[发明专利]一种网络环境下攻击链获取方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络环境下攻击链获取方法及系统。

背景技术

在利益的驱使下，黑客的队伍在不断壮大，攻击手段也在变得越来越复杂，这使得追踪黑客的攻击链从而锁定黑客，成为从源头上制止网络犯罪的有效方法。为了更快追踪黑客身份，检测网络攻击行为是必不可少的，而威胁检测通常是对单点规则的检测，即只检出在任何时间点的符合某规则的威胁事件并以相同的方式保存威胁事件，查看检测结果也是列出同一检测规则的不同时间点捕获事件，这样很难从单点的事件还原整条攻击链。

发明内容

针对现有网络威胁检测技术中，多采用单点检测而使得攻击链难以还原这一技术缺陷，本发明提出一种网络环境下攻击链获取方法及系统，根据规定时间段，对网络数据进行获取，并检测获取的网络数据是否含有攻击事件，若含有攻击事件，则在攻击端或受害端，对攻击事件发生时刻前后一段时间内与攻击事件相关联的活动窗口数据进行获取和保存，根据活动窗口数据，得到攻击链，进一步地，本发明还对攻击链进行去噪处理，得到高威胁事件攻击链，并根据攻击链中最早发生的事件，对攻击源进行追溯。

具体发明内容包括：

一种网络环境下攻击链获取方法，包括：

对网络环境下规定时间段的网络数据进行获取；

对获取的网络数据中的数据包以及数据流量进行检测，判断是否含有攻击事件，若否，则不处理；

若是，则定位攻击事件的行为对象，按规定对行为对象在一定时间段内与攻击事件关联的滑动窗口进行获取和保存；

根据保存的滑动窗口，获取行为事件，将有关联的行为事件按照事件发生时间的先后进行组合，得到攻击链。

进一步地，所述按规定对行为对象在一定时间段内与攻击事件关联的滑动窗口进行获取和保存，具体为：根据攻击事件产生的时间点，对行为对象在该时间点前、后的一定时间段内与攻击事件进行数据传送的滑动窗口进行获取和保存。

进一步地，所述行为对象包括：攻击端、受害端。

进一步地，还包括对攻击链进行去噪处理，具体为：当得到的攻击链不止一条时，对所有攻击链进行交集处理，得到公共攻击链，并视为高威胁攻击链。

进一步地，还包括攻击源追溯，具体为：根据攻击事件、攻击行为，以及攻击链中最早产生的行为事件，对攻击源进行追溯。

一种网络环境下攻击链获取系统，包括：

数据获取模块，用于对网络环境下规定时间段的网络数据进行获取；

数据检测模块，用于对获取的网络数据中的数据包以及数据流量进行检测，判断是否含有攻击事件，若否，则不处理，若是，则启动滑动窗口存储模块；

滑动窗口存储模块，用于定位攻击事件的行为对象，按规定对行为对象在一定时间段内与攻击事件关联的滑动窗口进行获取和保存；

攻击链获取模块，用于根据保存的滑动窗口，获取行为事件，将有关联的行为事件按照事件发生时间的先后进行组合，得到攻击链。

进一步地，所述按规定对行为对象在一定时间段内与攻击事件关联的滑动窗口进行获取和保存，具体为：根据攻击事件产生的时间点，对行为对象在该时间点前、后的一定时间段内与攻击事件进行数据传送的滑动窗口进行获取和保存。

进一步地，所述行为对象包括：攻击端、受害端。

进一步地，还包括去噪处理模块，用于当得到的攻击链不止一条时，对所有攻击链进行交集处理，得到公共攻击链，并视为高威胁攻击链。

进一步地，还包括攻击源追溯模块，用于根据攻击事件、攻击行为，以及攻击链中最早产生的行为事件，对攻击源进行追溯。

本发明的有益效果是：

针对现有网络威胁检测技术中，多采用单点检测而使得攻击链难以还原这一技术缺陷，本发明提出一种网络环境下攻击链获取方法及系统，利用对攻击单点的前后攻击链滑动窗口保存，使时间点延伸到时间线，可以有效的发现恶意网络行为的攻击链；

进一步地，对于同一攻击事件的不同攻击链，寻找其有共性的攻击单点组成的链条，会大大提高攻击链的识别，同时对于大流量的网络环境，可以用极小的存储空间持久的保存攻击链的数据；

进一步地，攻击链中最早发生的事件更接近攻击源头，可根据该方法快速找到攻击源头，定位网络犯罪，追踪黑客。

附图说明