发明内容
本发明的目的在于:克服现有技术的不足,提供了一种针对APT攻击的态势感知节点防御方法及系统。在网络中设置虚拟备份节点,在系统感知到网络节点受到APT攻击时,将网络节点的数据信息存储到虚拟备份节点中,让虚拟备份节点与该网络节点的关联网络节点建立通信连接,保障整个网络的正常通信,实现态势感知系统节点防御。
为实现上述目标,本发明提供了如下技术方案:
一种针对APT攻击的态势感知节点防御方法,所述方法包括步骤:
采集网络节点受到APT攻击的信息,对前述网络节点设置虚拟备份节点;
建立前述网络节点与前述虚拟备份节点的通信连接,将前述网络节点的数据信息存储到虚拟备份节点中,截断该网络节点与关联网络节点的连接;
建立前述虚拟备份节点与关联网络节点的连接。
进一步,还包括步骤:
采集前述网络节点上的日志信息,获取APT攻击信息,对前述APT攻击信息进行反向追溯,以获取攻击源信息,所述攻击源信息包括攻击方式信息;
将前述攻击方式信息存储在态势感知系统威胁情报数据库。
进一步,获取态势感知系统威胁情报数据库存储的攻击方式信息,通过分析得到前述APT攻击的攻击规则信息,根据攻击规则信息模拟攻防场景。
进一步,将前述网络节点的数据信息存储到虚拟备份节点中,获取网络节点中的原始数据信息、攻击方式信息和日志信息后存储到所述虚拟备份节点中。
进一步,采集网络节点受到APT攻击的信息时,提高前述网络节点中的数据信息的安全等级。
进一步,在设置网络节点的虚拟备份节点时,通过变更虚拟备份节点来躲避攻击,步骤如下:
S111,判断APT攻击是否持续针对一个网络节点,判定为是的情况下,执行步骤S112;
S112,根据该网络节点受到的攻击次数调整对应的虚拟备份节点,所述网络节点设置有多个虚拟备份节点,包括第一虚拟备份节点、第二虚拟备份节点、…、第N虚拟备份节点,其中,N为大于1的整数;对第N次攻击设置第N虚拟备份节点以使每次攻击下设置的虚拟备份节点不同;将网络节点的数据信息转移到当前设置的虚拟备份节点上;
S113,判定为否的情况下,获取被攻击的多个网络节点信息,对于每一个网络节点,执行步骤S112。
进一步,包括步骤:检测到网络节点受到APT攻击时,对该网络节点的数据信息进行修改和/或加密;
以及检测到攻击者下载前述数据信息时,进行反向追踪。
进一步,包括步骤:
S121,检测前述虚拟备份节点的日志信息,判定前述虚拟备份节点受到APT攻击时,执行步骤S122;
S122,对该虚拟备份节点设置新虚拟备份节点;建立前述虚拟备份节点与前述新虚拟备份节点的通信连接,将前述虚拟备份节点的数据信息存储到新虚拟备份节点中,截断该虚拟备份节点与前述关联网络节点的连接以用新虚拟备份节点代替虚拟备份节点,建立前述新虚拟备份节点与关联网络节点的连接;
S123,检测前述新虚拟备份节点受到APT攻击时,对该新虚拟备份节点设置再新虚拟备份节点;建立前述新虚拟备份节点与前述再新虚拟备份节点的通信连接,将前述新虚拟备份节点的数据信息存储到再新虚拟备份节点中,截断该新虚拟备份节点与前述关联网络节点的连接以用再新虚拟备份节点代替新虚拟备份节点,建立前述再新虚拟备份节点与关联网络节点的连接;
S124,依此类推,重复步骤S123,以保证最新的虚拟备份节点未受到APT攻击。
进一步,对受到APT攻击的虚拟备份节点的日志信息进行分析以获取攻击方式信息;以及,检测到攻击者从前述受到APT攻击的虚拟备份节点中下载数据信息时,进行反向追踪。
本发明还提供了一种针对APT攻击的态势感知节点防御系统,所述系统包括处理器和存储器,所述处理器包括:
节点威胁分析模块,用于采集网络节点受到APT攻击的信息,并对前述网络节点设置虚拟备份节点;
节点传感模块,用于建立前述网络节点与前述虚拟备份节点的通信连接,将前述网络节点的数据信息存储到虚拟备份节点中,截断该网络节点与关联网络节点的连接;
备份节点连接模块,用于建立前述虚拟备份节点与关联网络节点的连接。
本发明由于采用以上技术方案,与现有技术相比,作为举例,具有以下的优点和积极效果:本发明将网络节点数据信息存储在虚拟备份节点中,用虚拟备份节点与该网络节点的关联网络节点继续保持通信链路的连接,根据网络中的攻击方式信息,实时改变数据信息的存储路径,让攻击者难以找到数据信息的存储地址进行攻击。另一方面,为防止攻击者根据新连通的虚拟备份节点信息对虚拟备份节点进行攻击,本发明还提出了根据攻击次数信息或攻击对象变更虚拟备份节点。再一方面,窃取隐私数据,针对受到攻击的网络节点,提供修改后的加密数据供攻击者下载,对攻击者实现反向追溯,提高态势感知节点防御能力。
具体实施方式
以下结合附图和具体实施例对本发明公开的一种针对APT攻击的态势感知节点防御方法及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明提供的一种针对APT攻击的态势感知节点防御方法的流程图S10,所述方法的实施步骤如下:
S100,采集网络节点受到APT攻击的信息,对前述网络节点设置虚拟备份节点。
所述的网络节点,是指处于网络环境中具有独立网络地址和数据处理功能的终端,所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。网络节点可以是工作站、客户、网络用户或个人计算机,也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点,这些网络节点通过通信线路连接,形成网络拓扑结构。所述通信线路可以是有线通信方式,也可以是无线通信方式。
所述的虚拟备份节点可以是实体终端,也可以是具有网络地址并能够进行数据处理的虚拟终端(也称为虚拟服务器),能够用来存储网络节点的数据信息,具有数据信息存储空间和网络地址。所述网络地址用于访问前述虚拟终端,可以是网站名称、IP地址、Port端口号信息。
S200,建立前述网络节点与前述虚拟备份节点的通信连接,将前述网络节点的数据信息存储到虚拟备份节点中,截断该网络节点与关联网络节点的连接。
建立所述的通信连接所采用的通信协议包括但不限于TCP、UDP、ICMP、HTTP协议。
所述的关联网络节点是网络环境中与前述网络节点具有通信连接的网络节点。
S300,建立前述虚拟备份节点与关联网络节点的连接。
在本实施例中,还可以对网络节点上的攻击信息进行反向追溯。具体的包括如下步骤:采集前述网络节点上的日志信息,获取APT攻击信息,对前述APT攻击信息进行反向追溯,以获取攻击源信息,所述攻击源信息包括攻击方式信息;将前述攻击方式信息存储在态势感知系统威胁情报数据库中。
所述态势感知系统威胁情报数据库,可以由用户和/或系统设置,用于存储威胁情报。
所述的日志信息包括但不限于下述信息:
连接持续的时间,其数值以秒为单位,例如,其数值范围可以是:[0,58329];
协议类型,包括但不限于TCP、UDP、ICMP;
目标主机的网络服务类型;
连接正常或错误的状态;
从源主机到目标主机的数据字节数,例如,其数值范围可以是:[0,1379963888];
从目标主机到源主机的数据字节数,例如,其数值范围可以是:
[0,1309937401];
连接是否来自同一个主机,是否有相同的端口;
错误分段的数量,例如,其数值范围可以是:[0,3];
加急包的个数,例如,其数值范围可以是:[0,14]。
优选的,所述攻击方式信息包括但不限于攻击方式名称、攻击时间、攻击频率、攻击目标、攻击目的、攻击手段、攻击程度、攻击现象和攻击后果。
所述的威胁情报可以来源于两个方面:一是内部,其数据来源涉及有要保护的资产和环境属性类数据、各种内部设备和系统上的日志数据、告警数据、捕获来的数据包信息、统计信息、元数据等;二是外部,从第三方来源收集数据,并将这些数据与前述内部威胁情报来源收集来的数据相关联,在与被保护对象有关联时视为威胁情报。
作为优选的实施例,进一步,还可以获取态势感知系统威胁情报数据库存储的攻击方式信息,通过分析得到前述APT攻击的攻击规则信息,根据攻击规则信息模拟攻防场景。
优选的,在模拟攻防场景时,根据攻击方式信息提炼攻击规则后,建立攻击模型和防御模型;然后,基于所述攻击模型和防御模型搭建能够模拟攻防场景的用户操作平台。
本实施例的优选实施方式中,考虑到网络节点中数据信息的安全性,还可以在采集网络节点受到APT攻击的信息时,提高前述网络节点中的数据信息的安全等级。
作为举例而非限制,所述数据信息的安全等级可以是国家质量技术监督局标准规定的计算机信息系统安全保护能力的五个等级:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级,也可以是基于用户自定义划分的网络数据信息安全保护等级。
在所述步骤S100中,设置虚拟备份节点时,优选的采用以下两种实施方式。
一个实施方式,参图2所示的流程图S110,具体实施步骤如下:
S111,判断APT攻击是否持续针对一个网络节点,判定为是的情况下,执行步骤S112。
S112,根据该网络节点受到的攻击次数调整对应的虚拟备份节点,所述网络节点设置有多个虚拟备份节点,包括第一虚拟备份节点、第二虚拟备份节点、…、第N虚拟备份节点,其中,N为大于1的整数;对第N次攻击设置第N虚拟备份节点以使每次攻击下设置的虚拟备份节点不同;将网络节点的数据信息转移到当前设置的虚拟备份节点上。
S113,判定为否的情况下,获取被攻击的多个网络节点信息,对于每一个网络节点,执行步骤S112。
上述技术方案尤其适用于APT攻击持续针对网络环境中的某一网络节点。
同时,可选的,在检测到网络节点受到APT攻击时,对该网络节点的数据信息进行修改和/或加密。以及,检测到攻击者下载前述数据信息时,进行反向追踪。
优选的加密方式包括但不限于公钥加密算法、块加密算法、非对称加密算法、数字签名。
作为优选的实施例,参见图4a所示,在一个网络结构中,由网络节点121,122,123,124,125,以及各网络节点间的通信链路组成。当检测到针对网络节点121受到APT攻击的情况时,执行步骤S112。在网络节点121受到第一次APT攻击,设置虚拟备份节点121-1;第二次APT攻击,设置虚拟备份节点121-2;第N次APT攻击,设置虚拟备份节点121-N。
参图4b所示,虚拟备份节点121-1与网络节点121的关联网络节点,即网络节点122和网络节点123建立通信连接,网络节点121与网络节点122、123断开连接。
参图4c所示,网络节点121每经历一次APT攻击,系统就会将网络节点121的数据信息存储在对应的虚拟备份上,一次APT攻击,数据信息存储至虚拟备份节点121-1,N次APT攻击,数据信息存储至虚拟备份节点121-N上,由虚拟备份节点121-N与网络节点121的关联网络节点,即网络节点122和网络节点123建立通信连接,网络节点121与网络节点122、123断开连接,而网络中的拓扑结构不发生变化。
所述方法优势在于:态势感知系统检测到攻击后,通过不断调整网络节点的地址躲避攻击方式,在检测到APT攻击时设置虚拟备份节点,完成数据信息的转移,并与这一网络节点的关联节点建立新的通信链路,即保证了网络通信链路的完整,又调整了数据存储的路径,实现网络安全防御。
在另一个实施方式中,参图3所示的流程图S120,具体实施步骤如下:
S121,检测前述虚拟备份节点的日志信息,判定前述虚拟备份节点受到APT攻击时,执行步骤S122。
S122,对该虚拟备份节点设置新虚拟备份节点;建立前述虚拟备份节点与前述新虚拟备份节点的通信连接,将前述虚拟备份节点的数据信息存储到新虚拟备份节点中,截断该虚拟备份节点与前述关联网络节点的连接以用新虚拟备份节点代替虚拟备份节点,建立前述新虚拟备份节点与关联网络节点的连接。
S123,检测前述新虚拟备份节点受到APT攻击时,对该新虚拟备份节点设置再新虚拟备份节点;建立前述新虚拟备份节点与前述再新虚拟备份节点的通信连接,将前述新虚拟备份节点的数据信息存储到再新虚拟备份节点中,截断该新虚拟备份节点与前述关联网络节点的连接以用再新虚拟备份节点代替新虚拟备份节点,建立前述再新虚拟备份节点与关联网络节点的连接。
S124,依此类推,重复步骤S123,以保证最新的虚拟备份节点未受到APT攻击。
上述技术方案尤其适用于APT攻击能够根据网络连接链路调整攻击对象的场景。
作为优选的实施例,参见图5a所示,当检测到针对网络节点121受到APT攻击某一网络节点后陆续攻击该网络节点的虚拟备份节点的情况时,执行步骤S122。在网络节点121受到第一次APT攻击,设置虚拟备份节点121-1;第二次APT攻击,设置虚拟备份节点121-2;第N次APT攻击,设置虚拟备份节点121-N。同时,虚拟备份节点121-1与网络节点121的关联网络节点为网络节点122和网络节点123。
参图5b所示,虚拟备份节点121-1与网络节点121的关联网络节点,即网络节点122和网络节点123建立通信连接,网络节点121与网络节点122、123断开连接。
参图5c所示,由虚拟备份节点121-N与网络节点121的关联网络节点,即网络节点122和网络节点123建立通信连接,网络节点121与网络节点122、123断开连接,而网络中的拓扑结构不发生变化。当APT攻击该网络节点的第N-1虚拟备份节点,设置第N虚拟备份节点,存储第N-1虚拟备份节点的数据信息。即虚拟备份节点121-N与网络节点121的关联网络节点,即网络节点122和网络节点123建立通信连接,虚拟备份节点121-(N-1)与网络节点122、123断开连接。
通过采用上述技术方案,态势感知系统检测到攻击后,通过不断调整网络节点的地址躲避攻击方式,在检测到APT攻击时设置虚拟备份节点,完成数据信息的转移,并与这一网络节点的关联节点建立新的通信链路,即保证了网络通信链路的完整,又调整了数据存储的路径,对受到APT攻击的虚拟备份节点的日志信息进行分析以获取攻击方式信息;以及,检测到攻击者从前述受到APT攻击的虚拟备份节点中下载数据信息时,进行反向追踪,实现网络安全防御。
如此,它不仅利用了被动防御方法提供的时间差去防御攻击,还在前述实施方式防御的基础上加强了防御手段,反向利用攻击者攻击策略逆向追踪攻击源,从根本上去制止攻击者持续性的攻击策略。
本发明通过这两种防御手段对攻击者进行反向追溯,实现态势感知系统的动态防御。
所述的反向追溯可以利用攻击源追溯技术,实现定位攻击源、阻止或抑制网络攻击的效果。
作为举例而非限制,考虑攻击者对于数据的采集具有针对性,可以使用靶向数据采集方式,对特定对象的相关设备的日志信息进行采集,通过分析海量的日志信息查找隐藏的攻击者。
需要说明的是,虽然前述实施例只描述了一个网络节点受到持续性攻击时的虚拟备份节点变更方案,但本领域技术人员应知晓,当攻击是同时针对多个网络节点的持续性攻击时,对遭受攻击的每一个网络节点都可以通过上述技术方案变更虚拟备份节点,在此不再赘述。所述的同时,包括攻击时间的完全重合,以及攻击时间的部分重合。
本实施例的步骤S200中,在将前述网络节点的数据信息存储到虚拟备份节点中时,还可以获取网络节点中的原始数据信息、攻击方式信息和日志信息后存储到所述虚拟备份节点中。
本发明的另一个实施例,还提供了一种针对APT攻击的态势感知节点防御系统。
所述系统包括处理器和存储器。所述存储器用于存储系统数据,包括但不限于操作指令、交互信息、节点数据等。
所述处理器包括节点威胁分析模块、节点传感模块和备份节点连接模块。
所述节点威胁分析模块,用于采集网络节点受到APT攻击的信息,并对前述网络节点设置虚拟备份节点。
所述节点传感模块,用于建立前述网络节点与前述虚拟备份节点的通信连接,将前述网络节点的数据信息存储到虚拟备份节点中,截断该网络节点与关联网络节点的连接。
所述备份节点连接模块,用于建立前述虚拟备份节点与关联网络节点的连接。
本实施例中,所述节点威胁分析模块可以包括虚拟备份节点调整单元。在一个实施方式中,所述虚拟备份节点调整单元被配置为执行如下步骤:
S111,判断APT攻击是否持续针对一个网络节点,判定为是的情况下,执行步骤S112。
S112,根据该网络节点受到的攻击次数调整对应的虚拟备份节点,所述网络节点设置有多个虚拟备份节点,包括第一虚拟备份节点、第二虚拟备份节点、…、第N虚拟备份节点,其中,N为大于1的整数;对第N次攻击设置第N虚拟备份节点以使每次攻击下设置的虚拟备份节点不同;将网络节点的数据信息转移到当前设置的虚拟备份节点上。
S113,判定为否的情况下,获取被攻击的多个网络节点信息,对于每一个网络节点,执行步骤S112。
上述技术方案尤其适用于APT攻击持续针对网络环境中的某一网络节点。
同时,可选的,在检测到网络节点受到APT攻击时,对该网络节点的数据信息进行修改和/或加密。以及,检测到攻击者下载前述数据信息时,进行反向追踪。
在另一个实施方式中,所述虚拟备份节点调整单元被配置为执行如下步骤:
S121,检测前述虚拟备份节点的日志信息,判定前述虚拟备份节点受到APT攻击时,执行步骤S122。
S122,对该虚拟备份节点设置新虚拟备份节点;建立前述虚拟备份节点与前述新虚拟备份节点的通信连接,将前述虚拟备份节点的数据信息存储到新虚拟备份节点中,截断该虚拟备份节点与前述关联网络节点的连接以用新虚拟备份节点代替虚拟备份节点,建立前述新虚拟备份节点与关联网络节点的连接。
S123,检测前述新虚拟备份节点受到APT攻击时,对该新虚拟备份节点设置再新虚拟备份节点;建立前述新虚拟备份节点与前述再新虚拟备份节点的通信连接,将前述新虚拟备份节点的数据信息存储到再新虚拟备份节点中,截断该新虚拟备份节点与前述关联网络节点的连接以用再新虚拟备份节点代替新虚拟备份节点,建立前述再新虚拟备份节点与关联网络节点的连接。
S124,依此类推,重复步骤S123,以保证最新的虚拟备份节点未受到APT攻击。
本实施例中,所述系统还可以包括态势感知节点采集模块、态势感知节点威胁分析模块和态势感知节点数据处理模块。
所述态势感知节点采集模块用于实现网络节点设备态势感知数据信息的采集,所述的态势感知节点采集模块能够采集包括但不限于目的端口活动情况、目的节点、源IP、端口与协议。
所述态势感知节点威胁分析模块用于分析前述态势感知数据信息,形成威胁情报,将形成威胁情报的数据信息存储在态势感知系统威胁情报数据库中,进一步用以总结网络攻击方式。
所述态势感知节点数据处理模块用于处理前述形成威胁情报的数据信息,存储在态势感知节点防御系统,所述的数据处理包括但不限于下述情形:目的端口活动情况、目的节点、源IP、端口与协议之间的关系等可能对系统造成的影响;网络流量数据对告警评估的影响;随机开放端口对网络漏洞的影响;恶意活动对现有系统的应对措施和防护方案的影响;不同的攻击方式对资产的影响;相关联事件对预期告警评估的影响;受损节点对系统健康状态的影响;误报告警信息的影响。
其他技术特征参见在前实施例,在此不再赘述。
在上面的描述中,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。
虽然已出于说明的目的描述了本公开内容的示例方面,但是本领域技术人员应当意识到,上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明的优选实施方式的范围包括另外的实现,其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。