本發(fā)明實(shí)施例涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)攻擊溯源實(shí)現(xiàn)方法及裝置。

背景技術(shù)：

近年來，隨著網(wǎng)絡(luò)的不斷普及，網(wǎng)絡(luò)攻擊者采用的攻擊技術(shù)及攻擊手段也有了新的發(fā)展趨勢。因此，網(wǎng)絡(luò)安全問題也需要網(wǎng)絡(luò)用戶不斷的關(guān)注并采取有效的安全防護(hù)措施。而傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)主要是通過在網(wǎng)絡(luò)邊界點(diǎn)設(shè)置防火墻等安全工具，將需要防御的內(nèi)網(wǎng)與外網(wǎng)隔離開來，達(dá)到防護(hù)的目的。

現(xiàn)有技術(shù)當(dāng)中采用的防護(hù)措施，對于常見的網(wǎng)絡(luò)攻擊比較有效。例如，常見的網(wǎng)絡(luò)攻擊一般是通過一個(gè)節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)、針對系統(tǒng)漏洞進(jìn)行攻擊或者放置特洛伊木馬程序等。這些常見的網(wǎng)絡(luò)攻擊類型采用的攻擊方式較為單一，并具有易發(fā)現(xiàn)、易防護(hù)的特點(diǎn)，一般通過設(shè)置防火墻等方式就可以進(jìn)行有效的安全防護(hù)。

然而，對于高級持續(xù)性威脅(advancedpersistentthreat，apt)攻擊，由于apt等類型的網(wǎng)絡(luò)攻擊與常見的網(wǎng)絡(luò)攻擊具有兩方面的區(qū)別：(1)高級性：使用的工具或惡意程序一般都是專門開發(fā)的，很難檢測到；另外攻擊中會用到一個(gè)或多個(gè)0day漏洞。(2)持續(xù)性：一般會花費(fèi)比較長時(shí)間，觀察、踩點(diǎn)、收集信息、社會工程、逐步滲透和信息回傳等等。因此，現(xiàn)有技術(shù)當(dāng)中的安全防護(hù)措施無法對apt等類型的攻擊進(jìn)行有效的安全防護(hù)。

技術(shù)實(shí)現(xiàn)要素：

為克服相關(guān)技術(shù)中現(xiàn)有的安全防護(hù)措施無法對apt等類型的攻擊進(jìn)行有效的安全防護(hù)的問題，本發(fā)明提供一種網(wǎng)絡(luò)攻擊溯源實(shí)現(xiàn)方法及裝置。

根據(jù)本發(fā)明實(shí)施例的第一方面，提供一種網(wǎng)絡(luò)攻擊溯源實(shí)現(xiàn)方法，包括：

獲取內(nèi)部網(wǎng)絡(luò)系統(tǒng)受到網(wǎng)絡(luò)攻擊的本次告警消息和歷史告警消息，所述本次告警消息包括本次告警設(shè)備的設(shè)備標(biāo)識；

根據(jù)所述本次告警消息和所述歷史告警消息，生成內(nèi)部脆弱點(diǎn)列表，所述內(nèi)部脆弱點(diǎn)列表包括所述內(nèi)部網(wǎng)絡(luò)系統(tǒng)中與所述本次告警設(shè)備有通信連接的且歷史上受到過所述網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識；

根據(jù)獲取到的所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息，確定所述網(wǎng)絡(luò)攻擊的攻擊路徑。

這樣本發(fā)明實(shí)施例通過溯源網(wǎng)絡(luò)攻擊的攻擊路徑，可以確定網(wǎng)絡(luò)攻擊的源網(wǎng)絡(luò)攻擊設(shè)備。

可選地，所述根據(jù)所述本次告警消息和所述歷史告警消息，生成內(nèi)部脆弱點(diǎn)列表，包括：

根據(jù)所述本次告警設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息，生成第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表，所述第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表包括所述內(nèi)部網(wǎng)絡(luò)系統(tǒng)中與所述本次告警設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識；

根據(jù)所述歷史告警消息，生成第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表，所述第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表包括所述第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表中歷史上受到過告警的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識；

確定所述第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表中包括有預(yù)設(shè)網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備，得到第三內(nèi)部網(wǎng)絡(luò)設(shè)備列表，所述第三內(nèi)部網(wǎng)絡(luò)設(shè)備列表包括所述第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表中包括有預(yù)設(shè)網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備，所述預(yù)設(shè)網(wǎng)絡(luò)攻擊告警，包括下述至少一種：網(wǎng)絡(luò)監(jiān)聽告警、系統(tǒng)漏洞攻擊告警和木馬攻擊告警；

將所述第三內(nèi)部網(wǎng)絡(luò)設(shè)備列表作為所述內(nèi)部脆弱點(diǎn)列表。

可選地，所述根據(jù)獲取到的所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息，確定所述網(wǎng)絡(luò)攻擊的攻擊路徑，包括：

根據(jù)獲取到的所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息，確定與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備；

判斷與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中是否包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備；

若與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備，根據(jù)所述外網(wǎng)設(shè)備、各列表及所述本次告警設(shè)備，生成所述網(wǎng)絡(luò)攻擊的攻擊路徑。

可選地，所述方法還包括：

若與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中不包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備，將與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備作為當(dāng)前的本次告警設(shè)備，返回執(zhí)行所述根據(jù)所述本次告警設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息生成第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表的步驟。

可選地，若與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備，將所述外網(wǎng)設(shè)備確定為攻擊源，或者；

獲取所述外部網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識；

在本地威脅情報(bào)庫中查找與所述設(shè)備標(biāo)識相對應(yīng)的情報(bào)信息；

根據(jù)所述情報(bào)信息獲取所述外部網(wǎng)絡(luò)設(shè)備中的攻擊源所述根據(jù)所述外網(wǎng)設(shè)備、各列表及所述本次告警設(shè)備，生成所述網(wǎng)絡(luò)攻擊的攻擊路徑具體為：

根據(jù)所述攻擊源、各列表及所述本次告警設(shè)備，生成所述網(wǎng)絡(luò)攻擊的攻擊路徑。

根據(jù)本發(fā)明實(shí)施例的第二方面，提供一種網(wǎng)絡(luò)攻擊溯源實(shí)現(xiàn)裝置，包括：

消息獲取模塊，用于獲取內(nèi)部網(wǎng)絡(luò)系統(tǒng)受到網(wǎng)絡(luò)攻擊的本次告警消息和歷史告警消息，所述本次告警消息包括本次告警設(shè)備的設(shè)備標(biāo)識；

列表生成模塊，用于根據(jù)所述本次告警消息和所述歷史告警消息，生成內(nèi)部脆弱點(diǎn)列表，所述內(nèi)部脆弱點(diǎn)列表包括所述內(nèi)部網(wǎng)絡(luò)系統(tǒng)中與所述本次告警設(shè)備有通信連接的且歷史上受到過所述網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識；

攻擊路徑確定模塊，用于根據(jù)獲取到的所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息，確定所述網(wǎng)絡(luò)攻擊的攻擊路徑。

可選地，所述列表生成模塊，包括：

第一列表生成子模塊，用于根據(jù)所述本次告警網(wǎng)絡(luò)設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息，生成第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表，所述第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表包括所述內(nèi)部網(wǎng)絡(luò)系統(tǒng)中與所述本次告警設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識；

第二列表生成子模塊，用于根據(jù)所述歷史告警消息，生成第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表，所述第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表包括所述第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表中歷史上受到過告警的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識；

第三列表生成子模塊，用于確定所述第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表中包括有預(yù)設(shè)網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備，得到第三內(nèi)部網(wǎng)絡(luò)設(shè)備列表，所述第三內(nèi)部網(wǎng)絡(luò)設(shè)備列表包括所述第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表中包括有預(yù)設(shè)網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備，所述預(yù)設(shè)網(wǎng)絡(luò)攻擊告警，包括下述至少一種：網(wǎng)絡(luò)監(jiān)聽告警、系統(tǒng)漏洞攻擊告警和木馬攻擊告警；

將所述第三內(nèi)部網(wǎng)絡(luò)設(shè)備列表作為所述內(nèi)部脆弱點(diǎn)列表。

可選地，所述攻擊路徑確定模塊，包括：

設(shè)備確定子模塊，用于根據(jù)獲取到的所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息，確定與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備；

判斷子模塊，用于判斷與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中是否包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備；

攻擊路徑生成子模塊，用于在與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備時(shí)，根據(jù)所述外網(wǎng)設(shè)備、各列表及所述本次告警設(shè)備，生成所述網(wǎng)絡(luò)攻擊的攻擊路徑。

可選地，第一列表生成子模塊，還用于在與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中不包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備時(shí)，根據(jù)所述本次告警設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息生成第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表。

可選地，所述裝置還包括：

攻擊源確定模塊，用于在與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備時(shí)，將所述外網(wǎng)設(shè)備確定為攻擊源，或者；

設(shè)備標(biāo)識獲取模塊，用于獲取所述外部網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識；

情報(bào)信息查找模塊，用于在本地威脅情報(bào)庫中查找與所述設(shè)備標(biāo)識相對應(yīng)的情報(bào)信息；

攻擊源獲取模塊，用于根據(jù)所述情報(bào)信息獲取所述外部網(wǎng)絡(luò)設(shè)備中的攻擊源；

所述攻擊路徑生成子模塊，包括：

攻擊路徑確定子模塊，用于根據(jù)所述攻擊源、各列表及所述本次告警設(shè)備，生成所述網(wǎng)絡(luò)攻擊的攻擊路徑。

本發(fā)明的實(shí)施例提供的技術(shù)方案可以包括以下有益效果：

本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)攻擊溯源實(shí)現(xiàn)方法及裝置，通過獲取內(nèi)部網(wǎng)絡(luò)系統(tǒng)受到網(wǎng)絡(luò)攻擊的本次告警消息和歷史告警消息，本次告警消息包括本次告警設(shè)備的設(shè)備標(biāo)識；根據(jù)本次告警消息和歷史告警消息，生成內(nèi)部脆弱點(diǎn)列表，內(nèi)部脆弱點(diǎn)列表包括內(nèi)部網(wǎng)絡(luò)系統(tǒng)中與本次告警設(shè)備有通信連接的且歷史上受到過網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識；根據(jù)獲取到的內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息，確定網(wǎng)絡(luò)攻擊的攻擊路徑。這樣本發(fā)明實(shí)施例通過溯源網(wǎng)絡(luò)攻擊的攻擊路徑，可以確定網(wǎng)絡(luò)攻擊的源網(wǎng)絡(luò)攻擊設(shè)備，進(jìn)而可以定位攻擊者及其背景信息。

應(yīng)當(dāng)理解的是，以上的一般描述和后文的細(xì)節(jié)描述僅是示例性和解釋性的，并不能限制本發(fā)明。

附圖說明

此處的附圖被并入說明書中并構(gòu)成本說明書的一部分，示出了符合本發(fā)明的實(shí)施例，并與說明書一起用于解釋本發(fā)明的原理。

圖1是本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)攻擊溯源的應(yīng)用場景示意圖；

圖2是本發(fā)明實(shí)施例中提供的攻擊溯源實(shí)現(xiàn)流程圖；

圖3是本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)攻擊溯源實(shí)現(xiàn)方法的流程圖；

圖4是圖3中步驟s320的流程圖；

圖5是圖3中步驟s330的流程圖；

圖6是本發(fā)明又一實(shí)施例提供的一種網(wǎng)絡(luò)攻擊溯源實(shí)現(xiàn)方法的流程圖；

圖7是本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)攻擊溯源實(shí)現(xiàn)裝置的結(jié)構(gòu)示意圖；

圖8是圖7中列表生成模塊的示意圖；

圖9是圖7中擊路徑確定模塊的示意圖；

圖10是本發(fā)明又一實(shí)施例提供的一種網(wǎng)絡(luò)攻擊溯源實(shí)現(xiàn)裝置的結(jié)構(gòu)示意圖；

圖11是本發(fā)明實(shí)施例提供的一種服務(wù)器的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面結(jié)合附圖，對本發(fā)明的實(shí)施例進(jìn)行描述。

apt攻擊主要是利用先進(jìn)的攻擊手段，并對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊。因此，相對于其他類型的攻擊形式，apt攻擊的攻擊形式更加的高級和先進(jìn)，其高級性主要體現(xiàn)在apt在發(fā)動攻擊之前會對攻擊對象的業(yè)務(wù)流程及對攻擊對象所在的系統(tǒng)進(jìn)行精確的信息收集。在此信息收集的過程中，apt攻擊會主動挖掘攻擊對象受信系統(tǒng)和應(yīng)用程序的漏洞，利用這些漏洞組建攻擊者所需的網(wǎng)絡(luò)，并且還可以利用攻擊對象的0day漏洞發(fā)起網(wǎng)絡(luò)攻擊。因此，傳統(tǒng)的如設(shè)置防火墻等防護(hù)措施無法有效應(yīng)對apt類型的網(wǎng)絡(luò)攻擊。

在系統(tǒng)受到apt等類型的網(wǎng)絡(luò)攻擊時(shí)，為了及時(shí)準(zhǔn)確定位攻擊者，以便最大程度的減小用戶因受到apt等網(wǎng)絡(luò)攻擊時(shí)受到的損失，本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)攻擊溯源實(shí)現(xiàn)方法及裝置。

圖1為本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)攻擊溯源的應(yīng)用場景示意圖，如圖1所示，網(wǎng)絡(luò)安全服務(wù)器100可以通過交換機(jī)200分別與計(jì)算機(jī)組300中的網(wǎng)絡(luò)設(shè)備進(jìn)行數(shù)據(jù)交互。網(wǎng)絡(luò)安全服務(wù)器100、交換機(jī)200和計(jì)算機(jī)組300構(gòu)成內(nèi)部網(wǎng)絡(luò)系統(tǒng)，其中，內(nèi)部網(wǎng)絡(luò)中的安全服務(wù)器100和交換機(jī)200的數(shù)量可以分別為一個(gè)或者多個(gè)(至少兩個(gè))，本發(fā)明實(shí)施例并不限于此。

結(jié)合圖1，本發(fā)明實(shí)施例在內(nèi)部網(wǎng)絡(luò)系統(tǒng)中部署網(wǎng)絡(luò)安全系統(tǒng)，通過該網(wǎng)絡(luò)安全系統(tǒng)檢測計(jì)算機(jī)組300中的網(wǎng)絡(luò)設(shè)備中是否異常數(shù)據(jù)，或者檢測計(jì)算機(jī)組300中的網(wǎng)絡(luò)設(shè)備是否有異常動作。如果網(wǎng)絡(luò)安全系統(tǒng)檢測到計(jì)算機(jī)組300中的某一臺或幾臺網(wǎng)絡(luò)設(shè)備出現(xiàn)異常情況，并且如果根據(jù)該異常確定內(nèi)部網(wǎng)絡(luò)系統(tǒng)遭受到如apt等類型的網(wǎng)絡(luò)攻擊，那么網(wǎng)絡(luò)安全系統(tǒng)會發(fā)出告警消息，該告警消息包括：被攻擊網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識、網(wǎng)絡(luò)攻擊時(shí)間、網(wǎng)絡(luò)攻擊的攻擊目的、網(wǎng)絡(luò)攻擊類型和告警級別等等。網(wǎng)絡(luò)安全服務(wù)器100會將該告警消息的內(nèi)容標(biāo)準(zhǔn)化，以便后續(xù)當(dāng)中對該網(wǎng)絡(luò)攻擊的分析。

網(wǎng)絡(luò)安全服務(wù)器100獲取內(nèi)部網(wǎng)絡(luò)系統(tǒng)中與該網(wǎng)絡(luò)攻擊相關(guān)的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識，這些網(wǎng)絡(luò)設(shè)備可以是直接被該網(wǎng)絡(luò)攻擊的直接攻擊對象，這些網(wǎng)絡(luò)設(shè)備還可以是作為該網(wǎng)絡(luò)攻擊的跳板去攻擊其它網(wǎng)絡(luò)設(shè)備，不妨將這些獲取到的與該網(wǎng)絡(luò)攻擊相關(guān)的網(wǎng)絡(luò)設(shè)備稱為告警網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)安全服務(wù)器100在獲取到與本次網(wǎng)絡(luò)攻擊中相關(guān)的網(wǎng)絡(luò)設(shè)備的標(biāo)識后，根據(jù)告警網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識，獲取這些網(wǎng)絡(luò)設(shè)備中的日志信息和流量監(jiān)控信息，其中，日志信息為網(wǎng)絡(luò)設(shè)備中記錄網(wǎng)絡(luò)設(shè)備行為的記錄，主要包括網(wǎng)絡(luò)設(shè)備中日志信息的連接日志，即該網(wǎng)絡(luò)設(shè)備與其他網(wǎng)絡(luò)設(shè)備的交互信息，流量監(jiān)控信息為網(wǎng)絡(luò)設(shè)備之間數(shù)據(jù)的交互情況。

另外，在確定告警網(wǎng)絡(luò)設(shè)備之后，需要根據(jù)這些告警網(wǎng)絡(luò)設(shè)備的日志信息和流量監(jiān)控信息去查找本次網(wǎng)絡(luò)攻擊的攻擊源。由于apt等類型的網(wǎng)絡(luò)攻擊主要是通過外部網(wǎng)絡(luò)系統(tǒng)攻擊內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備，因此，需要根據(jù)告警網(wǎng)絡(luò)設(shè)備來通過還原本次網(wǎng)絡(luò)攻擊的攻擊路徑，最終確定本次網(wǎng)絡(luò)攻擊中位于外部網(wǎng)絡(luò)系統(tǒng)中的攻擊源。其中，可以將內(nèi)部網(wǎng)絡(luò)系統(tǒng)之外的系統(tǒng)稱為外部網(wǎng)絡(luò)系統(tǒng)。

本發(fā)明實(shí)施例中通過獲取告警網(wǎng)絡(luò)設(shè)備的日志信息和流量監(jiān)控信息等，來確定與告警網(wǎng)絡(luò)設(shè)備有與本次網(wǎng)絡(luò)攻擊相關(guān)的其它網(wǎng)絡(luò)設(shè)備，進(jìn)而確定與告警網(wǎng)絡(luò)設(shè)備有直接或間接關(guān)系的網(wǎng)絡(luò)設(shè)備，通過判斷這些網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識，來確定這些網(wǎng)絡(luò)設(shè)備中位于外部網(wǎng)絡(luò)系統(tǒng)中的外部網(wǎng)絡(luò)設(shè)備，并將這些位于外部網(wǎng)絡(luò)系統(tǒng)中的外部網(wǎng)絡(luò)設(shè)備作為本次發(fā)起網(wǎng)絡(luò)攻擊源。

另外，還可以將所有內(nèi)部網(wǎng)絡(luò)系統(tǒng)與本次網(wǎng)絡(luò)攻擊相關(guān)的設(shè)備作為內(nèi)部脆弱點(diǎn)設(shè)備，這些內(nèi)部脆弱點(diǎn)設(shè)備都是直接或者間接收到本次網(wǎng)絡(luò)攻擊的內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備。本發(fā)明實(shí)施例通過內(nèi)部脆弱點(diǎn)設(shè)備中的日志信息和流量監(jiān)控信息等，來確定與內(nèi)部脆弱點(diǎn)有本次網(wǎng)絡(luò)攻擊相關(guān)的其它網(wǎng)絡(luò)設(shè)備，并通過設(shè)備標(biāo)識等分析手段，來確定這些設(shè)備中的位于外部網(wǎng)絡(luò)系統(tǒng)中的外部網(wǎng)絡(luò)設(shè)備，并將這些外部網(wǎng)絡(luò)設(shè)備作為本次網(wǎng)絡(luò)攻擊的攻擊源。

需要說明的，在通過地址解析協(xié)議(addressresolutionprotocol，arp)表、介質(zhì)訪問控制(mediaaccesscontrol,mac)表、路由表和接口信息來確定與網(wǎng)絡(luò)攻擊相關(guān)的網(wǎng)絡(luò)設(shè)備。

在確定網(wǎng)絡(luò)攻擊的攻擊源后，獲取該攻擊源的ip地址，可以根據(jù)攻擊源的ip地址在網(wǎng)絡(luò)安全服務(wù)器100的本地威脅情報(bào)庫中查找該攻擊源的相關(guān)信息，如人員屬性和設(shè)備背景等信息。并且還可以根據(jù)攻擊源的ip地址和行為特征來定位攻擊者，以查詢其背景信息。

結(jié)合圖1，如圖2所示，圖2為本發(fā)明實(shí)施例中提供的攻擊溯源實(shí)現(xiàn)流程圖。

首先，在內(nèi)部網(wǎng)絡(luò)系統(tǒng)發(fā)生apt等類型的網(wǎng)絡(luò)攻擊時(shí)，網(wǎng)絡(luò)安全系統(tǒng)一旦檢測到內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備遭受到網(wǎng)絡(luò)攻擊，出現(xiàn)網(wǎng)絡(luò)攻擊事件，網(wǎng)絡(luò)安全系統(tǒng)會發(fā)出告警信息，該告警信息可以包括：事件時(shí)間、事件中的攻擊目的、攻擊類型和告警級別等。網(wǎng)絡(luò)安全服務(wù)器可以對標(biāo)準(zhǔn)化告警消息中的告警內(nèi)容，用于后續(xù)的分析。其中，事件時(shí)間包括網(wǎng)絡(luò)攻擊事件發(fā)生的起始時(shí)刻和持續(xù)時(shí)長，事件中的攻擊目標(biāo)可以包括被攻擊的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識等，攻擊類型包括apt等類型的攻擊，告警級別為可以反映當(dāng)前內(nèi)部網(wǎng)絡(luò)系統(tǒng)中遭受網(wǎng)絡(luò)攻擊而造成的損失程度以及對后續(xù)內(nèi)部網(wǎng)絡(luò)系統(tǒng)遭受損失的評估等。

其次，攻擊路徑溯源的核心在于還原網(wǎng)絡(luò)連接的每一跳，因此可以根據(jù)設(shè)備的連接日志與流量監(jiān)控等數(shù)據(jù)來源來確定。安全事件告警的最終結(jié)果是攻擊源到攻擊目的的點(diǎn)對點(diǎn)輸出，連接日志及流量監(jiān)控記錄的是系統(tǒng)的發(fā)生的一些操作、訪問行為等以日志的形式進(jìn)行監(jiān)控記錄下來，示例性的，安全事件告警提示是m攻擊n，同時(shí)會有事件發(fā)生時(shí)間，通過安全事件發(fā)生時(shí)間定位到日志中的詳細(xì)信息，展示m是通過什么路徑攻擊到n。因此需要按照連接日志與流量監(jiān)控系統(tǒng)的日志按照事件發(fā)生時(shí)間定位到日志位置，從而將點(diǎn)對點(diǎn)的攻擊還原為攻擊路徑。其中，攻擊溯源需要采集的內(nèi)容包括arp表、mac表、路由表、接口信息表等。arp表、mac表、路由表和接口信息表各類信息是攻擊設(shè)備與被攻擊設(shè)備的信息。

再次，還可以通過追溯內(nèi)部脆弱點(diǎn)，回溯采用的路徑起始點(diǎn)是攻擊目標(biāo)。因此，需要通過查找攻擊目標(biāo)產(chǎn)生連接，且產(chǎn)生過安全事件告警的設(shè)備來鎖定內(nèi)部脆弱點(diǎn)范圍。需要查詢安全事件的告警歷史，將輸出距離攻擊目標(biāo)最近的脆弱點(diǎn)列表。

隨后，根據(jù)攻擊目標(biāo)追溯出的全部連接在告警層面上都是點(diǎn)對點(diǎn)的連接，這些路徑中究竟由幾個(gè)節(jié)點(diǎn)能連接到外網(wǎng)的被控設(shè)備是不可知的，因此需要逐步遞歸還原直到連接目標(biāo)是外網(wǎng)設(shè)備為止。

隨后，在遞歸還原的過程中，需要對全量資產(chǎn)設(shè)備進(jìn)行查詢，以明確資產(chǎn)是否為內(nèi)網(wǎng)設(shè)備。因此需要通過資產(chǎn)管理系統(tǒng)或人工統(tǒng)計(jì)的方式劃定設(shè)備ip的內(nèi)外網(wǎng)分布情況。

最后，情報(bào)庫存儲從外部信息源、威脅情報(bào)生態(tài)圈獲取的戰(zhàn)略級、戰(zhàn)術(shù)級威脅情報(bào)。在線獲取外部威脅情報(bào)庫，更新本地威脅情報(bào)庫，查詢列表中的設(shè)備是否在威脅情報(bào)庫中有備案，通過設(shè)備ip信息和行為特征定位攻擊者，查詢其背景信息。威脅情報(bào)信息關(guān)聯(lián)得出后，可以得到攻擊者的人員屬性、社會背景等信息。另外，通過在線獲取外部威脅情報(bào)庫，更新本地威脅情報(bào)庫，查詢列表中的設(shè)備是否在威脅情報(bào)庫中有備案,通過設(shè)備ip信息和行為特征定位攻擊者，查詢其背景信息。

另外，結(jié)合圖2所示，本發(fā)明實(shí)施例中在接收到網(wǎng)絡(luò)告警消息時(shí)，獲取該網(wǎng)絡(luò)告警消息中包含的網(wǎng)絡(luò)告警設(shè)備的設(shè)備標(biāo)識，根據(jù)網(wǎng)絡(luò)告警設(shè)備的日志信息和流量監(jiān)控信息，獲取內(nèi)部網(wǎng)絡(luò)系統(tǒng)中與該網(wǎng)絡(luò)告警設(shè)備有過連接的所有網(wǎng)絡(luò)設(shè)備，并生成包含這些網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識的列列表，可以記做列表b。查詢列表b中是否有發(fā)生過歷史網(wǎng)絡(luò)告警的網(wǎng)絡(luò)設(shè)備，如果有，那么生成包含有過歷史網(wǎng)絡(luò)告警的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識的列表c。列表c中包括的網(wǎng)絡(luò)設(shè)備為列表b中包括的網(wǎng)絡(luò)設(shè)備中的一部分，相當(dāng)于縮小了列表b的范圍，這樣可以更精確的定位所需查找的內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備。

查找列表c中是否有出現(xiàn)預(yù)設(shè)網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備，例如，列表c中的網(wǎng)絡(luò)設(shè)備是否包含發(fā)生過網(wǎng)絡(luò)監(jiān)聽告警、系統(tǒng)漏洞攻擊告警或者木馬攻擊告警等，如果網(wǎng)絡(luò)設(shè)備中出現(xiàn)過相關(guān)告警，說明該網(wǎng)絡(luò)設(shè)備發(fā)生過相應(yīng)的網(wǎng)絡(luò)攻擊。如果列表c中的網(wǎng)絡(luò)設(shè)備中有出現(xiàn)預(yù)設(shè)網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備，那么將列表c中包含出現(xiàn)預(yù)設(shè)網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備作為列表d。

如圖2所示，將最終得到的列表d作為內(nèi)部脆弱點(diǎn)列表e，內(nèi)部脆弱點(diǎn)列表e中包含的網(wǎng)絡(luò)設(shè)備全部為內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備。由于內(nèi)部脆弱點(diǎn)列表e中包含的網(wǎng)絡(luò)設(shè)備都為內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備，因此，可以獲取內(nèi)部脆弱點(diǎn)列表e中網(wǎng)絡(luò)設(shè)備的日志信息和流量監(jiān)控信息，通過內(nèi)部脆弱點(diǎn)列表e中網(wǎng)絡(luò)設(shè)備的日志信息和流量監(jiān)控信息，可以得到與內(nèi)部脆弱點(diǎn)列表e中網(wǎng)絡(luò)設(shè)備有過通信連接的其它網(wǎng)絡(luò)設(shè)備，并將包含與內(nèi)部脆弱點(diǎn)列表e中網(wǎng)絡(luò)設(shè)備有過通信連接的其它網(wǎng)絡(luò)設(shè)備作為列表f。

獲取列表f中網(wǎng)絡(luò)設(shè)備分別對應(yīng)的ip地址，通過ip地址可以將列表f中的網(wǎng)絡(luò)設(shè)備劃分為內(nèi)部網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)設(shè)備和外部網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備，并將列表f中包含外部網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備作為列表g，通過在威脅情報(bào)系統(tǒng)中查詢列表g中網(wǎng)絡(luò)設(shè)備的情報(bào)信息，可以進(jìn)一步定位本次網(wǎng)絡(luò)攻擊的攻擊源。

另外，如果在列表f中找到位于外部網(wǎng)絡(luò)系統(tǒng)中的外部網(wǎng)絡(luò)設(shè)備，那么中該外部網(wǎng)絡(luò)設(shè)備中確定攻擊源。如果在列表f中未能找到位于外部網(wǎng)絡(luò)系統(tǒng)中的外部網(wǎng)絡(luò)設(shè)備，將該列表f中包括的網(wǎng)絡(luò)設(shè)備作為告警目標(biāo)的設(shè)備a，返回重新執(zhí)行直到找到位于外部網(wǎng)絡(luò)系統(tǒng)中的外部網(wǎng)絡(luò)設(shè)備，以便從外部網(wǎng)絡(luò)設(shè)備中定位攻擊源。

需要說明的是，圖2中的如列表b至列表f，這些列表包括相關(guān)網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識。

在本發(fā)明提供的又一實(shí)施例中，結(jié)合上述各實(shí)施例，為了詳述上述實(shí)施例中網(wǎng)絡(luò)安全服務(wù)器側(cè)的執(zhí)行流程，本發(fā)明實(shí)施例中還提供了一種網(wǎng)絡(luò)攻擊溯源實(shí)現(xiàn)方法，如圖3所示，該方法可以包括以下步驟：

在步驟s310中，獲取內(nèi)部網(wǎng)絡(luò)系統(tǒng)受到網(wǎng)絡(luò)攻擊的本次告警消息和歷史告警消息，本次告警消息包括本次告警設(shè)備的設(shè)備標(biāo)識。

如果網(wǎng)絡(luò)安全系統(tǒng)檢測到計(jì)算機(jī)組中的某一臺或幾臺網(wǎng)絡(luò)設(shè)備出現(xiàn)異常情況，并且如果根據(jù)該異常確定內(nèi)部網(wǎng)絡(luò)系統(tǒng)遭受到如apt等類型的網(wǎng)絡(luò)攻擊，那么網(wǎng)絡(luò)安全系統(tǒng)會發(fā)出告警消息，該告警消息包括：被攻擊網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識、網(wǎng)絡(luò)攻擊時(shí)間、網(wǎng)絡(luò)攻擊的攻擊目的、網(wǎng)絡(luò)攻擊類型和告警級別等等。網(wǎng)絡(luò)安全服務(wù)器會將該告警消息的內(nèi)容標(biāo)準(zhǔn)化，以便后續(xù)當(dāng)中對該網(wǎng)絡(luò)攻擊的分析。

在步驟s320中，根據(jù)本次告警消息和歷史告警消息，生成內(nèi)部脆弱點(diǎn)列表。

其中，內(nèi)部脆弱點(diǎn)列表包括內(nèi)部網(wǎng)絡(luò)系統(tǒng)中與本次告警設(shè)備有通信連接的且歷史上受到過網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識。

網(wǎng)絡(luò)安全服務(wù)器獲取內(nèi)部網(wǎng)絡(luò)系統(tǒng)中與該網(wǎng)絡(luò)攻擊相關(guān)的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識，這些網(wǎng)絡(luò)設(shè)備可以是直接被該網(wǎng)絡(luò)攻擊的直接攻擊對象，這些網(wǎng)絡(luò)設(shè)備還可以是作為該網(wǎng)絡(luò)攻擊的跳板去攻擊其它網(wǎng)絡(luò)設(shè)備，可以將這些獲取到的與該網(wǎng)絡(luò)攻擊相關(guān)的網(wǎng)絡(luò)設(shè)備稱為告警網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)安全服務(wù)器在獲取到與本次網(wǎng)絡(luò)攻擊中相關(guān)的網(wǎng)絡(luò)設(shè)備的標(biāo)識后，根據(jù)告警網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識，獲取這些網(wǎng)絡(luò)設(shè)備中的日志信息和流量監(jiān)控信息，其中，日志信息為網(wǎng)絡(luò)設(shè)備中記錄網(wǎng)絡(luò)設(shè)備行為的記錄，主要包括網(wǎng)絡(luò)設(shè)備中日志信息的連接日志，即該網(wǎng)絡(luò)設(shè)備與其他網(wǎng)絡(luò)設(shè)備的交互信息，流量監(jiān)控信息為網(wǎng)絡(luò)設(shè)備之間數(shù)據(jù)的交互情況。本發(fā)明實(shí)施例中生成的內(nèi)部脆弱點(diǎn)列表，該內(nèi)部脆弱點(diǎn)列表中包括的網(wǎng)絡(luò)設(shè)備是距離攻擊目標(biāo)最近的設(shè)備，可以通過內(nèi)部脆弱點(diǎn)列表中包括的設(shè)備進(jìn)一步確定攻擊源。

在步驟s330中，根據(jù)獲取到的內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息，確定網(wǎng)絡(luò)攻擊的攻擊路徑。

在根據(jù)告警消息確定告警網(wǎng)絡(luò)設(shè)備之后，需要根據(jù)這些告警網(wǎng)絡(luò)設(shè)備的日志信息和流量監(jiān)控信息去查找本次網(wǎng)絡(luò)攻擊的攻擊源。由于apt等類型的網(wǎng)絡(luò)攻擊主要是通過外部網(wǎng)絡(luò)系統(tǒng)攻擊內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備，因此，需要根據(jù)告警網(wǎng)絡(luò)設(shè)備來通過還原本次網(wǎng)絡(luò)攻擊的攻擊路徑，最終確定本次網(wǎng)絡(luò)攻擊中位于外部網(wǎng)絡(luò)系統(tǒng)中的攻擊源。其中，可以將內(nèi)部網(wǎng)絡(luò)系統(tǒng)之外的系統(tǒng)稱為外部網(wǎng)絡(luò)系統(tǒng)。

為了詳述如何確定網(wǎng)絡(luò)攻擊的攻擊路徑，作為圖3方法的細(xì)化，在本發(fā)明提供的又一實(shí)施例中，如圖4所示，告警消息包括告警網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識，步驟s320可以包括如下步驟：

在步驟s321中，根據(jù)本次告警設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息，生成第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表。

其中，第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表包括內(nèi)部網(wǎng)絡(luò)系統(tǒng)中與本次告警設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識。

在步驟s322中，根據(jù)歷史告警消息，生成第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表。

其中，第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表包括第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表中歷史上受到過告警的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識。

在步驟s323中，確定第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表中包括有預(yù)設(shè)網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備，得到第三內(nèi)部網(wǎng)絡(luò)設(shè)備列表。

其中，第三內(nèi)部網(wǎng)絡(luò)設(shè)備列表包括第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表中包括有預(yù)設(shè)網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備，預(yù)設(shè)網(wǎng)絡(luò)攻擊告警，包括下述至少一種：網(wǎng)絡(luò)監(jiān)聽告警、系統(tǒng)漏洞攻擊告警和木馬攻擊告警。

在步驟s324中，將第三內(nèi)部網(wǎng)絡(luò)設(shè)備列表作為內(nèi)部脆弱點(diǎn)列表。

結(jié)合圖2所示，將最終得到的列表d作為內(nèi)部脆弱點(diǎn)列表e，內(nèi)部脆弱點(diǎn)列表e中包含的網(wǎng)絡(luò)設(shè)備全部為內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備。由于內(nèi)部脆弱點(diǎn)列表e中包含的網(wǎng)絡(luò)設(shè)備都為內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備，因此，可以獲取內(nèi)部脆弱點(diǎn)列表e中網(wǎng)絡(luò)設(shè)備的日志信息和流量監(jiān)控信息，通過內(nèi)部脆弱點(diǎn)列表e中網(wǎng)絡(luò)設(shè)備的日志信息和流量監(jiān)控信息，可以得到與內(nèi)部脆弱點(diǎn)列表e中網(wǎng)絡(luò)設(shè)備有過通信連接的其它網(wǎng)絡(luò)設(shè)備，并將包含與內(nèi)部脆弱點(diǎn)列表e中網(wǎng)絡(luò)設(shè)備有過通信連接的其它網(wǎng)絡(luò)設(shè)備作為列表f。

作為圖3方法的細(xì)化，如圖5所示，在本發(fā)明提供的又一實(shí)施例中，步驟s330還可以包括如下步驟：

在步驟s331中，根據(jù)獲取到的內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息，確定與內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備。

在步驟s332中，判斷與內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中是否包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備。

若與內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備，在步驟s333中，根據(jù)外網(wǎng)設(shè)備、各列表及本次告警設(shè)備，生成網(wǎng)絡(luò)攻擊的攻擊路徑。

其中，結(jié)合上述圖2及其對應(yīng)的實(shí)施例，本發(fā)明實(shí)施例中涉及到的第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表相當(dāng)于圖2中的列表b，第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表相當(dāng)于圖2中的列表c，第三內(nèi)部網(wǎng)絡(luò)設(shè)備列表相當(dāng)于圖2中的列表d，內(nèi)部脆弱點(diǎn)列表與列表d相同。本發(fā)明實(shí)施例中通過不斷通過第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表至第三內(nèi)部網(wǎng)絡(luò)設(shè)備列表，來判斷是否有與內(nèi)部脆弱點(diǎn)列表中網(wǎng)絡(luò)設(shè)備通信的外部網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備，如果沒有，那么將與內(nèi)部脆弱點(diǎn)列表中網(wǎng)絡(luò)設(shè)備作為新的本次告警設(shè)備，返回步驟321繼續(xù)循環(huán)查找，直到與內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備為止。

網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識，示例性的，可以是網(wǎng)絡(luò)設(shè)備的ip地址等，可以根據(jù)網(wǎng)絡(luò)設(shè)備的ip地址來確定網(wǎng)絡(luò)設(shè)備是屬于內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的設(shè)備還是外部網(wǎng)絡(luò)設(shè)備中的設(shè)備。

另外，若與內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中不包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備，返回執(zhí)行步驟s321直到找到位于外部網(wǎng)絡(luò)系統(tǒng)中的外部網(wǎng)絡(luò)設(shè)備，以便在外部網(wǎng)絡(luò)設(shè)備中確定攻擊源?；蛘?，在本發(fā)明提供的又一實(shí)施例中，若與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備，將所述外網(wǎng)設(shè)備確定為攻擊源。這時(shí)攻擊源可能包括外部網(wǎng)絡(luò)系統(tǒng)中的一個(gè)或者多個(gè)網(wǎng)絡(luò)設(shè)備，如果攻擊源為外部網(wǎng)絡(luò)系統(tǒng)中的多個(gè)網(wǎng)絡(luò)設(shè)備，根據(jù)需要，還可以具體從這些多個(gè)網(wǎng)絡(luò)設(shè)備中再進(jìn)一步確定為其中的一個(gè)作為攻擊源。

另外，步驟s333具體還可以是根據(jù)攻擊源、各列表及本次告警設(shè)備，生成網(wǎng)絡(luò)攻擊的攻擊路徑。

其中，本發(fā)明實(shí)施例中的各列表，包括第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表、第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表、第三內(nèi)部網(wǎng)絡(luò)設(shè)備列表和內(nèi)部脆弱點(diǎn)列表，本發(fā)明實(shí)施例中涉及到的第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表相當(dāng)于圖2中的列表b，第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表相當(dāng)于圖2中的列表c，第三內(nèi)部網(wǎng)絡(luò)設(shè)備列表相當(dāng)于圖2中的列表d，其中，內(nèi)部脆弱點(diǎn)列表與列表d相同。本發(fā)明實(shí)施例中生成的網(wǎng)絡(luò)攻擊路徑，包括由內(nèi)部網(wǎng)絡(luò)系統(tǒng)中受到網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備和外部網(wǎng)絡(luò)系統(tǒng)中發(fā)起網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備組成，通過還原網(wǎng)絡(luò)攻擊路徑，可以追溯攻擊源，進(jìn)而定位攻擊者，以便采取相關(guān)防護(hù)措施，避免進(jìn)一步擴(kuò)大由于網(wǎng)絡(luò)攻擊造成的損失。

作為圖3方法的細(xì)化，如圖6所示，在本發(fā)明提供的又一實(shí)施例中，該方法還可以包括如下步驟：

在步驟s340中，獲取外部網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識。

在步驟s350中，在本地威脅情報(bào)庫中查找與設(shè)備標(biāo)識相對應(yīng)的情報(bào)信息。

在步驟s360中，根據(jù)情報(bào)信息獲取外部網(wǎng)絡(luò)設(shè)備中的攻擊源。

情報(bào)庫存儲從外部信息源、威脅情報(bào)生態(tài)圈獲取的戰(zhàn)略級、戰(zhàn)術(shù)級威脅情報(bào)。在線獲取外部威脅情報(bào)庫，更新本地威脅情報(bào)庫，查詢列表中的設(shè)備是否在威脅情報(bào)庫中有備案，通過設(shè)備ip信息和行為特征定位攻擊者，查詢其背景信息。威脅情報(bào)信息關(guān)聯(lián)得出后，可以得到攻擊源的人員屬性、社會背景等信息。

本發(fā)明實(shí)施例還可以通過獲取預(yù)設(shè)威脅情報(bào)庫中的情報(bào)信息，來及時(shí)更新本地威脅情報(bào)庫，便于在內(nèi)部網(wǎng)絡(luò)系統(tǒng)受到網(wǎng)絡(luò)攻擊時(shí)，在獲取到網(wǎng)絡(luò)攻擊的源攻擊設(shè)備的ip地址或網(wǎng)絡(luò)攻擊行為特征后，可以根據(jù)源攻擊設(shè)備的ip地址即網(wǎng)絡(luò)攻擊行為特征來定位攻擊者，查詢其背景信息。該預(yù)設(shè)威脅情報(bào)庫中可以位于外部網(wǎng)絡(luò)系統(tǒng)中。

本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)攻擊溯源實(shí)現(xiàn)方法，通過根據(jù)接收到的內(nèi)部網(wǎng)絡(luò)系統(tǒng)受到網(wǎng)絡(luò)攻擊的告警消息，確定網(wǎng)絡(luò)攻擊的攻擊路徑，如果攻擊路徑中包括位于外部網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備，將網(wǎng)絡(luò)設(shè)備確定為該網(wǎng)絡(luò)攻擊的源網(wǎng)絡(luò)攻擊設(shè)備。這樣本發(fā)明實(shí)施例通過溯源網(wǎng)絡(luò)攻擊的攻擊路徑，確定網(wǎng)絡(luò)攻擊的源網(wǎng)絡(luò)攻擊設(shè)備，進(jìn)而可以進(jìn)一步定位攻擊者及其背景信息。

通過以上的方法實(shí)施例的描述，所屬領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺的方式來實(shí)現(xiàn)，當(dāng)然也可以通過硬件，但很多情況下前者是更佳的實(shí)施方式?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品存儲在一個(gè)存儲介質(zhì)中，包括若干指令用以使得一臺計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括：只讀存儲器(rom)、隨機(jī)存取存儲器(ram)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

另外，作為對上述各實(shí)施例的實(shí)現(xiàn)，本發(fā)明實(shí)施例還提供了一種網(wǎng)絡(luò)攻擊溯源實(shí)現(xiàn)裝置，該裝置位于服務(wù)器中，如圖7所示，該裝置包括：

消息獲取模塊10，用于獲取內(nèi)部網(wǎng)絡(luò)系統(tǒng)受到網(wǎng)絡(luò)攻擊的本次告警消息和歷史告警消息，所述本次告警消息包括本次告警設(shè)備的設(shè)備標(biāo)識；

列表生成模塊20，用于根據(jù)所述本次告警消息和所述歷史告警消息，生成內(nèi)部脆弱點(diǎn)列表，所述內(nèi)部脆弱點(diǎn)列表包括所述內(nèi)部網(wǎng)絡(luò)系統(tǒng)中與所述本次告警設(shè)備有通信連接的且歷史上受到過所述網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識；

攻擊路徑確定模塊30，用于根據(jù)獲取到的所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息，確定所述網(wǎng)絡(luò)攻擊的攻擊路徑。

基于圖7，在本發(fā)明提供的又一實(shí)施例中，如圖8所示，所述列表生成模塊20，包括：

第一列表生成子模塊21，用于根據(jù)所述本次告警設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息，生成第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表，所述第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表包括所述內(nèi)部網(wǎng)絡(luò)系統(tǒng)中與所述本次告警設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識；

第二列表生成子模塊22，用于根據(jù)所述歷史告警消息，生成第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表，所述第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表包括所述第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表中歷史上受到過告警的網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識；

第三列表生成子模塊23，用于確定所述第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表中包括有預(yù)設(shè)網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備，得到第三內(nèi)部網(wǎng)絡(luò)設(shè)備列表，所述第三內(nèi)部網(wǎng)絡(luò)設(shè)備列表包括所述第二內(nèi)部網(wǎng)絡(luò)設(shè)備列表中包括有預(yù)設(shè)網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)設(shè)備，所述預(yù)設(shè)網(wǎng)絡(luò)攻擊告警，包括下述至少一種：網(wǎng)絡(luò)監(jiān)聽告警、系統(tǒng)漏洞攻擊告警和木馬攻擊告警；

將所述第三內(nèi)部網(wǎng)絡(luò)設(shè)備列表作為所述內(nèi)部脆弱點(diǎn)列表?；趫D7，在本發(fā)明提供的又一實(shí)施例中，如圖9所示，所述攻擊路徑確定模塊30，包括：

設(shè)備確定子模塊31，用于根據(jù)獲取到的所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息，確定與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備；

判斷子模塊32，用于判斷與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中是否包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備；

攻擊路徑生成子模塊33，用于在與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備時(shí)，根據(jù)所述外網(wǎng)設(shè)備、各列表及所述本次告警設(shè)備，生成所述網(wǎng)絡(luò)攻擊的攻擊路徑。

基于圖7，在本發(fā)明提供的又一實(shí)施例中，第一列表生成子模塊21，還用于在與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中不包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備時(shí)，根據(jù)所述本次告警設(shè)備的日志信息和網(wǎng)絡(luò)流量監(jiān)控信息生成第一內(nèi)部網(wǎng)絡(luò)設(shè)備列表。

基于圖7，在本發(fā)明提供的又一實(shí)施例中，如圖10所示，該裝置還可以包括：

設(shè)備標(biāo)識獲取模塊40，用于獲取所述外部網(wǎng)絡(luò)設(shè)備的設(shè)備標(biāo)識；

情報(bào)信息查找模塊50，用于在本地威脅情報(bào)庫中查找與所述設(shè)備標(biāo)識相對應(yīng)的情報(bào)信息；

攻擊源獲取模塊60，用于根據(jù)所述情報(bào)信息獲取所述外部網(wǎng)絡(luò)設(shè)備中的攻擊源。

或者，在本發(fā)明提供的又一實(shí)施例匯總，該裝置還可以包括攻擊源確定模塊，用于在與所述內(nèi)部脆弱點(diǎn)列表中的網(wǎng)絡(luò)設(shè)備有通信連接的網(wǎng)絡(luò)設(shè)備中包括外部網(wǎng)絡(luò)系統(tǒng)的外部網(wǎng)絡(luò)設(shè)備時(shí)，將所述外網(wǎng)設(shè)備確定為攻擊源；

關(guān)于上述實(shí)施例中的裝置，其中各個(gè)模塊執(zhí)行操作的具體方式已經(jīng)在有關(guān)該方法的實(shí)施例中進(jìn)行了詳細(xì)描述，此處將不做詳細(xì)闡述說明。

本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)攻擊溯源實(shí)現(xiàn)裝置，通過根據(jù)接收到的內(nèi)部網(wǎng)絡(luò)系統(tǒng)受到網(wǎng)絡(luò)攻擊的告警消息，確定網(wǎng)絡(luò)攻擊的攻擊路徑，如果攻擊路徑中包括位于外部網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備，將網(wǎng)絡(luò)設(shè)備確定為該網(wǎng)絡(luò)攻擊的源網(wǎng)絡(luò)攻擊設(shè)備。這樣本發(fā)明實(shí)施例通過溯源網(wǎng)絡(luò)攻擊的攻擊路徑，確定網(wǎng)絡(luò)攻擊的源網(wǎng)絡(luò)攻擊設(shè)備，進(jìn)而可以進(jìn)一步定位攻擊者及其背景。

本發(fā)明實(shí)施例還提供一種服務(wù)器，如圖11所示，該服務(wù)器210包括：至少一個(gè)處理器211、至少一個(gè)總線212、至少一個(gè)通信接口213和至少一個(gè)存儲器214，其中，

存儲器214用于存儲計(jì)算機(jī)執(zhí)行指令；存儲器214可以包括只讀存儲器和隨機(jī)存取存儲器，并向處理器211提供指令和數(shù)據(jù)。存儲器214的一部分還可以包括非易失性隨機(jī)存取存儲器(nvram，non-volatilerandomaccessmemory)；

處理器211與通信接口213、存儲器214通過總線212相連接；

在本發(fā)明一個(gè)實(shí)施例中，當(dāng)計(jì)算機(jī)運(yùn)行時(shí)，處理器211執(zhí)行存儲器214中存儲的計(jì)算機(jī)執(zhí)行指令，處理器211可以用于執(zhí)行上述網(wǎng)絡(luò)攻擊溯源實(shí)現(xiàn)方法中任一實(shí)施例中的步驟。

可以理解的是，本發(fā)明可用于眾多通用或?qū)Ｓ玫挠?jì)算系統(tǒng)環(huán)境或配置中。例如：個(gè)人計(jì)算機(jī)、服務(wù)器計(jì)算機(jī)、手持設(shè)備或便攜式設(shè)備、平板型設(shè)備、多處理器系統(tǒng)、基于微處理器的系統(tǒng)、置頂盒、可編程的消費(fèi)電子設(shè)備、網(wǎng)絡(luò)pc、小型計(jì)算機(jī)、大型計(jì)算機(jī)、包括以上任何系統(tǒng)或設(shè)備的分布式計(jì)算環(huán)境等等。

本發(fā)明可以在由計(jì)算機(jī)執(zhí)行的計(jì)算機(jī)可執(zhí)行指令的一般上下文中描述，例如程序模塊。一般地，程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程、程序、對象、組件、數(shù)據(jù)結(jié)構(gòu)等等。也可以在分布式計(jì)算環(huán)境中實(shí)踐本發(fā)明，在這些分布式計(jì)算環(huán)境中，由通過通信網(wǎng)絡(luò)而被連接的遠(yuǎn)程處理設(shè)備來執(zhí)行任務(wù)。在分布式計(jì)算環(huán)境中，程序模塊可以位于包括存儲設(shè)備在內(nèi)的本地和遠(yuǎn)程計(jì)算機(jī)存儲介質(zhì)中。

需要說明的是，在本文中，諸如“第一”和“第二”等之類的關(guān)系術(shù)語僅僅用來將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來，而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個(gè)……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。

本領(lǐng)域技術(shù)人員在考慮說明書及實(shí)踐這里公開的發(fā)明后，將容易想到本發(fā)明的其它實(shí)施方案。本申請旨在涵蓋本發(fā)明的任何變型、用途或者適應(yīng)性變化，這些變型、用途或者適應(yīng)性變化遵循本發(fā)明的一般性原理并包括本發(fā)明未公開的本技術(shù)領(lǐng)域中的公知常識或慣用技術(shù)手段。說明書和實(shí)施例僅被視為示例性的，本發(fā)明的真正范圍和精神由下面的權(quán)利要求指出。

應(yīng)當(dāng)理解的是，本發(fā)明并不局限于上面已經(jīng)描述并在附圖中示出的精確結(jié)構(gòu)，并且可以在不脫離其范圍進(jìn)行各種修改和改變。本發(fā)明的范圍僅由所附的權(quán)利要求來限制。