【技术实现步骤摘要】
本专利技术涉及网络安全,具体涉及一种网络攻击行为的攻击路径溯源系统、方法和程序产品。
技术介绍
1、随着网络的迅猛发展,网络攻击和非法入侵行为越来越多,网络安全的问题日益凸显。为了维护网络安全,各国专家在网络攻击和分析方面做了很多研究以对攻击进行溯源。
2、对于攻击溯源,现有研究方法主要是根据不同攻击行为进行归类分析,用归类出来的分析方法分析不同攻击行为时,分析方法变化比较大,分析方法调整需要的工作量比较多,灵活性差。或者单独依赖入侵检测设备进行分析,从采集到的海量数据中进行分析,效率较低,分析结果准确率低。
技术实现思路
1、本专利技术的目的就是针对现有技术的缺陷,提供一种网络攻击行为的攻击路径溯源系统,包括:
2、网络攻击行为筛选模块,用于将所有网络行为中具有攻击性的网络行为筛选出来,得到网络攻击行为集,所述网络行为包括硬件式网络行为、软件式网络行为和网络式网络行为;
3、网络攻击行为识别模块,用于根据每个当前网络行为的特征信息,与筛选出来的网络攻击行为集中的各个网络攻击行为的特征信息进行对比,判断当前网络行为是否为网络攻击行为,如果当前网络行为是网络攻击行为,则根据网络攻击阶段表识别出当前网络行为所处的网络攻击阶段;
4、网络攻击行为链获取模块,用于根据每个当前网络行为的特征信息,识别每个当前网络行为的起点和终点,以相同的起点、终点相接的方法将所有当前网络行为互相首尾串联,得到网络攻击行为链,再根据网络攻击行为链和每个当前网络行
5、进一步的,网络攻击行为筛选模块中,所述将所有网络行为中具有攻击性的网络行为筛选出来,得到网络攻击行为集的具体方法如下:
6、将硬件式网络行为中的磁盘增删、磁盘使用率变更、网卡增删、外设接口增删、外设接口启用停用判定为网络攻击行为;
7、将软件式网络行为中的系统信息变更、用户信息增删、用户信息属性变更、磁盘分区信息变更、文件增删、文件属性变更、进程启停信息、进程操作信息判定为网络攻击行为;
8、将网络式网络行为中的网络配置变更、网络接口启停、访问控制信息配置变更、网络访问行为判定为网络攻击行为;
9、将硬件式网络行为、软件式网络行为和网络式网络行为中的网络攻击行为合并得到网络攻击行为集。
10、进一步的,所述特征信息包括:
11、当前网络行为发生的服务器地址、当前网络行为的父进程id、当前网络行为id、当前网络访问的源ip、当前网络访问的目的ip、当前网络访问的源端口、当前网络访问的目的端口。
12、进一步的,网络攻击行为识别模块中,所述根据当前网络行为的特征信息,与筛选出来的网络攻击行为集中的各个网络攻击行为的特征信息进行对比,判断当前网络行为是否为网络攻击行为的具体方法为:
13、对于硬件式网络行为,通过监视软件监视服务器操作系统的系统文件的增、删、改、查的修改痕迹,并读取与硬件信息关联的服务器操作系统的系统文件的内容以获取特征信息,与筛选出来的网络攻击行为集中的各个网络攻击行为的特征信息进行对比,判断该硬件式网络行为是否为网络攻击行为;
14、对于软件式网络行为,通过监视软件监视服务器操作系统的系统文件的增、删、改、查的修改痕迹,结合服务器操作系统的审计服务以关联系统文件的操作人、操作进程的特征信息,与筛选出来的网络攻击行为集中的各个网络攻击行为的特征信息进行对比,判断该软件式网络行为是否为网络攻击行为;
15、对于网络式网络行为,通过监视软件对服务器网络端口的监视以采集流量信息,再结合操作系统审计服务和操作系统调用关系以获取网络行为的操作人、操作进程、连接状态的特征信息,与筛选出来的网络攻击行为集中的各个网络攻击行为的特征信息进行对比,判断该网络式网络行为是否为网络攻击行为。
16、进一步的,网络攻击行为识别模块中,所述根据网络攻击阶段表识别出当前网络行为所处的网络攻击阶段的具体方法为:
17、根据当前网络行为的特征信息,与网络技术表中的网络技术的特征信息进行对应,确定当前网络行为的网络技术种类,再根据当前网络行为的网络技术种类在网络攻击阶段表中对应的网络攻击阶段,确定当前网络行为的网络攻击阶段。
18、一种网络攻击行为的攻击路径溯源方法,包括:
19、将所有网络行为中具有攻击性的网络行为筛选出来,得到网络攻击行为集,所述网络行为包括硬件式网络行为、软件式网络行为和网络式网络行为;
20、根据每个当前网络行为的特征信息,与筛选出来的网络攻击行为集中的各个网络攻击行为的特征信息进行对比,判断当前网络行为是否为网络攻击行为,如果当前网络行为是网络攻击行为,则根据网络攻击阶段表识别出当前网络行为所处的网络攻击阶段;
21、根据每个当前网络行为的特征信息,识别每个当前网络行为的起点和终点,以相同的起点、终点相接的方法将所有当前网络行为互相首尾串联,得到网络攻击行为链,再根据网络攻击行为链和每个当前网络行为所处的网络攻击阶段,得到网络攻击阶段链。
22、进一步的,所述将所有网络行为中具有攻击性的网络行为筛选出来,得到网络攻击行为集的具体方法如下:
23、将硬件式网络行为中的磁盘增删、磁盘使用率变更、网卡增删、外设接口增删、外设接口启用停用判定为网络攻击行为;
24、将软件式网络行为中的系统信息变更、用户信息增删、用户信息属性变更、磁盘分区信息变更、文件增删、文件属性变更、进程启停信息、进程操作信息判定为网络攻击行为;
25、将网络式网络行为中的网络配置变更、网络接口启停、访问控制信息配置变更、网络访问行为判定为网络攻击行为;
26、将硬件式网络行为、软件式网络行为和网络式网络行为中的网络攻击行为合并得到网络攻击行为集。
27、进一步的,所述根据当前网络行为的特征信息,与筛选出来的网络攻击行为集中的各个网络攻击行为的特征信息进行对比,判断当前网络行为是否为网络攻击行为的具体方法为:
28、对于硬件式网络行为,通过监视软件监视服务器操作系统的系统文件的增、删、改、查的修改痕迹,并读取与硬件信息关联的服务器操作系统的系统文件的内容以获取特征信息,与筛选出来的网络攻击行为集中的各个网络攻击行为的特征信息进行对比,判断该硬件式网络行为是否为网络攻击行为;
29、对于软件式网络行为,通过监视软件监视服务器操作系统的系统文件的增、删、改、查的修改痕迹,结合服务器操作系统的审计服务以关联系统文件的操作人、操作进程的特征信息,与筛选出来的网络攻击行为集中的各个网络攻击行为的特征信息进行对比,判断该软件式网络行为是否为网络攻击行为;
30、对于网络式网络行为,通过监视软件对服务器网络端口的监视以采集流量信息,再结合操作系统审计服务和操作系统调用关系以获取网络行为的操作人、操作进程、连接状态的特征信息,与筛选出来本文档来自技高网...
【技术保护点】
1.一种网络攻击行为的攻击路径溯源系统,其特征在于,包括:
2.根据权利要求1所述的网络攻击行为的辨识系统,其特征在于:
3.根据权利要求1所述的网络攻击行为的辨识系统,其特征在于:
4.根据权利要求1所述的网络攻击行为的辨识系统,其特征在于:
5.根据权利要求1所述的网络攻击行为的辨识系统,其特征在于:
6.一种网络攻击行为的攻击路径溯源方法,其特征在于,包括:
7.根据权利要求6所述的网络攻击行为的攻击路径溯源方法,其特征在于:
8.根据权利要求6所述的网络攻击行为的攻击路径溯源方法,其特征在于:
9.根据权利要求6所述的网络攻击行为的攻击路径溯源方法,其特征在于:
10.一种计算机程序产品,包括计算机程序/指令,其特征在于,所述计算机程序/指令被处理器执行时实现权利要求6-9任一项所述的网络攻击行为的攻击路径溯源方法。
【技术特征摘要】
1.一种网络攻击行为的攻击路径溯源系统,其特征在于,包括:
2.根据权利要求1所述的网络攻击行为的辨识系统,其特征在于:
3.根据权利要求1所述的网络攻击行为的辨识系统,其特征在于:
4.根据权利要求1所述的网络攻击行为的辨识系统,其特征在于:
5.根据权利要求1所述的网络攻击行为的辨识系统,其特征在于:
6.一种网络攻击行为的攻击路径溯源方法,其特征在于,包...
【专利技术属性】
技术研发人员:王宣元,沈鹏,张隽,卢楷,张昊,梁野,张浩,杜金,王晓东,马迎新,刘海涛,李垠韬,王明轩,田琪,董彬,段西宁,侯鑫垚,陈泽,王洋,常家乐,杨兰,马睿,任佳月,王景,王昊,宋子丰,
申请(专利权)人:国网冀北电力有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。