[发明专利]一体化网络攻击取证溯源方法、系统、设备及存储介质

权利要求书

1.一体化网络攻击取证溯源方法，其特征在于，所述方法包括：

向运行在目标主机的取证平台模块下发取证命令对目标主机进行网络攻击取证；所述对目标主机进行网络攻击取证包括：从目标主机获取网络攻击取证数据；对取证数据进行取证处理；及对取证处理后的取证数据进行取证归类分析；

从取证平台模块采集溯源数据；

进行溯源数据分析获取预定格式的溯源数据；

基于预定格式的溯源数据进行融合；

基于融合后的溯源数据进行取证溯源综合分析；所述取证溯源综合分析包括：从黑客指纹档案库调取黑客指纹数据；将融合后的溯源数据与黑客指纹数据进行比对；及基于比对结果对目标主机的网络攻击行为进行溯源；所述取证溯源综合分析是基于双重检测规则进行的，所述双重检测规则包括：基于目标主机操作系统检测的大项构建的第一类检测体系和基于多渠道获取的恶意软件和恶意行为的特征构建的第二类检测体系；所述操作系统检测的大项覆盖文件、注册表、启动方式、固件、内存、认证、连接和痕迹；所述恶意软件和恶意行为的特征的来源包括以下一项或多项：对APT攻击中客户失陷主机的取证分析、公开的互联网黑客报告、公开获取到的大量黑客工具和地下工具集；及

输出网络攻击和取证溯源分析报告。

2.如权利要求1所述的方法，其特征在于，所述方法还包括：基于融合后的溯源数据进行取证溯源综合分析之后，将取证溯源综合分析结果存储于取证溯源数据库。

3.一体化网络攻击取证溯源系统，其特征在于，所述系统包括：

运行在目标主机的取证平台模块，所述取证平台模块包括：用于从目标主机获取网络攻击取证数据的取证获取单元、用于对取证数据进行取证处理的取证处理单元及用于对取证处理后的取证数据进行取证归类分析的取证分析单元；

运行在终端设备的溯源平台模块和取证溯源综合分析模块；所述溯源平台模块包括：用于采集溯源数据的溯源数据采集单元、用于进行溯源数据分析获取预定格式的溯源数据的溯源数据分析单元及用于基于预定格式的溯源数据进行融合的溯源数据融合单元；所述取证溯源综合分析模块用于基于融合后的溯源数据进行取证溯源综合分析；所述取证溯源综合分析包括：从黑客指纹档案库调取黑客指纹数据；将融合后的溯源数据与黑客指纹数据进行比对；及基于比对结果对目标主机的网络攻击行为进行溯源；所述取证溯源综合分析是基于双重检测规则进行的，所述双重检测规则包括：基于目标主机操作系统检测的大项构建的第一类检测体系和基于多渠道获取的恶意软件和恶意行为的特征构建的第二类检测体系；所述操作系统检测的大项覆盖文件、注册表、启动方式、固件、内存、认证、连接和痕迹；所述恶意软件和恶意行为的特征的来源包括以下一项或多项：对APT攻击中客户失陷主机的取证分析、公开的互联网黑客报告、公开获取到的大量黑客工具和地下工具集；及

运行于终端设备或云端的数据库平台模块，所述数据库平台模块包括存储有黑客指纹数据的黑客指纹档案库和用于存储取证溯源综合分析结果的取证溯源数据库；

其中，所述溯源平台模块通过外延数据线与所述取证平台模块通信交互连接；所述取证溯源综合分析模块与所述溯源平台模块通信交互获取融合后的溯源数据，所述取证溯源综合分析模块与所述黑客指纹档案库交互连接获取黑客指纹数据。

4.一种计算机设备，其特征在于，所述设备包括：

一个或多个处理器；

存储器，用于存储一个或多个程序；

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如权利要求1至2中任一所述的方法。

5.一种计算机存储介质，其特征在于，所述计算机存储介质存储有计算机程序指令，所述计算机程序指令用于执行如权利要求1至2中任一项所述的方法。