【CN109495520A】一体化网络攻击取证溯源方法系统设备及存储介质【专利】
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
及存储介质 ( 57 )摘要
本发明实施例公开了一体化网络攻击取证 溯源方法、系统、设备及存储介质,涉及网络安全 技术领域 ,本发明实施 例通过软 、硬件两方面技 术改进 ,创新性地实现了取证溯源的一体化操 作 。使 用本 发 明 实 施 例进 行 网 络 攻 击 取 证 溯 源 时 ,取证、分析、溯源、存档全部在一个设备上完 成,无须外部装置辅助进行数据转移和导入导出 操作,解决现有设备设计繁琐和存在安全隐患问 题。
2
C百度文库 109495520 A
权 利 要 求 书
2/2 页
一个或多个处理器; 存储器,用于存储一个或多个程序; 当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实 现如权利要求1至7中任一所述的方法。 10 .一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序指令, 所述计算机程序指令用于执行如权利要求1至7中任一项所述的方法。
(74)专利代理机构 北京知呱呱知识产权代理有 限公司 11577
代理人 吕学文 朱红涛
(51)Int .Cl . H04L 29/06(2006 .01)
(10)申请公布号 CN 109495520 A (43)申请公布日 2019.03.19
( 54 )发明 名称 一体化网络攻击取证溯源方法、系统、设备
3
CN 109495520 A
说 明 书
1/6 页
一体化网络攻击取证溯源方法、系统、设备及存储介质
技术领域 [0001] 本发明涉及网络安全技术领域,具体涉及一体化网络攻击取证溯源方法、系统、设 备及存储介质。
背景技术 [0002] 网络攻击取证溯源涉及两个操作,一是取证,二是溯源。取证需要在目标主机进 行,目的是获取主机信息和完整证据链;溯源一般在溯源系统完成,需要分析软件和溯源数 据库。 [0003] 当前取证环节一般会使用移动存储设备进行数据交换。过程为:首先使用移动存 储设备存储软件,插入用户主机安装,安装完毕进行取证操作;然后取证完毕再通过移动存 储设备将数据导入溯源系统,这样在操作层面存在二个问题:1、便携性不高,进行取证溯源 时 ,要携带多个设备。2、操作性不强 ,用户需要在移动存储设备上进行繁琐复 制、移动、删除 操作。 [0004] 从安全层面上看,上述取证过程除操作复杂外还存在两个不容忽视的安全问题。 1 、安全性不够 ,移动存储设备可能 被污染 ,导致黑客 利 用摆渡攻击方法突破主机 、攻入网 络。尤其在高等级安全防护网络或隔离网络中,外部移动存储设备在多个网络间乱用,是极 大安全隐患。2、被测主机进行软件安装操作后,可能在被测主机中留下安全隐患,如:在软 件安装中获取的权限被利用、软件取证后在主机进行不当操作残留文件等。 [0005] 另外,APT攻击是近年来出现的高级持续性威胁,因其攻击具有高级、长期、威胁三 要素 ,具有极强的隐 蔽性 和破坏性 ,现有系统由 于知识库不够全面 、溯源技术不够先进 ,在 APT攻击的取证溯源上尚有很多不足,不能有效识别攻击。
权利要求书2页 说明书6页 附图2页
CN 109495520 A
CN 109495520 A
权 利 要 求 书
1/2 页
1 .一体化网络攻击取证溯源方法,其特征在于,所述方法包括: 向运行在目标主机的取证平台模块下发取证命令对目标主机进行网络攻击取证; 从取证平台模块采集溯源数据; 进行溯源数据分析获取预定格式的溯源数据; 基于预定格式的溯源数据进行融合; 基于融合后的溯源数据进行取证溯源综合分析;及 输出网络攻击和取证溯源分析报告。 2 .如权利要求1所述的方法,其特征在于,所述对目标主机进行网络攻击取证包括: 从目标主机获取网络攻击取证数据; 对取证数据进行取证处理;及 对取证处理后的取证数据进行取证归类分析。 3 .如权利要求1所述的方法,其特征在于,所述取证溯源综合分析包括: 从黑客指纹档案库调取黑客指纹数据; 将融合后的溯源数据与黑客指纹数据进行比对;及 基于比对结果对目标主机的网络攻击行为进行溯源。 4 .如权利要求3所述的方法,其特征在于,所述取证溯源综合分析是基于双重检测规则 进行的 ,所述双重检测规则包括 :基于目标主机操作系统检测的大项构建的 第一类检测体 系和基于多渠道获取的恶意软件和恶意行为的特征构建的第二类检测体系。 5 .如权利要求4所述的方法,其特征在于,所述操作系统检测的大项覆盖文件、注册表、 启动方式、固件、内存、认证、连接和痕迹。 6 .如权利要求4所述的方法,其特征在于,所述恶意软件和恶意行为的特征的来源包括 以下一项或多项:对APT攻击中客户失陷主机的取证分析、公开的互联网黑客报告、公开获 取到的大量黑客工具和地下工具集。 7 .如权利要求1所述的方法,其特征在于,所述方法还包括:基于融合后的溯源数据进 行取证溯源综合分析之后,将取证溯源综合分析结果存储于取证溯源数据库。 8 .一体化网络攻击取证溯源系统,其特征在于,所述系统包括: 运行在目 标主机的 取证平台 模块 ,所述取证平台 模块包括 :用于从目 标主机获取网 络 攻击取证数据的取证获取单元、用于对取证数据进行取证处理的取证处理单元及用于对取 证处理后的取证数据进行取证归类分析的取证分析单元; 运行在终端设备的 溯源平台 模块 和取证溯源综合分析模块 ;所述 溯源平台 模块包括 : 用于采集溯源数据的溯源数据采集单元、用于进行溯源数据分析获取预定格式的溯源数据 的溯源数据分析单元及用于基于预定格式的溯源数据进行融合的溯源数据融合单元;所述 取证溯源综合分析模块用于基于融合后的溯源数据进行取证溯源综合分析;及 运行于终端设备或云端的数据库平台模块,所述数据库平台模块包括存储有黑客指纹 数据的黑客指纹档案库和用于存储取证溯源综合分析结果的取证溯源数据库; 其中 ,所述溯源平台模块通过外延数据线与所述取证平台模块通信交互连接 ;所述取 证溯源综合分析模块与所述溯源平台模块通信交互获取融合后的溯源数据,所述取证溯源 综合分析模块与所述黑客指纹档案库交互连接获取黑客指纹数据。 9 .一种计算机设备,其特征在于,所述设备包括:
( 19 )中华人民 共和国国家知识产权局
( 12 )发明专利申请
(21)申请号 201910028806 .4
(22)申请日 2019 .01 .11
(71)申请人 北京中睿天下信息技术有限公司 地址 100085 北京市海淀区农大南路1号院 8号楼2层201号101
(72)发明人 刘庆林 魏海宇 刘海洋 吴小勇 白应东 熊文砚 谢辉
本发明实施例公开了一体化网络攻击取证 溯源方法、系统、设备及存储介质,涉及网络安全 技术领域 ,本发明实施 例通过软 、硬件两方面技 术改进 ,创新性地实现了取证溯源的一体化操 作 。使 用本 发 明 实 施 例进 行 网 络 攻 击 取 证 溯 源 时 ,取证、分析、溯源、存档全部在一个设备上完 成,无须外部装置辅助进行数据转移和导入导出 操作,解决现有设备设计繁琐和存在安全隐患问 题。
2
C百度文库 109495520 A
权 利 要 求 书
2/2 页
一个或多个处理器; 存储器,用于存储一个或多个程序; 当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实 现如权利要求1至7中任一所述的方法。 10 .一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序指令, 所述计算机程序指令用于执行如权利要求1至7中任一项所述的方法。
(74)专利代理机构 北京知呱呱知识产权代理有 限公司 11577
代理人 吕学文 朱红涛
(51)Int .Cl . H04L 29/06(2006 .01)
(10)申请公布号 CN 109495520 A (43)申请公布日 2019.03.19
( 54 )发明 名称 一体化网络攻击取证溯源方法、系统、设备
3
CN 109495520 A
说 明 书
1/6 页
一体化网络攻击取证溯源方法、系统、设备及存储介质
技术领域 [0001] 本发明涉及网络安全技术领域,具体涉及一体化网络攻击取证溯源方法、系统、设 备及存储介质。
背景技术 [0002] 网络攻击取证溯源涉及两个操作,一是取证,二是溯源。取证需要在目标主机进 行,目的是获取主机信息和完整证据链;溯源一般在溯源系统完成,需要分析软件和溯源数 据库。 [0003] 当前取证环节一般会使用移动存储设备进行数据交换。过程为:首先使用移动存 储设备存储软件,插入用户主机安装,安装完毕进行取证操作;然后取证完毕再通过移动存 储设备将数据导入溯源系统,这样在操作层面存在二个问题:1、便携性不高,进行取证溯源 时 ,要携带多个设备。2、操作性不强 ,用户需要在移动存储设备上进行繁琐复 制、移动、删除 操作。 [0004] 从安全层面上看,上述取证过程除操作复杂外还存在两个不容忽视的安全问题。 1 、安全性不够 ,移动存储设备可能 被污染 ,导致黑客 利 用摆渡攻击方法突破主机 、攻入网 络。尤其在高等级安全防护网络或隔离网络中,外部移动存储设备在多个网络间乱用,是极 大安全隐患。2、被测主机进行软件安装操作后,可能在被测主机中留下安全隐患,如:在软 件安装中获取的权限被利用、软件取证后在主机进行不当操作残留文件等。 [0005] 另外,APT攻击是近年来出现的高级持续性威胁,因其攻击具有高级、长期、威胁三 要素 ,具有极强的隐 蔽性 和破坏性 ,现有系统由 于知识库不够全面 、溯源技术不够先进 ,在 APT攻击的取证溯源上尚有很多不足,不能有效识别攻击。
权利要求书2页 说明书6页 附图2页
CN 109495520 A
CN 109495520 A
权 利 要 求 书
1/2 页
1 .一体化网络攻击取证溯源方法,其特征在于,所述方法包括: 向运行在目标主机的取证平台模块下发取证命令对目标主机进行网络攻击取证; 从取证平台模块采集溯源数据; 进行溯源数据分析获取预定格式的溯源数据; 基于预定格式的溯源数据进行融合; 基于融合后的溯源数据进行取证溯源综合分析;及 输出网络攻击和取证溯源分析报告。 2 .如权利要求1所述的方法,其特征在于,所述对目标主机进行网络攻击取证包括: 从目标主机获取网络攻击取证数据; 对取证数据进行取证处理;及 对取证处理后的取证数据进行取证归类分析。 3 .如权利要求1所述的方法,其特征在于,所述取证溯源综合分析包括: 从黑客指纹档案库调取黑客指纹数据; 将融合后的溯源数据与黑客指纹数据进行比对;及 基于比对结果对目标主机的网络攻击行为进行溯源。 4 .如权利要求3所述的方法,其特征在于,所述取证溯源综合分析是基于双重检测规则 进行的 ,所述双重检测规则包括 :基于目标主机操作系统检测的大项构建的 第一类检测体 系和基于多渠道获取的恶意软件和恶意行为的特征构建的第二类检测体系。 5 .如权利要求4所述的方法,其特征在于,所述操作系统检测的大项覆盖文件、注册表、 启动方式、固件、内存、认证、连接和痕迹。 6 .如权利要求4所述的方法,其特征在于,所述恶意软件和恶意行为的特征的来源包括 以下一项或多项:对APT攻击中客户失陷主机的取证分析、公开的互联网黑客报告、公开获 取到的大量黑客工具和地下工具集。 7 .如权利要求1所述的方法,其特征在于,所述方法还包括:基于融合后的溯源数据进 行取证溯源综合分析之后,将取证溯源综合分析结果存储于取证溯源数据库。 8 .一体化网络攻击取证溯源系统,其特征在于,所述系统包括: 运行在目 标主机的 取证平台 模块 ,所述取证平台 模块包括 :用于从目 标主机获取网 络 攻击取证数据的取证获取单元、用于对取证数据进行取证处理的取证处理单元及用于对取 证处理后的取证数据进行取证归类分析的取证分析单元; 运行在终端设备的 溯源平台 模块 和取证溯源综合分析模块 ;所述 溯源平台 模块包括 : 用于采集溯源数据的溯源数据采集单元、用于进行溯源数据分析获取预定格式的溯源数据 的溯源数据分析单元及用于基于预定格式的溯源数据进行融合的溯源数据融合单元;所述 取证溯源综合分析模块用于基于融合后的溯源数据进行取证溯源综合分析;及 运行于终端设备或云端的数据库平台模块,所述数据库平台模块包括存储有黑客指纹 数据的黑客指纹档案库和用于存储取证溯源综合分析结果的取证溯源数据库; 其中 ,所述溯源平台模块通过外延数据线与所述取证平台模块通信交互连接 ;所述取 证溯源综合分析模块与所述溯源平台模块通信交互获取融合后的溯源数据,所述取证溯源 综合分析模块与所述黑客指纹档案库交互连接获取黑客指纹数据。 9 .一种计算机设备,其特征在于,所述设备包括:
( 19 )中华人民 共和国国家知识产权局
( 12 )发明专利申请
(21)申请号 201910028806 .4
(22)申请日 2019 .01 .11
(71)申请人 北京中睿天下信息技术有限公司 地址 100085 北京市海淀区农大南路1号院 8号楼2层201号101
(72)发明人 刘庆林 魏海宇 刘海洋 吴小勇 白应东 熊文砚 谢辉