[发明专利]一种自动巡查及网络攻击溯源方法

权利要求书

1.一种自动巡查及网络攻击溯源方法，其特征在于，包括：

溯源态势单元：溯源态势单元由态势首页模块和黑客画像模块组成，通过已知信息对黑客画像进行大屏展示以及当前溯源总体情况展示；

数据收集单元：数据收集单元由安全设备接入模块、日志接入模块和网络攻击监测模块组成，通过数据收集单元，将各种安全设备、日志和监测到的网络攻击接入到攻击者全息追溯微应用中，进行数据整合分析；

主机取证单元：主机取证单元由探针部署模块、Linux模块和windows主机取证模块组成，通过主机取证模块单元，对主机的信息进行分析处置，自动化的对主机进行取证；

自动化溯源反制单元：自动化溯源反制单元由事件列表模块和专家模块，通过自动化溯源反制单元，对攻击者信息进行自动化收集，并通过对应的漏洞信息进行自动化溯源反制；

样本分析单元：样本分析单元由信息采集模块和取证痕迹清除模块，通过样本分析模块，使用自动化工具对样本进行一键提取；

黑客情报库：黑客情报库包括攻击者信息模块和黑客知识库，在溯源反制时，根据溯源反制形成的黑客画像进行数据比对，既可以达到信息完善时的精准黑客定位，也可以在信息不充足时形成模糊定位，为接下来的溯源反制提供方向；

工作台：工作台由任务管理模块、智能派单模块和报告管理模块组成；

知识库：知识库包含漏洞知识库、溯源反制经验集、案例库、知识库管理模块；

溯源反制工具单元：溯源反制工具单元包括网络ID全文检索模块、IP批量反查域名模块、引擎检索模块，whois查询模块、服务器信息收集模块、云沙箱样本分析模块、xss盲打模块、在线解码模块、ICP备案查询模块、子域名查询模块、CMS系统识别模块、空间资产探测模块、Web指纹探测模块和杀软特征识别；

系统配置单元：系统配置单元包括用户管理模块、基础信息配置模块、系统信息模块和白名单管理模块。

2.根据权利要求1的一种自动巡查及网络攻击溯源方法，其特征在于，态势首页模块对提交到攻击者全息追溯微应用的格式化数据，并通过数据类型进行智能化建模并通过大屏输出相关特征，展示目前的溯源整体情况，并可通过点击对应的溯源支线进行详情查看；

黑客画像模块对黑客的信息进行自动化整理输出，进行流程化溯源以及通过数据分析进行黑客个性化溯源。

3.根据权力要求1的一种自动巡查及网络攻击溯源方法，其特征在于，安全设备接入模块通过添加监测类安全设备，将监测到的攻击数据进行整合，提交到对应的数据搜集模块，通过分析syslog日志并设置规则匹配可自动进行告警信息解析；

日志接入模块通过对日志进行解析进行标准化输出，为可视化数据展示以及描绘黑客画像打下基础；

网络攻击监测模块对网络侧的攻击，进行数据监测和大屏展示，显示攻击者攻击路径和攻击频率以及攻击手法。

4.根据权利要求1的一种自动巡查及网络攻击溯源方法，其特征在于，探针部署模块通过部署主机探针，对主机的组件和服务信息以及事件等进行探测；

linux主机取证模块对Linux主机进行取证事件管理，自动化运行linux相关指令以及相关工具，并对结果进行格式化输出；

windows主机取证模块对windows主机进行取证事件管理，自动化运行windows相关指令以及相关工具，并对结果进行格式化输出。

5.根据权利要求1的一种自动巡查及网络攻击溯源方法，其特征在于，事件列表模块为被动检测，通过高精度地理位置、威胁情报指数、历史攻击访问行为、SRC平台记录、空间资产探测记录，多维度收集攻击者身份信息发现资产信息，根据服务的不同，发现相关的反制点；

专家模块为主动检测，通过对攻击者资产进行扫描、web服务识别匹配漏洞库里的漏洞信息，使用相应的poc进行一键getshell功能反制攻击者攻击设施，为描绘黑客画像打下基础。