CN115296936B - 一种反网络犯罪辅侦的自动化方法及系统 - Google Patents
一种反网络犯罪辅侦的自动化方法及系统 Download PDFInfo
- Publication number
- CN115296936B CN115296936B CN202211219515.1A CN202211219515A CN115296936B CN 115296936 B CN115296936 B CN 115296936B CN 202211219515 A CN202211219515 A CN 202211219515A CN 115296936 B CN115296936 B CN 115296936B
- Authority
- CN
- China
- Prior art keywords
- attack
- target
- module
- execution module
- execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本发明涉及一种反网络犯罪辅侦的自动化方法及系统,辅侦系统还可以是一种计算机主机安全检测系统或一种计算机网安漏洞检查系统,其包括:执行模块和管理模块,执行模块在对目标执行相应指令操作时,管理模块基于目标所需配置的链路的匿名防溯等级而建立能够达到相应隐蔽性和防溯源性的匿名网络链路,匿名防溯等级至少是基于执行模块所执行的不同流程而确定的。自动化方法至少包括如下流程:第一流程:对目标进行快速信息收集工作,并对目标关联资产进行自动关联以及信息收集;第二流程:对目标进行深度分析,以确定可利用漏洞;第三流程:基于多种攻击方式获取到目标对应权限或关键数据。
Description
技术领域
本发明涉及反网络犯罪辅助刑侦技术领域,尤其涉及一种反网络犯罪辅侦的自动化方法及系统。
背景技术
当前电信网络诈骗案件高位运行,网络赌博越轨行为案件上升明显,网络越轨行为黑灰产业生态圈逐步形成并发展。每当辅侦对象在一个环节上取得技术突破,就有更多的骗术衍生出来,网络越轨行为集团化、跨境化特征凸显。
CN112565190A公开了一种特侦光猫设备、后端处理服务器及特侦系统,所述系统包括:如上所述的特侦光猫设备、及后端处理服务器;其中,所述特侦光猫设备包括:PONMAC模块,用于pon协议转换及数据帧的处理;交换模块,用于将PON MAC模块处理后的数据进行交换转发;安全模块,用于获取目标监测者的上网数据,针对上网数据进行监控并回传至后端处理服务器,以供后端处理服务器对上网数据进行解析和/或攻击;所述后端处理服务器包括:解析模块,用于对目标监测者的上网数据中的上网内容进行解析并列举;攻击模块,用于根据目标监测者所使用的目标终端上的安全漏洞进行攻击。该申请能够实现对网络越轨行为的数据进行监控、阻拦、取证、甚至攻击等功能。
但借助现有技术来协助侦查通常会存在如下问题:
调证较难获得辅侦对象落查信息:在案件前期侦办过程中,由于大多辅侦对象采用多级代理IP访问、虚假身份信息注册,刑侦通过对违法APP/网站的第三方服务公司调证,较难获取到可落查信息;
在网络越轨行为的前期调查中,由于辅侦对象通常是团伙作案,存在多个节点,例如诈骗网站的实际拥有者,技术、服务提供方可能分属于不同的团伙,多方之间关系复杂,使得办案人员在调查前期很难获取详细的办案方向。如果直接针对目标进行打击,则会由于大部分信息均为虚假信息并且服务提供方多在国外,以及目标资产过少而导致办案难度比较大,也很难对辅侦对象的资产链进行打击。
APP/网站侦查时存在时效性问题:当涉网案件数量较多时需要按照重要性程度进行侦查分析,但某些APP/网站可能只能在某一时间段可有效访问,这导致准备对某些APP/网站侦查时已无法访问;
缺乏全流程、标准化的自动侦查工具,无法满足多场景需求:现阶段涉网案件主要依赖于刑侦个人技术侦查能力,缺乏全流程、标准化的侦查指导,自动化的侦查工具,可能无法满足后续涉网案件侦查、反诈、反赌等多种场景需求。
此外,一方面由于对本领域技术人员的理解存在差异;另一方面由于申请人做出本发明时研究了大量文献和专利,但篇幅所限并未详细罗列所有的细节与内容,然而这绝非本发明不具备这些现有技术的特征,相反本发明已经具备现有技术的所有特征,而且申请人保留在背景技术中增加相关现有技术之权利。
发明内容
针对现有技术之不足,本发明提供了一种反网络犯罪辅侦的自动化方法及系统,以解决上述技术问题。本发明属于专门适用于行政、商业、金融、管理、监督或预测目的的数据处理系统或方法。
本发明公开了一种反网络犯罪辅侦系统,尤其是一种计算机主机安全检测系统或一种计算机网安漏洞检查系统,其包括执行模块和管理模块。
在本发明中,执行模块用于按照设定流程对目标执行相应指令操作,其中执行模块部署于经授权来执行侦查打击任务的人员设备处。多个执行模块分别部署于多个位置,这些执行模块可具有不同权限。此外,依据部署相应执行模块的位置可确定当前执行模块的“实力”,即,相应执行模块所在单位的编制实力。
优选地或另选地,辅侦系统的执行模块与攻击主机可以分属不同实体服务器或服务器集群,例如该执行模块本身就是一台服务器。优选地或另选地,执行模块可以与攻击主机是同时部署于同一实体服务器上的两台虚拟机。另选地或另选地,该执行模块可以是攻击主机上的应用程序,其针对攻击任务进行配置,例如构建攻击环境、形成攻击脚本并收集攻击用数据,例如按需搭建攻击用虚拟机作为攻击主机。
在本发明中,管理模块用于保障操作人员和攻击主机在流程中的隐蔽性和防溯源性,其中管理模块部署于具有执法权限的主管单位。
所述执行模块在对目标执行相应指令操作时,所述管理模块基于目标所需配置的链路的匿名防溯等级而建立能够达到相应隐蔽性和防溯源性的匿名网络链路,其中,所述管理模块能够在相应传输间隔通过改变中继节点的数量和/或位次的方式对建立的链路进行调整,中继节点的数量和/或位次的改变方式至少基于相应的匿名防溯等级而确定,匿名防溯等级至少是基于所述执行模块所执行的不同流程而确定的。例如,执行模块执行依据其权限、侦查和打击任务来划分的第一、二、三流程时,给予执行模块不同的匿名防溯等级,以便于不仅防止辅侦对象有所警觉,而且也要避免攻击武器及其攻击方式被执行模块(例如部署于具体执行人员的设备处)所详细掌握,进而造成其他不良影响。
在现有技术中,匿名目的简而言之皆为规避追溯,其中一些始作俑者在匿名防溯方面的需求是为了逃避公安系统的对辅侦对象打击。而本发明中的“匿名防溯”虽然也可伪装成正常访问数据例如在最后的攻击节点选用涉嫌辅侦对象所熟悉的网域或网段发起攻击,但另一核心思想在于通过“匿名防溯”避免攻击武器外泄,特别是防止攻击武器的攻击方式外泄,进而对网络安全环境以及今后侦查造成不利影响。
出于上述考虑,根据本发明,在执行模块执行对目标进行快速信息收集工作的第一流程时,由管理模块设定针对辅侦对象的第一匿名防溯等级,其中,执行模块响应于管理模块下发的侦查指令,执行与侦查指令相关的快速信息收集工作。优选地,辅侦对象的相关私人信息可以采用加密、尤其是非对称加密方式以系统独占权限提供给执行模块,以便由执行模块按照防止部署了执行模块的人员追溯辅侦对象的相关私人信息的方式对目标进行快速信息收集工作。通过以上措施,执行模块即便采取管理员权限也不能改写辅侦对象的相关私人信息,避免了张冠李戴地错误选定侦查对象的同时,也让执行模块及部署其的操作终端不具备直接掌握辅侦对象的私人信息,确保执法合法合规且尊重公民的私人隐私。优选地,在执行模块执行与侦查指令相关的快速信息收集工作时,在由管理模块向至少一个执行模块下发侦查指令之时,相应执行模块响应于侦查指令之收到,将其快速信息收集工作的执行加以记录,并按照带有时间戳的反馈记录的形式提交给管理模块,使得管理模块按照时间相关的方式来记录相应执行模块的执行对指定目标的快速信息收集工作的第一流程之过程。换而言之,管理模块针对“针对目标执行的快速信息收集工作”采取了“动用管理”,使得每一次的动用均按照时间、动作和执行模块相关联的方式得以追溯。
出于上述考虑,根据本发明,在执行模块执行对目标进行深度分析的第二流程时,由管理模块设定针对深度分析工具的第二匿名防溯等级,其中,执行模块响应于管理模块下发的深度分析指令,执行与深度分析指令相关的深度分析工作,其中,在执行所述深度分析工作之前,所述管理模块还根据其给相应执行模块所设定的权限以及操作该执行模块的人员的权限来调整第二匿名防溯等级的具体配置。由于对目标进行深度分析需要动用的侦查工具可能具有针对计算机信息系统的高破坏性,因此动用此类侦查工具之前,由管理模块对相应执行模块的或对其预设的权限进行检查,并根据检查确定的相应执行模块当前权限并结合相应执行模块及其部署所在单位的编制实力来应用调整具体配置之后的第二匿名防溯等级。根据本发明,优选地,针对“执行对目标进行深度分析的第二流程”所需要动用的工具的网络危害性,由管理模块结合相应执行模块及其部署所在单位的编制实力来设定针对深度分析工具的第二匿名防溯等级或者调整第二匿名防溯等级的具体配置,从而管理模块以相应执行模块及其部署所在单位的运算能力来评估并应用针对深度分析工具所采取的安全措施。由此,在运行效率与匿名防溯之间,找出最经济、快速,也较安全的部署方案。优选地或替代地,管理模块针对执行所述第一流程之后所确定的目标来确定的第二匿名防溯等级;对于侦查急迫性更高的目标,不宜采用层层加壳的加密措施,这是因为过高运算开销造成深度分析工具运行速度过慢,导致丧失对目标侦查的实时性。替代地,根据本发明的管理模块针对第一流程所确定的侦查急迫性更高的目标,向相应执行模块给予或授权以用后即毁的深度分析工具,其中,在侦查急迫性更高的目标之时,由管理模块接管用后即毁的深度分析工具的至少部分参数的配置工作,或者由管理模块将预先配置好的用后即毁的深度分析工具下发至执行模块例如采用用后即毁的虚拟机形式。
在执行模块执行用于获取目标对应权限或关键数据的第三流程时,由管理模块设定第三匿名防溯等级,其中,由管理模块针对获取权限或关键数据的工具的危险性来给执行模块及其搭载的数据和当前工具设定第三匿名防溯等级,其中,在第三匿名防溯等级下,该管理模块可以将获取目标对应权限或关键数据的部署在第一执行模块,而将作为目标的嫌疑主机权限信息以及从该目标获取的关键数据分别加载至部署位置不一致的第二执行模块,其中,第一执行模块与第二执行模块之间存在由管理模块就节点数量和次序加以管理的若干中继节点,从而在第三匿名防溯等级下,执行所调用的中继节点数量和位次对于第一和第二执行模块而言也是匿名且不可溯的。
进一步地,执行模块在执行第一流程时可完成快采快勘工作;执行模块在执行第二流程时可完成目标刺探工作;执行模块在执行第三流程时可完成远程取证工作。
优选地,在进行链路传输时,管理模块可基于匿名防溯等级灵活改变链路的中继节点,以使得针对同一目标的链路传输具有不确定性,从而提高链路的隐蔽性。本发明的管理模块通常会配置至少5级跳转的链路,使得在通讯起点至通讯终点之间存在若干中继节点,为保证链路的隐蔽性,管理模块能够在任意传输间隔灵活改变链路的至少一个中继节点,使得整个链路的跳转方式发生改变,其中,管理模块可根据当前操作所需的链路的匿名防溯等级而确定中继节点的改变数量和/或位次。中继节点的位次受限于通讯起点至通讯终点之间链路的连接关系,越靠近通讯起点的中继节点位次越低,越靠近通讯终点的中继节点位次越高,随着链路中至少一个中继节点的改变,其他中继节点的位次可能会同步发生改变,同一中继节点在不同的链路中可具有不同的位次。优选地,在链路中具有更大位次的中继节点可具有相比于具有更小位次的中继节点更频繁的改变频率,且多次通讯后,通讯起点至通讯终点之间链路所经过的中继节点将全部被改变,以保证链路传输的安全性和隐蔽性。
根据一种优选实施方式,管理模块建立的所述匿名网络链路能够提供中继传输证明以拥有一套难以伪造的与中继节点的数量和/或位次相关的数据传输签名链。管理模块通过网络聚合加速技术和DHT使得带宽提升、延迟减小,以使得同一数据块在多节点之间传输时即使增加了跳转次数,也能够维持当前延迟。
优选地,管理模块使用网络聚合加速技术,使多路径传输数据成为可能,让同一数据块原本在单节点间传输变为多节点之间传输,极大提升了网络带宽。管理模块基于DHT,使用新一代路由算法,通过邻居查找最优节点,使其到达目标的延迟大大减小。具有中继传输证明的匿名网络链路可拥有一套数据传输签名链,以至少保证攻击代码下发时链路传输的安全性和可信性。
进一步地,管理模块的隐藏攻击路径功能可包括中心服务、代理服务、目录服务、过墙服务、中继服务和出口服务,实现操作人员在侦查目标时的隐蔽性和稳定性。在不进行手动配置时,管理模块将自动选择最优链路,保障操作人员和辅侦系统访网隐匿,也可手动对链路进行修改、设置、停用等操作。
根据一种优选实施方式,管理模块将若干不配置攻击工具、仅搭建攻击脚本需要运行的环境的攻击主机分布在至少两个地区,例如分布于两地的至少两个执行模块,以使得所述执行模块在对目标进行攻击时,能够将攻击代码以随机跳转的方式通过建立的所述匿名网络链路下发至所选择的相应攻击主机内,并将所选择的攻击主机锁定。攻击主机被锁定即为将所选择的攻击主机作为第一攻击主机设定为忙碌状态,第一攻击主机用于提供攻击环境并执行攻击指令。
优选地,管理模块通过分布式技术和任务下发技术也可共同保障攻击机的安全,例如经由部署位置不同的执行模块来向不同攻击主机下发。各个执行模块执行侦查与打击需要调用的工具受到管理模块的管理、监督以及事后监管,其中管理模块可以包括动用管理、工具管理、工具库管理、报警管理、侦查管理。任务下发过程中,辅侦系统的管理模块选择的攻击主机(其上可搭载辅侦系统的执行模块)具有受到动用管理支配的随机性,配合隐蔽攻击路径功能可以有效降低与辅侦系统关联的攻击主机对攻击工具溯源的可能性;且所有与辅侦系统关联的攻击主机(其例如与执行模块同为搭载于同一实体主机的虚拟机)在执行完侦查任务后均会自动进行重置还原操作,能有效阻断双向溯源发生。
优选地,对于准备和正在执行远程取证的执行模块,管理模块除了为其配置相应匿名防溯等级的链路之外,还可利用多个搭建攻击脚本需要运行的环境的攻击主机(可以为虚拟机)来执行攻击工具的应需配置(on-demand),在保证攻击主机临时搭载的搭建攻击脚本得到其运算能力相符的加密的情况下,由执行模块指令相应至少一个攻击主机执行对指定目标的攻击。根据本发明,仅搭建攻击脚本需要运行环境的攻击主机仅在执行攻击任务时才在指定时间段内加载攻击工具及工具数据,且其执行不依赖于操作人员,而是源自辅侦系统的执行模块的指令和数据,而辅侦系统的执行模块是以系统权限(对操作人员而言匿名)登录攻击主机的,由此除了加密、加壳的措施之外,本身也可以避免经加密的攻击工具及工具数据被攻击主机所泄露。特别是,当执行模块以非对称加密的压缩包+脚本的方式向搭建有攻击脚本需要运行环境的攻击主机提供攻击工具时,执行模块本身无法从庞大数据中提取出攻击工具,而攻击主机在执行完毕之后执行自毁程序,将使得攻击工具停留在虚拟环境内,无法被操作人员所掌握。由此在管理模块、执行模块和攻击主机之间形成了破解难度相对很高的“三体问题”,达成了对攻击工具的有效“动用管理”。
优选地,当接到法定有权侦查的用户的攻击需求后,管理模块可根据动用管理执行结果来自动选择最优攻击主机,将攻击代码下发(通过相应执行模块)至攻击主机内。此时,管理模块可锁定该攻击主机为“繁忙”状态,防止该法定有权侦查的用户的其他案件或其他相似用户使用。该法定有权侦查的用户在同步进行其他侦查过程而需要使用正在执行攻击任务的主机时,辅侦系统可推荐用户选择备选攻击主机或等待最优攻击主机任务执行完成后再使用,辅侦系统对上述两种方案的推荐依据可基于待侦查案件的时效性及备选攻击主机的差异幅度,其中,备选攻击主机的差异幅度是备选攻击主机与最优攻击主机完成相同目标的攻击任务所存在的数值化结果差值,辅侦系统可设置有相应的差值阈值,以判断选用备选攻击主机执行攻击任务的可行性。
优选地,辅侦系统通过管理模块配置的具有相应匿名防溯等级的链路实现与攻击主机的心跳通信,并将攻击代码通过链路下发至选择的攻击主机。进一步地,具有中继传输证明的匿名网络链路可拥有一套数据传输签名链,以至少保证攻击代码下发时链路传输的安全性和可信性。
根据一种优选实施方式,执行模块至少能够(例如借助于若干攻击主机)完成第一流程、第二流程和第三流程,所述执行模块在第一流程通过隐匿式信息收集来确定目标的基础情况,并在第二流程通过主动式信息扫描(例如借助于其他攻击主机)来对目标进行深入分析以确定可利用的漏洞,进而在第三流程通过漏洞突破攻击(例如借助于另外的若干攻击主机)获取目标对应权限或关键数据。优选地,在辅侦系统管理模块的管理下,例如借助于管理模块的侦查管理程序,执行模块可实现侦查技术标准化、将警员协作流程化、将涉案网站打击自动化,其中,将侦查技术标准化,从精准快采-现场快勘-人工研判-隐蔽攻击路径-目标刺探-远程取证-案件协作,辅侦系统对每个步骤执行过程提供标准化的技战法,减少办案上手能力;将警员协作流程化,实现多警种的便捷协作,辅侦系统可围绕涉网案件业务侦办流程进行设计,与办案人员日常侦查对接方式无缝衔接,专为办案赋能;将涉案网站打击自动化,辅侦系统可提供高效、便捷的实用侦查工具,现场快勘阶段对网站的自动分析,以及目标刺探、远程取证阶段所集成的实战侦查工具,将流程中繁琐的攻击方式变为“一键式”操作,提高了案件侦查效率。而且借助于管理模块的报警管理程序,在辅侦系统发现有超越权限访问攻击主机或数据破解运行时(例如借助于搭载工具脚本的攻击主机CPU占用时长超出正常阈值),可以通过报警管理程序来对可能的攻击工具泄露而执行报警。根据一种优选实施方式,辅侦系统配置的概览模块能够展示操作人员参与的各项案件的当前状态,并能够对若干案件进行重要性程度排序,其中,同一案件的重要性程度能够基于涉案人数、受影响范围、技术先进性和/或时效性的因素进行调整。辅侦系统管理模块借助于工具管理程序和工具库管理程序,能够在概览模块中按照攻击工具的性能和类型进行分别展示,并将调用行为转交给动用管理程序进行记录。
根据一种优选实施方式,概览模块在考虑各案件的时效性因素时,对于任一案件重要性程度的调整能够按照如下方式进行:随着受理时间的延长,每延长一个单位的时间,案件的重要性程度能够以相比于前一单位时间具有更大的增长幅度的方式进行提高。此时,案件的重要性程度例如可以由辅侦系统管理模块通过执行动用管理程序来确定。
优选地,当涉网案件数量较多时辅侦系统可对案件的重要性程度进行排序,并可优先处理重要性程度更高的案件,其中,同一案件的重要性程度是可以灵活调整的。进一步地,同一案件的重要性程度可基于涉案人数、受影响范围、技术先进性和/或时效性等因素进行调整,其中,同一案件的重要性程度至少是随受理时间的延长而逐步提高的,考虑时效性因素的辅侦系统可避免部分初始重要性程度较低的案件不断被初始重要性程度较高的案件“插队”,而被拖延超出最佳侦查时机,尤其是对于部分APP/网站可能只在某一时间段可有效访问,超出最佳侦查时机后再进行侦查时已无法访问。进一步地,时效性因素对案件重要性程度的影响可以呈非线性的同步增长关系,其中,随着受理时间的延长,每延长一个单位的时间,案件的重要性程度能够以相比于前一单位时间具有更大的增长幅度的方式进行提高。优选地,案件重要性程度可随受理时间的延长呈指数形或类指数形增长。优选地,操作人员和/或主管单位可自定义各案件的重要性程度。
根据一种优选实施方式,辅侦系统配置的工具模块内置有若干执行工具,并将流程中所需要的至少部分功能打包为若干核心组件和/或辅助组件,以允许操作人员将不同的组件进行排列组合后形成全新的攻击方式,其中,应用全新流程的所述辅侦系统能够对同类网站的打击结果进行归纳总结,以筛选得到相对更优的流程。辅侦系统的管理模块通过工具管理程序和工具库管理程序对工具模块进行管理的内容包括:工具完整性检查、访问权限检查、工具调用记录检查、工具访问记录检查,其中,核心组件和辅助组件分别得到可追溯的审计记录。
根据一种优选实施方式,将辅助刑侦的各环节和各流程模块组件化,虽然给足操作人员自由创作空间,但也避免了工具滥用和泄露。在保障辅侦系统操作下限的前提下,提高使用上限,让具有技术基础的操作人员不再受限于辅侦系统固定的流程,在经法定授权机构的许可范围内拓展出更多条涉案网站打击思路。还可以针对相同架构的网站设计“配套”的打击流程,方便以后快速打击。
根据一种优选实施方式,执行模块在完成设定的流程后能够通过报告模块以单独和/或合并的方式将流程中的报告导出,其中,报告内容包括流程中的操作结果和相关建议。这些操作结果和相关建议可以由辅侦系统凭借其管理模块的动用管理程序来记录。
本发明公开了一种反网络犯罪辅侦的自动化方法,其至少包括如下流程:
第一流程:对目标进行快速信息收集工作,并对目标关联资产进行自动关联以及信息收集;
第二流程:对目标进行深度分析,以确定可利用漏洞;
第三流程:基于多种攻击方式获取到目标对应权限或关键数据。
根据一种优选实施方式,至少在第三流程中,能够采用分布式技术和任务下发技术共同保障攻击机安全且攻击工具不被泄露,其中,通过随机选择攻击主机,配合建立的匿名网络链路能够降低多攻击主机互相交换攻击工具脚本和攻击工具,使得攻击工具和攻击数据不易被溯源。
附图说明
图1是辅侦系统在一种优选实施例中的简化模块连接关系示意图;
图2是自动化方法在一种优选实施例中的流程框图。
附图标记列表
1:概览模块;2:执行模块;3:管理模块;4:工具模块;5:报告模块。
具体实施方式
下面结合附图进行详细说明。
图1是辅侦系统在一种优选实施例中的简化模块连接关系示意图;图2是自动化方法在一种优选实施例中的流程框图。
本发明公开了一种反网络犯罪的辅侦系统,也可以是一种计算机主机安全检测系统或一种计算机网安漏洞检查系统,辅侦系统也可称为辅助刑侦体统。网络犯罪可以指代网络中的越轨行为,其中,越轨行为是指违反一定社会的法律法规、行为准则、价值观念或道德规范的行为。辅侦系统可以在刑侦过程中,尤其是在涉嫌网络越轨行为(含利用网络和利用电信实施的越轨行为及其上下游关联越轨行为)的刑侦过程中起到辅助作用,通过提升线索的分析能力,来得到按照常规方法调证较难获得的辅侦对象落查信息;通过建立多维度串并案分析,来克服人工在串并案分析时关联维度较为单一,且无法应对数量大、时间跨度长的案件的问题;通过合理地管控调度,来提高案件侦查效率,以应当对至少部分APP和/或网站在侦查时存在的时效性问题;通过全流程、标准化的侦查指导及改进后的自动化侦察工具,来满足后续涉网案件侦查、反诈、反赌等多种场景需求。
优选地,辅侦系统可包括如下模块中的一个或多个:概览模块1、执行模块2、管理模块3、工具模块4和报告模块5。
根据一种优选实施方式,概览模块1可为操作人员提供案件状态管理和数据统计展示功能,其中,概览模块1并非仅限定在智能平台系统的首页,其可以在任一界面展示操作人员参与各项案件的当前状态。
进一步地,操作人员可以在概览模块1中以点击、选取或指定等方式跳转至执行模块2中对应的案件报告进度界面,以通过展示案件发生频率柱状图、常用工具排行、案件比例饼状图、侦查案件类型统计图等方式帮助操作人员了解辅侦系统基础数据情况,其中,在浏览常用工具排行时可以快捷地跳转至目标工具的界面。
优选地,概览模块1可以在对辅侦对象进行数据分析、反制打击后,对侦查数据进行多维度研判。概览模块1通过建立趋势分析模型,掌握各类手法走势,预测未来当地的态势趋势,以使得在后期出现与预测大致相同的态势趋势时能够作为情报线索提供数据决策依据。
根据一种优选实施方式,操作人员在使用执行模块2时可以利用一套完整的流程以完成从信息搜集到权限获取的操作,其中,一套完整的流程可至少包括第一流程、第二流程和第三流程。优选地,执行模块2在执行第一流程时可完成快采快勘工作,以执行对目标的快速信息收集工作,并对目标关联资产进行自动关联以及信息收集;执行模块2在执行第二流程时可完成目标刺探工作,通过目标进行深度分析,以确定可利用漏洞;执行模块2在执行第三流程时可完成远程取证工作,基于多种攻击方式获取到目标对应权限或关键数据。上述第一流程中,系统在进行快速信息收集过程中,能够对目标关联资产进行自动关联以及信息收集,以形成以目标以及目标关联方展开的资产关系树,并且针对产生的目标关联资产关系树进行分析以形成用于第二流程的目标刺探方向。例如,大部分诈骗网站同时具备多个参与团伙,即网站拥有方、技术提供方和服务提供方等等,他们之间的关系复杂且具备关联的资产关系,本系统能够自动关联目标对象(例如网站拥有方)相关联的所有资产(例如技术提供方、服务提供方的资产以及资产关系),并且形成关系树,从而能够从资产关系信息中分析出合理的刺探方向,例如一些显性规律的资金流动可以被选择为刺探方向。
优选地,执行模块2除了使用邮箱、tg、qq、手机号等常规方式关联同一人名下其他网络资产;还使用网站图标、包括不限于js、css、html自定义函数、注释、域名等其他指纹信息。通过特定的逻辑和判断标准,分析这类文件并提取特征,通过fofa、zoomeys、google等搜索引擎,能从包网或者程序开发的角度,把同一个公司开发的app或者网站程序识别出来,通过多次反复关联及特定的算法,找到其中契合度较高的网络资产,极大地提高了在资产收集过程中找到的资产广度以及深度,为后续工作开展提供了可操作的空间,并且把非法产业链条中,从只分析末端的产品转变成了全产业链条的一体化分析。
优选地,概览模块1还能够展示以自动关联目标相关资产并对资产进行信息刺探以及漏洞扫描后形成的图形化关系树。
进一步地,执行模块2内置有参考和相关建议,以协助操作人员快速突破和取证。
优选地,辅侦系统在接收到操作人员手动录入或对接系统传入的数据后,可以使用执行模块2的快采快勘功能对目标网站进行快速信息收集工作,且属于隐匿式信息收集,其中,收集的信息可包含:
IP定位分析:查询IP的位置信息,运营商信息;
域名解析分析:查询域名历史IP解析记录;
网站备案信息:网站的工商信息、负责单位信息、备案号;
域名信息分析:查询域名注册商、注册邮箱、注册电话、域名服务器;
网站指纹分析:网站框架、中间件、CMS识别;
威胁情报分析:分析是否为恶意IP/域名、相关URL、虚拟ID、开源情报、DNS解析记录等。
优选地,针对操作人员填入的其他重要线索,执行模块2也会进行同步分析(例如通过指令攻击主机执行相关任务),分析内容可包含:
人员信息分析:手机号常用APP注册情况、手机号归属地、身份证归属地、银行卡号归属地;
串并案关联分析:自动与历史侦查数据进行关联,对同类涉案网站(网页特征、域名)、同类涉案人员(虚拟ID、手机号、身份证号、银行卡)多维度关联分析。
优选地,针对操作人员传入辅侦系统内部的APK软件包,执行模块2支持自动对包进行解密、脱壳、解压、搜索分析,分析内容可包含:
APP静态分析:图标MD5、文件名、文件MD5、应用名、包名、启动类、是否加壳、是否可用;
APP动态分析:APP签名信息、第三方SDK提供商、第三方系统服务商、APP恶意权限、APP后台服务器地址、运行截图(相似度分析)。
优选地,执行模块2在执行目标刺探时(例如通过指令使攻击主机执行相关任务),能够以梳理最全攻击面为目标,深度分析目标的开放端口、运行服务、Web中间件、Web框架、开源程序、可利用的漏洞等。
优选地,执行模块2也可以利用自身内置的漏洞扫描器可支持多线程的目标信息刺探,通过非常轻量级地发包,使得目标刺探过程的速度快,且对目标影响小。
优选地,针对Windows主机、Linux主机、Web站点、网络设备等各类目标,执行模块2也可快速地分析出端口对应的协议信息,确定目标主机各项信息,并将结果生成报告快速返回展示在辅侦系统内。此类分析工具并非攻击性质的,而是常见的软件工具。但辅侦系统的管理模块3也可对此类行为进行审计。
不同于普通漏洞扫描工具,辅侦系统可以预置具有攻击效果的漏洞探测引擎(有威胁的攻击工具),例如通过模拟网络中的漏洞环境,将漏洞复现流程代码化,实现自动化漏洞验证,精准判断目标对象是否存在可利用的漏洞,帮助侦查人员快速发现目标的突破口,此类工具现在已经有大量现有技术,本发明文本本身并非对攻击工具的改进。根据本发明,辅侦系统将此类漏洞探测引擎(有威胁的攻击工具)以及其配置数据存放在上级主管单位且具备更高防御能力的服务器内,仅当需要执行攻击时,才由管理模块3向至少一个执行模块2提供相关工具,且优选以加密加壳的方式提供给执行模块2,由执行模块2将收到的加密加壳的数据包连同脚本一起部署于攻击主机,由攻击主机执行相关任务。
优选地,执行模块2可通过提供经加密之后的数据给攻击主机,以便对目标刺探出来的漏洞进行“实际攻击利用的难易程度”及“获取到的shell权限高低”进行判别,并在需要执行远程取证时利用不同的漏洞利用工具,以获取到目标对应权限或关键数据。
优选地,执行模块2(例如通过攻击主机)在执行第三流程时可采取多种攻击方式,例如,中间件漏洞攻击、框架漏洞攻击、集成环境漏洞攻击、开源程序漏洞攻击、CMS漏洞攻击、暴力破解攻击、Nday漏洞攻击、0day漏洞攻击等。
进一步地,针对JAVA中间件,如:Struts2、Weblogic、Jboss、Tomcat、Jekins、RabbitMQ、Glassfish、IBM Websphere、Axis2、Apache ActiveMQ、Apache Solr、ApacheZookeeper等;针对PHP集成环境,如:AppServ、Xampp、宝塔、PhpStudy等;针对各类开源程序,如:dedecms、thinkphp、phpcms、ecshop、metinfo、discuz、帝国cms、phpmyadmin等,辅侦系统中集成了对应的漏洞特征和利用代码,使操作人员可快速且便捷地获取目标主机权限。但是在本发明中,仅当需要执行攻击时,才由管理模块3向至少一个执行模块2提供相关工具,且优选以加密加壳的方式提供给执行模块2,由执行模块2将收到的加密加壳的数据包连同脚本一起部署于攻击主机,由攻击主机执行相关任务。
由于涉网越轨行为产业链较为庞大,有提供网站/APP搭建的技术供应商、提供服务器租赁的数据服务商、有提供网银支付的第三方、第四方等,因此,辅侦系统设置有主要越轨行为产业链服务商漏洞利用工具或数据获取工具,并设置有平台数据库,以帮助操作人员精准落查,快速取证。
根据一种优选实施方式,管理模块3还可以通过执行模块2来执行案件协作流程(动用管理程序之一),操作人员在完成快采快勘、目标刺探、远程取证三个流程后,若执行模块2无法提供有效帮助或提供的数据不够充分,该管理模块3可以申请进行案件协作。发起协作后,辅侦系统会自动将案件侦查前三个流程所产生的报告同步发送给协作者,使协助者能够快速掌握当前案件的状态并协助操作人员进一步完成涉案网站打击任务。
进一步地,协助者可使用与操作人员的辅侦系统相关联的另一辅侦系统或衍生协作端,以用于接收来自操作人员的辅侦系统所发出的案件协作请求。在协作过程中,协作者进行的每个关键节点、取得的阶段性突破、获取到的关键数据等均可实时反馈至操作人员的辅侦系统中,以帮助操作人员快速进行扩散侦查。协作完成后,可由协作者提交完整的协作报告至操作人员的辅侦系统,以帮助案件归档和复盘。
根据一种优选实施方式,辅侦系统的管理模块3还具有配置执行模块2执行隐蔽攻击路径以及利用分布式攻击主机执行攻击等功能,操作人员可以通过管理模块3对隐蔽攻击路径和分布式攻击主机进行查看、配置和禁用操作。
优选地,管理模块3可以包括动用管理、工具管理、工具库管理、报警管理、侦查管理。
优选地,在侦查和攻击前,可由管理模块3建立安全、稳定、可靠、易用的匿名网络链路。管理模块3可采用多重加密技术和多节点跳转,以隐藏网络真实物理出口IP地址,为开展侦查活动提供了安全掩护。
进一步地,管理模块3例如可进行如下服务:
中心服务:匿名链路的中心服务,管理模块3可具有网络设置、节点设置、用户设置、开启/关闭匿名服务等多个功能,部署于境内VPS;
代理服务:随机分配和优化匿名链路之间网络节点的连接,实现与境外翻墙服务的连接,部署于境内VPS;
过墙服务:绕过国内防护墙的防护,实现对网络屏障的穿透,从而实现与外部的节点进行通讯,部署于境外VPS;
目录服务:对获取到网络传输协议加密封装,建立匿名虚拟链路;
中继服务:实现网络传输中节点的自动跳转,确保整个网络的匿名和安全,部署于境外VPS;
出口服务:实现网络出口节点的随机跳转,5-15分钟跳转一次,确保出口节点的匿名性和安全性,部署于境外VPS。
管理模块3针对执行模块2通过中心服务、代理服务、目录服务、过墙服务、中继服务和出口服务的六个分模块来实现隐蔽攻击路径功能,进而实现对攻击主机的管理,以实现操作人员在侦查目标时的隐蔽性和稳定性。在不进行手动配置时,管理模块3可自动选择最优链路,保障操作人员和辅侦系统访网隐匿,也可手动对链路进行修改、设置、停用等操作。
进一步地,管理模块3可提供或获取中继传输证明,以拥有一套数据传输签名链。而传统隐蔽链路方案,不会对伪造流量进行校验,存在一定的不安全性。在中继传输证明的存在的情况下,攻击者只有拥有所有路由节点的私钥才可能伪造签名链,其大大提升了链路传输的安全性和可信性。
进一步地,管理模块3可给多个执行模块2配置多级跳转的方式,与传统方案不同的是支持动态跳转,此外,同一目标下次中继节点可能会发生改变,使链路传输具有不确定性,并且优选地,最低是5级跳转,极大增加了链路的隐蔽性。
优选地,为了保障攻击主机防溯源和快速完成痕迹清理工作,管理模块3采用了分布式攻击主机与攻击任务动态下发相结合的技术以保证安全性。
优选地,辅侦系统可关联全球若干个攻击主机,并通过隐蔽链路与其进行心跳通信,所有攻击主机内不配置任何攻击工具,仅搭建攻击脚本需要运行的环境。当接到攻击需求后,辅侦系统可根据动用管理执行结果来自动选择最优攻击主机,将攻击代码下发至攻击主机内,同时锁定该台主机防止其他用户使用。攻击主机接受到攻击指令和攻击代码后,开始执行目标攻击任务,将执行结果返回给辅侦系统,同时还原主机清理痕迹并解锁主机。优选地,在全球可配置有20余个攻击主机。
管理模块3通过分布式技术和任务下发技术也可共同保障攻击机的安全,例如经由部署位置不同的执行模块2来向不同攻击主机下发。各个执行模块2执行侦查与打击需要调用的工具受到管理模块3的管理、监督以及事后监管,其中管理模块3可以包括动用管理、工具管理、工具库管理、报警管理、侦查管理。任务下发过程中,辅侦系统的管理模块3选择的攻击主机(其上可搭载辅侦系统的执行模块2)具有受到动用管理支配的随机性,配合隐蔽攻击路径功能可以有效降低与辅侦系统关联的攻击主机对攻击工具溯源的可能性;且所有与辅侦系统关联的攻击主机(其例如与执行模块2同为搭载于同一实体主机的虚拟机)在执行完侦查任务后均会自动进行重置还原操作,能有效阻断双向溯源发生。根据一种优选实施方式,辅侦系统的工具模块4中内置了若干个攻击工具,以帮助操作人员了解常用的工具类型及其使用方法,其中,攻击工具可配置有数十个。
优选地,工具模块4中的攻击工具由可交互式窗口开启,无需下载和安装依赖环境即可使用,同时为每个工具配备了一套使用说明,辅助操作人员快速上手。
辅侦系统的管理模块3通过工具管理程序和工具库管理程序对工具模块4进行管理的内容包括:工具完整性检查、访问权限检查、工具调用记录检查、工具访问记录检查,其中,核心组件和辅助组件分别得到可追溯的审计记录。优选地,工具模块4可具有自定义功能,使得辅侦系统的流程多样化。辅侦系统可将流程中所需要的部分功能打包成多个组件,例如探测器、端口扫描器、服务扫描器、目录扫描器、爬虫、状态码查询器等。辅侦系统可将各类漏洞测试组件和攻击组件打包实装。操作人员可以自行制定每个组件的先后顺序,将不同的功能组件进行合理排列组合后形成全新的攻击方式。漏洞测试组件和攻击组件中不仅包含了大量的Nday和框架漏洞攻击代码,还包含了sql注入、暴力破解、目录浏览、文件包含等常规漏洞。
操作人员在使用自定义功能形成全新的流程并完成相应的案件侦查后,辅侦系统可以对上述流程的组成排序方式进行保存和分享,以使得该操作人员或其他操作人员在使用辅侦系统处理同类网站时,能够更加快速、直接地制定相应的打击方案,并对同类网站的打击结果进行归纳总结,通过比较、筛选、改进等方式得到更优的流程。
优选地,辅侦系统还可包括若干如下的辅助组件:
输入组件:支持手工有序/无序输入,支持从txt、xlsx、csv导入,按行进行区分,导入内容支持IP、IP段、IP+端口、域名、URL等内容,内容可以多种类进行混杂(需使用筛选器)。
输出组件:支持将结果输出为txt、xlsx、csv,导出内容为前序模块的输出内容。
筛选器:单输入多输出,对输入内容从IP、域名、IP:端口等种类进行筛选分类,支持自定义筛选字段,将筛选分类后的内容输出至多个接口。
过滤器:单输入单输出,对输入内容进行过滤,仅输出过滤后的内容,其余内容丢弃,相较于筛选器,过滤规则自定义字段更灵活。
集成器:多输入单输出,将多个输入源集成,通过单个接口进行输出,输入源种类相同。
转换器:单输入单输出,将IP、IP+端口转换为URL。
根据一种优选实施方式,辅侦系统的报告模块5为操作人员提供案件报告导出功能报告模块5可以导出案件侦查过程中已完成的流程详细报告,内容包含执行模块2展示的操作结果和相关建议。报告模块5支持操作人员对执行模块2的三个流程内的一个或多个流程产生的报告进行单独导出,同时也支持将所有流程的内容进行合并导出。
根据一种优选实施方式,辅侦系统在通过执行模块2进行流程之前,可使用管理模块3的隐蔽攻击路径功能,以建立安全、稳定、可靠、易用的匿名网络链路。
优选地,所述执行模块2在对目标执行相应指令操作时,所述管理模块3基于目标所需配置的链路的匿名防溯等级而建立能够达到相应隐蔽性和防溯源性的匿名网络链路,其中,所述管理模块3能够在相应传输间隔通过改变中继节点的数量和/或位次的方式对建立的链路进行调整,中继节点的数量和/或位次的改变方式至少基于相应的匿名防溯等级而确定,匿名防溯等级至少是基于所述执行模块2所执行的不同流程而确定的。例如,执行模块2执行依据其权限、侦查和打击任务来划分的第一、二、三流程时,给予执行模块2不同的匿名防溯等级,以便于不仅防止辅侦对象有所警觉,而且也要避免攻击武器及其攻击方式被执行模块2(例如部署于具体执行人员的设备处)所详细掌握,进而造成其他不良影响。
优选地,在执行模块2执行对目标进行快速信息收集工作的第一流程时,由管理模块3设定针对辅侦对象的第一匿名防溯等级,其中,执行模块2响应于管理模块3下发的侦查指令,执行与侦查指令相关的快速信息收集工作。优选地,辅侦对象的相关私人信息可以采用加密、尤其是非对称加密方式以系统独占权限提供给执行模块2,以便由执行模块2按照防止部署了执行模块2的人员追溯辅侦对象的相关私人信息的方式对目标进行快速信息收集工作。通过以上措施,执行模块2即便采取管理员权限也不能改写辅侦对象的相关私人信息,避免了张冠李戴地错误选定侦查对象的同时,也让执行模块2及部署其的操作终端不具备直接掌握辅侦对象的私人信息,确保执法合法合规且尊重公民的私人隐私。优选地,在执行模块2执行与侦查指令相关的快速信息收集工作时,在由管理模块3向至少一个执行模块2下发侦查指令之时,相应执行模块2响应于侦查指令之收到,将其快速信息收集工作的执行加以记录,并按照带有时间戳的反馈记录的形式提交给管理模块3,使得管理模块3按照时间相关的方式来记录相应执行模块2的执行对指定目标的快速信息收集工作的第一流程之过程。换而言之,管理模块3针对“针对目标执行的快速信息收集工作”采取了“动用管理”,使得每一次的动用均按照时间、动作和执行模块2相关联的方式得以追溯。
优选地,在执行模块2执行对目标进行深度分析的第二流程时,由管理模块3设定针对深度分析工具的第二匿名防溯等级,其中,执行模块2响应于管理模块3下发的深度分析指令,执行与深度分析指令相关的深度分析工作,其中,在执行所述深度分析工作之前,所述管理模块3还根据其给相应执行模块2所设定的权限以及操作该执行模块2的人员的权限来调整第二匿名防溯等级的具体配置。由于对目标进行深度分析需要动用的侦查工具可能具有针对计算机信息系统的高破坏性,因此动用此类侦查工具之前,由管理模块3对相应执行模块2的或对其预设的权限进行检查,并根据检查确定的相应执行模块2当前权限并结合相应执行模块2及其部署所在单位的编制实力来应用调整具体配置之后的第二匿名防溯等级。根据本发明,优选地,针对“执行对目标进行深度分析的第二流程”所需要动用的工具的网络危害性,由管理模块3结合相应执行模块2及其部署所在单位的编制实力来设定针对深度分析工具的第二匿名防溯等级或者调整第二匿名防溯等级的具体配置,从而管理模块3以相应执行模块2及其部署所在单位的运算能力来评估并应用针对深度分析工具所采取的安全措施。由此,在运行效率与匿名防溯之间,找出最经济、快速,也较安全的部署方案。优选地或替代地,管理模块3针对执行所述第一流程之后所确定的目标来确定的第二匿名防溯等级;对于侦查急迫性更高的目标,不宜采用层层加壳的加密措施,这是因为过高运算开销造成深度分析工具运行速度过慢,导致丧失对目标侦查的实时性。替代地,根据本发明的管理模块3针对第一流程所确定的侦查急迫性更高的目标,向相应执行模块2给予或授权以用后即毁的深度分析工具,其中,在侦查急迫性更高的目标之时,由管理模块3接管用后即毁的深度分析工具的至少部分参数的配置工作,或者由管理模块3将预先配置好的用后即毁的深度分析工具下发至执行模块2例如采用用后即毁的虚拟机形式。
优选地,在执行模块2执行用于获取目标对应权限或关键数据的第三流程时,由管理模块3设定第三匿名防溯等级,其中,由管理模块3针对获取权限或关键数据的工具的危险性来给执行模块2及其搭载的数据和当前工具设定第三匿名防溯等级,其中,在第三匿名防溯等级下,该管理模块3可以将获取目标对应权限或关键数据的部署在第一执行模块,而将作为目标的嫌疑主机权限信息以及从该目标获取的关键数据分别加载至部署位置不一致的第二执行模块,其中,第一执行模块与第二执行模块之间存在由管理模块3就节点数量和次序加以管理的若干中继节点,从而在第三匿名防溯等级下,执行所调用的中继节点数量和位次对于第一和第二执行模块而言也是匿名且不可溯的。
优选地,当涉网案件数量较多时辅侦系统可对案件的重要性程度进行排序,并可优先处理重要性程度更高的案件,其中,同一案件的重要性程度是可以灵活调整的。优选地,案件的重要性程度也可称为案件侦查的急迫性。进一步地,同一案件的重要性程度可基于涉案人数、受影响范围、技术先进性和/或时效性等因素进行调整,其中,同一案件的重要性程度至少是随受理时间的延长而逐步提高的,考虑时效性因素的辅侦系统可避免部分初始重要性程度较低的案件不断被初始重要性程度较高的案件“插队”,而被拖延超出最佳侦查时机,尤其是对于部分APP/网站可能只在某一时间段可有效访问,超出最佳侦查时机后再进行侦查时已无法访问。进一步地,时效性因素对案件重要性程度的影响可以呈非线性的同步增长关系,其中,随着受理时间的延长,每延长一个单位的时间,案件的重要性程度能够以相比于前一单位时间具有更大的增长幅度的方式进行提高。优选地,案件重要性程度可随受理时间的延长呈指数形或类指数形增长。优选地,操作人员和/或主管单位可自定义各案件的重要性程度。
根据一种优选实施方式,部署于具有执法权限的主管单位的管理模块3可在执行模块2执行流程前获取加密后的批准指令,并依据相匹配的密钥进行解密后获取执行相应操作的权限,其中,批准指令可包含允许执行的指令、允许执行的主机和/或允许执行的对象。执行模块2执行的所有指令都是经过主管单位批准后获得许可的且合法的。
优选地,管理模块3能够将数量和位次匹配于批准指令内容的若干中继节点分配至相应的执行模块2,以构建出多条互不干扰的独立链路。
优选地,管理模块3对中继节点的分配可基于不同执行模块2所在单位的编制实力及其负责案件所处流程的匿名防溯等级而确定,以使得中继节点被合理分配。管理模块3可基于任一执行模块2所在单位的编制实力的改变和/或任一执行模块2负责案件的改变而动态调节中继节点的分配方式,并使得执行模块2获得的中继节点的数量和/或位次改变时,重新以另一套跳转方式完成链路构建。
优选地,执行模块2负责案件的重要性程度可影响管理模块3对中继节点的分配。
优选地,辅侦系统可基于各案件的重要性程度给出相应的侦查建议,例如,可以同时执行重要性程度相对较高和相对较低的多个案件,以合理且高效地使用辅侦系统。执行模块2在快采快勘流程中获得若干涉案网站信息后,可自动与历史侦查数据进行关联,对同类涉案网站(网页特征、域名)、同类涉案人员(虚拟ID、手机号、身份证号、银行卡)多维度关联分析,以判断是否存在串并案情况。由于串并案通常涉案人员多,涉案金额大,涉及面广,影响恶劣,社会危害严重,执行模块2在判断存在串并案情况时,能够将多个存在关联的案件合并侦查,同时对合并形成的系列案重新赋予重要性程度,其中,串并案的重要性程度相比于单个案件通常更高。
进一步地,管理模块3可基于辅侦系统所处的侦察环境而对建立的匿名网络链路进行动态调整,其中,管理模块3可随时扩容;可选择出口国家并可以定时切换;可根据网络容量和路由动态分配链路跳转次数;还可根据预设的或手动输入的阈值对带宽进行限制并基于使用需求进行调整。
优选地,对于准备和正在执行远程取证的执行模块2,管理模块3除了为其配置相应匿名防溯等级的链路之外,还可利用多个搭建攻击脚本需要运行的环境的攻击主机(可以为虚拟机)来执行攻击工具的应需配置(on-demand),在保证攻击主机临时搭载的搭建攻击脚本得到其运算能力相符的加密的情况下,由执行模块2指令相应至少一个攻击主机执行对指定目标的攻击。根据本发明,仅搭建攻击脚本需要运行环境的攻击主机仅在执行攻击任务时才在指定时间段内加载攻击工具及工具数据,且其执行不依赖于操作人员,而是源自辅侦系统的执行模块2的指令和数据,而辅侦系统的执行模块2是以系统权限(对操作人员而言匿名)登录攻击主机的,由此除了加密、加壳的措施之外,本身也可以避免经加密的攻击工具及工具数据被攻击主机所泄露。特别是,当执行模块2以非对称加密的压缩包+脚本的方式向搭建有攻击脚本需要运行环境的攻击主机提供攻击工具时,执行模块2本身无法从庞大数据中提取出攻击工具,而攻击主机在执行完毕之后执行自毁程序,将使得攻击工具停留在虚拟环境内,无法被操作人员所掌握。由此在管理模块3、执行模块2和攻击主机之间形成了破解难度相对很高的“三体问题”,达成了对攻击工具的有效“动用管理”。
优选地,当接到法定有权侦查的用户的攻击需求后,管理模块3可根据动用管理执行结果来自动选择最优攻击主机,将攻击代码下发(通过相应执行模块2)至攻击主机内。此时,管理模块3可锁定该攻击主机为“繁忙”状态,防止该法定有权侦查的用户的其他案件或其他相似用户使用。该法定有权侦查的用户在同步进行其他侦查过程而需要使用正在执行攻击任务的主机时,辅侦系统可推荐用户选择备选攻击主机或等待最优攻击主机任务执行完成后再使用,辅侦系统对上述两种方案的推荐依据可基于待侦查案件的时效性及备选攻击主机的差异幅度,其中,备选攻击主机的差异幅度是备选攻击主机与最优攻击主机完成相同目标的攻击任务所存在的数值化结果差值,辅侦系统可设置有相应的差值阈值,以判断选用备选攻击主机执行攻击任务的可行性。
优选地,辅侦系统通过管理模块3配置的具有相应匿名防溯等级的链路实现与攻击主机的心跳通信,并将攻击代码通过链路下发至选择的攻击主机。进一步地,具有中继传输证明的匿名网络链路可拥有一套数据传输签名链,以至少保证攻击代码下发时链路传输的安全性和可信性。
进一步地,在进行链路传输时,管理模块3可基于匿名防溯等级灵活改变链路的中继节点,以使得针对同一目标的链路传输具有不确定性,从而提高链路的隐蔽性。本发明的管理模块3通常会配置至少5级跳转的链路,使得在通讯起点至通讯终点之间存在若干中继节点,为保证链路的隐蔽性,管理模块3能够在任意传输间隔灵活改变链路的至少一个中继节点,使得整个链路的跳转方式发生改变,其中,管理模块3可根据当前操作所需的链路的匿名防溯等级而确定中继节点的改变数量和/或位次。中继节点的位次受限于通讯起点至通讯终点之间链路的连接关系,越靠近通讯起点的中继节点位次越低,越靠近通讯终点的中继节点位次越高,随着链路中至少一个中继节点的改变,其他中继节点的位次可能会同步发生改变,同一中继节点在不同的链路中可具有不同的位次。优选地,在链路中具有更大位次的中继节点可具有相比于具有更小位次的中继节点更频繁的改变频率,且多次通讯后,通讯起点至通讯终点之间链路所经过的中继节点将全部被改变,以保证链路传输的安全性和隐蔽性。
根据一种优选实施方式,本发明还公开了一种反网络犯罪辅侦的自动化方法,其至少包括如下步骤:
S1.第一流程:对目标进行快速信息收集工作,并对目标关联资产进行自动关联以及信息收集;
S2.第二流程:对目标进行深度分析,以确定可利用漏洞;
S3.第三流程:基于多种攻击方式获取到目标对应权限或关键数据。
优选地,在执行上述任一步骤时,可选择并建立最优的匿名网络链路,并可对链路的配置进行修改、设置、停用等操作,以保证侦查的隐蔽性和稳定性。
优选地,至少在远程取证步骤中,可采用分布式技术和任务下发技术共同保障攻击机安全,其中,通过随机选择攻击主机,配合建立的匿名网络链路可以有效降低攻击主机被溯源的可能性。
进一步地,任一攻击主机在执行完侦查任务后均会自动进行重置还原操作,能有效阻断进一步溯源发生。
需要注意的是,上述具体实施例是示例性的,本领域技术人员可以在本发明公开内容的启发下想出各种解决方案,而这些解决方案也都属于本发明的公开范围并落入本发明的保护范围之内。本领域技术人员应该明白,本发明说明书及其附图均为说明性而并非构成对权利要求的限制。本发明的保护范围由权利要求及其等同物限定。本发明说明书包含多项发明构思,诸如“优选地”、“根据一个优选实施方式”或“可选地”均表示相应段落公开了一个独立的构思,申请人保留根据每项发明构思提出分案申请的权利。在全文中,“优选地”所引导的特征仅为一种可选方式,不应理解为必须设置,故此申请人保留随时放弃或删除相关优选特征之权利。
Claims (7)
1.一种反网络犯罪辅侦系统,其包括:
执行模块(2),用于按照设定流程对目标执行相应指令操作,
管理模块(3),用于保障操作人员和攻击主机在流程中的隐蔽性和防溯源性,
其特征在于,
所述执行模块(2)在对目标执行相应指令操作时,所述管理模块(3)基于目标所需配置的链路的匿名防溯等级而建立能够达到相应隐蔽性和防溯源性的匿名网络链路,其中,所述管理模块(3)能够在相应传输间隔通过改变中继节点的数量和/或位次的方式对建立的链路进行调整,中继节点的数量和/或位次的改变方式至少基于相应的匿名防溯等级而确定,匿名防溯等级至少是基于所述执行模块(2)所执行的不同流程而确定的,
所述执行模块(2)至少能够完成第一流程、第二流程和第三流程,所述执行模块(2)在第一流程通过隐匿式信息收集来确定目标的基础情况,并在第二流程通过主动式信息扫描来对目标进行深入分析以确定可利用的漏洞,进而在第三流程通过漏洞突破攻击获取目标对应权限或关键数据,
各个执行模块(2)执行侦查与打击需要调用的工具受到管理模块(3)的管理、监督以及事后监管,所述管理模块(3)能够执行动用管理程序,执行方式包括:
在执行模块(2)执行与侦查指令相关的快速信息收集工作的情况下,在由管理模块(3)向至少一个执行模块(2)下发侦查指令之时,相应执行模块(2)响应于侦查指令之收到,将其快速信息收集工作的执行加以记录,并按照带有时间戳的反馈记录的形式提交给管理模块(3),使得管理模块(3)按照时间相关的方式来记录相应执行模块(2)的执行对指定目标的快速信息收集工作的第一流程之过程;
当接到法定有权侦查的用户的攻击需求后,管理模块(3)根据动用管理程序执行结果以具有受到动用管理支配的随机性的方式来自动选择最优攻击主机,将攻击代码下发至攻击主机内;
所述管理模块(3)通过执行动用管理程序来确定案件重要性程度,对于任一案件重要性程度的调整能够按照如下方式进行:随着受理时间的延长,每延长一个单位的时间,案件的重要性程度能够以相比于前一单位时间具有更大的增长幅度的方式进行提高;
所述管理模块(3)将工具和工具库的调用行为转交给动用管理程序进行记录;
所述管理模块(3)将若干不配置攻击工具、仅搭建攻击脚本需要运行的环境的攻击主机分布在至少两个地区,以使得所述执行模块(2)在对目标进行攻击时,能够将攻击代码以随机跳转的方式通过建立的所述匿名网络链路下发至所选择的相应攻击主机内,并将所选择的攻击主机作为第一攻击主机设定为忙碌状态;
在执行模块执行对目标进行快速信息收集工作的第一流程时,由管理模块设定针对辅侦对象的第一匿名防溯等级,其中,执行模块响应于管理模块下发的侦查指令,执行与侦查指令相关的快速信息收集工作;
在执行模块执行对目标进行深度分析的第二流程时,由管理模块设定针对深度分析工具的第二匿名防溯等级,其中,执行模块响应于管理模块下发的深度分析指令,执行与深度分析指令相关的深度分析工作,其中,在执行所述深度分析工作之前,所述管理模块还根据其给相应执行模块所设定的权限以及操作该执行模块的人员的权限来调整第二匿名防溯等级的具体配置;
其中,管理模块(3)针对执行所述第一流程之后所确定的目标来确定的第二匿名防溯等级。
2.根据权利要求1所述的系统,其特征在于,所述管理模块(3)建立的所述匿名网络链路能够提供中继传输证明以拥有一套与中继节点的数量和/或位次相关的数据传输签名链。
3.根据权利要求1所述的系统,其特征在于,所述系统配置的概览模块(1)能够展示操作人员参与的各项案件的当前状态,并能够对若干案件进行重要性程度排序,其中,同一案件的重要性程度能够基于涉案人数、受影响范围、技术先进性和/或时效性的因素进行调整,
概览模块(1)还能够展示以自动关联目标相关资产并对资产进行信息刺探以及漏洞扫描后形成的图形化关系树。
4.根据权利要求1所述的系统,其特征在于,所述系统配置的工具模块(4)内置有若干执行工具,并将流程中所需要的至少部分功能打包为若干核心组件和/或辅助组件,以允许操作人员将不同的组件进行排列组合后形成全新的攻击方式,其中,应用全新流程的所述系统能够对同类网站的打击结果进行归纳总结,以筛选得到相对更优的流程。
5.根据权利要求1所述的系统,其特征在于,所述执行模块(2)在完成设定的流程后能够通过报告模块(5)以单独和/或合并的方式将流程中的报告导出,其中,报告内容包括流程中的操作结果和相关建议。
6.一种反网络犯罪辅侦的自动化方法,其特征在于,所述方法采用权利要求1~5任一项所述的系统,所述方法至少包括如下流程:
第一流程:对目标进行快速信息收集工作,并对目标关联资产进行自动关联以及信息收集;
第二流程:对目标进行深度分析,以确定可利用漏洞;
第三流程:基于多种攻击方式获取到目标对应权限或关键数据。
7.根据权利要求6所述的自动化方法,其特征在于,至少在所述第三流程中,能够采用分布式技术和任务下发技术共同保障攻击机安全且攻击工具不被泄露,其中,通过随机选择攻击主机,配合建立的匿名网络链路能够降低多攻击主机互相交换攻击工具脚本和攻击工具,使得攻击工具和攻击数据不易被溯源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211219515.1A CN115296936B (zh) | 2022-10-08 | 2022-10-08 | 一种反网络犯罪辅侦的自动化方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211219515.1A CN115296936B (zh) | 2022-10-08 | 2022-10-08 | 一种反网络犯罪辅侦的自动化方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115296936A CN115296936A (zh) | 2022-11-04 |
| CN115296936B true CN115296936B (zh) | 2023-08-01 |
Family
ID=83834241
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211219515.1A Active CN115296936B (zh) | 2022-10-08 | 2022-10-08 | 一种反网络犯罪辅侦的自动化方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115296936B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116955967B (zh) * | 2023-09-20 | 2023-12-08 | 成都无糖信息技术有限公司 | 一种在网络靶场中模拟侦查调证的系统和方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104918248A (zh) * | 2015-04-16 | 2015-09-16 | 深圳市高星文网络科技有限公司 | 应用流量管理、应用加速和安全的企业移动安全网关方法 |
| EP2972877A2 (en) * | 2013-03-15 | 2016-01-20 | Power Fingerprinting Inc. | Systems, methods, and apparatus to enhance the integrity assessment when using power fingerprinting systems for computer-based systems |
| US9843624B1 (en) * | 2013-06-13 | 2017-12-12 | Pouya Taaghol | Distributed software defined networking |
| CN114978584A (zh) * | 2022-04-12 | 2022-08-30 | 深圳市蔚壹科技有限公司 | 基于单位单元的网络安全防护安全方法及系统 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6293716B2 (ja) * | 2015-11-10 | 2018-03-14 | 株式会社アメニディ | 匿名通信システムおよび該通信システムに加入するための方法 |
| HU231270B1 (hu) * | 2016-02-18 | 2022-07-28 | Xtendr Zrt. | Adatkezelő eljárás és regisztrációs eljárás anonim adatmegosztó rendszerhez, valamint adatkezelő és azt tartalmazó anonim adatmegosztó rendszer |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
| CN108712396A (zh) * | 2018-04-27 | 2018-10-26 | 广东省信息安全测评中心 | 网络资产管理与漏洞治理系统 |
| US11095666B1 (en) * | 2018-08-28 | 2021-08-17 | Ca, Inc. | Systems and methods for detecting covert channels structured in internet protocol transactions |
| US11277432B2 (en) * | 2018-12-03 | 2022-03-15 | Accenture Global Solutions Limited | Generating attack graphs in agile security platforms |
| CN111488587B (zh) * | 2020-04-17 | 2023-08-15 | 北京墨云科技有限公司 | 一种基于ai的自动化渗透测试系统 |
| CN111475817B (zh) * | 2020-04-17 | 2023-08-11 | 北京墨云科技有限公司 | 一种基于ai的自动化渗透测试系统的数据收集方法 |
| US11563770B2 (en) * | 2020-11-15 | 2023-01-24 | Tenable, Inc. | System, device, and method of determining cyber attack vectors and mitigating cyber attacks |
| CN112995142B (zh) * | 2021-02-03 | 2021-09-17 | 中国电子科技集团公司第十五研究所 | 一种匿名网络动态链路选择方法及装置 |
| CN113742718B (zh) * | 2021-07-30 | 2022-04-19 | 国家工业信息安全发展研究中心 | 一种工业互联网设备攻击路径还原方法、相关设备及系统 |
| CN114584401B (zh) * | 2022-05-06 | 2022-07-12 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种面向大规模网络攻击的追踪溯源系统及方法 |
| CN115102785B (zh) * | 2022-07-25 | 2022-11-18 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种针对网络攻击的自动溯源系统及方法 |
| CN115906190A (zh) * | 2022-08-30 | 2023-04-04 | 四川安洵信息技术有限公司 | 一种区块链网络犯罪服务平台 |
-
2022
- 2022-10-08 CN CN202211219515.1A patent/CN115296936B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2972877A2 (en) * | 2013-03-15 | 2016-01-20 | Power Fingerprinting Inc. | Systems, methods, and apparatus to enhance the integrity assessment when using power fingerprinting systems for computer-based systems |
| US9843624B1 (en) * | 2013-06-13 | 2017-12-12 | Pouya Taaghol | Distributed software defined networking |
| CN104918248A (zh) * | 2015-04-16 | 2015-09-16 | 深圳市高星文网络科技有限公司 | 应用流量管理、应用加速和安全的企业移动安全网关方法 |
| CN114978584A (zh) * | 2022-04-12 | 2022-08-30 | 深圳市蔚壹科技有限公司 | 基于单位单元的网络安全防护安全方法及系统 |
Non-Patent Citations (4)
| Title |
|---|
| TRACEMAP: A traceability model for the digital forensics investigation process;Siti Rahayu Selamat等;《2017 IEEE Conference on Application,Information and Network Security(AINS)》;全文 * |
| 基于Freenet网络的通信防溯源性能分析;许岩岳;《中国优秀硕士学位论文全文数据库 信息科技辑》(第10期);全文 * |
| 基于非合作资源的防溯源网络构建技术研究;周石保;《中国优秀硕士学位论文全文数据库 信息科技辑》(第04期);全文 * |
| 美国网络安全审查的政策体系分析;黄紫斐;;信息安全与通信保密(06);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115296936A (zh) | 2022-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10313382B2 (en) | System and method for visualizing and analyzing cyber-attacks using a graph model | |
| US8997236B2 (en) | System, method and computer readable medium for evaluating a security characteristic | |
| Jajodia et al. | Topological vulnerability analysis: A powerful new approach for network attack prevention, detection, and response | |
| CN101610264B (zh) | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 | |
| US8272061B1 (en) | Method for evaluating a network | |
| Raj et al. | A study on metasploit framework: A pen-testing tool | |
| Mishra et al. | Analysis of alarms to prevent the organizations network in real-time using process mining approach | |
| Riccardi et al. | A framework for financial botnet analysis | |
| CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
| CN115296936B (zh) | 一种反网络犯罪辅侦的自动化方法及系统 | |
| Frankowski et al. | Application of the Complex Event Processing system for anomaly detection and network monitoring | |
| Yermalovich et al. | Formalization of attack prediction problem | |
| CN111245800B (zh) | 网络安全测试方法和装置、存储介质、电子装置 | |
| IL258345B2 (en) | A rapid framework for ensuring cyber protection, inspired by biological systems | |
| Putra et al. | Infrastructure as code for security automation and network infrastructure monitoring | |
| CN115114677B (zh) | 基于区块链取存证技术的网络犯罪服务平台及应用方法 | |
| CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
| Kumar et al. | Intrusion detection system for grid computing using SNORT | |
| CN111385293B (zh) | 一种网络风险检测方法和装置 | |
| Qureshi et al. | Analysis of Challenges in Modern Network Forensic Framework | |
| CN115396239B (zh) | 一种智能平台及其在辅助刑侦中的应用方法和系统 | |
| Shah et al. | Security measurement in industrial IoT with cloud computing perspective: taxonomy, issues, and future directions | |
| Johansson | Countermeasures Against Coordinated Cyber-Attacks Towards Power Grid Systems: A systematic literature study | |
| CN110516449A (zh) | 一种轻量化漏洞探测方法及可读存储介质 | |
| KR20200059540A (ko) | 악성코드 감지시스템 및 감지방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |