本发明专利技术涉及网络安全技术领域,公开了一种溯源分析方法、装置、设备及存储介质,所述方法包括:对流量日志进行流量还原处理,得到原始文件;在所述原始文件为恶意文件时,根据所述原始文件确定攻击技术和属性信息;根据所述流量日志确定被攻击者信息和攻击发起者信息;根据所述攻击技术、所述属性信息、所述被攻击者信息以及所述攻击发起者信息通过预设溯源模型进行溯源分析,从而对流量日志进行处理得到原始文件,根据原始文件和流量日志进行自动化数据处理,可以准确、快速、详细的列出溯源分析需求的相关数据,然后根据这些数据进行溯源分析,降低了溯源分析的难度。降低了溯源分析的难度。降低了溯源分析的难度。
【技术实现步骤摘要】
溯源分析方法、装置、设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种溯源分析方法、装置、设备及存储介质。
技术介绍
[0002]网络安全中,对于高级威胁情报的重视越来越大,其中预防攻击、发现攻击和攻击溯源是三大热门课题,但是目前存在着解决攻击溯源难,且难以自动化处理的问题。
[0003]上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
[0004]本专利技术的主要目的在于提出一种溯源分析方法、装置、设备及存储介质,旨在解决现有技术中攻击溯源难,且难以自动化处理的技术问题。
[0005]为实现上述目的,本专利技术提供一种溯源分析方法,所述溯源分析方法包括以下步骤:
[0006]对流量日志进行流量还原处理,得到原始文件;
[0007]在所述原始文件为恶意文件时,根据所述原始文件确定攻击技术和属性信息;
[0008]根据所述流量日志确定被攻击者信息和攻击发起者信息;
[0009]根据所述攻击技术、所述属性信息、所述被攻击者信息以及所述攻击发起者信息通过预设溯源模型进行溯源分析。
[0010]可选地,所述在所述原始文件为恶意文件时,根据所述原始文件确定攻击技术和属性信息之前,还包括:
[0011]对所述原始文件进行文件解析,得到文件解析结果;
[0012]对所述原始文件进行静态分析,得到静态分析结果;
[0013]对所述原始文件进行动态分析,得到动态分析结果;/>[0014]对所述原始文件进行控制反转分析,得到控制反转分析结果;
[0015]根据所述文件解析结果、所述静态分析结果、所述动态分析结果以及所述控制反转分析结果判断所述原始文件是否为恶意文件。
[0016]可选地,所述在所述原始文件为恶意文件时,根据所述原始文件确定攻击技术和属性信息,包括:
[0017]在所述原始文件为恶意文件时,获取所述原始文件对应的第一文件信息;
[0018]根据所述第一文件信息确定攻击技术;
[0019]根据所述原始文件进行属性信息溯源分析,确定属性信息。
[0020]可选地,所述根据所述第一文件信息确定攻击技术,包括:
[0021]查找所述原始文件对应的同源文件和衍生文件;
[0022]获取所述同源文件和所述衍生文件对应的第二文件信息;
[0023]根据所述第一文件信息和所述第二文件信息确定攻击技术。
[0024]可选地,所述根据所述原始文件进行属性信息溯源分析,确定属性信息,包括:
[0025]根据所述原始文件确定关联的域名和IP地址;
[0026]根据所述域名和所述IP地址确定属性信息。
[0027]可选地,所述根据所述域名和所述IP地址确定属性信息,包括:
[0028]根据所述域名获取对应的域名属性信息,并查找所述域名解析到的候选IP地址以及对应的第一解析时间;
[0029]根据所述IP地址获取对应的IP属性信息,并查找所述IP地址解析得到的候选域名以及对应的第二解析时间;
[0030]根据所述域名属性信息、所述候选IP地址、所述第一解析时间、所述IP属性信息、所述候选域名以及所述第二解析时间确定属性信息。
[0031]可选地,所述根据所述流量日志确定被攻击者信息和攻击发起者信息,包括:
[0032]根据所述流量日志进行被攻击者溯源分析,确定被攻击者信息;
[0033]根据所述流量日志进行攻击发起者溯源分析,确定攻击发起者信息。
[0034]可选地,所述根据所述流量日志进行被攻击者溯源分析,确定被攻击者信息,包括:
[0035]根据所述流量日志确定被攻击的目标IP地址以及第一攻击方式;
[0036]根据所述目标IP地址确定被攻击者;
[0037]在所述第一攻击方式为邮件攻击方式时,获取所述被攻击者的第一邮箱信息和个人信息;
[0038]根据所述第一邮箱信息和所述个人信息确定被攻击者信息。
[0039]可选地,所述根据所述流量日志进行攻击发起者溯源分析,确定攻击发起者信息,包括:
[0040]根据所述流量日志确定来源IP地址以及第二攻击方式;
[0041]查找所述来源IP地址对应的归属信息,并根据所述归属信息确定攻击发起者;
[0042]在所述第二攻击方式为邮件攻击方式时,获取所述攻击发起者的第二邮箱信息;
[0043]根据所述第二邮箱信息确定攻击发起者信息。
[0044]可选地,所述根据所述第二邮箱信息确定攻击发起者信息,包括:
[0045]根据所述第二邮箱信息确定所述攻击发起者对应的候选攻击信息;
[0046]对所述候选攻击信息进行遍历,并将遍历到的候选攻击信息作为目标攻击信息;
[0047]根据所述目标攻击信息生成攻击发起者画像;
[0048]根据所述攻击发起者画像确定攻击发起者信息。
[0049]可选地,所述预设溯源模型为用于溯源分析的溯源钻石模式;
[0050]所述根据所述攻击技术、所述属性信息、所述被攻击者信息以及所述攻击发起者信息通过预设溯源模型进行溯源分析,包括:
[0051]根据所述攻击技术、所述属性信息、所述被攻击者信息以及所述攻击发起者信息通过所述溯源钻石模型进行溯源分析。
[0052]可选地,所述根据所述攻击技术、所述属性信息、所述被攻击者信息以及所述攻击发起者信息通过所述溯源钻石模型进行溯源分析,包括:
[0053]将所述攻击技术输入所述溯源钻石模型中的攻击技术节点;
[0054]将所述属性信息输入所述溯源钻石模型中的属性信息节点;
[0055]将所述被攻击者信息输入所述溯源钻石模型中的被攻击者节点;
[0056]将所述攻击发起者信息输入所述溯源钻石模型中的攻击发起者节点;
[0057]根据所述攻击技术节点、所述属性信息节点、所述被攻击者节点以及所述攻击发起者节点进行溯源分析。
[0058]此外,为实现上述目的,本专利技术还提出一种溯源分析装置,所述溯源分析装置包括:
[0059]流量还原模块,用于对流量日志进行流量还原处理,得到原始文件;
[0060]信息确定模块,用于在所述原始文件为恶意文件时,根据所述原始文件确定攻击技术和属性信息;
[0061]所述信息确定模块,还用于根据所述流量日志确定被攻击者信息和攻击发起者信息;
[0062]溯源分析模块,用于根据所述攻击技术、所述属性信息、所述被攻击者信息以及所述攻击发起者信息通过预设溯源模型进行溯源分析。
[0063]可选地,所述溯源分析装置还包括:
[0064]文件检测模块,用于对所述原始文件进行文件解析,得到文件解析结果;对所述原始文件进行静态分析,得到静态分析结果;对所述原始文件进行动态分析,得到动态分析结果;对所述原始文件进行控制反转分析,得到控制本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种溯源分析方法,其特征在于,所述溯源分析方法包括以下步骤:对流量日志进行流量还原处理,得到原始文件;在所述原始文件为恶意文件时,根据所述原始文件确定攻击技术和属性信息;根据所述流量日志确定被攻击者信息和攻击发起者信息;根据所述攻击技术、所述属性信息、所述被攻击者信息以及所述攻击发起者信息通过预设溯源模型进行溯源分析。2.如权利要求1所述的溯源分析方法,其特征在于,所述在所述原始文件为恶意文件时,根据所述原始文件确定攻击技术和属性信息之前,还包括:对所述原始文件进行文件解析,得到文件解析结果;对所述原始文件进行静态分析,得到静态分析结果;对所述原始文件进行动态分析,得到动态分析结果;对所述原始文件进行控制反转分析,得到控制反转分析结果;根据所述文件解析结果、所述静态分析结果、所述动态分析结果以及所述控制反转分析结果判断所述原始文件是否为恶意文件。3.如权利要求1所述的溯源分析方法,其特征在于,所述在所述原始文件为恶意文件时,根据所述原始文件确定攻击技术和属性信息,包括:在所述原始文件为恶意文件时,获取所述原始文件对应的第一文件信息;根据所述第一文件信息确定攻击技术;根据所述原始文件进行属性信息溯源分析,确定属性信息。4.如权利要求3所述的溯源分析方法,其特征在于,所述根据所述第一文件信息确定攻击技术,包括:查找所述原始文件对应的同源文件和衍生文件;获取所述同源文件和所述衍生文件对应的第二文件信息;根据所述第一文件信息和所述第二文件信息确定攻击技术。5.如权利要求3所述的溯源分析方法,其特征在于,所述根据所述原始文件进行属性信息溯源分析,确定属性信息,包括:根据所述原始文件确定关联的域名和IP地址;根据所述域名和...
【专利技术属性】
技术研发人员:韩志立,苏蒙,
申请(专利权)人:三六零数字安全科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。