一种失陷主机快照取证溯源方法和系统与流程

1.本技术涉及信息安全领域，尤其是涉及一种失陷主机快照取证溯源方法和系统。


背景技术：

2.失陷主机通常是指网络入侵攻击者以某种方式获得控制权的主机，在获得控制权后，攻击者可能以该主机为跳板继续高攻击企业内网的其他主机。
3.失陷主机往往具有无规律性、高隐蔽性的特点，很多入侵动作本身难以识别或无法确认供给是否成功；因此对于失陷主机的取证溯源问题一直是行业内的技术难点。
4.针对上述中的相关技术，发明人认为目前主要的取证溯源问题是在对主机进行取证时，需要安全服务人员花大量时间在主机上逐一查看分析，导致取证溯源的工作效率低下。


技术实现要素：

5.本技术提供一种失陷主机快照取证溯源方法和系统，具有提高了对失陷主机取证溯源的工作效率的特点。
6.本技术目的一是提供一种失陷主机快照取证溯源方法。
7.本技术的上述申请目的一是通过以下技术方案得以实现的：一种失陷主机快照取证溯源方法，包括：获取失陷主机的ip地址；根据所述ip地址从数据库中调取与所述ip地址对应的监控快照信息；对监控快照信息进行分析后得到分析结果；对分析结果进行痕迹溯源排查得到取证信息。
8.通过采用上述技术方案，首先得到失陷主机的ip地址，然后根据ip地址从数据库中调取相应的监控快照信息，对监控快照信息进行分析之后再进行痕迹溯源排查即可得到取证信息；通过这种方式，可以实现对失陷主机的痕迹溯源排查，提高了对失陷主机取证溯源的工作效率。
9.本技术在一较佳示例中可以进一步配置为，在获取失陷主机的ip地址之前，需要对主机进行判断；判断主机是否为失陷主机的步骤包括：获取主机的监控信息；调取预设的异常监控信息库；将所述主机的监控信息与异常监控信息库中的异常监控信息进行比较；若所述监控信息与异常监控信息相同，则将该主机标记为失陷主机，并输出报警信息。
10.通过采用上述技术方案，先对主机进行判断，判断主机是否为失陷主机；首先得到主机的监控信息，然后将主机的监控信息与预设的异常监控信息库中的异常监控信息进行比较，从而可以判断出主机的监控信息是否为异常监控信息，如果监控信息是异常监控信
息，那么就将该主机判定为失陷主机，通过这种方式，提高了对失陷主机判定的效率，节省了判定时间。
11.本技术在一较佳示例中可以进一步配置为，所述获取失陷主机的ip地址的步骤包括：根据失陷主机得到失陷主机的主机ip；根据主机ip得到对应的ip地址；所述ip地址即是指该失陷主机。
12.通过采用上述技术方案，根据失陷主机可以得到主机ip，进而可以得到ip地址，该ip地址与失陷主机相绑定，即，找到该ip地址即找到了失陷主机，通过这种方式，提高了获取失陷主机的ip地址的效率。
13.本技术在一较佳示例中可以进一步配置为，对主机进行监控得到监控快照信息并将监控快照信息存储在数据库中的步骤包括：所述态势感知系统在主机上添加监控器，所述监控器用于对主机上的相关信息进行集中化实时监控；所述监控器内设置有待监测信息，监控器根据待监测信息对主机上相应的信息进行监测并得到监控快照信息；将所述监控快照信息与对应的主机ip存储在数据库中。
14.通过采用上述技术方案，利用态势感知系统在主机上添加监控器，并通过监控器实现对主机相关信息的采集和监控，然后将得到的监控快照信息与对应的主机ip存储在数据库中，在寻找失陷主机时，得到了失陷主机的主机ip后，就可以得到失陷主机相应的监控快照信息，实现了将失陷主机的监控快照信息与主机ip相绑定，进而提高了对失陷主机取证溯源的效率。
15.本技术在一较佳示例中可以进一步配置为，所述对监控快照信息进行分析后得到分析结果的步骤包括：根据监控器得到预先设置的监控时间信息，所述监控时间信息指预先设置的进行数据采集监测的周期时间；根据监控时间信息得到失陷主机离当前时刻最近的时间点对应的监控快照信息；根据监控时间信息得到失陷主机的离当前时刻最近的时间点的上一时间点对应的监控快照信息；将最近的时间点对应的监控快照信息与上一时间点对应的监控快照信息进行对比得到两个时间点之间监控快照信息的变化量；将所述变化量与预设的安全范围进行比较，判断变化量是否落在安全范围中，若是，则说明最近的时间点对应的监控快照信息为异常信息。
16.通过采用上述技术方案，首先得到距离当前时刻最近的时间点监测到的失陷主机的监控快照信息，然后在获取到最近的时间点的上一时间点的监控快照信息；将两个快照信息进行比较，判断信息的变化量是否落在预设的安全范围中；从而可以判断出从上一时间点，到最近的时间点之间是否发生信息异常的情况，提高了对监控快照信息分析的效率。
17.本技术在一较佳示例中可以进一步配置为，态势感知系统与主机之间通过snmp、ssh和telnet协议进行交互。
18.本技术在一较佳示例中可以进一步配置为，所述对分析结果进行痕迹溯源排查得到取证信息的步骤包括：调取预先设定监测信息告警阈值；将所述异常信息与监测信息告警阈值进行比较，若所述异常信息不小于监测信息告警阈值，则输出告警信号并生成告警日志。
19.本技术目的二是提供一种失陷主机快照取证溯源系统。
20.本技术的上述申请目的二是通过以下技术方案得以实现的：一种失陷主机快照取证溯源系统，包括：获取模块，用于获取失陷主机的ip地址；调取模块，用于根据所述ip地址从数据库中调取与所述ip地址对应的监控快照信息；分析模块，用于对监控快照信息进行分析后得到分析结果；排查模块，用于对分析结果进行痕迹溯源排查得到取证信息。
21.本技术目的三是提供一种智能终端。
22.本技术的上述申请目的三是通过以下技术方案得以实现的：一种智能终端，包括存储器和处理器，所述存储器上存储有能够被处理器加载并执行的上述失陷主机快照取证溯源方法的计算机程序指令。
23.本技术目的四是提供一种计算机介质，能够存储相应的程序。
24.本技术的上述申请目的四是通过以下技术方案得以实现的：一种计算机可读存储介质，存储有能够被处理器加载并执行上述任一种失陷主机快照取证溯源方法的计算机程序。
25.综上所述，本技术包括以下有益技术效果：通过获取到与主机ip地址相绑定的监控快照信息，并对监控快照信息进行对比分析处理后，可以得到失陷主机在一定时间段中相关的监控信息的变化，从而实现对失陷主机的痕迹溯源排查，提高了对失陷主机取证溯源的工作效率。
附图说明
26.图1是本技术实施例中一种失陷主机快照取证溯源方法的流程示意图。
27.图2是本技术实施例中一种失陷主机快照取证溯源系统的结构示意图。
28.附图标记说明：1、获取模块；2、调取模块；3、分析模块；4、排查模块。
具体实施方式
29.本具体实施例仅仅是对本技术的解释，其并不是对本技术的限制，本领域人员在阅读完本说明书后可以根据需要对本实施例作出没有创造性贡献的修改，但只要在本技术的权利要求范围内都受到专利法的保护。
30.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的全部其他实施例，都属于本技术保护的范围。
31.下面结合说明书附图对本技术实施例做进一步详细描述。
32.本技术提供一种失陷主机快照取证溯源方法，应用于态势感知系统。
33.目前，随着互联网科技的发展和普及，各行各业都离不开网络；随之而来的就是各种流氓软件、木马病毒、网络勒索敲诈等恶意程序，黑客们会在使用者不知情的情况下向使用者所使用的计算机中植入上述恶意程序，从而达到牟利的目的；而对于这种被植入类似恶意程序或软件的主机设备，就被称为失陷主机；对于失陷主机的治理而言，其中一个非常主要的难点就是在于如何实现快速准确地找到失陷主机的失陷原因，从而实现对问题的快速解决；但是在对失陷主机的溯源取证的过程中，对于主机设备出现的问题，需要工作人员对每个问题进行分析，一一排查，消耗时间较长，效率较低；因此，在本技术实施例中，采用态势感知系统这个平台工具对主机设备进行溯源排查，以实现对失陷主机的问题的快速排查，从而提高了失陷主机取证溯源的工作效率。
34.本技术实施例中的态势感知系统利用了快照技术对失陷主机的问题进行排查；其中，快照是指关于指定数据集合的一个完全可用拷贝，该拷贝包括相应数据在某个时间点的映像，该时间点是指拷贝开始的时间点；快照可以是其所表示的数据的一个副本，也可以是数据的一个复制品。
35.快照的作用主要是能够进行在线数据备份与恢复；当存储设备发生应用故障或者文件损坏时可以进行快速的数据恢复，将数据恢复某个可用的时间点的状态；快照的另一个作用是为存储用户提供了另外一个数据访问通道，当原数据进行在线应用处理时，用户可以访问快照数据，还可以利用快照进行测试等工作。
36.通过快照技术的辅助，态势感知系统更加高效地实现了对失陷主机的取证溯源。
37.本技术中一种失陷主机快照取证溯源方法的主要流程描述如下。
38.如图1所示：步骤s101：获取失陷主机的ip地址。
39.步骤s102：根据所述ip地址从数据库中调取与所述ip地址对应的监控快照信息。
40.步骤s103：对监控快照信息进行分析后得到分析结果。
41.步骤s104：对分析结果进行痕迹溯源排查得到取证信息。
42.为了实现通过态势感知系统对主机设备的监控，以及对失陷主机的溯源取证排查，首先需要让态势感知系统与主机设备进行连接；其中，对于网络设备和安全设备的连接，态势感知系统支持基于snmp协议的交互；对于主机设备为linux和unix的，态势感知系统支持基于ssh和telnet协议的交互。
43.态势感知系统在通过snmp协议与主机设备进行交互时，主要是为了对网络设备和安全设备的性能进行监控，在监控过程中，态势感知系统通过配置相关数据以增加监控任务的名称、ip、snmp协议等，待端口网络连通性可达后，就可以实现对设备的相关数据的监控；针对于主机设备为linux和unix的，态势感知系统通过配置相应的ip地址与ssh协议号，并且在网络连通性可达的情况下，就可以做到读取主机设备上的相关重要数据。
44.在实现了态势感知系统与主机设备之间的连接后，态势感知系统和主机设备之间可以进行交互；在本技术实施例中，态势感知系统在主机设备上添加监控器，通过监控器失陷对主机设备的相关信息的集中化实时监控；并且监控器内设置有待监测信息，监控器通过待监测信息对主机设备上相应的信息进行监测并得到监控快照信息，态势感知系统得到
监控快照信息后将监控快照信息与对应的主机ip存储在数据库中；可以理解的是，这里的监控器是一个计算机程序，主机设备安装该监控器后，态势感知系统就可以通过监控器对主机设备进行监控。
45.其中，待监测信息包括连通性、设备性能－内存利用率、设备性能－cpu利用率、接口名称、接口状态、接口总流量、发送流量、接口接收流量、发送利用率、接收利用率、发送错误率、接收错误率、发动丢包率、接收丢包率、发包率和收包率等；可以理解的是，这里的待监测信息是指需要对主机设备进行监控的相关信息，即，针对上述所说的待监测信息，需要对主机设备中相应的相关信息进行监控和采集。
46.其中，连通性是指设备连通性；设备性能－内存利用率是指主机设备最近一分钟的内存利用率；设备性能－cpu利用率是指主机设备最近5秒钟的cpu利用率；上述三种待监测信息是基本监控指标，而其余的待监测信息均是针对接口的接口监控指标；可以理解的是，通过对上述待监测信息的监控，可以监控到主机设备各个重要信息的变化，并且通过对上述待监测信息的采集和存储，可以在主机设备失陷时，通过对主机设备失陷前后的待监测信息的对比，判断出主机设备失陷的原因，从而实现对主机设备的取证溯源，进而提高对失陷主机取证溯源的工作效率。
47.在本技术实施例中，监控器内的待监测信息可以根据工作人员的需求进行修改，即，可以通过态势感知系统对待监测信息进行增删改查等操作，上述过程为相关领域中常用技术手段，在此不再赘述。
48.在实现了态势感知系统与主机设备之间的交互后，态势感知系统可以自动地对主机设备的相关信息进行监控、采集和存储；在态势感知系统对主机设备进行监控的过程中，还可以周期性地对主机设备的相关信息进行监控、采集和存储；并且，工作人员可以通过态势感知系统设置监控周期时间，例如，一分钟、两分钟或五分钟等，即，态势感知系统每一分钟、两分钟或五分钟对主机设备进行一次信息采集和存储；在使用态势感知系统对主机设备进行监控的过程中，工作人员可以修改监控周期时间，以实现更频繁地采集主机设备的信息，提高对主机设备监控的精确性。
49.当主机设备失陷时，主机设备会产生异常，此时需要对主机设备进行排查，判断主机设备是否为实现主机设备；首先获取主机设备的监控信息，然后调取预设的异常监控信息库，将主机设备的监控信息与异常监控信息库中的异常监控信息进行比较；若监控信息与异常监控信息相同，则将该主机设备标记为失陷主机，并输出报警信息；在本技术实施例中，态势感知系统内置有告警分析模块，当主机设备发生异常时，可以通过告警分析模块进行触发，告警分析模块针对主机设备的异常行为进行分析，并产生告警信息，将告警信息发送至显示页面或发送至工作人员的移动终端上，以提醒工作人员主机设备产生异常，需及时采取相应措施进行处理。
50.可以理解的是，这里的监控信息是指主机设备中一些标志性信息，例如，针对连通性较差，或者主机设备的磁盘空间超过预设的阈值时，告警分析模块都会产生告警信息；通过这种方式，可以在主机设备产生异常时，第一时间发现异常，并且发出告警信息，提高了对失陷主机的识别的精确性和效率；在监控信息发生异常时，可以通过简单地比较或者判断连接是否稳定等手段检测到主机设备的异常，通过对监控信息的监测，可以较为快速准确地判断出主机设备是否发生异常，提高了对主机设备异常检测的 精确性和工作效率。
51.在将主机设备标记为失陷主机后，可以根据失陷主机得到失陷主机的主机ip，根据主机ip可以得到相应的ip地址，这里的ip地址就代表了该失陷主机；在得到了ip地址后，就表示找到了失陷主机，然后通过失陷主机的ip地址可以在数据库中找到对应的监控快照信息，然后通过对不同时间点的监控快照信息的调取和比较，对监控快照信息进行分析和溯源排查就可以得到取证信息，进而可以判断出失陷主机的失陷原因；通过这种方式，提高了对失陷主机取证溯源的工作效率。
52.在本技术实施例中，对失陷主机的监控快照信息进行分析的步骤如下：1、根据监控器得到预先设置的监控时间信息；2、根据监控时间信息得到失陷主机离当前时刻最近的时间点对应的监控快照信息；3、根据监控时间信息得到失陷主机的离当前时刻最近的时间点的上一时间点对应的监控快照信息；4、将最近的时间点对应的监控快照信息与上一时间点对应的监控快照信息进行对比得到两个时间点之间监控快照信息的变化量；5、将所述变化量与预设的安全范围进行比较，判断变化量是否落在安全范围中，若是，则说明最近的时间点对应的监控快照信息为异常信息。
53.这里的监控时间信息可以理解为工作人员通过态势感知系统预先设置的监控周期时间；即，在工作人员针对不同的主机设备预先设置的监控周期时间均不相同，并且我们知道当主机设备失陷时，主机设备上的相关信息会发生异常，出现较大的变化等，那么当找到失陷主机后，距离当前时间点，最近的一次周期时间点上态势感知系统存储的数据就是异常数据，然后再找到距离最近的周期时间点上一次的时间点上态势感知系统存储的数据，此时的数据就是正常数据，然后将两个时间点的数据进行比较，就可以判断出主机设备的失陷原因。
54.在得到了监控时间信息后，根据监控时间信息就可以得到距离当前时刻最近的时间点对应的监控快照信息；可以理解的是，当态势感知系统采集到监控快照信息后，将监控快照信息存储在数据库中，并且会将监控快照信息与对应的时间点存储在主机ip下，这样在调取监控快照信息时，就可以根据不同的时间点调取相应时间的监控快照信息；通过这种方式，可以得到离当前时刻最近的时间点对应的监控快照信息，还可以得到离当前时刻最近的时间点的上一时间点对应的监控快照信息；在得到了两个时间点的监控快照信息后，将两个监控快照信息进行对比后就可以得到两个时间点之间监控快照信息的变化量。
55.可以理解的是，本技术实施例中的监控快照信息就是指监控器中的待监测信息，即，连通性、设备性能－内存利用率、设备性能－cpu利用率、接口名称、接口状态、接口总流量、发送流量、接口接收流量、发送利用率、接收利用率、发送错误率、接收错误率、发动丢包率、接收丢包率、发包率和收包率等；在对每一台主机设备进行监控的过程中，对每一台设备的监控任务是由上述监控快照信息中的各项指标组成，而对不同时间点的监控快照信息进行对比的过程就是对监控快照信息中的各项指标进行对比的过程。
56.例如，针对主机设备a，当前时间点的监控快照信息中的cpu利用率为60%，上一时间点的监控快照信息中的cpu利用率为59%，而主机设备a的监控周期时间为5分钟，5分钟的时间中，预设的cpu利用率的波动范围为0%-5%，即两个时间点的cpu利用率之间计算得到的
变化量需要落在预设的cpu利用率波动范围内，经过计算，主机设备a两个时间点之间的cpu利用率的变化量为1%，落在0%-5%内，符合要求，则说明当前时间点和上一时间点对应的监控快照信息均为正常信息；将当前时间点视作b点，上一时间点视作c点，而c点的上一时间点视作d点，可以得到地点的监控快照信息中的cpu利用率为52.6%，c点与d点之间的变化量为6.4%，该变化量超过了预设的cpu利用率波动范围，说明c点对应的监控快照信息为异常信息，那么说明，针对cpu利用率该项指标而言，从时间点c点开始的cpu利用率指标为异常指标。
57.可以理解的是，上述过程即为对监控快照信息的分析过程，针对不同的指标均采用上述方式进行分析，最终会得到分析结果，分析结果包括多个异常指标，然后需要针对多个异常指标进行痕迹溯源排查，进而得到取证信息。
58.首先，要根据待监测信息调取预先设定的监控信息告警阈值；然后将异常信息，即，监控快照信息中的异常指标与相应的监测信息告警阈值进行比较，若异常指标不小于监测信息告警阈值，则态势感知系统输出告警信号并生成告警日志；最终工作人员可以根据告警日志找到相应的主机，然后根据告警日志对主机的监控快照信息进行排查后可以得到主机失陷的原因。
59.通过上述方式，实现了对失陷主机的取证溯源，提高了失陷主机取证溯源的工作效率。
60.本技术提供一种失陷主机快照取证溯源系统，如图2所示，一种失陷主机快照取证溯源系统包括，获取模块1，用于获取失陷主机的ip地址；调取模块2，用于根据ip地址从数据库中调取与ip地址对应的监控快照信息；分析模块3，用于对监控快照信息进行分析后得到分析结果；排查模块4，用于对分析结果进行痕迹溯源排查得到取证信息。
61.为了更好地执行上述方法的程序，本技术还提供一种智能终端，智能终端包括存储器和处理器。
62.其中，存储器可用于存储指令、程序、代码、代码集或指令集。存储器可以包括存储程序区和存储数据区，其中存储程序区可存储用于实现操作系统的指令、用于至少一个功能的指令以及用于实现上述失陷主机快照取证溯源方法的指令等；存储数据区可存储上述失陷主机快照取证溯源方法中涉及到的数据等。
63.处理器可以包括一个或者多个处理核心。处理器通过运行或执行存储在存储器内的指令、程序、代码集或指令集，调用存储在存储器内的数据，执行本技术的各种功能和处理数据。处理器可以为特定用途集成电路、数字信号处理器、数字信号处理装置、可编程逻辑装置、现场可编程门阵列、中央处理器、控制器、微控制器和微处理器中的至少一种。可以理解地，对于不同的设备，用于实现上述处理器功能的电子器件还可以为其它，本技术实施例不作具体限定。
64.本技术还提供一种计算机可读存储介质，例如包括：u盘、移动硬盘、只读存储器（read only memory，rom）、随机存取存储器（random access memory，ram）、磁碟或者光盘等各种可以存储程序代码的介质。该计算机可读存储介质存储有能够被处理器加载并执行上述失陷主机快照取证溯源方法的计算机程序。
65.以上描述仅为本技术得较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本技术中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术
方案，同时也应涵盖在不脱离前述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其他技术方案。例如上述特征与本技术中公开的（但不限于）具有类似功能的技术特征进行互相替换而形成的技术方案。