CN115102785B - 一种针对网络攻击的自动溯源系统及方法 - Google Patents
一种针对网络攻击的自动溯源系统及方法 Download PDFInfo
- Publication number
- CN115102785B CN115102785B CN202210874945.0A CN202210874945A CN115102785B CN 115102785 B CN115102785 B CN 115102785B CN 202210874945 A CN202210874945 A CN 202210874945A CN 115102785 B CN115102785 B CN 115102785B
- Authority
- CN
- China
- Prior art keywords
- information
- module
- traceability
- network
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种针对网络攻击的自动溯源系统及方法,系统包括:安全防护模块、多元融合溯源自动化平台、网络空间测绘模块、网络安全单兵作战模块和溯源取证模块;多元融合溯源自动化平台用于接收由安全防护模块劫持的攻击流量,进而获取攻击者信息;网络空间测绘模块用于扫描接收的攻击者信息获得扫描结果信息,并将扫描结果信息发送给多元融合溯源自动化平台;网络安全单兵作战模块用于接收并执行渗透攻击指令,获取僵尸网络权限;溯源取证模块用于在网络安全单兵作战模块获取僵尸网络权限之后,对僵尸网络进行全面取证,并将全面取证信息发送给多元融合溯源自动化平台。本发明实现了由设备驱动的自动溯源流程,提高了溯源效率,降低了溯源成本。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种针对网络攻击的自动溯源系统及方法。
背景技术
当前的网络安全形势日趋严峻,网络攻击越来越职业化,越来越多的系统漏洞被恶意利用,僵尸网络的数量逐渐递增。
面对当前日益复杂且庞大的网络攻击行为,安全行业的各大公司相继推出了“网络空间探测”、“网站应用防护系统WAF”等各式各样的网络安全设备。在当前零散的、以“被动防御性”为主的产品安全体系发展趋势下,针对恶意攻击的取证过程也逐渐形成了对应的以人工驱动的网络安全溯源体系,通常包括以下几个部分:初步的数据收集,被恶意攻击的一方一般从网站应用防护系统WAF、蜜罐等防御设备中捕获部分或单个恶意IP及攻击行为,然后通过人工进行二次分析,排除冗余数据,确定真实攻击行为,之后将攻击数据进行初步整理,收集僵尸网络信息以及发起恶意攻击一方的组织信息;之后则是根据之前收集到的僵尸网络信息结合端口探测、漏洞扫描等各类工具,在互联网侧对僵尸网络进行逐个端口及漏洞扫描,查找可能存在的突破口;发现突破口后,由被恶意攻击的一方的安全人员主动渗透,获取后台权限后,采取日志审计、进程分析、文件分析等方式,观察当前残留的恶意外联或访问行为以及是其他恶意IP线索,梳理攻击链条;之后通过情报收集工具,例如开源情报中心,IP反查域名、情报信息库等,逐个排查攻击链中所有IP的地址、类型、域名、以及域名下绑定的邮箱、姓名、手机号等敏感信息,梳理组织信息,对组织进行画像溯源;最终由安全人员梳理整个溯源过程,确认溯源过程是否符合逻辑,更新或补充溯源内容,完成信息确认。
但蜜罐等传统安全设备被网络攻击出发的几率始终较低,网站应用防护系统WAF等常规的防御性产品容易产生大量的错误数据和冗余数据,也就是说,大部分的安全设备都偏向于安全防护,缺乏网络空间治理的主动性,另外,人工驱动的溯源行为存在效率低下、溯源的准确性和完整性难以保障、受人员安全能力等客观因素限制、在同一团体之间信息无法高效流转、溯源逻辑不清晰、高成本低回报等多种问题,导致目前由常规的网络安全体系架构及相关设备构建的网络攻击溯源体系难以满足愈加强烈的主动防御的需求。
发明内容
本发明的目的是提供一种针对网络攻击的自动溯源系统及方法,用于解决现有技术关于目前由人工驱动的网络攻击溯源系统中人工驱动、不够智能以及由此带来的溯源效率低下、溯源成本高等问题。
本发明第一方面提供一种针对网络攻击的自动溯源系统,包括:安全防护模块、多元融合溯源自动化平台、网络空间测绘模块、网络安全单兵作战模块和溯源取证模块;
所述多元融合溯源自动化平台用于接收由所述安全防护模块劫持的攻击流量,并对所述攻击流量进行分析,以获取攻击者信息;
所述网络空间测绘模块用于接收所述攻击者信息,通过扫描攻击者信息获得扫描结果信息,并将所述扫描结果信息发送给所述多元融合溯源自动化平台;
所述网络安全单兵作战模块用于接收并执行由溯源人员基于所述扫描结果信息发出的渗透攻击指令,获取僵尸网络权限;其中,所述僵尸网络是指被黑客劫持发出攻击流量的服务器;
所述溯源取证模块用于在所述网络安全单兵作战模块获取僵尸网络权限之后,对所述僵尸网络进行全面取证,并将全面取证信息发送给所述多元融合溯源自动化平台。
根据本发明提供的针对网络攻击的自动溯源系统,还包括安全情报库模块,其中,
所述安全情报库模块用于基于自身存储的有恶意行为记录的IP地址或域名,对所述攻击者信息进行信息检索,并将检索结果发送给所述多元融合溯源自动化平台,以便所述多元融合溯源自动化平台对整个溯源流程进行梳理。
根据本发明提供的针对网络攻击的自动溯源系统,所述安全防护模块包括网站应用防护系统WAF。
本发明第二方面提供一种针对网络攻击的自动溯源方法,所述方法用于上述任一项所述的针对网络攻击的自动溯源系统中的多元融合溯源自动化平台,该方法包括:
接收由安全防护模块劫持的攻击流量;
对所述攻击流量进行分析,获取攻击者信息;
将所述攻击者信息发送给网络空间测绘模块;
接收由所述网络空间测绘模块通过扫描攻击者信息获得的扫描结果信息,并将所述扫描结果信息进行保存及展示;
接收全面取证信息,其中,所述全面取证信息由溯源取证模块在网络安全单兵作战模块执行溯源人员基于所述扫描结果信息发出的渗透攻击指令、获取僵尸网络权限之后,对所述僵尸网络进行全面取证获得的。
根据本发明提供的针对网络攻击的自动溯源方法,所述对所述攻击流量进行分析,获取攻击者信息,包括:
根据关联匹配算法对所述攻击流量进行真实性分析,筛选出由人为发起的攻击流量;
获得所述由人为发起的攻击流量的攻击者信息。
根据本发明提供的针对网络攻击的自动溯源方法,所述攻击者信息包括IP地址或域名,
所述接收由所述网络空间测绘模块通过扫描攻击者信息获得的扫描结果信息,具体包括:
接收由所述网络空间测绘模块通过对攻击者信息中的IP地址或域名进行端口扫描及漏洞扫描获得的扫描结果信息。
根据本发明提供的针对网络攻击的自动溯源方法,在所述接收全面取证信息之后,还包括:
接收由安全情报库模块发送的检索结果,其中,所述检索结果是由安全情报库模块基于自身存储的有恶意行为记录的IP地址或域名,对所述攻击者信息进行信息检索得到的。
根据本发明提供的针对网络攻击的自动溯源方法,所述全面取证信息包括登录记录、命令执行情况、数据库访问记录、恶意文件信息和黑客的真实IP地。
本发明第三方面提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现任一项所述针对网络攻击的自动溯源方法的步骤。
本发明第四方面提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现任一项所述针对网络攻击的自动溯源方法的步骤。
本发明提供一种针对网络攻击的自动溯源系统及方法,通过设置安全防护模块、多元融合溯源自动化平台、网络空间测绘模块、网络安全单兵作战模块和溯源取证模块;所述多元融合溯源自动化平台用于接收由所述安全防护模块劫持的攻击流量,并对所述攻击流量进行分析,以获取攻击者信息;所述网络空间测绘模块用于接收所述攻击者信息,通过扫描攻击者信息获得扫描结果信息,并将所述扫描结果信息发送给所述多元融合溯源自动化平台;所述网络安全单兵作战模块用于接收并执行由溯源人员基于所述扫描结果信息发出的渗透攻击指令,获取僵尸网络权限;其中,所述僵尸网络是指被黑客劫持发出攻击流量的服务器;所述溯源取证模块用于在所述网络安全单兵作战模块获取僵尸网络权限之后,对所述僵尸网络进行全面取证,并将全面取证信息发送给所述多元融合溯源自动化平台。本发明围绕多元融合溯源自动化平台搭建了一个针对网络攻击的自动溯源的体系架构,实现了由设备驱动的溯源流程,极大的提高了溯源的效率,降低了溯源的成本。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的针对网络攻击的自动溯源系统的结构示意图;
图2为本发明提供的针对网络攻击的自动溯源方法的流程示意图;
图3为本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图3描述本发明的针对网络攻击的自动溯源系统及方法。
图1为本发明提供的针对网络攻击的自动溯源系统的结构示意图,如图1所示,本发明提供的一种针对网络攻击的自动溯源系统,包括:安全防护模块110、多元融合溯源自动化平台120、网络空间测绘模块130、网络安全单兵作战模块140和溯源取证模块150;
所述多元融合溯源自动化平台120用于接收由所述安全防护模块110劫持的攻击流量,并对所述攻击流量进行分析,以获取攻击者信息;
所述网络空间测绘模块130,用于接收所述攻击者信息,通过扫描攻击者信息获得扫描结果信息,并将所述扫描结果信息发送给所述多元融合溯源自动化平台120;
所述网络安全单兵作战模块140用于接收并执行由溯源人员基于所述扫描结果信息发出的渗透攻击指令,获取僵尸网络权限;其中,所述僵尸网络是指被黑客劫持发出攻击流量的服务器;
所述溯源取证模块150用于在所述网络安全单兵作战模块140获取僵尸网络权限之后,对所述僵尸网络进行全面取证,并将全面取证信息发送给所述多元融合溯源自动化平台120。
在本实施例中,安全防护模块110由各种网络安全防护设备构成,增加了攻击流量的信息捕获来源,提高了捕获数量。多元融合溯源自动化平台120是本申请中自动溯源系统的核心设备,用于协调和驱动整个溯源过程。网络空间测绘模块130也称网络空间测绘系统,可在网络空间中用主动或被动探测的方法来绘制各类设备及服务器的画像,在多元融合自动溯源系统中则是负责测绘僵尸网络画像,扫描僵尸网络的端口及服务以及漏洞点,全方位寻找可利用的突破口。网络安全单兵作战模块140包括各种网络安全单兵作战工具,网络安全单兵作战工具是一款针对关键信息基础设施、工控系统、物联网等资产的网络安全尖兵作战工具,能够自动化完成“目标侦查、暴露面检测、渗透利用”完整攻击链流程和事件调查的溯源取证,在多元融合自动溯源系统中负责协助溯源人员进行渗透攻击,获取僵尸网络权限。溯源取证模块150包括各种溯源取证小工具,溯源取证小工具是一款轻量化的模拟人工取证行为的自动取证工具,包含了系统日志、数据库日志取证以及恶意文件取证等多项功能,挂载于多元融合溯源自动化平台120上,可直接在僵尸网络中运行,获取到的取证信息会发送至多元融合溯源自动化平台120,对整体攻击链条进行线性展示。僵尸网络通常指代那些被黑客通过各种途径感染僵尸病毒的网络服务器,通常被作为隐藏黑客真实身份的跳板或是大批量Dos攻击的发起点。
在本实施例中,安全防护模块110劫持恶意的攻击流量,并将劫持的攻击流量发送到多元融合溯源自动化平台120。多元融合溯源自动化平台120接收到由安全防护模块110劫持的攻击流量以后,对攻击流量进行统一的流量分析,从海量的攻击流量中筛选出真实的由人为发起的攻击流量,并获取这些攻击者的信息,包括网络IP地址、url地址、恶意文件等攻击者信息;然后将获取的攻击者信息批量发送给网络空间测绘模块130,通过网络空间测绘模块130扫描攻击者信息获得扫描结果信息,并将扫描结果信息在多元融合溯源自动化平台120进行保存及展示。溯源人员通过自动溯源系统进行查询多元融合溯源自动化平台120上的扫描结果信息或通过通讯工具进行接收多元融合溯源自动化平台120上的扫描结果信息,并根据扫描结果信息向网络安全单兵作战模块140下达相应的渗透攻击指令,在网络安全单兵作战模块140获取僵尸网络的命令执行权限以后,由溯源取证模块150对僵尸网络进行全面取证,并将全面取证信息发送给多元融合溯源自动化平台120,最后,由多元融合溯源自动化平台120梳理整个溯源流程、对线性攻击分析结果进行编辑完善、出具溯源报告。
本发明提供的一种针对网络攻击的自动溯源系统,通过设置安全防护模块、多元融合溯源自动化平台、网络空间测绘模块、网络安全单兵作战模块和溯源取证模块;多元融合溯源自动化平台用于接收由安全防护模块劫持的攻击流量,并对攻击流量进行分析,以获取攻击者信息;网络空间测绘模块用于接收攻击者信息,通过扫描攻击者信息获得扫描结果信息,并将扫描结果信息发送给多元融合溯源自动化平台;网络安全单兵作战模块用于接收并执行由溯源人员基于扫描结果信息发出的渗透攻击指令,获取僵尸网络权限;其中,僵尸网络是指被黑客劫持发出攻击流量的服务器;溯源取证模块用于在网络安全单兵作战模块获取僵尸网络权限之后,对僵尸网络进行全面取证,并将全面取证信息发送给多元融合溯源自动化平台。本发明围绕多元融合溯源自动化平台搭建了一个针对网络攻击的自动溯源系统,实现了由设备驱动的自动溯源流程,极大的提高了溯源的效率,降低了溯源的成本。
基于上述任一实施例,在本实施例中,根据本发明提供的针对网络攻击的自动溯源系统,还包括安全情报库模块,其中,
所述安全情报库模块用于基于自身存储的有恶意行为记录的IP地址或域名,对所述攻击者信息进行信息检索,并将检索结果发送给所述多元融合溯源自动化平台,以便所述多元融合溯源自动化平台对整个溯源流程进行梳理。
在本实施例中,安全情报库模块中的安全情报库是存储有大量恶意行为记录的IP地址或域名的数据库,在多元融合自动溯源系统中负责在大量的网络攻击流量中识别出发起攻击行为的IP地址是否是潜在的僵尸网络,判断其资产性质,以及所属的APT组织和可能的上级跳板,测绘溯源逻辑链中涉及的IP地址及域名的画像信息。
在本实施例中,安全情报库模块基于自身存储的有恶意行为记录的IP地址或域名,对包含IP地址的攻击者信息进行信息检索,并将检索结果发送给多元融合溯源自动化平台,以便多元融合溯源自动化平台对整个溯源流程进行梳理和优化。
本发明提供的一种针对网络攻击的自动溯源系统,通过设置安全情报库模块,基于自身存储的有恶意行为记录的IP地址或域名,对攻击者信息进行信息检索,可自动关联之前出现过的攻击行为,避免了多方面信息来源造成的信息冲突问题,极大的支持了由设备驱动的溯源流程,提高了溯源的效率,降低了溯源的成本。
基于上述任一实施例,在本实施例中,根据本发明提供的针对网络攻击的自动溯源系统,所述安全防护模块包括网站应用防护系统WAF。
在本实施例中,网站应用防护系统WAF(Web Application Firewall)也就是常说的Web应用防火墙,是一种集应用交付安全、网页信息安全、Web应用安全于一体的应用防护系统,在多元融合自动溯源体系架构中负责拦截恶意的攻击流量并将可疑的攻击流量发送至多元融合溯源自动化平台。
本发明提供的一种针对网络攻击的自动溯源系统,通过明确安全防护模块包括网站应用防护系统WAF,进一步公开了安全防护模块的实现途径,极大的支持了由设备驱动的溯源流程,提高了溯源的效率,降低了溯源的成本。
另一方面,本发明还提供一种针对网络攻击的自动溯源方法,所述方法用于上述任一项所述的针对网络攻击的自动溯源系统中的多元融合溯源自动化平台,图2为本发明提供的针对网络攻击的自动溯源方法的流程示意图,如图2所示,方法包括:
步骤S210、接收由安全防护模块劫持的攻击流量;
步骤S220、对所述攻击流量进行分析,获取攻击者信息;
步骤S230、将所述攻击者信息发送给网络空间测绘模块;
步骤S240、接收由所述网络空间测绘模块通过扫描攻击者信息获得的扫描结果信息,并将所述扫描结果信息进行保存及展示;
步骤S250、接收全面取证信息,其中,所述全面取证信息由溯源取证模块在网络安全单兵作战模块执行溯源人员基于所述扫描结果信息发出的渗透攻击指令、获取僵尸网络权限之后,对所述僵尸网络进行全面取证获得的。
在本实施例中,多元融合溯源自动化平台接收由安全防护模块劫持的攻击流量,对攻击流量进行分析,获取攻击者信息,对攻击流量进行分析,获取攻击者信息,接收由网络空间测绘模块通过扫描攻击者信息获得的扫描结果信息,并将扫描结果信息进行保存及展示,接收由溯源取证模块在网络安全单兵作战模块执行溯源人员基于所述扫描结果信息发出的渗透攻击指令、获取僵尸网络权限之后,对僵尸网络进行全面取证获得的全面取证信息;最后,多元融合溯源自动化平台梳理整个溯源流程、对展示的线性攻击分析结果进行编辑完善、出具溯源报告。
本发明提供的一种针对网络攻击的自动溯源方法,通过多元融合溯源自动化平台对接收的攻击流量进行分析获取攻击者信息,并将接收的扫描结果信息进行保存及展示,接收全面取证信息,进行梳理整个溯源流程、出具溯源报告,围绕多元融合溯源自动化平台搭建了一个针对网络攻击的由设备驱动的自动溯源流程,极大的提高了溯源的效率,降低了溯源的成本。
基于上述任一实施例,在本实施例中,根据本发明提供的针对网络攻击的自动溯源方法,所述对所述攻击流量进行分析,获取攻击者信息,包括:
根据关联匹配算法对所述攻击流量进行真实性分析,筛选出由人为发起的攻击流量;
获得所述由人为发起的攻击流量的攻击者信息。
在本实施例中,关联匹配算法包括“情报匹配算法”、“攻击流量特征匹配算法”等。当多元融合溯源自动化平台接收到攻击流量后,会通过“情报匹配算法”优先在安全情报库模块的安全情报库中查询攻击流量访问者的IP信息是否在近期曾经存在恶意攻击行为。若近期存在恶意攻击行为,则可认证此IP相关攻击流量的真实性。若近期未发现该IP恶意攻击行为,则通过“攻击流量特征匹配算法”对恶意流量进行关键内容的分级匹配,若发现某一攻击流量中存在恶意攻击的关键字或单位时间内访问次数过多则同样可认证攻击行为的真实性。同时,也可根据恶意流量的发送端的真实网络环境自定义恶意流量匹配策略,如当恶意流量发送端存在“蜜罐”设备时,可同步获取蜜罐中的访问流量,并默认其攻击真实性。
在本实施例中,多元融合溯源自动化平台根据关联匹配算法对接收的攻击流量进行真实性分析,对攻击流量的真实性进行评估,具体评估过程如上所述,筛选出评估中真实性较强的攻击流量,作为人为发起的攻击流量进行优先分析,获得由人为发起的攻击流量的攻击者信息。
本发明提供的一种针对网络攻击的自动溯源方法,根据关联匹配算法对攻击流量进行真实性分析,筛选出由人为发起的攻击流量,获得由人为发起的攻击流量的攻击者信息,进一步公开了攻击者信息的获取路径,有力的支持了围绕多元融合溯源自动化平台搭建的由设备驱动的自动溯源流程,有利于提高溯源的效率、降低溯源的成本。
基于上述任一实施例,在本实施例中,根据本发明提供的针对网络攻击的自动溯源方法,所述攻击者信息包括IP地址或域名,
所述接收由所述网络空间测绘模块通过扫描攻击者信息获得的扫描结果信息,具体包括:
接收由所述网络空间测绘模块通过对攻击者信息中的IP地址或域名进行端口扫描及漏洞扫描获得的扫描结果信息。
在本实施例中,攻击者信息包括IP地址或域名、url地址、恶意文件等,多元融合溯源自动化平台接收由网络空间测绘模块通过对攻击者信息中的IP地址或域名进行端口扫描及漏洞扫描获得的扫描结果信息。
本发明提供的一种针对网络攻击的自动溯源方法,通过进一步公开攻击者信息包括IP地址或域名,多元融合溯源自动化平台接收由网络空间测绘模块通过对攻击者信息中的IP地址或域名进行端口扫描及漏洞扫描获得的扫描结果信息,有力的支持了围绕多元融合溯源自动化平台搭建的由设备驱动的自动溯源流程,有利于提高溯源的效率、降低溯源的成本。
基于上述任一实施例,在本实施例中,根据本发明提供的针对网络攻击的自动溯源方法,在所述接收全面取证信息之后,还包括:
接收由安全情报库模块发送的检索结果,其中,所述检索结果是由安全情报库模块基于自身存储的有恶意行为记录的IP地址或域名,对所述攻击者信息进行信息检索得到的。
在本实施例中,安全情报库模块中的安全情报库还会存储多元融合溯源自动化平台对攻击流量的分析结果以及溯源取证模块对僵尸网络中的可控攻击主机的审计结果,更新自己的安全情报库。
在本实施例中,安全情报库模块基于自身存储的有恶意行为记录的IP地址或域名,对攻击者信息进行信息检索, 获取到整个攻击链条中的所有相关黑客个人与组织信息,最后由多元融合溯源自动化平台接收安全情报库模块发送的检索结果。
本发明提供的一种针对网络攻击的自动溯源方法,通过进一步公开多元融合溯源自动化平台接收由安全情报库模块发送的检索结果,有力的支持了围绕多元融合溯源自动化平台搭建的由设备驱动的自动溯源流程,有利于提高溯源的效率、降低溯源的成本。
基于上述任一实施例,在本实施例中,根据本发明提供的针对网络攻击的自动溯源方法,所述全面取证信息包括登录记录、命令执行情况、数据库访问记录、恶意文件信息和黑客的真实IP地址。
在本实施例中,溯源取证模块获得的全面取证信息包括僵尸网络的登录记录、命令执行情况、数据库访问记录、恶意文件信息和黑客的真实IP地址。
本发明提供的一种针对网络攻击的自动溯源方法,通过进一步公开全面取证信息包括登录记录、命令执行情况、数据库访问记录、恶意文件信息和黑客的真实IP地址,有力的支持了围绕多元融合溯源自动化平台搭建的由设备驱动的自动溯源流程,有利于提高溯源的效率、降低溯源的成本。
另一方面,本发明还提供一种电子设备,图3示例了一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括处理器310、通信总线340、存储器330、通信接口320以及存储在所述存储器330上并可在所述处理器310上运行的计算机程序,其中,处理器310、通信接口320、存储器330通过通信总线340完成相互间的通信,处理器310可以调用存储器330中的逻辑指令,以执行针对网络攻击的自动溯源方法,该方法包括:
接收由安全防护模块劫持的攻击流量;
对所述攻击流量进行分析,获取攻击者信息;
将所述攻击者信息发送给网络空间测绘模块;
接收由所述网络空间测绘模块通过扫描攻击者信息获得的扫描结果信息,并将所述扫描结果信息进行保存及展示;
接收全面取证信息,其中,所述全面取证信息由溯源取证模块在网络安全单兵作战模块执行溯源人员基于所述扫描结果信息发出的渗透攻击指令、获取僵尸网络权限之后,对所述僵尸网络进行全面取证获得的。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,当所述计算机程序被处理器执行时,可以实现针对网络攻击的自动溯源方法,该方法包括:
接收由安全防护模块劫持的攻击流量;
对所述攻击流量进行分析,获取攻击者信息;
将所述攻击者信息发送给网络空间测绘模块;
接收由所述网络空间测绘模块通过扫描攻击者信息获得的扫描结果信息,并将所述扫描结果信息进行保存及展示;
接收全面取证信息,其中,所述全面取证信息由溯源取证模块在网络安全单兵作战模块执行溯源人员基于所述扫描结果信息发出的渗透攻击指令、获取僵尸网络权限之后,对所述僵尸网络进行全面取证获得的。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种针对网络攻击的自动溯源系统,其特征在于,包括:安全防护模块、多元融合溯源自动化平台、网络空间测绘模块、网络安全单兵作战模块和溯源取证模块;
所述多元融合溯源自动化平台用于接收由所述安全防护模块劫持的攻击流量,并对所述攻击流量进行分析,以获取攻击者信息;其中,所述攻击者信息包括IP地址或域名;
所述网络空间测绘模块用于接收所述攻击者信息,通过对攻击者信息中的IP地址或域名进行端口扫描及漏洞扫描获得扫描结果信息,并将所述扫描结果信息发送给所述多元融合溯源自动化平台;
所述网络安全单兵作战模块用于接收并执行由溯源人员基于所述扫描结果信息发出的渗透攻击指令,获取僵尸网络权限;其中,所述僵尸网络是指被黑客劫持发出攻击流量的服务器;
所述溯源取证模块用于在所述网络安全单兵作战模块获取僵尸网络权限之后,对所述僵尸网络进行全面取证,并将全面取证信息发送给所述多元融合溯源自动化平台。
2.根据权利要求1所述的针对网络攻击的自动溯源系统,其特征在于,还包括安全情报库模块,其中,
所述安全情报库模块用于基于自身存储的有恶意行为记录的IP地址或域名,对所述攻击者信息进行信息检索,并将检索结果发送给所述多元融合溯源自动化平台,以便所述多元融合溯源自动化平台对整个溯源流程进行梳理。
3.根据权利要求1所述的针对网络攻击的自动溯源系统,其特征在于,所述安全防护模块包括网站应用防护系统WAF。
4.一种针对网络攻击的自动溯源方法,其特征在于,所述方法用于权利要求1至3任一项所述的针对网络攻击的自动溯源系统中的多元融合溯源自动化平台,该方法包括:
接收由安全防护模块劫持的攻击流量;
对所述攻击流量进行分析,获取攻击者信息;其中,所述攻击者信息包括IP地址或域名;
将所述攻击者信息发送给网络空间测绘模块;
接收由所述网络空间测绘模块通过对攻击者信息中的IP地址或域名进行端口扫描及漏洞扫描获得的扫描结果信息,并将所述扫描结果信息进行保存及展示;
接收全面取证信息,其中,所述全面取证信息由溯源取证模块在网络安全单兵作战模块执行溯源人员基于所述扫描结果信息发出的渗透攻击指令、获取僵尸网络权限之后,对所述僵尸网络进行全面取证获得的。
5.根据权利要求4所述的针对网络攻击的自动溯源方法,其特征在于,所述对所述攻击流量进行分析,获取攻击者信息,包括:
根据关联匹配算法对所述攻击流量进行真实性分析,筛选出由人为发起的攻击流量;
获得所述由人为发起的攻击流量的攻击者信息。
6.根据权利要求4所述的针对网络攻击的自动溯源方法,其特征在于,在所述接收全面取证信息之后,还包括:
接收由安全情报库模块发送的检索结果,其中,所述检索结果是由安全情报库模块基于自身存储的有恶意行为记录的IP地址或域名,对所述攻击者信息进行信息检索得到的。
7.根据权利要求4所述的针对网络攻击的自动溯源方法,其特征在于,所述全面取证信息包括登录记录、命令执行情况、数据库访问记录、恶意文件信息和黑客的真实IP地址。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求4至7任一项所述针对网络攻击的自动溯源方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求4至7任一项所述针对网络攻击的自动溯源方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210874945.0A CN115102785B (zh) | 2022-07-25 | 2022-07-25 | 一种针对网络攻击的自动溯源系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210874945.0A CN115102785B (zh) | 2022-07-25 | 2022-07-25 | 一种针对网络攻击的自动溯源系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115102785A CN115102785A (zh) | 2022-09-23 |
| CN115102785B true CN115102785B (zh) | 2022-11-18 |
Family
ID=83297940
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210874945.0A Active CN115102785B (zh) | 2022-07-25 | 2022-07-25 | 一种针对网络攻击的自动溯源系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115102785B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115296936B (zh) * | 2022-10-08 | 2023-08-01 | 四川安洵信息技术有限公司 | 一种反网络犯罪辅侦的自动化方法及系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924757B (zh) * | 2010-07-30 | 2013-12-18 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| US9648029B2 (en) * | 2012-07-30 | 2017-05-09 | Newegg Inc. | System and method of active remediation and passive protection against cyber attacks |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
| CN109495520B (zh) * | 2019-01-11 | 2021-06-25 | 北京中睿天下信息技术有限公司 | 一体化网络攻击取证溯源方法、系统、设备及存储介质 |
| CN111083117A (zh) * | 2019-11-22 | 2020-04-28 | 上海交通大学 | 一种基于蜜罐的僵尸网络的追踪溯源系统 |
| CN112347485B (zh) * | 2020-11-10 | 2024-05-28 | 远江盛邦(北京)网络安全科技股份有限公司 | 多引擎获取漏洞并自动化渗透的处理方法 |
| CN112839029B (zh) * | 2020-12-22 | 2023-02-17 | 河南省信息咨询设计研究有限公司 | 一种僵尸网络活跃度的分析方法与系统 |
| CN112769827B (zh) * | 2021-01-08 | 2021-09-10 | 中国电子科技集团公司第十五研究所 | 一种网络攻击代理端检测及溯源方法与装置 |
| CN114584401B (zh) * | 2022-05-06 | 2022-07-12 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种面向大规模网络攻击的追踪溯源系统及方法 |
-
2022
- 2022-07-25 CN CN202210874945.0A patent/CN115102785B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN115102785A (zh) | 2022-09-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
| US9832213B2 (en) | System and method for network intrusion detection of covert channels based on off-line network traffic | |
| Morishita et al. | Detect me if you… oh wait. An internet-wide view of self-revealing honeypots | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| CN112822147B (zh) | 一种用于分析攻击链的方法、系统及设备 | |
| CN111641620A (zh) | 用于检测进化DDoS攻击的新型云蜜罐方法及架构 | |
| CN106992981B (zh) | 一种网站后门检测方法、装置和计算设备 | |
| Hatada et al. | Empowering anti-malware research in Japan by sharing the MWS datasets | |
| CN104580249A (zh) | 一种基于日志的僵木蠕网络分析方法和系统 | |
| CN111104579A (zh) | 一种公网资产的识别方法、装置及存储介质 | |
| CN105550593A (zh) | 一种基于局域网的云盘文件监控方法和装置 | |
| CN115102785B (zh) | 一种针对网络攻击的自动溯源系统及方法 | |
| Djap et al. | Xb-pot: Revealing honeypot-based attacker’s behaviors | |
| CN108737332B (zh) | 一种基于机器学习的中间人攻击预测方法 | |
| Snehi et al. | IoT-based DDoS on cyber physical systems: Research challenges, datasets and future prospects | |
| Yermalovich et al. | Formalization of attack prediction problem | |
| CN116015800A (zh) | 一种扫描器识别方法、装置、电子设备及存储介质 | |
| CN114598507A (zh) | 攻击者画像生成方法、装置、终端设备及存储介质 | |
| Hines et al. | Uncover Security Weakness Before the Attacker Through Penetration Testing | |
| Gawron et al. | Automatic vulnerability detection for weakness visualization and advisory creation | |
| Gundert | Proactive threat identification neutralizes remote access trojan efficacy | |
| Sasaki et al. | Who are you? OSINT-based profiling of infrastructure honeypot visitors | |
| Changsan et al. | Log4shell Investigate Based On Generic Computer Forensic Investigation Model | |
| CN115242467B (zh) | 一种网络数据识别方法及系统 | |
| István | Possible Classification of Cybersecurity Penetration Test |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |