[发明专利]一种内网渗透过程还原方法和系统

说明书

本申请实施例公开了一种内网渗透过程还原方法和系统，通过捕获攻击事件；根据所述攻击事件获取所述攻击事件对应的流量元数据特征；根据所述攻击事件对应的流量元数据特征基于数据库确定所述攻击事件对应的攻击类别；进一步，基于机器学习组件对所述攻击事件对应的攻击类别进行关联分析和聚类，得到所述攻击事件对应的攻击路径。实现了攻击过程的还原，为防止网络入侵技术提供重要依据。

技术领域

本申请实施例涉及网络安全技术领域，具体涉及一种内网渗透过程还原方法和系统。

背景技术

传统的入侵检测技术主要从三个层面展开，分别是基于网络的入侵检测技术(NIDS)、基于主机的入侵检测技术(HIDS)和基于混合的入侵检测技术(hybrid IDS)。HIDS通过监视多个计算机中的网络通信流量来识别单个主机上的恶意活动，一般直接部署在相应监测主机中；NIDS则是通过检测骨干网中的恶意流量来监视整个网络中的安全状态，因此，NIDS中的传感器必须位于网络的瓶颈处，通常用于在整个网络边界上来捕获所有网络流量。基于混合的IDS技术则是通过分析应用程序日志、系统调用、文件系统修改(密码文件、二进制文件、访问控制列表、能力数据库等)和其他主机状态和活动来检测入侵。

通常可以以攻击链模型来描述一整个网络攻击过程,传统网络攻击分析方法只是分析攻击链模型中某一个步骤或某几个步骤。因此在追溯攻击者入侵过程中存在局限。

发明内容

为此，本申请实施例提供一种内网渗透过程还原方法，以还原攻击者入侵过程。

为了实现上述目的，本申请实施例提供如下技术方案：

根据本申请实施例的第一方面，提供了一种内网渗透过程还原方法，所述方法包括：

捕获攻击事件；

根据所述攻击事件获取所述攻击事件对应的流量元数据特征；

根据所述攻击事件对应的流量元数据特征基于数据库确定所述攻击事件对应的攻击类别；

基于机器学习组件对所述攻击事件对应的攻击类别进行关联分析和聚类，得到所述攻击事件对应的攻击路径。

可选地，所述流量元数据特征是定期对网络数据报文进行分析和提取得到的，所述流量元数据特征包括内容特征、数据流特征和网络连接行为特征；

所述内容特征包括恶意流量协议段特定值以及负载特定字符序列；

所述数据流特征是根据数据流中数据包大小、密钥长度和通信协议状态机时间确定；

所述网络连接行为特征是根据流量数据中的网络连接数确定。

可选地，所述基于机器学习组件对所述攻击事件对应的攻击类别进行关联分析和聚类，得到所述攻击事件对应的攻击路径，包括：

所述机器学习组件基于数据库对所述攻击事件对应的攻击类别进行时序关联分析和聚类，得到一条或多条所述攻击事件对应的攻击路径，以还原内网渗透过程；其中，所述机器学习组件是根据所述数据库中的内网渗透事件特征训练得到。

可选地，所述攻击事件对应的攻击类别为攻击链中的攻击类别，包括侦查、工具制作、投递、攻击渗透、安装工具、命令控制和恶意活动。

可选地，所述捕获攻击事件，包括：

检测网络中设定锚点被触发时，将触发所述锚点的事件确定为攻击事件；所述设定锚点为设定的网络异常类型。

根据本申请实施例的第二方面，提供了一种内网渗透过程还原系统，所述系统包括：

捕获模块，用于捕获攻击事件；

攻击事件理解第一模块，用于根据所述攻击事件获取所述攻击事件对应的流量元数据特征；