CN113489716A

CN113489716A - 一种基于集中管控的威胁情报数据关联分析系统

Info

Publication number: CN113489716A
Application number: CN202110749583.8A
Authority: CN
Inventors: 不公告发明人
Original assignee: Nanjing Liancheng Technology Development Co ltd
Current assignee: Nanjing Liancheng Technology Development Co ltd
Priority date: 2021-07-02
Filing date: 2021-07-02
Publication date: 2021-10-08

Abstract

本发明公开了一种基于集中管控的威胁情报数据关联分析系统，其特征在于，所述系统，包括数据关联和输出模块和启发式模块；所述数据关联和输出模块，包括OSINT源数据采集子模块、关键基础设施数据采集模块和集中管控实例；所述启发式模块，包括启发式数据库、启发式引擎和关联模块；所述启发式引擎，对IoC应用相似性并加权度量，计算IoC‑wgt、Jaccard指数，以聚合相似和相关的IoC，从而生成表示相似威胁或相同威胁的簇，将簇中的IoC属性关联起来，以找到表征威胁的最相关信息；所述关联模块，采用n级关联方法，找出簇中来自不同源的相关的IoC组，并将簇中的IoC转换成单个enr‑IoC。通过本发明，能够发现以前通过分析单个IoC而未识别到的模型和检测到的新的复杂攻击，实现积极的安全防御措施。

Description

一种基于集中管控的威胁情报数据关联分析系统

技术领域

本发明涉及网络安全、SOC（Security operation center）、信息共享、威胁情报的技术领域，尤其涉及到一种基于集中管控的威胁情报数据关联分析系统。

背景技术

在过去几年中，网络攻击的数量和影响急剧增加，这些安全威胁造成了很大的伤害。网络及信息安全运维体系是各类企业安全生产工作的重要组成部分。保障网络及信息系统高效稳定地运行，是企业一切市场经营活动和正常运作的基础。

当前，各种网络攻击技术也变得越来越先进，越来越普及化，企业的网络系统面临着随时被攻击的危险，经常遭受不同程度的入侵和破坏，严重干扰了企业网络的正常运行。日益严峻的安全威胁迫使企业不得不加强对网络及业务系统的安全防护，不断追求多层次、立体化和全天候的安全防御体系。企业的网络及信息系统都不同程度地部署了各种不同的集中管控的设备，并对网络威胁情报进行投资，实时跟踪各种网络威胁情报和实时检测关键基础设施的各种安全攻击、及时采取相应的控制动作，消除或缩减攻击所造成的损失，尽一切可能来保护企业网络及业务系统正常运营，更有效地提高劳动生产率和降低运营成本。

基于集中管控采集网络威胁情报，并对所采集的威胁情报信息进行清洗、聚合、关联和评估等一系列操作，将目前的被动安全防御转向积极的安全防御，提供面临风险的早期预警，并加快发现攻击时的反应时间。获取网络威胁情报的一种途径是通过OSINT（OpenSource Intelligence 开放情报）采集信息，其信息表示形式为IoC（Indicators ofCompromise 入侵指标）。

最新的研究证明，可从OSINT源数据中获得有用的信息和IoC，例如，从社交网络（例如，推特Twitter）获取有用和早期的安全信息。然而，大多数原始的OSINT源数据所提供的威胁信息几乎没有处理，因此在生成有用的高质量数据方面存在限制，需要丰富IoC以形式高质量的威胁情报。另一方面，还存在如下问题：

1、浏览各种新闻提要对于任何安全分析师来说都是一项耗时的任务；

2、安全分析师不一定能找到与他们监管的IT关键基础设施相关的新闻；

3、如何变为真正有价值的威胁情报等。

发明内容

为了解决上述技术问题，本发明提供了一种基于集中管控的威胁情报数据关联分析系统，采用n级关联方法和两个相似性度量计算公式，关联和组合来自不同的OSINT源的IoC，将威胁情报转化为新的单一的丰富的IoC（即单个enr-IoC，详细描述了恶意威胁的特征，或提供了与特定攻击/威胁相关的特定主题的有用信息），这些不同OSINT源包含了关于同一威胁的信息，从而发现以前未识别的模型和检测出新的复杂攻击。

一种基于集中管控的威胁情报数据关联分析系统，其特征在于，所述系统，包括数据关联和输出模块和启发式模块；

所述数据关联和输出模块，包括OSINT源数据采集子模块、关键基础设施数据采集子模块和集中管控实例，OSINT源数据采集子模块和关键基础设施数据采集子模块负责从OSINT源和被监视的关键基础设施捕获有用的数据，并生成cIoC，复合IoC存储在MISP实例数据库中，而采集的关键基础结构数据存储在启发式组件数据库中；

所述启发式模块，负责执行启发式分析，将来自包括关键基础设施、OSINT源和复合IoC在内的数据进行关联分析，丰富来自所述数据关联和输出模块的数据，并将其发送回集中管控实例，包括启发式数据库、启发式引擎和关联模块；

所述启发式引擎，对IoC应用相似性并加权度量，计算IoC-wgt、Jaccard指数，以聚合相似和相关的IoC，从而生成表示相似威胁或相同威胁的簇，将簇中的IoC属性关联起来，以找到表征威胁的最相关信息；

所述关联模块，采用n级关联方法，找出簇中来自不同源的相关的IoC组，并将簇中的IoC转换成单个enr-IoC。

进一步地，所述IoC-wgt，为IoC权重指标：IoC-wgt（A, B）=

，其中，A和B为两个不同的IoC。

进一步地，所述Jaccard指数，J(A,B）=

，其中，A和B为两个不同的IoC。

本发明的技术效果在于：

在本发明中，提供了一种基于集中管控的威胁情报数据关联分析系统，其特征在于，所述系统，包括数据关联和输出模块和启发式模块；所述数据关联和输出模块，包括OSINT源数据采集子模块、关键基础设施数据采集模块和集中管控实例；所述启发式模块，包括启发式数据库、启发式引擎和关联模块；所述启发式引擎，对IoC应用相似性并加权度量，计算IoC-wgt、Jaccard指数，以聚合相似和相关的IoC，从而生成表示相似威胁或相同威胁的簇，将簇中的IoC属性关联起来，以找到表征威胁的最相关信息；所述关联模块，采用n级关联方法，找出簇中来自不同源的相关的IoC组，并将簇中的IoC转换成单个enr-IoC。通过本发明，能够发现以前通过分析单个IoC而未识别到的模型和检测到的新的复杂攻击，实现积极的安全防御措施。

附图说明

图1是一种基于集中管控的威胁情报数据关联分析系统的总体架构的示意图；

图2是一种基于集中管控的威胁情报数据关联分析系统的框架示意图；

图3是一种基于集中管控的威胁情报数据关联分析系统的仪表盘示意图。

具体实施方式

下面是根据附图和实例对本发明的进一步详细说明：

一种基于集中管控的威胁情报数据关联分析系统，采集来自不同OSINT的提要提供的安全事件（即IoC）以及关键基础设施的数据。对IoC进行处理和分析，从而产生具有更丰富信息的IoC（即cIoC，被称之为复合IoC，或enr-IoC，被称之为增强IoC）。进一步地，将这些复合IoC与从关键基础设施采集的信息（例如，使用的IP地址、开放端口、使用的协议等）相关联，这些信息通常出现在安全设备（例如，IDS、防火墙、IPS）生成的日志中。cIoC和关键基础设施数据都会进行对比，以确定是否匹配。如果匹配，则表示cIoC携带企业IT关键基础设施设备的潜在威胁数据。例如，一个cIoC指示存在一个影响Windows 10计算机的新漏洞，并且在关键基础设施中检测到运行Windows 10一个活动设备。

所述集中管控，将威胁情报用于企业的IT关键基础设施范围内的入侵和威胁检测中。

所述IoC，是一些取证数据，例如在系统日志条目或文件中发现的数据，这些数据可识别系统或网络上的潜在恶意活动，可用于检测数据泄露、恶意软件感染或其他威胁活动。

所述cIoC，被称之为复合IoC，是有关同一威胁的OSINT数据的聚合、相互关系和标准化的结果，这些数据从不同源的提要中检索，可以用不同的格式表示。

进一步地，增强IoC，简称为enr-IoC（Enriched Indicator of Compromise），单个enr-IoC详细描述了恶意威胁的特征，或提供了与特定攻击/威胁相关的特定主题的有用信息，为cIoC的增强版本，在cIoC与受监控基础设施相关的静态和实时信息关联后获得。

进一步地，简化IoC，简称为rIoC（Reduced Indicator of Compromise），是相应的充实指标的简化版本。Enr-IoC可能包含大量的信息，不值得可视化，但对于未来的分析和关联任务仍然有用。因此，只有rIoC（从受监控的基础设施的角度来看，只有最相关的信息）才会发送到仪表盘，而enr-IoC将存储在本地，或与第三方的外部实体共享。

图1是一种基于集中管控的威胁情报数据关联分析系统的总体架构的示意图。本申请利用外部的OSINT数据和企业的IT关键基础设施（如防火墙、IDS、IPS）提供的数据，这些数据相互关联以形成enr-IoC。这些丰富的信息可以通过防御机制加以整合，以防止对企业的网络攻击，从而打击网络犯罪。此外，它可以可视化和图形化，以便更好地理解和分析其相互联系和相关数据。它包含三个主要模块，即：（i）输入模块，包括来自不同的OSINT源的IoC生成器，以及聚合威胁相关数据的关键基础设施工具和设备；（ii）分析模块，负责部署启发式分析模块以关联采集内部数据和外部数据；（iii）输出模块，其中包含工具仪表盘，用于可视化生成的丰富信息及其连接，允许将丰富数据导出到此类平台来展示。

所述输入模块，采集不同的OSINT源数据的提要提供的安全事件（即IoC）以及关键基础设施数据，对IoC进行预处理，从而产生具有更多信息的cIoC（即：复合IoC）。

所述分析模块，接收这些复合IoC，并将其与从关键基础设施采集的信息（例如，使用的IP地址、开放端口、正在使用的协议等）相关联，这些信息通常存在于从安全设备（例如，IDS、防火墙）生成的日志中。cIoC和关键基础设施数据都进行了对比，以确定是否存在匹配。在这种情况下，启发式模块将增加匹配cIoC的威胁得分，这表明cIoC为政府和企业部门设备携带潜在威胁数据。例如，如果cIoC表示影响Windows 10计算机的新漏洞，并且在运行Windows 10的目标关键基础设施中检测到至少一个活动设备，则此特定cIoC的威胁得分会增加。对这些数据应用启发式分析，得到的IoC可以进一步转换为增强IoC（即：enr-IoC），提供更多关于企业可以将输入信息视为真正的智能的见解。

所述输出模块，可以使用enr-IoC或其简化版本（即：rIoC）进行共享和可视化。

图2是一种基于集中管控的威胁情报数据关联分析系统的框架示意图。一种基于集中管控的威胁情报数据关联分析系统，其特征在于，所述系统，包括数据关联和输出模块和启发式模块；

由于采用了集中管控，安全工具和CERT/CSIRT以及威胁情报共享之间的集成成为可能。目标是在这种交互发生时尽可能多地使用集中管控的内置共享功能，例如zeroMQ发布-订阅模型。集中管控附带所谓的“互联模块”，用于临时导入和导出威胁情报信息。如果需要，可以从头开始创建新模块并与集中管控实例集成，而无需修改集中管控的核心功能。启发式模块适合这些模块，这些模块是从头构建的，并与集中管控集成。

集中管控实例中存储的数据通过JSON格式（例如，STIX）表示，或者通过与通用信息相关的简单文档表示。由于启发式模块对数据的使用非常感兴趣，因此还可以使用私有非关系数据库（如MongoDB）以不同的方式存储数据，这简化了启发式引擎的信息检索，并允许对工具执行的分析进行完全控制。

集中管控的采用使其能够自动与外部实体共享数据，这得益于其内置的信息共享功能。对于外部实体正在使用集中管控实例的情况，共享过程通过简单地同步两个实例来执行。否则，集中管控会提供REST API列表，可以从具有不同访问权限级别的任何内部和外部服务访问REST API，以直接与其数据库交互，推push或拉pull网络安全相关事件。

启发式模块接收来自多个来源（如OSINT源数据、关键基础设施、IoC等）的信息，用于启发式引擎执行计算IoC-wgt、Jaccard指数。

输出模块主要负责以图形化的方式表示enr-IoC中包含的最相关的信息，作为分析模块中产生的简化IoC（rIoC）的形式。增强IoC可以包含大量的特性，这些特性会降低可视化过程的效率。为了避免此类限制，使用了一个简化IoC（rIoC），它由与关键基础设施相关的信息和从支持威胁得分的属性中获得的enr-IoC最相关的信息组成。相反，enr-IoC可以与其他外部实体共享，这些实体可以是内部安全工具，也可以是受信任的组织。

图3是一种基于集中管控的威胁情报数据关联分析系统的仪表盘示意图。仪表盘通过突出显示与构成关键基础设施网络的每个节点相关联的告警和rIoC来提供关键基础设施拓扑的图形表示。

每个节点的左上侧有一个圆圈，表示告警的数量和严重性（绿色、黄色和红色），右下侧有一个星形，表示与该特定节点相关的rIoC的数量。

告警将指示问题的数量、源IP和目标IP以及问题的简要描述。rIoC将指出检测到的漏洞数量、常见漏洞暴露CVE（Common Vulnerability Exposure）、相关威胁得分、漏洞的简要描述和受影响的应用程序。一个包含了节点及其安装的应用程序的系统事务，被要求执行匹配。

此外，仪表盘在一个单独的选项卡中提供有关节点类型（如服务器、工作站）、IP地址（已知、未知、源、目标）、操作系统（如Linux、Windows）和连接网络（如LAN、WAN）的信息。仪表盘的右侧显示了至少存在一个安全问题的关键基础设施的节点，其中提供了告警和IoC。

本申请自动生成简化IoC。rIoC由三个属性组成：（i）有关漏洞的信息（即CVE编号和描述）；（ii）关键基础设施中受影响的资产/应用程序，（iii）威胁得分值（从0到5），这个威胁得分本申请不涉及。这些数据的相关性由安全管理员根据专家知识和与相关权重因子准则的潜在匹配情况进行验证。

enr-IoC的交换是通过集中管控执行的，它自动将所有接收到的信息转换成集中管控JSON格式并存储在集中管控关系数据库中。当两个或多个集中管控实例在它们之间交换情报时，总是使用JSON格式。然而，当与不使用集中管控的外部实体以及不能直接处理集中管控格式的系统共享时，最好使用其它标准，也用于描述更广泛的威胁情报集合。从这个角度来看，STIX代表了一个很好的选择，是威胁情报领域中使用最多的。集中管控提供了使用此特定标准导出内部存储信息的可能性。

在考虑了这些因素之后，由于采用了集中管控，威胁情报背后的想法是依赖集中管控JSON格式来存储输入事件。如果分析需要，这些信息将被转换成STIX，并导出到启发式模块，可根据接收者的需要，使用集中管控格式或STIX导出增强IoC。

在启发式引擎执行数据关联分析任务之前，必须执行初始过滤，以识别给定上下文中感兴趣的IoC的子集，并且消除不带来附加值的IoC，例如IP黑名单。

一旦建立了这个子集，启发式引擎就开始搜索该子集中存在的不同IoC之间的连接，并将找到的相关IoC聚合到簇中。接下来，这些IoC被分组在簇中，每个簇代表一个单独的威胁。这个过程的结果是一组簇，其中每个簇都包含相关数据的复合IoC（cIoC）。

下一个阶段是处理每个簇，以找出IoC之间的相关性。本申请采用n级关联方法来执行这个任务。该方法允许识别簇中相关IoC的组。

借助基于集合论的方法，IoC可以被概念化为一个集合，其元素是它的属性。组成集合的属性是具有两个字段的元组，<IoC的类型, 值>。给定两个不同的IoC的A和B，采用Jaccard指数和IoC-wgt指示符来发现这些组。

所述Jaccard指数，用于IoC的初始过滤，删除冗余的IoC，其计算公式为：J(A,B）=

，其中，A和B为两个不同的IoC，J(A,B)为Jaccard指数。

所述IoC-wgt指示符，在确定包含不同信息的两个IoC之间的相关性时，还要确定产生的enrIoC的富集程度是有用的，以便获得所获得信息增加的度量。此外，确定每个IoC对产生的IoC贡献了多少也很有用。

然而，这一措施应辅之以另一项指标，因为它并不总是能清楚地说明所获得的浓缩程度。例如，假设IoC A和IoC B分别有1000个和10个属性，即A和B在属性数量上有显著差异，并且假设B的大多数属性属于较大的集合（例如，10个属性中的9个），则指数将趋向于零，即J（A, B）=0.00899。在这种情况下，指数并没有提供一个清晰的视图来显示合并这两个集合所产生的丰富性，部分原因是这两个集合的大小可能完全不同。为了减轻这一限制，本申请提出了IoC权重指标（IoC-wgt），如下所示。

IoC-wgt（A, B）=

IoC-wgt是通过计算一对中每个IoC中表示的共享属性的权重的平均值来获得的。通过使用这些小数的平均值，能够计算出一个值，该值代表两个IoC中每个IoC的不同属性的范围，而与两个IoC的相对大小无关。这意味着IoC-wgt的值提供了两个集合之间相互关系的相似程度的度量，即使这两个集合在大小上有显著差异。这是仅使用Jaccard指数不可能做到的。这使得确定两个集合的并集在多大程度上允许结果集合中包含的信息实际增加。回到上一个例子，IoC-wgt（A, B）将是0.4545，这允许确定其中一个IoC的贡献将不显著，这与计算同一对IoC的Jaccard指数所期望的相反。

n级关联方法允许集成所有互连的IoC，即使它们不直接共享属性。此方法允许识别以前未识别的连接，由于原始IoC的不完整性而被隐藏。由于情报可能分布在多个来源，只有通过观察所有这些因素，才有可能构建一个事件或攻击的完整视图。因此，在簇内，每个IoC都将与其它IoC一起分析，然而，在这种情况下，如果IoC与其他IoC共享属性，那么这些IoC的连接也将被分析，直到簇中的所有元素都被识别并且所有连接都被遵循。为了使用这种方法，通过将其节点定义为IoC和共享属性的节点（IoC）的连接边（由节点对的IoC-wgt指示符表示），来构建无向图。然后对创建的图进行处理以识别互连节点的子图，从而提取形成enr-IoC的最相关信息。

以上所述仅为本发明的较佳实施例，并非用来限定本发明的实施范围；凡是依本发明所作的等效变化与修改，都被视为本发明的专利范围所涵盖。

Claims

1.一种基于集中管控的威胁情报数据关联分析系统，其特征在于，所述系统，包括数据关联和输出模块和启发式模块；

2.如权利要求1所述的一种基于集中管控的威胁情报数据关联分析系统，其特征在于，所述IoC-wgt，为IoC权重指标：IoC-wgt（A, B）=

，其中，A和B为两个不同的IoC。

3.如权利要求1所述的一种基于集中管控的威胁情报数据关联分析系统，其特征在于，所述Jaccard指数，J(A,B）=

，其中，A和B为两个不同的IoC。