CN114598507B - 攻击者画像生成方法、装置、终端设备及存储介质 - Google Patents
攻击者画像生成方法、装置、终端设备及存储介质 Download PDFInfo
- Publication number
- CN114598507B CN114598507B CN202210163736.5A CN202210163736A CN114598507B CN 114598507 B CN114598507 B CN 114598507B CN 202210163736 A CN202210163736 A CN 202210163736A CN 114598507 B CN114598507 B CN 114598507B
- Authority
- CN
- China
- Prior art keywords
- information
- image
- attack
- attacker
- acquiring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例适用于网络安全技术领域,提供了一种攻击者画像生成方法、装置、终端设备及存储介质,该方法包括:获取系统被第一对象访问时,与第一对象相关的系统访问信息;若基于系统访问信息确定第一对象为攻击者,则根据系统访问信息获取第一对象的第一画像;第一画像用于描述第一对象的攻击属性;基于第一画像,获取第一对象的第二画像;第二画像用于描述第一对象的身份信息;根据第一画像和第二画像,生成第一对象的目标画像。采用上述方法生成的目标图像刻画出的攻击者信息较为全面,从而可以通过目标画像实现对攻击者的有效溯源。
Description
技术领域
本申请属于网络安全技术领域,尤其涉及一种攻击者画像生成方法、装置、终端设备及存储介质。
背景技术
攻击者为通过网络攻击系统或网站的访问者,其多为黑客。攻击者画像是通过对攻击者在攻击系统或网站时留下的信息进行分析,生成用于描述攻击者特征的信息。通过攻击者画像通常可以追踪攻击信息并对攻击者进行溯源,而如何使生成的攻击者画像能够对攻击者进行有效溯源对于网络安全尤为关键。
传统的攻击者画像生成方法是基于蜜罐技术实现的。具体的,蜜罐通常是技术人员预先在系统或网站中设置的作为诱饵的主机、网络服务或者其他信息,以诱使攻击者对它们实施攻击。以此,发现和记录该攻击行为,并分析攻击者画像。然而,基于蜜罐技术生成的攻击者画像刻画出的攻击者信息通常较为局部和不完整,从而导致通过攻击者画像无法对攻击者进行有效溯源。
发明内容
本申请实施例提供了一种攻击者画像生成方法、装置、终端设备及存储介质,可以解决传统方法生成的攻击者画像刻画出的攻击者信息较为局部和不完整,导致无法对攻击者进行有效溯源的问题。
第一方面,本申请实施例提供了一种攻击者画像生成方法,该方法包括:
获取系统被第一对象访问时,与第一对象相关的系统访问信息;
若基于系统访问信息确定第一对象为攻击者,则根据系统访问信息获取第一对象的第一画像;第一画像用于描述第一对象的攻击属性;
基于第一画像,获取第一对象的第二画像;第二画像用于描述第一对象的身份信息;
根据第一画像和第二画像,生成第一对象的目标画像。
第二方面,本申请实施例提供了一种攻击者画像生成装置,该装置包括:
访问信息获取模块,用于获取系统被第一对象访问时,与第一对象相关的系统访问信息;
第一画像获取模块,用于若基于系统访问信息确定第一对象为攻击者,则根据系统访问信息获取第一对象的第一画像;第一画像用于描述与第一对象相关的攻击属性;
第二画像获取模块,用于基于第一画像,获取第一对象的第二画像;第二画像用于描述第一对象的身份信息;
生成模块,用于根据第一画像和第二画像,生成第一对象的目标画像。
第三方面,本申请实施例提供了一种终端设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上述第一方面的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现如上述第一方面的方法。
第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面的方法。
本申请实施例与现有技术相比存在的有益效果是:通过系统被第一对象访问时,与第一对象相关的系统访问信息,确定第一对象为攻击者后,基于系统访问信息获取用于描述第一对象的攻击属性的第一画像。之后,基于第一画像获取用于描述第一对象的身份信息的第二画像,并根据第一画像和第二画像得到第一对象的目标画像。由于目标画像是基于第一画像和第二画像得到的,因此通过目标画像不仅可以溯源到攻击者的攻击属性,还可以溯源到攻击者的身份信息,即目标画像所刻画出的攻击者的信息较为全面,从而可以通过目标画像对攻击者进行有效溯源。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的一种攻击者画像生成方法的实现流程图;
图2是本申请一实施例提供的一种攻击者画像生成方法的S103的一种实现方式示意图;
图3是本申请一实施例提供的一种攻击者画像生成方法的S102的一种实现方式示意图;
图4是本申请再一实施例提供的一种攻击者画像生成方法的S102的一种实现方式示意图;
图5是本申请又一实施例提供的一种攻击者画像生成方法的S102的一种实现方式示意图;
图6是本申请另一实施例提供的一种攻击者画像生成方法的S102的一种实现方式示意图;
图7是本申请一实施例提供的一种终端设备的结构示意图。
图8是本申请一实施例提供的一种攻击者画像生成装置的结构示意图;
图9是本申请另一实施例提供的一种终端设备的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
本申请实施例提供的攻击者画像生成方法可以应用于平板电脑、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本等终端设备上,本申请实施例对终端设备的具体类型不作任何限制。
请参阅图1,图1示出了本申请实施例提供的一种攻击者画像生成方法的实现流程图,该方法包括如下步骤:
S101、终端设备获取系统被第一对象访问时,与第一对象相关的系统访问信息。
在一实施例中,上述第一对象为访问系统的任一对象,其可以为个人或组织。上述系统为需要进行安全维护,以避免受到病毒或黑客攻击的系统,例如,上述系统可以为某个应用程序或某个网站对应的服务系统等。其中,终端设备上可以运行有多个不同的系统,且终端设备可以通过执行本申请实施例提供的攻击者画像生成方法来实现对该多个系统的监控。本实施例以终端设备对一个系统进行监控为例进行示意性说明。
在一实施例中,由于第一对象在访问系统时会与系统进行数据交互,因此,上述系统访问信息可以为第一对象与系统进行数据交互时,在系统上所留下的相关信息。具体的,上述系统访问信息包括但不限于:被访问内容、网际协议(Internet Protocol,IP)地址、交互信息以及访问端口的信息。
在一实施例中,上述被访问内容为系统中被第一对象所访问的内容。其中,被访问内容包括但不限于交易金额、账号等信息
上述交互信息包括第一对象发送至系统的信息,也包括系统返回给第一对象的信息。其中,系统返回给第一对象的信息也可以认为是上述被访问内容。
上述访问端口的信息包括但不限于第一对象使用的访问端口的标识、第一对象使用的访问端口的类型以及系统中被第一对象所访问的端口的标识等。
在一实施例中,上述系统访问信息还可以包括第一对象所使用的浏览器的基本信息、访问时间等信息。其中,基本信息可以为浏览器的版本、浏览器支持的交互协议等。
在一实施例中,上述系统访问信息均可以由终端设备在系统与第一对象进行交互时获取。其中,上述系统可以为在终端设备上运行的系统,或者运行在其他设备,但与终端设备具有数据连接的系统。
S102、若基于系统访问信息确定第一对象为攻击者,则终端设备根据系统访问信息获取第一对象的第一画像;第一画像用于描述第一对象的攻击属性。
在一实施例中,上述第一对象可能为正常访问系统的访问者,也可能为攻击系统的攻击者,例如,黑客。可以理解的是,若第一对象为攻击者,则终端设备需获取并记录第一对象的第一画像,以便终端设备可以根据第一画像对第一对象进行监控和防护。
在一实施例中,上述第一画像为第一对象的特征数据,用于描述第一对象的攻击属性。其中,第一画像包括但不限于第一对象的地理位置信息、注册信息、攻击工具、攻击技术、攻击组织等信息,其均表示与第一对象相关的攻击属性。
在一具体实施例中,终端设备具体可以通过如下预设条件对系统访问信息进行处理,以判断第一对象是否为攻击者,其中,预设条件详述如下:被访问内容为目标内容;网际协议地址为周期性访问地址;交互信息的哈希值为预设值。
其中,需要说明的是,若系统访问信息满足上述预设条件中的任意一条,则确定第一对象为攻击者。
在一实施例中,上述目标内容为网络安全维护人员预先在系统中设置的信息。具体的,网络安全维护人员可以预先在系统中部署蜜罐,即预先在系统或网站中设置的作为诱饵的主机、网络服务和信息,以诱使攻击者对它们实施攻击。其中,作为诱饵中的主机所包含的信息、网络服务所提供的服务信息,或者其他预设信息均可以认为是上述目标内容。
在一实施例中,上述周期性访问地址为周期性访问系统的IP地址。通常,一个网际协议地址在访问系统时,其访问时间以及访问次数均是不规律的,然而,若该网际协议地址为周期性访问地址,则终端设备可以认为该网际协议地址对应的第一对象为攻击者。
其中,终端设备可以记录预设历史时间段内每个访问系统的IP地址,以及访问时间;之后,若根据IP地址的访问时间,确定该IP地址访问系统时的间隔时长均为固定时长,则可以确定该IP地址为周期性访问地址。其中,在确定为周期性访问地址时,该IP地址访问系统时的访问次数应当大于预设次数。该预设次数可以根据实际需求设置,例如可以为3,以此形成周期。,和/或访问系统时的间隔时间为固定时长,则确定是周期性访问。
其中,上述预设历史时间段和固定时长和访问次数也均可以根据实际需求进行设置定。示例性的,上述预设历史时间段可以为一个月或一年,上述固定时长可以为半个小时或一个小时,对此不作限定。
在其他示例中,若具有任一IP地址,在目标时长内访问系统的次数超过目标次数,则终端设备也可以将该IP地址对应的第一对象确定为攻击者,对此不作限定。其中,目标时长和目标次数也均可以由网络安全维护人员进行设置。
上述交互信息为系统与第一对象进行数据交互时产生的交互信息。其中,交互信息通常以数据包的形式进行传递,交互信息通常存储在数据包的数据层。
在一实施例中,上述预设值为网络安全维护人员预先设定的数值,具体可以通过如下方式得到:网络安全维护人员可以预先采用多种攻击方式对具有蜜罐的系统进行攻击,而后针对任意一种攻击方式,将第一对象与系统之间进行交互的交互信息进行哈希处理,生成表示攻击行为的哈希值,并将该哈希值作为预设值。以此,终端设备可以得到多个具有攻击行为时,产生的交互信息对应的预设值。
可以理解的是,若对当前时刻下的第一对象与系统之间进行交互的交互信息进行哈希处理后的哈希值,与任一预设值相同,则表明第一对象在与系统进行交互时,产生了攻击行为。基于此,终端设备可以确定该第一对象为攻击者。
在一实施例中,上述哈希值为系统对交互信息进行哈希算法处理时生成的数值。其中,哈希算法包括但不限于安全哈希算法(Secure Hash Algorithm,SHA-1)算法、信息摘要算法(Message-Digest Algorithm,MD5),对此不作限定。
S103、终端设备基于第一画像,获取第一对象的第二画像;第二画像用于描述第一对象的身份信息。
在一实施例中,上述第二画像用于描述第一对象的身份信息,其中,身份信息包括但不限于第一对象的姓名、身份证号等相关信息。其中,第二画像可以基于第一画像中包含的多个攻击属性进行获取。
在一具体实施例中,S103具体可以通过如图2的S1031-S1032实现,详述如下:
S1031、终端设备根据第一画像查询第一对象访问过的社交网站。
S1032、若社交网站中包括第一对象的社交信息,则终端设备基于社交信息获取第一对象的身份信息。
在一实施例中,上述社交网站为基于社会网络关系系统的思想建立的网站。其中,社交网站包括但不限于百度空间、新浪微博等网站,对此不作限定。并且,针对任一社交网站,第一对象在社交网站上发布的信息均可以认为是社交信息。
在一实施例中,上述第一画像中包含第一对象的网际协议地址,基于此,终端设备可以查询网际协议地址在历史时间段内访问过的多个网站。之后,从多个网站中查询第一对象登录过的社交网站,并通过跨域请求资源的解决方案(JSON with Padding,Jsonp)技术从社交网站中检测第一对象在社交网站上发布的社交信息。例如,姓氏、或者名字或身份证号等相关信息。之后,利用支付平台对社交信息进行进一步的完善,查询第一对象的身份信息。
其中,Jsonp是json的一种"使用模式",其可以使用jsonp技术让网页从别的域名或网站中获取数据,即跨域读取数据。基于此,终端设备可以通过Jsonp漏洞向第三方站点/网站发送跨域请求,以对第三方站点/网站中第一对象的相关信息进行读取。
需要说明的是,在现有的蜜罐技术中,通常无法获取第一对象的详细信息,只能获取到上述部分第一画像,并且,也没有对第一画像进行进一步的分析,得到与第一对象更具有直接关系的第二画像。然而,本实施例中,可以通过上述S1031-S1032得到用于描述第一对象身份信息的第二画像,使终端设备可以通过详细且完整的第一画像和第二画像对第一对象进行有效溯源。
S104、终端设备根据第一画像和第二画像,生成第一对象的目标画像。
在一实施例中,上述目标画像为将第一画像和第二画像进行结合后生成的画像,其也可以为终端设备基于第二画像再次查询第一对象的其余信息后生成的画像,对此不作限定。
在本实施例中,通过系统被第一对象访问时,与第一对象相关的系统访问信息,确定第一对象为攻击者后,基于系统访问信息获取用于描述第一对象的攻击属性的第一画像。之后,基于第一画像获取用于描述第一对象的身份信息的第二画像,并根据第一画像和第二画像得到第一对象的目标画像。由于目标画像是基于第一画像和第二画像得到的,因此通过目标画像不仅可以溯源到攻击者的攻击属性,还可以溯源到攻击者的身份信息,即目标画像所刻画出的攻击者的信息较为全面,从而可以通过目标画像对攻击者进行有效溯源。
在一实施例中,第一画像包括第一对象的地理位置信息,S102具体可通过如图3的S1021-S1022实现,详述如下:
S1021、终端设备根据预设的地址列表库确定网际协议地址分别在历史预设时间段内的至少一个物理位置;地址列表库用于记录各个预设的网际协议地址分别对应的物理位置。
S1022、终端设备根据至少一个物理位置确定第一对象的地理位置信息。
在一实施例中,上述地址列表库具体为IP库,其记录有各个预设的IP地址分别对应的物理位置。具体的IP库是由专业技术人员经过长时间通过多种技术手段收集形成的地址列表库,并且长期有专业人员进行更新、维护、补充。其中,IP库中存放大量的IP地址,以及每个IP地址对应的物理位置,方面用户查询。
示例性的,当前确定了某个IP地址,即可从IP库中查到这个IP地址对应的主机所在的物理位置。即省、市、街或经纬度等位置信息。
其中,通常一个第一对象使用的IP地址是不变的,因此,历史预设时间段内根据IP库查询IP地址出现的物理位置通常是相同的。然而,第一对象的IP地址也可能出现变化。
示例性的,若第一对象通过路由器分配的IP地址访问系统,则在路由器被关闭并再次开启时,路由器重新分配的IP地址可能会出现变化,也即分配新的IP地址。因此,第一对象的原IP地址可能分配至其他网络使用者。但是,一个IP地址在被分配时,通常是在某一区域内随机分配。因IP地址中的IP段限制了IP地址被分配的地域。因此,该IP地址在历史预设时间段内出现的物理位置,虽然通常是不同的,但均属于一个地域。
基于此,终端设备可以根据多个物理位置确定第一对象所在的区域信息,此时该区域信息即为第一对象所在的地理位置信息。
可以理解的是,若IP地址在历史预设时间段内的物理位置均未发生变化,则表明终端设备获取的物理位置有且仅有一个,基于此,终端设备可以直接将物理位置确定为第一对象所在的地理位置信息。
在一实施例中,上述预设时间段可以根据实际情况进行设置,对此不作限定。通常的,上述预设时间段可以为在当前时刻之前的所有时刻。
需要补充的是,在根据IP库查询物理位置时,需要先判断IP地址是否为云服务器中的地址。若属于云服务器中的地址,则表明该IP地址不存在对应的物理位置,其对应的物理位置为在“云”上分配的虚拟位置。因此,在确定IP地址为云服务器中的地址时,终端设备可以对该IP地址进行标识即可。
在一实施例中,第一画像还包括第一对象的注册信息,S102具体可通过如图4中的S1023-S1025实现,详述如下:
S1023、终端设备获取网际协议地址访问过的第三方站点。
S1024、若第三方站点中存在跨域请求资源漏洞,则终端设备向第三方站点发送跨域请求;跨域请求用于请求第三方站点通过跨域请求资源漏洞,获取第一对象在第三方站点的注册信息。
S1025、终端设备接收第三方站点返回的注册信息。
在一实施例中,上述第三方站点可以为系统包含的网络站点,也可以为其他非系统包含的网络站点,对此不作限定。上述跨域请求资源漏洞具体为Jsonp漏洞,其可以基于跨域请求获取第一对象在第三方站点上的注册信息。
在一实施例中,上述注册信息包括但不限于注册账号、密码、注册昵称等信息。示例性的,若第三方站点为新浪微博站点,则注册账号即为微博号,若第三方站点为QQ站点,则注册账号即为QQ号。
在一实施例中,终端设备可以查询网际协议地址在历史时间段内访问过的多个网站,并且从多个网站中确定具有Jsonp漏洞的网站。
具体的,第一对象通过浏览器在具有Jsonp漏洞的网站A上注册账户,填写相关注册信息,并保持登录状态。之后,第一对象在访问网站A时,浏览器中的Jsonp接口将记录第一对象的注册信息。如果网站A对访问该Jsonp接口的请求进行验证的技术存在Jsonp漏洞,则终端设备可以基于Jsonp漏洞伪造可以被网站A验证通过的跨域请求,以请求网站A发送第一对象的注册信息至终端设备。
在其他实施例中,终端设备在获取到注册信息中的注册昵称后,还可以在其他网站中查询是否具有相同昵称的账户,并对相同昵称的账户中公开的信息进行整合,作为第一画像。
在一实施例中,系统设置有服务器端请求伪造漏洞,第一画像信息包括第一对象使用的攻击工具;终端设备还可以根据服务器端请求伪造漏洞,获取系统被第一对象访问时,与第一对象相关的访问端口的信息。之后,S102还可以通过如图5中的S1026-S1027获取第一对象的攻击工具,详述如下:
S1026、终端设备获取预先确定的多个已知攻击工具攻击系统时使用的多个默认端口的信息。
S1027、终端设备根据访问端口的信息和多个默认端口的信息,从多个已知攻击工具中确定第一对象使用的攻击工具。
在一实施例中,服务器端请求伪造漏洞具体为(Server-Side Request Forgery,SSRF)漏洞。其中,服务器端请求伪造漏洞用于允许第一对象将请求从服务器端发送到系统。并且,上述服务器通常为系统的后台服务器。
需要说明的是,因第一对象可以基于服务器端请求伪造漏洞,伪造一个由服务器端发起的数据请求。因此,第一对象可以通过该数据请求,访问与服务器相连而与外网隔离的内部系统。
其中,内部系统被访问时的访问端口用于对外传输交互信息,而交互信息也需要通过第一对象使用的主机上访问端口,传输给第一对象。因此,终端设备还可以通过该方式,确定第一对象使用的主机中接收交互信息的访问端口,以及该访问端口的端口信息。
在一实施例中,上述攻击工具为对系统进行网络攻击的工具。其中,攻击工具可以帮助网络安全维护人员对所维护的系统进行模拟攻击,从而找出系统的安全漏洞,并以此为系统制定新的的安全策略,以及对系统的安全漏洞进行填补,提高系统的主动防御能力。
在一实施例中,上述攻击工具包括但不限于问询/应答身份验证协议(NT LANManager,Ntlm)、攻击web应用程序的集成平台(Burp Suite)等相关工具。其中,每个攻击工具在攻击系统时所使用的访问端口,以及端口信息通常是固定的。
基于此,网络安全维护人员可以预先对系统中的蜜罐进行修改,使其存在SSRF漏洞,而后使用上述已知的每个攻击工具分别对系统进行攻击,分别确定每个攻击工具攻击系统时使用的默认端口,以及默认端口的信息,并进行存储。之后,在第一对象访问系统时,终端设备可以根据服务器端请求伪造漏洞,确定伪造的数据请求所访问系统的访问端口,以及第一对象使用的主机中接收交互信息的访问端口。最终,将上述信息与已存储的默认端口的信息进行匹配,确定第一对象所使用的攻击工具。
示例性的,在第一对象所使用的攻击工具为Burp Suite时,其第一对象的主机中接收交互信息的访问端口通常为8080端口。
在一实施例中,第一画像包括第一对象使用的攻击技术和攻击行为;在获取第一对象扫描系统的漏洞时使用的扫描工具的信息之后,S102还可以通过如图6中的S1028-S1029获取第一对象的攻击技术和攻击行为,详述如下:
S1028、终端设备根据扫描工具的信息以及交互信息,确定攻击技术。
S1029、终端设备将攻击技术应用于预设的攻击技术框架中,得到攻击行为。
在一实施例中,上述扫描工具是一类自动检测系统或主机安全弱点的程序,其可以准确的发现并扫描目标存在的漏洞,并将扫描结果提供给使用者(第一对象)。工作原理为:第一对象通过扫描工具向系统发送数据包,而后根据系统反馈的数据包判断系统的类型、开放端口、提供的服务等敏感信息,以分析系统存在的漏洞。例如,第一对象可以通过扫描工具扫描出系统存在的SSRF漏洞,或者网络安全维护人员在系统上设置的蜜罐。
可以理解的是,在第一对象使用攻击工具攻击系统之前,通常是先使用扫描工具扫描系统存在的漏洞。而后,针对漏洞,第一对象使用相应的攻击工具攻击系统。
在一实施例中,上述扫描工具包括但不限于:网络连接端扫描软件(NetworkMapper,Nmap)nmap、系统扫描工具(ServerScan,SScan)等工具,对此不作限定。其中,与攻击工具相同的是,不同的扫描工具在扫描系统时使用的方式,以及与系统进行交互时的交互信息也通常各不相同。基于此,终端设备也可以同样的预先记录每个扫描工具的信息,并将上述信息分别作为每个扫描工具的特征。之后,将当前时刻下扫描工具的信息,分别与对多个已知的扫描工具的信息进行特征字节匹配,确定第一对象当前使用的扫描工具。
在一实施例中,上述交互信息为扫描工具扫描系统漏洞时与系统进行交互的交互信息。从交互信息中,终端设备可以确定扫描工具从系统中已发现的漏洞。之后,根据已发现的漏洞推测第一对象攻击系统时可能使用的攻击技术。之后,针对任意一种攻击技术,将攻击技术分别应用于预设的攻击技术框架中,推测第一对象在下一步可能进行的攻击行为。
在一实施例中,上述攻击技术包括但不限于欺骗、会话劫持、口令探测等攻击技术。其中,对于欺骗技术,其可以为IP欺骗、邮件欺骗、全球广域网(World Wide Web,WEB)欺骗以及域名系统(Domain Name System,DNS)欺骗等技术,对此不作限定。示例性的,IP欺骗可以为第一对象假冒他人的IP地址访问系统。
在一实施例中,上述攻击技术框架为根据已知且经过详细分析的威胁情报报告,形成的攻击技术矩阵,用于提高系统的防御能力、增加第一对象的攻击成本。其中,攻击技术框架中包含的威胁情报报告中通常以以下攻击行为最为常见:分别为命令行外壳程序(PowerShell)、脚本执行、命令行界面、注册表运行键/启动文件夹、伪装、混淆文件或信息、凭据转储。
在其他实施例中,上述第一画像还可以包括第一对象的攻击组织。也即第一对象的网际协议地址属于攻击组织所使用的地址之一,其攻击组织中可能还存在其他网际协议地址以对系统进行攻击。基于此,为得到第一对象的详细的第一画像,其还可以通过域名查询(NSLOOKUP)技术确定第一对象所属的攻击组织。而后确定该攻击组织下其他的网际协议地址。
具体的,一个网际协议地址通常具有公网地址,终端设备可以将公网地址输入至过NSLOOKUP工具中进行反向溯源,确定网际协议地址所属的攻击组织。其中,若攻击组织对外使用的为可逆域名系统(reverse Domain Name System,rDNS)rDNS的域名形式的地址,则终端设备还可以结合海量数据匹配的方式,对相关网际协议地址进行反向溯源,若网际协议地址存在备案信息,则根据备案信息确定第一对象所属的攻击组织。其中,上述NSLOOKUP指域名查询,具体为指查询域名的whois(链接到域名数据库的搜索引擎)注册信息。
请参照图7,图7是本申请一实施例提供的终端设备的结构框图。其中,终端设备包括画像层、溯源层以及存储层。
其中,画像层中包括可视化界面管理模块,用于对第一画像和第二画像进行可视化展示;还可以对每个第一对象的身份信息、第一对象的总数量、当前网络中存在攻击行为的数量、分别被每个第一对象攻击的站点、每个第一对象的攻击次数进行展示。
溯源层包括上述Jsonp、NSLOOKUP、攻击技术等模块,分别用于对第一画像和第二画像进行查询;上述存储层包括远程字典服务(Remote Dictionary Serve,Redis)和关系型数据库管理系统(Mysql)等数据库,用于存储上述第一画像和第二画像。具体包括:每个第一对象的身份信息、IP地址、经度纬度、社交账号、开始时间、最新攻击时间、攻击次数等。
在其他实施例中,上述终端设备还包括数据接入层、数据核心层等结构。其中,数据接入层主要负责系统数据接入管理,支持第一对象通过浏览器、web访问控制台、数据接口等方式与系统进行数据交互。其中,数据接口中包含第三方平台管理数据接口,用于从第三方平台或站点中获取数据。
上述数据核心层包括人工分析模块和接口信息模块,其中,人工分析模块用于辅助工作人员基于第一画像和第二画像对第一对象进行溯源分析。接口信息模块,用于支持接口授权的方式授权第三方站点,已授权的第三方站点之后可以使用平台接口被动式的对第一对象的画像进行分析或数据回传。
请参阅图8,图8是本申请实施例提供的一种攻击者画像生成装置的结构框图。本实施例中攻击者画像生成装置包括的各模块用于执行图1至图6对应的实施例中的各步骤。具体请参阅图1至图6以及图1至图6所对应的实施例中的相关描述。为了便于说明,仅示出了与本实施例相关的部分。参见图8,攻击者画像生成装置800可以包括:访问信息获取模块810、第一画像获取模块820、第二画像获取模块830以及生成模块840,其中:
访问信息获取模块810,用于获取系统被第一对象访问时,与第一对象相关的系统访问信息。
第一画像获取模块820,用于若基于系统访问信息确定第一对象为攻击者,则根据系统访问信息获取第一对象的第一画像;第一画像用于描述与第一对象相关的攻击属性。
第二画像获取模块830,用于基于第一画像,获取第一对象的第二画像;第二画像用于描述第一对象的身份信息。
生成模块840,用于根据第一画像和第二画像,生成第一对象的目标画像。
在一实施例中,系统访问信息包括被访问内容、网际协议地址、交互信息以及访问端口的信息。
在一实施例中,访问信息获取模块810还用于:
若系统访问信息满足预设条件中的至少一个,则确定第一对象为攻击者,并根据系统访问信息,获取第一对象的第一画像;
预设条件包括:被访问内容为目标内容;网际协议地址为周期性访问地址;交互信息的哈希值为预设值。
在一实施例中,第一画像包括第一对象的地理位置信息;第一画像获取模块820还用于:
根据预设的地址列表库确定网际协议地址分别在历史预设时间段内的至少一个物理位置;地址列表库用于记录各个预设的网际协议地址分别对应的物理位置;根据至少一个物理位置确定第一对象的地理位置信息。
在一实施例中,第一画像信息包括第一对象的注册信息;第一画像获取模块820还用于:
获取网际协议地址访问过的第三方站点;若第三方站点中存在跨域请求资源漏洞,则向第三方站点发送跨域请求;跨域请求用于请求第三方站点通过跨域请求资源漏洞,获取第一对象在第三方站点的注册信息;接收第三方站点返回的注册信息。
在一实施例中,系统设置有服务器端请求伪造漏洞,第一画像信息包括第一对象使用的攻击工具;访问信息获取模块810还用于:
根据服务器端请求伪造漏洞,获取系统被第一对象访问时,与第一对象相关的访问端口的信息。
第一画像获取模块820还用于:
获取预先确定的多个已知攻击工具攻击系统时使用的多个默认端口的信息;根据访问端口的信息和多个默认端口的信息,从多个已知攻击工具中确定第一对象使用的攻击工具。
在一实施例中,第一画像包括第一对象使用的攻击技术和攻击行为;攻击者画像生成装置800还包括:
扫描工具信息获取模块,用于获取第一对象扫描系统的漏洞时使用的扫描工具的信息。
第一画像获取模块820还用于:
根据扫描工具的信息以及交互信息,确定攻击技术;将攻击技术应用于预设的攻击技术框架中,得到攻击行为。
在一实施例中,第二画像获取模块830还用于:
根据第一画像查询第一对象访问过的社交网站;若社交网站中包括第一对象的社交信息,则基于社交信息获取第一对象的身份信息。
当理解的是,图8示出的攻击者画像生成装置的结构框图中,各模块用于执行图1至图6对应的实施例中的各步骤,而对于图1至图6对应的实施例中的各步骤已在上述实施例中进行详细解释,具体请参阅图1至图6以及图1至图6所对应的实施例中的相关描述,此处不再赘述。
图9是本申请另一实施例提供的一种终端设备的结构框图。如图9所示,该实施例的终端设备900包括:处理器910、存储器920以及存储在存储器920中并可在处理器910运行的计算机程序930,例如攻击者画像生成方法的程序。处理器910执行计算机程序930时实现上述各个攻击者画像生成方法各实施例中的步骤,例如图1所示的S101至S104。或者,处理器910执行计算机程序930时实现上述图8对应的实施例中各模块的功能,例如,图8所示的模块810至840的功能,具体请参阅图8对应的实施例中的相关描述。
示例性的,计算机程序930可以被分割成一个或多个模块,一个或者多个模块被存储在存储器920中,并由处理器910执行,以实现本申请实施例提供的攻击者画像生成方法。一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序930在终端设备900中的执行过程。例如,计算机程序930可以实现本申请实施例提供的攻击者画像生成方法。
终端设备900可包括,但不仅限于,处理器910、存储器920。本领域技术人员可以理解,图9仅仅是终端设备900的示例,并不构成对终端设备900的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如终端设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器910可以是中央处理单元,还可以是其他通用处理器、数字信号处理器、专用集成电路、现成可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器920可以是终端设备900的内部存储单元,例如终端设备900的硬盘或内存。存储器920也可以是终端设备900的外部存储设备,例如终端设备900上配备的插接式硬盘,智能存储卡,闪存卡等。进一步地,存储器920还可以既包括终端设备900的内部存储单元也包括外部存储设备。
本申请实施例提供了一种计算机可读存储介质,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上述各个实施例中的攻击者画像生成方法。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述各个实施例中的攻击者画像生成方法。
以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (9)
1.一种攻击者画像生成方法,其特征在于,包括:
获取系统被第一对象访问时,与所述第一对象相关的系统访问信息;所述系统访问信息包括交互信息;
若基于所述系统访问信息确定所述第一对象为攻击者,则根据所述系统访问信息获取所述第一对象的第一画像;所述第一画像用于描述所述第一对象的攻击属性,所述第一画像包括攻击行为和攻击技术;
基于所述第一画像,获取所述第一对象的第二画像;所述第二画像用于描述所述第一对象的身份信息;
根据所述第一画像和所述第二画像,生成所述第一对象的目标画像;
所述根据所述系统访问信息获取所述第一对象的第一画像,包括:
根据扫描工具的信息以及所述交互信息,确定所述攻击技术;所述扫描工具为所述第一对象扫描所述系统的漏洞时使用的工具;
将所述攻击技术应用于预设的攻击技术框架中,得到所述攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述系统访问信息包括被访问内容、网际协议地址以及访问端口的信息。
3.根据权利要求2所述的方法,其特征在于,所述若基于所述系统访问信息确定所述第一对象为攻击者,则根据系统访问信息获取所述第一对象的第一画像,包括:
若所述系统访问信息满足预设条件中的至少一个,则确定所述第一对象为攻击者,并根据所述系统访问信息,获取所述第一对象的第一画像;
所述预设条件包括:
所述被访问内容为目标内容;
所述网际协议地址为周期性访问地址;
所述交互信息的哈希值为预设值。
4.根据权利要求2所述的方法,其特征在于,所述第一画像包括所述第一对象的地理位置信息;
所述根据所述系统访问信息获取所述第一对象的第一画像,包括:
根据预设的地址列表库确定所述网际协议地址分别在历史预设时间段内的至少一个物理位置;所述地址列表库用于记录各个预设的网际协议地址分别对应的物理位置;
根据所述至少一个物理位置确定所述第一对象的地理位置信息。
5.根据权利要求2所述的方法,其特征在于,所述第一画像信息包括所述第一对象的注册信息;
所述根据所述系统访问信息获取所述第一对象的第一画像,还包括:
获取所述网际协议地址访问过的第三方站点;
若所述第三方站点中存在跨域请求资源漏洞,则向所述第三方站点发送跨域请求;所述跨域请求用于请求所述第三方站点通过所述跨域请求资源漏洞,获取所述第一对象在所述第三方站点的注册信息;
接收所述第三方站点返回的所述注册信息。
6.根据权利要求2所述的方法,其特征在于,所述系统设置有服务器端请求伪造漏洞,所述第一画像信息包括所述第一对象使用的攻击工具;
所述获取系统被第一对象访问时,与所述第一对象相关的系统访问信息,包括:
根据所述服务器端请求伪造漏洞,获取所述系统被所述第一对象访问时,与所述第一对象相关的访问端口的信息;
所述根据所述系统访问信息获取所述第一对象的第一画像,包括:
获取预先确定的多个已知攻击工具攻击所述系统时使用的多个默认端口的信息;
根据所述访问端口的信息和所述多个默认端口的信息,从所述多个已知攻击工具中确定所述第一对象使用的攻击工具。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述基于所述第一画像,获取所述第一对象的第二画像,包括:
根据所述第一画像查询所述第一对象访问过的社交网站;
若所述社交网站中包括所述第一对象的社交信息,则基于所述社交信息获取所述第一对象的身份信息。
8.一种攻击者画像生成装置,其特征在于,所述装置包括:
访问信息获取模块,用于获取系统被第一对象访问时,与所述第一对象相关的系统访问信息;所述系统访问信息包括交互信息;
第一画像获取模块,用于若基于所述系统访问信息确定所述第一对象为攻击者,则根据系统访问信息获取所述第一对象的第一画像;所述第一画像用于描述与所述第一对象相关的攻击属性,所述第一画像包括攻击行为和攻击技术;
第二画像获取模块,用于基于所述第一画像,获取所述第一对象的第二画像;所述第二画像用于描述所述第一对象的身份信息;
生成模块,用于根据所述第一画像和所述第二画像,生成所述第一对象的目标画像;
所述第一画像获取模块还用于:
根据扫描工具的信息以及所述交互信息,确定所述攻击技术;所述扫描工具为所述第一对象扫描所述系统的漏洞时使用的工具;将所述攻击技术应用于预设的攻击技术框架中,得到所述攻击行为。
9.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210163736.5A CN114598507B (zh) | 2022-02-22 | 2022-02-22 | 攻击者画像生成方法、装置、终端设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210163736.5A CN114598507B (zh) | 2022-02-22 | 2022-02-22 | 攻击者画像生成方法、装置、终端设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114598507A CN114598507A (zh) | 2022-06-07 |
CN114598507B true CN114598507B (zh) | 2023-06-30 |
Family
ID=81806332
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210163736.5A Active CN114598507B (zh) | 2022-02-22 | 2022-02-22 | 攻击者画像生成方法、装置、终端设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114598507B (zh) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5481092B2 (ja) * | 2009-04-22 | 2014-04-23 | 株式会社バンダイナムコゲームス | プログラム、情報記憶媒体、及びゲーム装置 |
US11057428B1 (en) * | 2019-03-28 | 2021-07-06 | Rapid7, Inc. | Honeytoken tracker |
CN113037713B (zh) * | 2021-02-07 | 2023-02-03 | 深信服科技股份有限公司 | 网络攻击的对抗方法、装置、设备及存储介质 |
CN113645253B (zh) * | 2021-08-27 | 2023-05-26 | 杭州安恒信息技术股份有限公司 | 一种攻击信息获取方法、装置、设备及存储介质 |
CN114003903B (zh) * | 2021-12-28 | 2022-03-08 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
CN114024774A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种攻击者画像的生成方法、装置及电子设备 |
-
2022
- 2022-02-22 CN CN202210163736.5A patent/CN114598507B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
Non-Patent Citations (1)
Title |
---|
网络安全中攻击者画像的关键技术研究;王祖俪;《信息技术与信息化》;143-145 * |
Also Published As
Publication number | Publication date |
---|---|
CN114598507A (zh) | 2022-06-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11888897B2 (en) | Implementing decoys in a network environment | |
US10574698B1 (en) | Configuration and deployment of decoy content over a network | |
US11695800B2 (en) | Deceiving attackers accessing network data | |
US9942270B2 (en) | Database deception in directory services | |
US9917850B2 (en) | Deterministic reproduction of client/server computer state or output sent to one or more client computers | |
US8782796B2 (en) | Data exfiltration attack simulation technology | |
US8925080B2 (en) | Deception-based network security using false positive responses to unauthorized access requests | |
US11330016B2 (en) | Generating collection rules based on security rules | |
US20160191352A1 (en) | Network asset information management | |
US11616812B2 (en) | Deceiving attackers accessing active directory data | |
CN105939326A (zh) | 处理报文的方法及装置 | |
WO2017049042A1 (en) | Identifying phishing websites using dom characteristics | |
DE202013102441U1 (de) | System zur Überprüfung digitaler Zertifikate | |
CN105550593A (zh) | 一种基于局域网的云盘文件监控方法和装置 | |
US9059987B1 (en) | Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network | |
CN113868659B (zh) | 一种漏洞检测方法及系统 | |
Bates et al. | Forced perspectives: Evaluating an SSL trust enhancement at scale | |
RU2601147C2 (ru) | Система и способ выявления целевых атак | |
García et al. | Large scale analysis of doh deployment on the internet | |
US10462180B1 (en) | System and method for mitigating phishing attacks against a secured computing device | |
CN114598507B (zh) | 攻击者画像生成方法、装置、终端设备及存储介质 | |
US10523715B1 (en) | Analyzing requests from authenticated computing devices to detect and estimate the size of network address translation systems | |
CN110995738B (zh) | 暴力破解行为识别方法、装置、电子设备及可读存储介质 | |
KR102362320B1 (ko) | 능동형 네트워크 보안용 주소변이 접속 시스템 및 방법 | |
Afek et al. | Eradicating attacks on the internal network with internal network policy |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |