[发明专利]一种自动巡查及网络攻击溯源方法

说明书

本发明公开了一种自动巡查及网络攻击溯源方法，一种自动巡查及网络攻击溯源方法，包括：溯源态势单元：溯源态势单元由态势首页模块和黑客画像模块组成，通过已知信息对黑客画像进行大屏展示以及当前溯源总体情况展示；数据收集单元：数据收集单元由安全设备接入模块、日志接入模块和网络攻击监测模块组成，通过数据收集单元，将各种安全设备、日志和监测到的网络攻击接入到攻击者全息追溯微应用中，进行数据整合分析；主机取证单元：主机取证单元由探针部署模块、Linux模块和windows主机取证模块组成。本发明解决了溯源反制能力薄弱、溯源反制工作人员少、工作量大的现状，有利于提升整体溯源反制水平。

技术领域

本发明属于网络安全技术领域，具体涉及一种自动巡查及网络攻击溯源方法。

背景技术

溯源反制工作是以攻促防的第一步，而网络攻击溯源区别于传统防护理念，需要从攻击者视角出发，通过分析将不同时点、不同部位的攻击碎片重组为攻击事件，并对攻击者手法、目的、背景等进行深度溯源，实现更精准、高效的威胁发现与反制。安徽公司现有防御体系中多为被动防御的安全设备，无法做到主动防御，难以对海量攻击进行溯源，因此需要一种手段，通过对安全设备情报日志、攻击行为数据、攻击者身份等多角度分析，开展身份信息自动化获取，辅助开展反制工作，提升公司主动防御能力。

目前溯源反制主要靠蓝队人员自身经验开展，所需使用的工具、流程、思路因人而异，溯源过程中信息收集大相径庭，极大地限制了溯源反制工作质量和成果，目前很多公司溯源反制对厂商的依赖较大。同时溯源反制工作对于技术的要求较高，需要掌握的知识点多，能够参与到溯源反制工作的人员较少。并且，溯源反制工作作为日常网络安全分析室工作的重要内容之一，已经成为日常工作必不可少工作，同时溯源反制的环节较多，且每个环节所花费的时间较长，常1个完整的溯源反制工作耗时约8小时，随着溯源目标数量的增加，工作量将成几何倍数增加，人工不能够做到24小时及时地进行溯源反制工作

发明内容

(一)解决的技术问题

针对现有的技术不足，本发明的目的是提供一种自动巡查及网络攻击溯源方法，解决了背景技术中提到的问题。

(二)技术方案

本为实现上述目的，本发明提供如下技术方案，一种自动巡查及网络攻击溯源方法，包括：

溯源态势单元：溯源态势单元由态势首页模块和黑客画像模块组成，通过已知信息对黑客画像进行大屏展示以及当前溯源总体情况展示；

数据收集单元：数据收集单元由安全设备接入模块、日志接入模块和网络攻击监测模块组成，通过数据收集单元，将各种安全设备、日志和监测到的网络攻击接入到攻击者全息追溯微应用中，进行数据整合分析；

主机取证单元：主机取证单元由探针部署模块、Linux模块和windows主机取证模块组成，通过主机取证模块单元，对主机的信息进行分析处置，自动化的对主机进行取证；

自动化溯源反制单元：自动化溯源反制单元由事件列表模块和专家模块，通过自动化溯源反制单元，对攻击者信息进行自动化收集，并通过对应的漏洞信息进行自动化溯源反制；

样本分析单元：样本分析单元由信息采集模块和取证痕迹清除模块，通过样本分析模块，使用自动化工具对样本进行一键提取；

黑客情报库：黑客情报库包括攻击者信息模块和黑客知识库，在溯源反制时，根据溯源反制形成的黑客画像进行数据比对，既可以达到信息完善时的精准黑客定位，也可以在信息不充足时形成模糊定位，为接下来的溯源反制提供方向；

工作台：工作台由任务管理模块、智能派单模块和报告管理模块组成；

知识库：知识库包含漏洞知识库、溯源反制经验集、案例库、知识库管理模块；