一种威胁自动溯源方法、系统、设备及介质技术方案

本发明专利技术涉及一种威胁自动溯源方法、系统、设备及介质。本申请公开的方法通过收集网络中的流量镜像和蜜罐数据并进行解析，得到告警信息；提取所述告警信息中的关键数据获得IP对应的攻击档案，攻击档案显示了攻击者的攻击路径、攻击方法等；根据与IP对应的所述攻击档案，在社交平台收集相关攻击者信息，对其真实身份开展溯源分析得到攻击者全面的真实身份信息。多维度的进行情报分析，溯源结果精确，解决了复杂网络环境中无法自动对威胁进行溯源的问题。本申请公开实现所述威胁自动溯源方法的系统、设备及介质，同样能够实现方法对应的效果。同样能够实现方法对应的效果。同样能够实现方法对应的效果。

【技术实现步骤摘要】
一种威胁自动溯源方法、系统、设备及介质


[0001]本专利技术涉及网络威胁溯源领域，尤其涉及一种威胁自动溯源方法、系统、设备及介质。

技术介绍

[0002]随着互联网和5G技术的快速发展，网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性，导致网络安全问题日益严重，特别是在复杂网络环境中，网络威胁经过层层网络环境的转换，因此难以追溯其真正的攻击者。
[0003]现有技术中通常是靠人工的方式通过多种安全设备追溯网络威胁的攻击路径，实现对威胁的溯源。目前这种方法收集到的溯源数据比较单一，例如只收集并统计了攻击者的地区信息，无法收集到多维度的溯源数据，难以为后续的溯源分析提供详细数据。并且这种方式耗时耗力，在出现威胁时不能做到及时响应，无法解决在复杂网络环境中自动对威胁进行溯源的问题。

技术实现思路

[0004]为了解决上述技术问题或者至少部分地解决上述技术问题，本专利技术提供一种威胁自动溯源方法、系统、设备及介质。
[0005]第一方面，本专利技术提供一种威胁自动溯源方法，包括：
[0006]收集攻击威胁的告警信息；
[0007]提取所述告警信息中攻击威胁的关键数据；
[0008]根据所述攻击威胁的关键数据，通过爬虫框架维护设定的各类信息收集网站，进行自动分析，建立与IP对应的攻击档案；
[0009]根据与IP对应的所述攻击档案，在社交平台收集相关攻击者信息，对其真实身份开展溯源分析。
[0010]更进一步地，所述收集攻击威胁的告警信息包括：通过在网络环境中部署流量检测设备和蜜罐，采集流量镜像和蜜罐数据；
[0011]在所述流量检测设备和蜜罐中对所述流量镜像和蜜罐数据进行解析，得到解析信息，并将所述解析信息发送到溯源分析平台；
[0012]在所述溯源分析平台中，根据所述解析信息得到攻击威胁的所述告警信息。
[0013]更进一步地，所述提取所述告警信息中攻击威胁的关键数据，包括：
[0014]在溯源分析平台中，利用预设关键词匹配所述告警信息中的内容，从所述告警信息中提取提取攻击威胁的所述关键数据，预设的所述关键词包括：攻击IP、攻击时间、受攻击的IP、攻击类型、恶意文件。
[0015]更进一步地，所述根据所述攻击威胁的关键数据，通过爬虫框架维护设定的各类信息收集网站，进行自动分析，建立与IP对应的攻击档案，包括以下步骤：
[0016]通过攻击类型分析攻击详情的请求包，验证是否可以获取到攻击者相关特征；
[0017]通过相关特征利用爬虫框架维护各类信息收集网站，判断所用IP具体是代理还是真实IP地址；
[0018]以IP为主节点，提取IP对应的攻击数据得到所述的攻击档案。
[0019]更进一步地，所述根据与IP对应的所述攻击档案，在社交平台收集相关攻击者信息，对其真实身份开展溯源分析包括：
[0020]根据与IP对应的所述攻击档案在搜索引擎、社交平台、技术论坛、指纹库、社工库进行ID追踪，获取攻击者的社交账号；利用所述社交账号追溯邮箱、手机号信息，继续通过邮箱、手机号搜索相关注册信息，来反追踪攻击者真实姓名，通过姓名找到相关简历信息；
[0021]通过攻击IP历史解析记录/域名，对域名注册信息进行溯源分析。
[0022]更进一步地，根据所述的溯源分析形成完整的溯源数据并统一存储；所述溯源数据采用设定数据格式存储，所述溯源数据的详细描述采用文件形式存储。
[0023]第二方面，本专利技术提供对应所述威胁自动溯源方法的一种威胁自动溯源系统，包括：数据收集模块、数据提取模块以及溯源分析模块；
[0024]所述数据收集模块用于收集网络中的流量镜像和蜜罐数据并进行分析，得到告警信息；
[0025]所述数据提取模块用于提取所述告警信息中攻击威胁的关键数据，根据所述的关键数据建立与IP对应的攻击档案；
[0026]所述溯源分析模块用于根据与IP对应的所述攻击档案，在社交平台收集相关攻击者信息，对其真实身份开展溯源分析。
[0027]第三方面，本专利技术提供一种威胁自动溯源设备，包括至少一处理单元、存储单元和总线单元，所述总线单元连接所述存储单元和所述处理单元，所述存储单元中存储有计算机程序和告警信息，所述处理单元执行所述计算机程序调用所述告警信息以实现所述的威胁自动溯源方法。
[0028]第四方面，本专利技术提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述的威胁自动溯源方法。
[0029]本专利技术实施例提供的上述技术方案与现有技术相比具有如下优点：
[0030]本专利技术通过收集网络中的流量镜像和蜜罐数据并进行解析，得到告警信息；提取所述告警信息中的关键数据获得IP对应的攻击档案，攻击档案显示了攻击者的攻击路径、攻击方法等；根据与IP对应的所述攻击档案，在社交平台收集相关攻击者信息，对其真实身份开展溯源分析得到攻击者全面的真实身份信息。多维度的情报分析，溯源结果精确，解决了复杂网络环境中无法自动对威胁进行溯源的问题。
附图说明
[0031]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本专利技术的实施例，并与说明书一起用于解释本专利技术的原理。
[0032]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0033]图1为本专利技术实施例提供的一种威胁自动溯源方法的流程图；
[0034]图2为本专利技术实施例提供的收集攻击威胁的告警信息的流程图；
[0035]图3为本专利技术实施例提供的根据所述攻击威胁的关键数据，通过爬虫框架维护设定的各类信息收集网站，进行自动分析，建立与IP对应的攻击档案的流程图；
[0036]图4为本专利技术实施例提供的根据与IP对应的所述攻击档案，在社交平台收集相关攻击者信息，对其真实身份开展溯源分析的流程图；
[0037]图5为本专利技术实施例提供的一种威胁自动溯源系统的示意图；
[0038]图6为本专利技术实施例提供的一种威胁自动溯源设备的示意图。
具体实施方式
[0039]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术的一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0040]需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种威胁自动溯源方法，其特征在于，包括：收集攻击威胁的告警信息；提取所述告警信息中攻击威胁的关键数据；根据所述攻击威胁的关键数据，通过爬虫框架维护设定的各类信息收集网站，进行自动分析，建立与IP对应的攻击档案；根据与IP对应的所述攻击档案，在社交平台收集相关攻击者信息，对其真实身份开展溯源分析。2.根据权利要求1所述的威胁自动溯源方法，其特征在于，所述收集攻击威胁的告警信息包括：通过在网络环境中部署流量检测设备和蜜罐，采集流量镜像和蜜罐数据；在所述流量检测设备和蜜罐中对所述流量镜像和蜜罐数据进行解析，得到解析信息，并将所述解析信息发送到溯源分析平台；在所述溯源分析平台中，根据所述解析信息得到攻击威胁的所述告警信息。3.根据权利要求1所述的威胁自动溯源方法，其特征在于，所述提取所述告警信息中攻击威胁的关键数据，包括：在溯源分析平台中，利用预设关键词匹配所述告警信息中的内容，从所述告警信息中提取提取攻击威胁的所述关键数据，预设的所述关键词包括：攻击IP、攻击时间、受攻击的IP、攻击类型、恶意文件。4.根据权利要求1所述的威胁自动溯源方法，其特征在于，所述根据所述攻击威胁的关键数据，通过爬虫框架维护设定的各类信息收集网站，进行自动分析，建立与IP对应的攻击档案，包括以下步骤：通过攻击类型分析攻击详情的请求包，验证是否可以获取到攻击者相关特征；通过所述相关特征利用爬虫框架维护各类信息收集网站，判断所用IP具体是代理还是真实IP地址；以IP为主节点，提取IP对应的攻击数据得到所述的攻击档案。5.根据权利要求1所述的威胁自动溯源方法，其特征在于，所述根...

【专利技术属性】
技术研发人员：赵丽娜，张腾，张婕，胡乾昊，袁传新，刘超，黄华，盛华，王云霄，
申请(专利权)人：国家电网有限公司国网山东省电力公司东阿县供电公司，
类型：发明
国别省市：