【技术实现步骤摘要】
一种攻击证据记录方法及装置
[0001]本申请涉及网络流量分析领域,具体而言,涉及一种攻击证据记录方法及装置。
技术介绍
[0002]随着互联网的高度普及与发展,针对非法访问行为、黑客攻击等网络安全问题的监测与防护显得尤为重要。其中,企业通过企业网络中安全防护类系统获取到的攻击证据,可以清晰查看攻击者所进行攻击行为的详细操作过程,因此,攻击证据在进行法律相关维权以及分析攻击者意图并反击的应用上有很大的意义。
[0003]现有技术中,一般利用处于企业网络中应用层的安全类系统进行攻击证据的记录,其传统的方式是采用系统日志搜索并结合大数据分析技术方案实现。但是,黑客在进行攻击时,有时并不会产生任何系统日志或者产生的日志不完成,也就是说,采用传统的方式记录的攻击证据的全面性以及完整性较差。
技术实现思路
[0004]本申请实施例的目的在于提供一种攻击证据记录方法及装置,用以解决记录的攻击证据的全面性以及完整性较差。
[0005]第一方面,本申请实施例提供一种攻击证据记录方法,包括:获取物理网卡上的目标...
【技术保护点】
【技术特征摘要】
1.一种攻击证据记录方法,其特征在于,包括:获取物理网卡上的目标虚拟主机产生的流量包;根据所述流量包的第一通信协议属性值计算获得流量包特征值;将所述流量包转换为流量文件,并关联存储所述流量文件以及所述流量包对应的流量包信息,以根据所述流量包信息查询所述流量文件;其中,所述流量包信息包括所述获得流量包特征值以及所述流量包产生的第一时间。2.根据权利要求1所述的攻击证据记录方法,其特征在于,在所述将所述流量包转换为流量文件,并关联存储所述流量文件以及所述流量包对应的流量包信息,以根据所述流量包信息查询所述流量文件之后,所述方法还包括:获取网络攻击事件的第二通信协议属性值以及所述网络攻击事件发生的第二时间;根据所述第二通信协议属性值计算所述网络攻击事件对应的上行流量包特征值以及下行流量包特征值;根据所述上行流量包特征值以及所述第二时间查询所述网络攻击事件对应的上行流量包的流量文件,以及,根据所述下行流量包特征值以及所述第二时间查询所述网络攻击事件对应的下行流量包的流量文件。3.根据权利要求1或2所述的攻击证据记录方法,其特征在于,所述根据所述流量包的第一通信协议属性值计算获得流量包特征值,包括:在所述流量包的为tcp数据包或者udp数据包时,根据所述流量包的五元组信息计算所述获得流量包特征值;在所述流量包的为icmp数据包或者arp数据包,则根据所述流量包的三元组信息计算所述获得流量包特征值。4.根据权利要求2所述的攻击证据记录方法,其特征在于,所述第二通信协议属性值包括所述网络攻击事件对应的五元组信息或者所述网络攻击事件对应的三元组信息;所述根据所述第二通信协议属性值计算所述网络攻击事件对应的上行流量包特征值以及下行流量包特征值,包括:根据所述五元组信息或者所述三元组信息计算所述上行流量包特征值;交换所述五元组信息中的源IP和目的IP、源端口以及目的端口,并根据交换后的五元组信息计算所述下行流量包特征值;或者,交换所述三元组信息中的源IP和目的IP,并根据交换后的三元组信息计算所述下行流量包特征值。5.根据权利要求1或2所述的攻击证据记录方法,其特征在于,在所述获取物理网卡...
【专利技术属性】
技术研发人员:杨斌,马绍龙,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。