一种黑客攻击溯源分析系统

技术领域

本发明涉及网络安全技术领域，具体涉及一种黑客攻击溯源分析系统。

背景技术

随着网络技术的发展，出现了网络安全技术，网络安全技术用于维护计算机通信网络的安全，主要包括网络的硬件和软件的正常运行、以及数据信息交换的安全。在实际应用中，网络攻击行为的频发常常会对系统的网络安全造成隐患，对网络攻击事件进行溯源打击网络攻击行为的一种常用且有效的手段。

现有系统主要有取证和溯源两步，在溯源的处理过程中，数据比对和识别，至关重要，现在技术存在的不足主要有1、检测来源单一：检测依据和指标来源于从木马文件中抽取的有限的静态特征集合，来源单一。2、检测手段简单：沙箱方法支持动态检测，但检测手段不够全面。通过不一致操作识别可疑行为的方法会存在漏报、误报，影响检测结果，需进行更全面的行为分析才能够保证动态检测的有效性。3、溯源方法落后：不能结合黑客组织的行为习惯进行木马文件溯源，不能实现精准定位溯源。4、数据孤立使用：缺乏各特征集合的数据关联和融合，不能实现数据综合分析。

发明内容

本发明针对现有技术的不足，提出一种检测全面，比对高效，准确率高的黑客攻击溯源分析系统，具体技术方案如下：

一种黑客攻击溯源分析系统，设置有网络攻击线索获取模块，用于获取网络攻击的线索数据；

攻击数据提取和分析模块，用于分析线索数据，判断是否为攻击数据；

攻击数据格式转换模块，用于将攻击数据整理存储为预定统一格式；

设置有取证单元，用于存储网络攻击的线索数据；

设置有溯源分析模块，用于构建溯源分析模型；

设置有溯源追踪模块，用于追踪判断攻击黑客来源。

作为优化：采用的具体工作步骤为：

步骤一：根据威胁情报数据库的类型，收集网络运行的网络层、运行层和终端层的对应数据，与威胁情报数据库比对，判断是否异常，是则进入下一步，否则继续步骤一；

步骤二：将异常数据的信息类型进行分离，提取特征，然后与攻击数据比对，匹配则判定为攻击数据，否则结束；

步骤三：将攻击数据按照预定统一格式，进行存储到取证单元中；

步骤四：将攻击数据与黑客档案数据对比，识别出攻击来源。

作为优化：所述取证单元设置在云端，或者为独立存储器，通过数据线与终端设备通信。

作为优化：所述步骤二中异常数据的信息类型进行分离具体按照：静态指纹分析，隐态指纹分析，及动态行为指纹分析的标准。

本发明的有益效果为：实时监控运行网络，全方位多维度监测网络运行环境，快速高效；对数据进行统一格式的保存，固定证据，并且保存装置采用云端或者独立装置，与终端设备分离，更加安全可靠；对信息进行多维度精准识别，判断出攻击数据，并根据数据特征，识别出攻击黑客来源，保证运行网络的安全。

具体实施方式

下面结对本发明的较佳实施例进行详细阐述，以使本发明的优点和特征能更易于被本领域技术人员理解，从而对本发明的保护范围做出更为清楚明确的界定。

一种黑客攻击溯源分析系统，设置有网络攻击线索获取模块，用于获取网络攻击的线索数据；

攻击数据提取和分析模块，用于分析线索数据，判断是否为攻击数据；

攻击数据格式转换模块，用于将攻击数据整理存储为预定统一格式；

设置有取证单元，用于存储网络攻击的线索数据，该取证单元为云端存储器；

设置有溯源分析模块，用于构建溯源分析模型；

设置有溯源追踪模块，用于追踪判断攻击黑客来源。

采用的具体工作步骤为：

步骤一：根据威胁情报数据库的类型，收集网络运行的网络层、运行层和终端层的对应数据，与威胁情报数据库比对，判断是否异常，是则进入下一步，否则继续步骤一；

步骤二：将异常数据的信息类型进行分离，按照静态指纹分析，隐态指纹分析，及动态行为指纹分析的标准，，静态指纹基因包括如下6个标签项：PE文件基本信息标签、编译信息标签、数字签名信息标签、窗口资源信息标签、PDB路径标签、导出函数标签；隐态指纹基因包括如下3个标签项：自有算法标签、功能函数标签、编程习惯及风格标签；及动态行为指纹基因包括如下10个标签项：基础标签、窗口资源标签、注入类型标签、键盘记录标签、网络事件标签、主动攻击标签、自启动标签、自拷贝标签、文件属性标签、系统属性标签。提取特征，然后与攻击数据比对，匹配则判定为攻击数据，否则结束；

步骤三：将攻击数据按照预定统一格式，进行存储到取证单元中；

步骤四：将攻击数据与黑客档案数据对比，识别出攻击来源。