【技术实现步骤摘要】
终端取证溯源系统及方法
本专利技术涉及一种网络攻击
,是一种终端取证溯源系统及方法。
技术介绍
目前终端取证工作会面临以下问题:技术门槛高,即要求实施取证分析的运维人员具备非常丰富的经验;相关技术人员缺失,一般企业负责安全运维的人员数量有限,相关技术人员更少,面对众多主机,往往无能为力;高级威胁难以发现,随着高级持续性威胁攻击的流行,功能单一且既定化的检测机制越来越难以发现新的攻击,传统设备的检测能力在不断下滑,在遭受攻击后用户无法清晰、精准地了解攻击事件的始末,常常陷入欲修复而无从下手的窘境;主机环境复杂某些单位由于规模大,主机数量多,操作系统种类繁多,要对所有的主机进行检查难度很大,几乎是不可能完成对任务。
技术实现思路
本专利技术提供了一种终端取证溯源系统及方法,克服了上述现有技术之不足,其能有效解决现有依靠人工经验的终端取证溯源方式存在的对于运维人员要求高、不能精确识别的问题。本专利技术的技术方案之一是通过以下措施来实现的:一种终端取证溯源系统,包括终端数据采集单元、分析处理单元和报...
【技术保护点】
1.一种终端取证溯源系统,其特征在于,包括终端数据采集单元、分析处理单元和报告生成单元;/n终端数据采集单元,用于基于攻击者视角的攻击链,对目标终端进行全方位扫描取证,采集需要的所有业务数据;/n分析处理单元,用于通过识别溯源工具对采集到的所有业务数据进行检测判定及处理研判,其中检测判定包括威胁发现、攻击还原,处理研判包括攻击追溯和威胁处置;/n报告生成单元,用于根据检测判定结果、处理结果生成取证分析报告。/n
【技术特征摘要】
1.一种终端取证溯源系统,其特征在于,包括终端数据采集单元、分析处理单元和报告生成单元;
终端数据采集单元,用于基于攻击者视角的攻击链,对目标终端进行全方位扫描取证,采集需要的所有业务数据;
分析处理单元,用于通过识别溯源工具对采集到的所有业务数据进行检测判定及处理研判,其中检测判定包括威胁发现、攻击还原,处理研判包括攻击追溯和威胁处置;
报告生成单元,用于根据检测判定结果、处理结果生成取证分析报告。
2.根据权利要求1所述的终端取证溯源系统,其特征在于,所述终端数据采集单元包括文件系统采集模块、启动项采集模块、内存采集模块、用户痕迹采集模块、日志采集模块、固件采集模块、网络采集模块、主机缺陷采集模块、注册表采集模块,文件系统采集模块、启动项采集模块、内存采集模块、用户痕迹采集模块、日志采集模块、固件采集模块、网络采集模块、主机缺陷采集模块、注册表采集模块均用于采集对应的业务数据。
3.根据权利要求1或2所述的终端取证溯源系统,其特征在于,所述分析处理单元包括检测判定模块和处理研判模块;
检测判定模块,用于通过运行于数据库中的多个检测模型、多个分析模型对采集到的所有业务数据进行检测判定,其中检测判定包括威胁发现、攻击还原;
处理研判模块,用于结合检测判定结果及采集到的所有业务数据对威胁及攻击进行处理研判,其中处理研判包括攻击追溯和威胁处置。
4.根据权利要求3所述的终端取证溯源系统,其特征在于,所述检测判定模块包括分析引擎和检测引擎;
分析引擎,包括运行于数据库中的文件分析模型、启动项分析模型、内存分析模型、用户痕迹分析模型、日志分析模型、固件分析模型、网络数据分析模型、主机信息分析模型、注册表分析模型,分别用于对采集到的对应业务数据进行威胁分析,获得其中的威胁发现,威胁发现包括木马植入、病毒感染、黑客工具、异常日志、异常流量、威胁情报;
检测引擎,包括运行于数据库中的多个检测模型,用于针对分析引擎获得的威胁发现进行攻击还原,攻击还原包括恶意代码识别、异常行为发现、危险指数判断。
5.根据权利要求3所述的终端取证溯源系统,其特征在于,所述处理研判模块包括攻击追溯模块和威胁处置模块;<...
【专利技术属性】
技术研发人员:黄强,何伟,运凯,李凯,米尔阿力木江·吐尔洪,李浩升,鲁学仲,曹澍,王庆鹏,马怡璇,赵梅,康婉晴,
申请(专利权)人:国网新疆电力有限公司信息通信公司,国家电网有限公司,
类型:发明
国别省市:新疆;65
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。