本发明专利技术公开了一种网络攻击溯源快速取证方法及系统;S1、收集网络攻击的数据集:在此阶段,收集网络攻击相关的数据集,包括网络流量数据、IDS(入侵检测系统)输出、日志信息等。本发明专利技术的方法采用时空网络模型,综合了多维度的数据,包括网络拓扑、节点属性和事件发生时序等信息。这种多维数据综合分析有助于全面理解网络行为,提高溯源的准确性和全面性。提高溯源的准确性和全面性。提高溯源的准确性和全面性。
【技术实现步骤摘要】
一种网络攻击溯源快速取证方法及系统
[0001]本专利技术涉及网络工程
,特别涉及一种网络攻击溯源快速取证方法及系统。
技术介绍
[0002]网络攻击是指通过计算机网络对网络系统、网络设备、计算机系统或其数据进行非法访问、破坏、窃取、篡改或阻断等恶意行为。网络攻击大部分是有意为之,旨在窃取信息、破坏系统。通过溯源取证,可以确定网络攻击的源头和责任人,为追究法律责任提供证据。这有助于将攻击者绳之以法,维护网络安全和公共利益。通过分析攻击源头、攻击方式和攻击路径,可以发现系统或网络的弱点和漏洞。这有助于网络管理员及时修复漏洞,加强网络安全,提高系统的防御能力。
[0003]并且,溯源取证可以提供对攻击者行为的深入洞察,有助于改进和优化网络安全策略。基于攻击行为的特征和模式,可以调整防御策略,提高系统对未来攻击的应对能力。通过快速有效的溯源取证,可以迅速采取措施阻止进一步的攻击行为,限制损害范围,降低攻击造成的损失。通过对多次网络攻击的溯源分析,可以识别攻击的常见模式、手段和特征。这有助于建立更有效的预防机制,提前预警和防范类似攻击。
[0004]在现有技术中,例如CN202110176274.6所公开的《一种针对于电力监控系统的攻击取证与溯源方法》的传统技术形式的主要方式是通过采集监控系统中的网络流数据;对网络流数据进行特征分析得到网络流数据的特征参数;若特征参数与预设数据库中异常特征参数相匹配,则判定存在网络攻击,并对网络数据流进行溯源。但是这类传统技术存在如下技术缺陷:(1)限制于特定特征分析:传统技术主要依赖特征分析,即预先定义一些特征参数并与预设数据库中的异常特征参数进行匹配。这种方法受限于预先定义的特征,可能无法涵盖所有攻击类型,尤其是新型或复杂的攻击形式。
[0005](2)局限性和误报率高:特征分析可能会产生误报,因为某些正常行为可能被误认为是攻击特征。同时,一些变种的攻击可能不被检测到,因为其特征不在预定义的特征集合中。
[0006](3)缺乏对网络拓扑和时序的建模:传统技术没有充分考虑网络拓扑和事件发生时序信息,仅仅局限于特征的静态分析。这样可能错过了攻击路径的真实情况,无法全面了解攻击的传播和影响路径。
[0007](4)依赖于事先建立的数据库:传统技术依赖事先构建的数据库来存储特征信息,这可能导致一定的存储开销和更新维护困难。同时,如果新的攻击形式不在数据库中,就无法准确识别。
[0008](5)难以处理复杂攻击链:对于复杂的攻击链,传统技术可能很难有效分析和溯源,因为其不能提供完整的攻击路径和攻击间的时序关系。
[0009]为此,提出一种网络攻击溯源快速取证方法及系统。
技术实现思路
[0010]有鉴于此,本专利技术的目的是提供一种网络攻击溯源快速取证方法及系统,以解决或缓解现有技术中存在的技术问题,即限制于特定特征分析、局限性和误报率高、缺乏对网络拓扑和时序的建模、依赖于事先建立的数据库和难以处理复杂攻击链,并对此至少提供一种有益的选择;本专利技术的技术方案是这样实现的:第一方面一种网络攻击溯源快速取证方法(一)概论网络攻击溯源快速取证方法旨在迅速、准确地确定网络攻击的源头,并提供足够的证据以便追求法律责任。本申请提供了一种网络攻击溯源的技术框架,包括数据收集、网络拓扑模型构建、时空网络模型创建、路径分析以及攻击源溯源的主要步骤。
[0011](二)技术步骤S1、收集网络攻击的数据集: 在此阶段,收集网络攻击相关的数据集,包括网络流量数据、IDS(入侵检测系统)输出、日志信息等。
[0012]S2、构建网络拓扑模型 G:构建网络拓扑模型G=(V,E),其中V表示节点集合,E 表示边集合。网络拓扑模型基于实际网络结构,为后续分析提供基础。
[0013]S3、时空网络模型S:创建时空网络模型S,将网络抽象为时空图。节点表示网络设备或主机,边表示网络连接关系,时间信息表示网络事件发生的时刻。
[0014]S4、路径分析:使用路径分析函数PathAnalysis(G,s,t) 找到从源节点 s到目标节点t所有可能的攻击路径AP。
[0015]S5、溯源攻击源: 使用溯源函数 TraceAttackSource(AP) 确定攻击源,即确定攻击路径AP中的源节点。
[0016](三)
技术实现思路
(3.1)在所述S1中,所述数据集包括:网络流量分析输出的信息、IDS系统输出的信息和日志分析的输出信息:1)所述网络流量分析输出的信息:所述包括源IP地址、目标IP地址、协议和/或端口;N代表其总数;2)所述IDS系统输出的信息:每个所述表示一条入侵检测记录,所述入侵检测记录包括入侵类型或/和检测时间;m代表其总数;3)所述日志分析的输出信息:每个所述表示一条日志记录,所述日志记录包括事件描述或/和发生时间;p代表其总数。
[0017](3.2)在所述S2中,包括:1)所述节点集合V:包含了网络中的所有节点,代表网络设备、主机或其他网络实
体,每个节点用唯一标识符表示:n表示节点的总数;2)所述边集合E:包含了网络中的所有连接关系,每条边连接两个所述节点,表示所述节点间通过边连接网络:(3.3)在所述S3中,所述时空网络模型S包括:1)五元组:2)输出所述信息向量IV:
[0018]表示网络拓扑结构信息,包括所述节点集合V和所述边集合E;表示节点属性信息;表示边属性信息;表示时间信息,包括网络事件发生的时刻。
[0019](3.4)在所述S4中,所述路径分析函数为:深度优先搜索:
[0020]表示从所述源节点s到所述目标节点t的所有可能攻击路径集合,使用 DFS 算法搜索得到。
[0021](3.5):在所述S5中,所述溯源函数 :
[0022]wi是所述节点的权重,表示该节点作为攻击源的可能性;n是攻击路径上的节点数。
[0023]第二方面一种网络攻击溯源快速取证系统,所述系统包括处理器、与所述处理器耦接的存储器,所述存储器中存储有程序指令,所述程序指令被所述处理器执行时,使所述处理器执行如上述所述的溯源快速取证方法。
[0024]本申请旨在实现一种网络攻击溯源快速取证系统,为网络安全领域提供迅速、准确的攻击源定位。该系统包括处理器、与处理器耦接的存储器以及存储有程序指令的存储器。其包括:(1)处理器:系统的核心部件,负责执行程序指令,协调系统的运作,处理网络攻击数据,以及调用相应的算法和函数实现溯源快速取证方法。
[0025](2)存储器:存储器用于保存程序指令,这些指令是实现溯源快速取证方法的关键。程序指令将被处理器逐条执行,触发相应的操作。
[0026]总结性的,与现有技术相比,本专利技术所提供的一种网络攻击溯源快速取证方法及系统的有益效果如下:(1)多维数据综合分析:本专利技术的该方法采用时空网络模型,综合了多维度的数
据,包括网络拓扑、节点属性和事件发生时序等信息。这种多维数据综合分析有助于全面理解网络行为,提高溯源的准确性和全面性。...
【技术保护点】
【技术特征摘要】
1.一种网络攻击溯源快速取证方法,其特征在于,包括如下步骤:S1、收集网络攻击的数据集;S2、构建网络拓扑模型G:,V 表示节点集合,E表示边集合;S3、时空网络模型S:基于所述时空网络模型S输出信息向量IV;S4、路径分析:基于所述信息向量IV的输入,使用路径分析函数 找到从源节点s到目标节点t所有可能的攻击路径AP;S5、溯源攻击源:基于所述信息向量IV的输入和所述攻击路径AP,使用溯源函数 来确定攻击源。2.根据权利要求1所述的一种网络攻击溯源快速取证方法,其特征在于:在所述S1中,所述数据集包括:网络流量分析输出的信息、IDS系统输出的信息和日志分析的输出信息:1)所述网络流量分析输出的信息:,所述包括源IP地址、目标IP地址、协议和/或端口;N代表其总数;2)所述IDS系统输出的信息:,每个所述表示一条入侵检测记录,所述入侵检测记录包括入侵类型或/和检测时间;m代表其总数;3)所述日志分析的输出信息:,每个所述表示一条日志记录,所述日志记录包括事件描述或/和发生时间;p代表其总数。3.根据权利要求1所述的一种网络攻击溯源快速取证方法,其特征在于:在所述S2中,包括:1)所述节点集合V:包含了网络中的所有节点,代表网络设备、主机或其他网络实体,每个节点用唯一标识符表示:,n表示节点的总数;2)所述边集合E:包含了网络中的所有连接关系,每条边连接两个所述节点,表示所述节点间通过边连接网络:。4.根据权利要求2所述的一种网络攻击溯源快速取证方法,其特征在于:在所述S3中,所述时空网络模型S包括...
【专利技术属性】
技术研发人员:陈明亮,刘潮,谢国强,刘锋,邱日轩,刘京,钟文慧,陈旭,钟逸铭,余滢婷,崔柳,钟志萍,向恺,
申请(专利权)人:国网江西省电力有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。