一种网络攻击取证的方法及装置制造方法
【专利摘要】本发明公开了一种网络攻击取证的方法及装置,用以提高网络的安全级别。该方法包括:当网站受到攻击时,获取当前攻击数据的来源IP地址,在保存的多个网站的网站日志数据中,获取包括所述来源IP地址的每条日志数据,对获取的所述日志数据进行分析,取得网络攻击的证据。本发明通过大数据分析技术对大量的网络日志对应的行为数据进行分析,可以获得网络攻击的完整证据。
【专利说明】一种网络攻击取证的方法及装置
【技术领域】
[0001]本发明涉及互联网【技术领域】,特别涉及一种网络攻击取证的方法及装置。
【背景技术】
[0002]在信息时代高速发展的今天,互联网网络日益成为重要的信息交换手段。但是,由于网络具有开放性,互联性等特征,使得网络常常受到诸如黑客、恶意软件和其他不轨的网络攻击。具体地,网络攻击是指利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。随着技术的日新月异,网络攻击的手段也越来也多,这些网络攻击使得网络用户的安全得不到保障,可能会给网络用户带来经济上的损失,更进一步,网络攻击可能会给社会和国家的安全带来威胁。
[0003]目前,很多网站都采用了一些防范措施来应对网络攻击,例如:使用能防病毒、防黑客的防火墙软件,建立完善的访问控制策略、以及采用加密技术等。但是,这些措施仅仅能对网络攻击进行防御,还不能对网络攻击进行扼制,更加不能对那些已造成经济损失或危害国家人民安全的网络攻击进行严厉打击。
[0004]因此,急需要强有力的手段来打击这些网络攻击,而网络攻击的取证是打击网络攻击的必不可少步骤。
【发明内容】
[0005]本发明提供一种网络攻击取证的方法及装置,用以提高网络的安全级别。
[0006]本发明提供一种网络攻击取证的方法,包括:
[0007]当网站受到攻击时,获取当前攻击数据的来源IP地址;
[0008]在保存的多个网站的网站日志数据中,获取包括所述来源IP地址的每条日志数据;
[0009]对获取的所述日志数据进行分析,取得网络攻击的证据。
[0010]本发明提供一种网络攻击取证的装置,包括:
[0011]获取单元,用于当网站受到攻击时,获取当前攻击数据的来源IP地址;
[0012]查找单元,用于在保存的多个网站的网站日志数据中,获取包括所述来源IP地址的每条日志数据;
[0013]取证单元,用于对获取的所述日志数据进行分析,取得网络攻击的证据。
[0014]本发明实施例中,从多个网站的网站日志数据中,获取包括攻击数据的来源IP地址的每条日志数据,然后,对获取的日志数据进行分析,取得网络攻击的证据,这样,基于多个网站的网站日志数据上,进行大数据的分析,取得网络攻击的证据,从而,有了取得的网络攻击的证据,就可以实施相应的处罚措施,进行对网络攻击的打击,减少了网络犯罪的几率,提高了网络安全的安全等级。
【专利附图】
【附图说明】[0015]附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
[0016]图1为本发明实施例一中网络攻击取证的流程图;
[0017]图2为本发明实施例二中网络攻击取证的流程图;
[0018]图3为本发明实施例三中网络攻击取证的流程图;
[0019]图4为本发明实施例四中网络攻击取证的装置的结构图。
【具体实施方式】
[0020]以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
[0021]网络攻击可能会造成互联网瘫痪,可能会给网络用户带来经济上的损失,也可能会给社会和国家的安全带来威胁,因此,在积极防御网络攻击的同时还需配合强有力的打击手段,而本发明实施例中的网络攻击取证的过程就是打击网络攻击的必不可少步骤。
[0022]实施例一:参见图1,网络攻击取证的过程包括:
[0023]步骤101:当网站受到攻击时,获取当前攻击数据的来源IP地址。
[0024]网站被黑客频繁访问、登录,或者,被黑客修改或删除了程序,或者,被黑客种植木马程序等等这些现象出现时,可确定网站受到攻击了。当网站受到攻击时,就可获取到引起攻击的当前攻击数据的来源互联网协议(Internet Protocol Address, IP)地址。
[0025]网站一般都有防盗链技术或者采用了防火墙软件,通过它们就可以直接获取当前攻击数据的来源IP地址。或者,直接编写一端现有的JAVA程序或#C程序也能获得获取当前攻击数据的来源IP地址。
[0026]步骤102:在保存的多个网站的网站日志数据中,获取包括来源IP地址的每条日志数据。
[0027]本发明实施例的网络攻击的取证过程是基于大数据上的,需要有多个网站的网站日志数据,因此,这里需要已获取并保存多个网站的网络日志数据,这样,才能基于这些保存的多个网站的网络日志数据,获取包括来源IP地址的每条日志数据。
[0028]较佳地,在保存的多个网站的网络日志数据中,查找包括上述来源IP地址的每条日志数据,从而获取查找到的包括上述来源IP地址的每条日志数据。
[0029]步骤103:对获取的日志数据进行分析,取得网络攻击的证据。
[0030]一般,日志数据包括:host、时间、IP地址、统一资源定位符(Uniform ResourceLocator, URL)、网页参数等信息。这样,对获取的日志数据中的这些信息进行分析,就可以取得网络攻击的证据。例如:根据获取的日志数据,确定网络攻击的恶意程序,或者,根据获取的日志数据进行攻击会给还原,或者,根据获取的日志数据确定黑客的位置等等。
[0031]较佳地,本发明实施例中,日志数据还包括cookie信息,有了 cookie信息就可进行攻击会话的还原,包括:执行携带cookie信息的每条日志数据对应的行为,获得对应的行为数据,根据获得的行为数据,进行攻击会话的还原。
[0032]另外,可对获取的日志数据中的每条日志数据进行分析,确定出有对应恶意程序的日志数据,具体包括:从获取的日志数据中确定一条日志数据作为当前日志数据,并获取当前日志数据中携带的网页参数,将网页参数与本地保存的行为数据库中的特征数据进行匹配,并当行为数据库中存在与网页参数匹配的第一特征数据时,获取对应的网页文件的源代码,通过源代码确定网络攻击的恶意程序。
[0033]上述是两种分析取证的过程,但是本发明实施例不限于此,其他的通过网络日志分析,取得网络攻击证据的过程就不再一一列举了。
[0034]本发明实施例,基于多个网站的网站日志数据上,进行大数据的分析,可以取得网络攻击的证据,这样,有了取得的网络攻击的证据,就可以实施相应的处罚措施,进行对网络攻击的打击,减少了网络犯罪的几率,提高了网络安全的安全等级。
[0035]根据上述实施例可知,在进行网络攻击取证的过程之前,还需保存多个网站的网站日志数据。可手动或通过专业软件自动获取多个网站的网站日志数据,较佳地,通过内容分发网络(Content Delivery Network,Q)N)记录多个网站的网站日志数据。这样,可获得多个网站的网站日志数据。当记录了成千上万个网站的网络日志数据后,就使得本发明实施例网络攻击取证的过程是基于大数据上的,需要用到大数据技术。而大数据技术,是指从各种各样类型的数据中,快速获得有价值信息的能力。适用于大数据的技术,包括大规模并行处理(MPP)数据库,数据挖掘电网,分布式文件系统,分布式数据库,云计算平台,互联网,和可扩展的存储系统等,具体的大数据技术处理过程就不再累述了。而本发明实施例网络攻击的取证过程基于大数据上,能扩大网络攻击取证的覆盖面,更能进一步提高网络攻击取证的可信度。
[0036]实施例二:本发明实施例中,日志数据中携带cookie信息,因此,对大数据量的日志数据进行分析后可进行攻击会话还原。参见图2,本实施例中网络攻击取证的过程包括:
[0037]步骤201:当网站受到攻击时,获取当前攻击数据的来源IP地址。
[0038]这里,可通过现有的防火墙软件获取当前攻击数据的来源IP地址。
[0039]步骤202:在保存的多个网站的网站日志数据中,获取包括来源IP地址的每条日志数据。
[0040]本实施例中,已通过⑶N记录多个网站的网站日志数据,因此,可从中将所有包括上述来源IP地址的日志数据查找出来,从而,获得包括来源IP地址的每条日志数据。
[0041]步骤203:执行携带cookie信息的每条日志数据对应的行为,获得对应的行为数据。
[0042]本实施例中,日志数据中除了包括:host、时间、IP地址、URL、网页参数等这些基本信息,还对日志数据进行了扩展,使得日志数据还携带有cookie信息。日志数据携带有cookie信息就能获得操作者的身份信息,从而使得日志数据中包括一个会话所需的完整信息,即包括了 cookie信息(执行主体)、IP地址(地点)、时间、URL和网页参数(干什么)等这些信息后可形成一个会话。因此,执行一条携带cookie信息的日志数据对应的行为,就获得对应的一块行为数据。
[0043]步骤204:根据获得的行为数据,进行攻击会话的还原。
[0044]会话可简单理解为:用户开一个浏览器,访问某一个网页站点,在这个站点点击多个超链接,访问服务器多个网页资源,然后关闭浏览器,整个过程称之为一个会话。实质上,会话是一个客户与服务器之间的不中断的请求响应序列。
[0045]有了上述的执行日志数据获得的行为数据,可知道谁在什么地点登陆了网站,对网页进行了什么具体操作,得到一个完整的会话,若是攻击会话的,则取得了整个攻击会话的完整过程的证据。
[0046]现有技术中可通过对攻击数据的分析,获得一个攻击点的信息,例如:能获得黑客A登陆网站B的行为(例如,小偷到门B前的照片),黑客A删除网站的内容行为(例如,小偷蹲下撬门的背影照片),黑客A删去日志离开的行为(例如,小偷作案后离开的照片),有了上述行为能从一定程度取得网络攻击的证据,但是,正如由于小偷蹲下撬门的照片是背影照片,因此,可能是小偷D撬门C的照片,从而不能证明是小偷A撬了门B—样,可见,这些证据还不能黑客A攻击了网站B,而本发明实施中,日志数据携带了 host、时间、IP地址、URL、网页参数、还有cookie等信息,并且是多条从多个网站的网站日志数据获取的日志数据,因此,在有了时间、地点、人物、具体行为等参数下,执行日志数据获得对应的行为数据后,就可还原成一个完整的会话而不是片段的行为点,正如不是单独的照片而是一段撬门视频,这样,每个会话都是一个强有力的证据。
[0047]由于执行携带cookie信息的每条日志数据对应的行为获得行为数据从而还原出会话,但是,可能因cookie信息不同,或、URL以及网页参数的不同,这样,还原形成了多条会话。其中,形成的会话中如有攻击会话,那根据本实施例还原出的会话就是较佳的网络攻击的证据。
[0048]本实施例中,由于对日志数据进行扩展,这样,保存的多个网站的网站日志数据中的每条日志数据都携带有cookie信息,从而,获取的包括来源IP地址的每条日志数据也都携带有cookie信息,从而,执行了携带cookie信息的每条日志数据后,能将会话还原出来,当确定还原出的会话是攻击会话时,即可将还原出的攻击会话作为网络攻击的证据,该证据不是行为片段,而是完整的会话过程,增加了网络攻击的证据的法律效力,提高了对网络攻击打击的准确性,进一步,减少了网络犯罪的几率,提高了网络安全的安全等级。
[0049]实施例三:本实施中,对大量的日志数据进行分析,能定位出网络攻击的恶意程序。参见图3,网络攻击取证的过程包括:
[0050]步骤301:当网站受到攻击时,获取当前攻击数据的来源IP地址。
[0051]这里,可通过现有的一些JAVA程序获取当前攻击数据的来源IP地址。
[0052]步骤302:在保存的多个网站的网站日志数据中,获取包括来源IP地址的每条日志数据。
[0053]本实施例中,同样,已通过⑶N记录多个网站的网站日志数据,可通过来源IP地址去匹配,从保存的日志数据查找出包括来源IP地址的每条日志数据,从而,获得这些日志数据。
[0054]步骤303:从获取的日志数据中确定一条日志数据作为当前日志数据,并获取当前日志数据中携带的网页参数。
[0055]同样,日志数据中包括host、时间、IP地址、URL、网页参数等这些基本信息,较佳地,还可包括cookie信息。
[0056]可按照设定规则,将获取的日志数据中的一条日志数据作为当前日志数据,例如:按照时间顺序,或者,设定的host顺序等。
[0057]对当前日志数据进行提取,获取当前日志数据中携带的网页参数。
[0058]步骤304:本地保存的行为数据库中的特征数据中是否存在与获取的网页参数匹配的第一特征数据?若是,执行步骤305,否则,执行步骤307。[0059]这里,需将获取的网页参数与本地保存的行为数据库中的特征数据进行匹配,并当行为数据库中存在与网页参数匹配的第一特征数据时,执行步骤305,否则,执行步骤307。
[0060]例如:本地保存的行为数据库中的一个特征数据中包含有字符串“/cg1-bin/Phf ? ”,那么当获取的网页参数也包含有字符串“/cg1-bin/phf ? ”时,即可确定行为数据库中存在与网页参数匹配的第一特征数据,就可执行后续步骤305,进一步确定进行网络攻击的具体行为。
[0061]由于需与本地保存的行为数据库中特征数据进行匹配,因此,这种方式下的行为数据库非常关键,需根据新的网络攻击行为及特征的出现,不断地进行更新以及补充。
[0062]步骤305:获取与第一特征数据对应的网页文件的源代码。
[0063]可通过网络爬虫或者其他的应用程序获取与第一特征数据对应的网页文件的源代码。
[0064]步骤306:通过源代码确定网络攻击的恶意程序。
[0065]获得源代码后,可手动比对或者自动比对确定源代码是否为网络攻击的恶意程序。具体的方法有多种,其中一种自动确定源代码是否为网络攻击的恶意程序的过程包括:
[0066]将源代码与保存的恶意代码数据库中的每段恶意源代码进行比对,当恶意代码数据库中存在与源代码匹配的第一恶意源代码时,确认与源代码对应的网页文件为恶意后门程序。
·[0067]步骤307:确定是否还有获取的日志数据未进行分析?若是,返回步骤303,若不是,则取证流程结束。
[0068]需对获取的每条日志数据进行分析,确定对应的源代码是否为恶意代码,因此,若还有获取的日志数据未进行分析,则需返回步骤303进行分析,若获取的每条日志数据都被分析了,则取证流程结束。
[0069]通过上述过程,可确定一个,两个,或多个恶意程序,取得网络攻击的证据,从而,就可以实施相应的处罚措施,进行对网络攻击的打击,减少了网络犯罪的几率,提高了网络安全的安全等级。
[0070]上述两个实施例仅是根据大量日志数据取得网络攻击的证据的两个示例,但是本发明不限于此,本发明实施例还可根据对获取的日志数据分析,确定IP地址是否为代理服务器的IP地址,或者,确定黑客的隐藏信息,或者,确定黑客不经攻击了网站A,还攻击了网站B等。具体实施过程就不再一一例举了。
[0071]实施四:本实施例根据上述网络攻击取证的过程,可构建一种网络攻击取证的装置,如图4所示,该装置包括:获取单元410、查找单元420,以及取证单元430。其中,
[0072]获取单元410,用于当网站受到攻击时,获取当前攻击数据的来源IP地址。
[0073]查找单元420,用于在保存的多个网站的网站日志数据中,获取包括获取单元410获取的来源IP地址的每条日志数据。
[0074]取证单元430,用于对查找单元420获取的日志数据进行分析,取得网络攻击的证据。
[0075]本发明实施例中,由于是基于大数据上进行的分析,需要提前保存多个网站的网站日志数据,因此,该装置还包括:
[0076]记录单元,用于通过内容分发网络(⑶N)记录多个网站的网站日志数据。
[0077]取证单元430可通过对获取的日志数据的不同分析过程,获得不同的网络攻击证据,因此,取证单元430,具体用于执行携带cookie信息的每条日志数据对应的行为,获得对应的行为数据,根据获得的行为数据,进行攻击会话的还原。或者,
[0078]取证单元430,具体用于从获取的日志数据中确定一条日志数据作为当前日志数据,并获取当前日志数据中携带的网页参数,将网页参数与本地保存的行为数据库中的特征数据进行匹配,并当行为数据库中存在与网页参数匹配的第一特征数据时,获取对应网页文件的源代码,通过源代码确定网络攻击的恶意程序。
[0079]当然,取证单元430可采用多种方法来通过源代码确定网络攻击的恶意程序。其中,取证单元430可采用匹配的方式确定源代码是否为网络攻击的恶意程序,因此,取证单元430,还用于将源代码与保存的恶意代码数据库中的每段恶意源代码进行比对,当恶意代码数据库中存在与源代码匹配的第一恶意源代码时,确认与源代码对应的网页文件为恶意后门程序。
[0080]本实施例中的网络攻击取证的装置还可根据对获取的日志数据分析,确定IP地址是否为代理服务器的IP地址,或者,确定黑客的隐藏信息,或者,确定黑客不经攻击了网站A,还攻击了网站B等。具体实施过程就不再一一例举了。
[0081]本发明实施例中的网络攻击取证的装置在基于大量的网络日志数据的基础上,对获取的日志数据进行分析,获得网络攻击的证据,从而,就可以实施相应的处罚措施,进行对网络攻击的打击,减少了网络犯罪的几率,提高了网络安全的安全等级。
[0082]本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
[0083]本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0084]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0085]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0086]显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
【权利要求】
1.一种网络攻击取证的方法,其特征在于,包括: 当网站受到攻击时,获取当前攻击数据的来源IP地址; 在保存的多个网站的网站日志数据中,获取包括所述来源IP地址的每条日志数据; 对获取的所述日志数据进行分析,取得网络攻击的证据。
2.如权利要求1所述的方法,其特征在于,所述获取当前攻击数据的来源IP地址之前,还包括: 通过内容分发网络(⑶N)记录所述多个网站的网站日志数据。
3.如权利要求1所述的方法,其特征在于,所述对获取的所述日志数据进行分析,取得网络攻击的证据包括: 执行携带cookie信息的每条日志数据对应的行为,获得对应的行为数据; 根据获得的所述行为数据,进行攻击会话的还原。
4.如权利要求1所述的方法,其特征在于,所述对获取的所述日志数据进行分析,取得网络攻击的证据包括: 从获取的所述 日志数据中确定一条日志数据作为当前日志数据,并获取所述当前日志数据中携带的网页参数; 将所述网页参数与本地保存的行为数据库中的特征数据进行匹配,并当所述行为数据库中存在与所述网页参数匹配的第一特征数据时,获取对应的网页文件的源代码; 通过所述源代码确定网络攻击的恶意程序。
5.如权利要求4所述的方法,其特征在于,所述通过所述源代码确定网络攻击的恶意程序包括: 将所述源代码与保存的恶意代码数据库中的每段恶意源代码进行比对; 当所述恶意代码数据库中存在与所述源代码匹配的第一恶意源代码时,确认与所述源代码对应的网页文件为恶意后门程序。
6.一种网络攻击取证的装置,其特征在于,包括: 获取单元,用于当网站受到攻击时,获取当前攻击数据的来源IP地址; 查找单元,用于在保存的多个网站的网站日志数据中,获取包括所述来源IP地址的每条日志数据; 取证单元,用于对获取的所述日志数据进行分析,取得网络攻击的证据。
7.如权利要求6所述的装置,其特征在于,还包括: 记录单元,用于通过内容分发网络(⑶N)记录所述多个网站的网站日志数据。
8.如权利要求6所述的装置,其特征在于, 所述取证单元,具体用于执行携带cookie信息的每条日志数据对应的行为,获得对应的行为数据,根据获得的所述行为数据,进行攻击会话的还原。
9.如权利要求6所述的装置,其特征在于, 所述取证单元,具体用于从获取的所述日志数据中确定一条日志数据作为当前日志数据,并获取所述当前日志数据中携带的网页参数,将所述网页参数与本地保存的行为数据库中的特征数据进行匹配,并当所述行为数据库中存在与所述网页参数匹配的第一特征数据时,获取对应网页文件的源代码,通过所述源代码确定网络攻击的恶意程序。
10.如权利要求9所述的装置,其特征在于,所述取证单元,还用于将所述源代码与保存的恶意代码数据库中的每段恶意源代码进行比对,当所述恶意代码数据库中存在与所述源代码匹配的第一恶意源代码时,确认与所述源代码对应的网页文件为恶 意后门程序。
【文档编号】H04L29/06GK103595732SQ201310629423
【公开日】2014年2月19日 申请日期:2013年11月29日 优先权日:2013年11月29日
【发明者】董方 申请人:北京奇虎科技有限公司, 奇智软件(北京)有限公司