CN110213226B - 基于风险全要素辨识关联的网络攻击场景重建方法及系统 - Google Patents
基于风险全要素辨识关联的网络攻击场景重建方法及系统 Download PDFInfo
- Publication number
- CN110213226B CN110213226B CN201910327057.5A CN201910327057A CN110213226B CN 110213226 B CN110213226 B CN 110213226B CN 201910327057 A CN201910327057 A CN 201910327057A CN 110213226 B CN110213226 B CN 110213226B
- Authority
- CN
- China
- Prior art keywords
- attack
- state
- time
- same
- threats
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
- G06F30/20—Design optimisation, verification or simulation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Geometry (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于风险全要素辨识关联的网络攻击场景重建方法及系统,属于网络安全技术领域。方法包括:确定网络安全风险全要素;确定攻击阶段状态,关联网络安全风险全要素确定各攻击阶段状态间的转换条件和转换动作,构成网络攻击阶段有限状态机;获取新的攻击数据,并将新的攻击数据标准化为网络安全风险全要素;将标准化得到的网络安全风险全要素输入攻击阶段有限状态机,确定攻击阶段有限状态机的状态,此状态机即为网络空间中的攻击场景。本发明通过基于攻击阶段的状态机实现了实时的攻击场景自动重建。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种基于风险全要素辨识关联的网络攻击场景重建方法。
背景技术
现代电力系统己经发展成由信息通信系统和物理电力系统构成的复杂耦合网络系统,即电力信息物理融合系统。研究表明,无论是信息通信网络,还是电力系统自身中的装置发生故障或受到恶意攻击,都有可能危及整个耦合网络系统的安全运行,造成严重的后果。近几年来,电力系统遭受攻击的事件时有发生。例如,2015年12月23日,乌克兰电网遭遇黑客攻击,导致乌克兰发生大范围的停电事故。2016年1月25日,以色列电力局遭受了网络攻击,大量受感染的主机被临时关闭,严重影响了正常的电力业务。
面对形式各异和不断发展的网攻击手段,传统的攻击检测手段已不能满足需求。研究如何对大量告警信息进行深度的关联分析处理,成为攻击检测手段发展的新方向。网络攻击场景还原技术作为安全分析的新手段,对各类信息进行融合和深度分析,从整体上反映攻击者攻击意图,提供威胁预测信息,为增强网络安全管理效率、制定有效的安全规划和监管策略提供科学依据。
网络攻击场景是指攻击者利用目标系统漏洞,逐步提升自己的控制权限并最终实现攻击目标的过程,攻击场景由一系列单步攻击组成。网络攻击场景还原技术就是通过对IDS等安全设备产生的原始安全事件进行关联、分析,还原出攻击者对整个网络空间的攻击、渗透过程,然后将这种场景信息反馈给安全分析人员。近年来,研究人员提出的方法包括基于相似性、因果关系和数据挖掘等。在因果关系中,需要明确定义告警之间的因果关系;当且仅当告警的先决条件符合其后果时,这两种告警才可能相关。相似性方法的关键是通过聚类和聚合将告警相似的属性相关联,类似的告警被认为是同一种威胁行为,这种方法面临的挑战是告警仍然没有很强的相互关联。数据挖掘方法通过挖掘告警的特征,并通过类似的共同特征将它们分组,在处理大量告警时,算法性能和效率是需要解决的难题。
然而,在电力信息网络中网络攻击场景还原技术面临如下困难:海量原始告警数据,告警数据突发性,原始告警数据异构性和缺乏统一安全模型等。现有的方法不能很好的解决此难题,急需研究一种新的网络攻击场景还原技术来克服这些困难。
发明内容
本发明的目的在于克服现有技术的不足,提供了一种基于风险全要素辨识关联的网络攻击场景重建方法及系统,针对电力网络安全防护提出了全局统一的网络安全风险全要素辨识模型,并通过基于攻击阶段的状态机实现了实时的攻击场景自动重建。
为解决上述技术问题,本发明提供了一种基于风险全要素辨识关联的网络攻击场景重建方法,其特征是,包括以下过程:
确定网络安全风险全要素;
获取新的攻击数据,并将新的攻击数据标准化为网络安全风险全要素;
将标准化得到的网络安全风险全要素输入攻击阶段有限状态机,确定攻击阶段有限状态机的状态,此状态机即为网络空间中的攻击场景。
进一步的,网络安全风险全要素包括业务信息、资产信息、安全告警、安全日志、外部威胁、异常行为、网络流量、内外部情报、系统脆弱性和运行状态。
进一步的,网络安全风险全要素中业务信息、资产信息、安全告警、安全日志、网络流量和内外部情报作为原始数据;通过对原始数据进行关联分析计算获得系统存在的网络安全风险,包括外部威胁、系统脆弱性、异常行为、运行状态,
外部威胁、系统脆弱性、异常行为和运行状态标准化后表示为:
外部威胁={攻击者,攻击发生时间,受害者,攻击行为,利用CVE,攻击手段,攻击工具,可信度,破坏程度,攻击后果,攻击阶段,后续可能的攻击};
系统脆弱性={资产信息,存在的漏洞CVE,不合规配置,开放的高危端口,存在的弱口令,脆弱性等级};
运行状态={资产标识,承载业务,部署位置,关联用户,当前状态:{运行进程,运行状态,开放端口,网络连接}};
异常行为={访问者,时间,访问目标,访问行为,访问源端口,访问目的端口,访问协议}。
进一步的,攻击阶段有限状态机包括若干个攻击阶段状态,各攻击阶段状态包括初始状态、信息收集、定向投递、漏洞利用、代码执行、权限提升、控制命令信道、横向移动、任务执行和驻留与持久化。
进一步的,各攻击阶段状态间的转换条件和转换动作集{En,An},其中,n表示状态机的状态序号,En表示状态sn向其他状态变迁的转换条件集,具体表示为En={en1,en2,…enm},1≤m;An表示状态sn满足转换条件En后执行的状态转换动作,具体表示为An={an1,an2,…anm},1≤m;,m表示从该状态进行转换的条件或动作序号;
网络攻击阶段状态机中各状态的En和An具体如下:
s0:(e01)收到信息收集类的攻击威胁;(a01)状态转换为s1;
s1:(e11)后续一段时间内收到定向投递类攻击威胁,且可通过攻击者ip、所在地域、所属组织,判定为属于同一攻击者组;(a11)状态转换为s2;
(e12)后续一段时间内收到信息收集类攻击威胁,且可通过攻击者属性判定为属于同一攻击者组;(a12)状态保持为s1;
s2:(e21)后续一段时间内收到漏洞利用类攻击威胁,攻击目的相同,且可信度为高;(a21)状态转换为s3;
(e22)后续一段时间内收到漏洞利用类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标的脆弱性中存在攻击利用的漏洞、不合规配置、高危端口或不合规配置;(a22)状态转换为s3;
(e23)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,且可信度为高;(a23)状态转换为s4;
(e24)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标存在异常状态,包括正在运行恶意进程、存在与CC服务器的网络连接、开放端口被恶意程序利用;(a24)状态转换为s4;
s3:(e31)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,且可信度为高;(a31)状态转换为s4;
(e32)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标的运行进程、网络连接、开放端口中存在相应异常;(a32)状态转换为s4;
s4:(e41)后续一段时间内收到权限提升类攻击威胁,且攻击目的相同;(a41)状态转换为s5;
(e42)后续一段时间内收到控制命令信道类攻击威胁,且攻击目的相同;(a42)状态转换为s6;
(e43)后续一段时间内收到代码执行类攻击威胁,且攻击目的相同;(a43)状态保持为s4;
s5:(e51)后续一段时间内收到横向移动类攻击威胁,且新威胁的攻击者与原攻击目的相同,且同时存在异常行为,其访问者、时间、访问目标、访问行为与新威胁的攻击者,攻击发生时间,受害者,攻击行为匹配;(a51)状态转换为s7;
(e52)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同;(a52)状态转换为s8;
s6:(e61)后续一段时间内收到横向移动类攻击威胁,且新威胁的攻击者与原攻击目的相同,且存在相应的网络访问行为;(a61)状态转换为s7;
(e62)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同;(a62)状态转换为s8;
s7:(e71)后续一段时间内收到驻留与持久化类攻击威胁,且攻击目的相同,或攻击者与原攻击目的相同;(a71)状态转换为s9;
(e72)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同,或新威胁的攻击者与原攻击目的相同;(a72)状态转换为s8;
s8:(e81)后续一段时间内收到驻留与持久化类攻击威胁,且攻击目的相同,或攻击者与原攻击目的相同;(a81)状态转换为s9;
(e82)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同,或新威胁的攻击者与原攻击目的相同;(a82)状态保持为s8;
s9:(e91)后续一段时间内收到驻留与持久化类威胁,且攻击目的相同,存在相应的网络访问行为;(a91)状态保持为s9。
进一步的,将标准化得到的网络安全风险全要素输入攻击阶段有限状态机,确定攻击阶段有限状态机的状态的过程为:
建立状态机序列list,更新状态机序列list的过程为:
1)获取新攻击数据;
2)如果当前内存中状态机队列为空,即list=0,则新初始化一个状态机实例,执行5);
3)如果状态机队列非空,遍历状态机队列,若状态机可以接收新攻击,则进行新的状态转换,并根据转换规则获取网络安全风险全要素进行关联;
完成转换后状态若为s8或s9,输出攻击场景信息Scenariolnfo,从状态机序列list中删除此状态机实例;
4)当list中没有可以关联的状态机,则新初始化一个状态机实例,执行5);
5)当前状态机状态转换,若转换后状态不为S8或S9,将状态机实例增加到状态机序列list的队首,执行6);
6)监听新攻击进行关联。
相应的,本发明还提供了一种基于风险全要素辨识关联的网络攻击场景重建系统,其特征是,包括风险全要素确定模块、新攻击标准化模块和攻击场景重建模块;
风险全要素确定模块,用于确定网络安全风险全要素;
新攻击标准化模块,用于获取新的攻击数据,并将新的攻击数据标准化为网络安全风险全要素;
攻击场景重建模块,用于将标准化得到的网络安全风险全要素输入攻击阶段有限状态机,确定攻击阶段有限状态机的状态,此状态机即为网络空间中的攻击场景。
进一步的,网络安全风险全要素包括业务信息、资产信息、安全告警、安全日志、外部威胁、异常行为、网络流量、内外部情报、系统脆弱性和运行状态。
进一步的,网络安全风险全要素中业务信息、资产信息、安全告警、安全日志、网络流量和内外部情报作为原始数据;通过对原始数据进行关联分析计算获得系统存在的网络安全风险,包括外部威胁、系统脆弱性、异常行为、运行状态,
外部威胁、系统脆弱性、异常行为和运行状态标准化后表示为:
外部威胁={攻击者,攻击发生时间,受害者,攻击行为,利用CVE,攻击手段,攻击工具,可信度,破坏程度,攻击后果,攻击阶段,后续可能的攻击};
系统脆弱性={资产信息,存在的漏洞CVE,不合规配置,开放的高危端口,存在的弱口令,脆弱性等级};
运行状态={资产标识,承载业务,部署位置,关联用户,当前状态:{运行进程,运行状态,开放端口,网络连接}};
异常行为={访问者,时间,访问目标,访问行为,访问源端口,访问目的端口,访问协议}。
进一步的,攻击阶段有限状态机包括若干个攻击阶段状态,各攻击阶段状态包括初始状态、信息收集、定向投递、漏洞利用、代码执行、权限提升、控制命令信道、横向移动、任务执行和驻留与持久化。
进一步的,各状态间的转换条件和转换动作集{En,An},其中,n表示状态机的状态序号,En表示状态sn向其他状态变迁的转换条件集,具体表示为En={en1,en2,…enm},1≤m;An表示状态sn满足转换条件En后执行的状态转换动作,具体表示为An={an1,an2,…anm},1≤m;,m表示从该状态进行转换的条件或动作序号;
网络攻击阶段状态机中各状态的En和An具体如下:
s0:(e01)收到信息收集类的攻击威胁;(a01)状态转换为s1;
s1:(e11)后续一段时间内收到定向投递类攻击威胁,且可通过攻击者ip、所在地域、所属组织,判定为属于同一攻击者组;(a11)状态转换为s2;
(e12)后续一段时间内收到信息收集类攻击威胁,且可通过攻击者属性判定为属于同一攻击者组;(a12)状态保持为s1;
s2:(e21)后续一段时间内收到漏洞利用类攻击威胁,攻击目的相同,且可信度为高;(a21)状态转换为s3;
(e22)后续一段时间内收到漏洞利用类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标的脆弱性中存在攻击利用的漏洞、不合规配置、高危端口或不合规配置;(a22)状态转换为s3;
(e23)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,且可信度为高;(a23)状态转换为s4;
(e24)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标存在异常状态,包括正在运行恶意进程、存在与CC服务器的网络连接、开放端口被恶意程序利用;(a24)状态转换为s4;
s3:(e31)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,且可信度为高;(a31)状态转换为s4;
(e32)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标的运行进程、网络连接、开放端口中存在相应异常;(a32)状态转换为s4;
s4:(e41)后续一段时间内收到权限提升类攻击威胁,且攻击目的相同;(a41)状态转换为s5;
(e42)后续一段时间内收到控制命令信道类攻击威胁,且攻击目的相同;(a42)状态转换为s6;
(e43)后续一段时间内收到代码执行类攻击威胁,且攻击目的相同;(a43)状态保持为s4;
s5:(e51)后续一段时间内收到横向移动类攻击威胁,且新威胁的攻击者与原攻击目的相同,且同时存在异常行为,其访问者、时间、访问目标、访问行为与新威胁的攻击者,攻击发生时间,受害者,攻击行为匹配;(a51)状态转换为s7;
(e52)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同;(a52)状态转换为s8;
s6:(e61)后续一段时间内收到横向移动类攻击威胁,且新威胁的攻击者与原攻击目的相同,且存在相应的网络访问行为;(a61)状态转换为s7;
(e62)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同;(a62)状态转换为s8;
s7:(e71)后续一段时间内收到驻留与持久化类攻击威胁,且攻击目的相同,或攻击者与原攻击目的相同;(a71)状态转换为s9;
(e72)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同,或新威胁的攻击者与原攻击目的相同;(a72)状态转换为s8;
s8:(e81)后续一段时间内收到驻留与持久化类攻击威胁,且攻击目的相同,或攻击者与原攻击目的相同;(a81)状态转换为s9;
(e82)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同,或新威胁的攻击者与原攻击目的相同;(a82)状态保持为s8;
s9:(e91)后续一段时间内收到驻留与持久化类威胁,且攻击目的相同,存在相应的网络访问行为;(a91)状态保持为s9。
相应的,本发明还提供了一种计算系统,其特征在于,所述系统包括网络接口、存储器和处理器;其中,
所述网络接口,用于在与其他外部网元之间进行收发信息过程中,信号的接收和发送;
所述存储器,用于存储能够在所述处理器上运行的计算机程序指令;
所述处理器,用于在运行所述计算机程序指令时,执行前述基于风险全要素辨识关联的网络攻击场景重建方法的步骤。
本发明还提供了一种计算机存储介质,其特征在于,所述计算机存储介质存储有基于风险全要素辨识关联的网络攻击场景重建方法的程序,所述基于风险全要素辨识关联的网络攻击场景重建方法的程序被至少一个处理器执行时实现前述基于风险全要素辨识关联的网络攻击场景重建方法的步骤。
与现有技术相比,本发明所达到的有益效果是:本发明针对电力网络安全防护提出了全局统一的网络安全风险全要素辨识模型,并通过基于攻击阶段的状态机实现了实时的攻击场景自动重建,打破了电力复杂信息网络环境下安全数据的时空多维关联的壁垒,为持续性复杂攻击的监测提供依据,辅助网络安全人员进行决策。
附图说明
图1为本发明的基于攻击链攻击阶段的有限状态机图;
图2为本发明的攻击场景重建系统流程图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
本发明的一种基于风险全要素辨识关联的网络攻击场景实时重建方法,包括以下过程:
确定网络安全风险全要素;
确定攻击阶段状态,关联网络安全风险全要素确定各攻击阶段状态间的转换条件和转换动作,构成网络攻击阶段有限状态机;
获取新的攻击数据,并将新的攻击数据标准化为网络安全风险全要素;将标准化得到的网络安全风险全要素输入攻击阶段有限状态机,确定攻击阶段有限状态机的状态,此状态机即为网络空间中的攻击场景。
本发明针对电力网络安全防护提出了全局统一的网络安全风险全要素辨识模型,并通过基于攻击阶段的状态机实现了实时的攻击场景自动重建,打破了电力复杂信息网络环境下安全数据的时空多维关联的壁垒,为持续性复杂攻击的监测提供依据,辅助网络安全人员进行决策。
实施例1
本发明的一种基于风险全要素辨识关联的网络攻击场景实时重建方法,包括以下过程:
步骤1)确定网络安全风险全要素,构成网络安全风险全要素层次化模型。
收集并形成10个维度的网络安全风险全要素数据,分别包括:业务信息、资产信息、安全告警、安全日志、外部威胁、异常行为、网络流量、内外部情报、系统脆弱性和运行状态。
其中,业务信息、资产信息、安全告警、安全日志、网络流量和内外部情报作为原始数据,从业务系统、安全防护设备、网络、外部情报源获取;这些原始数据的风险要素作为原始基础数据层;通过对原始数据进行关联分析计算获得系统存在的网络安全风险,包括外部威胁、系统脆弱性、异常行为、运行状态,外部威胁、系统脆弱性、异常行为、运行状态构成风险分析数据层,
外部威胁、系统脆弱性、异常行为和运行状态标准化后表示为:
外部威胁={攻击者,攻击发生时间,受害者,攻击行为,利用CVE(CommonVulnerabilities&Exposures,公共漏洞和暴露),攻击手段,攻击工具,可信度,破坏程度,攻击后果,攻击阶段,后续可能的攻击};
系统脆弱性={资产信息,存在的漏洞CVE,不合规配置,开放的高危端口,存在的弱口令,脆弱性等级};
运行状态={资产标识,承载业务,部署位置,关联用户,当前状态:{运行进程,运行状态,开放端口,网络连接}};
异常行为={访问者,时间,访问目标,访问行为,访问源端口,访问目的端口,访问协议}。
步骤2)构建网络攻击阶段有限状态机,以网络安全风险全要素作为状态机状态变迁条件输入,实现基于网络攻击阶段状态机的网络攻击识别。
构建网络攻击阶段状态机具体包括以下步骤:
2-1)确定状态机中的攻击阶段状态S={s0,s1,s2,s3,s4,s5,s6,s7,s8,s9},分别表示初始状态、信息收集、定向投递、漏洞利用、代码执行、权限提升、控制命令信道、横向移动、任务执行和驻留与持久化。
信息收集阶段是攻击者确定潜在的攻击目标后通过各种手段尽可能全面、完整的侦查目标的信息,例如通过社交网络获取目标Web网页、地理位置、相关组织、组织结构和人员、个人资料、电话、电子邮件,通过软件与硬件信息探测、网络扫描等手段收集目标的网络配置、安全防护机制的策略和技术细节等信息。
定向投递阶段是指攻击者通过指定具体目标,固定的方式,进行指向性较强的网络攻击,例如通过拒绝服务攻击,口令爆破、钓鱼攻击(邮件/短消息)等定向、定投的攻击方式实现的网络攻击。
漏洞利用阶段指的是利用已知的漏洞,对目标执行相关的漏洞脚本、命令,达到期望的攻击效果,例如弱口令漏洞利用、应用软件漏洞利用、命令注入软件利用、未授权访问漏洞利用、文件包含漏洞利用、重放攻击漏洞利用、SQL(Structured Query Language,结构化查询语言)注入漏洞利用和漏洞套件利用等。
代码执行阶段是指攻击者利用程序中的某些漏洞,来得到计算机的控制权(使编写的代码越过具有漏洞的程序的限制,从而获得运行权限),例如反弹Shell执行、远程命令执行、Webshell执行等。
权限提升阶段是指利用操作系统或应用软件中的程序错误、设计缺陷或配置疏忽来获取对应用程序或用户来说受保护资源的高级访问权限。其结果是,应用程序可以获取比应用程序开发者或系统管理员预期的更高的特权,从而可以执行授权的动作,例如高权限的应用软件提权漏洞利用、操作系统提权漏洞利用和数据库提权漏洞利用等。
控制命令信道阶段是指攻击者通过利用协议漏洞对通讯信道进行攻击,使得信道协议异常、内容异常、来实现控制设备的操作,其中还包括违规外联这种特殊情况。
横向移动阶段是指通常情况下攻击者为扩大攻击战果,通过失陷的主机对内网网络可达的其他主机进行信息搜集、并尝试入侵,常见的有失陷主机的信息搜集攻击、办公网络渗透等。
任务执行阶段是指攻击者利用软件本身的特点执行指定的指令,达到想要获取的任务结果。例如利用邮件系统进行数据窃取、利用数据库进行增删改查操作或篡改安全设备的基本规则等。
驻留和持久化阶段是实现对目标网络设备或节点系统的持续控制,与之相关的通常是采用从已被持久化控制的网络节点中挑选具有战略或战术意义的目标,并展开组合攻击。
2-2)关联步骤1)中获得的网络安全风险全要素,确定各状态sn间的转换条件和转换动作集{En,An},其中,n表示状态机的状态序号,En表示状态sn向其他状态变迁的转换条件集,具体表示为En={en1,en2,…enm},1≤m;An表示状态sn满足转换条件En后执行的状态转换动作,具体表示为An={an1,an2,…anm},1≤m;,m表示从该状态进行转换的条件或动作序号。
网络攻击阶段状态机中各状态的En和An具体如下:
s0:(e01)收到信息收集类的攻击威胁;(a01)状态转换为s1。
此信息收集类是攻击威胁中攻击阶段的属性。
s1:(e11)后续一段时间内收到定向投递类攻击威胁,且可通过攻击者ip、所在地域、所属组织,判定为属于同一攻击者组;(a11)状态转换为s2。
(e12)后续一段时间内收到信息收集类攻击威胁,且可通过攻击者属性判定为属于同一攻击者组;(a12)状态保持为s1。
s2:(e21)后续一段时间内收到漏洞利用类攻击威胁,攻击目的相同,且可信度为高;(a21)状态转换为s3。
(e22)后续一段时间内收到漏洞利用类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标的脆弱性中存在攻击利用的漏洞、不合规配置、高危端口或不合规配置;(a22)状态转换为s3。
(e23)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,且可信度为高;(a23)状态转换为s4;
(e24)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标存在异常状态,包括正在运行恶意进程、存在与CC服务器的网络连接、开放端口被恶意程序利用;(a24)状态转换为s4。
s3:(e31)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,且可信度为高;(a31)状态转换为s4;
(e32)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标的运行进程、网络连接、开放端口中存在相应异常;(a32)状态转换为s4。
s4:(e41)后续一段时间内收到权限提升类攻击威胁,且攻击目的相同;(a41)状态转换为s5。
(e42)后续一段时间内收到控制命令信道类攻击威胁,且攻击目的相同;(a42)状态转换为s6。
(e43)后续一段时间内收到代码执行类攻击威胁,且攻击目的相同;(a43)状态保持为s4。
s5:(e51)后续一段时间内收到横向移动类攻击威胁,且新威胁的攻击者与原攻击目的相同,且同时存在异常行为,其访问者、时间、访问目标、访问行为与新威胁的攻击者,攻击发生时间,受害者,攻击行为匹配;(a51)状态转换为s7。
(e52)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同;(a52)状态转换为s8。
s6:(e61)后续一段时间内收到横向移动类攻击威胁,且新威胁的攻击者与原攻击目的相同,且存在相应的网络访问行为;(a61)状态转换为s7。
(e62)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同;(a62)状态转换为s8。
s7:(e71)后续一段时间内收到驻留与持久化类攻击威胁,且攻击目的相同,或攻击者与原攻击目的相同;(a71)状态转换为s9。
(e72)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同,或新威胁的攻击者与原攻击目的相同;(a72)状态转换为s8。
s8:(e81)后续一段时间内收到驻留与持久化类攻击威胁,且攻击目的相同,或攻击者与原攻击目的相同;(a81)状态转换为s9。
(e82)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同,或新威胁的攻击者与原攻击目的相同;(a82)状态保持为s8。
s9:(e91)后续一段时间内收到驻留与持久化类威胁,且攻击目的相同,存在相应的网络访问行为;(a91)状态保持为s9。
步骤3)在步骤2)构造的有限状态机基础上,设计实现网络攻击场景实时重建系统。
构建攻击场景重建框架实现攻击场景还原,具体包括以下步骤:
3-1)从安全防护设备、网络、资产、外部情报源等获取原始的安全数据,基于电力网络安全风险全要素辨识层次化模型进行风险分析数据层各要素的标准化转换。针对系统脆弱性、运行状态、异常行为数据建立攻击场景分析知识库,基于外部威胁数据进行攻击场景还原各步骤的关联和推理。
3-2)在3-1)步骤中,基于KNN(K近邻算法)对外部威胁数据进行攻击阶段分类标记,降低数据冗余度,提升后续攻击场景还原结果的精准性。
基于KNN攻击阶段分类标记算法主要完成五个步骤。
第一步,提取外部威胁数据,并关联异常行为数据,形成用于攻击阶段分类标记计算的向量x=(攻击者ip、攻击发生时间、受害者ip、访问源端口、访问目的端口、访问协议、利用的CVEID),采用k近邻算法,找到k个最近的邻居Xk,即通过计算两个x元组之间的欧氏距离,取距离最近的k个点。若X1=(x11,x12,...,x1n),X2=(x21,x22,...,x2n),则两点的欧氏距离为:
第二步,根据k个邻近点的攻击阶段进行分类:
其中,x是待分类标记的节点,Xk是第一步计算得到的x的k近邻,C表示标签,l是已有的分类,在此方法中即为网络攻击阶段状态机中所有的攻击阶段,公式2中,采用分段函数I对k近邻中每个节点的标签和已有分类进行匹配,当Cy和j的标签值一致时取1,否则取0。同时,针对已有分类l中的所有类型进行迭代,获取匹配成功次数最多的类型,作为当前节点x的攻击阶段类别标签。
第三步,定义i维特征的攻击阶段的分类能力:
Disci=1-(prei-pret) (3)
其中pret表示经典KNN算法的平均准确率,prei表示当缺乏i个特征值时的精确度。根据输入的威胁数据,对攻击数据特征进行增加或者减少i维。当prei-pret<0,即Disci>1,说明这种特征在一定程度上有利于提高最终分类结果的正确性,从而在原始值的基础上增加特征的相应权重,这是合理的,否则就会减少相关权重。
采用均值方差法对Disci进行标准化处理,并将结果作为i维攻击数据特征的权重wi,
第四步,采用公式4重新计算两个x元组之间欧式距离,重新返回到第二步,直到i维数据的分类能力大于某一阈值时,结束。
3-3)根据KNN完成攻击阶段标记后的攻击威胁,实现基于自动状态机的前后攻击行为关联。
3-4)根据状态机关联结果构建还原攻击场景。
构建攻击阶段状态机,状态表示为si={rule_src_ip,dst_ip,srcport,dstport,protocal,event,flag,timeout,occurrence,eventCounter,startTime)。其中,前七个属性描述了可以由该状态处理的攻击威胁特征,分别为源ip、目的ip、源端口、目的端口、网络访问协议、攻击名称、攻击阶段标记,eventCounter用于记录已成功处理的攻击数量,startTime表示此状态生效的起始时间。Timeout和occurrence是状态机的两个核心概念,Timeout表示引擎监视一个状态的时间长短,它对应于多步攻击中某个攻击步骤的持续时间。Occurrence表示该状态可以处理的攻击的数量,本质上,该属性意味着对类似的攻击进行分类,反映了聚类分析的思想。
针对并发实时网络攻击分析,在内存中建立状态机队列,队列中的每个元素都是状态机,它表示发生的攻击情形。状态机队列显示网络空间中所有发生的攻击场景。
基于状态机的攻击场景重构系统能够及时关联网络安全风险要素,并将全面的攻击场景描述信息呈现给安全分析人员,从而恢复攻击者侵入网络空间的全过程。
算法步骤为:
输入:状态机队列list
输出:攻击场景信息Scenariolnfo
更新状态机序列list:
1)获取新攻击数据。
2)如果当前内存中状态机队列为空,即list=0,则新初始化一个状态机实例,执行5。
3)如果状态机队列非空,遍历状态机队列,若状态机可以接收新攻击,则进行新的状态转换,并根据转换规则获取场景分析知识库中的资产运行状态、系统脆弱性、网络访问行为进行关联。完成转换后状态若为s8或s9,输出攻击场景信息Scenariolnfo,从状态机序列list中删除此状态机实例。
4)当list中没有可以关联的状态机,则新初始化一个状态机实例,执行5。
5)当前状态机状态转换,若转换后状态不为S8或S9,将状态机实例增加到状态机序列list的队首,执行6。
6)监听新攻击进行关联。
列表中的状态机是根据LRU进行管理的,即如果状态机的当前状态为最新更新,则该状态机将转置到队列的头部。这种关联的时间延迟将大大减少,因为根据“接近原理”,下一个攻击将被本状态机处理的概率最大。
本发明针对电力网络安全防护提出了全局统一的网络安全风险全要素辨识模型,打破了电力复杂信息网络环境下安全数据的时空多维关联的壁垒,并通过基于攻击链阶段的状态机实现了实时的多步骤攻击场景自动重建,为持续性复杂攻击的监测提供依据,辅助网络安全人员进行决策。
实施例2
本发明的一种基于风险全要素辨识关联的网络攻击场景重建系统,其特征是,包括风险全要素确定模块、有限状态机确定模块和攻击场景重建模块;
风险全要素确定模块,用于确定网络安全风险全要素;
有限状态机确定模块,用于确定攻击阶段状态,关联网络安全风险全要素确定各攻击阶段状态间的转换条件和转换动作,构成网络攻击阶段有限状态机;
攻击场景重建模块,用于获取新的攻击数据,并将新的攻击数据标准化为网络安全风险全要素;将标准化得到的网络安全风险全要素输入攻击阶段有限状态机,确定攻击阶段有限状态机的状态,此状态机即为网络空间中的攻击场景。
进一步的,网络安全风险全要素包括业务信息、资产信息、安全告警、安全日志、外部威胁、异常行为、网络流量、内外部情报、系统脆弱性和运行状态。
进一步的,网络安全风险全要素中业务信息、资产信息、安全告警、安全日志、网络流量和内外部情报作为原始数据;通过对原始数据进行关联分析计算获得系统存在的网络安全风险,包括外部威胁、系统脆弱性、异常行为、运行状态,
外部威胁、系统脆弱性、异常行为和运行状态标准化后表示为:
外部威胁={攻击者,攻击发生时间,受害者,攻击行为,利用CVE,攻击手段,攻击工具,可信度,破坏程度,攻击后果,攻击阶段,后续可能的攻击};
系统脆弱性={资产信息,存在的漏洞CVE,不合规配置,开放的高危端口,存在的弱口令,脆弱性等级};
运行状态={资产标识,承载业务,部署位置,关联用户,当前状态:{运行进程,运行状态,开放端口,网络连接}};
异常行为={访问者,时间,访问目标,访问行为,访问源端口,访问目的端口,访问协议}。
进一步的,攻击阶段状态包括初始状态、信息收集、定向投递、漏洞利用、代码执行、权限提升、控制命令信道、横向移动、任务执行和驻留与持久化。
进一步的,确定各状态间的转换条件和转换动作集{En,An},其中,n表示状态机的状态序号,En表示状态sn向其他状态变迁的转换条件集,具体表示为En={en1,en2,…enm},1≤m;An表示状态sn满足转换条件En后执行的状态转换动作,具体表示为An={an1,an2,…anm},1≤m;,m表示从该状态进行转换的条件或动作序号;
网络攻击阶段状态机中各状态的En和An具体如下:
s0:(e01)收到信息收集类的攻击威胁;(a01)状态转换为s1;
s1:(e11)后续一段时间内收到定向投递类攻击威胁,且可通过攻击者ip、所在地域、所属组织,判定为属于同一攻击者组;(a11)状态转换为s2;
(e12)后续一段时间内收到信息收集类攻击威胁,且可通过攻击者属性判定为属于同一攻击者组;(a12)状态保持为s1;
s2:(e21)后续一段时间内收到漏洞利用类攻击威胁,攻击目的相同,且可信度为高;(a21)状态转换为s3;
(e22)后续一段时间内收到漏洞利用类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标的脆弱性中存在攻击利用的漏洞、不合规配置、高危端口或不合规配置;(a22)状态转换为s3;
(e23)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,且可信度为高;(a23)状态转换为s4;
(e24)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标存在异常状态,包括正在运行恶意进程、存在与CC服务器的网络连接、开放端口被恶意程序利用;(a24)状态转换为s4;
s3:(e31)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,且可信度为高;(a31)状态转换为s4;
(e32)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标的运行进程、网络连接、开放端口中存在相应异常;(a32)状态转换为s4;
s4:(e41)后续一段时间内收到权限提升类攻击威胁,且攻击目的相同;(a41)状态转换为s5;
(e42)后续一段时间内收到控制命令信道类攻击威胁,且攻击目的相同;(a42)状态转换为s6;
(e43)后续一段时间内收到代码执行类攻击威胁,且攻击目的相同;(a43)状态保持为s4;
s5:(e51)后续一段时间内收到横向移动类攻击威胁,且新威胁的攻击者与原攻击目的相同,且同时存在异常行为,其访问者、时间、访问目标、访问行为与新威胁的攻击者,攻击发生时间,受害者,攻击行为匹配;(a51)状态转换为s7;
(e52)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同;(a52)状态转换为s8;
s6:(e61)后续一段时间内收到横向移动类攻击威胁,且新威胁的攻击者与原攻击目的相同,且存在相应的网络访问行为;(a61)状态转换为s7;
(e62)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同;(a62)状态转换为s8;
s7:(e71)后续一段时间内收到驻留与持久化类攻击威胁,且攻击目的相同,或攻击者与原攻击目的相同;(a71)状态转换为s9;
(e72)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同,或新威胁的攻击者与原攻击目的相同;(a72)状态转换为s8;
s8:(e81)后续一段时间内收到驻留与持久化类攻击威胁,且攻击目的相同,或攻击者与原攻击目的相同;(a81)状态转换为s9;
(e82)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同,或新威胁的攻击者与原攻击目的相同;(a82)状态保持为s8;
s9:(e91)后续一段时间内收到驻留与持久化类威胁,且攻击目的相同,存在相应的网络访问行为;(a91)状态保持为s9。
根据状态机关联结果构建还原攻击场景为:
构建攻击阶段状态机,状态表示为si={rule_src_ip,dst_ip,srcport,dstport,protocal,event,flag,timeout,occurrence,eventCounter,startTime)。其中,前七个属性描述了可以由该状态处理的攻击威胁特征,分别为源ip、目的ip、源端口、目的端口、网络访问协议、攻击名称、攻击阶段标记,eventCounter用于记录已成功处理的攻击数量,startTime表示此状态生效的起始时间。Timeout和occurrence是状态机的两个核心概念,Timeout表示引擎监视一个状态的时间长短,它对应于多步攻击中某个攻击步骤的持续时间。Occurrence表示该状态可以处理的攻击的数量,本质上,该属性意味着对类似的攻击进行分类,反映了聚类分析的思想。
针对并发实时网络攻击分析,在内存中建立状态机队列,队列中的每个元素都是状态机,它表示发生的攻击情形。状态机队列显示网络空间中所有发生的攻击场景。
基于状态机的攻击场景重构系统能够及时关联网络安全风险要素,并将全面的攻击场景描述信息呈现给安全分析人员,从而恢复攻击者侵入网络空间的全过程。
算法步骤为:
输入:状态机队列list
输出:攻击场景信息Scenariolnfo
更新状态机序列list:
1)获取新攻击数据。
2)如果当前内存中状态机队列为空,即list=0,则新初始化一个状态机实例,执行5。
3)如果状态机队列非空,遍历状态机队列,若状态机可以接收新攻击,则进行新的状态转换,并根据转换规则获取场景分析知识库中的资产运行状态、系统脆弱性、网络访问行为进行关联。完成转换后状态若为s8或s9,输出攻击场景信息Scenariolnfo,从状态机序列list中删除此状态机实例。
4)当list中没有可以关联的状态机,则新初始化一个状态机实例,执行5。
5)当前状态机状态转换,若转换后状态不为S8或S9,将状态机实例增加到状态机序列list的队首,执行6。
6)监听新攻击进行关联。
列表中的状态机是根据LRU进行管理的,即如果状态机的当前状态为最新更新,则该状态机将转置到队列的头部。这种关联的时间延迟将大大减少,因为根据“接近原理”,下一个攻击将被本状态机处理的概率最大。
实施例3
相应的,本发明还提供了一种计算系统,其特征在于,所述系统包括网络接口、存储器和处理器;其中,
所述网络接口,用于在与其他外部网元之间进行收发信息过程中,信号的接收和发送;
所述存储器,用于存储能够在所述处理器上运行的计算机程序指令;
所述处理器,用于在运行所述计算机程序指令时,执行前述基于风险全要素辨识关联的网络攻击场景重建方法的步骤。
本发明还提供了一种计算机存储介质,其特征在于,所述计算机存储介质存储有基于风险全要素辨识关联的网络攻击场景重建方法的程序,所述基于风险全要素辨识关联的网络攻击场景重建方法的程序被至少一个处理器执行时实现前述基于风险全要素辨识关联的网络攻击场景重建方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变型,这些改进和变型也应视为本发明的保护范围。
Claims (8)
1.基于风险全要素辨识关联的网络攻击场景重建方法,其特征是,包括以下过程:
确定网络安全风险全要素;
获取新的攻击数据;并将新的攻击数据标准化为网络安全风险全要素;
将标准化得到的网络安全风险全要素输入攻击阶段有限状态机,确定攻击阶段有限状态机的状态,此时状态机即为网络空间中的攻击场景;
所述攻击阶段有限状态机中包括若干个攻击阶段状态,状态机中的攻击阶段状态S={s0,s1,s2,s3,s4,s5,s6,s7,s8,s9},分别表示为初始状态、信息收集、定向投递、漏洞利用、代码执行、权限提升、控制命令信道、横向移动、任务执行和驻留与持久化;
攻击阶段有限状态机中包括各攻击阶段状态间的转换条件和转换动作集{En,An},其中,n表示状态机的状态序号,En表示状态sn向其他状态变迁的转换条件集,具体表示为En={en1,en2,…enm},1≤m;An表示状态sn满足转换条件En后执行的状态转换动作,具体表示为An={an1,an2,…anm},1≤m;m表示从该状态进行转换的条件或动作的序号;
网络攻击阶段状态机中各状态的En和An具体如下:
s0:(e01)收到信息收集类的攻击威胁;(a01)状态转换为s1;
s1:(e11)后续一段时间内收到定向投递类攻击威胁,且可通过攻击者ip、所在地域、所属组织,判定为属于同一攻击者组;(a11)状态转换为s2;
(e12)后续一段时间内收到信息收集类攻击威胁,且可通过攻击者属性判定为属于同一攻击者组;(a12)状态保持为s1;
s2:(e21)后续一段时间内收到漏洞利用类攻击威胁,攻击目的相同,且可信度为高;(a21)状态转换为s3;
(e22)后续一段时间内收到漏洞利用类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标的脆弱性中存在攻击利用的漏洞、不合规配置、高危端口或不合规配置;(a22)状态转换为s3;
(e23)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,且可信度为高;(a23)状态转换为s4;
(e24)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标存在异常状态,包括正在运行恶意进程、存在与CC服务器的网络连接、开放端口被恶意程序利用;(a24)状态转换为s4;
s3:(e31)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,且可信度为高;(a31)状态转换为s4;
(e32)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标的运行进程、网络连接、开放端口中存在相应异常;(a32)状态转换为s4;
s4:(e41)后续一段时间内收到权限提升类攻击威胁,且攻击目的相同;(a41)状态转换为s5;
(e42)后续一段时间内收到控制命令信道类攻击威胁,且攻击目的相同;(a42)状态转换为s6;
(e43)后续一段时间内收到代码执行类攻击威胁,且攻击目的相同;(a43)状态保持为s4;
s5:(e51)后续一段时间内收到横向移动类攻击威胁,且新威胁的攻击者与原攻击目的相同,且同时存在异常行为,其访问者、时间、访问目标、访问行为与新威胁的攻击者,攻击发生时间,受害者,攻击行为匹配;(a51)状态转换为s7;
(e52)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同;(a52)状态转换为s8;
s6:(e61)后续一段时间内收到横向移动类攻击威胁,且新威胁的攻击者与原攻击目的相同,且存在相应的网络访问行为;(a61)状态转换为s7;
(e62)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同;(a62)状态转换为s8;
s7:(e71)后续一段时间内收到驻留与持久化类攻击威胁,且攻击目的相同,或攻击者与原攻击目的相同;(a71)状态转换为s9;
(e72)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同,或新威胁的攻击者与原攻击目的相同;(a72)状态转换为s8;
s8:(e81)后续一段时间内收到驻留与持久化类攻击威胁,且攻击目的相同,或攻击者与原攻击目的相同;(a81)状态转换为s9;
(e82)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同,或新威胁的攻击者与原攻击目的相同;(a82)状态保持为s8;
s9:(e91)后续一段时间内收到驻留与持久化类威胁,且攻击目的相同,存在相应的网络访问行为;(a91)状态保持为s9;
确定攻击阶段有限状态机的状态过程为:
1)如果当前状态机队列list为空,则新初始化一个状态机实例,执行4);
2)如果状态机队列非空,遍历状态机队列,若状态机可以接收新攻击,则进行新的状态转换,并根据转换规则获取网络安全风险全要素进行关联;
完成转换后状态若为s8或s9,输出攻击场景信息,从状态机序列list中删除此状态机实例;
3)当list中没有可以关联的状态机,则新初始化一个状态机实例,执行4);
4)当前状态机状态转换,若转换后状态不为s8或s9,将状态机实例增加到状态机序列list的队首,执行5);
5)监听新攻击进行关联。
2.根据权利要求1所述的基于风险全要素辨识关联的网络攻击场景重建方法,其特征是,网络安全风险全要素包括业务信息、资产信息、安全告警、安全日志、外部威胁、异常行为、网络流量、内外部情报、系统脆弱性和运行状态。
3.根据权利要求2所述的基于风险全要素辨识关联的网络攻击场景重建方法,其特征是,网络安全风险全要素中业务信息、资产信息、安全告警、安全日志、网络流量和内外部情报作为原始数据;通过对原始数据进行关联分析计算获得系统存在的网络安全风险,包括外部威胁、系统脆弱性、异常行为、运行状态,
外部威胁、系统脆弱性、异常行为和运行状态标准化后表示为:
外部威胁={攻击者,攻击发生时间,受害者,攻击行为,利用CVE,攻击手段,攻击工具,可信度,破坏程度,攻击后果,攻击阶段,后续可能的攻击};
系统脆弱性={资产信息,存在的漏洞CVE,不合规配置,开放的高危端口,存在的弱口令,脆弱性等级};
运行状态={资产标识,承载业务,部署位置,关联用户,当前状态:{运行进程,运行状态,开放端口,网络连接}};
异常行为={访问者,时间,访问目标,访问行为,访问源端口,访问目的端口,访问协议}。
4.基于风险全要素辨识关联的网络攻击场景重建系统,其特征是,包括风险全要素确定模块、新攻击标准化模块和攻击场景重建模块;
风险全要素确定模块,用于确定网络安全风险全要素;
新攻击标准化模块,用于获取新的攻击数据,并将新的攻击数据标准化为网络安全风险全要素;
攻击场景重建模块,用于将标准化得到的网络安全风险全要素输入攻击阶段有限状态机,确定攻击阶段有限状态机的状态,此状态机即为网络空间中的攻击场景;
所述攻击阶段有限状态机中包括若干个攻击阶段状态,状态机中的攻击阶段状态S={s0,s1,s2,s3,s4,s5,s6,s7,s8,s9},分别表示各攻击阶段状态分别为初始状态、信息收集、定向投递、漏洞利用、代码执行、权限提升、控制命令信道、横向移动、任务执行和驻留与持久化;
攻击阶段有限状态机中包括各攻击阶段状态间的转换条件和转换动作集{En,An},其中,n表示状态机的状态序号,En表示状态sn向其他状态变迁的转换条件集,具体表示为En={en1,en2,…enm},1≤m;An表示状态sn满足转换条件En后执行的状态转换动作,具体表示为An={an1,an2,…anm},1≤m;m表示从该状态进行转换的条件或动作的序号;
网络攻击阶段状态机中各状态的En和An具体如下:
s0:(e01)收到信息收集类的攻击威胁;(a01)状态转换为s1;
s1:(e11)后续一段时间内收到定向投递类攻击威胁,且可通过攻击者ip、所在地域、所属组织,判定为属于同一攻击者组;(a11)状态转换为s2;
(e12)后续一段时间内收到信息收集类攻击威胁,且可通过攻击者属性判定为属于同一攻击者组;(a12)状态保持为s1;
s2:(e21)后续一段时间内收到漏洞利用类攻击威胁,攻击目的相同,且可信度为高;(a21)状态转换为s3;
(e22)后续一段时间内收到漏洞利用类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标的脆弱性中存在攻击利用的漏洞、不合规配置、高危端口或不合规配置;(a22)状态转换为s3;
(e23)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,且可信度为高;(a23)状态转换为s4;
(e24)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标存在异常状态,包括正在运行恶意进程、存在与CC服务器的网络连接、开放端口被恶意程序利用;(a24)状态转换为s4;
s3:(e31)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,且可信度为高;(a31)状态转换为s4;
(e32)后续一段时间内收到代码执行类攻击威胁,攻击目的相同,可信度为中或低,且攻击目标的运行进程、网络连接、开放端口中存在相应异常;(a32)状态转换为s4;
s4:(e41)后续一段时间内收到权限提升类攻击威胁,且攻击目的相同;(a41)状态转换为s5;
(e42)后续一段时间内收到控制命令信道类攻击威胁,且攻击目的相同;(a42)状态转换为s6;
(e43)后续一段时间内收到代码执行类攻击威胁,且攻击目的相同;(a43)状态保持为s4;
s5:(e51)后续一段时间内收到横向移动类攻击威胁,且新威胁的攻击者与原攻击目的相同,且同时存在异常行为,其访问者、时间、访问目标、访问行为与新威胁的攻击者,攻击发生时间,受害者,攻击行为匹配;(a51)状态转换为s7;
(e52)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同;(a52)状态转换为s8;
s6:(e61)后续一段时间内收到横向移动类攻击威胁,且新威胁的攻击者与原攻击目的相同,且存在相应的网络访问行为;(a61)状态转换为s7;
(e62)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同;(a62)状态转换为s8;
s7:(e71)后续一段时间内收到驻留与持久化类攻击威胁,且攻击目的相同,或攻击者与原攻击目的相同;(a71)状态转换为s9;
(e72)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同,或新威胁的攻击者与原攻击目的相同;(a72)状态转换为s8;
s8:(e81)后续一段时间内收到驻留与持久化类攻击威胁,且攻击目的相同,或攻击者与原攻击目的相同;(a81)状态转换为s9;
(e82)后续一段时间内收到任务执行类攻击威胁,且攻击目的相同,或新威胁的攻击者与原攻击目的相同;(a82)状态保持为s8;
s9:(e91)后续一段时间内收到驻留与持久化类威胁,且攻击目的相同,存在相应的网络访问行为;(a91)状态保持为s9;
确定攻击阶段有限状态机的状态过程为:
1)如果当前状态机队列list为空,则新初始化一个状态机实例,执行4);
2)如果状态机队列非空,遍历状态机队列,若状态机可以接收新攻击,则进行新的状态转换,并根据转换规则获取网络安全风险全要素进行关联;
完成转换后状态若为s8或s9,输出攻击场景信息,从状态机序列list中删除此状态机实例;
3)当list中没有可以关联的状态机,则新初始化一个状态机实例,执行4);
4)当前状态机状态转换,若转换后状态不为s8或s9,将状态机实例增加到状态机序列list的队首,执行5);
5)监听新攻击进行关联。
5.根据权利要求4所述的基于风险全要素辨识关联的网络攻击场景重建系统,其特征是,网络安全风险全要素包括业务信息、资产信息、安全告警、安全日志、外部威胁、异常行为、网络流量、内外部情报、系统脆弱性和运行状态。
6.根据权利要求5所述的基于风险全要素辨识关联的网络攻击场景重建系统,其特征是,网络安全风险全要素中业务信息、资产信息、安全告警、安全日志、网络流量和内外部情报作为原始数据;通过对原始数据进行关联分析计算获得系统存在的网络安全风险,包括外部威胁、系统脆弱性、异常行为、运行状态,
外部威胁、系统脆弱性、异常行为和运行状态标准化后表示为:
外部威胁={攻击者,攻击发生时间,受害者,攻击行为,利用CVE,攻击手段,攻击工具,可信度,破坏程度,攻击后果,攻击阶段,后续可能的攻击};
系统脆弱性={资产信息,存在的漏洞CVE,不合规配置,开放的高危端口,存在的弱口令,脆弱性等级};
运行状态={资产标识,承载业务,部署位置,关联用户,当前状态:{运行进程,运行状态,开放端口,网络连接}};
异常行为={访问者,时间,访问目标,访问行为,访问源端口,访问目的端口,访问协议}。
7.一种计算系统,其特征在于,所述系统包括网络接口、存储器和处理器;其中,
所述网络接口,用于在与其他外部网元之间进行收发信息过程中,信号的接收和发送;
所述存储器,用于存储能够在所述处理器上运行的计算机程序指令;
所述处理器,用于在运行所述计算机程序指令时,执行权利要求1至3任一项所述基于风险全要素辨识关联的网络攻击场景重建方法的步骤。
8.一种计算机存储介质,其特征在于,所述计算机存储介质存储有基于风险全要素辨识关联的网络攻击场景重建方法的程序,所述基于风险全要素辨识关联的网络攻击场景重建方法的程序被至少一个处理器执行时实现权利要求1至3任一项所述基于风险全要素辨识关联的网络攻击场景重建方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910327057.5A CN110213226B (zh) | 2019-04-23 | 2019-04-23 | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910327057.5A CN110213226B (zh) | 2019-04-23 | 2019-04-23 | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110213226A CN110213226A (zh) | 2019-09-06 |
CN110213226B true CN110213226B (zh) | 2021-08-24 |
Family
ID=67786099
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910327057.5A Active CN110213226B (zh) | 2019-04-23 | 2019-04-23 | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110213226B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11824881B2 (en) | 2020-04-15 | 2023-11-21 | T-Mobile Usa, Inc. | On-demand security layer for a 5G wireless network |
US11799878B2 (en) | 2020-04-15 | 2023-10-24 | T-Mobile Usa, Inc. | On-demand software-defined security service orchestration for a 5G wireless network |
US11070982B1 (en) | 2020-04-15 | 2021-07-20 | T-Mobile Usa, Inc. | Self-cleaning function for a network access node of a network |
US11444980B2 (en) | 2020-04-15 | 2022-09-13 | T-Mobile Usa, Inc. | On-demand wireless device centric security for a 5G wireless network |
US11057774B1 (en) | 2020-05-14 | 2021-07-06 | T-Mobile Usa, Inc. | Intelligent GNODEB cybersecurity protection system |
US11206542B2 (en) | 2020-05-14 | 2021-12-21 | T-Mobile Usa, Inc. | 5G cybersecurity protection system using personalized signatures |
US11115824B1 (en) | 2020-05-14 | 2021-09-07 | T-Mobile Usa, Inc. | 5G cybersecurity protection system |
CN112019509B (zh) * | 2020-07-28 | 2022-12-20 | 杭州安恒信息技术股份有限公司 | 基于状态机的信息安全通报预警的方法、系统和电子装置 |
CN114205094B (zh) * | 2020-08-27 | 2023-04-14 | 腾讯科技(深圳)有限公司 | 一种网络攻击告警的处理方法、装置、设备和存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101047542A (zh) * | 2006-03-31 | 2007-10-03 | 中国科学院软件研究所 | 大规模网络安全性分析的方法 |
CN101707601A (zh) * | 2009-11-23 | 2010-05-12 | 成都市华为赛门铁克科技有限公司 | 入侵防御检测方法、装置和网关设备 |
CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
CN106790020A (zh) * | 2016-12-14 | 2017-05-31 | 北京东方棱镜科技有限公司 | 一种基于攻击范式的互联网异常行为检测方法与系统 |
CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
US9787706B1 (en) * | 2014-12-23 | 2017-10-10 | Fireeye, Inc. | Modular architecture for analysis database |
US10044752B1 (en) * | 2015-09-30 | 2018-08-07 | EMC IP Holding Company LLC | Null-byte injection detection |
-
2019
- 2019-04-23 CN CN201910327057.5A patent/CN110213226B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101047542A (zh) * | 2006-03-31 | 2007-10-03 | 中国科学院软件研究所 | 大规模网络安全性分析的方法 |
CN101707601A (zh) * | 2009-11-23 | 2010-05-12 | 成都市华为赛门铁克科技有限公司 | 入侵防御检测方法、装置和网关设备 |
US9787706B1 (en) * | 2014-12-23 | 2017-10-10 | Fireeye, Inc. | Modular architecture for analysis database |
CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
US10044752B1 (en) * | 2015-09-30 | 2018-08-07 | EMC IP Holding Company LLC | Null-byte injection detection |
CN106790020A (zh) * | 2016-12-14 | 2017-05-31 | 北京东方棱镜科技有限公司 | 一种基于攻击范式的互联网异常行为检测方法与系统 |
CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
Non-Patent Citations (2)
Title |
---|
基于状态机的入侵场景重构关键技术研究;冯学伟;《信息技术与网络安全》;20101231;第57-64页 * |
网络安全威胁态势评估与分析方法研究;马杰;《万方》;20111130;第1-122页 * |
Also Published As
Publication number | Publication date |
---|---|
CN110213226A (zh) | 2019-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110213226B (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
Bridges et al. | A survey of intrusion detection systems leveraging host data | |
Manoharan et al. | Revolutionizing Cybersecurity: Unleashing the Power of Artificial Intelligence and Machine Learning for Next-Generation Threat Detection | |
Salem et al. | A survey of insider attack detection research | |
Garitano et al. | A review of SCADA anomaly detection systems | |
CN111641634B (zh) | 一种基于蜜网的工业控制网络主动防御系统及其方法 | |
CN113225337A (zh) | 一种多步攻击警报关联方法、系统和存储介质 | |
US20230291755A1 (en) | Enterprise cybersecurity ai platform | |
Mohammad et al. | A novel local network intrusion detection system based on support vector machine | |
Kajal et al. | A hybrid approach for cyber security: improved intrusion detection system using Ann-Svm | |
CN112925805A (zh) | 基于网络安全的大数据智能分析应用方法 | |
Visumathi et al. | A computational intelligence for evaluation of intrusion detection system | |
CN111709021A (zh) | 一种基于海量告警的攻击事件识别方法及电子装置 | |
CN110460558B (zh) | 一种基于可视化的攻击模型发现的方法及系统 | |
CN115801366A (zh) | 攻击检测的方法、装置、电子设备及计算机可读存储介质 | |
Nalavade | Using machine learning and statistical models for intrusion detection | |
Wang et al. | Combating Advanced Persistent Threats: Challenges and Solutions | |
Chen et al. | Which is the greenest way home? A lightweight eco-route recommendation framework based on personal driving habits | |
Li et al. | Association analysis of cyber-attack attribution based on threat intelligence | |
CN112261006B (zh) | 一种用于发现威胁行为间依赖关系的挖掘方法、终端及存储介质 | |
Jun et al. | Research of intrusion detection system based on machine learning | |
Li et al. | A threat recognition solution of edge data security in industrial internet | |
CN115801458B (zh) | 一种针对多步攻击的实时攻击场景重构方法、系统与设备 | |
Du et al. | A Method of Network Behavior Recognition and Attack Scenario Reconstruction for Attack Kill Chain | |
Liu | Research on Forensic Analysis Method of Evidence Graph Model for Intrinsic Threat |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |