[发明专利]网络攻击溯源实现方法及装置

说明书

本发明是关于一种网络攻击溯源实现方法及装置，其方法包括：获取内部网络系统受到网络攻击的本次告警消息和历史告警消息，所述本次告警消息包括本次告警设备的设备标识；根据所述本次告警消息和所述历史告警消息，生成内部脆弱点列表，所述内部脆弱点列表包括所述内部网络系统中与所述本次告警设备有通信连接的且历史上受到过所述网络攻击的网络设备的设备标识；根据获取到的所述内部脆弱点列表中的网络设备的日志信息和网络流量监控信息，确定所述网络攻击的攻击路径。这样本发明通过溯源网络攻击的攻击路径，确定网络攻击的源网络攻击设备，进而可以定位攻击者及其背景信息。

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种网络攻击溯源实现方法及装置。

背景技术

近年来，随着网络的不断普及，网络攻击者采用的攻击技术及攻击手段也有了新的发展趋势。因此，网络安全问题也需要网络用户不断的关注并采取有效的安全防护措施。而传统的网络安全防护主要是通过在网络边界点设置防火墙等安全工具，将需要防御的内网与外网隔离开来，达到防护的目的。

现有技术当中采用的防护措施，对于常见的网络攻击比较有效。例如，常见的网络攻击一般是通过一个节点来攻击其他节点、针对系统漏洞进行攻击或者放置特洛伊木马程序等。这些常见的网络攻击类型采用的攻击方式较为单一，并具有易发现、易防护的特点，一般通过设置防火墙等方式就可以进行有效的安全防护。

然而，对于高级持续性威胁(Advanced Persistent Threat，APT)攻击，由于APT等类型的网络攻击与常见的网络攻击具有两方面的区别：(1)高级性：使用的工具或恶意程序一般都是专门开发的，很难检测到；另外攻击中会用到一个或多个0day漏洞。(2)持续性：一般会花费比较长时间，观察、踩点、收集信息、社会工程、逐步渗透和信息回传等等。因此，现有技术当中的安全防护措施无法对APT等类型的攻击进行有效的安全防护。

发明内容

为克服相关技术中现有的安全防护措施无法对APT等类型的攻击进行有效的安全防护的问题，本发明提供一种网络攻击溯源实现方法及装置。

根据本发明实施例的第一方面，提供一种网络攻击溯源实现方法，包括：

获取内部网络系统受到网络攻击的本次告警消息和历史告警消息，所述本次告警消息包括本次告警设备的设备标识；

根据所述本次告警消息和所述历史告警消息，生成内部脆弱点列表，所述内部脆弱点列表包括所述内部网络系统中与所述本次告警设备有通信连接的且历史上受到过所述网络攻击的网络设备的设备标识；

根据获取到的所述内部脆弱点列表中的网络设备的日志信息和网络流量监控信息，确定所述网络攻击的攻击路径。

这样本发明实施例通过溯源网络攻击的攻击路径，可以确定网络攻击的源网络攻击设备。

可选地，所述根据所述本次告警消息和所述历史告警消息，生成内部脆弱点列表，包括：

根据所述本次告警设备的日志信息和网络流量监控信息，生成第一内部网络设备列表，所述第一内部网络设备列表包括所述内部网络系统中与所述本次告警设备有通信连接的网络设备的设备标识；

根据所述历史告警消息，生成第二内部网络设备列表，所述第二内部网络设备列表包括所述第一内部网络设备列表中历史上受到过告警的网络设备的设备标识；

确定所述第二内部网络设备列表中包括有预设网络攻击的网络设备，得到第三内部网络设备列表，所述第三内部网络设备列表包括所述第二内部网络设备列表中包括有预设网络攻击的网络设备，所述预设网络攻击告警，包括下述至少一种：网络监听告警、系统漏洞攻击告警和木马攻击告警；

将所述第三内部网络设备列表作为所述内部脆弱点列表。