本發(fā)明涉及一種面向攻擊溯源的威脅情報分析系統(tǒng)�����,屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域����。
背景技術(shù):
威脅情報(threatintelligence)是一種基于證據(jù)來描述威脅的知識信息,包括威脅相關(guān)的上下文信息(context)��、威脅所使用的方法機制�����、威脅相關(guān)指標(indictors)攻擊影響以及應(yīng)對行動建議等。威脅情報用來描述安全威脅��,給組織或第三方提供決策建議��。威脅情報的目的是為還原已發(fā)生和預(yù)測未發(fā)生的攻擊提供一切線索��,盡可能多地了解攻擊者的動機���、戰(zhàn)術(shù)方法�����、工具��、資源以及行為過程等諸多方面,并建立有效的防御體系�����。威脅情報一般由威脅信息和防御信息兩部分內(nèi)容組成�。其中威脅信息包括:攻擊源,即攻擊者身份ip�����、dns、url等���;攻擊方式��,如武器庫�;攻擊對象��,如指紋信息�����;漏洞信息�,如漏洞庫。防御信息包括:策略庫����、訪問控制列表等。
目前��,關(guān)于威脅情報的專利主要分為兩類:
(1)威脅情報采集�,生成及處理方法。現(xiàn)有專利包括:威脅情報的生成方法及裝置(公開號為cn105897751a)���、一種網(wǎng)絡(luò)安全威脅情報處理方法及系統(tǒng)(公開號為cn105743877a)����、一種基于web的威脅情報采集系統(tǒng)及方法(公開號為cn105763530a)。
(2)威脅情報共享方法?���,F(xiàn)有的專利包括:一種網(wǎng)絡(luò)威脅情報共享模型(公開號為cn106060018a)。
上述方法存在著一定的局限性:
(1)威脅情報采集��,生成及處理方法中��,現(xiàn)有的幾種專利均從建立白樣本特征情報庫出發(fā)����,若情報并未在白樣本特征庫中出現(xiàn),則產(chǎn)生威脅情報���。上述方法使用了較為簡單的白名單方法����,首先產(chǎn)生威脅情報的方式較為單一����,威脅情報來源也不夠廣泛��,漏報或誤報率可能較高,方法泛化性較差�。而且,僅僅描述了產(chǎn)生威脅情報的方法����,并沒有形成一種完備的威脅情報分析分析系統(tǒng)。(2)威脅情報共享方法則是基于解決當前在網(wǎng)絡(luò)威脅情報自動化處理和跨部門信息共享之間存在的缺乏統(tǒng)一規(guī)范�、情報共享效率低和情報由于共享帶來的泄密風險的問題而提出的。
技術(shù)實現(xiàn)要素:
針對現(xiàn)有技術(shù)存在的不足����,本發(fā)明目的是提供一種面向攻擊溯源的威脅情報分析系統(tǒng),本發(fā)明將威脅情報共享和威脅情報分析系統(tǒng)融合在一起����,將威脅情報共享作為威脅情報來源的外部輸入,使威脅情報分析系統(tǒng)的數(shù)據(jù)更加廣泛�,通過情報共享獲得攻擊者的相關(guān)信息,同時結(jié)合企業(yè)內(nèi)部的基礎(chǔ)安全監(jiān)測系統(tǒng)和安全分析模塊提供的威脅情報�����,能夠準確快速的鎖定攻擊者��。
為了實現(xiàn)上述目的��,本發(fā)明是通過如下的技術(shù)方案來實現(xiàn):
本發(fā)明的一種面向攻擊溯源的威脅情報分析系統(tǒng),包括內(nèi)部威脅情報收集模塊�����、外部威脅情報收集模塊和攻擊溯源分析模塊����;所述內(nèi)部威脅情報收集模塊包括安全檢測模塊和安全分析模塊;所述外部威脅情報收集模塊包括互聯(lián)網(wǎng)公開情報源�、合作交換情報源和商業(yè)共享情報源;所述攻擊溯源分析模塊包括攻擊者溯源和攻擊主機溯源��;通過所述內(nèi)部威脅情報收集模塊和外部威脅情報收集模塊收集得到的威脅情報上傳到攻擊溯源分析模塊��,所述攻擊溯源分析模塊對威脅情報進行攻擊者溯源和攻擊主機溯源��,將得到的結(jié)果反饋給安全檢測模塊和安全分析模塊���;同時結(jié)果也會和外部合作企業(yè)進行威脅情報共享交換�。
上述安全檢測模塊中的情報來源包括:防火墻���、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)���、防病毒系統(tǒng)和終端安全管理系統(tǒng)�����;當數(shù)據(jù)流通過防火墻時��,防火墻所記錄下的日志信息�;入侵檢測系統(tǒng)對異常網(wǎng)絡(luò)行為進行記錄,并產(chǎn)生的日志信息�����;漏洞掃描系統(tǒng)基于漏洞數(shù)據(jù)庫�,通過掃描對企業(yè)內(nèi)部計算機系統(tǒng)的安全脆弱性進行檢測,從而找出的可利用漏洞信息���;防病毒系統(tǒng)對網(wǎng)絡(luò)內(nèi)部的可疑文件進行隔離產(chǎn)生的信息����;終端安全管理系統(tǒng)收集的安全管理事件操作信息�。
上述安全分析模塊中的情報來源是:安全信息與事件管理siem、安全運營中心和安全管理平臺���;安全信息與事件管理siem從企業(yè)安全控件�、主機操作系統(tǒng)收集得到的安全日志數(shù)據(jù);安全運營中心針對企業(yè)海量事件和漏洞信息進行收集過濾�����、管理和分析得到的情報��;安全管理平臺以安全風險管理為指導(dǎo)的面向信息資產(chǎn)的安全運行監(jiān)測��、風險度量和安全運維得到的信息���。
上述互聯(lián)網(wǎng)公開情報源中的情報來源是:安全態(tài)勢信息���、安全事件信息、各種網(wǎng)絡(luò)安全預(yù)警信息����、網(wǎng)絡(luò)監(jiān)控數(shù)據(jù)分析結(jié)果、ip地址信譽��;所述合作交換情報源中的情報來源是:來自建立合作關(guān)系的機構(gòu)���,通過在互利互惠基礎(chǔ)上實現(xiàn)的共享合作機制進行保障的合作交換情報�;所述商業(yè)共享情報源中的情報來源是:完全通過商業(yè)付費行為得到的商業(yè)購買情報。
上述攻擊者溯源具體采用的方法如下:
(1-1)攻擊代碼分析:基于流量分析���、逆向分析攻擊代碼,收集攻擊者使用的控制服務(wù)器c&c地址���、攻擊者的目的(信息收集���、系統(tǒng)破壞)、攻擊者使用的漏洞�、攻擊代碼的傳播方式、主機駐留的手段等攻擊細節(jié)情報���;
(1-2)攻擊模式分析:基于統(tǒng)計學(xué)習的方法分析攻擊時序模式���、攻擊頻率模式、攻擊特征模式��、攻擊手法模式����,形成攻擊模式情報;
(1-3)社會網(wǎng)絡(luò)分析:利用社工庫����,結(jié)合域名與注冊郵箱的關(guān)聯(lián)關(guān)系����,再關(guān)聯(lián)常見社交網(wǎng)絡(luò)用戶信息進行關(guān)聯(lián)����,形成攻擊者畫像證據(jù)鏈,從而尋找到背后的攻擊者的真正身份���。
上述攻擊主機溯源具體采用的方法如下:
(2-1)僵尸網(wǎng)絡(luò)主機判定�����,一種通過外部威脅情報共享分析判定�,另一種是通過內(nèi)部威脅情報產(chǎn)生的情報判定�;
(2-2)網(wǎng)絡(luò)跳板主機判定,通過外部威脅情報共享與內(nèi)部主動對攻擊主機反向滲透掃描聯(lián)合判定���;
(2-3)攻擊主機的ip地址是否是真實ip地址�,是否通過ip代理�����,一種通過外部威脅情報共享分析判定,另一種是通過爬取網(wǎng)絡(luò)空間共享出來的代理ip地址進行判定�����;
(2-4)攻擊主機網(wǎng)絡(luò)隱蔽信道判定�,通過收集暗網(wǎng)地址進行判定。
本發(fā)明的優(yōu)點在于:威脅情報來源方式更為廣泛����,結(jié)合外部公開情報和合作機構(gòu)共享情報�����,不僅可以單獨���、快速完成威脅情報分析檢測�,也可以為針對企業(yè)的攻擊提供預(yù)測�。此外,該方法面向攻擊溯源��,從源頭上分析攻擊的方式目的��,更好的辨別攻擊者的身份�����。同時使用資源少,運行效率高�����,泛化性能好�����。
附圖說明
圖1為本發(fā)明實施例的基于面向攻擊溯源的威脅情報分析系統(tǒng)的模塊示意圖�。
具體實施方式
為使本發(fā)明實現(xiàn)的技術(shù)手段、創(chuàng)作特征����、達成目的與功效易于明白了解,下面結(jié)合具體實施方式�,進一步闡述本發(fā)明。
參見圖1����,本發(fā)明包括內(nèi)部威脅情報源模塊、外部威脅情報源模塊和攻擊溯源分析模塊����。
其中����,內(nèi)部威脅情報源模塊�����,主要指機構(gòu)自身的安全監(jiān)測防護分析系統(tǒng)所形成的威脅情報��,包括來自安全檢測模塊的數(shù)據(jù)和安全分析模塊的數(shù)據(jù)�。安全檢測模塊,比如防火墻�����、入侵檢測系統(tǒng)����、漏洞掃描系統(tǒng)�����、防病毒系統(tǒng)和終端安全管理系統(tǒng)等�。企業(yè)內(nèi)部安全分析模塊,比如sime�、安全運營中心和安全管理平臺���;
其中,外部威脅情報源模塊��,主要指來自外部機構(gòu)的威脅情報源��,包括互聯(lián)網(wǎng)公開情報源����,合作交換情報源和商業(yè)共享情報源;
其中���,攻擊溯源分析模塊��,包括攻擊者溯源和攻擊主機溯源��。其中��,攻擊者溯源分析包括攻擊代碼分析�����、攻擊模式分析�、社會網(wǎng)絡(luò)分析等�����;攻擊主機溯源包括僵尸網(wǎng)絡(luò)、匿名網(wǎng)絡(luò)����、網(wǎng)絡(luò)跳板以及網(wǎng)絡(luò)隱蔽信道等。
內(nèi)部威脅情報源模塊具體包括:
防火墻:數(shù)據(jù)流通過防火墻時��,記錄數(shù)據(jù)流活動����。
入侵檢測系統(tǒng):實時監(jiān)控網(wǎng)絡(luò),對異常的網(wǎng)絡(luò)行為發(fā)出警報并記錄�����,記錄的信息是威脅情報的主要來源�;
漏洞掃描系統(tǒng):基于漏洞數(shù)據(jù)庫��,通過掃描對企業(yè)內(nèi)部計算機系統(tǒng)的安全脆弱性進行檢測����,找出可利用漏洞;
防病毒系統(tǒng):企業(yè)通過自身網(wǎng)絡(luò)內(nèi)部的反病毒產(chǎn)品檢測病毒����,將可疑數(shù)據(jù)信息隔離�,也是威脅情報的主要來源�;
終端安全管理系統(tǒng):對企業(yè)內(nèi)部所有網(wǎng)絡(luò)設(shè)備進行安全管理和風險管控,將各個安全部件反饋的信息加以分辨���,上傳至威脅情報分析系統(tǒng)���;
安全信息與事件管理siem:安全信息和時間管理,負責從企業(yè)安全控件�、主機操作系統(tǒng)、企業(yè)應(yīng)用和企業(yè)使用的其他軟件收集安全日志數(shù)據(jù)����,并進行分析和報告,同時將安全日志數(shù)據(jù)作為威脅情報分析系統(tǒng)的數(shù)據(jù)來源�;
安全運營中心:專門的安全事件管理工具,針對企業(yè)海量事件和漏洞信息進行收集過濾�、管理和分析,同樣也是威脅情報分析系統(tǒng)分的數(shù)據(jù)來源�����;
安全管理平臺:類似于安全運營中心����,但更多地是以企業(yè)資產(chǎn)為核心����,以安全事件處理為關(guān)鍵流程�,以安全風險管理為指導(dǎo)的一個面向信息資產(chǎn)的安全運行監(jiān)測、風險度量和安全運維的技術(shù)平臺�����,也作為威脅情報產(chǎn)生的來源��。
外部威脅情報源模塊���,涉及的情報來源初步包括:
互聯(lián)網(wǎng)公開情報源:即基于網(wǎng)絡(luò)互聯(lián)網(wǎng)的公開可獲取的相關(guān)威脅情報����,主要來自互聯(lián)網(wǎng)已公開的情報源��,及各種訂閱的安全信息��,漏洞信息��、等數(shù)據(jù)��。公開的信息包含了安全態(tài)勢信息�����、安全事件信息�、各種網(wǎng)絡(luò)安全預(yù)警信息、網(wǎng)絡(luò)監(jiān)控數(shù)據(jù)分析結(jié)果�����、ip地址信譽等,可通過網(wǎng)絡(luò)爬蟲進行采集�;
合作交換情報源:來自建立合作關(guān)系的機構(gòu),這往往通過在互利互惠基礎(chǔ)上實現(xiàn)的共享合作機制進行保障��,所獲得的情報有較為直觀的攻擊者的信息��,比如攻擊者的慣用攻擊方法手段和一些特征習慣���;
商業(yè)共享情報源:指完全通過商業(yè)付費行為得到的情報源�����,這往往來自專門的威脅情報供應(yīng)商�����。
攻擊溯源分析模塊����,主要包括:
攻擊者溯源:尋找實施攻擊的幕后黑客及其組織,主要通過結(jié)合威脅情報和攻擊事件信息進行基于大數(shù)據(jù)的挖掘分析�����,可以實現(xiàn)對攻擊者的刻畫��,對攻擊行為的關(guān)聯(lián)分析��,從未為揭示攻擊過程和確定攻擊者身份提供有效的信息���。
攻擊主機溯源:尋找和定位發(fā)起攻擊事件的主控機器����,主要是利用威脅情報進行關(guān)聯(lián)分析�����,以實現(xiàn)對采用隱匿技術(shù)機制的攻擊行為進行溯源分析��。
攻擊者溯源主要包括如下方法:
(1-1)攻擊代碼分析:通過分析攻擊代碼���,判斷攻擊種類����。
(1-2)攻擊模式分析:判斷攻擊是如何被執(zhí)行的���,判斷攻擊模式的類型�,是服務(wù)拒絕攻擊���,利用型攻擊��,信息收集型攻擊還是假消息攻擊���。
(1-3)社會網(wǎng)絡(luò)分析:指研究一組行動者的關(guān)系的研究方法,焦點是關(guān)系和關(guān)系的模式����,采用的方式和方法從概念上有別于傳統(tǒng)的統(tǒng)計分析和數(shù)據(jù)處理方法。在威脅情報分析系統(tǒng)中����,根據(jù)威脅情報,分析一組威脅情報之間的關(guān)系,對同類威脅情報或者攻擊尋找背后的攻擊者的真正身份�。
攻擊主機溯源主要包括如下方法:
(2-1)僵尸網(wǎng)絡(luò):指采用一種或多種傳播手段,將大量主機感染bot程序(僵尸程序)病毒��,從而在控制者和被感染主機之間所形成的一個可一對多控制的網(wǎng)絡(luò)����。系統(tǒng)需要判斷攻擊主機是否來源于僵尸網(wǎng)絡(luò)。
(2-2)網(wǎng)絡(luò)跳板:系統(tǒng)需要判斷攻擊主機是否是跳板主機�,是否是攻擊者利用該主機作為網(wǎng)絡(luò)跳板發(fā)起的攻擊。
(2-3)匿名網(wǎng)絡(luò):所謂匿名網(wǎng)絡(luò)�����,不僅僅是網(wǎng)絡(luò)中網(wǎng)絡(luò)用戶的匿名性����,也可能是攻擊者通過代理ip等手段,隱藏自己的ip����,使系統(tǒng)很難找到真正的攻擊主機。
(2-4)網(wǎng)絡(luò)隱蔽信道:隱蔽信道是信息隱藏技術(shù)的擴展����,它不像加密方法一樣將密文暴露給攻擊者�����,而是通過隱藏通信通道的方法來隱蔽地將信息從一段傳遞到另一端。因此��,系統(tǒng)判斷信息是否通過網(wǎng)絡(luò)隱蔽信道進行傳輸�����。
本發(fā)明不僅僅依賴互聯(lián)網(wǎng)公開數(shù)據(jù)�����,同時結(jié)合企業(yè)自身的安全日志信息以及合作企業(yè)的情報共享得到威脅情報�����,不僅可以獨立���、快速完成攻擊溯源分析�����,也可以為企業(yè)提供安全防護�����。此外����,該方法面向攻擊溯源,從源頭上分析攻擊者的攻擊手段���、攻擊目標�����,攻擊意圖�����,攻擊者身份�,即得到所謂的“黑客肖像”�,從而更好的確定攻擊者身份。同時系統(tǒng)運行使用資源少�,運行效率高,泛化性能好����。
以上顯示和描述了本發(fā)明的基本原理和主要特征和本發(fā)明的優(yōu)點���。本行業(yè)的技術(shù)人員應(yīng)該了解,本發(fā)明不受上述實施例的限制���,上述實施例和說明書中描述的只是說明本發(fā)明的原理�����,在不脫離本發(fā)明精神和范圍的前提下,本發(fā)明還會有各種變化和改進��,這些變化和改進都落入要求保護的本發(fā)明范圍內(nèi)����。本發(fā)明要求保護范圍由所附的權(quán)利要求書及其等效物界定。