本發明公開了一種網絡追蹤長鏈條攻擊的方法、裝置和系統，先通過各個網絡節點自己檢查數據片段，再收集各個網絡節點上的數據片段副本，將其與歷史大數據合并，分析數據片段是否存在異常，多個異常數據片段之間是否存在邏輯關聯，由此確定和標注異常點和途徑點，得到潛在的攻擊軌跡，從而實現在大量網絡節點中追蹤攻擊片段的目的，并輔助不斷訓練分析模型，提高追蹤的精確度。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種網絡追蹤長鏈條攻擊的方法、裝置和系統。

背景技術

當前網絡通信面臨越來越隱蔽的安全問題，很多攻擊來自于隱蔽的、碎片化的形式，現有的防范網絡攻擊的方法會失效。尤其現在的網絡通常具有大量網絡節點，攻擊者將片段可以分散在各個不同的網絡節點上，從而逃避被發現。急需一種能夠基于大數據、追蹤片段的網絡監測攻擊的方法。

發明內容

本發明的目的在于提供一種網絡追蹤長鏈條攻擊的方法、裝置和系統，先通過各個網絡節點自己檢查數據片段，再收集各個網絡節點上的數據片段副本，將其與歷史大數據合并，分析數據片段是否存在異常，多個異常數據片段之間是否存在邏輯關聯，由此確定和標注異常點和途徑點，得到潛在的攻擊軌跡，解決現有技術中無法在大量網絡節點中追蹤片段的問題，并輔助不斷訓練分析模型，提高追蹤的精確度。

第一方面，本申請提供一種網絡追蹤長鏈條攻擊的方法，所述方法包括：

網絡側服務器向各個網絡節點發送指令，所述指令用于命令各個網絡節點將本地數據片段上傳到服務器；

所述各個網絡節點接收到指令后，將經由網絡節點本地的數據流拆分為若干個數據片段，保存數據片段副本；

所述各個網絡節點先調用本地策略掃描所述數據片段副本，檢查是否包含指定關鍵詞，再將所述數據片段副本在業務處理間隙封裝上傳給服務器；所述封裝包括在數據片段副本中插入數據發起者標識、所述檢查的結果；

所述服務器接收到封裝后的數據片段副本后，將解析后的數據片段與服務器本地的歷史數據片段合并；所述合并包括按照所屬網絡節點、所屬發送終端、數據類型、對應訪問行為中至少一種標準進行合并；

所述服務器使用分析模型對所述合并的數據片段進行分析，尋找其中可能存在的異常數據片段，將若干個異常數據片段所屬的網絡節點或終端標注為異常點，以及分析若干個異常數據片段之間是否存在邏輯關聯；

如果所述若干個異常數據片段之間存在邏輯關聯，則將其所對應的異常點建立前后關聯關系，標注為潛在攻擊軌跡中的一個途徑點；如果所述若干個異常數據片段之間不存在邏輯關聯，則斷開其對應的異常點之間的前后關聯關系，刪除其在潛在攻擊軌跡中的途徑點；

所述服務器將所述前后關聯關系、所述途經點、所述潛在攻擊軌跡傳遞給顯示處理裝置；

所述服務器根據所述前后關聯關系、所述異常數據片段訓練所述分析模型；所述訓練包括：對數據片段進行數據挖掘，形成訓練樣本，輸入到用反向傳播算法模型進行訓練，不斷重復輸入訓練樣本、反向傳播訓練，直至所有的訓練樣本輸入完畢；

所述顯示處理裝置接收到所述前后關聯關系、所述途經點、所述潛在攻擊軌跡后，將所述途經點標記在地圖化的網絡節點架構圖上，在圖中每個節點上標記其對應的前后關聯關系，繪制潛在攻擊軌跡，顯示在大屏幕上。

結合第一方面，在第一方面第一種可能的實現方式中，所述各個網絡節點將數據流拆分為若干個數據片段可根據業務類型、訪問動作確定拆分的長度。

結合第一方面，在第一方面第二種可能的實現方式中，所述網絡側服務器固定周期向各個網絡節點發送指令。

結合第一方面，在第一方面第三種可能的實現方式中，所述網絡節點在業務處理間隙上傳數據片段副本包括：優先處理業務數據，當沒有業務數據需要處理或傳輸時，才向服務器上傳數據片段副本。