网络攻击事件溯源处理方法、装置、设备和存储介质
技术领域
本申请涉及网络安全技术领域,特别是涉及一种网络攻击事件溯源处理方法、装置、设备和存储介质。
背景技术
随着网络技术的发展,出现了网络安全技术,网络安全技术用于维护计算机通信网络的安全,主要包括网络的硬件和软件的正常运行、以及数据信息交换的安全。在实际应用中,网络攻击行为的频发常常会对系统的网络安全造成隐患,对网络攻击事件进行溯源是打击网络攻击行为的一种常用且有效的手段。
目前针对网络攻击事件的溯源处理方法主要包括:对攻击者所使用的IP地址进行分析、对攻击者所使用的域名信息进行分析、通过攻击者在入侵到主机后的行为日志进行分析、通过全流量进行分析、通过恶意代码进行同源分析。
然而上述网络攻击事件的溯源处理方法,由于溯源分析的维度较为单一,无法准确地对网络攻击事件进行有效地追踪溯源。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高对网络攻击事件进行追踪溯源的精准度的网络攻击事件溯源处理方法、装置、设备和存储介质。
一种网络攻击事件溯源处理方法,所述方法包括:
获取待溯源的网络攻击事件相关的网络攻击线索;
基于所述网络攻击线索在构建的网络威胁关联模型中对应的威胁要素,以及所述网络威胁关联模型中威胁要素之间的关联关系,对所述网络攻击线索进行情报挖掘,得到所述网络攻击事件相关的威胁情报;
将所述网络攻击线索和所述威胁情报作为所述网络攻击事件对应的各攻击行为要素,构建包含各所述攻击行为要素之间的关联关系的溯源分析模型;
根据所述溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径,基于所述溯源路径对所述网络攻击事件进行溯源,得到所述网络攻击事件的追踪溯源结果。
一种网络攻击事件溯源处理装置,所述装置包括:
网络攻击线索获取模块,用于获取待溯源的网络攻击事件相关的网络攻击线索;
情报特征提取与分析模块,用于基于所述网络攻击线索在构建的网络威胁关联模型中对应的威胁要素,以及所述网络威胁关联模型中威胁要素之间的关联关系,对所述网络攻击线索进行情报挖掘,得到所述网络攻击事件相关的威胁情报;
溯源分析模型构建模块,用于将所述网络攻击线索和所述威胁情报作为所述网络攻击事件对应的各攻击行为要素,构建包含各所述攻击行为要素之间的关联关系的溯源分析模型;
追踪溯源模块,用于根据所述溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径,基于所述溯源路径对所述网络攻击事件进行溯源,得到所述网络攻击事件的追踪溯源结果。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取待溯源的网络攻击事件相关的网络攻击线索;
基于所述网络攻击线索在构建的网络威胁关联模型中对应的威胁要素,以及所述网络威胁关联模型中威胁要素之间的关联关系,对所述网络攻击线索进行情报挖掘,得到所述网络攻击事件相关的威胁情报;
将所述网络攻击线索和所述威胁情报作为所述网络攻击事件对应的各攻击行为要素,构建包含各所述攻击行为要素之间的关联关系的溯源分析模型;
根据所述溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径,基于所述溯源路径对所述网络攻击事件进行溯源,得到所述网络攻击事件的追踪溯源结果。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取待溯源的网络攻击事件相关的网络攻击线索;
基于所述网络攻击线索在构建的网络威胁关联模型中对应的威胁要素,以及所述网络威胁关联模型中威胁要素之间的关联关系,对所述网络攻击线索进行情报挖掘,得到所述网络攻击事件相关的威胁情报;
将所述网络攻击线索和所述威胁情报作为所述网络攻击事件对应的各攻击行为要素,构建包含各所述攻击行为要素之间的关联关系的溯源分析模型;
根据所述溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径,基于所述溯源路径对所述网络攻击事件进行溯源,得到所述网络攻击事件的追踪溯源结果。
上述网络攻击事件溯源处理方法、装置、设备和存储介质,在获取待溯源的网络攻击事件相关的网络攻击线索之后,基于网络攻击线索在构建的网络威胁关联模型中对应的威胁要素,以及网络威胁关联模型中威胁要素之间的关联关系,对网络攻击线索进行情报挖掘,这样可以从多个维度挖掘出与网络攻击事件相关的威胁情报,进而将网络攻击线索和威胁情报作为网络攻击事件对应的各攻击行为要素,构建包含各攻击行为要素之间的关联关系的溯源分析模型,根据溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径,从而基于溯源路径对网络攻击事件进行溯源,得到网络攻击事件的追踪溯源结果。采用上述方法基于网络攻击线索对网络攻击事件的进行溯源处理时,可以挖掘出与网络攻击线索相关的多个维度的溯源信息,通过对网络攻击线索和所挖掘的多个维度的溯源信息之间的关联关系进行综合分析,可以实现对网络攻击事件的精准的追踪溯源。
附图说明
图1为一个实施例中网络攻击事件溯源处理方法的应用环境图;
图2为一个实施例中网络攻击事件溯源处理方法的流程示意图;
图3为一个实施例中威胁情报数据的层次结构示意图;
图4为一个实施例中时间维度威胁情报数据示意图;
图5为一个实施例中空间维度威胁情报数据示意图;
图6为一个实施例中画像维度威胁情报数据示意图;
图7为一个实施例中威胁情报树的一个分支示意图;
图8为一个实施例中多维度的威胁情报树示意图;
图9为一个实施例中溯源分析模型对应的威胁情报树示意图;
图10为一个实施例中根据溯源分析模型追踪溯源步骤的流程示意图;
图11为一个实施例中溯源分析模型示意图;
图12为一个实施例中溯源追踪结果示意图;
图13另一个实施例中网络攻击事件溯源处理方法的流程示意图;
图14另一个应用场景中网络攻击事件溯源处理方法的流程示意图;
图15为一个实施例中网络攻击事件溯源处理装置的结构框图;
图16为另一个实施例中网络攻击事件溯源处理装置的结构框图;
图17为一个实施例中计算机设备的内部结构图;
图18为另一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的网络攻击事件溯源处理方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。本申请各实施例所提供的网络攻击事件溯源处理方法可通过终端102或服务器104单独执行,还可以通过终端102和服务器104共同协作执行。其中,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
需要说明的是,在一些具体的应用场景中,当服务器为云服务器时,本申请可应用于云计算平台,以为用户提供安全服务。那么在这种情况下,很显然,本申请会涉及到云安全技术。云安全(Cloud Security) 是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1. 云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2. 安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3. 云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
可以理解,在另一些具体的应用场景中,服务器还可以是物理服务器,通过物理服务器为用户提供网络防护安全功能。
在一个实施例中,如图2所示,提供了一种网络攻击事件溯源处理方法,以该方法应用于图1中的计算机设备(比如图1中的终端102或服务器104)为例进行说明,包括以下步骤:
S202,获取待溯源的网络攻击事件相关的网络攻击线索。
其中,网络攻击事件是由一系列相关的网络攻击行为所构成的事件,这一系列相关的网络攻击行为往往在战术上具有关联关系。比如某次网络攻击事件中就包括有不同阶段的网络攻击行为,如Initial Access(初始访问)阶段中的External Remote Services(外部远程访问)、Privilege Escalation(特权提升)阶段中的Accessibility Features(辅助功能)、以及Collect(数据采集)阶段中的Input Capture(输入获取)等网络攻击行为。这些不同阶段的网络攻击行为具有上下文关系,共同构成一次完整的网络攻击事件。也就是说,对于一次完整的网络攻击事件而言,其中发生有至少一种的网络攻击行为。可以理解,网络攻击行为是恶意的网络行为,会对系统带来安全隐患,是需要被识别和防范的。
网络攻击线索是与网络攻击事件相关、且可用于对网络攻击事件进行追踪溯源的信息,包括网络攻击事件所对应的与攻击源相关的数据和基于与攻击源相关的数据所提取的威胁情报信息,例如战术情报信息。与攻击源相关的数据包括恶意攻击者的攻击行为所产生的攻击行为数据和攻击源的基本信息。
在一个实施例中,网络设备在工作时,会产生网络通信相关数据,网络设备可依据存储的一定时间内所产生的网络通信相关数据以及安全人员在网络攻击事件中发现的一个或多个线索,并将网络通信相关数据传输至计算机设备以进行处理。计算机设备从网络设备工作时所产生的网络通信相关数据提取出与待溯源的网络攻击事件相关的网络攻击线索。
其中,网络设备可以是交换机、路由器或主机设备中的少一种,本申请实施例中的主机设备是网络攻击事件中的被攻击方。网络通信相关数据是网络设备在进行数据通信的过程中所产生的相关数据,包括通信数据和日志数据,通信数据可以是不同设备间的通信数据,也可以是同一设备内不同程序或进程间的通信数据等,本申请实施例对此不做限定。通信数据具体可包括通信过程中产生的网络流量数据,还可包括主机设备运行时产生的进程数据或线程数据等。其中,网络流量数据具体可以是通过交换机转发的数据包。进程数据包括进程名、以及进程执行后得到的进程结果等。线程数据包括线程名、以及线程执行后得到的线程结果等。日志数据是对主机设备的运行状态进行记录的数据,包括硬件状态日志和应用系统日志。硬件状态日志包括主机设备的CPU(central processing unit,中央处理器)或内存使用状态等;应用系统日志包括操作系统、以及应用程序在运行时所产生的日志数据等。
在一个实施例中,计算机设备从网络设备工作时所产生的网络通信相关数据中提取出与待溯源的网络攻击事件相关的网络攻击线索包括但不限于:计算机设备在接收到网络设备工作时所产生的网络通信相关数据之后,基于预设的攻击指标对网络通信相关数据进行攻击检测;确定与网络攻击事件相关的攻击方,并根据网络通信相关数据中与攻击方相关的数据确定待溯源的网络攻击事件的网络攻击线索。例如,网络通信相关数据中与攻击方相关的数据为攻击链过程中各设备的相关日志、安全人员对网络攻击事件的描述时,则根据网络事件相关数据中与攻击方相关的数据可确定待溯源的网络攻击事件的网络攻击线索。
其中,攻击指标是预设的用于检测是否发生网络攻击事件的指标,具体可以是失陷检测指标(IOC,Indicator Of Compromise),包括恶意的文件HASH、IP地址、域名等,例如计算机设备对日志数据进行IOC检测,当发现恶意的文件HASH、IP地址、域名中的一个或多个指标时,告警(即确定)发生了网络攻击事件。另外,攻击检测的威胁因素(也称为攻击指标)还可根据实际的业务需求进行动态调整。例如,攻击指标置为流量指标,当预设时间内网络流量数据超过流量指标所设置的阈值时或命中了网络流量中恶意攻击的特征,感知出发生了网络攻击事件;攻击指标设置为恶意行为关键词,计算机设备对日志数据进行设备操作的行为检测,当检测出关键词时,确定发生了网络攻击事件。
在一个实施例中,计算机设备基于预设的安全攻击特征对网络通信相关数据进行攻击检测和态势感知,检测出与网络攻击事件相关的攻击源之后,从网络通信相关数据提取出与攻击源相关的数据,并直接将该与攻击源相关的数据确定为待溯源的网络攻击事件的网络攻击线索。
在一个实施例中,计算机设备基于预设的攻击指标对网络通信相关数据进行攻击检测,确定出与网络攻击事件相关的攻击源之后,通过已建立的威胁情报知识库和开源威胁情报对与攻击源相关的数据进行战术情报分析,得到待溯源的网络攻击事件相关的战术情报信息,并将战术情报信息确定为待溯源的网络攻击事件的网络攻击线索。其中,威胁情报知识库可根据日常积累构建。
例如,计算机设备所获取的与攻击源相关的数据为攻击源的攻击行为数据,通过威胁情报知识对攻击行为数据进行战术情报分析,从而得到TTP情报,并将TTP情报确定为待溯源的网络攻击事件的攻击线索。TTP(战术Tactics、技术Techniques和过程Procedures)是描述高级威胁组织及其攻击的重要指标。战术(Tactics)是指威胁行为者试图完成的行为的高层次描述;技术(Techniques)是对导致战术的行为或行动的详细描述;过程(Procedures)是关于威胁执行者如何利用该技术实现其目标的技术细节或指示。
S204,基于网络攻击线索在构建的网络威胁关联模型中对应的威胁要素,以及网络威胁关联模型中威胁要素之间的关联关系,对网络攻击线索进行情报挖掘,得到网络攻击事件相关的威胁情报。
其中,网络威胁关联模型是基于已知的威胁情报所预先构建的关联关系模型,包含了各威胁要素之间的关联关系,用于构建网络威胁关联模型的已知的威胁情报知识库是基于历史的网络攻击事件所积累的情报,以及基于一定态势感知系统对恶意家族团伙的变种的预测、以及开源情报中的威胁情报等。威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议,其描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。
具体地,已知的威胁情报可以来源于开源情报所公布的威胁情报数据,例如安全厂商的情报数据公布网站或各类安全论坛、安全资讯网站、病毒分析论坛等类型的网站。威胁情报数据涵盖了特征库、黑/白名单、攻击源、危害程度、入侵意图、恶意团伙使用的工具、恶意软件、攻击模式、漏洞信息、攻击事件、攻击组织以及TTP类威胁情报等信息数据。根据安全界对威胁情报数据的认知,威胁情报数据的层次结构如图3所示,图3中,按照由底部至顶部的顺序,威胁情报数据的获取难度逐渐递增、威胁情报数据的稳定性逐渐增强、威胁情报数据所携带的信息量逐渐增大。
威胁要素是基于威胁情报数据所确定与网络攻击事件相关的要素,刻画网络攻击的实体,例如特征库中的攻击特征,黑/白名单中的病毒样本、恶意域名、恶意域名whois信息、恶意IP地址、恶意URL信息等均为威胁要素。
在一个实施例中,计算机设备在获取到待溯源的网络攻击事件相关的攻击线索之后,获取预先构建的网络威胁关联模型,确定该网络攻击线索在网络威胁关联模型中所对应的威胁要素,并基于该威胁要素在网络威胁关联模型中与其他威胁要素之间的关联关系进行情报挖掘,得到与待溯源的网络攻击事件相关的威胁情报(也可称为溯源信息)。
在一个实施例中,计算机设备在确定该网络攻击线索在网络威胁关联模型中所对应的威胁要素之后,以该威胁要素为威胁情报数据挖掘的起点,沿着该威胁要素与其他威胁要素之间的关联路径,逐层进行情报五绝,例如深度遍历或广度遍历等多种关联途径进行威胁情报挖掘,得到与待溯源的网络攻击事件相关的威胁情报(即溯源信息)。例如,基于海量安全信息进行启发式关联拓线分析(即情报挖掘),根据已有攻击线索例如IOC或者TTP或受害者等拓线分析出更多威胁情报信息之后,还可以建立溯源分析模型,从而寻找攻击的根源(参考S206至S208)。通过基于威胁情报的对恶意网络攻击进行溯源分析,找到发动恶意攻击的团伙,确定其攻击意图,回溯攻击路径图,制定有针对性的防御策略。
在一个实施例中,计算机设备确定该网络攻击线索在网络威胁关联模型中所对应的威胁要素之后,基于该威胁要素构建威胁情报知识图谱,具体可以以构建威胁情报树的形式来构建威胁情报知识图谱,并根据威胁情报知识图谱确定网络攻击事件相关的威胁实体。其中威胁情报知识图谱所对应的威胁情报树的根节点对应于网络攻击线索所对应的威胁要素。
S206,将网络攻击线索和威胁情报作为网络攻击事件对应的各攻击行为要素,构建包含各攻击行为要素之间的关联关系的溯源分析模型。
其中,攻击行为要素为与待溯源的网络攻击事件相关的要素,具体可以将网络攻击线索和基于网络攻击线索所挖掘的威胁情报作为攻击行为要素,即刻画网络攻击中的实体。溯源分析模型用于对网络攻击事件进行最终溯源,具体包含了待溯源的网络攻击事件的各攻击行为要素之间的关联关系,可以表征网络攻击事件的攻击路径图、攻击的目的以及攻击趋势,以及对攻击源所属恶意团伙的持续追踪等。
在一个实施例中,计算机设备在基于构建的网络威胁关联模型(也可称为拓线分析模型)和基于网络攻击线索挖掘出待溯源的网络攻击事件的威胁情报后,将该网络攻击线索与威胁情报作为该网络攻击事件的攻击行为要素,并基于构建的网络威胁关联模型中各攻击行为要素之间的关联关系,建立包含各攻击行为要素之间的关联关系的溯源分析模型。
S208,根据溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径,基于溯源路径对网络攻击事件进行溯源,得到网络攻击事件的追踪溯源结果。
其中,目标攻击行为要素为溯源分析模型中满足溯源可用性条件的攻击行为要素,也可称为有效攻击行为要素,溯源可用性条件具体可以根据实际的业务需求进行动态设置。
在实际的应用场景中,基于网络攻击线索所拓线分析出的溯源结果中可能会存在一些噪音,噪音是对溯源追踪无作用但会影响追踪溯源效率的数据,可以理解,基于网络攻击线索和威胁情报所构建的溯源分析模型中可能存在噪音攻击行为要素。因此,在基于溯源分析模型确定网络攻击事件的追踪溯源结果时,是根据溯源分析模型中有效攻击行为要素之间的关联关系和安全人员最终关注的溯源方面,确定网络攻击事件的追踪溯源结果,目标攻击行为要素即溯源分析模型中的非噪音攻击行为要素。
在一个实施例中,计算机设备在得到溯源分析模型之后,针对溯源分析模型中的各攻击行为要素,确定其是否满足溯源可用性条件,将满足溯源可用性条件的攻击行为要素确定为有效攻击行为要素,将不满足溯源可用性条件的攻击行为要素确定为噪音攻击行为要素,对启发式关联搜索的攻击实体或噪音要素之间进行收敛情报,同时,去除关联分析中带来的噪音数据。并基于有效攻击行为要素之间的关联关系确定网络攻击事件的追踪溯源结果。
在一个实施例中,当网络攻击线索至少有两条时,针对溯源分析模型中的网络攻击线索所对应的攻击行为要素之外的其它各攻击行为要素,分别确定其是否同时与所有的网络攻击线索所对应的攻击行为要素具有关联关系,将同时与所有的网络攻击线索所对应的攻击行为要素具有关联关系的攻击行为要素确定为有效攻击行为要素,将未同时与所有的网络攻击线索所对应的攻击行为要素具有关联关系的攻击行为要素确定为噪音,并基于目标攻击行为要素之间的关联关系确定溯源路径,基于溯源路径对网络攻击事件进行溯源,得到网络攻击事件的追踪溯源结果。
上述实施例中,计算机设备在获取待溯源的网络攻击事件相关的网络攻击线索之后,基于网络攻击线索在构建的网络威胁关联模型中对应的威胁要素,以及网络威胁关联模型中威胁要素之间的关联关系,对网络攻击线索进行情报挖掘,这样可以从多个维度分析出与网络攻击事件相关的威胁情报,进而将网络攻击线索和威胁情报作为网络攻击事件对应的各攻击行为要素,构建包含各攻击行为要素之间的关联关系的溯源分析模型,根据溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径,从而基于溯源路径对网络攻击事件进行溯源,得到网络攻击事件的追踪溯源结果。从而基于网络攻击线索可以挖掘出与网络攻击线索相关的多个维度的溯源信息,通过对网络攻击线索和所挖掘的溯源信息之间的关联关系进行综合分析,从而挖掘出网络攻击事件背后根源,实现对网络攻击事件的精准的追踪溯源。
在一个实施例中,在对网络攻击事件进行溯源处理之前,基于积累的已有威胁情报知识库和开源威胁情报获取威胁情报数据,对所获取威胁情报数据从时间维度、空间维度和画像维度进行综合分析,确定威胁情报数据中威胁要素之间的关联关系,根据威胁情报数据中威胁要素之间的关联关系构建网络威胁关联模型。以威胁知识库和开源情报为基石,利用大数据、人工智能等算法智能化建立关联分析模型,由点及线、由点及面,拓宽攻击线索的边界,挖掘已知线索相关联的大量新线索并收敛,挖掘网络攻击链路图,追踪恶意攻击源头和团伙。
其中,时间维度、空间维度和画像维度为进行溯源分析的主要分析维度,溯源的分析维度可以基于业务需求灵活构建。本申请的实施例中,将TTP情报、日志数据等可以体现出攻击行为在时间上关联的威胁要素划分到时间维度(参考图4),将IOC类情报、恶意样本、攻击武器、证书等划分到空间维度(参考图5),将恶意团伙的基础信息、受害者信息、恶意团伙虚拟身份关联信息、历史安全事件等划分到画像维度(参考图6)。相应地,对已建立的威胁情报数据从时间维度、空间维度和画像维度进行综合分析所得到的网络威胁关联模型中威胁要素包括时间威胁要素、空间威胁要素和画像威胁要素。
具体地,画像维度主要用于对网络攻击事件的攻击团伙进行描述,攻击组织的画像主要包括攻击组织的基础信息、受害者信息、攻击组织虚拟身份、历史安全事件。其中,攻击组织的基础信息包括团伙的名称、别名、常用语言、简介、身份和角色,身份可以是黑客、恐怖分子、黑灰产团伙,角色可以是恶意软件作者、赞助者、传播者、漏洞利用、漏洞挖掘、架构师;受害者信息包括受害者的语言、受害者的地理位置、受害者所属行业、受害资产属性,受害资产属性可以是服务器、办公设备、开发机器、路由器等一类或几类;恶意团伙虚拟身份关联信息是在互联网中所发现的邮件、幕后组织中人员的昵称、常用字符串等是否在Facebook、GitHub、Twitter等各类平台是否有关联情报。等虚拟身份信息;历史安全事件包括曾经发生的安全事件的背景、攻击意图、攻击路径的同源性、所使用的攻击源式,攻击源式包括利用漏洞、利用工具、利用木马或后门等。这里漏洞、工具、木马是画像描述特征相似,细节特征在空间维度的武器中做详细分析。
在实际的应用场景中,针对一个或多个分析维度的网络攻击线索,在利用上述实施例中构建的网络威胁关联模型进行情报挖掘时,可基于网络攻击线索得到属于不同分析维度的威胁情报。
示例1,对于属于时间维度的日志数据的网络攻击线索,其通常记录了攻击者在受害设备上的攻击行为,网络攻击一般是线性的,通常有上下文信息和攻击战略模型,这个维度主要是从TTPS情报进行分析。由于属于同一攻击团伙的攻击者在受害设备上的一系列攻击行为和各个攻击行为之间的先后顺序较相似,因此基于日志数据以及基于构建的网络威胁关联模型挖掘到与该日志数据中所记录的攻击行为和攻击时间具有关联性的相似攻击源,从而再挖掘到该相似攻击源所关联的攻击组织。比如,某个定向网络攻击事件的记录了攻击源先利用白文件对恶意PE文件加载,然后操作cmd命令,接着查看netstat-ano查看网络状态,最后加载配置文件,基于该日志数据中所记录的攻击行为特征相似性和各个攻击行为之间的先后顺序挖掘到具有相似攻击行为和攻击时间顺序的某越南攻击组织。
类似的,还可以基于攻击源登录设备时间、连接服务器时间、构建武器时间以及连接C2(Command and Control,命令与控制)时间等作息规律基于网络威胁关联模型挖掘到具有相近的作息规律的相似攻击源,从而再挖掘到该相似攻击源所关联的攻击团伙,其中作息规律反应了攻击组织所在的地理区域。
因为ATT&CK模型统一了恶意网络攻击行为标记和描述,也得到了安全人员的认可,所以本申请的TTP的攻击技术过程用ATT&CK模型。ATT&CK模型的战术阐述了对应战术如何用战术特征进行刻画即战术细化为的具体网络攻击行为特征。对网络攻击家族常用的战术、技术和过程基于ATT&CK模型建立对应的TTPS规则列表,根据攻击行为整理成对应编号,构建恶意家族的攻击技术感知规则库。
示例2,对于属于空间维度的IOC类情报网络攻击线索,如IP地址、域名、URL、除了包含基础信息例如IP地址的运营商、IP开放的端口、ASN、域名的注册信息等,还包括域名的注册信息、域名的相似性等、URL是否为恶意URL、URL的详细信息、URL的相似还包括IP地址、域名、URL、MD5之间的关联关系。恶意网络攻击者也符合人的思维惯性,在进行域名创建或选择时有一定偏好,相同的团伙或组织域名或URL存在一定的相似性。这些基础设施也存在一定的短期不变,所以恶意团伙进行攻击时时间相近的事件所利用基础设施有一个或多个IOC相同或相似。因此基于IOC类情报网络攻击线索基于网络威胁关联模型挖掘到相似的其他IOC类情报信息,并基于所挖掘的IOC类情报信息溯源分析攻击源,从而再挖掘到该相似攻击源所关联的攻击团伙。其中,IP地址、域名、URL、MD5之间的关联关系可以是IP反查的域名、IP下载的样本MD5、域名连接MD5、域名包含的URL、MD5包含的域名、MD5包含URL等。
类似的,对于属于空间维度的恶意样本类安全事件的线索,如文件名、样本PDB路径、样本上传路径等,基于网络威胁关联模型溯源分析此次安全事件所属的恶意团伙。具体可以是基于网络威胁关联模型挖掘到与其相似的样本类威胁情报信息,并基于所挖掘的恶意样本类威胁情报信息挖掘到相似攻击方,从而再挖掘到该相似攻击方所关联的攻击组织,其中基于网络威胁关联模型挖掘到与其相似的恶意样本类威胁情报信息时可以利用传统的静态特征、动态特征进行分析,静态特征包括混淆、花指令、函数命名、加密等,动态特征包含漏洞利用、虚拟检测行为、沙箱检测行为等。还有构建样本与样本之间的同源性、父子关系的图谱。
类似的,对于属于空间维度的攻击武器类网络攻击线索,如漏洞、工具、木马、病毒等,构建特征从而建立网络威胁关联模型,基于网络威胁关联模型掉网络攻击线索进行启发式关联拓线分析(即情报挖掘),从而挖掘出网络攻击事件的恶意团伙的根源和网络攻击链路图,追踪恶意攻击源头和团伙,进行追踪溯源。
上述实施例中,计算机设备从开源情报中获取威胁情报数据,从时间维度、空间维度和画像维度对所获取的威胁情报数据进行综合分析,确定威胁情报数据中威胁要素之间的关联关系,根据威胁情报数据中威胁要素之间的关联关系构建网络威胁关联模型,从而在对网络攻击事件进行溯源时,可以基于较少的网络攻击线索基于该网络威胁关联模型从多个维度挖掘出较多的威胁情报,实现由点及线、由点及面,拓宽攻击线索的边界,进而利用网络攻击线索和所挖掘的多个维度威胁情报实现对网络攻击事件的精准的追踪溯源。
在一个实施例中,计算机设备基于网络攻击线索在构建的网络威胁关联模型中对应的威胁要素,以及网络威胁关联模型中威胁要素之间的关联关系,对网络攻击线索进行情报挖掘,得到网络攻击事件相关的威胁情报,包括:基于网络攻击线索在网络威胁关联模型中对应的威胁要素,构建情报挖掘的根节点,基于网络威胁关联模型中与根节点对应的威胁要素具有关联关系的威胁要素,构建情报挖掘的子孙节点,获得威胁情报树,将威胁情报树中作为子孙节点的威胁要素确定为网络攻击事件相关的威胁情报。
具体地,计算机设备基于网络攻击线索在网络威胁关联模型中对应的威胁要素,构建情报挖掘的根节点之后,从根节点开始,逐层基于当前层中的节点在网络威胁关联模型中对应的威胁要素,在网络威胁关联模型中查找与其直接关联的威胁要素,并基于查找到的威胁要素构建当前层中节点的子节点。
以构建威胁情报树的一个分支为例进行说明,如图7所示,计算机设备获取的待溯源的网络攻击事件相关的网络攻击线索为域名“XXX.com”,确定该网络攻击线索在构建的网络威胁关联模型中对应的威胁要素为恶意域名“XXX.com”,以该恶意域名“XXX.com”为情报挖掘的根节点,在网络威胁关联模型中查找与该恶意域名“XXX.com”具有直接关联关系的威胁要素恶意IP“xx.xx.xx.xx”, 则基于恶意IP“xx.xx.xx.xx”构建根节点的子节点,然后在网络威胁关联模型中查找与恶意IP“xx.xx.xx.xx”具有直接关联关系的威胁要素病毒家族“MM”,则基于病毒家族“MM” 构建恶意IP“xx.xx.xx.xx”对应节点的子节点。其中恶意IP“xx.xx.xx.xx”和病毒家族“MM”统称为根节点的子孙节点,得到威胁情报树的一个分支。
上述实施例中,计算机设备基于网络攻击线索和网络威胁关联模型中威胁要素间的关联关系,构建威胁情报树,从而基于威胁情报树获得网络攻击事件相关的威胁情报,进而基于网络攻击线索和所挖掘的威胁情报实现对网络攻击事件的精准的追踪溯源。
在一个实施例中,网络威胁关联模型中的威胁要素包括时间威胁要素、空间威胁要素和画像威胁要素,时间威胁要素属于时间维度、空间威胁要素属于空间维度、画像威胁要素属于画像维度。计算机设备在确定该网络攻击线索在网络威胁关联模型中所对应的威胁要素之后,从根节点开始,逐层基于当前层中的节点在网络威胁关联模型中对应的威胁要素,按照时间维度、空间维度和画像维度,在网络威胁关联模型中查找所关联的威胁要素,并基于查找到的威胁要素构建当前层中的节点的子节点,直至构建得到威胁情报树。
以查找根节点的子节点为例进行说明,如图8所示,计算机设备获取的待溯源的网络攻击事件相关的网络攻击线索为域名“XXX.com”,确定该网络攻击线索在构建的网络威胁关联模型中对应的威胁要素为恶意域名“XXX.com”,以该恶意域名“XXX.com”为情报挖掘的根节点,按照时间维度、空间维度和画像维度,在网络威胁关联模型中查找与恶意域名“XXX.com”具有直接关联关系的威胁要素,其中,在时间维度未查找与恶意域名“XXX.com”具有直接关联关系的时间威胁要素;在空间维度查找到与恶意域名“XXX.com”具有直接关联关系的空间威胁要素有恶意域名“XXX.com”所包含的IP、恶意域名“XXX.com”所包含的URL、恶意域名“XXX.com”所包含的子域名、恶意域名“XXX.com”下载的样本、访问恶意域名“XXX.com”的样本;在画像维度查找到与恶意域名“XXX.com”具有直接关联关系的画像要素有恶意域名“XXX.com”所属的病毒家族,则基于所查找到的空间威胁要素和画像威胁要素构建根节点的子节点。
上述实施例中,计算机设备基于网络攻击线索和网络威胁关联模型中不同维度的威胁要素间的关联关系,构建综合了多个维度威胁要素的威胁情报树,从而基于所构建威胁情报树获得网络攻击事件相关的多个维度的威胁情报,进而基于网络攻击线索和所挖掘的多个维度的威胁情报实现对网络攻击事件的精准的追踪溯源。
在一个实施例中,计算机设备在基于威胁情报树得到威胁情报并构建出溯源分析模型之后,确定与网络攻击线索的价值度匹配的挖掘层级上限,按照挖掘层级上限对溯源分析模型的攻击行为要素进行收敛操作,得到收敛后的溯源分析模型,收敛后的溯源分析模型中的攻击行为要素在威胁情报树中对应的节点层级不大于挖掘层级上限,根据收敛后的溯源分析模型中目标攻击行为要素之间的关联关系,确定网络攻击事件的追踪溯源结果。
其中,网络攻击线索的价值度表征网络攻击事件溯源处理时网络攻击线索所起到的作用的大小。网络攻击线索的价值度越高,在追踪溯源时所需要挖掘的有效的威胁情报越少,网络攻击线索的价值度越低,在追踪溯源时所需要挖掘的有效的威胁情报越多,需要挖掘的有效的威胁情报的数量与所构建的威胁情报树的节点层级相关,可以理解的是,威胁情报树的节点层级越多,所挖掘的有效的威胁情报的数量也越多。挖掘层级上限用于对基于威胁情报树所构建的溯源分析模型进行收敛操作,挖掘层级上限的值与价值度匹配,价值度越高所对应的挖掘层级上限的值也越大。收敛操作是对溯源分析模型中的部分攻击行为要素进行去除的操作,所去除的攻击行为要素在威胁情报树中对应的节点层级大于挖掘层级上限。
具体地,威胁情报树中除了网络攻击线索所对应的根节点之外,还包含威胁情报所对应的多层子孙节点,其中与根节点对应的网络攻击线索直接关联的威胁情报对应一级子节点、与一级子节点对应的威胁情报直接关联的威胁情报对应二级子节点……以此类推,计算机设备基于该威胁情报树得到威胁情报并构建出溯源分析模型之后,获取该威胁情报树的根节点所对应的网络攻击线索的价值度,基于该价值度获取匹配的挖掘层级上限N,并将在威胁情报树中对应的节点层级大于挖掘层级上限N的溯源分析模型中攻击行为要素去除,得到收敛后的溯源分析模型,并根据收敛后的溯源分析模型中目标攻击行为要素之间的关联关系,确定网络攻击事件的追踪溯源结果。
上述实施例中,计算机设备按照与网络攻击线索的价值度匹配的挖掘层级上限对溯源分析模型的攻击行为要素进行收敛操作,可以得到数据量较少又能满足溯源需求的收敛后的溯源分析模型,从而减少了根据收敛后的溯源分析模型进行溯源的计算量,在保证对网络攻击事件的精准的追踪溯源的情况下,还提高了对网络攻击事件的追踪溯源的效率,有利于迅速地对网络攻击事件进行反制。
在一个实施例中,计算机设备基于溯源分析模型中攻击行为要素所属的分析维度,确定攻击行为要素是否满足溯源可用性条件,根据溯源分析模型中满足溯源可用性条件的目标攻击行为要素之间的关联关系确定溯源路径,基于溯源路径对网络攻击事件进行溯源,得到网络攻击事件的追踪溯源结果。
具体地,针对溯源分析模型中的各个攻击行为要素,确定其所关联的、对应于威胁情报树的叶子节点的攻击行为要素是否属于画像维度,若是,则确定该攻击行为要素为目标攻击行为要素,若否,则确定该攻击行为要素为噪音攻击行为要素,在确定出目标攻击行为要素之后,基于目标攻击行为要素之间的关联关系确定网络攻击事件的追踪溯源结果。
例如,图9示出了一个实施例中溯源分析模型中各个攻击行为要素对应的威胁情报树的结构,图中攻击行为要素恶意IP “xx.xx.xx.96”和恶意URL“XX”不属于画像维度、对应于威胁情报树的叶子节点,因此确定攻击行为要素恶意IP “xx.xx.xx.96”和恶意URL“XX”为噪音攻击行为要素;图中攻击行为要素恶意IP “xx.xx.xx.xx”与其所关联的叶子节点对应的威胁要素病毒家族“MM”属于画像维度,因此确定攻击行为要素恶意“xx.xx.xx.xx”为目标攻击行为要素;威胁要素病毒家族“MM”属于画像维度、对应于威胁情报树的叶子节点,因此确定攻击行为要素病毒家族“MM”为目标攻击行为要素。
上述实施例中,计算机设备通过基于溯源分析模型中攻击行为要素所属的分析维度,确定目标攻击行为要素,从而根据目标攻击行为要素之间的关联关系确定溯源路径,基于溯源路径对网络攻击事件进行溯源,得到网络攻击事件的追踪溯源结果,实现了对网络攻击事件精准的追踪溯源。
在一个实施例中,如图10所示,S208具体包括以下步骤:
S1002,根据溯源分析模型中目标攻击行为要素之间的关联关系,确定出至少一条候选溯源路径。
具体地,目标攻击行为要素对应于目标攻击实体,溯源分析模型中以网络攻击线索所对应的目标攻击行为要素为溯源起点,以溯源分析模型中对应威胁情报树的最大节点层级的溯源目的要素为溯源终点,基于溯源分析模型中溯源目的要求要素之间的关联关系,确定溯源起点至溯源终点的至少一条候选溯源路径。
S1004,根据各候选溯源路径对应的目标攻击行为要素所属的分析维度和目标攻击行为要素在威胁情报树中对应的节点层级,计算各候选溯源路径对应的溯源可信度。
其中,目标攻击行为要素也可称为溯源目的要素。
具体地,溯源路径上的目标攻击行为要素分别对应有维度属性值和层级属性值,针对任意一条溯源路径,基于该溯源路径上的各目标攻击行为要素所对应的维度属性值和层级属性值计算该溯源路径的溯源可信度。
在一个实施例中,针对任意一条候选溯源路径,计算机设备获取该条候选溯源路径对应的目标攻击行为要素所对应的维度属性值和层级属性值,并采用溯源可信度计算公式计算该候选溯源路径对应的溯源可信度,所采用溯源可信度计算公式如下:
其中,
图11示出了一个实施例中溯源分析模型的示意图,O为网络攻击线索对应的目标攻击行为要素(即溯源起点),Q1和Q2为溯源路径1上的两个目标攻击行为要素,P1、P2和P3为溯源路径2上的三个目标攻击行为要素,括号内文字描述的是对应的目标攻击行为要素所属的分析维度,溯源路径上所标的数字3、2、5表示对应的目标攻击行为要素的维度属性值,图中虚线标识出了各目标攻击行为要素对应的节点层级,设置目标攻击行为要素的节点属性值与节点层级相同,则基于上述溯源可信度计算公式,可分别计算出候选溯源路径1的溯源可信度为4,候选溯源路径2的溯源可信度为10/3。
S1006,根据溯源可信度从候选溯源路径中筛选出溯源路径。
具体地,计算机设备在计算出各候选溯源路径的溯源可信度之后,按照溯源可信度由大到小对应各候选溯源路径进行排序,并从各候选溯源路径中选择大于预设排名的溯源路径。例如,候选溯源路径有5条,则选择溯源可信度排名前三位的溯源路径,或者选择排名第一位的溯源路径。
S1008,基于溯源路径所对应的目标攻击行为要素,确定网络攻击事件的追踪溯源结果。
在一个实施例中,计算机设备在筛选出溯源路径之后,若溯源路径所对应的溯源目的中存在属于已建立维度的实体,可以直接根据该属于实体的团伙,确定网络攻击事件的追踪溯源结果。例如,目标分析要素中存在属于画像维度的目标分析要素,直接根据该属于画像维度的目标分析要素,确定网络攻击事件的追踪溯源结果。
本申请提供一种应用场景,该应用场景应用上述的网络攻击事件溯源处理方法,计算机设备获取的待溯源的网络攻击事件相关的网络攻击线索为域名“XXX.com”,基于该域名“XXX.com”通过构建的网络威胁关联模型中威胁要素之间的关联关系,进行情报挖掘,并得到溯源分析模型,根据溯源分析模型所确定的溯源路径上的目标攻击行为要素为包括:恶意域名“XXX.com”、恶意IP“xx.xx.xx.xx”、病毒家族“MM”,其中目标攻击行为要素病毒家族“MM”属于画像维度,则基于目标攻击行为要素病毒家族“MM”确定该网络攻击事件的追踪溯源结果。如图12所示,该溯源追踪结果中展示了攻击组织的信息。
在一个实施例中,若溯源路径所对应的目的需求中不存在属于已建立维度的溯源目的需求,例如,溯源路径所对应的目标分析要素中不存在属于画像维度的目标分析要素,还可以根据溯源路径所对应的溯源目的需求构建攻击特征序列,并通过预训练的溯源分类器对该攻击特征序列进行分类预测,从而得到网络攻击事件的溯源分析结果。
本申请提供一种应用场景,该应用场景应用上述的网络攻击事件溯源处理方法。具体地,该网络攻击事件溯源处理方法在该应用场景的应用如下:
网络攻击事件是由一系列相关的攻击行为所构成的事件,这一系列相关的攻击行为往往在战术上具有先后关系。当攻击者发起一次网络攻击事件时,可采取不同阶段的战术中的具体的某个技术来实现。那么相应的,对一次网络攻击事件中的多种网络攻击行为所产生的攻击行为数据,通过ATT&CK模型对攻击行为数据进行战术情报分析后可以得到TTP情报,并将TTP情报确定为待溯源的网络攻击事件的情报线索。
以获取的TTP情报为网络攻击线索,网络威胁关联模型为ATT&CK(AdversarialTactics, Techniques, and Common Knowledge)模型为例进行说明,ATT&CK模型,是一个反映各个攻击生命周期的网络攻击行为的模型和知识库。通过该ATT&CK模型,统一了网络攻击行为描述的标准,对攻击行为数据所对应的多种网络攻击行为进行了细分,用以对攻击行为特征进行表示。
参考表1,表1为ATT&CK模型中对应的战术以及技术特征的示例详情。其中第1行是TTP的战术,每一列是战术中所采用的具体的技术。
表1
可以理解,表1中仅仅示出了部分战术,比如Initial Access(初始访问)、PrivilegeEscalation(特权提升)、Credential Access(凭证获取)、以及Collection(数据采集)等战术。每种战术下示意了部分技术,比如Initial Access(初始访问)战术下对应有 Drive-byCompromise(路过式威胁)、Exploit Public-Facing Application(利用公开应用程序)、以及External Remote Services(外部远程服务)等。
可以理解,对于每一次的网络攻击行为所采用的技术,即每一个TTP情报类的网络攻击线索,计算机设备均可从ATT&CK模型中找到对应的映射关系。也就是说,每一次网络攻击事件中,发起方均有可能采用某些战术中的某个技术来发起对应的网络攻击行为。比如,一次网络攻击事件中发生的各网络攻击行为在ATT&CK表中映射对应如表2所示,其中字体倾斜且带有下划线的技术为攻击者在发起网络攻击事件时在各个战术中所选择的对应技术,如表1中的技术“External Remote Services”(网络攻击线索1)和技术“Brute Force”(网络攻击线索2),基于“External Remote Services”和技术“Brute Force”(在ATT&CK模型与其他技术之间的关联关系,从ATT&CK模型挖掘出技术“Accessibility Features”(表中字体倾斜且带加粗的技术)与技术“External Remote Services”和技术“Brute Force”均具有关联关系,则确定“Accessibility Features”即为所挖掘的威胁情报,然后将技术“External Remote Services”、技术“Accessibility Features”和技术“Brute Force”作为网络攻击事件对应的各攻击行为要素,构建包含各攻击行为要素之间的关联关系的溯源分析模型。
表2
根据技术“External Remote Services”、技术“Accessibility Features”和技术“Brute Force”之间的关联关系,构建包含各攻击行为要素之间的关联关系的溯源分析模型,基于该溯源分析模型确定用于溯源的攻击特征序列“External Remote Services、Accessibility Features、Brute Force”,通过预训练的溯源分类器对该攻击特征序列进行分类预测,从而得到网络攻击事件的溯源分析结果。
上述实施例中,计算机设备根据溯源分析模型中目标攻击行为要素之间的关联关系,确定出至少一条候选溯源路径,根据各候选溯源路径对应的目标攻击行为要素所属的分析维度和目标攻击行为要素在威胁情报树中对应的节点层级,计算各候选溯源路径对应的溯源可信度,根据溯源可信度从候选溯源路径中筛选出溯源路径,基于溯源路径所对应的目标攻击行为要素,确定网络攻击事件的追踪溯源结果,从而可以实现对网络攻击事件的精准的追踪溯源。
在一个实施例中,计算机设备在得到网络攻击事件的追踪溯源结果之后,还可以根据追踪溯源结果和网络攻击线索确定网络攻击事件的攻击源的攻击意图、网络攻击事件当前在网络攻击链中的所对应的攻击阶段,基于攻击意图和网络攻击事件当前在网络攻击链中的所对应的攻击阶段,生成针对网络攻击事件的反制措施报告。
具体地,计算机设备在得到追踪溯源结果之后,根据追踪溯源结果中的攻击源所属的攻击组织的基础信息可以确定其攻击意图,并基于攻击意图和已经获取到的网络攻击线索确定当前所处的攻击阶段,基于攻击意图和当前所处的攻击阶段预测未来可能发生的预测网络攻击事件,从而基于预测网络攻击事件生成相应的反制措施报告。
上述实施例中,计算机设备根据追踪溯源结果和网络攻击线索确定网络攻击事件的攻击源的攻击意图、网络攻击事件当前在网络攻击链中的所对应的攻击阶段,基于攻击意图和网络攻击事件当前在网络攻击链中的所对应的攻击阶段,生成针对网络攻击事件的反制措施报告,从而安全人员可以根据该反制措施报告,对已溯源的网络攻击事件进行反制。
在一个实施例中,如图13所示,还提供了一种网络攻击事件溯源处理方法,以该方法应用于图1中的计算机设备(比如图1中的终端102或服务器104)为例进行说明,包括以下步骤:
S1302,从开源情报中获取威胁情报数据。
其中,开源情报可以是基于安全大数据或开源情报系统所构建的威胁情报知识库。
S1304,对威胁情报数据从时间维度、空间维度和画像维度进行特征分析,确定威胁情报数据中威胁要素之间的关联关系。
S1306,根据威胁情报数据中威胁要素之间的关联关系构建网络威胁关联模型。
S1308,获取网络设备工作时所产生的网络通信相关数据。
S1310,根据网络通信相关数据确定待溯源的网络攻击事件的网络攻击线索。
S1312,基于网络攻击线索在网络威胁关联模型中对应的威胁要素,构建情报挖掘的根节点。
S1314,从根节点开始,逐层基于当前层中的节点在网络威胁关联模型中对应的威胁要素,按照时间维度、空间维度和画像维度,在网络威胁关联模型中查找所关联的威胁要素,并基于查找到的威胁要素构建当前层中的节点的子节点,直至构建得到威胁情报树。
S1316,将威胁情报树中作为子孙节点的威胁要素确定为网络攻击事件相关的威胁情报。
S1318,将网络攻击线索和威胁情报作为网络攻击事件对应的各攻击行为要素,构建包含各攻击行为要素之间的关联关系的溯源分析模型。
S1320,确定与网络攻击线索的价值度匹配的挖掘层级上限。
S1322,按照挖掘层级上限对溯源分析模型的攻击行为要素进行收敛操作,得到收敛后的溯源分析模型。
S1324,根据收敛后的溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径,基于溯源路径对网络攻击事件进行溯源,得到网络攻击事件的追踪溯源结果。
在一个具体的应用场景中,本方案可应用于企业内的威胁情报智能化追踪溯源,参考图14,网络攻击事件发生后,攻击源所使用的基础设施、所设置的外部资源、攻击行为、被攻击者信息等网络攻击线索能够被计算机设备采集到,基于网络攻击线索,基于构建的威胁分析模型从多维度对网络攻击线索进行拓线分析,从而得到时间维度、空间维度、画像维度的线索情报,基于网络攻击线索和所得到的不同维度的线索情报构建出溯源分析模型,并对溯源分析模型进行收敛、降噪等处理,并基于收敛、降噪处理后的溯源分析模型对网络攻击事件进行追踪溯源,输出追踪溯源结果。在输出追踪溯源结果之后,若网络攻击线索为新出现的攻击线索,还可以基于追踪溯源将网络攻击线索添加到构建的威胁分析模型中,对构建的威胁分析模型进行更新。
应该理解的是,虽然图2、10、13和14的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2、10、13和14中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图15所示,提供了一种网络攻击事件溯源处理装置,该装置可以采用软件模块或硬件模块,或者是二者的结合成为计算机设备的一部分,该装置具体包括:网络攻击线索获取模块1502、情报特征提取与分析模块1504、溯源分析模型构建模块1506和追踪溯源模块1508,其中:
网络攻击线索获取模块1502,用于获取待溯源的网络攻击事件相关的网络攻击线索;
情报特征提取与分析模块1504,用于基于网络攻击线索在构建的网络威胁关联模型中对应的威胁要素,以及网络威胁关联模型中威胁要素之间的关联关系,对网络攻击线索进行情报挖掘,得到网络攻击事件相关的威胁情报;
溯源分析模型构建模块1506,用于将网络攻击线索和威胁情报作为网络攻击事件对应的各攻击行为要素,构建包含各攻击行为要素之间的关联关系的溯源分析模型;
追踪溯源模块1508,用于根据溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径,基于溯源路径对网络攻击事件进行溯源,得到网络攻击事件的追踪溯源结果。
在一个实施例中,网络攻击线索获取模块1502,还用于:
获取网络设备工作时所产生的网络通信相关数据;
基于预设的攻击指标对网络通信相关数据进行攻击检测,确定与网络攻击事件相关的攻击源;
根据网络通信相关数据中与攻击源相关的数据确定待溯源的网络攻击事件的网络攻击线索。
在一个实施例中,网络攻击线索获取模块1502,还用于:
通过威胁情报知识库和开源威胁情报对网络通信相关数据中与攻击源相关的数据进行战术情报分析,得到待溯源的网络攻击事件相关的战术情报信息;
将战术情报信息确定为待溯源的网络攻击事件的网络攻击线索。
上述实施例中,计算机设备在获取待溯源的网络攻击事件相关的网络攻击线索之后,基于网络攻击线索在构建的网络威胁关联模型中对应的威胁要素,以及网络威胁关联模型中威胁要素之间的关联关系,对网络攻击线索进行情报挖掘,这样可以从多个维度挖掘出与网络攻击事件相关的威胁情报,进而将网络攻击线索和威胁情报作为网络攻击事件对应的各攻击行为要素,构建包含各攻击行为要素之间的关联关系的溯源分析模型,根据溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径,从而基于溯源路径对网络攻击事件进行溯源,得到网络攻击事件的追踪溯源结果。采用上述方法基于网络攻击线索对网络攻击事件的进行溯源处理时,可以挖掘出与网络攻击线索相关的多个维度的溯源信息,通过对网络攻击线索和所挖掘的多个维度的溯源信息之间的关联关系进行综合分析,可以实现对网络攻击事件的精准的追踪溯源。
在一个实施例中,如图16所示,装置还包括:威胁情报数据获取模块1510、综合分析模块1512和网络威胁关联模型构建模块1514,其中:
威胁情报数据获取模块1510,用于从开源情报中获取威胁情报数据;
综合分析模块1512,用于对所采集的威胁情报数据从时间维度、空间维度和画像维度进行综合分析,确定威胁情报数据中威胁要素之间的关联关系;
网络威胁关联模型构建模块1514,用于根据威胁情报数据中威胁要素之间的关联关系构建网络威胁关联模型。
上述实施例中,计算机设备通过从开源情报中获取威胁情报数据,对所采集的威胁情报数据从时间维度、空间维度和画像维度进行综合分析,确定威胁情报数据中威胁要素之间的关联关系,根据威胁情报数据中威胁要素之间的关联关系构建网络威胁关联模型,从而在对网络攻击事件进行溯源时,可以基于较少的网络攻击限速基于该网络威胁关联模型从多个维度挖掘出较多的威胁情报,进而利用网络攻击线索和所挖掘的多个维度威胁情报实现对网络攻击事件的精准的追踪溯源。
在一个实施例中,情报特征提取与分析模块1504,还用于:
基于网络攻击线索在网络威胁关联模型中对应的威胁要素,构建情报挖掘的根节点;
基于网络威胁关联模型中与根节点对应的威胁要素具有关联关系的威胁要素,构建情报挖掘的子孙节点,获得威胁情报树;
将威胁情报树中作为子孙节点的威胁要素确定为网络攻击事件相关的威胁情报。
上述实施例中,计算机设备基于网络攻击线索和网络威胁关联模型中威胁要素间的关联关系,构建威胁情报树,从而基于威胁情报树获得网络攻击事件相关的威胁情报,进而基于网络攻击线索和所挖掘的威胁情报实现对网络攻击事件的精准的追踪溯源。
在一个实施例中,网络威胁关联模型中的威胁要素包括时间威胁要素、空间威胁要素和画像威胁要素;情报特征提取与分析模块1504,还用于:
从根节点开始,逐层基于当前层中的节点在网络威胁关联模型中对应的威胁要素,按照时间维度、空间维度和画像维度,在网络威胁关联模型中查找所关联的威胁要素,并基于查找到的威胁要素构建当前层中的节点的子节点,直至构建得到威胁情报树。
上述实施例中,计算机设备基于网络攻击线索和网络威胁关联模型中不同维度的威胁要素间的关联关系,构建综合了多个维度威胁要素的威胁情报树,从而基于所构建威胁情报树获得网络攻击事件相关的多个维度的威胁情报,进而基于网络攻击线索和所挖掘的多个维度的威胁情报实现对网络攻击事件的精准的追踪溯源。
在一个实施例中,如图16所示,装置还包括:挖掘层级上限确定模块1516和模型收敛模块1518,其中:
挖掘层级上限确定模块1516,用于确定与网络攻击线索的价值度匹配的挖掘层级上限;
模型收敛模块1518,用于按照挖掘层级上限对溯源分析模型的攻击行为要素进行收敛操作,得到收敛后的溯源分析模型;收敛后的溯源分析模型中的攻击行为要素在威胁情报树中对应的节点层级不大于挖掘层级上限;
追踪溯源模块1508,还用于:
根据收敛后的溯源分析模型中目标攻击行为要素之间的关联关系确定溯源路径,基于溯源路径对网络攻击事件进行溯源,得到网络攻击事件的追踪溯源结果。
上述实施例中,计算机设备按照与网络攻击线索的价值度匹配的挖掘层级上限对溯源分析模型的攻击行为要素进行收敛操作,可以得到数据量较少又能满足溯源需求的收敛后的溯源分析模型,从而减少了根据收敛后的溯源分析模型进行溯源的计算量,在保证对网络攻击事件的精准的追踪溯源的情况下,还提高了对网络攻击事件的追踪溯源的效率,有利于迅速地对网络攻击事件进行反制。
在一个实施例中,追踪溯源模块1508,还用于:
基于溯源分析模型中攻击行为要素所属的分析维度,确定攻击行为要素是否满足溯源可用性条件;
根据溯源分析模型中满足溯源可用性条件的目标攻击行为要素之间的关联关系确定溯源路径,基于溯源路径对网络攻击事件进行溯源,得到网络攻击事件的追踪溯源结果。
上述实施例中,计算机设备通过基于溯源分析模型中攻击行为要素所属的分析维度,确定目标攻击行为要素,从而根据目标攻击行为要素之间的关联关系,确定网络攻击事件的追踪溯源结果,实现了对网络攻击事件精准的追踪溯源。
在一个实施例中,追踪溯源模块1508,还用于:
根据溯源分析模型中目标攻击行为要素之间的关联关系,确定出至少一条候选溯源路径;
根据各候选溯源路径对应的目标攻击行为要素所属的分析维度和目标攻击行为要素在威胁情报树中对应的节点层级,计算各候选溯源路径对应的溯源可信度;
根据溯源可信度从候选溯源路径中筛选出溯源路径;
基于溯源路径所对应的目标攻击行为要素,确定网络攻击事件的追踪溯源结果。
上述实施例中,计算机设备根据溯源分析模型中目标攻击行为要素之间的关联关系,确定出至少一条候选溯源路径,根据各候选溯源路径对应的目标攻击行为要素所属的分析维度和目标攻击行为要素在威胁情报树中对应的节点层级,计算各候选溯源路径对应的溯源可信度,根据溯源可信度从候选溯源路径中筛选出溯源路径,基于溯源路径所对应的目标攻击行为要素,确定网络攻击事件的追踪溯源结果,从而可以实现对网络攻击事件的精准的追踪溯源。
在一个实施例中,如图16所示,装置还包括:攻击状态确定模块1520和反制措施报告生成模块1522,其中:
攻击状态确定模块1520,用于根据追踪溯源结果和网络攻击线索确定网络攻击事件的攻击源的攻击意图、网络攻击事件当前在网络攻击链中的所对应的攻击阶段;
反制措施报告生成模块1522,用于基于攻击意图和网络攻击事件当前在网络攻击链中的所对应的攻击阶段,生成针对网络攻击事件的反制措施报告。
上述实施例中,计算机设备根据追踪溯源结果和网络攻击线索确定网络攻击事件的攻击源的攻击意图、网络攻击事件当前在网络攻击链中的所对应的攻击阶段,基于攻击意图和网络攻击事件当前在网络攻击链中的所对应的攻击阶段,生成针对网络攻击事件的反制措施报告,从而安全人员可以根据该反制措施报告,对已溯源的网络攻击事件进行反制。
关于网络攻击事件溯源处理装置的具体限定可以参见上文中对于网络攻击事件溯源处理方法的限定,在此不再赘述。上述网络攻击事件溯源处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图17所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储威胁情报数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络攻击事件溯源处理方法。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图18所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种网络攻击事件溯源处理方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图17或18中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
