【技术实现步骤摘要】
本专利技术涉及一种网络安全的还原恶意代码攻击场景方法,特别是涉及一种关联分析多源数据还原恶意代码攻击场景的方法。
技术介绍
1、发现恶意代码传播行为后,还原恶意代码攻击场景,分析其攻击路径和攻击过程,发现其传播利用的漏洞,发布风险预警,对维护基础网络和重要信息系统网络安全非常有必要。
2、在恶意代码传播扩散过程中,攻击者会利用各类漏洞在互联网上扫描攻击以传播恶意代码,如攻击者会利用远程命令执行漏洞攻击相关主机,使被攻陷主机下载恶意代码。当前业内还原恶意代码攻击场景的方法主要有两种,其中,方法一是逆向分析恶意代码分析发现其传播利用的漏洞,但是由于现在恶意代码模块化变化,捕获到的恶意代码可能并不集成漏洞利用模块,这种方法不一定能还原其攻击路径和攻击过程;方法二是对捕获到恶意代码的蜜罐系统日志和网络日志进行分析发现其传播利用的漏洞,但是受限于蜜罐部署位置和数量,关注的恶意代码不一定会被蜜罐捕获,而且仅依靠蜜罐不一定能完全捕获所有攻击过程,这种方法也不一定能全部还原其攻击路径和攻击过程。
3、有鉴于上述现有的技术存在的缺...
【技术保护点】
1.一种关联分析多源数据还原恶意代码攻击场景的方法,其特征在于:其包括以下步骤:
2.根据权利要求1所述的一种关联分析多源数据还原恶意代码攻击场景的方法,其特征在于:所述的步骤5对于涉及文件上传的会话信息生成蜜罐漏洞利用日志时,其恶意代码下载地址为本地文件地址。
3.根据权利要求1所述的一种关联分析多源数据还原恶意代码攻击场景的方法,其特征在于:所述的检测覆盖范围内部署蜜罐数量和位置不做限制。
4.根据权利要求1所述的一种关联分析多源数据还原恶意代码攻击场景的方法,其特征在于:所述网络为各运营商网络、各下级运营商网络和各大型企业内部网络。
【技术特征摘要】
1.一种关联分析多源数据还原恶意代码攻击场景的方法,其特征在于:其包括以下步骤:
2.根据权利要求1所述的一种关联分析多源数据还原恶意代码攻击场景的方法,其特征在于:所述的步骤5对于涉及文件上传的会话信息生成蜜罐漏洞利用日志时,其恶意代码下载地址为本地文件地址。
3...
【专利技术属性】
技术研发人员:徐剑,严寒冰,贾世琳,张榜,严定宇,秦佳伟,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。