技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)環(huán)境下攻擊鏈獲取方法及系統(tǒng)。

背景技術(shù)

在利益的驅(qū)使下，黑客的隊(duì)伍在不斷壯大，攻擊手段也在變得越來越復(fù)雜，這使得追蹤黑客的攻擊鏈從而鎖定黑客，成為從源頭上制止網(wǎng)絡(luò)犯罪的有效方法。為了更快追蹤黑客身份，檢測(cè)網(wǎng)絡(luò)攻擊行為是必不可少的，而威脅檢測(cè)通常是對(duì)單點(diǎn)規(guī)則的檢測(cè)，即只檢出在任何時(shí)間點(diǎn)的符合某規(guī)則的威脅事件并以相同的方式保存威脅事件，查看檢測(cè)結(jié)果也是列出同一檢測(cè)規(guī)則的不同時(shí)間點(diǎn)捕獲事件，這樣很難從單點(diǎn)的事件還原整條攻擊鏈。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有網(wǎng)絡(luò)威脅檢測(cè)技術(shù)中，多采用單點(diǎn)檢測(cè)而使得攻擊鏈難以還原這一技術(shù)缺陷，本發(fā)明提出一種網(wǎng)絡(luò)環(huán)境下攻擊鏈獲取方法及系統(tǒng)，根據(jù)規(guī)定時(shí)間段，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行獲取，并檢測(cè)獲取的網(wǎng)絡(luò)數(shù)據(jù)是否含有攻擊事件，若含有攻擊事件，則在攻擊端或受害端，對(duì)攻擊事件發(fā)生時(shí)刻前后一段時(shí)間內(nèi)與攻擊事件相關(guān)聯(lián)的活動(dòng)窗口數(shù)據(jù)進(jìn)行獲取和保存，根據(jù)活動(dòng)窗口數(shù)據(jù)，得到攻擊鏈，進(jìn)一步地，本發(fā)明還對(duì)攻擊鏈進(jìn)行去噪處理，得到高威脅事件攻擊鏈，并根據(jù)攻擊鏈中最早發(fā)生的事件，對(duì)攻擊源進(jìn)行追溯。

具體發(fā)明內(nèi)容包括：

一種網(wǎng)絡(luò)環(huán)境下攻擊鏈獲取方法，包括：

對(duì)網(wǎng)絡(luò)環(huán)境下規(guī)定時(shí)間段的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行獲取；

對(duì)獲取的網(wǎng)絡(luò)數(shù)據(jù)中的數(shù)據(jù)包以及數(shù)據(jù)流量進(jìn)行檢測(cè)，判斷是否含有攻擊事件，若否，則不處理；

若是，則定位攻擊事件的行為對(duì)象，按規(guī)定對(duì)行為對(duì)象在一定時(shí)間段內(nèi)與攻擊事件關(guān)聯(lián)的滑動(dòng)窗口進(jìn)行獲取和保存；

根據(jù)保存的滑動(dòng)窗口，獲取行為事件，將有關(guān)聯(lián)的行為事件按照事件發(fā)生時(shí)間的先后進(jìn)行組合，得到攻擊鏈。

進(jìn)一步地，所述按規(guī)定對(duì)行為對(duì)象在一定時(shí)間段內(nèi)與攻擊事件關(guān)聯(lián)的滑動(dòng)窗口進(jìn)行獲取和保存，具體為：根據(jù)攻擊事件產(chǎn)生的時(shí)間點(diǎn)，對(duì)行為對(duì)象在該時(shí)間點(diǎn)前、后的一定時(shí)間段內(nèi)與攻擊事件進(jìn)行數(shù)據(jù)傳送的滑動(dòng)窗口進(jìn)行獲取和保存。

進(jìn)一步地，所述行為對(duì)象包括：攻擊端、受害端。

進(jìn)一步地，還包括對(duì)攻擊鏈進(jìn)行去噪處理，具體為：當(dāng)?shù)玫降墓翩湶恢挂粭l時(shí)，對(duì)所有攻擊鏈進(jìn)行交集處理，得到公共攻擊鏈，并視為高威脅攻擊鏈。

進(jìn)一步地，還包括攻擊源追溯，具體為：根據(jù)攻擊事件、攻擊行為，以及攻擊鏈中最早產(chǎn)生的行為事件，對(duì)攻擊源進(jìn)行追溯。

一種網(wǎng)絡(luò)環(huán)境下攻擊鏈獲取系統(tǒng)，包括：

數(shù)據(jù)獲取模塊，用于對(duì)網(wǎng)絡(luò)環(huán)境下規(guī)定時(shí)間段的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行獲取；

數(shù)據(jù)檢測(cè)模塊，用于對(duì)獲取的網(wǎng)絡(luò)數(shù)據(jù)中的數(shù)據(jù)包以及數(shù)據(jù)流量進(jìn)行檢測(cè)，判斷是否含有攻擊事件，若否，則不處理，若是，則啟動(dòng)滑動(dòng)窗口存儲(chǔ)模塊；

滑動(dòng)窗口存儲(chǔ)模塊，用于定位攻擊事件的行為對(duì)象，按規(guī)定對(duì)行為對(duì)象在一定時(shí)間段內(nèi)與攻擊事件關(guān)聯(lián)的滑動(dòng)窗口進(jìn)行獲取和保存；

攻擊鏈獲取模塊，用于根據(jù)保存的滑動(dòng)窗口，獲取行為事件，將有關(guān)聯(lián)的行為事件按照事件發(fā)生時(shí)間的先后進(jìn)行組合，得到攻擊鏈。

進(jìn)一步地，所述按規(guī)定對(duì)行為對(duì)象在一定時(shí)間段內(nèi)與攻擊事件關(guān)聯(lián)的滑動(dòng)窗口進(jìn)行獲取和保存，具體為：根據(jù)攻擊事件產(chǎn)生的時(shí)間點(diǎn)，對(duì)行為對(duì)象在該時(shí)間點(diǎn)前、后的一定時(shí)間段內(nèi)與攻擊事件進(jìn)行數(shù)據(jù)傳送的滑動(dòng)窗口進(jìn)行獲取和保存。

進(jìn)一步地，所述行為對(duì)象包括：攻擊端、受害端。

進(jìn)一步地，還包括去噪處理模塊，用于當(dāng)?shù)玫降墓翩湶恢挂粭l時(shí)，對(duì)所有攻擊鏈進(jìn)行交集處理，得到公共攻擊鏈，并視為高威脅攻擊鏈。

進(jìn)一步地，還包括攻擊源追溯模塊，用于根據(jù)攻擊事件、攻擊行為，以及攻擊鏈中最早產(chǎn)生的行為事件，對(duì)攻擊源進(jìn)行追溯。

本發(fā)明的有益效果是：

針對(duì)現(xiàn)有網(wǎng)絡(luò)威脅檢測(cè)技術(shù)中，多采用單點(diǎn)檢測(cè)而使得攻擊鏈難以還原這一技術(shù)缺陷，本發(fā)明提出一種網(wǎng)絡(luò)環(huán)境下攻擊鏈獲取方法及系統(tǒng)，利用對(duì)攻擊單點(diǎn)的前后攻擊鏈滑動(dòng)窗口保存，使時(shí)間點(diǎn)延伸到時(shí)間線，可以有效的發(fā)現(xiàn)惡意網(wǎng)絡(luò)行為的攻擊鏈；

進(jìn)一步地，對(duì)于同一攻擊事件的不同攻擊鏈，尋找其有共性的攻擊單點(diǎn)組成的鏈條，會(huì)大大提高攻擊鏈的識(shí)別，同時(shí)對(duì)于大流量的網(wǎng)絡(luò)環(huán)境，可以用極小的存儲(chǔ)空間持久的保存攻擊鏈的數(shù)據(jù)；

進(jìn)一步地，攻擊鏈中最早發(fā)生的事件更接近攻擊源頭，可根據(jù)該方法快速找到攻擊源頭，定位網(wǎng)絡(luò)犯罪，追蹤黑客。

附圖說明