一种关联检测黑客的方法及装置与流程

本发明属于信息安全技术领域，具体涉及一种关联检测黑客的方法及装置。

背景技术：

在网络普及的今天，网络攻击日益成为严重的问题。黑客组织/团伙在网络攻击中经常扮演着重要角色，每个黑客组织都会长期进行网络攻击活动以获取非法利益，比如通过钓鱼、垃圾邮件、漏洞利用等对互联网设备或指定目标展开攻击。因此，识别、追踪黑客组织威胁动态对于预警和阻止黑客组织攻击和减轻网络安全威胁具有重要意义。

目前，在信息安全领域，黑客组织攻击动态追踪主要依赖于安全工程师的经验去识别跟进。但随着黑客组织不断增加，网络攻击也不断加剧，因此，数量有限的安全工程师无力应对快速增加的网络攻击动态；另外，由于安全工程师经验、水平参差不齐，以及情报数据的缺失，会导致恶意域名识别的准确率不高等问题。因此，业界迫切需要一种自动化识别、追踪黑客组织威胁动态的方法及装置。

技术实现要素：

本发明提供了一种关联检测黑客的方法及装置。本发明提供的关联检测黑客的方法及装置能够对黑客组织最新的威胁动态大范围进行自动化关联检测、跟踪，以快速高效地关联评估黑客组织最新威胁事件，提高恶意域名识别的准确率，最大程度地降低黑客组织的危害程度和影响范围。

为了解决上述技术问题，本发明实施例提供了如下的技术方案：

本发明第一方面提供一种关联检测黑客的方法，所述方法包括，

基于黑客入侵事件，提取用于表征所述黑客入侵事件的第一网络信息；

基于所述第一网络信息，关联得到用于表征所述黑客入侵事件的第二网络信息；

基于所述第二网络信息，关联得到用于表征所述黑客入侵事件的第一目标信息。

作为优选，所述方法还包括，

判断所述第一目标信息是否存在第二目标信息；

如存在，基于所述第二目标信息，关联得到与所述第二目标信息对应的第三网络信息，通过其实现所述第一网络信息的用途。

作为优选，所述关联得到用于表征所述黑客入侵事件的第二网络信息，包括，

基于第一关联关系，根据所述第一网络信息，得到所述第二网络信息；

其中，

所述第一关联关系包括：至少基于第一网址信息关联出特征信息。

作为优选，所述关联得到用于表征所述黑客入侵事件的第一目标信息，包括，

基于第二关联关系，根据所述第二网络信息，得到所述第一目标信息；

其中，

所述第二关联关系包括：至少基于所述特征信息关联出第一木马信息。

作为优选，所述判断所述第一目标信息是否存在第二目标信息，包括，

基于至少一个所述第一目标信息的特定特征，判断是否存在与该特定特征相对应的所述第二目标信息；

如存在，确定出所述第二目标信息。

作为优选，所述确定出所述第二目标信息，包括，

基于第三关联关系，根据所述第一目标信息，得到所述第二目标信息；

其中，

所述第三关联关系包括：至少基于所述特定特征关联出第二木马信息。

作为优选，所述关联得到与所述第二目标信息对应的第三网络信息，包括，

基于第四关联关系，根据所述第二目标信息，得到所述第三网络信息；

其中，

所述第四关联关系包括：至少基于第二木马信息关联出第二网址信息。

本发明第二方面提供一种关联检测黑客的装置，所述装置包括，

提取模块，其配置为，基于黑客入侵事件，提取用于表征所述黑客入侵事件的第一网络信息；

第一关联模块，其配置为，基于所述第一网络信息，关联得到用于表征所述黑客入侵事件的第二网络信息；

第二关联模块，其配置为，基于所述第二网络信息，关联得到用于表征所述黑客入侵事件的第一目标信息。

作为优选，所述装置还包括判断模块和第三关联模块，其中，所述判断模块配置为，判断所述第一目标信息是否存在第二目标信息；

所述第三关联模块配置为，如所述判断模块判断存在所述第二目标信息，则基于所述第二目标信息，关联得到与所述第二目标信息对应的第三网络信息。

作为优选，所述第一关联模块进一步配置为，

基于第一关联关系，根据所述第一网络信息，得到所述第二网络信息；

其中，

所述第一关联关系包括：至少基于第一网址信息关联出特征信息。

基于上述实施例的公开可以获知，本发明实施例具备如下的有益效果：

本发明提供的关联检测黑客的方法及装置能够对黑客组织最新的威胁动态大范围进行自动化关联检测、跟踪，以快速高效地关联评估黑客组织最新威胁事件，提高恶意域名识别的准确率，最大程度地降低黑客组织的危害程度和影响范围。

附图说明

图1为本发明实施例提供的关联检测黑客的方法的逻辑框图；

图2为本发明实施例提供的关联检测黑客的装置的结构示意图。

具体实施方式

下面，结合附图对本发明的具体实施例进行详细的描述，但不作为本发明的限定。

应理解的是，可以对此处公开的实施例做出各种修改。因此，上述说明书不应该视为限制，而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。

包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例，并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。

通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述，本发明的这些和其它特性将会变得显而易见。

还应当理解，尽管已经参照一些具体实例对本发明进行了描述，但本领域技术人员能够确定地实现本发明的很多其它等效形式，它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。

当结合附图时，鉴于以下详细说明，本公开的上述和其他方面、特征和优势将变得更为显而易见。

此后参照附图描述本公开的具体实施例；然而，应当理解，所公开的实施例仅仅是本公开的实例，其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此，本文所公开的具体的结构性和功能性细节并非意在限定，而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。

本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”，其均可指代根据本公开的相同或不同实施例中的一个或多个。

下面，结合附图详细的说明本发明实施例，

如图1所示，本发明第一个实施例提供一种关联检测黑客的方法，所述方法包括，

基于黑客入侵事件，提取用于表征所述黑客入侵事件的第一网络信息；

基于所述第一网络信息，关联得到用于表征所述黑客入侵事件的第二网络信息；

基于所述第二网络信息，关联得到用于表征所述黑客入侵事件的第一目标信息。

在本发明提供的实施例中，所述黑客入侵事件可以是当前正在发生的黑客攻击事件，也可以是黑客组织资产数据库中的历史攻击事件，通过使用本发明提供的关联检测方法可以检测到与该黑客入侵事件相关的其他威胁动态，例如可以检测到该黑客组织是否使用相同的邮箱又注册了其他域名，或者是否使用域名历史所绑定的ip又注册了其他域名等。通过尽早地获得与该黑客入侵事件相关的其他威胁动态，可以对可能发生的威胁动态进行预警，最大程度地降低黑客组织的危害程度和影响范围。

在本发明提供的实施例中，所述黑客组织资产数据库可以根据现有的关于黑客的海量数据进行建立，本发明中对于黑客组织资产数据库及具体建立方式没有特别限定，用户可以根据自己具体的使用需求进行建立，只要是所述黑客组织资产数据库中的数据尽可能完整即可。

在本发明提供的一个实施例中，所述第一网络信息例如可以为第一网址信息，所述第一网址信息与该黑客入侵事件相对应，所述第一网址信息例如可以为域名或者ip。

在本发明提供的另一个实施例中，所述第二网络信息例如可以为特征信息，所述特征信息可以为黑客注册所使用的一些信息，具体地，例如可以为域名历史所绑定的ip，邮箱，用户名或注册使用的联系方式。

在本发明提供的其他实施例中，所述第一目标信息例如可以为第一木马信息。

在本发明提供的另一个实施例中，所述方法还包括，

判断所述第一目标信息是否存在第二目标信息；

如存在，基于所述第二目标信息，关联得到与所述第二目标信息对应的第三网络信息，通过其实现所述第一网络信息的用途。

在本发明提供的实施例中，所述第二目标信息可以为第二木马信息，所述判断所述第一目标信息是否存在第二目标信息，也就是判断第一木马信息是否存在与之相关联的第二木马信息，也就是说，第一木马信息与第二木马信息同属于一个木马家族，所述一个木马家族的木马具有相同或者相似的特征。在本实施例中，得到第一木马信息后，通过关联关系，可以得到该木马家族中的第二木马信息。此时，可以通过第二木马信息关联得到与所述第二木马信息对应的第三网络信息，所述第三网络信息例如可以为第二网址信息，所述第二网址信息是依据第二木马信息关联出的，在得到第二网址信息后，所述第二网址信息可以重复第一网址信息的步骤，即可以基于第二网址信息，关联得到用于表征第二木马信息的网络信息；基于所述用于表征第二木马信息的网络信息，关联得到用于表征第二木马信息的第三木马信息，再基于第三木马信息得到第四木马信息……使用本发明提供的关联检测方法，可以将得到关于黑客的信息一直进行循环关联检测，直到不再找出新的信息为止。

例如，在一个具体实施例中，得到第一木马信息后，即得到了a和b两个木马，通过关联关系，可以得到该木马家族中的第二木马信息，即得到了c和d两个木马。再通过c和d两个木马关联得到与所述c和d木马对应的网址信息，此时得到的网址信息可以重复所述第一网络信息的用途，即再通过网址信息经过一系列的关联关系寻找新的木马信息，直到不再有新的木马信息出现为止。

在本发明提供的一个实施例中，所述关联得到用于表征所述黑客入侵事件的第二网络信息，包括，

基于第一关联关系，根据所述第一网络信息，得到所述第二网络信息；

其中，

所述第一关联关系包括：至少基于第一网址信息关联出特征信息。

在黑客组织资产数据库中，可以建立一些子数据库，例如可以建立第一子数据库，所述第一子数据库可以存放第一关联关系，即存放第一网址信息与特征信息之间的关联关系，通过向第一子数据库中输入所述第一网址信息可以得到对应的特征信息，第一网址信息例如可以为域名或者ip；所述特征信息可以为黑客注册所使用的一些信息，具体地，例如可以为域名历史所绑定的ip，邮箱，用户名或注册使用的联系方式。

在本发明提供的另一个实施例中，所述关联得到用于表征所述黑客入侵事件的第一目标信息，包括，

基于第二关联关系，根据所述第二网络信息，得到所述第一目标信息；

其中，

所述第二关联关系包括：至少基于所述特征信息关联出第一木马信息。

在黑客组织资产数据库中，还可以建立第二子数据库，所述第二子数据库可以存放第二关联关系，即存放特征信息与第一木马信息的关联关系，通过向所述第二子数据库中输入特征信息可以关联出第一木马信息，例如通过向所述第二子数据库中输入黑客注册时所使用的用户名信息，可以关联得到第一木马信息，例如可以得到a和b两个木马。

在本发明提供的其他实施例中，所述判断所述第一目标信息是否存在第二目标信息，包括，

基于至少一个所述第一目标信息的特定特征，判断是否存在与该特定特征相对应的所述第二目标信息；

如存在，确定出所述第二目标信息。

在本实施例中，在判断第一目标信息是否存在第二目标信息的过程中，也就是判断第一木马信息是否存在与之相关联的第二木马信息，也就是判断第一木马信息所属的木马家族中是否还包含其他的木马信息。如果包含，则木马家族中所具有的除第一木马信息之外的木马信息就是第二木马信息；如果不包含，则说明木马家族中只有第一木马信息。在具体判断过程中，要提取第一木马信息的特定特征，通过特定特征来判断是否存在第二木马信息，如果第一木马信息只包含一个木马，即如果第一木马信息只包含一个木马a，则提取木马a的特定特征，再通过该特定特征来关联第二木马信息，如果能关联到第二木马信息，则确定出第二木马信息，如果不能关联出第二木马信息，则说明不存在第二木马信息。

如果第一木马信息包含两个以上的木马，例如，第一木马信息包含a和b两个木马，则提取a和b两个木马共同的特定特征，基于该共同的特定特征来关联第二木马信息，如果能关联到第二木马信息，则确定出第二木马信息，如果不能关联出第二木马信息，则说明不存在第二木马信息。

在本发明提供的另一个实施例中，所述确定出所述第二目标信息，包括，

基于第三关联关系，根据所述第一目标信息，得到所述第二目标信息；

其中，

所述第三关联关系包括：至少基于所述特定特征关联出第二木马信息。

在黑客组织资产数据库中，还可以建立第三子数据库，所述第三子数据库可以存放第三关联关系，即存放特定特征与第二木马信息的关联关系，通过向所述第三子数据库中输入特定特征可以关联出第二木马信息，例如通过向所述第三子数据库中输入木马的特定特征，可以关联得到第二木马信息，例如，当第一木马信息包含有一个木马a时，提取木马a的特定特征，基于该特定特征关联得到第二木马信息；当第一木马信息包含a和b两个木马时，提取a和b两个木马的共同特定特征，基于该共同特定特征关联得到第二木马信息。

在本发明提供的另一个实施例中，所述关联得到与所述第二目标信息对应的第三网络信息，包括，

基于第四关联关系，根据所述第二目标信息，得到所述第三网络信息；

其中，

所述第四关联关系包括：至少基于第二木马信息关联出第二网址信息。

在黑客组织资产数据库中，还可以建立第四子数据库，所述第四子数据库可以存放第四关联关系，即存放第二木马信息与第二网址信息的关联关系，通过向所述第四子数据库中输入第二木马信息可以关联出第二网址信息，例如通过向所述第四子数据库中输入第二木马信息，可以关联得到第二网址信息，例如，当第一木马信息包含有a和b两个木马时，关联得到的第二木马信息为c和d两个木马，此时，基于c和d两个木马关联出与所述c和d两个木马对应的第二网址信息，第二网址信息为与所述第二木马信息对应的域名或者ip，即第二网址信息为基于所述第二木马信息新寻找出来的域名或者ip。

基于与上述关联检测黑客的方法相同的发明构思，如图2所示，本发明第二个实施例提供一种关联检测黑客的装置，所述装置包括，

提取模块，其配置为，基于黑客入侵事件，提取用于表征所述黑客入侵事件的第一网络信息；

第一关联模块，其配置为，基于所述第一网络信息，关联得到用于表征所述黑客入侵事件的第二网络信息；

第二关联模块，其配置为，基于所述第二网络信息，关联得到用于表征所述黑客入侵事件的第一目标信息。

在本发明提供的一个实施例中，所述装置还包括判断模块和第三关联模块，其中，所述判断模块配置为，判断所述第一目标信息是否存在第二目标信息；

所述第三关联模块配置为，如所述判断模块判断存在所述第二目标信息，则基于所述第二目标信息，关联得到与所述第二目标信息对应的第三网络信息。

在本发明提供的另一个实施例中，所述第一关联模块进一步配置为，

基于第一关联关系，根据所述第一网络信息，得到所述第二网络信息；

其中，

所述第一关联关系包括：至少基于第一网址信息关联出特征信息。

以上实施例仅为本发明的示例性实施例，不用于限制本发明，本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内，对本发明做出各种修改或等同替换，这种修改或等同替换也应视为落在本发明的保护范围内。