[发明专利]一种用于分析攻击链的方法、系统及设备

说明书

本申请的目的是提供一种用于分析攻击链的方法、系统及设备，本申请通过取目标应用系统的请求流量以及访问日志；分析所述请求流量和访问日志确定攻击过程，根据分析得到的攻击过程确定定向攻击；对所述定向攻击进行回溯，确定回溯信息，并对所述定向攻击对应的攻击日志进行分析，根据对定向攻击的分析结果确定所有攻击对应的时间节点；根据所述回溯信息以及所述时间节点生成攻击链。从而将攻击过程以链式进行可视化展示，以方便管理员更直观快捷查看整个攻击过程，为后续管理员相关处置决定做策略参考，形成的完整攻击链为后续溯源提供取证材料；将分析过程以及攻击者攻击过程进行模型化，达到标准分析过程，让分析过程及时效性得以保证。

技术领域

本申请涉及计算机领域，尤其涉及一种用于分析攻击链的方法、系统及设备。

背景技术

随着云端网站应用防护系统(WAF)的发展，因其具备的良好扩展性、稳定性以及易维护等特定，越来越多的企业开始采用云WAF的方式来保护自身业务系统安全。随着大型企业及重点业务系统接入云WAF，对云WAF提出了新的要求，不单单需要具备相关防御能力，还需要具备威胁分析能力，确保在多种多样的攻击数据中理顺逻辑关系，确认攻击特征，并将攻击可视化展现，让系统管理员快速识别真正的威胁者以及其攻击过程。

而传统云WAF系统在威胁分析报表中只是进行攻击类型趋势或者攻击类型排名统计，不利于系统管理员对各种系统攻击进行分析，在遭受攻击影响时多数采用人工对日志进行二次分析来确定黑客的完整攻击入侵过程，造成分析过程繁琐、耗费时间长。

现有的解决方案包括以下两种方式：

方案一，通过预设取证策略分析，检测到攻击事件后，通过对原始流量进行分析，把已知的攻击行为特征采集出来，再收集与攻击特征相关的数据，并与采集的攻击行为特征做对比，判断其攻击行为。这种方式主要针对已知的攻击行为，无法对比未知的攻击行为特征，分析攻击行为，并且非专门针对WAF的检测模块、未将攻击回溯到黑客情报收集阶段，导致攻击链不完整。并且是事后分析，无法做到实时拦截。

方案二，安全人员人工分析，通过一个或多个安全人员对WEB应用攻击日志、访问日志进行人工分析形成攻击过程。这种方式消耗人力巨大，并且受限于安全人员分析经验，分析过程不可控，无法将此种分析常态化，多数应用在攻击对WEB应用产生了影响之后，多属于事后分析，对了解攻击过程有时延。

发明内容

本申请的一个目的是提供一种用于分析攻击链的方法、系统及设备，解决现有技术中无法对比未知的攻击行为特征，分析攻击行为，未将攻击回溯到黑客情报收集阶段导致攻击链不完整，无法做到实时拦截的问题，以及对攻击日志以及访问日志进行人工分析时消耗人力巨大并分析过程不可控、分析无法常态化的问题。

根据本申请的一个方面，提供了一种用于分析攻击链的方法，该方法包括：

获取目标应用系统的请求流量以及访问日志；

分析所述请求流量和访问日志确定攻击过程，根据分析得到的攻击过程确定定向攻击；对所述定向攻击进行回溯，确定回溯信息，并对所述定向攻击对应的攻击日志进行分析，根据对定向攻击的分析结果确定所有攻击对应的时间节点；

根据所述回溯信息以及所述时间节点生成攻击链。

进一步地，所述获取目标应用系统的请求流量以及访问日志包括：

接管用户的请求流量，将所述请求流量返回服务器；

获取所述服务器对所述请求流量的响应流量，得到目标应用系统的请求流量以及访问日志。

进一步地，对所述定向攻击进行回溯，确定回溯信息，包括：

根据所述定向攻击对应的互联网协议地址回溯使用所述互联网协议地址进行访问时的所有访问日志，以回溯至信息收集过程，将回溯过程中收集的数据作为回溯信息。