本發(fā)明公開了基于網(wǎng)絡(luò)攻擊的數(shù)據(jù)采集、分析方法及系統(tǒng)，屬于信息安全技術(shù)領(lǐng)域。本發(fā)明能夠在內(nèi)部網(wǎng)絡(luò)中獲取多個(gè)終端設(shè)備的系統(tǒng)數(shù)據(jù)；通過逐個(gè)對(duì)每一個(gè)待檢測(cè)信息進(jìn)行威脅檢測(cè)，進(jìn)而獲取相應(yīng)的異常數(shù)據(jù)；采用統(tǒng)計(jì)分析的方式對(duì)全部異常數(shù)據(jù)的進(jìn)行深度挖掘分析，進(jìn)而溯源內(nèi)部網(wǎng)絡(luò)中的終端設(shè)備受到攻擊的路徑(異常路徑信息)，以便于根據(jù)該攻擊路徑對(duì)攻擊者進(jìn)行追蹤，提升網(wǎng)絡(luò)安全防御能力。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種基于網(wǎng)絡(luò)攻擊的數(shù)據(jù)采集、分析方法及系統(tǒng)。

背景技術(shù)

網(wǎng)絡(luò)攻擊是黑客或者病毒木馬等對(duì)電子設(shè)備(如：終端設(shè)備)發(fā)起的攻擊，通過竊取文件等給用戶帶來了巨大損失。攻擊者利用惡意程序?qū)W(wǎng)絡(luò)及信息系統(tǒng)進(jìn)行入侵控制，達(dá)到竊取敏感數(shù)據(jù)和破壞系統(tǒng)和網(wǎng)絡(luò)環(huán)境的目的，亟待提高對(duì)大型應(yīng)用場景(如：企業(yè)內(nèi)部網(wǎng)絡(luò))中對(duì)網(wǎng)絡(luò)攻擊的分析及防御能力。

目前，在進(jìn)行終端設(shè)備的系統(tǒng)安全防護(hù)時(shí)，通常將單一的終端設(shè)備的系統(tǒng)攻擊事件進(jìn)行相關(guān)事件的羅列，無法針對(duì)同一網(wǎng)絡(luò)(如：銀行內(nèi)部專用網(wǎng)絡(luò)，醫(yī)院內(nèi)部專用網(wǎng)絡(luò)等)中所有終端設(shè)備的攻擊事件進(jìn)行統(tǒng)計(jì)分析，不能有效的溯源攻擊者的攻擊路徑。針對(duì)現(xiàn)有的系統(tǒng)安全防護(hù)因缺少對(duì)多個(gè)系統(tǒng)攻擊事件的關(guān)聯(lián)分析能力，無法溯源攻擊者的攻擊路徑，導(dǎo)致無法有效進(jìn)行系統(tǒng)防護(hù)的缺陷。因此，提出一種新的網(wǎng)絡(luò)攻擊分析方式已成為安全技術(shù)領(lǐng)域亟待解決的技術(shù)問題。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提供一種基于網(wǎng)絡(luò)攻擊的數(shù)據(jù)采集、分析方法及系統(tǒng)，主要目的在于能夠在內(nèi)部網(wǎng)絡(luò)中對(duì)多個(gè)終端設(shè)備的系統(tǒng)攻擊事件進(jìn)行聯(lián)合分析，從而獲取溯源攻擊路徑，提升檢測(cè)網(wǎng)絡(luò)攻擊的能力。

本發(fā)明提供了一種基于網(wǎng)絡(luò)攻擊的分析方法，應(yīng)用于內(nèi)部網(wǎng)絡(luò)，包括：

獲取所述內(nèi)部網(wǎng)絡(luò)中至少一個(gè)終端設(shè)備的系統(tǒng)數(shù)據(jù)；

分別對(duì)每一個(gè)所述系統(tǒng)數(shù)據(jù)解析，獲取相應(yīng)的待檢測(cè)數(shù)據(jù)及每一待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的數(shù)據(jù)類型；

依據(jù)所述待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的數(shù)據(jù)類型，對(duì)相應(yīng)的所述待檢測(cè)數(shù)據(jù)進(jìn)行威脅檢測(cè)，獲取相應(yīng)的異常數(shù)據(jù)；

對(duì)全部所述異常數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，生成異常路徑信息。

優(yōu)選的，所述分別對(duì)每一個(gè)所述系統(tǒng)數(shù)據(jù)解析，獲取相應(yīng)的待檢測(cè)數(shù)據(jù)及每一待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的數(shù)據(jù)類型，包括：

分別對(duì)每一個(gè)所述系統(tǒng)數(shù)據(jù)解壓、解密，獲取待檢測(cè)數(shù)據(jù)序列；

獲取所述待檢測(cè)數(shù)據(jù)序列中每一個(gè)所述待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的數(shù)據(jù)類型。

優(yōu)選的，所述待檢測(cè)數(shù)據(jù)對(duì)應(yīng)的數(shù)據(jù)類型包括：進(jìn)程列表類、系統(tǒng)服務(wù)類、敏感目錄類、系統(tǒng)安全日志類、啟動(dòng)項(xiàng)類和網(wǎng)絡(luò)鏈接類中的至少一種。

優(yōu)選的，所述對(duì)全部所述異常數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，生成異常路徑信息，包括：

獲取每一個(gè)所述異常數(shù)據(jù)中的訪問節(jié)點(diǎn)數(shù)據(jù)及相應(yīng)的時(shí)間數(shù)據(jù)；

根據(jù)全部所述時(shí)間數(shù)據(jù)生成時(shí)間軸；

依據(jù)所述時(shí)間軸中的所述時(shí)間數(shù)據(jù)，將相應(yīng)的訪問節(jié)點(diǎn)數(shù)據(jù)關(guān)聯(lián)，生成所述異常路徑信息。

優(yōu)選的，還包括：

識(shí)別每一個(gè)所述異常數(shù)據(jù)的威脅級(jí)別；

基于所述威脅級(jí)別標(biāo)記所述異常路徑信息中相應(yīng)的終端設(shè)備的異常數(shù)據(jù)。

優(yōu)選的，還包括：

根據(jù)所述異常路徑信息生成標(biāo)識(shí)訪問節(jié)點(diǎn)數(shù)據(jù)及訪問方向的關(guān)聯(lián)分析圖像。

本發(fā)明還提供了一種基于網(wǎng)絡(luò)攻擊的數(shù)據(jù)采集方法，應(yīng)用于終端設(shè)備中，所述方法包括：

采集所述終端設(shè)備中的第一系統(tǒng)信息；