【技术实现步骤摘要】
本专利技术涉及网络安全领域,特别是涉及基于平台、引擎联动的网络恶意流量样本留存方法及装置。
技术介绍
1、随着网络的发展,网络安全的重要性在现代社会中变得越来越突出。恶意流量可能由恶意软件、网络攻击者或其他恶意行为产生。这些恶意流量的目的通常是入侵、破坏、窃取信息或干扰网络正常运作。为了进行安全分析、威胁情报和漏洞研究和漏洞修复需要将网络中恶意流量的样以pcap文件的形式进行留存,最终最为恶意攻击的证据和后续提炼和分析的样本。
2、对于恶意流量样本进行留存,目前的方案有:方案1:全流量存储,将通过网卡的所有流量保存到磁盘。方案2:恶意流量关键信息存储,不包含三次握手四次挥手和中间通信的信息,只保存恶意流量的关键信息。
3、其中,方案1存在如下缺点:1.网络流量中绝大量的数据为正常数据不包含恶意攻击,全部保存极大的浪费了系统资源。2.成本高,需要很大的磁盘来存储流量。方案2存在如下缺点:1.信息量不足,对于特征的加固和漏洞研究无法提供无法起到很好的分析作用。2.不包含三次握手和挥手,重新回放数据包不会产生告警。
技术实现思路
1、有鉴于此,本专利技术实施例提供一种基于平台、引擎联动的网络恶意流量样本留存方法及装置,使其可以有效地减少系统资源的浪费,并能保证样本保存的完整性,以解决现有技术中存在的问题。
2、第一方面,本专利技术实施例提供了一种基于平台、引擎联动的网络恶意流量样本留存方法,包括:
3、平台通过五元组和流量攻击特征确定捕获范
4、取证管理模块保存任务至缓存模块,并下发任务到流量引擎;
5、流量引擎推送对应的五元组ip对的流量到取证管理模块;
6、取证管理模块将对应的流量缓存至缓存模块;
7、流量引擎发现任务中的恶意流量通知取证管理模块;
8、取证管理模块进行恶意流量的还原,生成最终的pcap文件;
9、取证管理模块将完成的任务删除。
10、根据本专利技术实施例的一种具体实现方式,所述流量引擎推送对应的五元组ip对的流量到取证管理模块包括:流量引擎通过流量采集及分发模块将对应的五元组ip对的流量分发推送到取证管理模块。
11、根据本专利技术实施例的一种具体实现方式,还包括实时动态调整取证优先级的步骤,包括:
12、流量引擎采集网络流量,进行恶意行为检测;
13、流量引擎检测到恶意行为,将恶意行为上报平台;
14、平台对恶意行为进行等级分析来实时动态调整取证任务的优先级。
15、根据本专利技术实施例的一种具体实现方式,所述平台对恶意行为进行等级分析来实时动态调整取证任务的优先级包括:平台基于已经发生的告警次数、告警等级、资产等级、取证任务运行时间、取证任务已经抓到的告警次数实时动态调整取证任务的优先级;
16、优先级公式为:
17、
18、式中,ag为资产等级:高、中、低等级的权重分别为7、2、1;ag0为源i p资产,ag1为目的i p资产;
19、ao为已经发生的告警次数;
20、t为取证任务运行时间,单位为分钟;
21、mt为恶意流量告警等级:高、中、低等级的权重分别为3、2、1;
22、ac为取证任务已经抓到的告警次数。
23、根据本专利技术实施例的一种具体实现方式,所述流量缓存至缓存模块时,当达到缓存阈值时,循环覆盖之前的数据;所述生成最终的pcap文件后,不再缓存;
24、所述取证管理模块将完成的任务删除后,还包括:通知平台,平台展示捕获到的恶意流量。
25、第二方面,本专利技术还提供了一种基于平台、引擎联动的网络恶意流量样本留存装置,包括平台、取证管理模块、流量引擎及缓存模块;
26、所述平台,被配置用于通过五元组和流量攻击特征确定捕获范围,并下发取证任务给取证管理模块;
27、所述取证管理模块,被配置用于保存任务至缓存模块,并下发任务到流量引擎;
28、所述流量引擎,被配置用于推送对应的五元组ip对的流量到取证管理模块;
29、所述取证管理模块,还被配置用于将对应的流量缓存至缓存模块;
30、所述流量引擎,还被配置用于发现任务中的恶意流量通知取证管理模块;
31、所述取证管理模块,还被配置用于进行恶意流量的还原,生成最终的pcap文件;以及,将完成的任务删除。
32、根据本专利技术实施例的一种具体实现方式,还包括流量采集及分发模块,被配置用于采集流量,并根据流量引擎请求将对应的五元组ip对的流量分发推送到取证管理模块。
33、根据本专利技术实施例的一种具体实现方式,所述平台中,还包括恶意等级分析模块,被配置用于对恶意行为进行等级分析来实时动态调整取证任务的优先级,包括:
34、平台基于已经发生的告警次数、告警等级、资产等级、取证任务运行时间、取证任务已经抓到的告警次数实时动态调整取证任务的优先级;
35、优先级公式为:
36、
37、式中,ag为资产等级:高、中、低等级的权重分别为7、2、1;ag0为源i p资产,ag1为目的i p资产;
38、ao为已经发生的告警次数;
39、t为取证任务运行时间,单位为分钟;
40、mt为恶意流量告警等级:高、中、低等级的权重分别为3、2、1;
41、ac为取证任务已经抓到的告警次数。
42、第三方面,本专利技术实施例还提供了一种电子设备,该电子设备包括:
43、至少一个处理器;以及,
44、与所述至少一个处理器通信连接的存储器;其中,
45、所述存储器存储有能够被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行时,使所述至少一个处理器执行前述第一方面或第一方面的任一实现方式中的任一项所述的基于平台、引擎联动的网络恶意流量样本留存方法。
46、第四方面,本专利技术实施例还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令当由至少一个处理器执行时使所述至少一个处理器执行前述第一方面或第一方面的任一实现方式中的基于平台、引擎联动的网络恶意流量样本留存方法。
47、第五方面,本专利技术实施例还提供了一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使该计算机执行前述第一方面或第一方面的任一实现方式中的基于平台、引擎联动的网络恶意流量样本留存方法。
48、本专利技术通过平台和流量引擎联动,平台通过五元组和流量攻击特征确定捕获范围,下发取证任务至流量引擎,捕获下一次的恶意流量信息,得到恶意流量的完整pcap文件;本专利技术只获取用户关心的恶意流量和关心的ip对本文档来自技高网...
【技术保护点】
1.一种基于平台、引擎联动的网络恶意流量样本留存方法,其特征在于,包括:
2.根据权利要求1所述的基于平台、引擎联动的网络恶意流量样本留存方法,其特征在于,所述流量引擎推送对应的五元组IP对的流量到取证管理模块包括:
3.根据权利要求1所述的基于平台、引擎联动的网络恶意流量样本留存方法,其特征在于,还包括实时动态调整取证优先级的步骤,包括:
4.根据权利要求3述的基于平台、引擎联动的网络恶意流量样本留存方法,其特征在于,所述平台对恶意行为进行等级分析来实时动态调整取证任务的优先级包括:平台基于已经发生的告警次数、告警等级、资产等级、取证任务运行时间、取证任务已经抓到的告警次数实时动态调整取证任务的优先级;
5.根据权利要求1所述的基于平台、引擎联动的网络恶意流量样本留存方法,其特征在于,所述流量缓存至缓存模块时,当达到缓存阈值时,循环覆盖之前的数据;所述生成最终的pcap文件后,不再缓存;
6.一种基于平台、引擎联动的网络恶意流量样本留存装置,其特征在于,包括平台、取证管理模块、流量引擎及缓存模块;
7.根据
8.根据权利要求6所述的基于平台、引擎联动的网络恶意流量样本留存装置,其特征在于,所述平台中,还包括恶意等级分析模块,被配置用于对恶意行为进行等级分析来实时动态调整取证任务的优先级,包括:
9.一种电子设备,其特征在于,该电子设备包括:
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令当由至少一个处理器执行时使所述至少一个处理器执行如权利要求1至5中的任一项所述的基于平台、引擎联动的网络恶意流量样本留存方法。
...【技术特征摘要】
1.一种基于平台、引擎联动的网络恶意流量样本留存方法,其特征在于,包括:
2.根据权利要求1所述的基于平台、引擎联动的网络恶意流量样本留存方法,其特征在于,所述流量引擎推送对应的五元组ip对的流量到取证管理模块包括:
3.根据权利要求1所述的基于平台、引擎联动的网络恶意流量样本留存方法,其特征在于,还包括实时动态调整取证优先级的步骤,包括:
4.根据权利要求3述的基于平台、引擎联动的网络恶意流量样本留存方法,其特征在于,所述平台对恶意行为进行等级分析来实时动态调整取证任务的优先级包括:平台基于已经发生的告警次数、告警等级、资产等级、取证任务运行时间、取证任务已经抓到的告警次数实时动态调整取证任务的优先级;
5.根据权利要求1所述的基于平台、引擎联动的网络恶意流量样本留存方法,其特征在于,所述流量缓存至缓存模块时,当达到缓存阈值时,循环覆盖之前的数据;所述生成最终的pcap文件后,不再缓存...
【专利技术属性】
技术研发人员:郭昌盛,杨鹏,李华生,王磊,姜昱西,
申请(专利权)人:杭州赤豹科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。