[发明专利]一种攻击溯源方法及装置

说明书

本公开是关于一种攻击溯源方法及装置。所述攻击溯源方法包括：获得访问设备的第一设备信息；确定所述访问设备是否达到预设访问权限；在所述访问设备未达到所述预设访问权限的情况下，基于所述第一设备信息生成溯源指令，并向所述访问设备发送所述溯源指令；接收所述访问设备响应于所述溯源指令所返回的第二设备信息，分析所述第二设备信息与所述第一设备信息是否匹配；在所述第二设备信息与所述第一设备信息不匹配的情况下，中止与所述访问设备的连接。本公开各实施例通过层次递进的方式收集访问设备的设备信息，并逐一比对采集到的设备信息，以判断访问设备的设备信息是否存在伪造的情况，从而保证了访问设备的可靠性，维护了网络信息的安全。

技术领域

本公开涉及网络空间安全技术领域，尤其涉及一种攻击溯源方法及装置。

背景技术

随着互联网与大数据的不断发展，网络深入到人们生活中的各个领域中，逐渐成为一个无法取代的角色。由于互联网储存的信息量巨大且能够使有价值的信息被有效整合，故互联网成为人们日常生活中信息获取、发送以及储存的主要手段。鉴于上述互联网的特性，一些网络用户在利益的驱使下成为网络攻击方，通过窃取用户的信息谋取利益，使其他网络用户造成经济损失，甚至造成社会管理混乱。因此，在保证互联网内部信息正常交互的同时，维护网络用户的信息安全已成为网络技术安全领域首要解决的问题之一。

在现有的网络空间安全技术中，以攻击溯源技术为主要的网络安全保护措施。攻击溯源技术一方面能够根据被攻击设备的网络流量等数据进行分析，还原攻击设备的攻击方法，进而修复自身漏洞避免再次因此类攻击造成损失。另一方面还能够追踪恶意流量，定位攻击方的真实位置。然而现有的攻击溯源技术通常是在已发生恶意攻击的情况下，执行溯源操作，且此类攻击溯源技术无法识别攻击设备的伪装，以至于造成溯源结果错误或溯源失败。

因此，相关技术中亟需一种能够在攻击行为发生之前识别攻击设备，且能够拆穿攻击设备的伪装的攻击溯源技术。

发明内容

为克服相关技术中存在的问题，本公开提供一种攻击溯源方法及装置。

根据本公开实施例的第一方面，提供一种攻击溯源方法，所述攻击溯源方法应用于被访问设备，所述攻击溯源方法包括：获得访问设备的第一设备信息；确定所述访问设备是否达到预设访问权限；在所述访问设备未达到所述预设访问权限的情况下，基于所述第一设备信息生成溯源指令，并向所述访问设备发送所述溯源指令；接收所述访问设备响应于所述溯源指令所返回的第二设备信息，分析所述第二设备信息与所述第一设备信息是否匹配；在所述第二设备信息与所述第一设备信息不匹配的情况下，中止与所述访问设备的连接。

在一种可能的实现方式中，所述方法还包括：接收所述访问设备的访问请求；根据所述访问请求确定所述预设访问权限。

在一种可能的实现方式中，所述第一设备信息包括接收所述访问设备的访问请求后，第一次接收的访问设备的设备信息，获得访问设备的第一设备信息，包括：根据所述访问请求判断所述访问设备是否为与所述被访问设备建立了连接的有效设备；在所述访问设备为非有效设备的情况下，初始化所述访问设备的访问权限，根据所述访问设备的访问请求生成溯源指令，并向所述访问设备发送所述溯源指令；接收所述访问设备响应于所述溯源指令所返回的第一设备信息，在所述第一设备信息的状态为正常的情况下，设定所述访问设备的访问权限为初级访问权限。

在一种可能的实现方式中，所述第一设备信息包括：最后一次接收的所述访问设备的设备信息，获得访问设备的第一设备信息，包括：根据所述访问请求判断所述访问设备是否为与所述被访问设备建立了连接的有效设备；在所述访问设备为有效设备的情况下，保留所述访问设备已获得的访问权限，并执行确定所述访问设备是否达到预设访问权限的步骤。