网络攻击溯源实现方法及装置与流程

本发明实施例涉及网络安全技术领域，尤其涉及一种网络攻击溯源实现方法及装置。

背景技术：

近年来，随着网络的不断普及，网络攻击者采用的攻击技术及攻击手段也有了新的发展趋势。因此，网络安全问题也需要网络用户不断的关注并采取有效的安全防护措施。而传统的网络安全防护主要是通过在网络边界点设置防火墙等安全工具，将需要防御的内网与外网隔离开来，达到防护的目的。

现有技术当中采用的防护措施，对于常见的网络攻击比较有效。例如，常见的网络攻击一般是通过一个节点来攻击其他节点、针对系统漏洞进行攻击或者放置特洛伊木马程序等。这些常见的网络攻击类型采用的攻击方式较为单一，并具有易发现、易防护的特点，一般通过设置防火墙等方式就可以进行有效的安全防护。

然而，对于高级持续性威胁(advancedpersistentthreat，apt)攻击，由于apt等类型的网络攻击与常见的网络攻击具有两方面的区别：(1)高级性：使用的工具或恶意程序一般都是专门开发的，很难检测到；另外攻击中会用到一个或多个0day漏洞。(2)持续性：一般会花费比较长时间，观察、踩点、收集信息、社会工程、逐步渗透和信息回传等等。因此，现有技术当中的安全防护措施无法对apt等类型的攻击进行有效的安全防护。

技术实现要素：

为克服相关技术中现有的安全防护措施无法对apt等类型的攻击进行有效的安全防护的问题，本发明提供一种网络攻击溯源实现方法及装置。

根据本发明实施例的第一方面，提供一种网络攻击溯源实现方法，包括：

获取内部网络系统受到网络攻击的本次告警消息和历史告警消息，所述本次告警消息包括本次告警设备的设备标识；

根据所述本次告警消息和所述历史告警消息，生成内部脆弱点列表，所述内部脆弱点列表包括所述内部网络系统中与所述本次告警设备有通信连接的且历史上受到过所述网络攻击的网络设备的设备标识；

根据获取到的所述内部脆弱点列表中的网络设备的日志信息和网络流量监控信息，确定所述网络攻击的攻击路径。

这样本发明实施例通过溯源网络攻击的攻击路径，可以确定网络攻击的源网络攻击设备。

可选地，所述根据所述本次告警消息和所述历史告警消息，生成内部脆弱点列表，包括：

根据所述本次告警设备的日志信息和网络流量监控信息，生成第一内部网络设备列表，所述第一内部网络设备列表包括所述内部网络系统中与所述本次告警设备有通信连接的网络设备的设备标识；

根据所述历史告警消息，生成第二内部网络设备列表，所述第二内部网络设备列表包括所述第一内部网络设备列表中历史上受到过告警的网络设备的设备标识；

确定所述第二内部网络设备列表中包括有预设网络攻击的网络设备，得到第三内部网络设备列表，所述第三内部网络设备列表包括所述第二内部网络设备列表中包括有预设网络攻击的网络设备，所述预设网络攻击告警，包括下述至少一种：网络监听告警、系统漏洞攻击告警和木马攻击告警；

将所述第三内部网络设备列表作为所述内部脆弱点列表。

可选地，所述根据获取到的所述内部脆弱点列表中的网络设备的日志信息和网络流量监控信息，确定所述网络攻击的攻击路径，包括：

根据获取到的所述内部脆弱点列表中的网络设备的日志信息和网络流量监控信息，确定与所述内部脆弱点列表中的网络设备有通信连接的网络设备；

判断与所述内部脆弱点列表中的网络设备有通信连接的网络设备中是否包括外部网络系统的外部网络设备；

若与所述内部脆弱点列表中的网络设备有通信连接的网络设备中包括外部网络系统的外部网络设备，根据所述外网设备、各列表及所述本次告警设备，生成所述网络攻击的攻击路径。

可选地，所述方法还包括：

若与所述内部脆弱点列表中的网络设备有通信连接的网络设备中不包括外部网络系统的外部网络设备，将与所述内部脆弱点列表中的网络设备有通信连接的网络设备作为当前的本次告警设备，返回执行所述根据所述本次告警设备的日志信息和网络流量监控信息生成第一内部网络设备列表的步骤。

可选地，若与所述内部脆弱点列表中的网络设备有通信连接的网络设备中包括外部网络系统的外部网络设备，将所述外网设备确定为攻击源，或者；

获取所述外部网络设备的设备标识；

在本地威胁情报库中查找与所述设备标识相对应的情报信息；

根据所述情报信息获取所述外部网络设备中的攻击源所述根据所述外网设备、各列表及所述本次告警设备，生成所述网络攻击的攻击路径具体为：

根据所述攻击源、各列表及所述本次告警设备，生成所述网络攻击的攻击路径。

根据本发明实施例的第二方面，提供一种网络攻击溯源实现装置，包括：

消息获取模块，用于获取内部网络系统受到网络攻击的本次告警消息和历史告警消息，所述本次告警消息包括本次告警设备的设备标识；

列表生成模块，用于根据所述本次告警消息和所述历史告警消息，生成内部脆弱点列表，所述内部脆弱点列表包括所述内部网络系统中与所述本次告警设备有通信连接的且历史上受到过所述网络攻击的网络设备的设备标识；

攻击路径确定模块，用于根据获取到的所述内部脆弱点列表中的网络设备的日志信息和网络流量监控信息，确定所述网络攻击的攻击路径。

可选地，所述列表生成模块，包括：

第一列表生成子模块，用于根据所述本次告警网络设备的日志信息和网络流量监控信息，生成第一内部网络设备列表，所述第一内部网络设备列表包括所述内部网络系统中与所述本次告警设备有通信连接的网络设备的设备标识；

第二列表生成子模块，用于根据所述历史告警消息，生成第二内部网络设备列表，所述第二内部网络设备列表包括所述第一内部网络设备列表中历史上受到过告警的网络设备的设备标识；

第三列表生成子模块，用于确定所述第二内部网络设备列表中包括有预设网络攻击的网络设备，得到第三内部网络设备列表，所述第三内部网络设备列表包括所述第二内部网络设备列表中包括有预设网络攻击的网络设备，所述预设网络攻击告警，包括下述至少一种：网络监听告警、系统漏洞攻击告警和木马攻击告警；

将所述第三内部网络设备列表作为所述内部脆弱点列表。

可选地，所述攻击路径确定模块，包括：

设备确定子模块，用于根据获取到的所述内部脆弱点列表中的网络设备的日志信息和网络流量监控信息，确定与所述内部脆弱点列表中的网络设备有通信连接的网络设备；

判断子模块，用于判断与所述内部脆弱点列表中的网络设备有通信连接的网络设备中是否包括外部网络系统的外部网络设备；

攻击路径生成子模块，用于在与所述内部脆弱点列表中的网络设备有通信连接的网络设备中包括外部网络系统的外部网络设备时，根据所述外网设备、各列表及所述本次告警设备，生成所述网络攻击的攻击路径。

可选地，第一列表生成子模块，还用于在与所述内部脆弱点列表中的网络设备有通信连接的网络设备中不包括外部网络系统的外部网络设备时，根据所述本次告警设备的日志信息和网络流量监控信息生成第一内部网络设备列表。

可选地，所述装置还包括：

攻击源确定模块，用于在与所述内部脆弱点列表中的网络设备有通信连接的网络设备中包括外部网络系统的外部网络设备时，将所述外网设备确定为攻击源，或者；

设备标识获取模块，用于获取所述外部网络设备的设备标识；

情报信息查找模块，用于在本地威胁情报库中查找与所述设备标识相对应的情报信息；

攻击源获取模块，用于根据所述情报信息获取所述外部网络设备中的攻击源；

所述攻击路径生成子模块，包括：

攻击路径确定子模块，用于根据所述攻击源、各列表及所述本次告警设备，生成所述网络攻击的攻击路径。

本发明的实施例提供的技术方案可以包括以下有益效果：

本发明实施例提供的网络攻击溯源实现方法及装置，通过获取内部网络系统受到网络攻击的本次告警消息和历史告警消息，本次告警消息包括本次告警设备的设备标识；根据本次告警消息和历史告警消息，生成内部脆弱点列表，内部脆弱点列表包括内部网络系统中与本次告警设备有通信连接的且历史上受到过网络攻击的网络设备的设备标识；根据获取到的内部脆弱点列表中的网络设备的日志信息和网络流量监控信息，确定网络攻击的攻击路径。这样本发明实施例通过溯源网络攻击的攻击路径，可以确定网络攻击的源网络攻击设备，进而可以定位攻击者及其背景信息。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

图1是本发明实施例提供的一种网络攻击溯源的应用场景示意图；

图2是本发明实施例中提供的攻击溯源实现流程图；

图3是本发明实施例提供的一种网络攻击溯源实现方法的流程图；

图4是图3中步骤s320的流程图；

图5是图3中步骤s330的流程图；

图6是本发明又一实施例提供的一种网络攻击溯源实现方法的流程图；

图7是本发明实施例提供的一种网络攻击溯源实现装置的结构示意图；

图8是图7中列表生成模块的示意图；

图9是图7中击路径确定模块的示意图；

图10是本发明又一实施例提供的一种网络攻击溯源实现装置的结构示意图；

图11是本发明实施例提供的一种服务器的结构示意图。

具体实施方式

下面结合附图，对本发明的实施例进行描述。

apt攻击主要是利用先进的攻击手段，并对特定目标进行长期持续性网络攻击。因此，相对于其他类型的攻击形式，apt攻击的攻击形式更加的高级和先进，其高级性主要体现在apt在发动攻击之前会对攻击对象的业务流程及对攻击对象所在的系统进行精确的信息收集。在此信息收集的过程中，apt攻击会主动挖掘攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并且还可以利用攻击对象的0day漏洞发起网络攻击。因此，传统的如设置防火墙等防护措施无法有效应对apt类型的网络攻击。

在系统受到apt等类型的网络攻击时，为了及时准确定位攻击者，以便最大程度的减小用户因受到apt等网络攻击时受到的损失，本发明实施例提供的一种网络攻击溯源实现方法及装置。

图1为本发明实施例提供的一种网络攻击溯源的应用场景示意图，如图1所示，网络安全服务器100可以通过交换机200分别与计算机组300中的网络设备进行数据交互。网络安全服务器100、交换机200和计算机组300构成内部网络系统，其中，内部网络中的安全服务器100和交换机200的数量可以分别为一个或者多个(至少两个)，本发明实施例并不限于此。

结合图1，本发明实施例在内部网络系统中部署网络安全系统，通过该网络安全系统检测计算机组300中的网络设备中是否异常数据，或者检测计算机组300中的网络设备是否有异常动作。如果网络安全系统检测到计算机组300中的某一台或几台网络设备出现异常情况，并且如果根据该异常确定内部网络系统遭受到如apt等类型的网络攻击，那么网络安全系统会发出告警消息，该告警消息包括：被攻击网络设备的设备标识、网络攻击时间、网络攻击的攻击目的、网络攻击类型和告警级别等等。网络安全服务器100会将该告警消息的内容标准化，以便后续当中对该网络攻击的分析。

网络安全服务器100获取内部网络系统中与该网络攻击相关的网络设备的设备标识，这些网络设备可以是直接被该网络攻击的直接攻击对象，这些网络设备还可以是作为该网络攻击的跳板去攻击其它网络设备，不妨将这些获取到的与该网络攻击相关的网络设备称为告警网络设备。网络安全服务器100在获取到与本次网络攻击中相关的网络设备的标识后，根据告警网络设备的设备标识，获取这些网络设备中的日志信息和流量监控信息，其中，日志信息为网络设备中记录网络设备行为的记录，主要包括网络设备中日志信息的连接日志，即该网络设备与其他网络设备的交互信息，流量监控信息为网络设备之间数据的交互情况。

另外，在确定告警网络设备之后，需要根据这些告警网络设备的日志信息和流量监控信息去查找本次网络攻击的攻击源。由于apt等类型的网络攻击主要是通过外部网络系统攻击内部网络系统中的网络设备，因此，需要根据告警网络设备来通过还原本次网络攻击的攻击路径，最终确定本次网络攻击中位于外部网络系统中的攻击源。其中，可以将内部网络系统之外的系统称为外部网络系统。

本发明实施例中通过获取告警网络设备的日志信息和流量监控信息等，来确定与告警网络设备有与本次网络攻击相关的其它网络设备，进而确定与告警网络设备有直接或间接关系的网络设备，通过判断这些网络设备的设备标识，来确定这些网络设备中位于外部网络系统中的外部网络设备，并将这些位于外部网络系统中的外部网络设备作为本次发起网络攻击源。

另外，还可以将所有内部网络系统与本次网络攻击相关的设备作为内部脆弱点设备，这些内部脆弱点设备都是直接或者间接收到本次网络攻击的内部网络系统中的网络设备。本发明实施例通过内部脆弱点设备中的日志信息和流量监控信息等，来确定与内部脆弱点有本次网络攻击相关的其它网络设备，并通过设备标识等分析手段，来确定这些设备中的位于外部网络系统中的外部网络设备，并将这些外部网络设备作为本次网络攻击的攻击源。

需要说明的，在通过地址解析协议(addressresolutionprotocol，arp)表、介质访问控制(mediaaccesscontrol,mac)表、路由表和接口信息来确定与网络攻击相关的网络设备。

在确定网络攻击的攻击源后，获取该攻击源的ip地址，可以根据攻击源的ip地址在网络安全服务器100的本地威胁情报库中查找该攻击源的相关信息，如人员属性和设备背景等信息。并且还可以根据攻击源的ip地址和行为特征来定位攻击者，以查询其背景信息。

结合图1，如图2所示，图2为本发明实施例中提供的攻击溯源实现流程图。

首先，在内部网络系统发生apt等类型的网络攻击时，网络安全系统一旦检测到内部网络系统中的网络设备遭受到网络攻击，出现网络攻击事件，网络安全系统会发出告警信息，该告警信息可以包括：事件时间、事件中的攻击目的、攻击类型和告警级别等。网络安全服务器可以对标准化告警消息中的告警内容，用于后续的分析。其中，事件时间包括网络攻击事件发生的起始时刻和持续时长，事件中的攻击目标可以包括被攻击的网络设备的设备标识等，攻击类型包括apt等类型的攻击，告警级别为可以反映当前内部网络系统中遭受网络攻击而造成的损失程度以及对后续内部网络系统遭受损失的评估等。

其次，攻击路径溯源的核心在于还原网络连接的每一跳，因此可以根据设备的连接日志与流量监控等数据来源来确定。安全事件告警的最终结果是攻击源到攻击目的的点对点输出，连接日志及流量监控记录的是系统的发生的一些操作、访问行为等以日志的形式进行监控记录下来，示例性的，安全事件告警提示是m攻击n，同时会有事件发生时间，通过安全事件发生时间定位到日志中的详细信息，展示m是通过什么路径攻击到n。因此需要按照连接日志与流量监控系统的日志按照事件发生时间定位到日志位置，从而将点对点的攻击还原为攻击路径。其中，攻击溯源需要采集的内容包括arp表、mac表、路由表、接口信息表等。arp表、mac表、路由表和接口信息表各类信息是攻击设备与被攻击设备的信息。

再次，还可以通过追溯内部脆弱点，回溯采用的路径起始点是攻击目标。因此，需要通过查找攻击目标产生连接，且产生过安全事件告警的设备来锁定内部脆弱点范围。需要查询安全事件的告警历史，将输出距离攻击目标最近的脆弱点列表。

随后，根据攻击目标追溯出的全部连接在告警层面上都是点对点的连接，这些路径中究竟由几个节点能连接到外网的被控设备是不可知的，因此需要逐步递归还原直到连接目标是外网设备为止。

随后，在递归还原的过程中，需要对全量资产设备进行查询，以明确资产是否为内网设备。因此需要通过资产管理系统或人工统计的方式划定设备ip的内外网分布情况。

最后，情报库存储从外部信息源、威胁情报生态圈获取的战略级、战术级威胁情报。在线获取外部威胁情报库，更新本地威胁情报库，查询列表中的设备是否在威胁情报库中有备案，通过设备ip信息和行为特征定位攻击者，查询其背景信息。威胁情报信息关联得出后，可以得到攻击者的人员属性、社会背景等信息。另外，通过在线获取外部威胁情报库，更新本地威胁情报库，查询列表中的设备是否在威胁情报库中有备案,通过设备ip信息和行为特征定位攻击者，查询其背景信息。

另外，结合图2所示，本发明实施例中在接收到网络告警消息时，获取该网络告警消息中包含的网络告警设备的设备标识，根据网络告警设备的日志信息和流量监控信息，获取内部网络系统中与该网络告警设备有过连接的所有网络设备，并生成包含这些网络设备的设备标识的列列表，可以记做列表b。查询列表b中是否有发生过历史网络告警的网络设备，如果有，那么生成包含有过历史网络告警的网络设备的设备标识的列表c。列表c中包括的网络设备为列表b中包括的网络设备中的一部分，相当于缩小了列表b的范围，这样可以更精确的定位所需查找的内部网络系统中的网络设备。

查找列表c中是否有出现预设网络攻击的网络设备，例如，列表c中的网络设备是否包含发生过网络监听告警、系统漏洞攻击告警或者木马攻击告警等，如果网络设备中出现过相关告警，说明该网络设备发生过相应的网络攻击。如果列表c中的网络设备中有出现预设网络攻击的网络设备，那么将列表c中包含出现预设网络攻击的网络设备作为列表d。

如图2所示，将最终得到的列表d作为内部脆弱点列表e，内部脆弱点列表e中包含的网络设备全部为内部网络系统中的网络设备。由于内部脆弱点列表e中包含的网络设备都为内部网络系统中的网络设备，因此，可以获取内部脆弱点列表e中网络设备的日志信息和流量监控信息，通过内部脆弱点列表e中网络设备的日志信息和流量监控信息，可以得到与内部脆弱点列表e中网络设备有过通信连接的其它网络设备，并将包含与内部脆弱点列表e中网络设备有过通信连接的其它网络设备作为列表f。

获取列表f中网络设备分别对应的ip地址，通过ip地址可以将列表f中的网络设备划分为内部网络系统的网络设备和外部网络系统中的网络设备，并将列表f中包含外部网络系统中的网络设备作为列表g，通过在威胁情报系统中查询列表g中网络设备的情报信息，可以进一步定位本次网络攻击的攻击源。

另外，如果在列表f中找到位于外部网络系统中的外部网络设备，那么中该外部网络设备中确定攻击源。如果在列表f中未能找到位于外部网络系统中的外部网络设备，将该列表f中包括的网络设备作为告警目标的设备a，返回重新执行直到找到位于外部网络系统中的外部网络设备，以便从外部网络设备中定位攻击源。

需要说明的是，图2中的如列表b至列表f，这些列表包括相关网络设备的设备标识。

在本发明提供的又一实施例中，结合上述各实施例，为了详述上述实施例中网络安全服务器侧的执行流程，本发明实施例中还提供了一种网络攻击溯源实现方法，如图3所示，该方法可以包括以下步骤：

在步骤s310中，获取内部网络系统受到网络攻击的本次告警消息和历史告警消息，本次告警消息包括本次告警设备的设备标识。

如果网络安全系统检测到计算机组中的某一台或几台网络设备出现异常情况，并且如果根据该异常确定内部网络系统遭受到如apt等类型的网络攻击，那么网络安全系统会发出告警消息，该告警消息包括：被攻击网络设备的设备标识、网络攻击时间、网络攻击的攻击目的、网络攻击类型和告警级别等等。网络安全服务器会将该告警消息的内容标准化，以便后续当中对该网络攻击的分析。

在步骤s320中，根据本次告警消息和历史告警消息，生成内部脆弱点列表。

其中，内部脆弱点列表包括内部网络系统中与本次告警设备有通信连接的且历史上受到过网络攻击的网络设备的设备标识。

网络安全服务器获取内部网络系统中与该网络攻击相关的网络设备的设备标识，这些网络设备可以是直接被该网络攻击的直接攻击对象，这些网络设备还可以是作为该网络攻击的跳板去攻击其它网络设备，可以将这些获取到的与该网络攻击相关的网络设备称为告警网络设备。网络安全服务器在获取到与本次网络攻击中相关的网络设备的标识后，根据告警网络设备的设备标识，获取这些网络设备中的日志信息和流量监控信息，其中，日志信息为网络设备中记录网络设备行为的记录，主要包括网络设备中日志信息的连接日志，即该网络设备与其他网络设备的交互信息，流量监控信息为网络设备之间数据的交互情况。本发明实施例中生成的内部脆弱点列表，该内部脆弱点列表中包括的网络设备是距离攻击目标最近的设备，可以通过内部脆弱点列表中包括的设备进一步确定攻击源。

在步骤s330中，根据获取到的内部脆弱点列表中的网络设备的日志信息和网络流量监控信息，确定网络攻击的攻击路径。

在根据告警消息确定告警网络设备之后，需要根据这些告警网络设备的日志信息和流量监控信息去查找本次网络攻击的攻击源。由于apt等类型的网络攻击主要是通过外部网络系统攻击内部网络系统中的网络设备，因此，需要根据告警网络设备来通过还原本次网络攻击的攻击路径，最终确定本次网络攻击中位于外部网络系统中的攻击源。其中，可以将内部网络系统之外的系统称为外部网络系统。

为了详述如何确定网络攻击的攻击路径，作为图3方法的细化，在本发明提供的又一实施例中，如图4所示，告警消息包括告警网络设备的设备标识，步骤s320可以包括如下步骤：

在步骤s321中，根据本次告警设备的日志信息和网络流量监控信息，生成第一内部网络设备列表。

其中，第一内部网络设备列表包括内部网络系统中与本次告警设备有通信连接的网络设备的设备标识。

在步骤s322中，根据历史告警消息，生成第二内部网络设备列表。

其中，第二内部网络设备列表包括第一内部网络设备列表中历史上受到过告警的网络设备的设备标识。

在步骤s323中，确定第二内部网络设备列表中包括有预设网络攻击的网络设备，得到第三内部网络设备列表。

其中，第三内部网络设备列表包括第二内部网络设备列表中包括有预设网络攻击的网络设备，预设网络攻击告警，包括下述至少一种：网络监听告警、系统漏洞攻击告警和木马攻击告警。

在步骤s324中，将第三内部网络设备列表作为内部脆弱点列表。

结合图2所示，将最终得到的列表d作为内部脆弱点列表e，内部脆弱点列表e中包含的网络设备全部为内部网络系统中的网络设备。由于内部脆弱点列表e中包含的网络设备都为内部网络系统中的网络设备，因此，可以获取内部脆弱点列表e中网络设备的日志信息和流量监控信息，通过内部脆弱点列表e中网络设备的日志信息和流量监控信息，可以得到与内部脆弱点列表e中网络设备有过通信连接的其它网络设备，并将包含与内部脆弱点列表e中网络设备有过通信连接的其它网络设备作为列表f。

作为图3方法的细化，如图5所示，在本发明提供的又一实施例中，步骤s330还可以包括如下步骤：

在步骤s331中，根据获取到的内部脆弱点列表中的网络设备的日志信息和网络流量监控信息，确定与内部脆弱点列表中的网络设备有通信连接的网络设备。

在步骤s332中，判断与内部脆弱点列表中的网络设备有通信连接的网络设备中是否包括外部网络系统的外部网络设备。

若与内部脆弱点列表中的网络设备有通信连接的网络设备中包括外部网络系统的外部网络设备，在步骤s333中，根据外网设备、各列表及本次告警设备，生成网络攻击的攻击路径。

其中，结合上述图2及其对应的实施例，本发明实施例中涉及到的第一内部网络设备列表相当于图2中的列表b，第二内部网络设备列表相当于图2中的列表c，第三内部网络设备列表相当于图2中的列表d，内部脆弱点列表与列表d相同。本发明实施例中通过不断通过第一内部网络设备列表至第三内部网络设备列表，来判断是否有与内部脆弱点列表中网络设备通信的外部网络系统中的网络设备，如果没有，那么将与内部脆弱点列表中网络设备作为新的本次告警设备，返回步骤321继续循环查找，直到与内部脆弱点列表中的网络设备有通信连接的网络设备中包括外部网络系统的外部网络设备为止。

网络设备的设备标识，示例性的，可以是网络设备的ip地址等，可以根据网络设备的ip地址来确定网络设备是属于内部网络系统中的设备还是外部网络设备中的设备。

另外，若与内部脆弱点列表中的网络设备有通信连接的网络设备中不包括外部网络系统的外部网络设备，返回执行步骤s321直到找到位于外部网络系统中的外部网络设备，以便在外部网络设备中确定攻击源。或者，在本发明提供的又一实施例中，若与所述内部脆弱点列表中的网络设备有通信连接的网络设备中包括外部网络系统的外部网络设备，将所述外网设备确定为攻击源。这时攻击源可能包括外部网络系统中的一个或者多个网络设备，如果攻击源为外部网络系统中的多个网络设备，根据需要，还可以具体从这些多个网络设备中再进一步确定为其中的一个作为攻击源。

另外，步骤s333具体还可以是根据攻击源、各列表及本次告警设备，生成网络攻击的攻击路径。

其中，本发明实施例中的各列表，包括第一内部网络设备列表、第二内部网络设备列表、第三内部网络设备列表和内部脆弱点列表，本发明实施例中涉及到的第一内部网络设备列表相当于图2中的列表b，第二内部网络设备列表相当于图2中的列表c，第三内部网络设备列表相当于图2中的列表d，其中，内部脆弱点列表与列表d相同。本发明实施例中生成的网络攻击路径，包括由内部网络系统中受到网络攻击的网络设备和外部网络系统中发起网络攻击的网络设备组成，通过还原网络攻击路径，可以追溯攻击源，进而定位攻击者，以便采取相关防护措施，避免进一步扩大由于网络攻击造成的损失。

作为图3方法的细化，如图6所示，在本发明提供的又一实施例中，该方法还可以包括如下步骤：

在步骤s340中，获取外部网络设备的设备标识。

在步骤s350中，在本地威胁情报库中查找与设备标识相对应的情报信息。

在步骤s360中，根据情报信息获取外部网络设备中的攻击源。

情报库存储从外部信息源、威胁情报生态圈获取的战略级、战术级威胁情报。在线获取外部威胁情报库，更新本地威胁情报库，查询列表中的设备是否在威胁情报库中有备案，通过设备ip信息和行为特征定位攻击者，查询其背景信息。威胁情报信息关联得出后，可以得到攻击源的人员属性、社会背景等信息。

本发明实施例还可以通过获取预设威胁情报库中的情报信息，来及时更新本地威胁情报库，便于在内部网络系统受到网络攻击时，在获取到网络攻击的源攻击设备的ip地址或网络攻击行为特征后，可以根据源攻击设备的ip地址即网络攻击行为特征来定位攻击者，查询其背景信息。该预设威胁情报库中可以位于外部网络系统中。

本发明实施例提供的网络攻击溯源实现方法，通过根据接收到的内部网络系统受到网络攻击的告警消息，确定网络攻击的攻击路径，如果攻击路径中包括位于外部网络系统中的网络设备，将网络设备确定为该网络攻击的源网络攻击设备。这样本发明实施例通过溯源网络攻击的攻击路径，确定网络攻击的源网络攻击设备，进而可以进一步定位攻击者及其背景信息。

通过以上的方法实施例的描述，所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：只读存储器(rom)、随机存取存储器(ram)、磁碟或者光盘等各种可以存储程序代码的介质。

另外，作为对上述各实施例的实现，本发明实施例还提供了一种网络攻击溯源实现装置，该装置位于服务器中，如图7所示，该装置包括：

消息获取模块10，用于获取内部网络系统受到网络攻击的本次告警消息和历史告警消息，所述本次告警消息包括本次告警设备的设备标识；

列表生成模块20，用于根据所述本次告警消息和所述历史告警消息，生成内部脆弱点列表，所述内部脆弱点列表包括所述内部网络系统中与所述本次告警设备有通信连接的且历史上受到过所述网络攻击的网络设备的设备标识；

攻击路径确定模块30，用于根据获取到的所述内部脆弱点列表中的网络设备的日志信息和网络流量监控信息，确定所述网络攻击的攻击路径。

基于图7，在本发明提供的又一实施例中，如图8所示，所述列表生成模块20，包括：

第一列表生成子模块21，用于根据所述本次告警设备的日志信息和网络流量监控信息，生成第一内部网络设备列表，所述第一内部网络设备列表包括所述内部网络系统中与所述本次告警设备有通信连接的网络设备的设备标识；

第二列表生成子模块22，用于根据所述历史告警消息，生成第二内部网络设备列表，所述第二内部网络设备列表包括所述第一内部网络设备列表中历史上受到过告警的网络设备的设备标识；

第三列表生成子模块23，用于确定所述第二内部网络设备列表中包括有预设网络攻击的网络设备，得到第三内部网络设备列表，所述第三内部网络设备列表包括所述第二内部网络设备列表中包括有预设网络攻击的网络设备，所述预设网络攻击告警，包括下述至少一种：网络监听告警、系统漏洞攻击告警和木马攻击告警；

将所述第三内部网络设备列表作为所述内部脆弱点列表。基于图7，在本发明提供的又一实施例中，如图9所示，所述攻击路径确定模块30，包括：

设备确定子模块31，用于根据获取到的所述内部脆弱点列表中的网络设备的日志信息和网络流量监控信息，确定与所述内部脆弱点列表中的网络设备有通信连接的网络设备；

判断子模块32，用于判断与所述内部脆弱点列表中的网络设备有通信连接的网络设备中是否包括外部网络系统的外部网络设备；

攻击路径生成子模块33，用于在与所述内部脆弱点列表中的网络设备有通信连接的网络设备中包括外部网络系统的外部网络设备时，根据所述外网设备、各列表及所述本次告警设备，生成所述网络攻击的攻击路径。

基于图7，在本发明提供的又一实施例中，第一列表生成子模块21，还用于在与所述内部脆弱点列表中的网络设备有通信连接的网络设备中不包括外部网络系统的外部网络设备时，根据所述本次告警设备的日志信息和网络流量监控信息生成第一内部网络设备列表。

基于图7，在本发明提供的又一实施例中，如图10所示，该装置还可以包括：

设备标识获取模块40，用于获取所述外部网络设备的设备标识；

情报信息查找模块50，用于在本地威胁情报库中查找与所述设备标识相对应的情报信息；

攻击源获取模块60，用于根据所述情报信息获取所述外部网络设备中的攻击源。

或者，在本发明提供的又一实施例汇总，该装置还可以包括攻击源确定模块，用于在与所述内部脆弱点列表中的网络设备有通信连接的网络设备中包括外部网络系统的外部网络设备时，将所述外网设备确定为攻击源；

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本发明实施例提供的网络攻击溯源实现装置，通过根据接收到的内部网络系统受到网络攻击的告警消息，确定网络攻击的攻击路径，如果攻击路径中包括位于外部网络系统中的网络设备，将网络设备确定为该网络攻击的源网络攻击设备。这样本发明实施例通过溯源网络攻击的攻击路径，确定网络攻击的源网络攻击设备，进而可以进一步定位攻击者及其背景。

本发明实施例还提供一种服务器，如图11所示，该服务器210包括：至少一个处理器211、至少一个总线212、至少一个通信接口213和至少一个存储器214，其中，

存储器214用于存储计算机执行指令；存储器214可以包括只读存储器和随机存取存储器，并向处理器211提供指令和数据。存储器214的一部分还可以包括非易失性随机存取存储器(nvram，non-volatilerandomaccessmemory)；

处理器211与通信接口213、存储器214通过总线212相连接；

在本发明一个实施例中，当计算机运行时，处理器211执行存储器214中存储的计算机执行指令，处理器211可以用于执行上述网络攻击溯源实现方法中任一实施例中的步骤。

可以理解的是，本发明可用于众多通用或专用的计算系统环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络pc、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。

本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。