[发明专利]一种用于分析攻击链的方法、系统及设备

权利要求书

1.一种用于分析攻击链的方法，应用于云WAF系统，其中，所述方法包括：

获取目标应用系统的请求流量以及访问日志；

利用预设的攻击过程模型分析所述请求流量和访问日志确定攻击过程，根据分析得到的攻击过程确定定向攻击；

对所述定向攻击进行回溯，确定回溯信息，并对所述定向攻击对应的攻击日志进行分析，根据对定向攻击的分析结果确定所有攻击对应的时间节点；

根据所述回溯信息以及所述时间节点生成攻击链。

2.根据权利要求1所述的方法，其中，所述获取目标应用系统的请求流量以及访问日志包括：

接管用户的请求流量，将所述请求流量返回服务器；

获取所述服务器对所述请求流量的响应流量，得到目标应用系统的请求流量以及访问日志。

3.根据权利要求1所述的方法，其中，对所述定向攻击进行回溯，确定回溯信息，包括：

根据所述定向攻击对应的互联网协议地址回溯使用所述互联网协议地址进行访问时的所有访问日志，以回溯至信息收集过程，将回溯过程中收集的数据作为回溯信息。

4.根据权利要求1所述的方法，其中，所述时间节点包括数据采集时间点、网站后门访问时间节点、攻击扫描时间点、手工探测时间点和未公开漏洞利用时间点中任一种或任几种组合。

5.根据权利要求1所述的方法，其中，根据所述回溯信息以及所述时间节点生成攻击链之后，包括：

将所述攻击链作为互联网协议地址画像中的一个维度更新所述互联网协议地址画像。

6.根据权利要求1所述的方法，其中，所述预设的攻击过程模型，包括：

根据所述请求流量收集目标业务系统的相关信息；

对所述目标业务系统的相关信息进行扫描确定目标攻击点；

对所述目标攻击点进行攻击，攻击成功后上传获取所述目标业务系统数据的请求；

对所述访问日志以及对所述目标点进行攻击形成的攻击日志进行清除。

7.根据权利要求6所述的方法，其中，所述目标业务系统的相关信息包括企业域名、企业子域名、互联网协议地址、端口信息。

8.根据权利要求6所述的方法，其中，所述对所述目标业务系统的相关信息进行扫描确定目标攻击点，包括：

通过扫描器对所述目标业务系统的相关信息进行扫描时的扫描特征分析所述扫描器探测的访问日志，得到所述扫描器获取的数据信息，其中，所述扫描特征包括扫描互联网协议地址、扫描开始时间、扫描结束时间、扫描网站、扫描器类型以及扫描次数中任几种组合。

9.根据权利要求1所述的方法，其中，所述方法还包括：

根据预设频率以及攻击特征确定探测类型，其中，所述探测类型包括手工探测和扫描器探测。

10.根据权利要求6所述的方法，其中，使用手工探测对所述目标攻击点进行攻击的同时或之后，包括：

获取手工探测参数，其中，所述手工探测参数包括手工探测开始时间、手工探测次数、手工探测互联网协议地址、手工探测的统一资源定位符中任一种或任几种组合。

11.一种使用如权利要求1至10中任一项所述的方法的云WAF系统，其中，所述系统包括：检测防御模块、大数据平台模块、大数据分析模块，其中，

所述检测防御模块用于获取目标应用系统的请求流量以及访问日志，并将所述请求流量及访问日志发送至所述大数据平台模块；

所述大数据分析模块用于从所述大数据平台模块中获取所述请求流量和访问日志，利用预设的攻击过程模型分析所述请求流量和访问日志确定攻击过程；

所述大数据分析模块用于根据所述攻击过程确定定向攻击，对所述定向攻击进行回溯，确定回溯信息，并对所述定向攻击对应的攻击日志进行分析，根据对定向攻击的分析结果确定所有攻击对应的时间节点，以及根据所述回溯信息以及所述时间节点生成攻击链。