网络攻击的应急排查方法及装置与流程

本发明涉及互联网安全技术领域，尤其涉及一种网络攻击的应急排查方法及装置。

背景技术：

当前网络攻击日益频繁，经常有计算机遭受到网络攻击，在计算机遭受网络攻击后，需要对受害主机进行恶意文件的排查与攻击的回溯，排查出被植入的恶意软件并恢复计算机的正常运行，以及找出攻击者可能的攻击途径和方法，避免再次被攻击，这个过程被称为应急响应。在应急响应过程中，需要对网络攻击进行应急排查。

现有的应急排查方法一般为应急响应工程师携带相关软件工具，安装到被攻击主机中进行信息采集及排查并由工程师进行现场分析，或者将采集的信息取出后进行离线分析。这种技术方案需要在被攻击的计算机中安装软件工具，由于不同的操作系统以及不同的CPU架构中可能需要安装不同的工具，不仅过程繁琐而且计算机的运行环境有较大影响，导致应急排查的准确度低；此外，当前的网络环境下，攻击的形式越来越多样化，需要不断的对软件工具进行升级，而软件的升级周期长，难以对新型的威胁进行实时的检测。

技术实现要素：

本发明提供一种网络攻击的应急排查方法及装置，其主要目的在于解决现有技术中由于安装软件工具而导致应急排查的准确度低以及应急软件的升级难以满足对新型威胁的检测的技术问题。

为实现上述目的，本发明提供一种网络攻击的应急排查方法，该网络攻击的应急排查方法包括：

在接收到终端基于信息排查脚本发送的连接请求时，基于所述信息排查脚本与所述终端建立连接，并向所述终端下发信息收集插件；

接收所述终端基于所述信息收集插件收集的运行环境信息和权限信息，并将与所述运行环境信息和权限信息匹配的应急排查插件添加至插件下发队列中；

将所述插件下发队列中的应急排查插件下发至所述终端，以在所述终端的内存中运行以进行应急排查，并接收所述终端返回的排查结果；

在应急排查结束后，根据所述终端所述插件下发队列中的应急排查插件对应的排查结果生成应急排查报告。

可选地，所述在应急排查结束后，根据所述终端所述插件下发队列中的应急排查插件对应的排查结果生成应急排查报告的步骤之前，所述网络攻击的应急排查方法还包括步骤：

当接收到所述终端返回的排查结果时，对接收的排查结果进行分析；

在根据分析的结果确定有待排查信息需要排查时，将与所述待排查信息匹配的应急排查插件添加至所述插件下发队列。

可选地，所述将与所述待排查信息匹配的应急排查插件添加至所述插件下发队列的步骤之前，所述网络攻击的应急排查方法还包括步骤：

在根据分析的结果确定有待排查信息需要排查时，判断所述待排查信息对应的应急排查插件是否已经下发至所述终端或者已经在所述插件下发队列中；

若否，则执行将与所述待排查信息匹配的应急排查插件添加至所述插件下发队列的步骤。

可选地，所述网络攻击的应急排查方法还包括：

在检测到所述插件下发队列中的应急排查插件已全部下发、且下发的应急排查插件均有对应的排查结果返回时，判定应急排查结束。

可选地，所述网络攻击的应急排查方法还包括：

在应急排查结束后，向所述终端发送脚本清除指令，以供所述终端基于接收到的所述脚本清除指令清除所述信息排查脚本。

此外，为实现上述目的，本发明还提供一种网络攻击的应急排查装置，该网络攻击的应急排查装置包括：

连接模块，用于在接收到终端基于信息排查脚本发送的连接请求时，基于所述信息排查脚本与所述终端建立连接；

接收模块，用于接收所述终端基于所述信息收集插件收集的运行环境信息和权限信息；

添加模块，用于将与所述运行环境信息和权限信息匹配的应急排查插件添加至插件下发队列中；

下发模块，用于将所述插件下发队列中的应急排查插件下发至所述终端，以在所述终端的内存中运行以进行应急排查；

所述接收模块还用于：接收所述终端返回的排查结果；

生成模块，用于在应急排查结束后，根据所述终端所述插件下发队列中的应急排查插件对应的排查结果生成应急排查报告。

可选地，所述网络攻击的应急排查装置还包括：

确定模块，用于当接收到所述终端返回的排查结果时，对接收的排查结果进行分析。

所述添加模块还用于：在根据分析的结果确定有待排查信息需要排查时，将与所述待排查信息匹配的应急排查插件添加至所述插件下发队列。

可选地，所述网络攻击的应急排查装置还包括：

第一判断模块，用于在根据分析的结果确定有待排查信息需要排查时，判断所述待排查信息对应的应急排查插件是否已经下发至所述终端或者已经在所述插件下发队列中；

所述添加模块还用于：在所述待排查信息对应的应急排查插件未下发至所述终端或者不在所述插件下发队列中时，将与所述待排查信息匹配的应急排查插件添加至所述插件下发队列。

可选地，所述网络攻击的应急排查装置还包括：

第二判断模块，用于在检测到所述插件下发队列中的应急排查插件已全部下发、且下发的应急排查插件均有对应的排查结果返回时，判定应急排查结束。

可选地，所述发送模块还用于：在应急排查结束后，向所述终端发送脚本清除指令，以供所述终端基于接收到的所述脚本清除指令清除所述信息排查脚本。

本发明提出的网络攻击的应急排查方法及装置，无需在终端上安装软件工具，也无需现场分析，只需要终端通过信息排查脚本与服务器建立连接，基于服务器下发的信息采集插件上报运行环境信息和权限信息，服务器将与终端的运行环境信息和权限信息匹配的应急排查插件下发给终端，即可实现远程应急排查，并且本发明采用由服务器实时下发插件的方式，具有扩展性和可维护性，当产生新型威胁时，只需添加新的插件即可快速应用于应急排查中，此外，本发明的插件运行在终端的内存中，在磁盘中没有安装痕迹，对于终端的运行环境影响较小，提高了应急排查的准确度。

附图说明

图1为本发明网络攻击的应急排查方法第一实施例的流程图；

图2为本发明网络攻击的应急排查方法第二实施例的流程图；

图3为本发明网络攻击的应急排查装置第一实施例的功能模块示意图；

图4为本发明网络攻击的应急排查装置第二实施例的功能模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明提供一种网络攻击的应急排查方法。参照图1所示，为本发明网络攻击的应急排查方法第一实施例的流程图。

在本实施例中，该网络攻击的应急排查方法包括：

步骤S10，在接收到终端基于信息排查脚本发送的连接请求时，基于所述信息排查脚本与所述终端建立连接，并向所述终端下发信息收集插件。

步骤S20，接收所述终端基于所述信息收集插件收集的运行环境信息和权限信息，并将与所述运行环境信息和权限信息匹配的应急排查插件添加至插件下发队列中。

本发明实施例的执行主体可以为服务器或专用于实现该方法的设备等。下文中均以执行主体为服务器为例对本发明实施例提供的方法进行说明。

一般情况下，攻击者在入侵进入系统后，会在系统中留下一些入侵痕迹，如新添加的后门或账户，系统中记录的日志也可能记录攻击者的一些操作和攻击途径等等。通过对系统中各种信息的排查分析可能可以找到攻击者植入的恶意文件及攻击途径。例如，从系统日志、web日志、账户情况、进程情况、网络通信状况、文件分析、启动项分析等方面进行排查等。

本发明的实施例中，在服务器预先建立插件库，根据应急排查过程中需要排查的项目制作各种对应功能的应急排查插件，并将建立的应急排查插件存储到预先建立的插件库中，其中，插件库中存储的插件包括但不限于以下类型的插件：历史命令排查插件、用户账号排查插件、进程状况排查插件、网络通信及端口使用情况排查插件、日志信息排查插件，以及各种类型的病毒排查插件等。其中，运行环境信息包括终端的操作系统类型、CPU(Central Processing Unit，中央处理器)架构、环境变量以及磁盘的目录信息等，权限信息为终端当前访问系统的账户信息，如管理员账户或者访客账户等。插件库中的每种插件分别包括与不同运行环境信息、权限信息匹配的多个插件，以历史命令排查插件为例，假设操作系统类型包括windows系列操作系统、unix操作系统、linux操作系统，则需要在插件库中预先存储分别与这三个操作系统对应的历史命令排查插件。

预先编写信息排查脚本，该脚本可以运行在终端上，具有与服务器建立连接，以及接收服务器发送的插件的功能，使用方便，在应急排查时不需要在终端上安装工具软件。当终端受到网络攻击需要进行应急排查时，在该终端上运行该信息排查脚本，终端通过该信息排查脚本向服务器发送连接请求，以与服务器建立连接。服务器与终端成功建立连接后，向该终端下发信息收集插件，终端接收到的该信息采集插件后，可以直接在内存中运行该插件，采集终端当前的运行环境信息以及权限信息。

在该实施例中，在获取到终端当前的运行环境信息以及权限信息之后，从插件库中，获取与上述运行环境信息以及权限信息匹配的应急排查插件，添加到插件下发队列中。

步骤S30，将所述插件下发队列中的应急排查插件下发至所述终端，以在所述终端的内存中运行以进行应急排查，并接收所述终端返回的排查结果。

步骤S40，在应急排查结束后，根据所述终端所述插件下发队列中的应急排查插件对应的排查结果生成应急排查报告。

不断地将插件下发队列中的应急排查插件下发至终端，以在终端的内存中运行，进行应急排查。例如，可以按照预设的下发时间间隔进行定时地下发。直至队列中的插件全部下发到终端。在排查结束之前，只要检测到下发队列中有未下发的插件，都会进行下发。在下发应急排查插件时，可以先下发基础安全排查插件，然后再根据这些基础安全排查插件反馈的排查结果，判断要下发哪些类型的病毒排查插件，其中，基础安全检测插件包括历史命令排查插件、用户账号排查插件、进程状况排查插件、网络通信及端口使用情况排查插件、日志信息排查插件。终端在接收到上述插件后，在内存中运行这些插件，运行的插件按照对应的功能进行信息排查，以检测终端上是否有新添加的后门或者账户，或者系统日志中记录的攻击者的操作和攻击途径等攻击者留下的入侵痕迹，并将排查结果返回给服务器。或者，在其他实施例中，根据终端返回的运行环境信息以及权限信息，将相关的全部应急排查插件依次下发给终端进行应急排查。

服务器在应急排查结束后，可以根据各个应急排查插件返回的排查结果生成应急排查报告，其中，在检测到所述插件下发队列中的应急排查插件已全部下发、且下发的应急排查插件均有对应的排查结果返回时，判定应急排查结束。

进一步地，为了进一步减小对终端的运行环境的影响，在应急排查结束后，服务器向终端发送脚本清除指令，终端根据接收到的脚本清除指令清除信息排查脚本。此外，为了进一步地提高应急排查的准确度，当有新的威胁类型，或者新的排查方式出现时，可以编写新的应急排查插件添加到插件库中以更新插件库，以使后续的应急排查的准确度更高。

本实施例提出的网络攻击的应急排查方法，无需在终端上安装软件工具，也无需现场分析，只需要终端通过信息排查脚本与服务器建立连接，基于服务器下发的信息采集插件上报运行环境信息和权限信息，服务器将与终端的运行环境信息和权限信息匹配的应急排查插件下发给终端，即可实现远程应急排查，并且本发明采用由服务器实时下发插件的方式，具有扩展性和可维护性，当产生新型威胁时，只需添加新的插件即可快速应用于应急排查中，此外，本发明的插件运行在终端的内存中，在磁盘中没有安装痕迹，对于终端的运行环境影响较小，提高了应急排查的准确度。

基于第一实施例提出本发明网络攻击的应急排查方法的第二实施例。在本实施例中，在步骤S30与步骤S40之间，该方法还包括：

步骤S50，当接收到所述终端返回的排查结果时，对接收的排查结果进行分析。

步骤S60，在根据分析的结果确定有待排查信息需要排查时，将与所述待排查信息匹配的应急排查插件添加至插件下发队列。

在该实施例中，根据已经下发的应急排查插件返回的排查结果动态地添加新的应急排查插件到建立的插件下发队列，以对终端进行全面排查。

在获取到与运行环境信息和权限信息匹配的应急排查插件后，添加到该插件下发队列中，并且，服务器在检测到插件下发队列中有应急排查插件时，将插件下发队列中的插件依次下发到终端。此外，终端接收到的应急排查插件后，在内存中运行，并将运行的结果作为排查结果发送到服务器，服务器在接收到排查结果后，对排查结果进行分析并根据分析结果确定待排查信息，其中，此处的待排查信息是指除了已经下发或者已经添加至插件下发队列中的应急排查插件能够排查的信息之外的、还需要进行排查的信息。若有还需要排查的待排查信息，则从插件库中获取与上述待排查信息对应的应急排查插件并添加至插件下发队列中。若没有，则不再添加。

例如，服务器根据日志信息排查插件返回的针对终端的日志信息的排查结果，判断需要对终端进行某种病毒进行排查，则该种病毒即为待排查信息，将插件库中与该病毒对应的排查插件添加至插件下发队列。

进一步地，在根据分析结果确定待排查信息之后，判断所述待排查信息对应的应急排查插件是否已经下发至所述终端或者已经在所述插件下发队列中；若否，则将确定的应急排查插件添加至所述插件下发队列。若确定的插件已经在插件下发队列中或者已经下发至终端，则不再重复添加。对于插件库中的各种插件，可以根据插件可能返回的排查结果的不同，建立插件与排查信息之间的映射关系，服务器在接收到插件返回的排查结果时，可以根据排查结果确定需要排查的排查信息，进而结合上述映射关系确定要调用的插件，并添加至插件下发队列。

本发明还提出一种网络攻击的应急排查装置。

参照图3所示，为本发明网络攻击的应急排查装置第一实施例的功能模块示意图。

在该实施例中，该网络攻击的应急排查装置包括：

连接模块10，用于在接收到终端基于信息排查脚本发送的连接请求时，基于所述信息排查脚本与所述终端建立连接；

接收模块20，用于接收所述终端基于所述信息收集插件收集的运行环境信息和权限信息；

添加模块30，用于将与所述运行环境信息和权限信息匹配的应急排查插件添加至插件下发队列中。

本发明实施例提出的装置可以为服务器，也可以为其他专用于实现该方法的设备等。下文中均以服务器为例进行说明，实施例中的各个功能模块均部署在该服务器中。

一般情况下，攻击者在入侵进入系统后，会在系统中留下一些入侵痕迹，如新添加的后门或账户，系统中记录的日志也可能记录攻击者的一些操作和攻击途径等等。通过对系统中各种信息的排查分析可能可以找到攻击者植入的恶意文件及攻击途径。例如，从系统日志、web日志、账户情况、进程情况、网络通信状况、文件分析、启动项分析等方面进行排查等。

本发明的实施例中，在服务器中预先建立插件库，根据应急排查过程中需要排查的项目制作各种对应功能的应急排查插件，并将建立的应急排查插件存储到预先建立的插件库中，其中，插件库中存储的插件包括但不限于以下类型的插件：历史命令排查插件、用户账号排查插件、进程状况排查插件、网络通信及端口使用情况排查插件、日志信息排查插件，以及各种类型的病毒排查插件等。其中，运行环境信息包括终端的操作系统类型、CPU(Central Processing Unit，中央处理器)架构、环境变量以及磁盘的目录信息等，权限信息为终端当前访问系统的账户信息，如管理员账户或者访客账户等。插件库中的每种插件分别包括与不同运行环境信息、权限信息匹配的多个插件，以历史命令排查插件为例，假设操作系统类型包括windows系列操作系统、unix操作系统、linux操作系统，则需要在插件库中预先存储分别与这三个操作系统对应的历史命令排查插件。

预先编写信息排查脚本，该脚本可以运行在终端上，具有与服务器建立连接，以及接收服务器发送的插件的功能，使用方便，在应急排查时不需要在终端上安装工具软件。当终端受到网络攻击需要进行应急排查时，在该终端上运行该信息排查脚本，终端通过该信息排查脚本向服务器发送连接请求，以与服务器建立连接。服务器与终端成功建立连接后，下发模块40向该终端下发信息收集插件，终端接收到的该信息采集插件后，可以直接在内存中运行该插件，采集终端当前的运行环境信息以及权限信息。

在该实施例中，在接收模块20获取到终端当前的运行环境信息以及权限信息之后，添加模块30从插件库中，获取与上述运行环境信息以及权限信息匹配的应急排查插件，添加到插件下发队列中。

下发模块40，用于将所述插件下发队列中的应急排查插件下发至所述终端，以在所述终端的内存中运行以进行应急排查；

接收模块20还用于：接收所述终端返回的排查结果。

生成模块50，用于在应急排查结束后，根据所述终端所述插件下发队列中的应急排查插件对应的排查结果生成应急排查报告。

下发模块40不断地将插件下发队列中的应急排查插件下发至终端，以在终端的内存中运行，进行应急排查。例如，可以按照预设的下发时间间隔进行定时地下发。直至队列中的插件全部下发到终端。在排查结束之前，只要检测到下发队列中有未下发的插件，都会进行下发。在下发应急排查插件时，可以先下发基础安全排查插件，然后再根据这些基础安全排查插件反馈的排查结果，判断要下发哪些类型的病毒排查插件，其中，基础安全检测插件包括历史命令排查插件、用户账号排查插件、进程状况排查插件、网络通信及端口使用情况排查插件、日志信息排查插件。终端在接收到上述插件后，在内存中运行这些插件，运行的插件按照对应的功能进行信息排查，以检测终端上是否有新添加的后门或者账户，或者系统日志中记录的攻击者的操作和攻击途径等攻击者留下的入侵痕迹，并将排查结果返回给服务器。或者，在其他实施例中，根据终端返回的运行环境信息以及权限信息，将相关的全部应急排查插件依次下发给终端进行应急排查。

服务器在应急排查结束后，生成模块50根据各个应急排查插件返回的排查结果生成应急排查报告。进一步地，该装置还包括第二判断模块，用于在检测到所述插件下发队列中的应急排查插件已全部下发、且下发的应急排查插件均有对应的排查结果返回时，判定应急排查结束。

进一步地，为了进一步减小对终端的运行环境的影响，在应急排查结束后，下发模块40向终端发送脚本清除指令，终端根据接收到的脚本清除指令清除信息排查脚本。此外，为了进一步地提高应急排查的准确度，当有新的威胁类型，或者新的排查方式出现时，可以编写新的应急排查插件添加到插件库中以更新插件库，以使后续的应急排查的准确度更高。

本实施例提出的网络攻击的应急排查装置，无需在终端上安装软件工具，也无需现场分析，只需要终端通过信息排查脚本与服务器建立连接，基于服务器下发的信息采集插件上报运行环境信息和权限信息，服务器将与终端的运行环境信息和权限信息匹配的应急排查插件下发给终端，即可实现远程应急排查，并且本发明采用由服务器实时下发插件的方式，具有扩展性和可维护性，当产生新型威胁时，只需添加新的插件即可快速应用于应急排查中，此外，本发明的插件运行在终端的内存中，在磁盘中没有安装痕迹，对于终端的运行环境影响较小，提高了应急排查的准确度。

基于第一实施例提出本发明网络攻击的应急排查装置的第二实施例。参照图4所示，在本实施例中，该装置还包括：

确定模块60，用于当接收到所述终端返回的排查结果时，对接收的排查结果进行分析。

添加模块30还用于：在根据分析的结果确定有待排查信息需要排查时，将与所述待排查信息匹配的应急排查插件添加至插件下发队列。

在该实施例中，添加模块30根据已经下发的应急排查插件返回的排查结果动态地添加新的应急排查插件到建立的插件下发队列，以对终端进行全面排查。

在获取到与运行环境信息和权限信息匹配的应急排查插件后，添加到该插件下发队列中，并且，服务器在检测到插件下发队列中有应急排查插件时，将插件下发队列中的插件依次下发到终端。此外，终端接收到的应急排查插件后，在内存中运行，并将运行的结果作为排查结果发送到服务器，服务器在接收到排查结果后，对排查结果进行分析并根据分析结果确定待排查信息，其中，此处的待排查信息是指除了已经下发或者已经添加至插件下发队列中的应急排查插件能够排查的信息之外的、还需要进行排查的信息。若有还需要排查的待排查信息，则从插件库中获取与上述待排查信息对应的应急排查插件并添加至插件下发队列中。若没有，则不再添加。

例如，服务器根据日志信息排查插件返回的针对终端的日志信息的排查结果，判断需要对终端进行某种病毒进行排查，则该种病毒即为待排查信息，将插件库中与将该病毒对应的排查插件添加至插件下发队列。

进一步地，该装置还包括：

第一判断模块，用于在根据分析结果确定待排查信息之后，判断所述待排查信息对应的应急排查插件是否已经下发至所述终端或者已经在所述插件下发队列中；

添加模块30还用于：在所述待排查信息对应的应急排查插件未下发至所述终端或者不在所述插件下发队列中时，将与所述待排查信息匹配的应急排查插件添加至所述插件下发队列。若待排查信息对应的应急排查插件已经在插件下发队列中或者已经下发至终端，则不再重复添加。对于插件库中的各种插件，可以根据插件可能返回的排查结果的不同，建立插件与排查信息之间的映射关系，服务器在接收到插件返回的排查结果时，可以根据排查结果确定需要排查的排查信息，进而结合上述映射关系确定要调用的插件，并添加至插件下发队列。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵该非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，云端服务器或者网络设备等)执行本发明各个实施例的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。