[发明专利]一种基于标识文件定位攻击的方法、装置及存储设备

说明书

本发明实施例公开一种基于标识文件定位攻击的方法、装置及存储设备，用以解决现有方法很难了解到系统全部的实时情况，导致难以对攻击进行回溯定位，并进行准确的信息采集和攻防评估的问题。该方法包括：确定标识文件的详细路径；实时采集系统中的进程活动、网络活动及文件活动；当标识文件被进程操作时，触发攻击回溯定位功能；回溯定位攻击IP，生成攻击IP读取标识文件事件，并将所述事件提交给评估系统，进行攻击靶场评估。

技术领域

本发明实施例涉及网络安全领域，尤其涉及一种基于标识文件定位攻击的方法、装置及存储设备。

背景技术

网络信息安全问题已经成为人们必须面临的重大挑战，过去我们面临的敌人的威胁主要来自于武器，而今天面临的大部分威胁却来自于网络的攻击。为了增强对现有网络系统脆弱性分析与评估的能力，确保计算机网络环境的安全性，有必要研究出科学合理的采集分析与评估方法，用以解决主机系统的脆弱性的问题，最终达到避免互联网安全事件发生的目的。

网络靶场是针对网络攻防演练和网络新技术评测的重要基础设施，用来提高网络和信息系统的稳定性、安全性和各项性能。而靶场采集是指在靶场环境下发生的事件及状态进行采集捕获，通过监控系统的文件、流量等，可以清楚的了解到系统的被攻击的情况。但是，由于系统的复杂性，目前难以了解到系统全部的实时情况，导致难以对攻击进行回溯定位，进行准确的信息采集和攻防评估。

发明内容

基于上述存在的问题，本发明实施例提供一种基于标识文件定位攻击的方法、装置及存储设备，用以解决现有方法很难了解到系统全部的实时情况，导致难以对攻击进行回溯定位，并进行准确的信息采集和攻防评估的问题。

本发明实施例公开一种基于标识文件定位攻击的方法，包括：

确定标识文件的详细路径；实时采集系统中的进程活动、网络活动及文件活动；当标识文件被进程操作时，触发攻击回溯定位功能；回溯定位攻击IP，生成攻击IP读取标识文件事件，并将所述事件提交给评估系统，进行攻击靶场评估。

进一步地，实时采集系统中的进程活动、网络活动及文件活动，具体包括：运行的进程、进程的联网活动，进程创建的子进程活动，进程创建的线程活动，进程操作的文件活动。

进一步地，标识文件被进程操作，其中所述操作为读和/或写操作。

进一步地，当标识文件被进程操作时，触发攻击回溯定位功能，具体为：定位操作标识文件的进程，查看进程是否有联网活动，且是否为对外开放端口的应用服务；若是，则将与所述进程建立链接的远程进程的IP标识为攻击IP；否则，进一步定位创建所述进程的父进程，查看所述父进程是否有联网活动，且是否为对外开放端口的应用服务。

本发明实施例公开一种基于标识文件定位攻击的装置，包括存储器和处理器，所述存储器用于存储多条指令，所述处理器用于加载所述存储器中存储的指令以执行：

确定标识文件的详细路径；实时采集系统中的进程活动、网络活动及文件活动；当标识文件被进程操作时，触发攻击回溯定位功能；回溯定位攻击IP，生成攻击IP读取标识文件事件，并将所述事件提交给评估系统，进行攻击靶场评估。

进一步地，所述处理器还用于加载所述存储器中存储的指令以执行：

实时采集系统中的进程活动、网络活动及文件活动，具体包括：运行的进程、进程的联网活动，进程创建的子进程活动，进程创建的线程活动，进程操作的文件活动。

进一步地，所述处理器还用于加载所述存储器中存储的指令以执行：

标识文件被进程操作，其中所述操作为读和/或写操作。

进一步地，所述处理器还用于加载所述存储器中存储的指令以执行：