CN113746832A - 多方法混合的分布式apt恶意流量检测防御系统及方法 - Google Patents
多方法混合的分布式apt恶意流量检测防御系统及方法 Download PDFInfo
- Publication number
- CN113746832A CN113746832A CN202111027017.2A CN202111027017A CN113746832A CN 113746832 A CN113746832 A CN 113746832A CN 202111027017 A CN202111027017 A CN 202111027017A CN 113746832 A CN113746832 A CN 113746832A
- Authority
- CN
- China
- Prior art keywords
- detection
- defense
- layer
- network
- apt
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明属于网络安全技术领域,公开了一种多方法混合的分布式APT恶意流量检测防御系统及方法,包括:网络设备层进行流量旁路与设备管控,将旁路流量送往检测与防御层进行检测;检测与防护层进行流量检测与指令执行;分析与控制层进行检测日志汇总分析与指令下达;展示与管理层进行数据展示与用户交互。本发明能够对网络中的恶意流量进行全方位、多角度的精准检测,从而识别出潜在的APT攻击。同时,运用分布式架构,可以对整个受保护网络的入侵情况进行精准全面地威胁建模。同时使用了Cyber Kill Chain理论模型,充分挖掘长时间、宽空间跨度下的网络内告警之间的关联,识别出网络中潜在的APT攻击行动并给出相应的警报。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种多方法混合的分布式APT恶意流量检测防御系统及方法。
背景技术
目前,近几年,网络空间安全面临的威胁有日渐复杂化的趋势,尤其是在美国“棱镜门”事件爆出以来,一系列恶意软件被披露。这些恶意软件不同于之前的普通网络攻击软件,呈现出数量不断增多、技术手段不断升级、攻击效能逐渐增大,各软件之间相互协作的特点。这表明网络攻击方式已由单一模式朝着复杂的高级持续性威胁(AdvancedPersistent Threat,APT)的攻击模式发展。APT攻击是有组织、有目的,复杂、持久而隐蔽的网络安全攻击模式。政企单位是绝大多数APT攻击的主要目标,因此APT攻击范围广、造成的损失大。同时,网络流量是几乎所有网络攻击的重要载体。不管是蠕虫病毒、钓鱼邮件,还是勒索软件、漏洞入侵,为投递载荷或控制目标,APT的各个步骤之间都会在一定程度上与网络流量产生关联。因此,一个检测恶意流量的网络入侵检测防御系统是一个理想的APT防护系统。
目前,检测恶意网络流量的入侵检测防御系统主要采用以下技术方法:
基于数据特征的入侵检测防御系统。它能够提取数据包的特定字段并根据规则进行特异性匹配,并判定是否触发规则,若触发则对数据包作出规则指定的动作。但是基于特征匹配的检测是类静态的,即很难探测出数据包时间序列上的关联,且当攻击者对数据包的某些特异性字段进行恶意修改,可能会导致检测规则的失效。
基于行为特征的入侵检测防御系统。此类系统构建了一个抽象的网络事件处理引擎,能够分析并自定义网络流量的行为特征,从而实现时间序列上的关联检测,检测出恶意流量在时间上的行为特征。然而人为分析并设计的策略是有限的,无法涵盖潜在的每一个流量数据特征。
基于深度学习的入侵检测防御系统。基于人工智能算法的检测方法近年来成为研究重点,其中深度学习强大的特征表达能力对愈发困难的恶意流量特征提取起到了重要作用,直接面向数据集进行训练的模式省略了手工设计特征的步骤,加快了对新型攻击手段或指令的检测覆盖。但是这类方法也存在一些弊端。例如,深度学习模型的泛化能力差,适用环境必须与训练环境数据分布保持一致等。现有的模型对流量本身特性的分析不足,仅是将流量检测当作一般的分类问题来考虑,而忽略了恶意流量本身有自己的显著特性。
同时,目前现有的入侵检测系统在面对持久复杂的APT攻击时具有明显的缺点。在时间上,现有的入侵检测系统仅能做到“检测即报警”。没有针对APT 攻击的持久性,对长时间跨度下的告警信息之间的关联进行充分挖掘,以识别潜在的APT攻击。在空间上,现有的入侵检测系统多为单点检测的系统架构,这一架构仅能对网络中的特定关键节点,如网络入口、关键网络资产等进行检测防御。但是没有针对APT攻击的复杂和隐蔽性,对宽空间跨度下不同网络位置的告警信息进行分析,无法全面感知复杂隐蔽的APT网络攻击态势。
因此设计一套考虑APT攻击长期性,攻击前后关联性,攻击隐蔽性并具有混合检测防御方法的分布式恶意流量防御系统是一个技术挑战,也是应对APT 攻击的重要手段。
通过上述分析,现有技术存在的问题及缺陷为:现有技术没有针对APT攻击的复杂和隐蔽性,对宽空间跨度下不同网络位置的告警信息进行分析,无法全面感知复杂隐蔽的APT网络攻击态势;没有针对APT攻击的持久性,无法识别潜在的APT攻击。
解决以上问题及缺陷的难度为:较为困难。首先需要解决对不同的检测方式产生的告警信息进行标准化处理的困难;然后需要解决不同的网络位置全部送入指定的控制塔台进行分析的困难;然后需要解决控制塔台对于大规模报警信息进行快速检索并基于Cyber Kill Chain理论进行前溯后演以发现复杂APT 攻击的困难;最后需要解决根据推演结果向检测与防御层的防御执行器下达相应指令以动态更新防御策略的困难。
解决以上问题及缺陷的意义为:使用多种检测方式混合对网络中的流量进行识别检测并发出告警信息,对长时间跨度下不同网络位置的告警信息进行精确分析,以达到识别检测复杂隐蔽的APT网络攻击,并动态更新本恶意流量防御系统的防御策略,实现对APT网络攻击的精准拦截,有效遏制APT攻击所造成的网络威胁。
发明内容
针对现有技术存在的问题,本发明提供了一种多方法混合的分布式APT恶意流量检测防御系统。
本发明是这样实现的,一种多方法混合的分布式APT恶意流量检测防御系统,所述多方法混合的分布式APT恶意流量检测防御系统包括:
网络设备层、检测与防护层、分析与控制层和展示与管理层;
网络设备层,用于进行流量旁路与设备管控,同时用于将旁路流量送往检测与防御层进行检测;
检测与防护层,用于进行流量检测与指令执行;
分析与控制层,用于进行检测日志汇总分析与指令下达;
展示与管理层,用于进行数据展示与用户交互;
所述网络设备层与检测与防护层在同一台主机上运行,所述主机为Sensor;
所述分析与控制层和展示与管理层在同一台主机上运行,所述主机为Tower。
进一步,所述网络设备层包括:
旁路模块,用于利用高性能网络流量I/O框架对网络设备上的流量进行旁路;
设备管控模块,设置有对网络设备进行管控的接口,进行设备管控。
进一步,所述检测与防护层包括:
检测模块,用于利用基于传统检测手段和深度学习检测手段的混合的恶意流量探测器进行流量检测;用于利用恶意流量探测器实时收集使用各不同检测方法产生的告警日志,并通过可靠链接将不同恶意流量检测方法、不同Sensor 上产生的告警日志转发至预先指定的Tower分析与控制层进行汇总;
防御模块,用于利用运行在不同Sensor上的防御执行器通过RPC协议接收并执行Tower分析与控制层的控制塔台下发的操作指令,并对恶意流量探测器与下层网络设备执行指令相应的处理。
进一步,所述分析与控制层包括:
控制塔台,用于收集下层呈递的日志信息,并将非结构化日志数据归一化为相同结构的入侵报警信息,并对其进行索引;
知识图谱推演模块,用于运用Cyber Kill Chain(CKC)模型,提取各网络报警日志所对应的网络威胁之间深层次的相互关联性,设计算法对攻击日志数据库中的每一条入侵警告信息进行时间尺度及空间尺度上的前推与后演,绘制攻击者画像,预警潜在APT攻击;同时用于根据预定义的防护策略,通过RPC协议向检测与防御层的防御执行器下达相应指令。
进一步,所述展示与管理层包括:
可视化展示模块,用于将控制塔台整合上传的的入侵警告信息、统计信息、网络系统安全态势及其他数据以图表的形式进行展示;
管理功能模块,用于根据网络中安全态势自动变更防御策略,同时用于启停恶意流量探测器、进行规则的加载或卸载及其他调节项的管理;
防御响应管理模块,用于将系统的未决入侵警告信息暴露给用户。
本发明的另一目的在于提供一种应用于所述多方法混合的分布式APT恶意流量检测防御系统的多方法混合的分布式APT恶意流量检测防御方法,所述多方法混合的分布式APT恶意流量检测防御方法包括:
步骤一,恶意流量探测器从网络设备层捕获流量并对捕获的流量进行实时检测,并将实时检测的结果通过预处理后以日志流的形式汇总转发到控制塔台;
步骤二,控制塔台先对日志数据进行过滤处理,再使用索引化,并使用数据库结构化存储;
步骤三,将结构化后的攻击日志分别送入知识图谱推理模块与展示与管理层进行不同处理;
步骤四,展示与管理层利用分析得到的数据绘制实时数据展示看板,并通过Web页面进行展示,发出网络进攻进行防御响应提醒;
步骤五,对数据展示作出进行规则的加载和卸载、IP封禁及其他响应;控制塔台基于所述响应触发防御执行器对恶意流量探测器和网络设备层执行相应控制处理。
进一步,步骤一中,所述对捕获的流量进行实时检测包括:
提取数据包的特定字段并根据规则进行特异性匹配,判定是否触发规则,并执行规则指定的行为,同时使用Lua语言进行字段检测的拓展支持。
进一步,步骤一中,所述预处理包括:
恶意流量探测器不同检测方法所产生的日志进行预处理与归一化,得到具有相同的格式和意义的日志。
进一步,所述控制塔台先对日志数据进行过滤处理,再使用索引化,并使用数据库结构化存储包括:
控制塔台对转发的日志数据流进行收集汇总工作,重新构造部分日志条目,并滤除无意义的日志,同时对过滤处理后的日志进行日志索引化,并使用关系型数据库对经过特征提取及分析后的攻击日志进行标准化持久存储。
进一步,所述将结构化后的攻击日志分别送入知识图谱推理模块与展示与管理层进行不同处理包括:
将结构化后的攻击日志送入基于CKC的知识图谱推理模块前推与后演,推演攻击画像;同时基于攻击画像数据,向防御执行器下达控制指令,进行流量检测规则动态加载及其他自动防御;
将结构化后的攻击日志整合上传到展示与管理层进行展示。
本发明另一目的在于提供一种信息数据处理终端,所述信息数据处理终端包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行所述多方法混合的分布式APT恶意流量检测防御方法。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:本发明综合了基于数据特征,基于行为特征以及基于深度学习匹配三种检测恶意流量的入侵检测系统技术方法,能够对网络中的恶意流量进行全方位、多角度的精准检测,从而识别出潜在的APT攻击。同时,运用分布式架构,可以收集受保护网络各处的流量检测结果,对整个受保护网络的入侵情况进行精准全面地威胁建模。同时使用了Cyber Kill Chain理论模型,充分挖掘长时间、宽空间跨度下的网络内告警之间的关联,识别出网络中潜在的APT攻击行动并给出相应的警报。
本发明通过综合三种不同的入侵检测技术方法,既保证了对已知特征的网络攻击恶意流量的精准检测,又拓展了对于未知网络攻击恶意流量的识别能力。分布式的架构克服了传统单点检测模式保护范围不足,难以发现在网络内部进行横向移动的APT攻击的缺陷。同时,本系统基于Cyber Kill Chain模型的前溯后演功能,配合分布式的指令下达,可以实现各恶意流量探测器防御策略的动态升级;在确保对潜在APT攻击检测准确度的同时,减轻系统的性能负担。综上所述,本发明可以有效应对日益复杂化的APT攻击形式,减轻APT对政企单位的威胁,提高政企单位的安全防护水平。
附图说明
图1是本发明实施例提供的多方法混合的分布式APT恶意流量检测防御系统原理图。
图2是本发明实施例提供的多方法混合的分布式APT恶意流量检测防御系统结构示意图;
图中:1、网络设备层;2、检测与防护层;3、分析与控制层;4、展示与管理层。
图3是本发明实施例提供的多方法混合的分布式APT恶意流量检测防御方法原理图。
图4是本发明实施例提供的多方法混合的分布式APT恶意流量检测防御方法流程图。
图5是本发明实施例提供的多方法混合的分布式APT恶意流量检测防御方法搭建完成后的网络环境原理图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种多方法混合的分布式APT恶意流量检测防御系统,下面结合附图对本发明作详细的描述。
如图1-图2所示,本发明实施例提供的多方法混合的分布式APT恶意流量检测防御系统包括:
网络设备层1、检测与防护层2、分析与控制层3和展示与管理层4;
网络设备层1,用于进行流量旁路与设备管控,同时用于将旁路流量送往检测与防御层进行检测;
检测与防护层2,用于进行流量检测与指令执行;
分析与控制层3,用于进行检测日志汇总分析与指令下达;
展示与管理层4,用于进行数据展示与用户交互;
网络设备层1与检测与防护层2在同一台主机Sensor上运行;
分析与控制层3和展示与管理层4在同一台主机Tower上运行。
本发明实施例提供的网络设备层1包括:
旁路模块,用于利用高性能网络流量I/O框架对网络设备上的流量进行旁路;
设备管控模块,设置有对网络设备进行管控的接口,进行设备管控。
本发明实施例提供的检测与防护层2包括:
检测模块,用于利用基于传统检测手段和深度学习检测手段的混合的恶意流量探测器进行流量检测;用于利用恶意流量探测器实时收集使用各不同检测方法产生的告警日志,并通过可靠链接将不同恶意流量检测方法、不同Sensor 上产生的告警日志转发至预先指定的Tower分析与控制层进行汇总;
防御模块,用于利用运行在不同Sensor上的防御执行器通过RPC协议接收并执行Tower分析与控制层的控制塔台下发的操作指令,并对恶意流量探测器与下层网络设备执行指令相应的处理。
本发明实施例提供的分析与控制层3包括:
控制塔台,用于收集下层呈递的日志信息,并将非结构化日志数据归一化为相同结构的入侵报警信息,并对其进行索引;
知识图谱推演模块,用于运用Cyber Kill Chain(CKC)模型,提取各网络报警日志所对应的网络威胁之间深层次的相互关联性,设计算法对攻击日志数据库中的每一条入侵警告信息进行时间尺度及空间尺度上的前推与后演,绘制攻击者画像,预警潜在APT攻击;同时用于根据预定义的防护策略,通过RPC协议向检测与防御层的防御执行器下达相应指令。
本发明实施例提供的展示与管理层4包括:
可视化展示模块,用于将控制塔台整合上传的的入侵警告信息、统计信息、网络系统安全态势及其他数据以图表的形式进行展示;
管理功能模块,用于根据网络中安全态势自动变更防御策略,同时用于启停恶意流量探测器、进行规则的加载或卸载及其他调节项的管理;
防御响应管理模块,用于将系统的未决入侵警告信息暴露给用户。
如图3-图4所示,本发明实施例提供的多方法混合的分布式APT恶意流量检测防御方法包括:
S101,恶意流量探测器从网络设备层捕获流量并对捕获的流量进行实时检测,并将实时检测的结果通过预处理后以日志流的形式汇总转发到控制塔台;
S102,控制塔台先对日志数据进行过滤处理,再使用索引化,并使用数据库结构化存储;
S103,将结构化后的攻击日志分别送入知识图谱推理模块与展示与管理层进行不同处理;
S104,展示与管理层利用分析得到的数据绘制实时数据展示看板,并通过 Web页面进行展示,发出网络进攻进行防御响应提醒;
S105,对数据展示作出进行规则的加载和卸载、IP封禁及其他响应;控制塔台基于所述响应触发防御执行器对恶意流量探测器和网络设备层执行相应控制处理。
本发明实施例提供的对捕获的流量进行实时检测包括:
提取数据包的特定字段并根据规则进行特异性匹配,判定是否触发规则,并执行规则指定的行为,同时使用Lua语言进行字段检测的拓展支持。
本发明实施例提供的预处理包括:
恶意流量探测器不同检测方法所产生的日志进行预处理与归一化,得到具有相同的格式和意义的日志。
本发明实施例提供的控制塔台先对日志数据进行过滤处理,再使用索引化,并使用数据库结构化存储包括:
控制塔台对转发的日志数据流进行收集汇总工作,重新构造部分日志条目,并滤除无意义的日志,同时对过滤处理后的日志进行日志索引化,并使用关系型数据库对经过特征提取及分析后的攻击日志进行标准化持久存储。
本发明实施例提供的将结构化后的攻击日志分别送入知识图谱推理模块与展示与管理层进行不同处理包括:
将结构化后的攻击日志送入基于CKC的知识图谱推理模块前推与后演,推演攻击画像;同时基于攻击画像数据,向防御执行器下达控制指令,进行流量检测规则动态加载及其他自动防御;
将结构化后的攻击日志整合上传到展示与管理层进行展示。
下面结合具体实施例对本发明的技术方案作进一步说明。
实施例1:
本发明的目的在于实现一种多检测方法混合的分布式APT恶意流量入侵检测防御系统,以精准全面检测防御网络中的APT攻击。该入侵检测防御系统自底向上可抽象为“网络设备层”、“检测与防护层”、“分析与控制层”和“展示与管理层”四个层次。其中,“网络设备层”与“检测与防护层”在同一台主机上运行,该主机在本入侵检测防御系统中被称为“Sensor”;“分析与控制层”和“展示与管理层”在同一台主机上运行,该主机在本入侵检测防御系统中被称为“Tower”。其各层具体实现细节如下:
一、网络设备层
负责本入侵检测防御系统的流量旁路与设备管控工作。
其使用高性能网络流量I/O框架来对网络设备上的流量进行旁路,以提高整个流量检测系统的流量吞吐效率,并将旁路流量送往检测与防御层进行检测。同时它也预留了对网络设备进行管控的接口,以便检测与防护层的防御执行器传递并执行系统或用户所发出的防御指令,如封禁IP或丢弃数据包。
二、检测与防护层
负责本入侵检测防御系统的流量检测与指令执行工作。其包含两个部分:恶意流量探测器和防御执行器。
本发明采用的恶意流量探测器是多检测方法混合的,它基于传统检测手段和深度学习检测手段的混合。传统检测手段在有着良好的先验数据特征与行为特征知识库条件下具有快速准确的检测能力;而深度学习检测方法综合了流量空间特征、时间特征等传统方法所不能提取的特征来检测流量,具有一定检测未知或变种恶意流量的能力。
在本发明中,基于数据特征的恶意流量检测方法能够提取数据包的特定字段并根据规则进行特异性匹配,判定是否触发规则,从而做出规则指定的行为,同时本发明还使用Lua语言进行字段检测的拓展支持,可以支持较复杂的逻辑计算和判定。基于行为特征的恶意流量检测方法在网络通信流层面上进行检测,其独特设计的事件处理引擎,能够分析并自定义网络流量的行为特征,从而实现时间序列上的关联检测。将基于深度学习框架训练的分类模型作为基于深度学习的恶意流量检测方法。它在模型深度和训练次数较充分的情况下能够很好地拟合非线性关系,且能够提取很多人为无法提取到的数据关联特征,包括数据包字节间的空间域特征和数据包之间的时间域特征。
同时,恶意流量探测器会实时收集使用各不同检测方法产生的告警日志,并通过可靠链接将不同恶意流量检测方法、不同“Sensor”上产生的告警日志转发到预先指定的“Tower”分析与控制层进行汇总。为了科学高效的报警日志处理分析,减轻在“Tower”分析与控制层处的日志数据处理压力,本发明所实现的恶意流量探测器可以在转发时对不同检测方法所产生的日志进行预处理与归一化,使其具有相同的格式和意义,减少“Tower”分析与控制层的处理压力。
运行在不同“Sensor”上的防御执行器通过RPC协议接收并执行“Tower”分析与控制层的控制塔台下发的操作指令,并对恶意流量探测器与下层网络设备执行指令相应的操作。
三、分析与控制层
负责本入侵检测防御系统的检测日志汇总分析与指令下达工作。分析与控制层的构成主体是控制塔台与知识图谱推演模块。
控制塔台的主要功能是收集下层呈递的日志信息,并将非结构化日志数据归一化为相同结构的入侵报警信息,并对其进行索引,以供后续知识图谱、可视化展示的查询处理。
控制塔台对转发的日志数据流进行收集汇总工作。收集之后,为对警报日志进行进一步处理分析,本发明可能需要重新构造某些日志条目,还可能需要滤除一些无意义的日志,控制塔台对这些复杂的日志处理操作提供了支持。在大流量的复杂网络环境中,可能会产生巨量的报警日志数据。因此控制塔台会对过滤处理后的日志进行日志索引化,以加快搜索的速度,在巨大的报警日志数据集合上实现高效的实时搜索操作,实现对网络威胁信息实时的文档提取和特征分析。在索引完成后,控制塔台将会使用关系型数据库对经过特征提取及分析后的攻击日志进行标准化持久存储,以供后续系统其他模块使用,如知识图谱推演模块和可视化展示。
知识图谱推演模块运用Cyber Kill Chain(CKC)模型,提取出各网络报警日志所对应的网络威胁之间深层次的相互关联性,设计算法对攻击日志数据库中的每一条入侵警告信息进行时间尺度及空间尺度上的前推与后演,绘制攻击者画像。以实现攻击者溯源和预测下一次的潜在攻击软件和潜在攻击对象,预警潜在APT攻击;并根据预定义的防护策略,通过RPC协议向检测与防御层的防御执行器下达相应指令,以实现本发明恶意流量检测规则动态加载等自动防御功能。APT攻击者画像为防御执行器提供检测规则智能加载的依据,同时为可视化展示提供新的数据来源,向安全管理人员提供决策依据。
四、展示与管理层
负责本入侵检测防御系统的数据展示与用户交互工作。主要有可视化展示、系统管理和防御响应管理三个功能。
可视化展示将控制塔台整合上传的的入侵警告信息、统计信息、网络系统安全态势等数据以图表的形式展示给安全管理人员,提供决策依据;
系统管理功能默认会根据网络中安全态势自动变更防御策略,同时也赋予管理人员对恶意流量探测器的启停、规则的加载或卸载等系统调节项作手动管理的能力;
防御响应管理功能将系统的未决入侵警告信息暴露给用户,借助用户的专业知识进行正确决策,增强系统的防护有效性。
本入侵检测防御系统的系统工作流如下:首先,恶意流量探测器从网络设备层捕获流量并对其进行实时检测,所匹配的流量特征由传统基于数据、网络行为特征的检测手段和深度学习检测手段定义。实时检测的结果通过预处理后以日志流的形式汇总到控制塔台。控制塔台先对日志数据进行过滤处理,再使用索引化,最后使用数据库结构化存储。结构化后的攻击日志一方面送入基于 CKC的知识图谱推理模块前推与后演,推演攻击画像;同时基于攻击画像数据,向防御执行器下达控制指令,以实现流量检测规则动态加载等自动防御功能。另一方面整合上传到展示与管理层进行展示。展示与管理层利用分析得到的数据绘制实时数据展示看板,并通过Web页面进行展示,并提醒安全管理人员对网络进攻进行防御响应决策。同时管理人员可对数据展示作出响应,包括进行规则的加载和卸载、IP封禁等。响应通过控制塔台触发防御执行器对恶意流量探测器和网络设备层执行相应控制操作。
下面结合仿真实验对本发明的技术效果做进一步说明。
系统检测防御功能有效性验证实验
在本实验中,分别将一台“Tower”主机和两台“Sensor”主机放置在网络中,并进行相互连接和连通性验证,确保流量和日志数据流均能被正常发送和接收。采用BPS流量回放仪器来产生恶意软件流量和背景流量,将BPS流量回放仪器产生的流量回放到两台“Sensor”主机上,以模拟在真实网络环境下发生 APT网络攻击时的网络流量情况。
在BPS流量回放设备上设定预期的攻击软件集,本发明选取了 CVE-2014-6271,CVE-2017-10271,CVE-2018-2628和MS17-010四款典型的网络恶意软件。本发明设定四款工具依次进行攻击,并且循环100轮,即总共发起了400次攻击。在400次攻击流量与背景流量混合并回放完成后,对“Tower”端的展示与管理层Web页面中显示的的恶意攻击日志的次数进行统计,分析日志计算误报、漏报的次数,统计本发明的检测防御率、漏检率、误检率。最终实验结果表明本发明对这四款典型网络恶意软件的检测防御率为100%,漏检率、误检率均为0%,符合本发明的实验预期,证明了系统的功能有效性。
系统推演防御功能有效性验证实验
在本实验中,本发明选取“侦察(RECONNAISSANCE)-入侵 (EXPLOITATION)”这样一条APT常用的网络杀伤链作为本发明推演功能的演示范例。选取NMAP软件作为侦察阶段所使用的恶意攻击软件,选取2016 年ShadowBrokers泄露的NSA网络恶意软件库中ETERNALBLUE软件作为入侵阶段所使用的恶意攻击软件。
接下来搭建本发明系统网络环境。首先,分别将一台“Tower”主机和一台“Sensor”主机放置在网络中,并将一台Windows 7系统靶机串接在“Sensor”主机后,作为本次APT攻击行动的攻击目标,称其为主机“Target”。将一台 Windows 7系统主机串接在“Sensor”主机前,作为攻击主机实施网络攻击行为,称其为主机“Attacker”。搭建完成后的网络环境如图5所示:
其中,各主机的具体配置如下表所示:
在本系统网络环境中,各主机的网卡名称及其网络配置如下表所示:
在搭建完网络拓扑环境后,按照本专利所述实施方案,在“Sensor”主机上安装高性能网络IO框架以组成网络设备层,安装多检测方法混合的恶意流量探测器及防御执行器以组成检测与防护层。在“Tower”主机上安装控制塔台与知识图谱推演模块以组成分析与控制层,安装可视化管理Web框架以组成展示与管理层。在“Sensor”主机上,恶意流量探测器默认仅加载针对NMAP软件的恶意流量检测规则,以证明系统推演功能以及分布式指令下达功能有效。
依据本次实验所需要使用的APT攻击链,在“Attacker”主机上安装NMAP 软件与ShadowBroker泄露的NSA恶意软件库fuzzbunch,并安装软件运行所需要的依赖软件。在“Target”主机上开启SMB服务。
首先使用NMAP软件对靶机进行端口扫描,以模拟网络杀伤链中的侦察步骤。在扫描的过程中,此时在“Tower”端的展示与管理层Web页面的网络拓扑图中能够显示靶机正遭受到攻击机攻击,显示为攻击机“Attacker”与靶机“Target”均被标红。并在Web页面展示对应的NMAP报警日志信息与下一阶段网络杀伤链,即入侵阶段会使用的相关可能恶意软件的推演结果,其中就包含了ETERNALBLUE软件。
此时,在“Sensor”主机上打开恶意流量探测器的加载防御策略配置文件,发现此时入侵阶段的各恶意工具的检测规则集均被成功写入加载配置文件中。
之后再使用ETERNALBLUE软件对靶机进行入侵攻击,以模拟网络杀伤链的入侵步骤。此时在“Tower”端的展示与管理层Web页面的网络拓扑图中同样显示了靶机正遭受到攻击,并在Web页面展示对应的ETERNALBLUE报警日志信息与下一阶段网络杀伤链,即利用阶段会使用的相关可能恶意软件的推演结果。
同时,攻击机上运行的ETERNALBLUE恶意软件提示入侵目标靶机失败。
对ETERNALBLUE软件的成功检测与防御,证明了本系统的动态防御策略提升功能有效。知识图谱推演功能有效,能够对网络中潜藏的APT攻击链进行识别与防御。
在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上;术语“上”、“下”、“左”、“右”、“内”、“外”、“前端”、“后端”、“头部”、“尾部”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”等仅用于描述目的,而不能理解为指示或暗示相对重要性。
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种多方法混合的分布式APT恶意流量检测防御系统,其特征在于,所述多方法混合的分布式APT恶意流量检测防御系统包括:
网络设备层、检测与防护层、分析与控制层和展示与管理层;
网络设备层,用于进行流量旁路与设备管控,同时用于将旁路流量送往检测与防御层进行检测;
检测与防护层,用于进行流量检测与指令执行;
分析与控制层,用于进行检测日志汇总分析与指令下达;
展示与管理层,用于进行数据展示与用户交互;
所述网络设备层与检测与防护层在同一台主机上运行,所述主机为Sensor;
所述分析与控制层和展示与管理层在同一台主机上运行,所述主机为Tower。
2.如权利要求1所述多方法混合的分布式APT恶意流量检测防御系统,其特征在于,所述网络设备层包括:
旁路模块,用于利用高性能网络流量I/O框架对网络设备上的流量进行旁路;
设备管控模块,设置有对网络设备进行管控的接口,进行设备管控。
3.如权利要求1所述多方法混合的分布式APT恶意流量检测防御系统,其特征在于,所述检测与防护层包括:
检测模块,用于利用基于传统检测手段和深度学习检测手段的混合的恶意流量探测器进行流量检测;用于利用恶意流量探测器实时收集使用各不同检测方法产生的告警日志,并通过可靠链接将不同恶意流量检测方法、不同Sensor上产生的告警日志转发至预先指定的Tower分析与控制层进行汇总;
防御模块,用于利用运行在不同Sensor上的防御执行器通过RPC协议接收并执行Tower分析与控制层的控制塔台下发的操作指令,并对恶意流量探测器与下层网络设备执行指令相应的处理。
4.如权利要求1所述多方法混合的分布式APT恶意流量检测防御系统,其特征在于,所述分析与控制层包括:
控制塔台,用于收集下层呈递的日志信息,并将非结构化日志数据归一化为相同结构的入侵报警信息,并对其进行索引;
知识图谱推演模块,用于运用Cyber Kill Chain(CKC)模型,提取各网络报警日志所对应的网络威胁之间深层次的相互关联性,设计算法对攻击日志数据库中的每一条入侵警告信息进行时间尺度及空间尺度上的前推与后演,绘制攻击者画像,预警潜在APT攻击;同时用于根据预定义的防护策略,通过RPC协议向检测与防御层的防御执行器下达相应指令。
5.如权利要求1所述多方法混合的分布式APT恶意流量检测防御系统,其特征在于,所述展示与管理层包括:
可视化展示模块,用于将控制塔台整合上传的的入侵警告信息、统计信息、网络系统安全态势及其他数据以图表的形式进行展示;
管理功能模块,用于根据网络中安全态势自动变更防御策略,同时用于启停恶意流量探测器、进行规则的加载或卸载及其他调节项的管理;
防御响应管理模块,用于将系统的未决入侵警告信息暴露给用户。
6.一种应用于如权利要求1-5任意一项所述多方法混合的分布式APT恶意流量检测防御系统的多方法混合的分布式APT恶意流量检测防御方法,其特征在于,所述多方法混合的分布式APT恶意流量检测防御方法包括:
步骤一,恶意流量探测器从网络设备层捕获流量并对捕获的流量进行实时检测,并将实时检测的结果通过预处理后以日志流的形式汇总转发到控制塔台;
步骤二,控制塔台先对日志数据进行过滤处理,再使用索引化,并使用数据库结构化存储;
步骤三,将结构化后的攻击日志分别送入知识图谱推理模块与展示与管理层进行不同处理;
步骤四,展示与管理层利用分析得到的数据绘制实时数据展示看板,并通过Web页面进行展示,发出网络进攻进行防御响应提醒;
步骤五,对数据展示作出进行规则的加载和卸载、IP封禁及其他响应;控制塔台基于所述响应触发防御执行器对恶意流量探测器和网络设备层执行相应控制处理。
7.如权利要求6所述多方法混合的分布式APT恶意流量检测防御方法,其特征在于,步骤一中,所述对捕获的流量进行实时检测包括:
提取数据包的特定字段并根据规则进行特异性匹配,判定是否触发规则,并执行规则指定的行为,同时使用Lua语言进行字段检测的拓展支持。
8.如权利要求6所述多方法混合的分布式APT恶意流量检测防御方法,其特征在于,步骤一中,所述预处理包括:
恶意流量探测器不同检测方法所产生的日志进行预处理与归一化,得到具有相同的格式和意义的日志。
9.如权利要求6所述多方法混合的分布式APT恶意流量检测防御方法,其特征在于,所述控制塔台先对日志数据进行过滤处理,再使用索引化,并使用数据库结构化存储包括:
控制塔台对转发的日志数据流进行收集汇总工作,重新构造部分日志条目,并滤除无意义的日志,同时对过滤处理后的日志进行日志索引化,并使用关系型数据库对经过特征提取及分析后的攻击日志进行标准化持久存储;
所述将结构化后的攻击日志分别送入知识图谱推理模块与展示与管理层进行不同处理包括:
将结构化后的攻击日志送入基于CKC的知识图谱推理模块前推与后演,推演攻击画像;同时基于攻击画像数据,向防御执行器下达控制指令,进行流量检测规则动态加载及其他自动防御;
将结构化后的攻击日志整合上传到展示与管理层进行展示。
10.一种信息数据处理终端,其特征在于,所述信息数据处理终端包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行权利要求6~9任意一项所述多方法混合的分布式APT恶意流量检测防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111027017.2A CN113746832B (zh) | 2021-09-02 | 2021-09-02 | 多方法混合的分布式apt恶意流量检测防御系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111027017.2A CN113746832B (zh) | 2021-09-02 | 2021-09-02 | 多方法混合的分布式apt恶意流量检测防御系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113746832A true CN113746832A (zh) | 2021-12-03 |
| CN113746832B CN113746832B (zh) | 2022-04-29 |
Family
ID=78734986
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111027017.2A Active CN113746832B (zh) | 2021-09-02 | 2021-09-02 | 多方法混合的分布式apt恶意流量检测防御系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113746832B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115378670A (zh) * | 2022-08-08 | 2022-11-22 | 北京永信至诚科技股份有限公司 | 一种apt攻击识别方法、装置、电子设备及介质 |
| CN115658626A (zh) * | 2022-12-26 | 2023-01-31 | 成都数默科技有限公司 | 一种分布式网络小文件存储管理方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN107370755A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种多维度深层次检测apt攻击的方法 |
| CN109413109A (zh) * | 2018-12-18 | 2019-03-01 | 中国人民解放军国防科技大学 | 基于有限状态机的面向天地一体化网络安全状态分析方法 |
| CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护系统 |
| EP3588898A1 (en) * | 2017-03-27 | 2020-01-01 | New H3C Technologies Co., Ltd | Defense against apt attack |
| CN111885040A (zh) * | 2020-07-17 | 2020-11-03 | 中国人民解放军战略支援部队信息工程大学 | 分布式网络态势感知方法、系统、服务器及节点设备 |
| CN111901286A (zh) * | 2019-05-06 | 2020-11-06 | 北京明信安有限公司 | 一种基于流量日志的apt攻击检测方法 |
| CN111931173A (zh) * | 2020-08-14 | 2020-11-13 | 广州纬通贸易有限公司 | 一种基于apt攻击意图的操作权限控制方法 |
| CN112765366A (zh) * | 2021-01-24 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 基于知识图谱的apt组织画像构建方法 |
| CN113282759A (zh) * | 2021-04-23 | 2021-08-20 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于威胁情报的网络安全知识图谱生成方法 |
-
2021
- 2021-09-02 CN CN202111027017.2A patent/CN113746832B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3588898A1 (en) * | 2017-03-27 | 2020-01-01 | New H3C Technologies Co., Ltd | Defense against apt attack |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN107370755A (zh) * | 2017-08-23 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种多维度深层次检测apt攻击的方法 |
| CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护系统 |
| CN109413109A (zh) * | 2018-12-18 | 2019-03-01 | 中国人民解放军国防科技大学 | 基于有限状态机的面向天地一体化网络安全状态分析方法 |
| CN111901286A (zh) * | 2019-05-06 | 2020-11-06 | 北京明信安有限公司 | 一种基于流量日志的apt攻击检测方法 |
| CN111885040A (zh) * | 2020-07-17 | 2020-11-03 | 中国人民解放军战略支援部队信息工程大学 | 分布式网络态势感知方法、系统、服务器及节点设备 |
| CN111931173A (zh) * | 2020-08-14 | 2020-11-13 | 广州纬通贸易有限公司 | 一种基于apt攻击意图的操作权限控制方法 |
| CN112765366A (zh) * | 2021-01-24 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 基于知识图谱的apt组织画像构建方法 |
| CN113282759A (zh) * | 2021-04-23 | 2021-08-20 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于威胁情报的网络安全知识图谱生成方法 |
Non-Patent Citations (3)
| Title |
|---|
| MEICONG LI, ET AL.: "The Optimized Attribute Attack Graph Based on APT Attack Stage Model", 《2016 2ND IEEE INTERNATIONAL CONFERENCE ON COMPUTER AND COMMUNICATIONS》 * |
| 刘威歆: "基于攻击图的APT攻击检测和威胁评估研究", 《中国硕士学位论文全文数据库信息科技辑》 * |
| 黄永洪等: "基于攻击图的APT脆弱节点评估方法", 《重庆邮电大学学报(自然科学版)》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115378670A (zh) * | 2022-08-08 | 2022-11-22 | 北京永信至诚科技股份有限公司 | 一种apt攻击识别方法、装置、电子设备及介质 |
| CN115378670B (zh) * | 2022-08-08 | 2024-03-12 | 永信至诚科技集团股份有限公司 | 一种apt攻击识别方法、装置、电子设备及介质 |
| CN115658626A (zh) * | 2022-12-26 | 2023-01-31 | 成都数默科技有限公司 | 一种分布式网络小文件存储管理方法 |
| CN115658626B (zh) * | 2022-12-26 | 2023-03-07 | 成都数默科技有限公司 | 一种分布式网络小文件存储管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113746832B (zh) | 2022-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112738126B (zh) | 基于威胁情报和att&ck的攻击溯源方法 | |
| CN104811447B (zh) | 一种基于攻击关联的安全检测方法和系统 | |
| CN113746832B (zh) | 多方法混合的分布式apt恶意流量检测防御系统及方法 | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| CN114070629B (zh) | 针对apt攻击的安全编排与自动化响应方法、装置及系统 | |
| CN103428196A (zh) | 一种基于url白名单的web应用入侵检测方法和装置 | |
| US20190121969A1 (en) | Graph Model for Alert Interpretation in Enterprise Security System | |
| CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| CN112948821A (zh) | 一种apt检测预警方法 | |
| WO2018071356A1 (en) | Graph-based attack chain discovery in enterprise security systems | |
| CN111786986B (zh) | 一种数控系统网络入侵防范系统及方法 | |
| CN110460611A (zh) | 基于机器学习的全流量攻击检测技术 | |
| CN114531283B (zh) | 入侵检测模型的鲁棒性测定方法、系统、存储介质及终端 | |
| CN107666464A (zh) | 一种信息处理方法及服务器 | |
| Pu et al. | Intrusion detection system with the data mining technologies | |
| CN112925805A (zh) | 基于网络安全的大数据智能分析应用方法 | |
| CN117454376A (zh) | 工业互联网数据安全检测响应与溯源方法及装置 | |
| Liao et al. | Research on network intrusion detection method based on deep learning algorithm | |
| CN115766051A (zh) | 一种主机安全应急处置方法、系统、存储介质及电子设备 | |
| CN114629711A (zh) | 一种针对Windows平台特种木马检测的方法及系统 | |
| CN107341396A (zh) | 入侵检测方法、装置及服务器 | |
| Athira et al. | Standardisation and classification of alerts generated by intrusion detection systems | |
| CN117609990B (zh) | 一种基于场景关联分析引擎的自适应安全防护方法及装置 | |
| CN117220961B (zh) | 一种基于关联规则图谱的入侵检测方法、装置及存储介质 | |
| CN109492389A (zh) | 一种机器学习自动化行为分析的行为威胁分析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |