CN112769821B - 一种基于威胁情报和att＆ck的威胁响应方法及装置 - Google Patents

Abstract

本发明公开了一种基于威胁情报和ATT＆CK的威胁响应方法与装置，属于计算机网络安全技术领域。所述方法包括建立威胁情报库，从公开资源和传统安全设备中收集所述威胁情报，结合ATT＆CK框架解析攻击行为全生命周期，建立完整攻击链形式的攻击者机器学习模型；根据攻击者机器学习模型建立标签与处理规则的映射关系；使用基于DFI的深度流捡测技术对实时流量数据进行监控，识别并根据流量实时特征的变化不断更改标签值；根据标签与处理规则的映射关系激活威胁防御。本发明解决了威胁情报信息单一且杂乱无序导致溯源过程缺乏有效证据，以及通常采取的封禁和阻塞策略系统负载开销大的问题。

Description

一种基于威胁情报和ATT＆CK的威胁响应方法及装置

技术领域

本发明涉及计算机网络安全技术领域，特别是涉及一种基于威胁情报和ATT＆CK的威胁响应方法及装置。

背景技术

随着互联网的开放性和复杂性不断提高，大数据、云计算、物联网、5G移动通信网络等新型信息技术飞速发展，网络空间威胁也朝泛化和复杂化趋势发展。基于威胁情报进行网络安全防御能够及时分析已发生的入侵，对未来威胁态势研判，并据此评估潜在安全风险以指导用户指定有效安全决策。

传统安全防护仅仅依靠部署于边界或特殊节点的防火墙、IDS、IPS等安全设备进行静态控制，实行以特征检测为主的网络安全监控，并基于预先制定的规则来匹配产生告警信息。更为严峻的是，随着网络威胁呈泛化和持续化趋势发展，多样化的攻击切入点、高水平的入侵方式、系统化的攻击工具使安全威胁更加立体，难以及时防护。

在实现本发明过程中，发明人发现现有基于威胁情报的解决方案中缺乏有效的措施捕获攻击者，无法获知攻击者攻击方式，但漏洞仍存在，未解决根本问题；且威胁情报信息并不总是完整的，往往只包含单一或极少的攻击者信息，攻击行为在其生命周期中的意图及攻击流程无法紧密联系起来，杂乱无序，难以从庞大冗杂的信息集合中筛选出有效的情报，导致溯源过程缺乏证据；且针对攻击行为的响应多采用封禁，阻塞等方法，攻击者可随时更换IP或其他特征，使得封禁和阻塞策略会耗费大量资源，甚至造成网络阻塞或瘫痪。

发明内容

有鉴于此，本发明提供的一种基于威胁情报和ATT＆CK的威胁响应方法及装置，主要用于解决现有技术中威胁情报信息单一且杂乱无序，导致溯源过程缺乏有效证据，以及通常采取的封禁和阻塞策略系统负载开销大等问题。

根据本发明一个方面，提供了一种基于威胁情报和ATT＆CK的威胁响应方法，该方法包括：

S1建立威胁情报库：

外部威胁采集步骤：利用爬虫和开源威胁情报共享平台API自动化从公开资源中收集所述外部威胁情报为第一采集结果；

内部威胁采集步骤：从传统安全设备中收集所述内部威胁情报为第二采集结果；所述传统安全设备包括但不限于防火墙、IDS、IPS；所述内部威胁情报包括但不限于非法接入、未授权访问、身份认证、非常规操作、沙盒执行、恶意代码检测；

ATT＆CK解析步骤：通过ATT＆CK框架将所述第一采集结果与所述第二采集结果糅合，建立完整攻击链形式的攻击者机器学习模型，存入威胁情报数据库中；

S2建立标签与处理规则的映射关系：根据所述攻击者机器学习模型建立所述标签与处理规则的映射关系，每种标签对应一种威胁度；

S3威胁感知：使用基于DFI的深度流捡测技术对实时流量数据进行监控，识别出恶意攻击数据流，根据流量实时特征的变化不断更改所述恶意攻击数据流的标签；

S4威胁防御，根据所述标签与处理规则的映射关系激活所述威胁防御，包括：

响应策略步骤，当所述恶意攻击数据流的标签所对应的威胁度为较低时，采用蜜罐技术，并将流量引入蜜罐中，对攻击行为进行捕获和分析后获取攻击行为数据；当所述恶意攻击数据流的标签所对应的威胁度为较高时，加入黑名单进行威胁阻断；

反馈步骤，收集所述恶意攻击数据流中的威胁信息，用于丰富所述威胁情报数据库中的所述攻击者机器学习模型，根据所述攻击行为数据评估攻击风险并生成安全防护建议。

作为本发明的进一步改进，所述通过ATT＆CK框架将所述第一采集结果与所述第二采集结果糅合，建立完整攻击链形式的攻击者机器学习模型，具体为：通过自然语言处理方法NLP，结合ATT＆CK对所述第一采集结果与所述第二采集结果进行文本分类，词性标注，句法分析，信息检索，信息抽取，问答系统，机器翻译，逐步建立攻击者机器学习模型。

作为本发明的进一步改进，所述攻击者机器学习模型中所包含的威胁情报信息包括所述ATT＆CK框架在各攻击阶段中的检测对象及检测结果，所述攻击阶段包括但不限于：入口点阶段、命令执行阶段、持久化阶段、权限维持阶段、绕过防御阶段、横向渗透阶段、C2命令与控制阶段、信息窃取阶段。

作为本发明的进一步改进，所述检测对象包括但不限于：

所述入口点阶段中Nmap、WHOIS、Gscan、SeatBelt等检测工具的行为；

所述命令执行阶段中Winodws powershell脚本，Linux shell脚本，恶意链接，延时执行DLL，无文件攻击方式的行为；

所述持久化阶段中创建账户，修改进程，进程劫持，OFFICE异常启动，预启动的行为；

所述权限维持阶段中SID历史注入，PID欺骗，伪造令牌，事件触发执行的行为；

所述绕过防御阶段中目录和文件权限修改，隐藏文件，简介命令执行，安全软件异常关闭的行为；

所述横向渗透阶段中内部鱼叉，远程会话劫持，内网蠕虫，抓取登录凭证的行为；

所述C2命令与控制阶段中加密通道，非应用层协议，异常协议隧道，异常端口数据传输的行为；

所述信息窃取阶段中移动介质信息泄露，暗网信息售卖，漏洞库公告的行为。

作为本发明的进一步改进，所述检测结果包括但不限于：攻击者可能的意图、攻击者信息、攻击者利用方法及攻击工具。

作为本发明的进一步改进，具有蜜罐响应策略；所述蜜罐具体分为低交互性蜜罐、中交互性蜜罐、高交互性蜜罐；所述蜜罐响应策略用于根据所述恶意攻击数据流的标签来激活不同种类的蜜罐。

根据本发明另一个方面，提供了一种基于威胁情报和ATT＆CK的威胁响应装置，该装置包括：

威胁情报库模块，包括：

外部威胁采集子模块，被配置为：利用爬虫和开源威胁情报共享平台API自动化从公开资源中收集所述外部威胁情报为第一采集结果；

内部威胁采集子模块，被配置为：从传统安全设备中收集所述内部威胁情报为第二采集结果；所述传统安全设备包括但不限于防火墙、IDS、IPS；所述内部威胁情报包括但不限于非法接入、未授权访问、身份认证、非常规操作、沙盒执行、恶意代码检测；

ATT＆CK解析子模块，被配置为：通过ATT＆CK框架将所述第一采集结果与所述第二采集结果糅合，建立完整攻击链形式的攻击者机器学习模型，存入威胁情报数据库中；

所述威胁情报数据库，被配置为存储所述攻击者机器学习模型；

标签模块，根据所述攻击者机器学习模型建立标签与处理规则的映射关系，每种标签对应一种威胁度；

感知模块，被配置为：使用基于DFI的深度流捡测技术对实时流量数据进行监控，识别出恶意攻击数据流，根据流量实时特征的变化不断更改所述恶意攻击数据流的标签；

防御模块，根据所述标签模块的处理规则激活所述防御模块，包括：

响应策略子模块，当所述恶意攻击数据流的标签所对应的威胁度为较低时，采用蜜罐技术，并将流量引入蜜罐中，对攻击行为进行捕获和分析后获取攻击行为数据；当所述恶意攻击数据流的标签所对应的威胁度为较高时，加入黑名单进行威胁阻断；

反馈子模块，收集所述恶意攻击数据流中的威胁信息，用于丰富所述威胁情报数据库中的所述攻击者机器学习模型，根据所述攻击行为数据评估攻击风险并生成安全防护建议。

作为本发明的进一步改进，所述通过ATT＆CK框架将所述第一采集结果与所述第二采集结果糅合，建立完整攻击链形式的攻击者机器学习模型，具体为：通过自然语言处理方法NLP，结合ATT＆CK对所述第一采集结果与所述第二采集结果进行文本分类，词性标注，句法分析，信息检索，信息抽取，问答系统，机器翻译，逐步建立攻击者机器学习模型。

作为本发明的进一步改进，所述攻击者机器学习模型中所包含的威胁情报信息包括所述ATT＆CK框架在各攻击阶段中的检测对象及检测结果，所述攻击阶段包括但不限于：入口点阶段、命令执行阶段、持久化阶段、权限维持阶段、绕过防御阶段、横向渗透阶段、C2命令与控制阶段、信息窃取阶段。

作为本发明的进一步改进，具有蜜罐响应策略；所述蜜罐具体分为低交互性蜜罐、中交互性蜜罐、高交互性蜜罐；所述蜜罐响应策略用于根据所述恶意攻击数据流的标签来激活不同种类的蜜罐。

籍由上述技术方案，本发明提供的有益效果为：

(1)通过在威胁情报作用的全生命周期加入ATT＆CK框架，通过了解攻击者可能使用的技术，战术和程序，结合自身网络拓扑环境，业务点分析薄弱环境，在防御阶段、检测阶段增强系统响应能力，最终提升威胁感知能力，提高预测阶段的准确率。

(2)在防御阶段引入蜜罐技术，为节省系统资源采取全端口蜜罐动态激活策略，针对攻击行为响应从封禁、阻塞转为疏导，并通过蜜罐搜集攻击行为，攻击特征，攻击意图，攻击工具等，完善本地威胁情报库，保留溯源证据。

(3)引入标签技术，建立标签体系与威胁等级映射关系，结合威胁情报与蜜罐处理后的流量，赋予对应的威胁标签，方便分类，分析管理，同时利用标签值进行动态封禁，标签作为动态指标跟踪流量或程序行为，依据标签进行动态的黑名单管理，进而执行封禁、阻塞等操作。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种基于威胁情报和ATT＆CK的威胁响应方法整体结构图；

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

可以理解的是，本发明的说明书和权利要求书及附图中的方法与装置中的相关特征可以相互参考。另外，本发明的说明书和权利要求书及附图中的“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。

首先，在对本发明实施例进行描述的过程中出现的部分名词或者术语适用于如下解释：

ATT＆CK：Adversarial Tactics Techniques and Common Knowledge的缩写。是一个反映各个攻击生命周期的攻击行为的模型和知识库。ATT＆CK有助于理解已知的攻击者行为，技术、战术，准备检测措施，验证防御基础设施和分析策略的有效性。

TTP：Tactics，Techniques and Procedures，战术、技术及步骤。

DPI技术：DeepPacketInspection，深度包检测。DPI技术技术在分析包头的基础上，增加了对应用层的分析，是一种基于应用层的流量检测和控制技术，当IP数据包、TCP或UDP数据流经过基于DPI技术的带宽管理系统时，该系统通过深入读取IP包载荷的内容来对OSI7层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。

DFI技术：Deep/DynamicFlow Inspection，深度/动态流检测。DFI采用的是一种基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态各有不同。例如，网上IP语音流量体现在流状态上的特征就非常明显：RTP流的包长相对固定，一般在130～220byte，连接速率较低，为20～84kbit/s，同时会话持续时间也相对较长；而基于P2P下载应用的流量模型的特点为平均包长都在450byte以上、下载时间长、连接速率高、首选传输层协议为TCP等。DFI技术正是基于这一系列流量的行为特征，建立流量特征模型，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比，从而实现鉴别应用类型。

本发明要解决的核心技术问题为，主要用于解决现有技术中威胁情报信息单一且杂乱无序，导致溯源过程缺乏有效证据，以及通常采取的封禁和阻塞策略系统负载开销大等问题。

针对上述技术问题，本发明提出一种基于威胁情报和ATT＆CK的威胁响应方法与装置，针对溯源过程缺乏证据问题，本发明在威胁情报作用的全生命周期加入ATT＆CK框架，思路由守转攻，以攻击者角度，通过了解攻击者可能使用的技术，战术和程序，结合自身网络拓扑环境，业务点分析薄弱环境；在防御阶段引入蜜罐技术搜集攻击行为、攻击特征、攻击意图、攻击工具等，完善本地威胁情报库；实现攻击溯源证据的完备。针对现有技术中过多的封禁策略导致系统负载开销大的问题，本发明引入标签技术，建立标签体系与威胁等级映射关系，利用标签执行动态响应策略，不占用过多系统资源和黑名单池。

实施例1

图1为本发明实施例提供的一种基于威胁情报和ATT＆CK的威胁响应方法整体结构图。

S1建立威胁情报库：

S11外部威胁采集步骤：利用爬虫和开源威胁情报共享平台API自动化从公开资源中收集外部威胁情报为第一采集结果；

具体来说为建立一种开源威胁情报收集查询框架，自动化从各种公开资源中收集威胁情报，利用爬虫和开源威胁情报共享平台API，简化外部收集流程，快速收集整理。其中，爬虫部分主要针对Twitter，Tor，暗网论坛，安全门户网站360，freebuf，fireeye，MCAfee等目标，利用Python中的BeautifuleSoup，Requests，Scrapy等库进行网页解析、页面内容爬取。API部分，主要针对开源的威胁情报共享平台和厂商，例如：AlienVault OTX，GreyNoise，Hunter，MalShare等，平台均提供固定的接口来调用收集信息。

针对外部威胁采集模块采集到的数据，一般情况下均是威胁情报国际标准STIX设定好的一种标准化和结构化的格式。将采集到的数据存入本地威胁情报数据库，因其本身是代表具有联系的一连串攻击行为，所以采用关系型数据库存储更为合理，如Mysql，Mssql等。

S12内部威胁采集步骤：从传统安全设备中收集内部威胁情报为第二采集结果；传统安全设备包括但不限于防火墙、IDS、IPS；内部威胁情报包括但不限于非法接入、未授权访问、身份认证、非常规操作、沙盒执行、恶意代码检测；

S13 ATT＆CK解析步骤：通过ATT＆CK框架将第一采集结果与第二采集结果糅合，建立完整攻击链形式的攻击者机器学习模型，存入威胁情报数据库中；

具体来说，从攻击者角度，结合ATT＆CK Matrix通过对攻击者的TTP(Tactics，Techniques and Procedures，战术、技术及步骤)分析，识别出需要优先处理的技术点，提高溯源准确度。

首先通过对ATT＆CK Matrix解析，并结合本地网络拓扑环境构建攻击者路径。ATT＆CK框架几乎完整的包含了攻击者所可能使用的方法，通过的途径等。基于此模拟并建立攻击者攻击路径模型。其中，基于攻击者角度，攻击路径为入口点--＞命令执行--＞持久化(控制)--＞权限维持--＞绕过防御--＞(获取)凭证访问--＞(内网)资产发现--＞横向渗透--＞收集--＞C2命令与控制--＞信息窃取。

入口点阶段：攻击者需要进行信息收集，了解内部相关网络情况、设备型号，版本等。在此阶段，模拟攻击搜集请求，搜集例如Nmap、WHOIS、Gscan、SeatBelt等检测工具的行为。

命令执行阶段：攻击者在该阶段的攻击方式包括：Winodws powershell脚本，Linux shell脚本，恶意链接，延时执行DLL，无文件攻击方式等。

持久化(控制)阶段：攻击者在该阶段的攻击方式包括：创建账户，修改进程，进程劫持，OFFICE异常启动，预启动等。

权限维持阶段：攻击者在该阶段的攻击方式包括：SID历史注入，PID欺骗，伪造令牌，事件触发执行等。

绕过防御阶段：攻击者在该阶段的攻击方式包括：目录和文件权限修改，隐藏文件，简介命令执行，安全软件异常关闭等。

横向渗透阶段：攻击者在该阶段的攻击方式包括：内部鱼叉，远程会话劫持，内网蠕虫，抓取登录凭证等。

C2命令与控制阶段：攻击者在该阶段的攻击方式包括：加密通道，非应用层协议，异常协议隧道，异常端口数据传输等。

信息窃取阶段：攻击者在该阶段的攻击方式包括：移动介质信息泄露，暗网信息售卖，漏洞库公告等。

基于以上解析生成攻击者机器学习模型，该模型利用人工智能技术AI中的自然语言处理方法NLP建模，威胁情报包括中英文文本，视频，音频，比特流，或其它复杂格式等，通过自然语言处理方法NLP，结合ATT＆CK对第一采集结果与第二采集结果进行文本分类，词性标注，句法分析，信息检索，信息抽取，问答系统，机器翻译，逐步建立攻击者机器学习模型。

通过ATT＆CK解析子模块，将内部威胁采集结果与外部威胁采集结果糅合，经过ATT＆CK处理生成攻击者机器学习模型后，存入本地威胁情报数据库中。攻击者机器学习模型中所包含的威胁情报信息包括ATT＆CK框架在攻击所有的阶段中所检测的对象以及检测结果，检测结果包括攻击者可能的意图、攻击者信息、攻击者利用方法以及攻击工具等，相较于现有技术中单一的威胁情报信息更为丰富完整。本方法实施例中建立的完整的攻击链形式的攻击者机器学习模型，可用于与感知模块中流量检测时进行特征匹配和识别恶意攻击数据流，也可以用于在攻击溯源过程中进行特征匹配。

S2建立标签与处理规则的映射关系：根据攻击者机器学习模型建立所述标签与处理规则的映射关系，每种标签对应一种威胁度；

基于应用场景先建立类似的标签体系与处理规则的映射关系，预先设定各个攻击行为属性的权重系数，利用标签体系对应数据特征并标识，令处理规则规范化，通用化。传统建立标签索引方式以单独的IP作为标识来标记信息，这样会导致标记量过大，增加工作量。本实施例中的标签规则还可以避免因为攻击者伪造IP等信息造成标记量过大，耗费资源。下表为一种标签规则的示例。

表1标签规则

威胁权重	威胁情报特征
		1	(IP、hash、Domain等)泛指具有C＆c，提权等高危的行为特征
2	(IP、hash、Domain等)泛指具有命令执行，ARP等中高危的行为特征
		3	(IP、hash、Domain等)泛指具有后门流量，绕过waf等中危的行为特征
4	(IP、hash、Domain等)泛指具有探测，扫描，搜集等低危的行为特征

该方法中建立的标签体系，每种标签都对应一种威胁权重，代表了经过威胁情报和ATT＆CK分析后的威胁行为或攻击特征。该标签贯穿本系统全周期，基于该标签体系的响应策略，激活防御模块。提高感知模块的准确度。

S3威胁感知：使用基于DFI的深度流捡测技术对实时流量数据进行监控，识别出恶意攻击数据流，根据流量实时特征的变化不断更改恶意攻击数据流的标签；

基于DFI流量分析技术，利用不同的应用类型体现在会话连接和数据流上状态不同，建立流量特征模型，通过分析会话连接流的包长、连接速率、传输字节量、包与包间隔等信息结合威胁情报和ATT＆CK分析结果对比，对流量数据进行监控、赋予标签以及响应，根据流量实时特征不断更改所赋予的标签值。

具体来说，流是一定时间内具有相同的目的地址、源地址、目的端口地址、源端口地址和传输协议报文的集合。深度流检测DPI就是以流为基本研究对象，从庞大网络流数据中提取流的特征，如流大小、流速率等，从而判断一个流是否正常的技术。

各类网络安全问题中，数据流可能产生一系列异常，如heavy-hitters(持续大流量，例如当下载恶意软件时)，heavy-changers(瞬时流量变化，例如当发送一个大的敏感文件时)，高速流(例如当频繁交互时)，super spread流(广播流，例如当攻击其他主机时)以及较小流(例如当发送控制命令时)，此时，使用深度流捡测技术就能从中发现异常。深度流检测技术由于不用对应用层数据进行深挖，只需要提取流特征以后做统计，故具有良好的性能，并且可以查出一些加密的异常，因此，可作为防御的第一步，先检测出异常的数据流，然后对异常数据流做进一步的深度挖掘，从而找到各种攻击威胁的源头。

深度流检测技术主要分为三部分：流特征选择、流特征提取、分类器。其中常见的流特征有：

(1)流中数据包的总个数；

(2)流中数据包的总大小；

(3)流的持续时间；

(4)在一定的流深度，流中包的最小、最大长度及均方差；

(5)在一定的流深度，流中最小、最大时间及均方差；

(6)在一定的流深度，某方向上的数据包总和。

本实施例中使用常见的特征选择算法，包括BIF(Best lndividual Feature)算法、MIFS(Mutual lnforTnationFeature Selection)算法、MIFS-U(Mutual lnformationFeature Selection-Uncertainty)算法、FCBF(Fast Correlation-based Filter)算法等，用于选择影响因子最大的流特征，用于对攻击流量的识别。

分类器先以样本集训练出分类模型，然后对待识别的数据流统计特征进行分析，识别出与APT攻击有关的恶意流量。本实施例中使用分类器中常见的分类方法：贝叶斯、SVM(SupportVector Machine)、神经网络、决策树等。

在深度流检测中，首先对会话流进行识别，提取其流特征，然后经由分类器进行分析，如果判断为可疑流量，则结合本技术领域常用的上下行流量对称法、时间跨度均衡法、行为链关联法等方法进行延迟监控判别；如果判断为异常，则对数据包进行拆分，在数据包空白字段依据标签模块的规则设置标签。

本实施例中使用的基于DFI流量检测技术与目前多数基于DPI的流量检测技术相比，具有更快的处理速度，基于DPI的带宽管理系统的处理能力仅为线速1Gbit/s，基于DFI的系统可以达到线速10Gbit/s，完全可以满足企业网络流量管理的需求；具有更低的维护成本，DFI技术的系统在管理维护上因为同一类型的应用与旧的相比，在流量特征上没有大的变化，因此不需要过多的进行模型升级；具有更高的识别准确率，在加密传输数据包的情况下，DPI的流控技术不能识别到具体应用，而DFI不受影响，应用流的状态行为特征不因加密而改变，特别是针对nmap、sqlmap、burpsuite、msf、cs等常用知名工具的检测和威胁行为分析上，DFI技术无疑是更好的。

S4威胁防御，根据标签与处理规则的映射关系激活所述威胁防御。

S41响应策略步骤，当恶意攻击数据流的标签所对应的威胁度为较低时，采用蜜罐技术，并将流量引入蜜罐中，对攻击行为进行捕获和分析后获取攻击行为数据；当所述恶意攻击数据流的标签所对应的威胁度为较高时，加入黑名单进行威胁阻断；

其中，蜜罐本身分为低交互、中交互和高交互。

低交互性蜜罐：仅模拟端口扫描程序可能检测到的最基本级别的侦听UDP或TCP端口。但不允许完全连接或登录。低交互性蜜罐非常适合提供恶意行为的预警。

中交互性蜜罐：通常使连接或登录尝试看起来很成功。它们甚至可能包含可以用来欺骗攻击者的基本文件结构和内容。

高交互性蜜罐：通常会提供其仿真服务器的完整或接近完整的副本。它们对于取证分析非常有用，因为它们经常诱骗黑客和恶意软件以揭示更多诱骗手段。

本实施例可根据网络实际环境需求，部署TCP，UDP，全端口等多种蜜罐。对于MongoDB-HoneyProxy、Elastic Honey、NoSQLpot、ESPot、Delilah、tcppc-go等基于不同服务的蜜罐，构造与本地生产环境几乎相似的网络蜜罐，依赖蜜罐响应策略激活，节省系统资源。例如标签代表的威胁程度低，就激活低交互蜜罐，只用来搜集简单的信息；如果威胁程度高，则采取封禁或者引入到高交互蜜罐，高交互蜜罐模拟整个网络拓扑，诱导攻击者去攻击，方便收集攻击信息，完善威胁情报库，溯源取证。

在响应过程中，基于DFI技术进行流量包拆解，对标签值进行识别，针对较低的威胁流量请求激活蜜罐，并将流量引入蜜罐中，通过布置作为诱饵的主机、网络服务或信息，模拟的真实网络拓扑环境，诱使攻击者实施攻击，对攻击行为进行捕获和分析，了解攻击方使用的工具与方法，推测攻击意图和攻击；其次对于威胁较严重的流量请求，加入黑名单，并传递至各安全防御软件，激活系统内各软件动态阻断攻击行为，及时防护。同时，在一定生命周期内根据标签值的变化改变策略，持续封禁或放行等，不占用过多系统资源和黑名单池。

S42反馈步骤，收集恶意攻击数据流中的威胁信息，用于丰富威胁情报数据库中的攻击者机器学习模型，根据攻击行为数据评估攻击风险并生成安全防护建议。

具体来说，在感知与响应过程中，收集数据流中的威胁信息，丰富威胁情报数据库中的攻击者机器学习模型，清晰地了解所面对的已知安全威胁，可促进通过技术和管理手段增强实际系统的安全防护能力。

实施例2

进一步的，作为对上述实施例所示方法的实现，本发明另一实施例还提供了一种基于威胁情报和ATT＆CK的威胁响应装置。该装置实施例与前述方法实施例对应，为便于阅读，本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述，但应当明确，本实施例中的装置能够对应实现前述方法实施例中的全部内容。在该实施例的装置中，具有以下模块：

一：威胁情报库模块，对应于实施例1中的S1建立威胁情报库。

外部威胁采集子模块，利用爬虫和开源威胁情报共享平台API自动化从公开资源中收集外部威胁情报为第一采集结果。外部威胁采集子模块对应于实施例1中的外部威胁采集步骤。

内部威胁采集子模块，从传统安全设备中收集内部威胁情报为第二采集结果；传统安全设备包括但不限于防火墙、IDS、IPS；内部威胁情报包括但不限于非法接入、未授权访问、身份认证、非常规操作、沙盒执行、恶意代码检测。内部威胁采集子模块对应于实施例1中的内部威胁采集步骤。

ATT＆CK解析子模块，通过ATT＆CK框架将第一采集结果与第二采集结果糅合，建立完整攻击链形式的攻击者机器学习模型，存入威胁情报数据库中。ATT＆CK解析子模块对应于实施例1中的ATT＆CK解析步骤。

威胁情报数据库子模块，存储攻击者机器学习模型。

二：标签模块，根据攻击者机器学习模型建立标签与处理规则的映射关系，每种标签对应一种威胁度。标签模块对应于实施例1中的S2建立标签与处理规则的映射关系。

三：感知模块，使用基于DFI的深度流捡测技术对实时流量数据进行监控，识别出恶意攻击数据流，根据流量实时特征的变化不断更改恶意攻击数据流的标签。感知模块对应于实施例1中的S3威胁感知。

四：防御模块，根据标签模块的处理规则激活防御模块，对应于实施例1中的S4威胁防御。

响应策略子模块，当恶意攻击数据流的标签所对应的威胁度为较低时，采用蜜罐技术，并将流量引入蜜罐中，对攻击行为进行捕获和分析后获取攻击行为数据；当恶意攻击数据流的标签所对应的威胁度为较高时，加入黑名单进行威胁阻断。响应策略子模块对应于实施例1中的响应策略步骤。

反馈子模块，收集恶意攻击数据流中的威胁信息，用于丰富威胁情报数据库中的所述攻击者机器学习模型，根据所述攻击行为数据评估攻击风险并生成安全防护建议。反馈子模块对应于实施例1中的反馈步骤。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实装置施例的相关描述。

可以理解的是，上述方法和中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims (2)

1.一种基于威胁情报和ATT&CK的威胁响应方法，其特征在于，包括：

S1建立威胁情报库：

外部威胁采集步骤：利用爬虫和开源威胁情报共享平台API自动化从公开资源中收集外部威胁情报为第一采集结果；

内部威胁采集步骤：从传统安全设备中收集内部威胁情报为第二采集结果；所述传统安全设备包括防火墙、IDS、IPS；所述内部威胁情报包括非法接入、未授权访问、身份认证、非常规操作、沙盒执行和恶意代码检测；

ATT&CK解析步骤：通过ATT&CK框架将所述第一采集结果与所述第二采集结果糅合，建立完整攻击链形式的攻击者机器学习模型，存入威胁情报数据库中；所述通过ATT&CK框架将所述第一采集结果与所述第二采集结果糅合，建立完整攻击链形式的攻击者机器学习模型，具体为：通过自然语言处理方法NLP，结合ATT&CK对所述第一采集结果与所述第二采集结果进行文本分类，词性标注，句法分析，信息检索，信息抽取，问答系统，机器翻译，逐步建立攻击者机器学习模型；所述攻击者机器学习模型中所包含的威胁情报信息包括所述ATT&CK框架在各攻击阶段中的检测对象及检测结果，所述攻击阶段包括：入口点阶段、命令执行阶段、持久化阶段、权限维持阶段、绕过防御阶段、横向渗透阶段、C2命令与控制阶段和信息窃取阶段；

所述检测对象包括：所述入口点阶段中检测工具的行为，所述检测工具包括Nmap、WHOIS、Gscan及SeatBelt；所述命令执行阶段中的行为，包括Winodws powershell脚本，Linux shell脚本，恶意链接，延时执行DLL以及无文件攻击方式；所述持久化阶段中的行为，包括创建账户，修改进程，进程劫持，OFFICE异常启动及预启动；所述权限维持阶段中的行为，包括SID历史注入，PID欺骗，伪造令牌及事件触发执行；所述绕过防御阶段中的行为，包括：目录和文件权限修改，隐藏文件，简介命令执行及安全软件异常关闭；所述横向渗透阶段中的行为，包括内部鱼叉，远程会话劫持，内网蠕虫，抓取登录凭证；所述C2命令与控制阶段中的行为，包括加密通道，非应用层协议，异常协议隧道以及异常端口数据传输；所述信息窃取阶段中的行为，包括移动介质信息泄露，暗网信息售卖以及漏洞库公告；

所述检测结果包括：攻击者可能的意图、攻击者信息、攻击者利用方法及攻击工具；

S2建立标签与处理规则的映射关系：根据所述攻击者机器学习模型建立所述标签与处理规则的映射关系，每种标签对应一种威胁度；

S3威胁感知：使用基于DFI的深度流捡测技术对实时流量数据进行监控，识别出恶意攻击数据流，利用不同的应用类型体现在会话连接和数据流上状态不同，建立流量特征模型，通过分析会话连接流信息结合威胁情报和ATT&CK分析结果对比，对流量数据进行监控、赋予标签以及响应，根据流量实时特征的变化不断更改所述恶意攻击数据流的标签；所述会话连接流信息包括包长、连接速率、传输字节量以及包与包间隔；所述深度流检测技术包括：流特征选择、流特征提取、分类器；在所述深度流检测中，首先对所述实时流量数据进行识别，提取所述实时流量数据的流特征，然后经由所述分类器进行分析，如果判断为可疑流量，则结合上下行流量对称法、时间跨度均衡法、行为链关联法方法进行延迟监控判别；如果判断为异常，则对数据包进行拆分，在数据包空白字段依据标签模块的规则设置标签；

S4威胁防御，根据所述标签与处理规则的映射关系激活所述威胁防御，包括：

响应策略步骤，当所述恶意攻击数据流的标签所对应的威胁度为较低时，采用蜜罐技术，并将流量引入蜜罐中，对攻击行为进行捕获和分析后获取攻击行为数据；具有蜜罐响应策略；所述蜜罐具体分为低交互性蜜罐、中交互性蜜罐、高交互性蜜罐；所述蜜罐响应策略用于根据所述恶意攻击数据流的标签来激活不同种类的蜜罐；当所述恶意攻击数据流的标签所对应的威胁度为较高时，加入黑名单进行威胁阻断；

反馈步骤，收集所述恶意攻击数据流中的威胁信息，用于丰富所述威胁情报数据库中的所述攻击者机器学习模型，根据所述攻击行为数据评估攻击风险并生成安全防护建议。

2.一种基于威胁情报和ATT&CK的威胁响应装置，其特征在于，包括：

威胁情报库模块，包括：

外部威胁采集子模块，被配置为：利用爬虫和开源威胁情报共享平台API自动化从公开资源中收集外部威胁情报为第一采集结果；

内部威胁采集子模块，被配置为：从传统安全设备中收集内部威胁情报为第二采集结果；所述传统安全设备包括防火墙、IDS、IPS；所述内部威胁情报包括非法接入、未授权访问、身份认证、非常规操作、沙盒执行和恶意代码检测；

ATT&CK解析子模块，被配置为：通过ATT&CK框架将所述第一采集结果与所述第二采集结果糅合，建立完整攻击链形式的攻击者机器学习模型，存入威胁情报数据库中；具体为：通过自然语言处理方法NLP，结合ATT&CK对所述第一采集结果与所述第二采集结果进行文本分类，词性标注，句法分析，信息检索，信息抽取，问答系统，机器翻译，逐步建立攻击者机器学习模型；所述攻击者机器学习模型中所包含的威胁情报信息包括所述ATT&CK框架在各攻击阶段中的检测对象及检测结果，所述攻击阶段包括：入口点阶段、命令执行阶段、持久化阶段、权限维持阶段、绕过防御阶段、横向渗透阶段、C2命令与控制阶段和信息窃取阶段；

所述检测对象包括：所述入口点阶段中检测工具的行为，所述检测工具包括Nmap、WHOIS、Gscan及SeatBelt；所述命令执行阶段中的行为，包括Winodws powershell脚本，Linux shell脚本，恶意链接，延时执行DLL以及无文件攻击方式；所述持久化阶段中的行为，包括创建账户，修改进程，进程劫持，OFFICE异常启动及预启动；所述权限维持阶段中的行为，包括SID历史注入，PID欺骗，伪造令牌及事件触发执行；所述绕过防御阶段中的行为，包括：目录和文件权限修改，隐藏文件，简介命令执行及安全软件异常关闭；所述横向渗透阶段中的行为，包括内部鱼叉，远程会话劫持，内网蠕虫，抓取登录凭证；所述C2命令与控制阶段中的行为，包括加密通道，非应用层协议，异常协议隧道以及异常端口数据传输；所述信息窃取阶段中的行为，包括移动介质信息泄露，暗网信息售卖以及漏洞库公告；

所述检测结果包括：攻击者可能的意图、攻击者信息、攻击者利用方法及攻击工具；

标签模块，根据所述攻击者机器学习模型建立标签与处理规则的映射关系，每种标签对应一种威胁度；

感知模块，被配置为：使用基于DFI的深度流捡测技术对实时流量数据进行监控，识别出恶意攻击数据流，利用不同的应用类型体现在会话连接和数据流上状态不同，建立流量特征模型，通过分析会话连接流信息结合威胁情报和ATT&CK分析结果对比，对流量数据进行监控、赋予标签以及响应，根据流量实时特征的变化不断更改所述恶意攻击数据流的标签；所述会话连接流信息包括包长、连接速率、传输字节量以及包与包间隔；所述深度流检测技术包括：流特征选择、流特征提取、分类器；在所述深度流检测中，首先对所述实时流量数据进行识别，提取所述实时流量数据的流特征，然后经由所述分类器进行分析，如果判断为可疑流量，则结合上下行流量对称法、时间跨度均衡法、行为链关联法方法进行延迟监控判别；如果判断为异常，则对数据包进行拆分，在数据包空白字段依据标签模块的规则设置标签；

防御模块，根据所述标签模块的处理规则激活所述防御模块，包括：

响应策略子模块，当所述恶意攻击数据流的标签所对应的威胁度为较低时，采用蜜罐技术，并将流量引入蜜罐中，对攻击行为进行捕获和分析后获取攻击行为数据；具有蜜罐响应策略；所述蜜罐具体分为低交互性蜜罐、中交互性蜜罐、高交互性蜜罐；所述蜜罐响应策略用于根据所述恶意攻击数据流的标签来激活不同种类的蜜罐；当所述恶意攻击数据流的标签所对应的威胁度为较高时，加入黑名单进行威胁阻断；

反馈子模块，收集所述恶意攻击数据流中的威胁信息，用于丰富所述威胁情报数据库中的所述攻击者机器学习模型，根据所述攻击行为数据评估攻击风险并生成安全防护建议。

Images