本发明涉及网络安全技术领域,尤指一种攻击事件取证方法、装置及存储介质。
背景技术:
目前在网关设备端,产生的攻击时事件,比如入侵检测事件、病毒事件、ddos攻击事件等,其主要是提取其事件的摘要信息,摘要信息包括事件id、攻击源ip、攻击目的ip等,但这些摘要信息无法满足后期攻击溯源、黑客画像等活动的要求。
技术实现要素:
为了解决上述技术问题,本发明提供了一种攻击事件取证方法、装置及存储介质,能够实现攻击回溯。
为了达到本发明目的,本发明提供了一种攻击事件取证方法,所述方法包括:
检测到攻击事件后,判断预先设置的取证策略,根据所述取证策略对原始攻击信息流进行取证,所述原始攻击信息流包括所述攻击事件的一个或多个原始攻击报文。
进一步地,所述取证策略包括:本地存储;或者,转发至预设防火墙镜像口;或者,本地存储和转发至预设防火墙镜像口。
进一步地,所述预先设置的取证策略包括本地存储,所述根据所述取证策略对原始攻击信息流进行取证,包括:
复制原始攻击信息流,构造过程特性分析软件包pcap报文,将原始攻击信息流作为pcap报文的内容,并采用预设命名规则命名所述pcap报文。
进一步地,所述预设命名规则为:
所述pcap报文名称中包含攻击事件类型和事件标识;或者,
所述pcap报文名称中包含攻击事件类型、事件标识以及源ip地址;或者,
所述pcap报文名称中包含攻击事件类型、事件标识以及目的ip地址;或者,
所述pcap报文名称中包含攻击事件类型、事件标识、源ip地址以及目的ip地址。
进一步地,所述预先设置的取证策略包括转发至预设防火墙镜像口,所述根据所述取证策略对原始攻击信息流进行取证,包括:
复制原始攻击信息流,对所述原始攻击信息流进行报文封装,将报文封装后的原始攻击信息流发送至所述预设防火墙镜像口。
为了达到本发明目的,本发明还提供了一种攻击事件取证装置,所述装置包括检测模块和取证模块,其中,
所述检测模块,用于检测到攻击事件后,判断预先设置的取证策略;
所述取证模块,用于根据所述取证策略对原始攻击信息流进行取证,所述原始攻击信息流包括所述攻击事件的一个或多个原始攻击报文。
进一步地,所述取证策略包括:本地存储;或者,转发至预设防火墙镜像口;或者,本地存储和转发至预设防火墙镜像口。
进一步地,所述预先设置的取证策略包括本地存储,所述取证模块根据所述取证策略对原始攻击信息流进行取证,包括:
所述取证模块复制原始攻击信息流,构造过程特性分析软件包pcap报文,将原始攻击信息流作为pcap报文的内容,并采用预设命名规则命名所述pcap报文。
进一步地,所述预先设置的取证策略包括转发至预设防火墙镜像口,所述取证模块根据所述取证策略对原始攻击信息流进行取证,包括:
所述取证模块复制原始攻击信息流,对所述原始攻击信息流进行报文封装,将报文封装后的原始攻击信息流发送至所述预设防火墙镜像口。
为了达到本发明目的,本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述方法的步骤。
与现有技术相比,本发明包括检测到攻击事件后,判断预先设置的取证策略,根据所述取证策略对原始攻击信息流进行取证,所述原始攻击信息流包括所述攻击事件的一个或多个原始攻击报文。对一攻击事件的一个或多个原始攻击报文进行全部取证,相比常规的只记录攻击事件的摘要信息,更能为后续的攻击溯源、黑客画像提供有力的证据。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明实施例一的攻击事件取证方法的流程图;
图2为本发明实施例二的攻击事件取证方法的另一种流程图;
图3为本发明实施例三的攻击事件取证装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
实施例一
本实施例提供一种攻击事件取证方法,如图1所示,包括s11-s12:
s11、检测到攻击事件后,判断预先设置的取证策略;
s12、根据取证策略对原始攻击信息流进行取证,所述原始攻击信息流包括所述攻击事件的一个或多个原始攻击报文。
本发明实施例中,对原始攻击信息流进行取证指的是对一攻击事件的一个或多个原始攻击报文进行全部取证。相比常规的只记录攻击事件的摘要信息,更能为后续的攻击溯源、黑客画像提供有力的证据。
取证策略包括:
本地存储;或者,转发至预设防火墙镜像口;或者,本地存储和转发至预设防火墙镜像口。本地存储可以采用本地pcap(过程特性分析软件包)存储,也可以采用其他报文格式存储,只要能进行攻击回溯即可。取证最原始的攻击信息流,采用pcap存储的方法,以备报文回放,采用转发至预设防火墙镜像口的方法,可以及时展现攻击事件。
具体采用哪一种取证策略可以依据防火墙设备而定,例如,比如防火墙设备挂载有硬盘,则可设置取证策略为本地存储,如果考虑冗余性,可设置取证策略为本地存储和转发至预设防火墙镜像口。
在一可选实施例中,如果预先设置的取证策略包括本地存储,所述根据取证策略对原始攻击信息流进行取证,包括:
复制原始攻击信息流,构造pcap报文,将原始攻击信息流作为pcap报文的内容,并采用预设命名规则命名pcap报文。
预设命名规则可以是:pcap报文名称中包含攻击事件类型和事件标识。上述命名规则的实质是对攻击事件进行分组分类,使pcap文件名称能够体现攻击事件的概要信息,同时又不使总体pcap文件数量太过庞大,便于后续快速搜索攻击类型和攻击事件。
可选地,pcap报文名称中还可以包括源ip地址和/或目的ip地址。即所述预设命名规则还可以是:pcap报文名称中包含攻击事件类型、事件标识以及源ip地址;或者,pcap报文名称中包含攻击事件类型、事件标识以及目的ip地址;或者,pcap报文名称中包含攻击事件类型、事件标识、源ip地址以及目的ip地址。增加了名称中的要素,虽然pcap报文数量会增多,但是可以实现更细化的分类。
如果采用其他报文格式进行本地存储,也可以参照上述pcap报文的取证方法和命名规则实现。
在另一个可选实施例中,如果预先设置的取证策略包括转发至预设防火墙镜像口,所述根据取证策略对原始攻击信息流进行取证,包括:
复制原始攻击信息流,对原始攻击信息流进行报文封装,将报文封装后的原始攻击信息流发送至预设防火墙镜像口。
防火墙镜像口可以接入有可以实时展现攻击事件的设备,例如直接连接电脑设备,或者通过交换机连接电脑设备。
本发明实施例中,检测到攻击事件后,判断预先设置的取证策略,根据所述取证策略对原始攻击信息流进行取证,通过对原始攻击信息流进行本地存储或者转发至防火墙镜像口,相比常规的只记录攻击事件的摘要信息,更能为后续的攻击溯源、黑客画像提供有力的证据。
实施例二
本实施例对上述实施例方法进行具体描述,如图2所示,包括以下步骤:
步骤s21,对攻击报文进行应用层流重组,得到重组后的大报文;
经过防火墙的流量,首先会进行基于应用的流重组操作,基于不同的应用,采用不同的重组策略,比如stmp(简单邮件传输协议),会将单个的报文流缓存,解析出邮件和附件内容。
步骤s22,检测模块检测到攻击行为;
检测模块包含有多个,用于发现报文流的各种攻击行为,例如多个检测模块分别用于进行入侵检测、ddos(分布式拒绝服务)攻击、病毒、木马等攻击行为的检测,每个模块进行一种攻击行为的检测;发现攻击行为后,首先会产生日志,然后依据用户是否配置有取证策略,确定是否进行攻击事件取证操作。
步骤s23、判断取证策略,如果用户配置了攻击事件取证,则根据取证策略判断如何进行取证,如果取证策略为本地存储,则执行步骤s25;如果取证策略为转发至预设防火墙镜像口,则执行步骤s24;如果取证策略为本地存储和转发至预设防火墙镜像口,则同时执行步骤s24、s25;
步骤s24,拷贝原始攻击信息流,转发至预设防火墙镜像口;
将拷贝后的原始攻击信息流转发送至预设防火墙镜接口,首先为了便于转发需要对原始攻击信息流进行报文封装,例如进行传输层、ip层和数据链路层的报文封装,然后将报文封装后的原始攻击信息流转发至指定的防火墙镜像口;该取证场景下,可以是用一个笔记本电脑接入防火墙的镜像口,用于侦听攻击事件报文,还可以用交换机连接电脑设备进行侦听。
其中,所述原始攻击信息流包括所述攻击事件的一个或多个原始攻击报文。
步骤s25,拷贝原始攻击信息流,构造pcap报文,包括:构造pcap报文格式头信息体,并将原始攻击信息流作为pcap报文的内容;
本实施例采用本地pcap存储,也可以采用其他报文格式存储,只要能进行攻击回溯即可。取证最原始的攻击信息流,采用pcap存储的方法,以备报文回放,采用转发至预设防火墙镜像口的方法,可以及时展现攻击事件;
其中,所述原始攻击信息流包括所述攻击事件的一个或多个原始攻击报文。
步骤s26,命名所述pcap报文;
按照预设命名规则命名所述pcap报文。通常防火墙作为网关或企业出口,其攻击事件的数量较大;如何命名攻击事件的pcap文件名,实质是对攻击事件分组分类的问题。总体原则是使pcap文件名称体现攻击事件概要信息,同时又不能使总体pcap文件数量太过庞大;本申请实施例中,防火墙部署在大流量的网关处,因此使用的命令方式为:pcap报文名称中包含攻击事件类型和事件标识。可选地,依据防火墙具体部署的场景,报文名称中还可以包括源ip地址和/或目的ip地址,例如,如果防火墙部署在服务器前端,则报文名称中可包括目的ip。通过该命名方法存储的攻击事件pcap文件,后续审计时,能快速的搜索的攻击类型、攻击事件、攻击源、攻击目的等关键信息。
步骤s27,写入防火墙文件系统;
由于pcap文件存储的是攻击载荷等原始信息,对存储空间有要求,通常需要在防火墙内部挂载硬盘。
实施例三
本实施例提供了一种攻击事件取证装置,上述方法实施例中描述也适用于本实施例中,图3所示,该装置包括检测模块31和取证模块32,其中,
检测模块31,用于检测到攻击事件后,判断预先设置的取证策略;
取证模块32,用于根据取证策略对原始攻击信息流进行取证,原始攻击信息流包括攻击事件的一个或多个原始攻击报文。
该攻击事件取证装置可以在网关上部署,也可以部署在防火墙等设备上。
取证策略包括:本地存储;或者,转发至预设防火墙镜像口;或者,本地存储和转发至预设防火墙镜像口。
在一个可选实施例中,预先设置的取证策略包括本地存储,取证模块32根据取证策略对原始攻击信息流进行取证,包括:
取证模块32复制原始攻击信息流,构造过程特性分析软件包pcap报文,将原始攻击信息流作为pcap报文的内容,并采用预设命名规则命名pcap报文。
在一个可选实施例中,预先设置的取证策略包括转发至预设防火墙镜像口,取证模块32根据取证策略对原始攻击信息流进行取证,包括:
取证模块32复制原始攻击信息流,对原始攻击信息流进行报文封装,将报文封装后的原始攻击信息流发送至预设防火墙镜像口。
本发明实施例还提供一种计算机存储介质,所述计算机存储介质存储有计算机程序;所述计算机程序被执行后,能够实现前述实施例提供的攻击取证方法,例如,执行如图1、图2所示方法中的一个或多个。所述计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于ram、rom、eeprom、闪存或其他存储器技术、cd-rom、数字多功能盘(dvd)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。