一种基于多维聚合的网络安全溯源方法、装置及存储介质与流程

阅读：评论：0

1.本发明涉及一种网络安全溯源技术，尤其是涉及一种基于多维聚合的网络安全溯源方法、装置及存储介质。

背景技术：

2.网络攻击，例如采用通过消耗服务器的某种资源，例如消耗计算资源、网络连接等资源的手段，对服务器进行攻击。为了防御网络攻击，可以采用网络攻击溯源方案，以发现攻击方或攻击路径，从而采取针对性反制措施。在传统攻防对抗中，防守方处于被动防御的弱势地位，传统的事后处置策略无法满足当前复杂多变的网络安全态势，蜜罐溯源到的黑客信息也过于简单，具体相关问题总结如下：
3.(1)溯源分析范围太窄
4.为诱捕恶意攻击者，各单位模拟仿真了大量的蜜罐系统，起到了延缓攻击和溯源有效身份信息的作用，但蜜罐诱捕到的攻击信息占比很小，仅仅溯源这些攻击数据无法全面掌控攻击者的真实来源。
5.(2)溯源分析力度较小
6.在对恶意攻击者进行溯源分析时，要及时明确攻击者的真实身份，防止攻击范围的进一步扩大。但目前溯源内容不够深入，溯源方式上较为单一，仅能获取到部分攻击者的虚拟身份画像，更无法对攻击者攻击行为进行详细数据分析，捕获潜在的攻击者。
7.(3)溯源分析效率较低
8.在蜜罐诱捕到黑客攻击行为后，一般情况下从蜜罐捕获的有效身份信息入手，开展溯源反制，但由于蜜罐提供的黑客画像信息较为简单，仍需大量人工溯源，造成溯源分析效率低下。尤其是在真实的实战攻防对抗中，面对铺天盖地的攻击流量，更是对部分缺乏安全分析人员的单位造成了极大的困难。

技术实现要素：

9.本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种基于多维聚合的网络安全溯源方法、装置及存储介质。
10.本发明的目的可以通过以下技术方案来实现：
11.一种基于多维聚合的网络安全溯源方法，包括：
12.从发生攻击事件的攻击目标中采集攻击源数据，并进行数据预处理，所述的攻击目标包括安全设备和蜜罐；
13.从攻击源数据中提取溯源信息，并存储至溯源信息库，所述的溯源信息包括ip地址画像和虚拟身份画像，所述的虚拟身份画像包含多种虚拟身份信息；
14.通过多线程分析步骤扩充虚拟身份画像，所述的多线程分析步骤包括：
15.根据ip地址画像，通过ip反向域名查询和域名备案查询获得新的虚拟身份信息，利用搜索引擎，根据已有的虚拟身份信息中的关键字信息在网站中爬取新的虚拟身份信
息，将新增的虚拟身份信息写入虚拟身份画像；
16.利用虚拟身份画像，通过多维情报转换身份标签，获得攻击者的真实身份画像；
17.通过多线程分析步骤，利用溯源信息库中的ip地址画像以及已有的虚拟身份信息，进行多维、同步扩充，溯源效率高，同时基于多种虚拟身份信息，从多个维度进行关联分析，准确获取攻击者的真实身份画像，提高了溯源的有效性。
18.进一步地，考虑到部分安全设备不支持syslog日志输出，所述的攻击源数据的采集过程包括：
19.采用syslog日志接入或主动爬取数据的方式采集安全设备的攻击源数据；
20.通过主动爬取数据的方式采集蜜罐的攻击源数据。
21.进一步地，通过主动数据爬取的方式采集安全设备的攻击源数据时，对于无需验证码登录的安全设备，采用直接登录的方式爬取数据，对于需要验证码登录的安全设备，采用不间断保持cookie的方式爬取数据。
22.进一步地，所述的数据预处理的过程包括数据格式化、去重和误报过滤。
23.进一步地，所述的数据格式化过程包括：
24.定义攻击源数据的标准格式，所述的标准格式包括攻击源地址、攻击目标地址、攻击手段、载荷信息和攻击时间。
25.进一步地，所述的去重过程包括：
26.比对来自于各个安全设备和蜜罐的攻击源数据，清理重复的攻击源数据，为避免重复采集。
27.进一步地，所述的误报过滤过程包括：
28.剔除已知的误报攻击事件；
29.因部分安全设备通过规则匹配攻击事件，会有较多误报发生，通过误报过滤及时剔除已知的误报事件，避免无效溯源，提高溯源反制效率和有效性。
30.进一步地，所述的虚拟身份信息包括邮箱、手机、网站注册账号和社交账号中的一种或多种。
31.一种基于多维聚合的网络安全溯源装置，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器调用所述程序指令能够执行所述的网络安全溯源方法。
32.一种计算机可读存储介质，包括计算机程序，所述计算机程序能够被处理器执行以实现所述的网络安全溯源方法。
33.与现有技术相比，本发明具有以如下有益效果：
34.本发明从发生攻击事件的攻击目标中采集攻击源数据，从攻击源数据中提取溯源信息，并存储至溯源信息库，溯源信息包括ip地址画像和虚拟身份画像，根据ip地址画像，通过ip反向域名查询和域名备案查询获得新的虚拟身份信息，利用搜索引擎，根据已有的虚拟身份信息中的关键字信息在网站中爬取新的虚拟身份信息，将新增的虚拟身份信息写入虚拟身份画像，利用虚拟身份画像，通过多维情报转换身份标签，获得攻击者的真实身份画像，通过多线程分析步骤，利用溯源信息库中的ip地址画像以及已有的虚拟身份信息，进行多维、同步扩充，溯源效率高，同时基于多种虚拟身份信息，从多个维度进行关联分析，准确获取攻击者的真实身份画像，提高了溯源的有效性。
附图说明
35.图1为本发明的方法流程示意图；
36.图2为ip地址画像示意图；
37.图3为虚拟身份画像示意图；
38.图4为真实身份画像示意图。
具体实施方式
39.下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。
40.实施例1
41.一种基于多维聚合的网络安全溯源方法，如图1，包括：
42.1)从发生攻击事件的攻击目标中采集攻击源数据，并进行数据预处理，攻击目标包括安全设备和蜜罐；
43.2)从攻击源数据中提取溯源信息，并存储至溯源信息库，溯源信息包括ip地址画像和虚拟身份画像，虚拟身份画像包含多种虚拟身份信息；
44.3)通过多线程分析步骤扩充虚拟身份画像；
45.4)利用虚拟身份画像，通过多维情报转换身份标签，获得攻击者的真实身份画像；
46.多线程分析步骤包括：
47.根据ip地址画像，通过ip反向域名查询和域名备案查询获得新的虚拟身份信息，利用搜索引擎，根据已有的虚拟身份信息中的关键字信息在网站中爬取新的虚拟身份信息，将新增的虚拟身份信息写入虚拟身份画像；
48.通过多线程分析步骤，利用溯源信息库中的ip地址画像以及已有的虚拟身份信息，进行多维、同步扩充，溯源效率高，同时基于多种虚拟身份信息，从多个维度进行关联分析，准确获取攻击者的真实身份画像，提高了溯源的有效性。
49.虚拟身份信息包括邮箱、手机、网站注册账号和社交账号。
50.考虑到部分安全设备不支持syslog日志输出，攻击源数据的采集过程包括：
51.采用syslog日志接入或主动爬取数据的方式采集安全设备的攻击源数据；
52.通过主动爬取数据的方式采集蜜罐的攻击源数据。
53.通过主动数据爬取的方式采集安全设备的攻击源数据时，对于无需验证码登录的安全设备，采用直接登录的方式爬取数据，对于需要验证码登录的安全设备，采用不间断保持cookie的方式爬取数据。
54.数据预处理的过程包括数据格式化、去重和误报过滤。
55.数据格式化过程包括：
56.定义攻击源数据的标准格式，标准格式包括攻击源地址、攻击目标地址、攻击手段、载荷信息和攻击时间。
57.去重过程包括：
58.比对来自于各个安全设备和蜜罐的攻击源数据，清理重复的攻击源数据，为避免重复采集。
59.误报过滤过程包括：
60.剔除已知的误报攻击事件；
61.因部分安全设备通过规则匹配攻击事件，会有较多误报发生，通过误报过滤及时剔除已知的误报事件，避免无效溯源，提高溯源反制效率和有效性。
62.基于本实施例提出的网络安全溯源方法构建的溯源反制平台，获取的ip地址画像示例、虚拟身份画像以及真实身份画像示例分别如图2、图3和图4所示。
63.实施例2
64.一种基于多维聚合的网络安全溯源装置，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器调用所述程序指令能够执行实施例1所述的网络安全溯源方法。
65.实施例3
66.一种计算机可读存储介质，包括计算机程序，所述计算机程序能够被处理器执行以实现如实施例1所述的网络安全溯源方法。
67.实施例1、实施例2和实施例3提出了一种基于多维聚合的网络安全溯源方法、装置及存储介质，通过多线程分析步骤，利用溯源信息库中的ip地址画像以及已有的虚拟身份信息，进行多维、同步扩充，溯源效率高，同时基于多种虚拟身份信息，从多个维度进行关联分析，准确获取攻击者的真实身份画像，提高了溯源的有效性。
68.以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。

技术特征：

1.一种基于多维聚合的网络安全溯源方法，其特征在于，包括：从发生攻击事件的攻击目标中采集攻击源数据，并进行数据预处理，所述的攻击目标包括安全设备和蜜罐；从攻击源数据中提取溯源信息，并存储至溯源信息库，所述的溯源信息包括ip地址画像和虚拟身份画像，所述的虚拟身份画像包含多种虚拟身份信息；通过多线程分析步骤扩充虚拟身份画像，所述的多线程分析步骤包括：根据ip地址画像，通过ip反向域名查询和域名备案查询获得新的虚拟身份信息，利用搜索引擎，根据已有的虚拟身份信息中的关键字信息在网站中爬取新的虚拟身份信息，将新增的虚拟身份信息写入虚拟身份画像；利用虚拟身份画像，通过多维情报转换身份标签，获得攻击者的真实身份画像。2.根据权利要求1所述的一种基于多维聚合的网络安全溯源方法，其特征在于，所述的攻击源数据的采集过程包括：采用syslog日志接入或主动爬取数据的方式采集安全设备的攻击源数据；通过主动爬取数据的方式采集蜜罐的攻击源数据。3.根据权利要求2所述的一种基于多维聚合的网络安全溯源方法，其特征在于，通过主动数据爬取的方式采集安全设备的攻击源数据时，对于无需验证码登录的安全设备，采用直接登录的方式爬取数据，对于需要验证码登录的安全设备，采用不间断保持cookie的方式爬取数据。4.根据权利要求1所述的一种基于多维聚合的网络安全溯源方法，其特征在于，所述的数据预处理的过程包括数据格式化、去重和误报过滤。5.根据权利要求4所述的一种基于多维聚合的网络安全溯源方法，其特征在于，所述的数据格式化过程包括：定义攻击源数据的标准格式，所述的标准格式包括攻击源地址、攻击目标地址、攻击手段、载荷信息和攻击时间。6.根据权利要求4所述的一种基于多维聚合的网络安全溯源方法，其特征在于，所述的去重过程包括：比对来自于各个安全设备和蜜罐的攻击源数据，清理重复的攻击源数据。7.根据权利要求4所述的一种基于多维聚合的网络安全溯源方法，其特征在于，所述的误报过滤过程包括：剔除已知的误报攻击事件。8.根据权利要求1所述的一种基于多维聚合的网络安全溯源方法，其特征在于，所述的虚拟身份信息包括邮箱、手机、网站注册账号和社交账号中的一种或多种。9.一种基于多维聚合的网络安全溯源装置，其特征在于，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器调用所述程序指令能够执行如权利要求1至8任一所述的网络安全溯源方法。10.一种计算机可读存储介质，其特征在于，包括计算机程序，所述计算机程序能够被处理器执行以实现如权利要求1-8任一所述的网络安全溯源方法。

技术总结

本发明涉及一种基于多维聚合的网络安全溯源方法、装置及存储介质，方法包括：从发生攻击事件的攻击目标中采集攻击源数据，并进行数据预处理，攻击目标包括安全设备和蜜罐；从攻击源数据中提取溯源信息，并存储至溯源信息库，溯源信息包括IP地址画像和虚拟身份画像，通过多线程分析步骤扩充虚拟身份画像，多线程分析步骤包括：根据IP地址画像，通过IP反向域名查询和域名备案查询获得新的虚拟身份信息，根据虚拟身份信息中的关键字信息在网站中爬取新的虚拟身份信息，将新增的虚拟身份信息写入虚拟身份画像；利用虚拟身份画像，通过多维情报转换身份标签，获得攻击者的真实身份画像。与现有技术相比，本发明提升了安全溯源的有效性和及时性。有效性和及时性。有效性和及时性。