特征数据版本;
添加模块205,用于将初始外部特征数据添加至外部特征数据库。
本申请实施例还提供了另一种取证溯源装置,取证溯源装置可以部署于服务器,也可以部署于终端设备,本申请中以取证溯源装置部署于服务器为例进行说明,请参阅图7,图7为本申请实施例中服务器一个实施例示意图,如图所示,该服务器300可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processingunits,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在服务器300上执行存储介质330中的一系列指令操作。
服务器300还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述实施例中由服务器所执行的步骤可以基于该图7所示的服务器结构。
在本申请实施例中,该服务器所包括的CPU 522用于执行如图2对应的各个实施例。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (11)

1.一种取证溯源方法,其特征在于,包括:
获取外部特征数据库,其中,所述外部特征数据库包括至少一个外部特征数据,所述外部特征数据包括外部指纹特征信息,所述外部指纹特征信息与外部特征数据种类以及外部特征数据版本相对应;
基于初始样本数据,获取样本元数据,其中,所述初始样本数据为目标攻击服务器的数据,所述样本元数据包括样本指纹特征信息;
基于所述外部特征数据库以及所述样本元数据,确定所述样本指纹特征信息所对应的样本特征数据种类以及样本特征数据版本;
若满足主动触发条件,则向所述目标攻击服务器发送漏洞利用数据,其中,所述漏洞利用数据是根据所述样本特征数据种类以及所述样本特征数据版本确定的,所述主动触发条件为所述样本特征数据种类属于目标种类,所述样本特征数据版本处于目标版本范围;
接收所述目标攻击服务器发送的取证信息,其中,所述取证信息是所述目标攻击服务器运行所述漏洞利用数据得到的。
2.基于权利要求1所述的方法,其特征在于,所述样本元数据包括通信协议数据、内存特征数据、特殊字段数据以及函数序列数据,
所述方法还包括:
基于所述通信协议数据,所述内存特征数据,所述特殊字段数据以及所述函数序列数据中至少一种数据,确定所述样本指纹特征信息。
3.基于权利要求2所述的方法,其特征在于,所述方法还包括:
从第三方样本数据网站获取所述初始样本数据;
或,
从所述目标攻击服务器获取所述初始样本数据。
4.基于权利要求1所述的方法,其特征在于,所述基于所述外部特征数据库以及所述样本元数据,确定所述样本指纹特征信息所对应的样本特征数据种类以及样本特征数据版本,包括:
获取所述样本指纹特征信息;
获取所述外部特征数据库中包括的至少一个外部指纹特征信息;
将所述样本指纹特征信息与所述至少一个外部指纹特征信息进行匹配,确定目标外部指纹特征信息,其中,所述目标外部指纹特征信息与所述样本指纹特征信息相同;
通过所述目标外部指纹特征信息确定所述样本特征数据种类以及所述样本特征数据版本。
5.基于权利要求1所述的方法,其特征在于,所述若满足主动触发条件,则向所述目标攻击服务器发送漏洞利用数据,包括:
若满足所述主动触发条件,则根据所述样本特征数据种类以及所述样本特征数据版本确定所述漏洞利用数据;
向所述目标攻击服务器发送所述漏洞利用数据。
6.基于权利要求1所述的方法,其特征在于,所述接收所述目标攻击服务器发送的取证信息,包括:
若所述目标攻击服务器运行所述漏洞利用数据,则使得所述目标攻击服务器确定所述取证信息,且发送所述取证信息;
接收所述目标攻击服务器发送的取证信息。
7.基于权利要求1所述的方法,其特征在于,所述接收所述目标攻击服务器发送的取证信息之前,所述方法还包括:
若不满足所述主动触发条件,则获取诱导代码段,其中,所述诱导代码段属于所述样本元数据;
基于所述诱导代码段,获取诱导数据;
若满足诱导流程条件,则向所述目标攻击服务器发送所述漏洞利用数据,其中,所述诱导流程条件为所述诱导数据被所述目标攻击服务器访问,且所述诱导代码段被所述目标攻击服务器执行。
8.基于权利要求1所述的方法,其特征在于,所述获取外部特征数据库之前,所述方法还包括:
获取初始外部特征数据;
基于所述初始外部特征数据,确定初始指纹特征信息;
对初始指纹特征信息进行分析处理,确定所述初始指纹特征信息对应的初始特征数据种类以及初始特征数据版本;
将所述初始外部特征数据添加至所述外部特征数据库。
9.一种取证溯源装置,其特征在于,包括:
获取模块,用于获取外部特征数据库,其中,所述外部特征数据库包括至少一个外部特征数据,所述外部特征数据包括外部指纹特征信息,所述外部指纹特征信息与外部特征数据种类以及外部特征数据版本相对应;
所述获取模块,还用于基于初始样本数据,获取样本元数据,其中,所述初始样本数据为目标攻击服务器的数据,所述样本元数据包括样本指纹特征信息;
确定模块,用于基于所述外部特征数据库以及所述样本元数据,确定所述样本指纹特征信息所对应的样本特征数据种类以及样本特征数据版本;
发送模块,用于若满足主动触发条件,则向所述目标攻击服务器发送漏洞利用数据,其中,所述漏洞利用数据是根据所述样本特征数据种类以及所述样本特征数据版本确定的,所述主动触发条件为所述样本特征数据种类属于目标种类,所述样本特征数据版本处于目标版本范围;
接收模块,用于接收所述目标攻击服务器发送的取证信息,其中,所述取证信息是所述目标攻击服务器运行所述漏洞利用数据得到的。
10.一种服务器,其特征在于,包括:存储器、收发器、处理器以及总线系统;
其中,所述存储器用于存储程序;
所述处理器用于根据所述存储器中的程序执行如上述权利要求1至8中任一项所述的方法;
所述总线系统用于连接所述存储器以及所述处理器,以使所述存储器以及所述处理器进行通信。
11.一种计算机可读存储介质,存储计算机程序,所述计算机程序可被处理器执行以实现权利要求1至8中的任一项所述的方法。
CN202010200812.6A 2020-03-20 2020-03-20 一种取证溯源方法、装置以及存储介质 Active CN113497786B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010200812.6A CN113497786B (zh) 2020-03-20 2020-03-20 一种取证溯源方法、装置以及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010200812.6A CN113497786B (zh) 2020-03-20 2020-03-20 一种取证溯源方法、装置以及存储介质

Publications (2)

Publication Number Publication Date
CN113497786A CN113497786A (zh) 2021-10-12
CN113497786B true CN113497786B (zh) 2023-05-09

Family

ID=77993865

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010200812.6A Active CN113497786B (zh) 2020-03-20 2020-03-20 一种取证溯源方法、装置以及存储介质

Country Status (1)

Country Link
CN (1) CN113497786B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113726818B (zh) * 2021-11-01 2022-02-15 北京微步在线科技有限公司 一种失陷主机检测方法及装置
CN114095217A (zh) * 2021-11-06 2022-02-25 北京天融信网络安全技术有限公司 一种失陷主机快照取证溯源方法和系统
CN115883260B (zh) * 2023-02-27 2023-05-16 安徽深迪科技有限公司 一种基于隐写技术的数字藏品溯源系统
CN117113340B (zh) * 2023-10-20 2024-01-23 杭州美创科技股份有限公司 主机失陷检测方法、装置、计算机设备及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107135187A (zh) * 2016-02-29 2017-09-05 阿里巴巴集团控股有限公司 网络攻击的防控方法、装置及系统
US10235527B1 (en) * 2016-08-11 2019-03-19 Pivotal Software, Inc. Vulnerability notification for live applications
CN107360155A (zh) * 2017-07-10 2017-11-17 中国科学院信息工程研究所 一种基于威胁情报和沙箱技术的网络攻击自动溯源方法和系统
CN109495520B (zh) * 2019-01-11 2021-06-25 北京中睿天下信息技术有限公司 一体化网络攻击取证溯源方法、系统、设备及存储介质
CN110764969A (zh) * 2019-10-25 2020-02-07 新华三信息安全技术有限公司 网络攻击溯源方法及装置

Also Published As

Publication number Publication date
CN113497786A (zh) 2021-10-12

Similar Documents

Publication Publication Date Title
Alhawi et al. Leveraging machine learning techniques for windows ransomware network traffic detection
CN113497786B (zh) 一种取证溯源方法、装置以及存储介质
JP6957657B2 (ja) サーバ上の脆弱性を検出するためのシステム及び方法
US8966249B2 (en) Data security and integrity by remote attestation
US20130312092A1 (en) System and method for forensic cyber adversary profiling, attribution and attack identification
Moon et al. Host-based intrusion detection system for secure human-centric computing
US9690598B2 (en) Remotely establishing device platform integrity
CN108369541B (zh) 用于安全威胁的威胁风险评分的系统和方法
Wazid et al. Hacktivism trends, digital forensic tools and challenges: A survey
US9652615B1 (en) Systems and methods for analyzing suspected malware
Kurniawan et al. Detection and analysis cerber ransomware based on network forensics behavior
RU2750627C2 (ru) Способ поиска образцов вредоносных сообщений
US20230252136A1 (en) Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information
US20240054210A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
Keong Ng et al. VoterChoice: A ransomware detection honeypot with multiple voting framework
Park et al. Performance evaluation of a fast and efficient intrusion detection framework for advanced persistent threat-based cyberattacks
Kara Cyber-espionage malware attacks detection and analysis: A case study
Geetha Ramani et al. Nonvolatile kernel rootkit detection using cross‐view clean boot in cloud computing
US9239907B1 (en) Techniques for identifying misleading applications
US20240054215A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
Bhardwaj et al. Sql injection attack detection, evidence collection, and notifying system using standard intrusion detection system in network forensics
US20230252146A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
US20230048076A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
Suciu et al. Mobile devices forensic platform for malware detection
Gupta et al. Developing a blockchain-based and distributed database-oriented multi-malware detection engine

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant