本申请公开了一种基于时间线的网络攻击溯源分析方法及系统,本方法首先获取攻击用户的文件系统相关信息;然后读取主机设备的windows事件日志相关数据,得到网络攻击的可疑时段,并确定在可疑时段中文件系统相关信息作为可疑文件相关信息;最后对可疑时段所关联的可疑文件相关信息进行分析,得出攻击者的攻击路径线索。本发明专利技术基于时间线的这种优点的溯源技术能够将攻击者某个具体时间段之内的操作,通过时间的定位和回溯,将攻击者的攻击线索通过时间进行串联,对安全事件进行全面溯源,帮助安全团队掌握攻击者的意图,进而采取合适的对策。合适的对策。合适的对策。
【技术实现步骤摘要】
一种基于时间线的网络攻击溯源分析方法及系统
[0001]本专利技术涉及网络安全领域,特别涉及一种基于时间线的网络攻击溯源分析方法及系统。
技术介绍
[0002]近年来,网络安全事件和恶意代码攻击层出不穷,它们给国家、社会和个人带来了严重的危害,如分布式拒绝服务攻击(DDoS)、基于僵尸网络(Botnet)的攻击、勒索病毒WannaCry、高级可持续威胁(APT)攻击、利用远程控制木马的信息窃取等。
[0003]近些年来,恶意代码数量依然呈上升的趋势,尤其是新型恶意代码,其数量始终呈逐年递增状态,这对网络空间安全造成了极大的威胁。在这些恶意代码攻击中,攻击者会向目标主机(受害主机),发送特定的攻击数据包或执行恶意行为。如果能追踪这些攻击数据包的来源,定位攻击者的真实位置,受害主机不但可以采用应对措施,如在合适位置过滤攻击数据包,而且可以对攻击者采取法律手段。因此在网络取证和安全防御领域,网络攻击溯源一直是一个热点问题。
[0004]但是目前社会上的产品以及提出的方法,均是针对安全事件后对某一个主机设备进行取证,然后人工对这些数据进行分析。而进行人工分析时,无法对黑客的攻击路径进行还原,并且人工分析过程效率低下,智能程度差。
技术实现思路
[0005]基于此,本申请实施例提供了一种基于时间线的网络攻击溯源分析方法及系统,通过将攻击事件中的线索基于时间线因素进行溯源分析,进行精准地溯源反制,收集攻击路径线索和攻击者身份信息,勾勒出完整的攻击者画像。
[0006]第一方面,提供了一种基于时间线的网络攻击溯源分析方法,该方法包括:
[0007]获取攻击用户的文件系统相关信息,其中,所述文件系统相关信息至少包括文件创建时间、文件名称、文件路径、文件大小以及文件属性;
[0008]读取主机设备的windows事件日志相关数据,得到网络攻击的可疑时段,并确定在所述可疑时段中文件系统相关信息作为可疑文件相关信息;
[0009]对所述可疑时段所关联的可疑文件相关信息进行分析,得出攻击者的攻击路径线索。
[0010]可选地,所述方法还包括:
[0011]当在预设时间内对第一可疑时段所关联的第一可疑文件相关信息进行分析,未得出攻击者的攻击路径线索,则对所述第一可疑时段进行调整为第二可疑时段;
[0012]确定所述第二可疑时段中文件系统相关信息作为第二可疑文件相关信息;并对所述第二可疑文件相关信息进行分析,得出攻击者的攻击路径线索。
[0013]可选地,所述获取攻击用于的文件系统的相关信息,包括:
[0014]获取攻击用于的文件系统相关信息生成取证报告。
[0015]可选地,所述确定在所述可疑时段中文件系统相关信息作为可疑文件相关信息,包括:
[0016]将在文件创建时间处于所述可疑时段的文件系统相关信息作为可疑文件相关信息。
[0017]可选地,对所述可疑时段所关联的可疑文件相关信息进行分析,包括:
[0018]通过可疑文件相关信息查询同一文件创建时间的文件或日志数据。
[0019]第二方面,提供了一种基于时间线的网络攻击溯源分析系统,该系统包括:
[0020]获取模块,用于获取攻击用户的文件系统相关信息,其中,所述文件系统相关信息至少包括文件创建时间、文件名称、文件路径、文件大小以及文件属性;
[0021]时间关联模块,用于读取主机设备的windows事件日志相关数据,得到网络攻击的可疑时段,并确定在所述可疑时段中文件系统相关信息作为可疑文件相关信息;
[0022]分析模块,用于对所述可疑时段所关联的可疑文件相关信息进行分析,得出攻击者的攻击路径线索。
[0023]可选地,所述系统还包括:
[0024]调整分析模块,用于当在预设时间内对第一可疑时段所关联的第一可疑文件相关信息进行分析,未得出攻击者的攻击路径线索,则对所述第一可疑时段进行调整为第二可疑时段;确定所述第二可疑时段中文件系统相关信息作为第二可疑文件相关信息;并对所述第二可疑文件相关信息进行分析,得出攻击者的攻击路径线索。
[0025]可选地,所述获取模块还包括:
[0026]获取攻击用于的文件系统相关信息生成取证报告。
[0027]本申请实施例提供的技术方案中首先获取攻击用户的文件系统相关信息;然后读取主机设备的windows事件日志相关数据,得到网络攻击的可疑时段,并确定在可疑时段中文件系统相关信息作为可疑文件相关信息;最后对可疑时段所关联的可疑文件相关信息进行分析,得出攻击者的攻击路径线索。可以看出,本专利技术基于时间线的这种优点的溯源技术能够将攻击者某个具体时间段之内的操作,通过时间的定位和回溯,将攻击者的攻击线索通过时间进行串联,对安全事件进行全面溯源,帮助安全团队掌握攻击者的意图,进而采取合适的对策。
附图说明
[0028]为了更清楚地说明本专利技术的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
[0029]图1为本申请实施例提供的一种基于时间线的网络攻击溯源分析方法步骤流程图;
[0030]图2为本申请可选的一种实施例提供的流程图;
[0031]图3为本申请实施例提供的一种基于时间线的网络攻击溯源分析系统框图。
具体实施方式
[0032]为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
[0033]在本专利技术的描述中,除非另有说明“多个”的含义是两个或两个以上。本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)旨在区别指代的对象。对于具有时序流程的方案,这种术语表述方式不必理解为描述特定的顺序或先后次序,对于装置结构的方案,这种术语表述方式也不存在对重要程度、位置关系的区分等。
[0034]此外,术语“包括”、“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包括了一系列步骤或单元的过程、方法、系统、产品或设备不必限于已明确列出的那些步骤或单元,而是还可包含虽然并未明确列出的但对于这些过程、方法、产品或设备固有的其它步骤或单元,或者基于本专利技术构思进一步的优化方案所增加的步骤或单元。
[0035]网络攻击追踪溯源旨在利用各种手段追踪网络攻击的发起者。相关技术提供了定位攻击源和攻击路径,针对性反制或抑制网络攻击,以及网络取证能力,其在网络安全领域具有非常重要的价值。当前,网络空间安全形势日益复杂,入侵者的攻击手段不断提升,其躲避追踪溯源的手段也日益先进,如匿名网络、网络跳板、暗网、网络隐蔽信道、隐写术等方法在网络攻击事件中大量使用,这些都给网络攻击行为的追踪溯源工作带来了本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于时间线的网络攻击溯源分析方法,其特征在于,所述方法包括:获取攻击用户的文件系统相关信息,其中,所述文件系统相关信息至少包括文件创建时间、文件名称、文件路径、文件大小以及文件属性;读取主机设备的windows事件日志相关数据,得到网络攻击的可疑时段,并确定在所述可疑时段中文件系统相关信息作为可疑文件相关信息;对所述可疑时段所关联的可疑文件相关信息进行分析,得出攻击者的攻击路径线索。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:当在预设时间内对第一可疑时段所关联的第一可疑文件相关信息进行分析,未得出攻击者的攻击路径线索,则对所述第一可疑时段进行调整为第二可疑时段;确定所述第二可疑时段中文件系统相关信息作为第二可疑文件相关信息;并对所述第二可疑文件相关信息进行分析,得出攻击者的攻击路径线索。3.根据权利要求1所述的方法,其特征在于,所述获取攻击用于的文件系统的相关信息,包括:获取攻击用于的文件系统相关信息生成取证报告。4.根据权利要求1所述的方法,其特征在于,所述确定在所述可疑时段中文件系统相关信息作为可疑文件相关信息,包括:将在文件创建时间处于所述可疑时段的文件系统相关信息作为可疑文件相关信息。5.根据权利...
【专利技术属性】
技术研发人员:刘庆林,张超,刘正伟,魏海宇,谢辉,安恩庆,刘刚,李小琼,康柏荣,王鲲,
申请(专利权)人:北京中睿天下信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。