本发明专利技术公开了一种网络活动数据的回溯方法及装置,该方法包括:获取每个主机的网络活动数据,并进行存储,其中,所述网络活动数据包括:各个主机在运行状态下实时获取的全部网络数据,在各个主机中的任意一个被攻击的情况下,提取被攻击主机的网络活动数据;在接收到与所述被攻击主机关联的检索关键词时,依据所述检索关键词,在所述被攻击主机的网络活动数据中搜索目标网络活动数据;反馈所述目标网络活动数据。上述的方法中,依据检索关键词在所述被攻击主机的网络活动数据中选取出并反馈目标网络活动数据,实现了对被攻击主机网络活动数据的向前取证,并最终将目标网络数据用于辅助网络攻击事件的溯源分析。
【技术实现步骤摘要】
一种网络活动数据的回溯方法及装置
本专利技术涉及网络安全
,尤其涉及一种网络活动数据回溯方法及装置。
技术介绍
目前,为了更好的应对网络攻击,需要对已发现的网络攻击事件进行尽可能全面、及时的溯源分析,甚至是复现攻击过程。然而,现在很多恶意软件采用越来越隐蔽的攻击策略,目的是为了隐藏自己,从而逃避安全检测、溯源分析;如完成一个攻击动作或一个攻击阶段后及时清除系统日志、网络活动等攻击活动相关痕迹。在这样的情况下,当安全人员发现攻击存在才进行溯源分析时,历史的攻击活动相关痕迹已经被清除了。安全人员只能通过源IP溯源到受害主机,而无法具体到恶意进程(包括被恶意利用的良性进程)、恶意文件名及路径、发起时间等网络活动数据,这些信息对于实际的攻击分析溯源具有重要意义,亟需提供一种网络活动数据的回溯方法用于辅助网络攻击事件的溯源分析。
技术实现思路
有鉴于此,本专利技术提供了一种网络活动数据的回溯方法及装置,用于解决现有技术中安全人员只能通过源IP溯源到受害主机,而无法具体到恶意进程(包括被恶意利用的良性进程)、恶意文件名及路径、发起时间等网络活动数据的问题,用于辅助网络攻击事件的溯源分析。具体方案如下:一种网络活动数据的回溯方法,包括:获取每个主机的网络活动数据,并进行存储,其中,所述网络活动数据包括:各个主机在运行状态下实时获取的全部网络数据;在各个主机中的任意一个被攻击的情况下,提取被攻击主机的网络活动数据;在接收到与所述被攻击主机关联的检索关键词时,依据所述检索关键词,在所述被攻击主机的网络活动数据中搜索目标网络活动数据;反馈所述目标网络活动数据。上述的方法,可选的,获取每个主机的网络活动数据,并进行存储,还包括:将所述网络活动数据依据预设时间周期存储在主机侧。上述的方法,可选的,依据所述检索关键词,在所述被攻击主机的网络活动数据中搜索目标网络活动数据,包括:遍历所述被攻击主机的网络活动数据;查找包含所述检索关键词的目标网络活动数据。上述的方法,可选的,反馈所述目标网络活动数据,包括:获取输入所述检索关键词的用户的权限等级和所述目标网络活动数据各个数据的数据权限,其中,所述权限等级和所述数据权限存在关联关系;将所述目标网络数据中数据权限不高于所述用户权限的数据进行反馈。上述的方法,可选的,还包括:为所述网络活动数据设置操作权限。一种网络活动数据的回溯装置,包括:获取和存储模块,用于获取每个主机的网络活动数据,并进行存储,其中,所述网络活动数据包括:各个主机在运行状态下实时获取的全部网络数据;提取模块,用于在各个主机中的任意一个被攻击的情况下,提取被攻击主机的网络活动数据;搜索模块,用于在接收到与所述被攻击主机关联的检索关键词时,依据所述检索关键词,在所述被攻击主机的网络活动数据中搜索目标网络活动数据;反馈模块,用于反馈所述目标网络活动数据。上述的装置,可选的,所述获取和存储模块还包括:存储单元,用于将所述网络活动数据依据预设时间周期存储在主机侧。上述的装置,可选的,所述搜索模块包括:遍历单元,用于遍历所述被攻击主机的网络活动数据;查找单元,用于查找包含所述检索关键词的目标网络活动数据。上述的装置,可选的,所述反馈模块包括:获取单元,用于获取输入所述检索关键词的用户的权限等级和所述目标网络活动数据各个数据的数据权限,其中,所述权限等级和所述数据权限存在关联关系;反馈单元,用于将所述目标网络数据中数据权限不高于所述用户权限的数据进行反馈。上述的装置,可选的,还包括:设置模块,用于为所述网络活动数据设置操作权限。与现有技术相比,本专利技术包括以下优点:本专利技术公开了一种网络活动数据的回溯方法及装置,该方法包括:获取每个主机的网络活动数据,并进行存储,其中,所述网络活动数据包括:各个主机在运行状态下实时获取的全部网络数据,在各个主机中的任意一个被攻击的情况下,提取被攻击主机的网络活动数据;在接收到与所述被攻击主机关联的检索关键词时,依据所述检索关键词,在所述被攻击主机的网络活动数据中搜索目标网络活动数据;反馈所述目标网络活动数据。上述的方法中,依据检索关键词在所述被攻击主机的网络活动数据中选取出并反馈目标网络活动数据,实现了对被攻击主机网络活动数据的向前取证,并最终将目标网络数据用于辅助网络攻击事件的溯源分析。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本申请实施例公开的一种网络活动数据的回溯方法流程图;图2为本申请实施例公开的一种网络活动数据的回溯方法又一流程图;图3为本申请实施例公开的一种网络活动数据的回溯装置结构框图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本专利技术。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本专利技术的精神或范围的情况下,在其它实施例中实现。因此,本专利技术将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。本专利技术公开了一种网络活动数据的回溯方法及装置,应用于对网络攻击事件的溯源分析过程中,面对日益复杂的网络空间形式,网络攻防博弈持续升温,攻击者为了提升网络攻击的成功率,通过不断革新的攻击策略和技术手段实现更隐蔽的攻击,例如将命令与控制流量伪装成正常网络流量、及时擦除在目标主机的活动痕迹等。这种趋于隐蔽的攻击方式对于溯源分析工作的开展提出了新的挑战。目前,在网络边界上进行攻击检测的相关技术发展迅速,在网络边界上可以精准检测到该网络中主机疑似遭受攻击的众多线索。为了更好的应对网络攻击,安全人员需要对已发现的网络攻击事件进行尽可能全面、及时的溯源分析,甚至是复现攻击过程。然而,现在很多恶意软件采用越来越隐蔽的攻击策略,目的是为了隐藏自己,从而阻碍甚至逃避安全检测、溯源分析;如完成一个攻击动作或一个攻击阶段后及时清除系统日志、网络活动等攻击活动相关痕迹。在这样的情况下,当安全人员发现攻击存在并进行溯源分析时,攻击活动相关痕迹已经被清除了。众所周知,完整的分析溯源能够帮助安全人员掌握攻击态势并制定防御策略,有效防范该攻击的持续扩散。显然,发现攻击并展开溯源分析时,该时刻向前一定时间周期内的攻击活本文档来自技高网...
【技术保护点】
1.一种网络活动数据的回溯方法,其特征在于,包括:/n获取每个主机的网络活动数据,并进行存储,其中,所述网络活动数据包括:各个主机在运行状态下实时获取的全部网络数据;/n在各个主机中的任意一个被攻击的情况下,提取被攻击主机的网络活动数据;/n在接收到与所述被攻击主机关联的检索关键词时,依据所述检索关键词,在所述被攻击主机的网络活动数据中搜索目标网络活动数据;/n反馈所述目标网络活动数据。/n
【技术特征摘要】
1.一种网络活动数据的回溯方法,其特征在于,包括:
获取每个主机的网络活动数据,并进行存储,其中,所述网络活动数据包括:各个主机在运行状态下实时获取的全部网络数据;
在各个主机中的任意一个被攻击的情况下,提取被攻击主机的网络活动数据;
在接收到与所述被攻击主机关联的检索关键词时,依据所述检索关键词,在所述被攻击主机的网络活动数据中搜索目标网络活动数据;
反馈所述目标网络活动数据。
2.根据权利要求1所述的方法,其特征在于,获取每个主机的网络活动数据,并进行存储,还包括:
将所述网络活动数据依据预设时间周期存储在主机侧。
3.根据权利要求1所述的方法,其特征在于,依据所述检索关键词,在所述被攻击主机的网络活动数据中搜索目标网络活动数据,包括:
遍历所述被攻击主机的网络活动数据;查找包含所述检索关键词的目标网络活动数据。
4.根据权利要求1所述的方法,其特征在于,反馈所述目标网络活动数据,包括:
获取输入所述检索关键词的用户的权限等级和所述目标网络活动数据各个数据的数据权限,其中,所述权限等级和所述数据权限存在关联关系;
将所述目标网络数据中数据权限不高于所述用户权限的数据进行反馈。
5.根据权利要求1所述的方法,其特征在于,还包括:
为所述网络活动数据设置操作权限。
6.一种网络活动...
【专利技术属性】
技术研发人员:冯林,崔翔,王忠儒,甘蕊灵,冀甜甜,
申请(专利权)人:北京丁牛科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。