网络攻击受害者确定方法、设备、存储介质及装置转让专利
申请号 : CN202110639801.2
文献号 : CN113364780B
文献日 : 2022-11-04
发明人 : 韩志辉 , 贾世琳 , 吕卓航 , 严寒冰 , 丁丽 , 吕志泉 , 郭晶 , 贾子骁
申请人 : 国家计算机网络与信息安全管理中心
摘要 :
本发明公开了一种网络攻击受害者确定方法、设备、存储介质及装置,该方法包括:在接收到威胁关键信息时,对威胁关键信息进行关联扩展,获得威胁扩展信息,查找威胁扩展信息对应的攻击身份信息,对威胁扩展信息进行降重处理,获得候选威胁扩展信息,并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息,根据攻击身份信息对目标威胁扩展信息进行信息提取,获得目标网络攻击受害者;相较于现有的通过现有威胁信息确定网络攻击的受害者群体的方式,由于本发明中对威胁关键信息进行了扩展,以获得威胁扩展信息,并基于威胁扩展信息确定目标网络攻击受害者,从而能够全面获取网络攻击受害者群体,以提高安全防护的可靠性。
权利要求 :
1.一种网络攻击受害者确定方法,其特征在于,所述网络攻击受害者确定方法包括以下步骤:在接收到威胁关键信息时,对所述威胁关键信息进行关联扩展,获得威胁扩展信息,所述威胁关键信息为域名信息、IP地址、URL地址、威胁样本、网站安全证书、威胁名称信息以及邮件信息中的至少一个;
查找所述威胁扩展信息对应的攻击身份信息;
对所述威胁扩展信息进行降重处理,获得候选威胁扩展信息,并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息;
根据所述攻击身份信息对所述目标威胁扩展信息进行信息提取,获得目标网络攻击受害者;
其中,所述在接收到威胁关键信息时,对所述威胁关键信息进行关联扩展,获得威胁扩展信息的步骤,具体包括:在接收到威胁关键信息时,对所述威胁关键信息进行信息提取,获得域名信息、IP地址、URL地址、威胁样本、网站安全证书、威胁名称信息以及邮件信息;
对所述域名信息进行关联扩展,获得域名扩展信息;
对所述IP地址进行关联扩展,获得IP地址扩展信息;
对所述URL地址进行关联扩展,获得URL地址扩展信息;
对所述威胁样本进行关联扩展,获得威胁样本扩展信息;
对所述网站安全证书进行关联扩展,获得网站安全证书扩展信息;
对所述威胁名称信息进行关联扩展,获得威胁名称扩展信息;
对所述邮件信息进行关联扩展,获得邮件扩展信息;
根据所述域名扩展信息、所述邮件扩展信息、所述IP地址扩展信息、所述URL地址扩展信息、所述威胁样本扩展信息、所述网站安全证书扩展信息以及所述威胁名称扩展信息生成威胁扩展信息;
所述根据所述攻击身份信息对所述目标威胁扩展信息进行信息提取,获得目标网络攻击受害者的步骤,具体包括:将攻击身份信息为受害者角色的目标威胁扩展信息作为目标网络攻击受害者。
2.如权利要求1所述的网络攻击受害者确定方法,其特征在于,所述对所述域名信息进行关联扩展,获得域名扩展信息的步骤,具体包括:对所述域名信息进行域名扩展,获得关联域名信息;
获取不同通信协议的访问记录,并对所述访问记录进行解析,获得基础IP地址;
获取流量日志,并根据所述域名信息对流量日志进行提取,获得域名关联IP地址;
获取威胁情报,并根据所述域名信息对所述威胁情报以及所述流量日志进行信息提取,获得域名关联URL地址;
获取域名数据库,并从所述域名数据库中提取域名名称信息以及域名邮件信息;
对所述威胁情报以及所述流量日志进行信息提取,获得域名证书信息;
获取样本下载日志,并从所述威胁情报以及所述样本下载日志中提取域名关联样本;
将所述关联域名信息、所述基础IP地址、所述域名关联IP地址、所述域名关联URL地址、所述域名名称信息、所述域名邮件信息、所述域名证书信息以及所述域名关联样本作为域名扩展信息。
3.如权利要求1所述的网络攻击受害者确定方法,其特征在于,所述对所述IP地址进行关联扩展,获得IP地址扩展信息的步骤,具体包括:查找所述IP地址对应的IP关联域名、请求IP地址、IP关联URL地址以及IP关联域名证书;
从所述IP地址释放的样本文件中选取IP关联样本文件;
将所述IP关联域名、所述请求IP地址、所述IP关联URL地址、所述IP关联样本文件以及所述IP关联域名证书作为IP地址扩展信息。
4.如权利要求1所述的网络攻击受害者确定方法,其特征在于,所述对所述URL地址进行关联扩展,获得URL地址扩展信息的步骤,具体包括:从所述URL地址释放的样本文件中选取URL关联样本文件;
查找所述URL地址对应的访问IP地址、URL关联IP地址以及URL关联域名地址;
将所述URL关联样本文件、所述访问IP地址、所述URL关联IP地址以及所述URL关联域名地址作为URL地址扩展信息。
5.如权利要求1所述的网络攻击受害者确定方法,其特征在于,所述对所述威胁样本进行关联扩展,获得威胁样本扩展信息的步骤,具体包括:获取所述威胁样本运行时释放的子样本文件;
查找所述威胁样本对应的样本运行请求,并对所述样本运行请求进行解析,获得运行请求URL地址、样本内嵌URL地址、运行请求IP地址、样本内嵌IP地址、运行请求域名地址以及样本内嵌域名地址;
获取流量日志,并对流量日志进行信息提取,获得样本下载地址、样本邮件发件者地址以及样本邮件收件者地址;
将所述子样本文件、所述运行请求URL地址、所述样本内嵌URL地址、所述运行请求IP地址、所述样本内嵌IP地址、所述运行请求域名地址、所述样本内嵌域名地址、样本下载地址、所述样本邮件发件者地址以及所述样本邮件收件者地址作为威胁样本扩展信息。
6.如权利要求1所述的网络攻击受害者确定方法,其特征在于,所述对所述网站安全证书进行关联扩展,获得网站安全证书扩展信息的步骤,具体包括:对所述网站安全证书进行解析,获得证书对应域名地址、证书对应IP地址;
将所述证书对应域名地址以及所述证书对应IP地址作为网站安全证书扩展信息。
7.一种网络攻击受害者确定设备,其特征在于,所述网络攻击受害者确定设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击受害者确定程序,所述网络攻击受害者确定程序被所述处理器执行时实现如权利要求1至6中任一项所述的网络攻击受害者确定方法的步骤。
8.一种存储介质,其特征在于,所述存储介质上存储有网络攻击受害者确定程序,所述网络攻击受害者确定程序被处理器执行时实现如权利要求1至6中任一项所述的网络攻击受害者确定方法的步骤。
9.一种网络攻击受害者确定装置,其特征在于,所述网络攻击受害者确定装置包括:扩展模块、查找模块、处理模块和提取模块;
所述扩展模块,用于在接收到威胁关键信息时,对所述威胁关键信息进行关联扩展,获得威胁扩展信息,所述威胁关键信息为域名信息、IP地址、URL地址、威胁样本、网站安全证书、威胁名称信息以及邮件信息中的至少一个;
所述查找模块,用于查找所述威胁扩展信息对应的攻击身份信息;
所述处理模块,用于对所述威胁扩展信息进行降重处理,获得候选威胁扩展信息,并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息;
所述提取模块,用于根据所述攻击身份信息对所述目标威胁扩展信息进行信息提取,获得目标网络攻击受害者;
其中,所述扩展模块,还用于在接收到威胁关键信息时,对所述威胁关键信息进行信息提取,获得域名信息、IP地址、URL地址、威胁样本、网站安全证书、威胁名称信息以及邮件信息;
所述扩展模块,还用于对所述域名信息进行关联扩展,获得域名扩展信息;
所述扩展模块,还用于对所述IP地址进行关联扩展,获得IP地址扩展信息;
所述扩展模块,还用于对所述URL地址进行关联扩展,获得URL地址扩展信息;
所述扩展模块,还用于对所述威胁样本进行关联扩展,获得威胁样本扩展信息;
所述扩展模块,还用于对所述网站安全证书进行关联扩展,获得网站安全证书扩展信息;
所述扩展模块,还用于对所述威胁名称信息进行关联扩展,获得威胁名称扩展信息;
所述扩展模块,还用于对所述邮件信息进行关联扩展,获得邮件扩展信息;
所述扩展模块,还用于根据所述域名扩展信息、所述邮件扩展信息、所述IP地址扩展信息、所述URL地址扩展信息、所述威胁样本扩展信息、所述网站安全证书扩展信息以及所述威胁名称扩展信息生成威胁扩展信息;
所述提取模块,还用于将攻击身份信息为受害者角色的目标威胁扩展信息作为目标网络攻击受害者。
说明书 :
网络攻击受害者确定方法、设备、存储介质及装置
技术领域
[0001] 本发明涉及互联网技术领域,尤其涉及一种网络攻击受害者确定方法、设备、存储介质及装置。
背景技术
[0002] 目前,在对网络攻击进行防护时,通常需要先确定网络攻击的受害者群体,再基于受害者群体设置对应的防护策略。
[0003] 现有技术中往往通过现有威胁信息确定网络攻击的受害者群体,从而导致只能确定已经受到网络攻击的受害者群体,无法预防网络攻击。
[0004] 上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
[0005] 本发明的主要目的在于提供一种网络攻击受害者确定方法、设备、存储介质及装置,旨在解决现有技术中通过现有威胁信息确定网络攻击的受害者群体,从而导致只能确定已经受到网络攻击的受害者群体,无法预防网络攻击的技术问题。
[0006] 为实现上述目的,本发明提供一种网络攻击受害者确定方法,所述网络攻击受害者确定方法包括以下步骤:
[0007] 在接收到威胁关键信息时,对所述威胁关键信息进行关联扩展,获得威胁扩展信息;
[0008] 查找所述威胁扩展信息对应的攻击身份信息;
[0009] 对所述威胁扩展信息进行降重处理,获得候选威胁扩展信息,并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息;
[0010] 根据所述攻击身份信息对所述目标威胁扩展信息进行信息提取,获得目标网络攻击受害者。
[0011] 可选地,所述在接收到威胁关键信息时,对所述威胁关键信息进行关联扩展,获得威胁扩展信息的步骤,具体包括:
[0012] 在接收到威胁关键信息时,对所述威胁关键信息进行信息提取,获得域名信息、IP地址、URL地址、威胁样本、网站安全证书、威胁名称信息以及邮件信息;
[0013] 对所述域名信息进行关联扩展,获得域名扩展信息;
[0014] 对所述IP地址进行关联扩展,获得IP地址扩展信息;
[0015] 对所述URL地址进行关联扩展,获得URL地址扩展信息;
[0016] 对所述威胁样本进行关联扩展,获得威胁样本扩展信息;
[0017] 对所述网站安全证书进行关联扩展,获得网站安全证书扩展信息;
[0018] 对所述威胁名称信息进行关联扩展,获得威胁名称扩展信息;
[0019] 对所述邮件信息进行关联扩展,获得邮件扩展信息;
[0020] 根据所述域名扩展信息、所述邮件扩展信息、所述IP地址扩展信息、所述URL地址扩展信息、所述威胁样本扩展信息、所述网站安全证书扩展信息以及所述威胁名称扩展信息生成威胁扩展信息。
[0021] 可选地,所述对所述域名信息进行关联扩展,获得域名扩展信息的步骤,具体包括:
[0022] 对所述域名信息进行域名扩展,获得域名扩展信息;
[0023] 获取不同通信协议的访问记录,并对所述访问记录进行解析,获得基础IP地址;
[0024] 获取流量日志,并根据所述域名信息对流量日志进行提取,获得域名关联IP地址;
[0025] 获取威胁情报,并根据所述域名信息对所述威胁情报以及所述流量日志进行信息提取,获得域名关联URL地址;
[0026] 获取域名数据库,并从所述域名数据库中提取域名名称信息以及域名邮件信息;
[0027] 对所述威胁情报以及所述流量日志进行信息提取,获得域名证书信息;
[0028] 获取样本下载日志,并从所述威胁情报以及所述样本下载日志中提取域名关联样本;
[0029] 将所述域名扩展信息、所述基础IP地址、所述域名关联IP地址、所述域名关联URL地址、所述域名名称信息、所述域名邮件信息、所述域名证书信息以及所述域名关联样本作为域名扩展信息。
[0030] 可选地,所述对所述IP地址进行关联扩展,获得IP地址扩展信息的步骤,具体包括:
[0031] 查找所述IP地址对应的IP关联域名、请求IP地址、IP关联URL地址以及IP关联域名证书;
[0032] 从所述IP地址释放的样本文件中选取IP关联样本文件;
[0033] 将所述IP关联域名、所述请求IP地址、所述IP关联URL地址、所述IP关联样本文件以及所述IP关联域名证书作为IP地址扩展信息。
[0034] 可选地,所述对所述URL地址进行关联扩展,获得URL地址扩展信息的步骤,具体包括:
[0035] 从所述URL地址释放的样本文件中选取URL关联样本文件;
[0036] 查找所述URL地址对应的访问IP地址、URL关联IP地址以及URL关联域名地址;
[0037] 将所述URL关联样本文件、所述访问IP地址、所述URL关联IP地址以及所述URL关联域名地址作为URL地址扩展信息。
[0038] 可选地,所述对所述威胁样本进行关联扩展,获得威胁样本扩展信息的步骤,具体包括:
[0039] 获取所述威胁样本运行时释放的子样本文件;
[0040] 查找所述威胁样本对应的样本运行请求,并对所述样本运行请求进行解析,获得运行请求URL地址、样本内嵌URL地址、运行请求IP地址、样本内嵌IP地址、运行请求域名地址以及样本内嵌域名地址;
[0041] 获取流量日志,并对流量日志进行信息提取,获得样本下载地址、样本邮件发件者地址以及样本邮件收件者地址;
[0042] 将所述子样本文件、所述运行请求URL地址、所述样本内嵌URL地址、所述运行请求IP地址、所述样本内嵌IP地址、所述运行请求域名地址、所述样本内嵌域名地址、样本下载地址、所述样本邮件发件者地址以及所述样本邮件收件者地址作为威胁样本扩展信息。
[0043] 可选地,所述对所述网站安全证书进行关联扩展,获得网站安全证书扩展信息的步骤,具体包括:
[0044] 对所述网站安全证书进行解析,获得证书对应域名地址、证书对应IP地址;
[0045] 将所述证书对应域名地址以及所述证书对应IP地址作为网站安全证书扩展信息。
[0046] 可选地,所述对所述威胁名称信息进行关联扩展,获得威胁名称扩展信息的步骤,具体包括:
[0047] 获取域名数据库,并在所述域名数据库中查找所述威胁名称信息对应的名称关联域名;
[0048] 获取流量日志以及威胁情报,并从所述流量日志以及所述威胁情报中提取名称关联邮件地址;
[0049] 将所述称关联域名以及所述名称关联邮件地址作为威胁名称扩展信息。
[0050] 可选地,所述对所述邮件信息进行关联扩展,获得邮件扩展信息的步骤,具体包括:
[0051] 获取流量日志,并在所述流量日志中查找所述邮件信息对应的邮件收件人地址;
[0052] 获取域名数据库,并在所述域名数据库中查找所述邮件信息对应的邮件关联域名;
[0053] 对所述邮件信息进行信息提取,获得邮件地址,并根据所述邮件地址确定用户名;
[0054] 查找所述邮件信息对应的邮件关联样本,并将所述邮件收件人地址、所述邮件关联域名、所述用户名以及所述邮件关联样本作为邮件扩展信息。
[0055] 可选地,所述对所述威胁扩展信息进行降重处理,获得候选威胁扩展信息,并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息的步骤,具体包括:
[0056] 对所述威胁扩展信息进行降重处理,获得候选威胁扩展信息;
[0057] 根据所述候选威胁扩展信息确定威胁情报、网站访问量以及威胁事件发生时间;
[0058] 根据所述威胁情报、所述网站访问量以及所述威胁事件发生时间判断所述候选威胁扩展信息是否满足预设条件;
[0059] 将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息。
[0060] 可选地,所述根据所述威胁情报、所述网站访问量以及所述威胁事件发生时间判断所述候选威胁扩展信息是否满足预设条件的步骤,具体包括:
[0061] 根据所述威胁情报以及所述网站访问量判断所述候选威胁扩展信息是否属于预设白名单,获得第一判断结果;
[0062] 判断所述威胁事件发生时间是否大于预设时间,获得第二判断结果;
[0063] 根据所述第一判断结果以及所述第二判断结果判断所述候选威胁扩展信息是否满足预设条件。
[0064] 此外,为实现上述目的,本发明还提出一种网络攻击受害者确定设备,所述网络攻击受害者确定设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击受害者确定程序,所述网络攻击受害者确定程序配置为实现如上文所述的网络攻击受害者确定方法的步骤。
[0065] 此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有网络攻击受害者确定程序,所述网络攻击受害者确定程序被处理器执行时实现如上文所述的网络攻击受害者确定方法的步骤。
[0066] 此外,为实现上述目的,本发明还提出一种网络攻击受害者确定装置,所述网络攻击受害者确定装置包括:扩展模块、查找模块、处理模块和提取模块;
[0067] 所述扩展模块,用于在接收到威胁关键信息时,对所述威胁关键信息进行关联扩展,获得威胁扩展信息;
[0068] 所述查找模块,用于查找所述威胁扩展信息对应的攻击身份信息;
[0069] 所述处理模块,用于对所述威胁扩展信息进行降重处理,获得候选威胁扩展信息,并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息;
[0070] 所述提取模块,用于根据所述攻击身份信息对所述目标威胁扩展信息进行信息提取,获得目标网络攻击受害者。
[0071] 可选地,所述扩展模块,还用于在接收到威胁关键信息时,对所述威胁关键信息进行信息提取,获得域名信息、IP地址、URL地址、威胁样本、网站安全证书、威胁名称信息以及邮件信息;
[0072] 所述扩展模块,还用于对所述域名信息进行关联扩展,获得域名扩展信息;
[0073] 所述扩展模块,还用于对所述IP地址进行关联扩展,获得IP地址扩展信息;
[0074] 所述扩展模块,还用于对所述URL地址进行关联扩展,获得URL地址扩展信息;
[0075] 所述扩展模块,还用于对所述威胁样本进行关联扩展,获得威胁样本扩展信息;
[0076] 所述扩展模块,还用于对所述网站安全证书进行关联扩展,获得网站安全证书扩展信息;
[0077] 所述扩展模块,还用于对所述威胁名称信息进行关联扩展,获得威胁名称扩展信息;
[0078] 所述扩展模块,还用于对所述邮件信息进行关联扩展,获得邮件扩展信息;
[0079] 所述扩展模块,还用于根据所述域名扩展信息、所述邮件扩展信息、所述IP地址扩展信息、所述URL地址扩展信息、所述威胁样本扩展信息、所述网站安全证书扩展信息以及所述威胁名称扩展信息生成威胁扩展信息。
[0080] 可选地,所述扩展模块,还用于对所述域名信息进行域名扩展,获得域名扩展信息;
[0081] 所述扩展模块,还用于获取不同通信协议的访问记录,并对所述访问记录进行解析,获得基础IP地址;
[0082] 所述扩展模块,还用于获取流量日志,并根据所述域名信息对流量日志进行提取,获得域名关联IP地址;
[0083] 所述扩展模块,还用于获取威胁情报,并根据所述域名信息对所述威胁情报以及所述流量日志进行信息提取,获得域名关联URL地址;
[0084] 所述扩展模块,还用于获取域名数据库,并从所述域名数据库中提取域名名称信息以及域名邮件信息;
[0085] 所述扩展模块,还用于对所述威胁情报以及所述流量日志进行信息提取,获得域名证书信息;
[0086] 所述扩展模块,还用于获取样本下载日志,并从所述威胁情报以及所述样本下载日志中提取域名关联样本;
[0087] 所述扩展模块,还用于将所述域名扩展信息、所述基础IP地址、所述域名关联IP地址、所述域名关联URL地址、所述域名名称信息、所述域名邮件信息、所述域名证书信息以及所述域名关联样本作为域名扩展信息。
[0088] 可选地,所述扩展模块,还用于查找所述IP地址对应的IP关联域名、请求IP地址、IP关联URL地址以及IP关联域名证书;
[0089] 所述扩展模块,还用于从所述IP地址释放的样本文件中选取IP关联样本文件;
[0090] 所述扩展模块,还用于将所述IP关联域名、所述请求IP地址、所述IP关联URL地址、所述IP关联样本文件以及所述IP关联域名证书作为IP地址扩展信息。
[0091] 可选地,所述扩展模块,还用于从所述URL地址释放的样本文件中选取URL关联样本文件;
[0092] 所述扩展模块,还用于查找所述URL地址对应的访问IP地址、URL关联IP地址以及URL关联域名地址;
[0093] 所述扩展模块,还用于将所述URL关联样本文件、所述访问IP地址、所述URL关联IP地址以及所述URL关联域名地址作为URL地址扩展信息。
[0094] 可选地,所述扩展模块,还用于获取所述威胁样本运行时释放的子样本文件;
[0095] 所述扩展模块,还用于查找所述威胁样本对应的样本运行请求,并对所述样本运行请求进行解析,获得运行请求URL地址、样本内嵌URL地址、运行请求IP地址、样本内嵌IP地址、运行请求域名地址以及样本内嵌域名地址;
[0096] 所述扩展模块,还用于获取流量日志,并对流量日志进行信息提取,获得样本下载地址、样本邮件发件者地址以及样本邮件收件者地址;
[0097] 所述扩展模块,还用于将所述子样本文件、所述运行请求URL地址、所述样本内嵌URL地址、所述运行请求IP地址、所述样本内嵌IP地址、所述运行请求域名地址、所述样本内嵌域名地址、样本下载地址、所述样本邮件发件者地址以及所述样本邮件收件者地址作为威胁样本扩展信息。
[0098] 可选地,所述扩展模块,还用于对所述网站安全证书进行解析,获得证书对应域名地址、证书对应IP地址;
[0099] 所述扩展模块,还用于将所述证书对应域名地址以及所述证书对应IP地址作为网站安全证书扩展信息。
[0100] 在本发明中,公开了在接收到威胁关键信息时,对威胁关键信息进行关联扩展,获得威胁扩展信息,查找威胁扩展信息对应的攻击身份信息,对威胁扩展信息进行降重处理,获得候选威胁扩展信息,并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息,根据攻击身份信息对目标威胁扩展信息进行信息提取,获得目标网络攻击受害者;相较于现有通过现有的威胁信息确定网络攻击的受害者群体的方式,由于本发明中对威胁关键信息进行了扩展,以获得威胁扩展信息,并基于威胁扩展信息确定目标网络攻击受害者,从而能够全面获取网络攻击受害者群体,以提高安全防护的可靠性。
附图说明
[0101] 图1是本发明实施例方案涉及的硬件运行环境的网络攻击受害者确定设备的结构示意图;
[0102] 图2为本发明网络攻击受害者确定方法第一实施例的流程示意图;
[0103] 图3为本发明网络攻击受害者确定方法一实施例的钻石模型示意图;
[0104] 图4为本发明网络攻击受害者确定方法第二实施例的流程示意图;
[0105] 图5为本发明网络攻击受害者确定方法第三实施例的流程示意图;
[0106] 图6为本发明网络攻击受害者确定装置第一实施例的结构框图。
[0107] 本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
[0108] 应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0109] 参照图1,图1为本发明实施例方案涉及的硬件运行环境的网络攻击受害者确定设备结构示意图。
[0110] 如图1所示,该网络攻击受害者确定设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display),可选用户接口1003还可以包括标准的有线接口、无线接口,对于用户接口
1003的有线接口在本发明中可为USB接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless‑FIdelity,WI‑FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的存储器(Non‑volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
1003的有线接口在本发明中可为USB接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless‑FIdelity,WI‑FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的存储器(Non‑volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
[0111] 本领域技术人员可以理解,图1中示出的结构并不构成对网络攻击受害者确定设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
[0112] 如图1所示,认定为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络攻击受害者确定程序。
[0113] 在图1所示的网络攻击受害者确定设备中,网络接口1004主要用于连接后台服务器,与所述后台服务器进行数据通信;用户接口1003主要用于连接用户设备;所述网络攻击受害者确定设备通过处理器1001调用存储器1005中存储的网络攻击受害者确定程序,并执行本发明实施例提供的网络攻击受害者确定方法。
[0114] 基于上述硬件结构,提出本发明网络攻击受害者确定方法的实施例。
[0115] 参照图2,图2为本发明网络攻击受害者确定方法第一实施例的流程示意图,提出本发明网络攻击受害者确定方法第一实施例。
[0116] 在第一实施例中,所述网络攻击受害者确定方法包括以下步骤:
[0117] 步骤S10:在接收到威胁关键信息时,对所述威胁关键信息进行关联扩展,获得威胁扩展信息。
[0118] 应当理解的是,本实施例的执行主体是所述网络攻击受害者确定设备,其中,所述网络攻击受害者确定设备可为个人电脑或服务器等电子设备,还可为其他可实现相同或相似功能的设备,本实施例对此不加以限制。
[0119] 需要说明的是,威胁关键信息可以由用户通过网络攻击受害者确定设备的交互程序输入,威胁关键信息可以是域名信息、IP地址、URL地址、威胁样本、网站安全证书、威胁名称信息以及邮件信息中的至少一个,在本实施例以及其他实施例中,以域名信息、IP地址、URL地址、威胁样本、网站安全证书、威胁名称信息以及邮件信息为例进行说明。
[0120] 应当理解的是,对威胁关键信息进行关联扩展,获得威胁扩展信息可以是基于钻石模型对威胁关键信息进行递归迭代关联拓线,并结合本地流量告警、日志和第三方平台数据(中心沙箱、威胁情报数据、WHOIS记录、PDNS数据以及、360PDNS记录以及360威胁情报数据)进行关键元素丰富,威胁拓线,获得威胁扩展信息。
[0121] 为了便于理解,参考图3进行说明。图3为钻石模型示意图,在钻石模型中,每一起攻击事件都包含四个核心信息:攻击者(图中Adversary)、受害者(图中Victim)、能力(图中capability)和基础设施(图中infrastructure)。每一起攻击事件,都有一个攻击者通过基础设施上的能力对受害者产生影响,进而达成某种目的。如图3所示。所有攻击事件都是围绕这四者进行展开的。基于该钻石模型,依据获取的关键信息类型不同丰富拓线。
[0122] 进一步地,为了能够提高威胁扩展信息的准确性,所述在接收到威胁关键信息时,对所述威胁关键信息进行关联扩展,获得威胁扩展信息,包括:
[0123] 在接收到威胁关键信息时,对所述威胁关键信息进行信息提取,获得域名信息、IP地址、URL地址、威胁样本、网站安全证书、威胁名称信息以及邮件信息;对所述域名信息进行关联扩展,获得域名扩展信息;对所述IP地址进行关联扩展,获得IP地址扩展信息;对所述URL地址进行关联扩展,获得URL地址扩展信息;对所述威胁样本进行关联扩展,获得威胁样本扩展信息;对所述网站安全证书进行关联扩展,获得网站安全证书扩展信息;对所述威胁名称信息进行关联扩展,获得威胁名称扩展信息;对所述邮件信息进行关联扩展,获得邮件扩展信息;根据所述域名扩展信息、所述邮件扩展信息、所述IP地址扩展信息、所述URL地址扩展信息、所述威胁样本扩展信息、所述网站安全证书扩展信息以及所述威胁名称扩展信息生成威胁扩展信息。
[0124] 步骤S20:查找所述威胁扩展信息对应的攻击身份信息。
[0125] 应当理解的是,查找威胁扩展信息对应的攻击身份信息可以是在预设身份表中查找威胁扩展信息对应的攻击身份信息。其中,预设身份表中包含威胁扩展信息与攻击身份信息的对应关系,威胁扩展信息与攻击身份信息的对应关系可以由用户预先设置。
[0126] 在具体实现中,例如,在对域名信息进行域名扩展时,关联域名信息、基础IP地址、域名关联URL地址、域名证书信息以及域名关联样本对应的攻击身份信息为基础设施角色;域名关联IP地址对应的攻击身份信息为受害者角色;域名名称信息以及域名邮件信息对应的攻击身份信息为攻击者角色。
[0127] 在对IP地址进行关联扩展时,IP关联域名、IP关联URL地址以及IP关联域名证书对应的攻击身份信息为基础设施角色;请求IP地址对应的攻击身份信息为受害者角色;IP关联样本文件对应的攻击身份信息为技术能力角色。
[0128] 在对URL地址进行关联扩展时,URL关联IP地址以及URL关联域名地址对应的攻击身份信息为基础设施角色;访问IP地址对应的攻击身份信息为受害者角色;URL关联样本文件对应的攻击身份信息为技术能力角色。
[0129] 在对威胁样本进行关联扩展时,运行请求URL地址、样本内嵌URL地址、运行请求IP地址、样本内嵌IP地址、运行请求域名地址、样本内嵌域名地址以及样本下载地址对应的攻击身份信息为基础设施角色;样本邮件发件者地址对应的攻击身份信息为攻击者角色;样本邮件收件者地址对应的攻击身份信息为受害者角色;子样本文件对应的攻击身份信息为技术能力角色。
[0130] 在对网站安全证书进行关联扩展时,证书对应域名地址以及证书对应IP地址对应的攻击身份信息为基础设施角色。
[0131] 在对威胁名称信息进行关联扩展时,名称关联域名对应的攻击身份信息为基础设施角色;名称关联邮件地址对应的攻击身份信息为攻击者角色。
[0132] 在对邮件信息进行关联扩展时,邮件关联域名对应的攻击身份信息为基础设施角色;用户名对应的攻击身份信息为攻击者角色;邮件收件人地址对应的攻击身份信息为受害者角色;邮件关联样本对应的攻击身份信息为技术能力角色。
[0133] 步骤S30:对所述威胁扩展信息进行降重处理,获得候选威胁扩展信息,并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息。
[0134] 应当理解的是,降重处理可以降低重复性运算的资源消耗,提高处理效率。
[0135] 需要说明的是,预设条件可以是候选威胁扩展信息不处于预设白名单和/或候选威胁扩展信息的威胁事件发生时间小于或等于预设时间,本实施例对此不加以限制。其中,预设白名单以及预设时间都可以由用户预先设置。
[0136] 步骤S40:根据所述攻击身份信息对所述目标威胁扩展信息进行信息提取,获得目标网络攻击受害者。
[0137] 应当理解的是,根据所述攻击身份信息对所述目标威胁扩展信息进行信息提取,获得目标网络攻击受害者可以是将攻击身份信息为受害者角色的目标威胁扩展信息作为目标网络攻击受害者。
[0138] 在本实施例中,公开了在接收到威胁关键信息时,对威胁关键信息进行关联扩展,获得威胁扩展信息,查找威胁扩展信息对应的攻击身份信息,对威胁扩展信息进行降重处理,获得候选威胁扩展信息,并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息,根据攻击身份信息对目标威胁扩展信息进行信息提取,获得目标网络攻击受害者;相较于现有通过现有的威胁信息确定网络攻击的受害者群体的方式,由于本实施例中对威胁关键信息进行了扩展,以获得威胁扩展信息,并基于威胁扩展信息确定目标网络攻击受害者,从而能够全面获取网络攻击受害者群体,以提高安全防护的可靠性。
[0139] 参照图4,图4为本发明网络攻击受害者确定方法第二实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明网络攻击受害者确定方法的第二实施例。
[0140] 在第二实施例中,所述步骤S10,包括:
[0141] 步骤S101:在接收到威胁关键信息时,对所述威胁关键信息进行信息提取,获得域名信息、IP地址、URL地址、威胁样本、网站安全证书、威胁名称信息以及邮件信息。
[0142] 应当理解的是,对威胁关键信息进行信息提取可以是获取威胁信息中的信息标识,并基于信息标识对威胁关键信息进行信息提取。其中,信息标识可以是用于表示信息内容的标识,本实施例对此不加以限制。
[0143] 步骤S102:对所述域名信息进行关联扩展,获得域名扩展信息。
[0144] 可以理解的是,对所述域名信息进行关联扩展,获得域名扩展信息可以是对所述域名信息进行域名扩展,获得关联域名信息;获取不同通信协议的访问记录,并对所述访问记录进行解析,获得基础IP地址;获取流量日志,并根据所述域名信息对流量日志进行提取,获得域名关联IP地址;获取威胁情报,并根据所述域名信息对所述威胁情报以及所述流量日志进行信息提取,获得域名关联URL地址;获取域名数据库,并从所述域名数据库中提取域名名称信息以及域名邮件信息;对所述威胁情报以及所述流量日志进行信息提取,获得域名证书信息;获取样本下载日志,并从所述威胁情报以及所述样本下载日志中提取域名关联样本;将所述关联域名信息、所述基础IP地址、所述域名关联IP地址、所述域名关联URL地址、所述域名名称信息、所述域名邮件信息、所述域名证书信息以及所述域名关联样本作为域名扩展信息。
[0145] 可以理解的是,对域名信息进行域名扩展,获得域名扩展信息可以是通过子域名(SUBDOMAIN)或者规范名字(CNAME)解析的方式,获得新的域名,并将新的域名作为关联域名信息。
[0146] 应当理解的是,获取不同通信协议的访问记录,并对访问记录进行解析,获得基础IP地址可以是通过域名系统(Domain Name System,DNS)解析A记录和AAAA记录,获得基础IP地址。其中,在将域名指向一个IPv4地址时,需要增加A记录;将主机名(或域名)指向一个IPv6地址时,需要添加AAAA记录。
[0147] 可以理解的是,根据域名信息对流量日志进行提取,获得域名关联IP地址可以是提取流量日志中请求该域名的域名关联IP地址。其中,请求可以为DNS请求以及HTTP请求等,本实施例对此不加以限制。
[0148] 应当理解的是,根据域名信息对威胁情报以及流量日志进行信息提取,获得域名关联URL地址可以是从流量日志及威胁情报中提取与该域名相关的统一资源定位系统(uniform resource locator,URL)地址,并将该URL地址作为域名关联URL地址。
[0149] 需要说明的是,域名数据库可以用于根据域名查询域名是否已经被注册,以及注册域名的详细信息,例如,详细信息可以是域名所有人、域名注册商以及过期时间等。在本实施例以及其他实施例中,域名数据库以WHOIS数据库为例进行说明。
[0150] 在具体实现中,例如,从WHOIS数据库记录中提取WHOIS NAME内容作为域名名称信息,从WHOIS数据库记录中提取WHOIS EMAIL内容作为域名邮件信息。
[0151] 可以理解的是,对威胁情报以及流量日志进行信息提取,获得域名证书信息可以是从威胁情报以及流量日志中提取SSL证书内容,并将SSL证书内容作为域名证书信息。
[0152] 应当理解的是,从威胁情报以及样本下载日志中提取域名关联样本可以是从威胁情报和HTTP样本下载日志中提取样本MD5,并将样本MD5作为域名关联样本。
[0153] 步骤S103:对所述IP地址进行关联扩展,获得IP地址扩展信息。
[0154] 可以理解的是,对所述IP地址进行关联扩展,获得IP地址扩展信息可以是查找所述IP地址对应的IP关联域名、请求IP地址、IP关联URL地址以及IP关联域名证书;从所述IP地址释放的样本文件中选取IP关联样本文件;将所述IP关联域名、所述请求IP地址、所述IP关联URL地址、所述IP关联样本文件以及所述IP关联域名证书作为IP地址扩展信息。
[0155] 应当理解的是,查找IP地址对应的IP关联域名可以是通过DNS解析记录或IP反查记录,获得IP地址对应的IP关联域名。
[0156] 可以理解的是,查找IP地址对应的请求IP地址可以是获取IP地址对应的请求信息,对请求信息进行解析,以获得请求该IP地址的请求IP,并获取请求IP的请求IP地址。
[0157] 应当理解的是,从IP地址释放的样本文件中选取IP关联样本文件可以是从IP地址释放的样本文件中选取样本文件MD5作为IP关联样本文件。
[0158] 可以理解的是,在对所述IP地址进行关联扩展时,会引入威胁情报等数据,干扰较大。因此,还可以对互联网数据中心(Internet Data Center,IDC)等类型IP进行约束,防止引入过多无关干扰量。
[0159] 步骤S104:对所述URL地址进行关联扩展,获得URL地址扩展信息。
[0160] 应当理解的是,对所述URL地址进行关联扩展,获得URL地址扩展信息可以是从所述URL地址释放的样本文件中选取URL关联样本文件;查找所述URL地址对应的访问IP地址、URL关联IP地址以及URL关联域名地址;将所述URL关联样本文件、所述访问IP地址、所述URL关联IP地址以及所述URL关联域名地址作为URL地址扩展信息。
[0161] 可以理解的是,从URL地址释放的样本文件中选取URL关联样本文件可以是从URL地址释放的样本文件中选取样本文件MD5作为URL关联样本文件。
[0162] 应当理解的是,查找URL地址对应的访问IP地址可以是获取URL地址的访问信息,并从访问信息中提取访问该URL地址的IP,获取该IP的访问IP地址。
[0163] 需要说明的是,URL关联IP地址可以是与URL地址相关的IP地址;URL关联域名地址可以与URL地址相关的域名地址,本实施例对此不加以限制。
[0164] 步骤S105:对所述威胁样本进行关联扩展,获得威胁样本扩展信息。
[0165] 可以理解的是,对所述威胁样本进行关联扩展,获得威胁样本扩展信息可以是获取所述威胁样本运行时释放的子样本文件;查找所述威胁样本对应的样本运行请求,并对所述样本运行请求进行解析,获得运行请求URL地址、样本内嵌URL地址、运行请求IP地址、样本内嵌IP地址、运行请求域名地址以及样本内嵌域名地址;获取流量日志,并对流量日志进行信息提取,获得样本下载地址、样本邮件发件者地址以及样本邮件收件者地址;将所述子样本文件、所述运行请求URL地址、所述样本内嵌URL地址、所述运行请求IP地址、所述样本内嵌IP地址、所述运行请求域名地址、所述样本内嵌域名地址、样本下载地址、所述样本邮件发件者地址以及所述样本邮件收件者地址作为威胁样本扩展信息。
[0166] 应当理解的是,获取运行威胁样本运行时释放的子样本文件可以是获取运行威胁样本动态运行时,释放的子样本MD5。
[0167] 可以理解的是,对样本运行请求进行解析,获得运行请求URL地址、样本内嵌URL地址可以是获取样本运行请求的URL地址和样本内嵌的URL地址,并将样本运行请求的URL地址作为运行请求URL地址,将样本运行请求样本内嵌的URL地址作为样本内嵌URL地址。
[0168] 应当理解的是,对样本运行请求进行解析,获得运行请求IP地址、样本内嵌IP地址可以是获取样本运行请求的IP地址和样本内嵌的IP地址,并将样本运行请求的IP地址作为运行请求IP地址,将样本运行请求样本内嵌的IP地址作为样本内嵌IP地址。
[0169] 可以理解的是,对样本运行请求进行解析,获得运行请求域名地址、样本内嵌域名地址可以是获取样本运行请求的域名地址和样本内嵌的域名地址,并将样本运行请求的域名地址作为运行请求域名地址,将样本运行请求样本内嵌的域名地址作为样本内嵌域名地址。
[0170] 应当理解的是,对样本运行请求进行解析,获得样本下载地址、样本邮件发件者地址以及样本邮件收件者地址可以是对样本运行请求进行解析,获得样本下载地址、EMAIL发件者地址以及EMAIL收件者地址,并将EMAIL发件者地址作为样本邮件发件者地址,将EMAIL收件者地址作为样本邮件收件者地址。
[0171] 步骤S106:对所述网站安全证书进行关联扩展,获得网站安全证书扩展信息。
[0172] 可以理解的是,对所述网站安全证书进行关联扩展,获得网站安全证书扩展信息可以是对所述网站安全证书进行解析,获得证书对应域名地址、证书对应IP地址;将所述证书对应域名地址以及所述证书对应IP地址作为网站安全证书扩展信息。
[0173] 步骤S107:对所述威胁名称信息进行关联扩展,获得威胁名称扩展信息。
[0174] 应当理解的是,对所述威胁名称信息进行关联扩展,获得威胁名称扩展信息可以是获取域名数据库,并在所述域名数据库中查找所述威胁名称信息对应的名称关联域名;获取流量日志以及威胁情报,并从所述流量日志以及所述威胁情报中提取名称关联邮件地址;将所述称关联域名以及所述名称关联邮件地址作为威胁名称扩展信息。
[0175] 需要说明的是,域名数据库可以用于根据域名查询域名是否已经被注册,以及注册域名的详细信息,例如,详细信息可以是域名所有人、域名注册商以及过期时间等。在本实施例以及其他实施例中,域名数据库以WHOIS数据库为例进行说明。
[0176] 应当理解的是,在域名数据库中查找威胁名称信息对应的名称关联域名可以是在WHOIS数据库中查找威胁名称信息对应的名称关联域名。
[0177] 步骤S108:对所述邮件信息进行关联扩展,获得邮件扩展信息。
[0178] 可以理解的是,对所述邮件信息进行关联扩展,获得邮件扩展信息可以是获取流量日志,并在所述流量日志中查找所述邮件信息对应的邮件收件人地址;获取域名数据库,并在所述域名数据库中查找所述邮件信息对应的邮件关联域名;对所述邮件信息进行信息提取,获得邮件地址,并根据所述邮件地址确定用户名;查找所述邮件信息对应的邮件关联样本,并将所述邮件收件人地址、所述邮件关联域名、所述用户名以及所述邮件关联样本作为邮件扩展信息。
[0179] 步骤S109:根据所述域名扩展信息、所述邮件扩展信息、所述IP地址扩展信息、所述URL地址扩展信息、所述威胁样本扩展信息、所述网站安全证书扩展信息以及所述威胁名称扩展信息生成威胁扩展信息。
[0180] 应当理解的是,根据域名扩展信息、邮件扩展信息、IP地址扩展信息、URL地址扩展信息、威胁样本扩展信息、网站安全证书扩展信息以及威胁名称扩展信息生成威胁扩展信息可以是将域名扩展信息、邮件扩展信息、IP地址扩展信息、URL地址扩展信息、威胁样本扩展信息、网站安全证书扩展信息以及威胁名称扩展信息都作为威胁扩展信息。
[0181] 在第二实施例中,通过在接收到威胁关键信息时,对所述威胁关键信息进行信息提取,获得域名信息、IP地址、URL地址、威胁样本、网站安全证书、威胁名称信息以及邮件信息;对所述域名信息进行关联扩展,获得域名扩展信息;对所述IP地址进行关联扩展,获得IP地址扩展信息;对所述URL地址进行关联扩展,获得URL地址扩展信息;对所述威胁样本进行关联扩展,获得威胁样本扩展信息;对所述网站安全证书进行关联扩展,获得网站安全证书扩展信息;对所述威胁名称信息进行关联扩展,获得威胁名称扩展信息;对所述邮件信息进行关联扩展,获得邮件扩展信息;根据所述域名扩展信息、所述邮件扩展信息、所述IP地址扩展信息、所述URL地址扩展信息、所述威胁样本扩展信息、所述网站安全证书扩展信息以及所述威胁名称扩展信息生成威胁扩展信息,从而能够从多方面进行威胁扩展,以获得更加可靠的威胁扩展信息。
[0182] 参照图5,图5为本发明网络攻击受害者确定方法第三实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明网络攻击受害者确定方法的第三实施例。
[0183] 在第三实施例中,所述步骤S30,包括:
[0184] 步骤S301:对所述威胁扩展信息进行降重处理,获得候选威胁扩展信息。
[0185] 应当理解的是,降重处理可以降低重复性运算的资源消耗,提高处理效率。
[0186] 步骤S302:根据所述候选威胁扩展信息确定威胁情报、网站访问量以及威胁事件发生时间。
[0187] 应当理解的是,获取候选威胁扩展信息的扩展信息标识,并根据扩展信息标识确定威胁情报、网站访问量以及威胁事件发生时间。其中,扩展信息标识用于表示扩展信息的信息内容,本实施例对此不加以限制。
[0188] 步骤S303:根据所述威胁情报、所述网站访问量以及所述威胁事件发生时间判断所述候选威胁扩展信息是否满足预设条件。
[0189] 可以理解的是,根据所述威胁情报、所述网站访问量以及所述威胁事件发生时间判断所述候选威胁扩展信息是否满足预设条件可以是根据所述威胁情报以及所述网站访问量判断所述候选威胁扩展信息是否属于预设白名单,获得第一判断结果;判断所述威胁事件发生时间是否大于预设时间,获得第二判断结果;根据所述第一判断结果以及所述第二判断结果判断所述候选威胁扩展信息是否满足预设条件。其中,预设白名单以及预设时间都可以由用户预先设置。
[0190] 应当理解的是,判定不属于预设白名单以及威胁事件发生时间不大于预设时间的候选威胁扩展信息满足预设条件。
[0191] 步骤S304:将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息。
[0192] 应当理解的是,满足预设条件说明候选威胁扩展信息不存在过多干扰信息,可作为目标威胁扩展信息参与后续步骤、
[0193] 在第三实施例中,通过对所述威胁扩展信息进行降重处理,获得候选威胁扩展信息;根据所述候选威胁扩展信息确定威胁情报、网站访问量以及威胁事件发生时间;根据所述威胁情报、所述网站访问量以及所述威胁事件发生时间判断所述候选威胁扩展信息是否满足预设条件;将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息,从而能够预先去除威胁扩展信息内的干扰信息,提高威胁扩展信息的准确性。
[0194] 此外,本发明实施例还提出一种存储介质,所述存储介质上存储有网络攻击受害者确定程序,所述网络攻击受害者确定程序被处理器执行时实现如上文所述的网络攻击受害者确定方法的步骤。
[0195] 此外,参照图6,本发明实施例还提出一种网络攻击受害者确定装置,所述网络攻击受害者确定装置包括:扩展模块10、查找模块20、处理模块30和提取模块40;
[0196] 所述扩展模块10,用于在接收到威胁关键信息时,对所述威胁关键信息进行关联扩展,获得威胁扩展信息。
[0197] 所述查找模块20,用于查找所述威胁扩展信息对应的攻击身份信息。
[0198] 所述处理模块30,用于对所述威胁扩展信息进行降重处理,获得候选威胁扩展信息,并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息。
[0199] 所述提取模块40,用于根据所述攻击身份信息对所述目标威胁扩展信息进行信息提取,获得目标网络攻击受害者。
[0200] 在本实施例中,公开了在接收到威胁关键信息时,对威胁关键信息进行关联扩展,获得威胁扩展信息,查找威胁扩展信息对应的攻击身份信息,对威胁扩展信息进行降重处理,获得候选威胁扩展信息,并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息,根据攻击身份信息对目标威胁扩展信息进行信息提取,获得目标网络攻击受害者;相较于现有通过现有的威胁信息确定网络攻击的受害者群体的方式,由于本实施例中对威胁关键信息进行了扩展,以获得威胁扩展信息,并基于威胁扩展信息确定目标网络攻击受害者,从而能够全面获取网络攻击受害者群体,以提高安全防护的可靠性。
[0201] 本发明所述网络攻击受害者确定装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
[0202] 需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
[0203] 上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序,可将这些词语解释为名称。
[0204] 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器镜像(Read Only Memory image,ROM)/随机存取存储器(Random Access Memory,RAM)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
[0205] 以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
[0206] 本发明公开了A1、一种网络攻击受害者确定方法,所述网络攻击受害者确定方法包括以下步骤:
[0207] 在接收到威胁关键信息时,对所述威胁关键信息进行关联扩展,获得威胁扩展信息;
[0208] 查找所述威胁扩展信息对应的攻击身份信息;
[0209] 对所述威胁扩展信息进行降重处理,获得候选威胁扩展信息,并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息;
[0210] 根据所述攻击身份信息对所述目标威胁扩展信息进行信息提取,获得目标网络攻击受害者。
[0211] A2、如A1所述的网络攻击受害者确定方法,所述在接收到威胁关键信息时,对所述威胁关键信息进行关联扩展,获得威胁扩展信息的步骤,具体包括:
[0212] 在接收到威胁关键信息时,对所述威胁关键信息进行信息提取,获得域名信息、IP地址、URL地址、威胁样本、网站安全证书、威胁名称信息以及邮件信息;
[0213] 对所述域名信息进行关联扩展,获得域名扩展信息;
[0214] 对所述IP地址进行关联扩展,获得IP地址扩展信息;
[0215] 对所述URL地址进行关联扩展,获得URL地址扩展信息;
[0216] 对所述威胁样本进行关联扩展,获得威胁样本扩展信息;
[0217] 对所述网站安全证书进行关联扩展,获得网站安全证书扩展信息;
[0218] 对所述威胁名称信息进行关联扩展,获得威胁名称扩展信息;
[0219] 对所述邮件信息进行关联扩展,获得邮件扩展信息;
[0220] 根据所述域名扩展信息、所述邮件扩展信息、所述IP地址扩展信息、所述URL地址扩展信息、所述威胁样本扩展信息、所述网站安全证书扩展信息以及所述威胁名称扩展信息生成威胁扩展信息。
[0221] A3、如A2所述的网络攻击受害者确定方法,所述对所述域名信息进行关联扩展,获得域名扩展信息的步骤,具体包括:
[0222] 对所述域名信息进行域名扩展,获得关联域名信息;
[0223] 获取不同通信协议的访问记录,并对所述访问记录进行解析,获得基础IP地址;
[0224] 获取流量日志,并根据所述域名信息对流量日志进行提取,获得域名关联IP地址;
[0225] 获取威胁情报,并根据所述域名信息对所述威胁情报以及所述流量日志进行信息提取,获得域名关联URL地址;
[0226] 获取域名数据库,并从所述域名数据库中提取域名名称信息以及域名邮件信息;
[0227] 对所述威胁情报以及所述流量日志进行信息提取,获得域名证书信息;
[0228] 获取样本下载日志,并从所述威胁情报以及所述样本下载日志中提取域名关联样本;
[0229] 将所述关联域名信息、所述基础IP地址、所述域名关联IP地址、所述域名关联URL地址、所述域名名称信息、所述域名邮件信息、所述域名证书信息以及所述域名关联样本作为域名扩展信息。
[0230] A4、如A2所述的网络攻击受害者确定方法,所述对所述IP地址进行关联扩展,获得IP地址扩展信息的步骤,具体包括:
[0231] 查找所述IP地址对应的IP关联域名、请求IP地址、IP关联URL地址以及IP关联域名证书;
[0232] 从所述IP地址释放的样本文件中选取IP关联样本文件;
[0233] 将所述IP关联域名、所述请求IP地址、所述IP关联URL地址、所述IP关联样本文件以及所述IP关联域名证书作为IP地址扩展信息。
[0234] A5、如A2所述的网络攻击受害者确定方法,所述对所述URL地址进行关联扩展,获得URL地址扩展信息的步骤,具体包括:
[0235] 从所述URL地址释放的样本文件中选取URL关联样本文件;
[0236] 查找所述URL地址对应的访问IP地址、URL关联IP地址以及URL关联域名地址;
[0237] 将所述URL关联样本文件、所述访问IP地址、所述URL关联IP地址以及所述URL关联域名地址作为URL地址扩展信息。
[0238] A6、如A2所述的网络攻击受害者确定方法,所述对所述威胁样本进行关联扩展,获得威胁样本扩展信息的步骤,具体包括:
[0239] 获取所述威胁样本运行时释放的子样本文件;
[0240] 查找所述威胁样本对应的样本运行请求,并对所述样本运行请求进行解析,获得运行请求URL地址、样本内嵌URL地址、运行请求IP地址、样本内嵌IP地址、运行请求域名地址以及样本内嵌域名地址;
[0241] 获取流量日志,并对流量日志进行信息提取,获得样本下载地址、样本邮件发件者地址以及样本邮件收件者地址;
[0242] 将所述子样本文件、所述运行请求URL地址、所述样本内嵌URL地址、所述运行请求IP地址、所述样本内嵌IP地址、所述运行请求域名地址、所述样本内嵌域名地址、样本下载地址、所述样本邮件发件者地址以及所述样本邮件收件者地址作为威胁样本扩展信息。
[0243] A7、如A2所述的网络攻击受害者确定方法,所述对所述网站安全证书进行关联扩展,获得网站安全证书扩展信息的步骤,具体包括:
[0244] 对所述网站安全证书进行解析,获得证书对应域名地址、证书对应IP地址;
[0245] 将所述证书对应域名地址以及所述证书对应IP地址作为网站安全证书扩展信息。
[0246] A8、如A2所述的网络攻击受害者确定方法,所述对所述威胁名称信息进行关联扩展,获得威胁名称扩展信息的步骤,具体包括:
[0247] 获取域名数据库,并在所述域名数据库中查找所述威胁名称信息对应的名称关联域名;
[0248] 获取流量日志以及威胁情报,并从所述流量日志以及所述威胁情报中提取名称关联邮件地址;
[0249] 将所述称关联域名以及所述名称关联邮件地址作为威胁名称扩展信息。
[0250] A9、如A2所述的网络攻击受害者确定方法,所述对所述邮件信息进行关联扩展,获得邮件扩展信息的步骤,具体包括:
[0251] 获取流量日志,并在所述流量日志中查找所述邮件信息对应的邮件收件人地址;
[0252] 获取域名数据库,并在所述域名数据库中查找所述邮件信息对应的邮件关联域名;
[0253] 对所述邮件信息进行信息提取,获得邮件地址,并根据所述邮件地址确定用户名;
[0254] 查找所述邮件信息对应的邮件关联样本,并将所述邮件收件人地址、所述邮件关联域名、所述用户名以及所述邮件关联样本作为邮件扩展信息。
[0255] A10、如A1‑A9中任一项所述的网络攻击受害者确定方法,所述对所述威胁扩展信息进行降重处理,获得候选威胁扩展信息,并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息的步骤,具体包括:
[0256] 对所述威胁扩展信息进行降重处理,获得候选威胁扩展信息;
[0257] 根据所述候选威胁扩展信息确定威胁情报、网站访问量以及威胁事件发生时间;
[0258] 根据所述威胁情报、所述网站访问量以及所述威胁事件发生时间判断所述候选威胁扩展信息是否满足预设条件;
[0259] 将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息。
[0260] A11、如A10所述的网络攻击受害者确定方法,所述根据所述威胁情报、所述网站访问量以及所述威胁事件发生时间判断所述候选威胁扩展信息是否满足预设条件的步骤,具体包括:
[0261] 根据所述威胁情报以及所述网站访问量判断所述候选威胁扩展信息是否属于预设白名单,获得第一判断结果;
[0262] 判断所述威胁事件发生时间是否大于预设时间,获得第二判断结果;
[0263] 根据所述第一判断结果以及所述第二判断结果判断所述候选威胁扩展信息是否满足预设条件。
[0264] 本发明公开了B12、一种网络攻击受害者确定设备,所述网络攻击受害者确定设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击受害者确定程序,所述网络攻击受害者确定程序被所述处理器执行时实现如上文所述的网络攻击受害者确定方法的步骤。
[0265] 本发明公开了C13、一种存储介质,所述存储介质上存储有网络攻击受害者确定程序,所述网络攻击受害者确定程序被处理器执行时实现如上文所述的网络攻击受害者确定方法的步骤。
[0266] 本发明公开了D14、一种网络攻击受害者确定装置,所述网络攻击受害者确定装置包括:扩展模块、查找模块、处理模块和提取模块;
[0267] 所述扩展模块,用于在接收到威胁关键信息时,对所述威胁关键信息进行关联扩展,获得威胁扩展信息;
[0268] 所述查找模块,用于查找所述威胁扩展信息对应的攻击身份信息;
[0269] 所述处理模块,用于对所述威胁扩展信息进行降重处理,获得候选威胁扩展信息,并将满足预设条件的候选威胁扩展信息作为目标威胁扩展信息;
[0270] 所述提取模块,用于根据所述攻击身份信息对所述目标威胁扩展信息进行信息提取,获得目标网络攻击受害者。
[0271] D15、如D14所述的网络攻击受害者确定装置,所述扩展模块,还用于在接收到威胁关键信息时,对所述威胁关键信息进行信息提取,获得域名信息、IP地址、URL地址、威胁样本、网站安全证书、威胁名称信息以及邮件信息;
[0272] 所述扩展模块,还用于对所述域名信息进行关联扩展,获得域名扩展信息;
[0273] 所述扩展模块,还用于对所述IP地址进行关联扩展,获得IP地址扩展信息;
[0274] 所述扩展模块,还用于对所述URL地址进行关联扩展,获得URL地址扩展信息;
[0275] 所述扩展模块,还用于对所述威胁样本进行关联扩展,获得威胁样本扩展信息;
[0276] 所述扩展模块,还用于对所述网站安全证书进行关联扩展,获得网站安全证书扩展信息;
[0277] 所述扩展模块,还用于对所述威胁名称信息进行关联扩展,获得威胁名称扩展信息;
[0278] 所述扩展模块,还用于对所述邮件信息进行关联扩展,获得邮件扩展信息;
[0279] 所述扩展模块,还用于根据所述域名扩展信息、所述邮件扩展信息、所述IP地址扩展信息、所述URL地址扩展信息、所述威胁样本扩展信息、所述网站安全证书扩展信息以及所述威胁名称扩展信息生成威胁扩展信息。
[0280] D16、如D15所述的网络攻击受害者确定装置,所述扩展模块,还用于对所述域名信息进行域名扩展,获得域名扩展信息;
[0281] 所述扩展模块,还用于获取不同通信协议的访问记录,并对所述访问记录进行解析,获得基础IP地址;
[0282] 所述扩展模块,还用于获取流量日志,并根据所述域名信息对流量日志进行提取,获得域名关联IP地址;
[0283] 所述扩展模块,还用于获取威胁情报,并根据所述域名信息对所述威胁情报以及所述流量日志进行信息提取,获得域名关联URL地址;
[0284] 所述扩展模块,还用于获取域名数据库,并从所述域名数据库中提取域名名称信息以及域名邮件信息;
[0285] 所述扩展模块,还用于对所述威胁情报以及所述流量日志进行信息提取,获得域名证书信息;
[0286] 所述扩展模块,还用于获取样本下载日志,并从所述威胁情报以及所述样本下载日志中提取域名关联样本;
[0287] 所述扩展模块,还用于将所述域名扩展信息、所述基础IP地址、所述域名关联IP地址、所述域名关联URL地址、所述域名名称信息、所述域名邮件信息、所述域名证书信息以及所述域名关联样本作为域名扩展信息。
[0288] D17、如D15所述的网络攻击受害者确定装置,所述扩展模块,还用于查找所述IP地址对应的IP关联域名、请求IP地址、IP关联URL地址以及IP关联域名证书;
[0289] 所述扩展模块,还用于从所述IP地址释放的样本文件中选取IP关联样本文件;
[0290] 所述扩展模块,还用于将所述IP关联域名、所述请求IP地址、所述IP关联URL地址、所述IP关联样本文件以及所述IP关联域名证书作为IP地址扩展信息。
[0291] D18、如D15所述的网络攻击受害者确定装置,所述扩展模块,还用于从所述URL地址释放的样本文件中选取URL关联样本文件;
[0292] 所述扩展模块,还用于查找所述URL地址对应的访问IP地址、URL关联IP地址以及URL关联域名地址;
[0293] 所述扩展模块,还用于将所述URL关联样本文件、所述访问IP地址、所述URL关联IP地址以及所述URL关联域名地址作为URL地址扩展信息。
[0294] D19、如D15所述的网络攻击受害者确定装置,所述扩展模块,还用于获取所述威胁样本运行时释放的子样本文件;
[0295] 所述扩展模块,还用于查找所述威胁样本对应的样本运行请求,并对所述样本运行请求进行解析,获得运行请求URL地址、样本内嵌URL地址、运行请求IP地址、样本内嵌IP地址、运行请求域名地址以及样本内嵌域名地址;
[0296] 所述扩展模块,还用于获取流量日志,并对流量日志进行信息提取,获得样本下载地址、样本邮件发件者地址以及样本邮件收件者地址;
[0297] 所述扩展模块,还用于将所述子样本文件、所述运行请求URL地址、所述样本内嵌URL地址、所述运行请求IP地址、所述样本内嵌IP地址、所述运行请求域名地址、所述样本内嵌域名地址、样本下载地址、所述样本邮件发件者地址以及所述样本邮件收件者地址作为威胁样本扩展信息。
[0298] D20、如D15所述的网络攻击受害者确定装置,所述扩展模块,还用于对所述网站安全证书进行解析,获得证书对应域名地址、证书对应IP地址;
[0299] 所述扩展模块,还用于将所述证书对应域名地址以及所述证书对应IP地址作为网站安全证书扩展信息。