【技术实现步骤摘要】
网络攻击组织的探测方法、装置、设备及可读存储介质
[0001]本专利技术涉及网络安全
,特别是涉及一种网络攻击组织的探测方法、装置、设备及计算机可读存储介质。
技术介绍
[0002]威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH(哈希值),IP(Internet Protocol,网络之间互连的协议),域名,程序运行路径,注册表项等,以及相关的归属标签。
[0003]目前业界内已有的方法是通过交换、捕获、分析、采集等方式获取威胁情报,进而实现对网络攻击组织的探测识别。但获取的大部分情报都是单一的IOC(Indicator Of Compromise,威胁指示器),如黑名单IP,黑名单域名等,这种情报仅处于信息探测与攻击尝试阶段,该攻击未成功,也没有进一步动作,因此无完...
【技术保护点】
【技术特征摘要】
1.一种网络攻击组织的探测方法,其特征在于,包括:当探测到目标网络攻击时,获取所述目标网络攻击的目标攻击特征;利用预设规则库对所述目标攻击特征进行蜜罐环境匹配;其中,所述预设规则库中存储有各攻击特征与各蜜罐环境之间的对应关系;判断蜜罐环境是否匹配成功;若是,则将所述目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,并利用所述目标蜜罐环境根据所述目标攻击流量捕获攻击样本和攻击上下文信息;对所述攻击样本进行解析,得到样本标识信息;根据所述攻击上下文信息和所述样本标识信息确定目标攻击组织。2.根据权利要求1所述的网络攻击组织的探测方法,其特征在于,将所述目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,包括:根据所述目标攻击特征从网络流量集合中筛选所述目标网络攻击对应的目标攻击流量;将所述目标攻击流量牵引至匹配到的目标蜜罐环境。3.根据权利要求1所述的网络攻击组织的探测方法,其特征在于,利用所述目标蜜罐环境根据所述目标攻击流量捕获攻击样本和攻击上下文信息,包括:利用所述目标蜜罐环境根据所述目标攻击流量捕获所述攻击样本、放马地址、回连地址以及回连IP;根据所述攻击上下文信息和所述样本标识信息确定目标攻击组织,包括:根据所述放马地址、所述回连地址、所述回连IP以及所述样本标识信息确定所述目标攻击组织。4.根据权利要求3所述的网络攻击组织的探测方法,其特征在于,根据所述放马地址、所述回连地址、所述回连IP以及所述样本标识信息确定所述目标攻击组织,包括:利用预设备案组织库对所述放马地址、所述回连地址、所述回连IP以及所述样本标识信息进行组织关联;判断是否关联到已有攻击组织编号;若是,则将关联到的已有攻击组织编号对应的攻击组织确定为所述目标攻击组织;若否,则根据所述放马地址、所述回连地址、所述回连IP以及所述样本标识信息定义新攻击组织编号,以根据所述新攻击组织编号生成所述目标攻击组织。...
【专利技术属性】
技术研发人员:许久围,范渊,吴卓群,王欣,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。