本发明专利技术公开了一种攻击事件取证方法、装置及存储介质,能够实现攻击回溯。所述方法包括:检测到攻击事件后,判断预先设置的取证策略,根据所述取证策略对原始攻击信息流进行取证,所述原始攻击信息流包括所述攻击事件的一个或多个原始攻击报文。采用本发明专利技术实施例,对一攻击事件的一个或多个原始攻击报文进行全部取证。相比常规的只记录攻击事件的摘要信息,更能为后续的攻击溯源、黑客画像提供有力的证据。
【技术实现步骤摘要】
一种攻击事件取证方法、装置及存储介质
本专利技术涉及网络安全
,尤指一种攻击事件取证方法、装置及存储介质。
技术介绍
目前在网关设备端,产生的攻击时事件,比如入侵检测事件、病毒事件、DDOS攻击事件等,其主要是提取其事件的摘要信息,摘要信息包括事件ID、攻击源IP、攻击目的IP等,但这些摘要信息无法满足后期攻击溯源、黑客画像等活动的要求。
技术实现思路
为了解决上述技术问题,本专利技术提供了一种攻击事件取证方法、装置及存储介质,能够实现攻击回溯。为了达到本专利技术目的,本专利技术提供了一种攻击事件取证方法,所述方法包括:检测到攻击事件后,判断预先设置的取证策略,根据所述取证策略对原始攻击信息流进行取证,所述原始攻击信息流包括所述攻击事件的一个或多个原始攻击报文。进一步地,所述取证策略包括:本地存储;或者,转发至预设防火墙镜像口;或者,本地存储和转发至预设防火墙镜像口。进一步地,所述预先设置的取证策略包括本地存储,所述根据所述取证策略对原始攻击信息流进行取证,包括:复制原始攻击信息流,构造过程特性分析软件包pcap报文,将原始攻击信息流作为pcap报文的内容,并采用预设命名规则命名所述pcap报文。进一步地,所述预设命名规则为:所述pcap报文名称中包含攻击事件类型和事件标识;或者,所述pcap报文名称中包含攻击事件类型、事件标识以及源IP地址;或者,所述pcap报文名称中包含攻击事件类型、事件标识以及目的IP地址;或者,所述pcap报文名称中包含攻击事件类型、事件标识、源IP地址以及目的IP地址。进一步地,所述预先设置的取证策略包括转发至预设防火墙镜像口,所述根据所述取证策略对原始攻击信息流进行取证,包括:复制原始攻击信息流,对所述原始攻击信息流进行报文封装,将报文封装后的原始攻击信息流发送至所述预设防火墙镜像口。为了达到本专利技术目的,本专利技术还提供了一种攻击事件取证装置,所述装置包括检测模块和取证模块,其中,所述检测模块,用于检测到攻击事件后,判断预先设置的取证策略;所述取证模块,用于根据所述取证策略对原始攻击信息流进行取证,所述原始攻击信息流包括所述攻击事件的一个或多个原始攻击报文。进一步地,所述取证策略包括:本地存储;或者,转发至预设防火墙镜像口;或者,本地存储和转发至预设防火墙镜像口。进一步地,所述预先设置的取证策略包括本地存储,所述取证模块根据所述取证策略对原始攻击信息流进行取证,包括:所述取证模块复制原始攻击信息流,构造过程特性分析软件包pcap报文,将原始攻击信息流作为pcap报文的内容,并采用预设命名规则命名所述pcap报文。进一步地,所述预先设置的取证策略包括转发至预设防火墙镜像口,所述取证模块根据所述取证策略对原始攻击信息流进行取证,包括:所述取证模块复制原始攻击信息流,对所述原始攻击信息流进行报文封装,将报文封装后的原始攻击信息流发送至所述预设防火墙镜像口。为了达到本专利技术目的,本专利技术还提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述方法的步骤。与现有技术相比,本专利技术包括检测到攻击事件后,判断预先设置的取证策略,根据所述取证策略对原始攻击信息流进行取证,所述原始攻击信息流包括所述攻击事件的一个或多个原始攻击报文。对一攻击事件的一个或多个原始攻击报文进行全部取证,相比常规的只记录攻击事件的摘要信息,更能为后续的攻击溯源、黑客画像提供有力的证据。本专利技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。附图说明附图用来提供对本专利技术技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本专利技术的技术方案,并不构成对本专利技术技术方案的限制。图1为本专利技术实施例一的攻击事件取证方法的流程图;图2为本专利技术实施例二的攻击事件取证方法的另一种流程图;图3为本专利技术实施例三的攻击事件取证装置的结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白,下文中将结合附图对本专利技术的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。实施例一本实施例提供一种攻击事件取证方法,如图1所示,包括S11-S12:S11、检测到攻击事件后,判断预先设置的取证策略;S12、根据取证策略对原始攻击信息流进行取证,所述原始攻击信息流包括所述攻击事件的一个或多个原始攻击报文。本专利技术实施例中,对原始攻击信息流进行取证指的是对一攻击事件的一个或多个原始攻击报文进行全部取证。相比常规的只记录攻击事件的摘要信息,更能为后续的攻击溯源、黑客画像提供有力的证据。取证策略包括:本地存储;或者,转发至预设防火墙镜像口;或者,本地存储和转发至预设防火墙镜像口。本地存储可以采用本地pcap(过程特性分析软件包)存储,也可以采用其他报文格式存储,只要能进行攻击回溯即可。取证最原始的攻击信息流,采用pcap存储的方法,以备报文回放,采用转发至预设防火墙镜像口的方法,可以及时展现攻击事件。具体采用哪一种取证策略可以依据防火墙设备而定,例如,比如防火墙设备挂载有硬盘,则可设置取证策略为本地存储,如果考虑冗余性,可设置取证策略为本地存储和转发至预设防火墙镜像口。在一可选实施例中,如果预先设置的取证策略包括本地存储,所述根据取证策略对原始攻击信息流进行取证,包括:复制原始攻击信息流,构造pcap报文,将原始攻击信息流作为pcap报文的内容,并采用预设命名规则命名pcap报文。预设命名规则可以是:pcap报文名称中包含攻击事件类型和事件标识。上述命名规则的实质是对攻击事件进行分组分类,使pcap文件名称能够体现攻击事件的概要信息,同时又不使总体pcap文件数量太过庞大,便于后续快速搜索攻击类型和攻击事件。可选地,pcap报文名称中还可以包括源IP地址和/或目的IP地址。即所述预设命名规则还可以是:pcap报文名称中包含攻击事件类型、事件标识以及源IP地址;或者,pcap报文名称中包含攻击事件类型、事件标识以及目的IP地址;或者,pcap报文名称中包含攻击事件类型、事件标识、源IP地址以及目的IP地址。增加了名称中的要素,虽然pcap报文数量会增多,但是可以实现更细化的分类。如果采用其他报文格式进行本地存储,也可以参照上述pcap报文的取证方法和命名规则实现。在另一个可选实施例中,如果预先设置的取证策略包括转发至预设防火墙镜像口,所述根据取证策略对原始攻击信息流进行取证,包括:复制原始攻击信息流,对原始攻击信息流进行报文封装,将报文封装后的原始攻击信息流发送至预设防火墙镜像口。防火墙镜像口可以接入有可以实时展现攻击事件的设备,例如直接连接电脑设备,或者通过交换机连接电脑设备。本专利技术实施例中,检测到攻击事件后,判断预先设置的取证策略,根据所述取证策略对原始攻击信息流进行取证,通过对原始攻击信息流进行本地存储或者转发至防火墙镜像口,相比常规的只记录攻击事本文档来自技高网...
【技术保护点】
1.一种攻击事件取证方法,其特征在于,所述方法包括:检测到攻击事件后,判断预先设置的取证策略,根据所述取证策略对原始攻击信息流进行取证,所述原始攻击信息流包括所述攻击事件的一个或多个原始攻击报文。
【技术特征摘要】
1.一种攻击事件取证方法,其特征在于,所述方法包括:检测到攻击事件后,判断预先设置的取证策略,根据所述取证策略对原始攻击信息流进行取证,所述原始攻击信息流包括所述攻击事件的一个或多个原始攻击报文。2.根据权利要求1所述的攻击事件取证方法,其特征在于,所述取证策略包括:本地存储;或者,转发至预设防火墙镜像口;或者,本地存储和转发至预设防火墙镜像口。3.根据权利要求2所述的攻击事件取证方法,其特征在于,所述预先设置的取证策略包括本地存储,所述根据所述取证策略对原始攻击信息流进行取证,包括:复制原始攻击信息流,构造过程特性分析软件包pcap报文,将原始攻击信息流作为pcap报文的内容,并采用预设命名规则命名所述pcap报文。4.根据权利要求3所述的攻击事件取证方法,其特征在于,所述预设命名规则为:所述pcap报文名称中包含攻击事件类型和事件标识;或者,所述pcap报文名称中包含攻击事件类型、事件标识以及源IP地址;或者,所述pcap报文名称中包含攻击事件类型、事件标识以及目的IP地址;或者,所述pcap报文名称中包含攻击事件类型、事件标识、源IP地址以及目的IP地址。5.根据权利要求2或3所述的攻击事件取证方法,其特征在于,所述预先设置的取证策略包括转发至预设防火墙镜像口,所述根据所述取证策略对原始攻击信息流进行取证,包括:复制原始攻击信息流,对所述原始攻击信息流进行报文封装...
【专利技术属性】
技术研发人员:胡波,于运涛,石韬,王晔,
申请(专利权)人:中电和瑞科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。