本发明专利技术公开了基于网络攻击的数据采集、分析方法及系统,属于信息安全技术领域。本发明专利技术能够在内部网络中获取多个终端设备的系统数据;通过逐个对每一个待检测信息进行威胁检测,进而获取相应的异常数据;采用统计分析的方式对全部异常数据的进行深度挖掘分析,进而溯源内部网络中的终端设备受到攻击的路径(异常路径信息),以便于根据该攻击路径对攻击者进行追踪,提升网络安全防御能力。
【技术实现步骤摘要】
基于网络攻击的数据采集、分析方法及系统
本专利技术涉及信息安全
,尤其涉及一种基于网络攻击的数据采集、分析方法及系统。
技术介绍
网络攻击是黑客或者病毒木马等对电子设备(如:终端设备)发起的攻击,通过窃取文件等给用户带来了巨大损失。攻击者利用恶意程序对网络及信息系统进行入侵控制,达到窃取敏感数据和破坏系统和网络环境的目的,亟待提高对大型应用场景(如:企业内部网络)中对网络攻击的分析及防御能力。目前,在进行终端设备的系统安全防护时,通常将单一的终端设备的系统攻击事件进行相关事件的罗列,无法针对同一网络(如:银行内部专用网络,医院内部专用网络等)中所有终端设备的攻击事件进行统计分析,不能有效的溯源攻击者的攻击路径。针对现有的系统安全防护因缺少对多个系统攻击事件的关联分析能力,无法溯源攻击者的攻击路径,导致无法有效进行系统防护的缺陷。因此,提出一种新的网络攻击分析方式已成为安全
亟待解决的技术问题。
技术实现思路
有鉴于此,本专利技术提供一种基于网络攻击的数据采集、分析方法及系统,主要目的在于能够在内部网络中对多个终端设备的系统攻击事件进行联合分析,从而获取溯源攻击路径,提升检测网络攻击的能力。本专利技术提供了一种基于网络攻击的分析方法,应用于内部网络,包括:获取所述内部网络中至少一个终端设备的系统数据;分别对每一个所述系统数据解析,获取相应的待检测数据及每一待检测数据对应的数据类型;依据所述待检测数据对应的数据类型,对相应的所述待检测数据进行威胁检测,获取相应的异常数据;对全部所述异常数据进行统计分析,生成异常路径信息。优选的,所述分别对每一个所述系统数据解析,获取相应的待检测数据及每一待检测数据对应的数据类型,包括:分别对每一个所述系统数据解压、解密,获取待检测数据序列;获取所述待检测数据序列中每一个所述待检测数据对应的数据类型。优选的,所述待检测数据对应的数据类型包括:进程列表类、系统服务类、敏感目录类、系统安全日志类、启动项类和网络链接类中的至少一种。优选的,所述对全部所述异常数据进行统计分析,生成异常路径信息,包括:获取每一个所述异常数据中的访问节点数据及相应的时间数据;根据全部所述时间数据生成时间轴;依据所述时间轴中的所述时间数据,将相应的访问节点数据关联,生成所述异常路径信息。优选的,还包括:识别每一个所述异常数据的威胁级别;基于所述威胁级别标记所述异常路径信息中相应的终端设备的异常数据。优选的,还包括:根据所述异常路径信息生成标识访问节点数据及访问方向的关联分析图像。本专利技术还提供了一种基于网络攻击的数据采集方法,应用于终端设备中,所述方法包括:采集所述终端设备中的第一系统信息;将所述第一系统信息转换为预设格式的第二系统信息;对所述第二系统信息加密、压缩生成系统数据,并输出所述系统数据。本专利技术还提供了一种基于网络攻击的分析系统,应用于内部网络,包括通信连接的终端设备和服务器;其中,所述终端设备用于第一系统信息,将所述第一系统信息转换为预设格式的第二系统信息,对所述第二系统信息加密、压缩生成系统数据,并发送至所述服务器;所述服务器用于获取至少一个所述终端设备发送的系统数据,分别对每一个所述系统数据解析,获取相应的待检测数据及每一待检测数据对应的数据类型,依据所述待检测数据对应的数据类型,对相应的所述待检测数据进行威胁检测,获取相应的异常数据,对全部所述异常数据进行统计分析,生成异常路径信息。本专利技术还提供了一种计算机设备,所述计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。本专利技术还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。本专利技术提供一种基于网络攻击的数据采集、分析方法及系统,能够在内部网络中获取多个终端设备的系统数据;通过逐个对每一个待检测信息进行威胁检测,进而获取相应的异常数据;采用统计分析的方式对全部异常数据的进行深度挖掘分析,进而溯源内部网络中的终端设备受到攻击的路径(异常路径信息),以便于根据该攻击路径对攻击者进行追踪,提升网络安全防御能力。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了本专利技术基于网络攻击的分析系统的一种实施例的架构图;图2示出了本专利技术实施例一所述的基于网络攻击的分析方法的流程图;图3示出了本专利技术对每一个所述系统数据解析的一种实施例的流程图;图4示出了本专利技术生成异常路径信息的一种实施例的流程图;图5示出了本专利技术实施例二所述的基于网络攻击的分析方法的流程图;图6示出了本专利技术实施例三所述的基于网络攻击的分析方法的流程图;图7示出了本专利技术实施例四所述的基于网络攻击的数据采集方法的流程图;图8示出了本专利技术所述的基于网络攻击的分析系统的一种实施例的模块图;图9示出了本专利技术终端设备的一种实施例的模块图;图10示出了本专利技术服务器的一种实施例的模块图;图11示出了本专利技术计算机设备的一个实施例的硬件架构图。具体实施方式以下结合附图与具体实施例进一步阐述本专利技术的优点。这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本公开可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。在本专利技术的描述中,需要理解的是,步骤前的数字标号并本文档来自技高网...
【技术保护点】
1.一种基于网络攻击的分析方法,其特征在于,应用于内部网络,包括:/n获取所述内部网络中至少一个终端设备的系统数据;/n分别对每一个所述系统数据解析,获取相应的待检测数据及每一待检测数据对应的数据类型;/n依据所述待检测数据对应的数据类型,对相应的所述待检测数据进行威胁检测,获取相应的异常数据;/n对全部所述异常数据进行统计分析,生成异常路径信息。/n
【技术特征摘要】
1.一种基于网络攻击的分析方法,其特征在于,应用于内部网络,包括:
获取所述内部网络中至少一个终端设备的系统数据;
分别对每一个所述系统数据解析,获取相应的待检测数据及每一待检测数据对应的数据类型;
依据所述待检测数据对应的数据类型,对相应的所述待检测数据进行威胁检测,获取相应的异常数据;
对全部所述异常数据进行统计分析,生成异常路径信息。
2.根据权利要求1所述的基于网络攻击的分析方法,其特征在于,所述分别对每一个所述系统数据解析,获取相应的待检测数据及每一待检测数据对应的数据类型,包括:
分别对每一个所述系统数据解压、解密,获取待检测数据序列;
获取所述待检测数据序列中每一个所述待检测数据对应的数据类型。
3.根据权利要求1或2所述的基于网络攻击的分析方法,其特征在于,所述待检测数据对应的数据类型包括:进程列表类、系统服务类、敏感目录类、系统安全日志类、启动项类和网络链接类中的至少一种。
4.根据权利要求1所述的基于网络攻击的分析方法,其特征在于,所述对全部所述异常数据进行统计分析,生成异常路径信息,包括:
获取每一个所述异常数据中的访问节点数据及相应的时间数据;
根据全部所述时间数据生成时间轴;
依据所述时间轴中的所述时间数据,将相应的访问节点数据关联,生成所述异常路径信息。
5.根据权利要求1所述的网络攻击检测方法,其特征在于,还包括:
识别每一个所述异常数据的威胁级别;
基于所述威胁级别标记所述...
【专利技术属性】
技术研发人员:龚玉山,黎健欣,张鑫,
申请(专利权)人:奇安信科技集团股份有限公司,网神信息技术北京股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。