本發(fā)明涉及網(wǎng)絡(luò)安全的，具體為一種基于動態(tài)載荷投遞的實時跨主機溯源圖構(gòu)建方法和系統(tǒng)。

背景技術(shù)：

1、溯源圖(provenance?graph)技術(shù)是一種用于攻擊溯源的基礎(chǔ)技術(shù)，它將孤立的告警信息關(guān)聯(lián)起來，將告警信息的行為主體(一般為進程、文件等)作為頂點，根據(jù)不同頂點間事件發(fā)生的因果關(guān)系將頂點連接起來形成邊(不同主體間發(fā)生的事件/行為)，從而構(gòu)建出反應(yīng)一次完整攻擊事件/行為的攻擊溯源圖。通過分析攻擊溯源圖可確認攻擊源或者攻擊者使用的中間介質(zhì)，以及確定攻擊路徑，從而進行更有效的針對性防御和反制手段。

2、目前的溯源圖構(gòu)建技術(shù)分為兩類：主機側(cè)溯源圖構(gòu)建、網(wǎng)絡(luò)側(cè)與終端側(cè)溯源圖構(gòu)建。

3、主機側(cè)溯源圖構(gòu)建挖掘進程、文件、文件名之間的因果依賴關(guān)系，例如進程間的創(chuàng)建，不同進程對同一個文件的讀寫操作，進程調(diào)用包含文件名的系統(tǒng)調(diào)用等行為構(gòu)建單一主機內(nèi)不同行為主體之間的溯源圖，上述方法僅分析單一主機內(nèi)行為主體的情報信息，例如進程、文件的創(chuàng)建、讀寫行為等，雖然會獲知攻擊者在此設(shè)備上的部分操作，但從攻擊溯源的角度講，防守方無法從此溯源圖獲知更多關(guān)于完整攻擊過程的信息，如果構(gòu)建溯源圖的主機在一次攻擊中充當跳板機的角色，則無法確定攻擊源頭/初始訪問點位置，也就無法修復(fù)此次攻擊行為的入口點。

4、網(wǎng)絡(luò)側(cè)與終端側(cè)溯源圖構(gòu)建則考慮了攻擊事件是發(fā)生在多個主機間的動態(tài)過程，這類溯源圖通過相關(guān)日志記錄來追蹤網(wǎng)絡(luò)數(shù)據(jù)包的發(fā)送與接收，建立發(fā)送方主機的socket進程與接收方主機socket進程之間的關(guān)聯(lián)性；在此基礎(chǔ)上，考慮各種性能優(yōu)化或數(shù)據(jù)包標記技術(shù)來降低網(wǎng)絡(luò)側(cè)與終端側(cè)關(guān)聯(lián)時產(chǎn)生的性能開銷；此類技術(shù)通常依賴于對網(wǎng)絡(luò)數(shù)據(jù)包的追蹤，關(guān)鍵的技術(shù)是將操作系統(tǒng)日志與網(wǎng)絡(luò)側(cè)日志相關(guān)聯(lián)，這樣可檢測到網(wǎng)絡(luò)側(cè)的入侵行為，例如從網(wǎng)絡(luò)下載并執(zhí)行的惡意軟件等行為可被此類溯源圖捕獲，同時，此方案在跨主機溯源時，還需要維護網(wǎng)絡(luò)中ip地址與主機列表，從而識別發(fā)起方與接收方；如果作為威脅方的網(wǎng)絡(luò)傳輸發(fā)起方不對來自另一端設(shè)備的socket連接進行響應(yīng)，則此類溯源圖依然無法獲知關(guān)于威脅方的細粒度信息，此類技術(shù)在跨主機的溯源圖構(gòu)建上依然有較大的局限性，跨主機溯源圖的目標是展示完整的攻擊過程，從而針對溯源圖上展示出的系統(tǒng)脆弱性進行修復(fù)；而現(xiàn)有的跨主機溯源圖構(gòu)建過程基于網(wǎng)絡(luò)側(cè)的依賴性分析，具有較高的誤報率和運行時開銷，無法實時對未知威脅進行狩獵。

技術(shù)實現(xiàn)思路

1、(一)解決的技術(shù)問題

2、針對現(xiàn)有技術(shù)的不足，本發(fā)明提供了一種基于動態(tài)載荷投遞的實時跨主機溯源圖構(gòu)建方法和系統(tǒng)，基于動態(tài)載荷投遞方式收集可疑設(shè)備上的系統(tǒng)軟硬件及網(wǎng)絡(luò)環(huán)境信息，用于構(gòu)造溯源圖，并根據(jù)溯源圖識別到的新的可疑目標，迭代載荷投遞和溯源分析過程，構(gòu)造包含完整攻擊過程的跨多臺主機的溯源圖。

3、(二)技術(shù)方案

4、為實現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：一種基于動態(tài)載荷投遞的實時跨主機溯源圖構(gòu)建系統(tǒng)，包括載荷庫、載荷投遞模塊、載荷、數(shù)據(jù)接收模塊、溯源圖構(gòu)建模塊和決策模塊；

5、載荷庫：用于根據(jù)決策模塊輸出的可疑設(shè)備的信息選擇適當載荷，將適當載荷傳遞給載荷投遞模塊；

6、載荷投遞模塊：用于接收來自載荷庫的適當載荷，向可疑設(shè)備投遞來自載荷庫的適當載荷；

7、載荷：用于收集可疑設(shè)備的可用于溯源圖構(gòu)建的信息；

8、數(shù)據(jù)接收模塊：用于接收來自載荷的可用于溯源圖構(gòu)建的信息，并傳輸給溯源圖構(gòu)建模塊；

9、溯源圖構(gòu)建模塊：用于處理載荷在可疑設(shè)備上收集的可用于溯源圖構(gòu)建的信息，生成跨主機溯源圖；

10、決策模塊：根據(jù)用戶設(shè)備的告警信息或者來自溯源圖構(gòu)建模塊的跨主機溯源圖，選擇尚未投遞適當載荷的可疑目標，記作待投遞設(shè)備，根據(jù)待投遞設(shè)備的信息，通知載荷庫準備適當載荷用于后續(xù)投遞過程，分析溯源圖構(gòu)建模塊輸出的跨主機溯源圖，挖掘新關(guān)聯(lián)的可疑目標。

11、進一步的，本發(fā)明改進有，所述載荷庫包含針對不同平臺、不同操作系統(tǒng)、不同文件類型的有效載荷。

12、進一步的，本發(fā)明改進有，所述向可疑設(shè)備投遞來自載荷庫的載荷的方式，包括：web服務(wù)、smb、rdp、afp、airdrop、nfs、sftp、ftp和webdav。

13、進一步的，本發(fā)明改進有，所述可用于溯源圖構(gòu)建的信息包括設(shè)備的硬件信息、操作系統(tǒng)、應(yīng)用程序信息、用戶名、用戶身份、應(yīng)用程序運行和安全日志。

14、進一步的，本發(fā)明改進有，所述處理載荷在可疑設(shè)備上收集的可用于溯源圖構(gòu)建的信息，生成跨主機溯源圖的方法，包括以下步驟：根據(jù)單主機內(nèi)各行為主體間的因果關(guān)系，挖掘進程、文件、文件名和網(wǎng)絡(luò)接口之間的依賴關(guān)系，根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的ip、設(shè)備信息與可疑設(shè)備的網(wǎng)絡(luò)環(huán)境、設(shè)備信息進行依賴性分析，關(guān)聯(lián)分析多主機之間存在的數(shù)據(jù)交換、遠程登錄和遠程代碼執(zhí)行行為，挖掘不同主機間各行為主體的依賴關(guān)系。

15、進一步的，本發(fā)明改進有，所述新關(guān)聯(lián)的可疑目標進行如下處理：如該可疑目標尚未投遞適當載荷，則通知載荷庫和載荷投遞模塊進行適當載荷投遞和可用于溯源圖構(gòu)建的信息收集；如跨主機溯源圖不存在新的可疑目標，則將該跨主機溯源圖輸出，完成攻擊溯源過程。

16、本發(fā)明的一種基于動態(tài)載荷投遞的實時跨主機溯源圖構(gòu)建方法，包括以下步驟：

17、接收用戶設(shè)備的告警信息，根據(jù)告警信息確定可疑設(shè)備；

18、提取可疑設(shè)備的信息，并確定適當載荷；

19、將確定好的適當載荷向可疑設(shè)備投遞適當載荷；

20、適當載荷在可疑設(shè)備上收集可用于溯源圖構(gòu)建的信息，收集到的可用于溯源圖構(gòu)建的信息用于進行跨主機溯源圖構(gòu)建；

21、根據(jù)用戶設(shè)備的告警信息或者跨主機溯源圖，選擇尚未投遞適當載荷的可疑設(shè)備，記作待投遞設(shè)備，根據(jù)待投遞設(shè)備的信息，準備適當載荷用于后續(xù)投遞過程；

22、分析跨主機溯源圖，挖掘新關(guān)聯(lián)的可疑目標。

23、進一步的，本發(fā)明改進有，所述挖掘新關(guān)聯(lián)的可疑目標后，如該可疑目標尚未投遞適當載荷，則進行確定適當載荷、投遞適當載荷以及跨主機溯源圖構(gòu)建；如跨主機溯源圖不存在新的可疑目標，則將該跨主機溯源圖輸出，完成攻擊溯源過程。

24、(三)有益效果

25、與現(xiàn)有技術(shù)相比，本發(fā)明提供了一種基于動態(tài)載荷投遞的實時跨主機溯源圖構(gòu)建方法和系統(tǒng)，具備以下有益效果：無需在待溯源設(shè)備上提前部署終端檢測程序，而是通過載荷投遞的方式收集可疑設(shè)備的各種信息，從而完成與可疑設(shè)備相關(guān)的溯源圖構(gòu)建，跨主機溯源圖構(gòu)建是分為多個階段進行的，通過對不同階段子溯源圖的分析，挖掘出新的可疑設(shè)備，迭代溯源圖構(gòu)建過程，自然建立不同主機間溯源圖的依賴關(guān)系，最終構(gòu)建包含完整攻擊過程的跨主機溯源圖，具有較強的實時性和跨主機依賴關(guān)系的正確性。

技術(shù)特征：

1.一種基于動態(tài)載荷投遞的實時跨主機溯源圖構(gòu)建系統(tǒng)，其特征在于，包括載荷庫、載荷投遞模塊、載荷、數(shù)據(jù)接收模塊、溯源圖構(gòu)建模塊和決策模塊；

2.根據(jù)權(quán)利要求1所述的一種基于動態(tài)載荷投遞的實時跨主機溯源圖構(gòu)建系統(tǒng)，其特征在于，所述載荷庫包含針對不同平臺、不同操作系統(tǒng)、不同文件類型的有效載荷。

3.根據(jù)權(quán)利要求1所述的一種基于動態(tài)載荷投遞的實時跨主機溯源圖構(gòu)建系統(tǒng)，其特征在于，所述向可疑設(shè)備投遞來自載荷庫的載荷的方式，包括：web服務(wù)、smb、rdp、afp、airdrop、nfs、sftp、ftp和webdav。

4.根據(jù)權(quán)利要求1所述的一種基于動態(tài)載荷投遞的實時跨主機溯源圖構(gòu)建系統(tǒng)，其特征在于，所述可用于溯源圖構(gòu)建的信息包括設(shè)備的硬件信息、操作系統(tǒng)、應(yīng)用程序信息、用戶名、用戶身份、應(yīng)用程序運行和安全日志。

5.根據(jù)權(quán)利要求1所述的一種基于動態(tài)載荷投遞的實時跨主機溯源圖構(gòu)建系統(tǒng)，其特征在于，所述處理載荷在可疑設(shè)備上收集的可用于溯源圖構(gòu)建的信息，生成跨主機溯源圖的方法，包括以下步驟：根據(jù)單主機內(nèi)各行為主體間的因果關(guān)系，挖掘進程、文件、文件名和網(wǎng)絡(luò)接口之間的依賴關(guān)系，根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包的ip、設(shè)備信息與可疑設(shè)備的網(wǎng)絡(luò)環(huán)境、設(shè)備信息進行依賴性分析，關(guān)聯(lián)分析多主機之間存在的數(shù)據(jù)交換、遠程登錄和遠程代碼執(zhí)行行為，挖掘不同主機間各行為主體的依賴關(guān)系。

6.根據(jù)權(quán)利要求1所述的一種基于動態(tài)載荷投遞的實時跨主機溯源圖構(gòu)建系統(tǒng)，其特征在于，所述新關(guān)聯(lián)的可疑目標進行如下處理：如該可疑目標尚未投遞適當載荷，則通知載荷庫和載荷投遞模塊進行適當載荷投遞和可用于溯源圖構(gòu)建的信息收集；如跨主機溯源圖不存在新的可疑目標，則將該跨主機溯源圖輸出。

7.一種基于動態(tài)載荷投遞的實時跨主機溯源圖構(gòu)建方法，其特征在于，包括以下步驟：

8.根據(jù)權(quán)利要求7所述的一種基于動態(tài)載荷投遞的實時跨主機溯源圖構(gòu)建方法，其特征在于，所述挖掘新關(guān)聯(lián)的可疑目標后，如該可疑目標尚未投遞適當載荷，則進行確定適當載荷、投遞適當載荷以及跨主機溯源圖構(gòu)建；如跨主機溯源圖不存在新的可疑目標，則將該跨主機溯源圖輸出，完成攻擊溯源過程。

技術(shù)總結(jié)
本發(fā)明涉及網(wǎng)絡(luò)安全的技術(shù)領(lǐng)域，具體為一種基于動態(tài)載荷投遞的實時跨主機溯源圖構(gòu)建方法和系統(tǒng)，基于動態(tài)載荷投遞方式收集可疑設(shè)備上的系統(tǒng)軟硬件及網(wǎng)絡(luò)環(huán)境信息，用于構(gòu)造溯源圖，并根據(jù)溯源圖識別到的新的可疑目標，迭代載荷投遞和溯源分析過程，構(gòu)造包含完整攻擊過程的跨多臺主機的溯源圖；包括載荷庫、載荷投遞模塊、載荷、數(shù)據(jù)接收模塊、溯源圖構(gòu)建模塊和決策模塊；載荷庫：用于根據(jù)決策模塊輸出的可疑設(shè)備的信息選擇適當載荷，將適當載荷傳遞給載荷投遞模塊；載荷投遞模塊：用于接收來自載荷庫的適當載荷，向可疑設(shè)備投遞來自載荷庫的適當載荷；載荷：用于收集可疑設(shè)備的可用于溯源圖構(gòu)建的信息。

技術(shù)研發(fā)人員：田志宏,楊佳庚,方濱興,劉園,魯輝,孫彥彬,蘇申,李默涵
受保護的技術(shù)使用者：廣州大學(xué)
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/26