CN113852597B - 一种网络威胁溯源迭代分析方法、计算机设备及存储介质 - Google Patents
一种网络威胁溯源迭代分析方法、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN113852597B CN113852597B CN202110883416.2A CN202110883416A CN113852597B CN 113852597 B CN113852597 B CN 113852597B CN 202110883416 A CN202110883416 A CN 202110883416A CN 113852597 B CN113852597 B CN 113852597B
- Authority
- CN
- China
- Prior art keywords
- asset
- network
- matrix
- similar
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 73
- 239000011159 matrix material Substances 0.000 claims abstract description 139
- 230000008859 change Effects 0.000 claims abstract description 25
- 238000012098 association analyses Methods 0.000 claims abstract description 22
- 230000004927 fusion Effects 0.000 claims abstract description 22
- 230000006399 behavior Effects 0.000 claims description 196
- 238000004891 communication Methods 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 13
- 238000000034 method Methods 0.000 claims description 8
- 238000011112 process operation Methods 0.000 claims description 6
- 230000002093 peripheral effect Effects 0.000 claims description 5
- 230000026676 system process Effects 0.000 claims description 5
- 238000012546 transfer Methods 0.000 claims description 5
- 230000009191 jumping Effects 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 abstract description 4
- 238000005516 engineering process Methods 0.000 description 6
- 238000010219 correlation analysis Methods 0.000 description 5
- 238000001514 detection method Methods 0.000 description 5
- 238000007405 data analysis Methods 0.000 description 4
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 238000012550 audit Methods 0.000 description 3
- 238000012937 correction Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000001010 compromised effect Effects 0.000 description 2
- 230000001066 destructive effect Effects 0.000 description 2
- 241000239290 Araneae Species 0.000 description 1
- 238000012097 association analysis method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000004454 trace mineral analysis Methods 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络威胁溯源迭代分析方法、计算机设备及存储介质,其中分析方法包括生成资产受损特征链、构建资产受损特征矩阵、生成相似资产运行特征矩阵、生成相似资产运行特征变化矩阵、生成相似资产操作行为矩阵、生成相似资产网络行为矩阵、复盘分析网络攻击链这七个步骤。本发明以资产作为关联分析的主线,基于多维安全大数据融合分析的思想,采用安全数字矩阵的关联追踪分析方法,以具备相似受损特征的资产集为追踪分析的起点,构建相似资产运行特征矩阵、相似资产操作行为矩阵到相似资产网络行为矩阵的逐级反向追踪分析机制,逐段推导网络威胁各个步骤的关联关系和行为特征,以此为基础实现整个网络攻击链的智能化分析和复盘。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络威胁溯源迭代分析方法、计算机设备及存储介质。
背景技术
近年来,随着网络威胁向广域化、复杂化和组织化演进发展,网络威胁已不再局限于单区域的单一恶意动作,而是一系列恶意行为或步骤的复杂组合,国内外研究机构针对性提出了攻击链模型,也称为杀伤链模型(Cyber-Kill-Chain),是一种基于网络威胁全生命周期的模型,采用时间顺序描述入侵者对攻击目标系统实施攻击所采取的路径及手段的集合,将网络攻击划分为“外部侦察—武器化—交付—外部利用—安装—命令和控制—行动”7个阶段,为了更好的适用于各类网络威胁,因此一些国内外的学者提出了网络威胁的攻击的衍化模型,包括LogRhythm的5阶段模型、Lan-caster的3阶段模型、SDAPT的8阶段模型等。
但从防御方的视角,难以预先、准确的知晓网络威胁全生命周期的各个步骤及具体攻击行为,需要采用逆向溯源的分析方法,从网络、资产及信息系统的各类表象中,寻找各类恶意行为或步骤之间的蛛丝马迹,复盘还原网络威胁全过程的实施步骤及相关攻击行为,这一直是网络安全领域的难点问题,本发明利用大数据分析技术,对多个维度数据进行融合关联,基于“同一威胁在不同层面的相似性破坏和相似性动作”的思想,并采用持续迭代验证和修正的机制,力求准确、全面的复盘网络威胁。
发明内容
针对缺乏有效应对复杂性、规模性、组合性网络威胁的检测方法问题,本发明以资产作为关联分析的主线,基于多维安全大数据融合分析的思想,采用安全数字矩阵的关联追踪分析方法,以具备相似受损特征的资产集为追踪分析的起点,构建相似资产运行特征矩阵、相似资产操作行为矩阵到相似资产网络行为矩阵的逐级反向追踪分析机制,逐段推导网络威胁各个步骤的关联关系和行为特征,以此为基础实现整个网络攻击链的智能化分析和复盘。
本发明采用的技术方案如下:
一种网络威胁溯源迭代分析方法,包括如下步骤:
步骤1、生成资产受损特征链:当某一资产遭受网络攻击时,对已发现该资产的多种网络攻击表象特征进行融合分析,定期形成资产受损特征链;
步骤2、构建资产受损特征矩阵:定期将多个资产的所述资产受损特征链进行关联分析,一旦发现不同资产存在多个相似的受损特征,则认为可能由相似的网络威胁引起,并组合形成资产受损特征矩阵;
步骤3、生成相似资产运行特征矩阵:对所述资产受损特征矩阵中相关的资产一段时间内的运行状态信息进行融合分析,找出存在相似度的资产集合,并将其组合形成相似资产运行特征矩阵;
步骤4、生成相似资产运行特征变化矩阵:将所述相似资产运行特征矩阵中各个资产在最近一段时间的所述运行状态信息的变化进行融合分析,衍化形成相似资产运行特征变化矩阵;
步骤5、生成相似资产操作行为矩阵:基于所述相似资产运行特征变化矩阵,对引起资产运行特征变化的内部操作行为信息进行关联分析,衍化形成相似资产操作行为矩阵;
步骤6、生成相似资产网络行为矩阵:基于所述相似资产运行特征变化矩阵和所述相似资产操作行为矩阵,结合各个资产的网络行为相似度分析,形成相似资产网络行为矩阵;
步骤7、复盘分析网络攻击链:将所述相似资产网络行为矩阵中的标记的网络行为进行逐段的网络攻击链的复盘迭代分析。
进一步的,步骤6包括如下子步骤:
步骤6.1、生成相似资产直接网络行为矩阵:基于所述相似资产运行特征变化矩阵,对引起资产运行特征变化的外部网络行为信息进行关联分析,衍化形成相似资产直接网络行为矩阵;
步骤6.2、生成相似资产间接网络行为矩阵:基于所述相似资产操作行为矩阵,针对资产操作行为的所述外部网络行为信息进行关联分析,衍化形成相似资产间接网络行为矩阵;
步骤6.3、生成相似资产网络行为矩阵:将所述相似资产间接网络行为矩阵和所述相似资产间接网络行为矩阵合并,并将所有资产一段时间内的网络通信行为进行复原,之后对各个资产网络行为矩阵进行融合关联分析,找出网络行为矩阵存在相似性的相关资产,对其组合后形成所述相似资产网络行为矩阵,并对矩阵中的相似网络行为进行标记。
进一步的,步骤6.1中,所述外部网络行为信息包括文件传送、远程登陆、远程访问和数据获取。
进一步的,步骤6.3中,所述网络通信行为包括网络行为的源地址、目的地址、通信协议、通信时间和操作对象。
进一步的,步骤7包括如下子步骤:
步骤7.1、基于网络行为进行追踪分析:将所述相似资产网络行为矩阵中的标记的网络行为进行源地址追踪分析,若所有网络行为源地址均指向同一资产,则将相关网络行为认定为网络威胁行为特征,并跳转到步骤7.4;若存在多个资产,则将相关资产的运行特征进行复原,形成所述相似资产运行特征矩阵;
步骤7.2、生成相似资产网络行为矩阵:将所述相似资产运行特征矩阵中各个资产的运行特征进行融合关联分析,找出运行特征存在相似度的资产,对相关资产一段时间内的所述网络通信行为进行复原,并将其组合形成所述相似资产网络行为矩阵;
步骤7.3、生成网络威胁行为特征:抽取所述相似资产网络行为矩阵的共性特征,认定为网络威胁行为特征;
步骤7.4、复盘网络攻击链:将相关资产以及网络威胁行为特征记录到网络攻击链中,形成网络攻击链的前一步骤特征信息;若存在所述相似资产网络行为矩阵,则跳转到步骤7.1进行再次迭代分析。
进一步的,步骤3中,所述运行状态信息包括系统策略、系统用户、系统漏洞、系统文件和系统进程。
进一步的,步骤5中,所述内部操作行为信息包括进程操作、外设操作、文件操作和数据操作。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述一种网络威胁溯源迭代分析方法的步骤。
一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述一种网络威胁溯源迭代分析方法的步骤。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1、以资产为关联分析的主线,采用多维度的关联融合分析机制,通过特征提取方法构建安全数字矩阵,能够全面、准确分析资产受损情况、资产运行环境、内部操作行为和外部网络行为等资产某一方面的相关特征,目前网络安全领域尚无该技术;
2、采用基于内部安全数字矩阵的关联分析机制,以分析同一威胁在多个资产的共同内部特征为思路,以资产的“受损情况—运行环境—内部行为”为关联线索,能够快速发现同一威胁在资产内部不同维度引发的特征现象,从而实现资产内部威胁追踪溯源,目前网络安全领域尚无该技术;
3、采用基于外部安全数字矩阵的关联分析方法,以分析同一威胁在多个资产之间的网络行为特征为思路,以资产的“内部特征—网络行为”为关联线索,能够快速发现同一威胁的不同网络行为的关联性现象,从而实现资产外部网络威胁追踪溯源,目前网络安全领域尚无该技术。
附图说明
图1为本发明实施例2的一种网络威胁溯源分析方法示意图;
图2为本发明实施例2的网络威胁链溯源复盘流程图;
图3为本发明实施例2的网络威胁链迭代修正流程图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现说明本发明的具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
本实施例提供了一种网络威胁溯源迭代分析方法,包括如下步骤:
步骤1、生成资产受损特征链:当某一资产遭受网络攻击时,对已发现该资产的多种网络攻击表象特征进行融合分析,定期形成资产受损特征链;
步骤2、构建资产受损特征矩阵:定期将多个资产的所述资产受损特征链进行关联分析,一旦发现不同资产存在多个相似的受损特征,则认为可能由相似的网络威胁引起,并组合形成资产受损特征矩阵;
步骤3、生成相似资产运行特征矩阵:对所述资产受损特征矩阵中相关的资产一段时间内的运行状态信息进行融合分析,找出存在相似度的资产集合,并将其组合形成相似资产运行特征矩阵;优选的,所述运行状态信息包括系统策略、系统用户、系统漏洞、系统文件和系统进程;
步骤4、生成相似资产运行特征变化矩阵:将所述相似资产运行特征矩阵中各个资产在最近一段时间的所述运行状态信息的变化进行融合分析,衍化形成相似资产运行特征变化矩阵;
步骤5、生成相似资产操作行为矩阵:基于所述相似资产运行特征变化矩阵,对引起资产运行特征变化的内部操作行为信息进行关联分析,衍化形成相似资产操作行为矩阵;优选的,所述内部操作行为信息包括进程操作、外设操作、文件操作和数据操作;
步骤6、生成相似资产网络行为矩阵:基于所述相似资产运行特征变化矩阵和所述相似资产操作行为矩阵,结合各个资产的网络行为相似度分析,形成相似资产网络行为矩阵;
步骤7、复盘分析网络攻击链:将所述相似资产网络行为矩阵中的标记的网络行为进行逐段的网络攻击链的复盘迭代分析。
优选的,步骤6包括如下子步骤:
步骤6.1、生成相似资产直接网络行为矩阵:基于所述相似资产运行特征变化矩阵,对引起资产运行特征变化的外部网络行为信息进行关联分析,衍化形成相似资产直接网络行为矩阵;优选的,所述外部网络行为信息包括文件传送、远程登陆、远程访问和数据获取;
步骤6.2、生成相似资产间接网络行为矩阵:基于所述相似资产操作行为矩阵,针对资产操作行为的所述外部网络行为信息进行关联分析,衍化形成相似资产间接网络行为矩阵;
步骤6.3、生成相似资产网络行为矩阵:将所述相似资产间接网络行为矩阵和所述相似资产间接网络行为矩阵合并,并将所有资产一段时间内的网络通信行为进行复原,之后对各个资产网络行为矩阵进行融合关联分析,找出网络行为矩阵存在相似性的相关资产,对其组合后形成所述相似资产网络行为矩阵,并对矩阵中的相似网络行为进行标记。优选的,所述网络通信行为包括网络行为的源地址、目的地址、通信协议、通信时间和操作对象。
优选的,步骤7包括如下子步骤:
步骤7.1、基于网络行为进行追踪分析:将所述相似资产网络行为矩阵中的标记的网络行为进行源地址追踪分析,若所有网络行为源地址均指向同一资产,则将相关网络行为认定为网络威胁行为特征,并跳转到步骤7.4;若存在多个资产,则将相关资产的运行特征进行复原,形成所述相似资产运行特征矩阵;
步骤7.2、生成相似资产网络行为矩阵:将所述相似资产运行特征矩阵中各个资产的运行特征进行融合关联分析,找出运行特征存在相似度的资产,对相关资产一段时间内的所述网络通信行为进行复原,并将其组合形成所述相似资产网络行为矩阵;
步骤7.3、生成网络威胁行为特征:抽取所述相似资产网络行为矩阵的共性特征,认定为网络威胁行为特征;
步骤7.4、复盘网络攻击链:将相关资产以及网络威胁行为特征记录到网络攻击链中,形成网络攻击链的前一步骤特征信息;若存在所述相似资产网络行为矩阵,则跳转到步骤7.1进行再次迭代分析。
实施例2
本实施例在实施例1的基础上:
如图1所示,以A、B、C、D、E、F共6个资产的应用场景为例,说明多个资产的网络威胁溯源分析。本实施例的前提条件是已实现了各类安全事件以及操作行为相关的语法语义的标准化,即对病毒木马、系统漏洞、网络攻击、系统窃权、数据泄露等资产破坏行为以及相关的资产运行情况、资产内部操作、网络操作行为等已实现一致性描述。
本实施例提供了一种网络威胁溯源迭代分析方法,包括如下步骤:
步骤1、生成资产受损特征矩阵:依托于相应的安全检测分析手段,对病毒木马、网络攻击、系统窃权、数据泄露等资产破坏行为进行检测,定期将基于发现的问题分别形成相应的资产受损特征链,如病毒木马的资产受损链表示为AdC-Vir(Ai)=(Event-Vir(a1),Event-Vir(a2),Event-Vir(a3)......),其中,Event-Vir(ai)表示已发现的某一病毒木马事件;以此类推,网络攻击的资产受损链表示为AdC-Att(Ai)=(Event-Att(a1),Event-Att(a2),Event-Att(a3)......);系统窃权的资产受损链表示为AdC-Inv(Ai)=(Event-Inv(a1),Event-Inv(a2),Event-Inv(a3)......);数据泄露的资产受损链表示为AdC-Lea(Ai)=(Event-Lea(a1),Event-Lea(a2),Event-Lea(a3)......)。为了确保资产受损特矩阵的标准化和一致性,将只选取各个资产受损特征链的前十项重要特征,如果存在要素不够的情况,以数字O补齐,以此整合各个资产受损特征链形成资产受损特征矩阵AdM(Ai)=[AdC-Vir(Ai),AdC-Att(Ai),AdC-Inv(Ai),AdC-Lea(Ai)]。同理,定期形成资产B、C、D、E、F......的资产受损特征矩阵AdM(Bi)、AdM(Ci)、AdM(Di)、AdM(Ei)、AdM(Fi)......。
步骤2、关联分析资产受损特征矩阵:对资产A、B、C、D、E、F......的资产受损特征矩阵AdM(Ai)、AdM(Bi)、AdM(Ci)、AdM(Di)、AdM(Ei)、AdM(Fi)……进行关联对比分析,若发现特征矩阵存在2个以上相同的要素,则将其划分为一组,如图1所示,发现A、B、C、D、E、F的资产受损特征矩阵存在2个以上的相同要素,将其划分“相似受损资产集”。
步骤3、生成相似资产运行特征矩阵:依托于相应的安全检测和安全审计手段,对“相似受损资产集”中相关的资产一段时间内的运行信息进行融合分析,包括系统策略、系统用户、系统漏洞、系统进程等运行状态信息,定期提取相关特征分别形成相应的资产运行特征链,如系统策略的资产运行特征链表示为AeC-Str(Ai)=(Event-Str(a1),Event-Str(a2),Event-Str(a3)......),系统用户的资产运行特征链表示为AeC-Usr(Ai)=(Event-Usr(a1),Event-Usr(a2),Event-Usr(a3)......),系统漏洞的资产运行特征链表示为AeC-Vul(Ai)=(Event-Vul(a1),Event-Vul(a2),Event-Vul(a3)……),系统进程的资产运行特征链表示为AeC-Pro(Ai)=(Event-Pro(a1),Event-Pro(a2),Event-Pro(a3)......)。为了确保相似资产运行特征矩阵的标准化和一致性,将只选取各个资产运行特征链的前十项重要特征,如果存在要素不够的情况,以数字0补齐,以此整合各个资产运行特征链形成相似资产运行特征矩阵,AeM(Ai)=[AeC-Str(Ai),AeC-Usr(Ai),AeC-Vul(Ai),AdC-Lea(Ai)]。同理,定期形成资产B、C、D、E、F......的资产受损特征矩阵AeM(Bi)、AeM(Ci)、AeM(Di)、AeM(Ei)、AeM(Fi)......。
步骤4、生成相似资产操作行为矩阵:依托于相应的安全检测和安全审计手段,对“相似受损资产集”中相关的资产一段时间内的内部操作行为进行融合分析,包括策略操作、外设操作、进程操作、数据操作等操作行为信息,定期提取相关特征分别形成相应的资产操作行为链,如进程操作的资产操作行为链表示为AoC-Str(Ai)=(Event-Str(a1),Event-Str(a2),Event-Str(a3)......),外设操作的资产操作行为链表示为AoC-Dev(Ai)=(Event-Dev(a1),Event-Dev(a2),Event-Dev(a3)……),进程操作的资产操作行为链表示为AoC-Pro(Ai)=(Event-Pro(a1),Event-Pro(a2),Event-Pro(a3)......),数据操作的资产操作行为链表示为AoC-Dat(Ai)=(Event-Dat(a1),Event-Dat(a2),Event-Dat(a3)……)。为了确保相似资产运行特征矩阵的标准化和一致性,将只选取各个资产网络行为链的前十项重要特征,如果存在要素不够的情况,以数字0补齐,以此整合各个资产操作行为链形成相似资产操作行为矩阵AoM(Ai)=[AoC-Str(Ai),AoC-Dev(Ai),AoC-Pro(Ai),AoC-Dat(Ai)]。同理,定期形成资产B、C、D、E、F......的资产受损特征矩阵AoM(Bi)、AoM(Ci)、AoM(Di)、AoM(Ei)、AoM(Fi)……。
步骤5、资产内部威胁溯源:基于安全大数据分析技术,通过发现同一网络威胁在不同资产的受损特征、运行特征和操作行为等面的相似性,逐步追溯还原网络威胁在不同阶段的外在特征,如图2所示,资产A、B、C、D、E、F已形成了-个“相似受损资产集”,以此为例实施后续相关数据分析。优选的,步骤5包括以下子步骤:
步骤5.1、生成“相似运行特征资产集”:以“相似受损资产集”中的时刻为起点,反向追踪分析集合中A、B、C、D、E、F在一段时间内所有的相似资产运行特征矩阵,以1个小时为时间间隔,反向追踪资产A、B、C、D、E、F在过去24小时内的相似资产运行特征矩阵,即对{AeM(Ai)、AeM(Ai-1)......AeM(Ai-23)}、{AeM(Bi)、AeM(Bi-1)......AeM(Bi-23)}、{AeM(Ci)、AeM(Ci-1)......AeM(Ci-23)}、{AeM(Di)、AeM(Di-1)......AeM(Di-23)}、{AeM(Ei)、AeM(Ei-1)……AeM(Ei-23)}、{AeM(Fi)、AeM(Fi-1)……AeM(Fi-23)}进行对比关联分析,发现资产A、B、C、D存在相同的运行特征要素,将其划分为“相似运行特征资产集”,并形成“相似资产运行特征矩阵集”为{AeM(Ai)、AeM(Bi-5)、AeM(Ci-9)、AeM(Di-7)};
步骤5.2、生成“相似操作行为资产集”:以“相似受损资产集”中的时刻为起点,反向追踪分析集合中A、B、C、D、E、F在一段时间内所有的相似资产操作行为矩阵,以1个小时为时间间隔,反向追踪资产A、B、C、D、E、F在过去24小时内的相似资产运行特征矩阵,即对{AoM(Ai)、AoM(Ai-1)……AoM(Ai-23)}、{AoM(Bi)、AoM(Bi-1)……AoM(Bi-23)}、{AoM(Ci)、AoM(Ci-1)......AoM(Ci-23)}、{AoM(Di)、AoM(Di-1)......AoM(Di-23)}、{AoM(Ei)、AoM(Ei-1)......AoM(Ei-23)}、{AoM(Fi)、AoM(Fi-1)......AoM(Fi-23)}对比关联分析,发现资产B、C、D、E存在相同的运行特征要素,将其划分为“相似操作行为资产集”,并形成“相似相似资产操作行为矩阵集”为{AoM(Bi-5)、AoM(Ci-18)、AoM(Di-11)、AoM(Ei-3)};
步骤5.3、资产内部威胁链溯源:取“相似运行特征资产集”和“相似操作行为资产集”的并集,形成“相似威胁特征资产集”,即资产A、B、C、D、E组合形成“相似威胁特征资产集”,之后,基于{AdM(Ai)、AdM(Bi)、AdM(Ci)、AdM(Di)、AdM(Ei)}的相同特征要素,提取形成资产受损特征AdF(t);基于{AeM(Ai)、AeM(Bi-5)、AeM(Ci-9)、AeM(Di-7)}的相同特征要素,提取形成资产运行特征AeF(t);基于{AoM(Bi-5)、AoM(Ci-18)、AoM(Di-11)、AoM(Ei-3)}的相同特征要素,提取形成资产内部行为特征AoF(t);以此作为资产内部某一威胁的相关步骤特征,并以此组合形成资产内部威胁链AtC-In={AdF(t)、AeF(t)、AoF(t)}。
步骤6、资产网络威胁溯源:基于安全大数据分析技术,通过发现同一网络威胁在不同资产的网络行为的相似性,实现从资产内部威胁到资产网络威胁追溯还原,资产A、B、C、D、E已形成了一个“相似威胁特征资产集”,以此为例实施后续相关数据分析。优选的,步骤6包括以下子步骤:
步骤6.1、生成资产网络行为矩阵:依托于相应的安全检测和安全审计手段,对“相似威胁特征资产集”中相关的资产一段时间内的网络操作行为进行融合分析,包括文件传送、远程登陆、应用访问、数据获取等操作行为信息,定期提取相关特征分别形成相应的资产网络行为链,如文件传输的资产网络行为链表示为AnC-Fil(Ai)=(Event-Fil(a1),Event-Fil(a2),Event-Fil(a3)……),远程登陆的资产网络行为链表示为AnC-Log(Ai)=(Event-Log(a1),Event-Log(a2),Event-Log(a3)……),应用访问的资产网络行为链表示为AnC-App(Ai)=(Event-App(a1),Event-App(a2),Event-App(a3)......),数据获取的资产网络行为链表示为AnC-Dat(Ai)=(Event-Dat(a1),Event-Dat(a2),Event-Dat(a3)......)。为了确保相似资产运行特征矩阵的标准化和一致性,将只选取各个资产网络行为链的前十项重要特征,如果存在要素不够的情况,以数字0补齐,以此整合各个资产网络行为链形成资产网络行为矩阵,AnM(Ai)=[AnC-Fil(Ai),AnC-Log(Ai),AnC-App(Ai),AnC-Dat(Ai)]。同理,定期形成资产A、B、C、D、E的资产受损特征矩阵AnM(Ai)、AnM(Bi)、AnM(Ci)、AnM(Di)、AnM(Ei)、。
步骤6.2、生成“相似网络行为资产集”:以“相似威胁特征资产集”中的时刻为起点,反向追踪分析集合中A、B、C、D、E在一段时间内所有的资产网络行为矩阵,以1个小时为时间间隔,反向追踪资产A、B、C、D、E在过去24小时内的相似资产运行特征矩阵,即对{AnM(Ai)、AnM(Ai-1)......AnM(Ai-23)}、{AnM(Bi)、AnM(Bi-1)......AnM(Bi-23)}、{AnM(Ci)、AnM(Ci-1)……AnM(Ci-23)}、{AnM(Di)、AnM(Di-1)……AnM(Di-23)}、{AnM(Ei)、AnM(Ei-1)......AnM(Ei-23)}、{AnM(Fi)、AnM(Fi-1)......AnM(Fi-23)}对比关联分析,发现资产A、B、D、E存在相同的网络行为要素,将其划分为“相似网络行为资产集”,并形成“相似网络行为资产集”为{AnM(Ai-3)、AnM(Bi-8)、AoM(Di-11)、AoM(Ei-6)};
步骤6.3、生成网络威胁链:基于“相似网络行为资产集”{AnM(Ai-3)、AnM(Bi-8)、AoM(Di-11)、AoM(Ei-6)}的相同特征要素,即资产网络行为集{AnAct(t1)、AnAct(t2)、AnAct(t3)......};之后,将资产网络行为集和“资产内部威胁链”进行相关性分析,若存在强相关行为,则提取相关特征作为资产网络威胁特征AnF(t),以此组合形成网络威胁链AtC(t)={AdF(t)、AeF(t)、AoF(t)、AnF(t)}。
步骤7、基于威胁情报持续迭代:可将构建的网络威胁链作为威胁情报实现全网共享,并借助于后续的数据融合分析能力实现持续的迭代验证和修正。优选的,步骤7包括如下子步骤:
步骤7.1、网络威胁情报发布:基于网络威胁链AtC(t)的网络行为关系进行回溯定位分析,将网络威胁源头资产H、I作为可疑资产,之后将网络威胁链和相关可疑终端作为网络威胁情报,实现全网发布和共享;
步骤7.2、持续验证和迭代修正:如图3所示,后续的网络威胁溯源分析过程中,可利用网络威胁链AtC(t)和可疑资产H、I作为威胁情报辅助进行分析,同时,持续利用后续更多的数据样本,持续验证网络威胁链的特征是否准确且全面,可疑终端是否再次发生类似威胁行为,基于相关验证数据迭代修正上述威胁情报,持续提升其准确性。
实施例3
本实施例在实施例1和2任一例的基础上:
本实施例提供了一种计算机设备,包括存储器和处理器,该存储器存储有计算机程序,该处理器执行该计算机程序时实现实施例1或2的网络威胁溯源迭代分析方法的步骤。
其中,计算机程序可以为源代码形式、对象代码形式、可执行文件或者某些中间形式等。
实施例4
本实施例在实施例1和2任一例的基础上:
本实施例提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序被处理器执行时实现实施例1或2的网络威胁溯源迭代分析方法的步骤。
其中,计算机程序可以为源代码形式、对象代码形式、可执行文件或者某些中间形式等。存储介质包括:能够携带计算机程序代码的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM)、随机存取存储器(RAM)、电载波信号、电信信号以及软件分发介质等。需要说明的是,存储介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,存储介质不包括电载波信号和电信信号。
需要说明的是,对于前述的方法实施例,为了简便描述,故将其表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
Claims (8)
1.一种网络威胁溯源迭代分析方法,其特征在于,包括如下步骤:
步骤1、生成资产受损特征链:当某一资产遭受网络攻击时,对已发现该资产的多种网络攻击表象特征进行融合分析,定期形成资产受损特征链;
步骤2、构建资产受损特征矩阵:定期将多个资产的所述资产受损特征链进行关联分析,一旦发现不同资产存在多个相似的受损特征,则认为可能由相似的网络威胁引起,并组合形成资产受损特征矩阵;
步骤3、生成相似资产运行特征矩阵:对所述资产受损特征矩阵中相关的资产一段时间内的运行状态信息进行融合分析,找出存在相似度的资产集合,并将其组合形成相似资产运行特征矩阵;
步骤4、生成相似资产运行特征变化矩阵:将所述相似资产运行特征矩阵中各个资产在最近一段时间的所述运行状态信息的变化进行融合分析,衍化形成相似资产运行特征变化矩阵;
步骤5、生成相似资产操作行为矩阵:基于所述相似资产运行特征变化矩阵,对引起资产运行特征变化的内部操作行为信息进行关联分析,衍化形成相似资产操作行为矩阵;
步骤6、生成相似资产网络行为矩阵:基于所述相似资产运行特征变化矩阵和所述相似资产操作行为矩阵,结合各个资产的网络行为相似度分析,形成相似资产网络行为矩阵;
步骤7、复盘分析网络攻击链:将所述相似资产网络行为矩阵中的标记的网络行为进行逐段的网络攻击链的复盘迭代分析;
步骤6包括如下子步骤:
步骤6.1、生成相似资产直接网络行为矩阵:基于所述相似资产运行特征变化矩阵,对引起资产运行特征变化的外部网络行为信息进行关联分析,衍化形成相似资产直接网络行为矩阵;
步骤6.2、生成相似资产间接网络行为矩阵:基于所述相似资产操作行为矩阵,针对资产操作行为的所述外部网络行为信息进行关联分析,衍化形成相似资产间接网络行为矩阵;
步骤6.3、生成相似资产网络行为矩阵:将所述相似资产间接网络行为矩阵和所述相似资产间接网络行为矩阵合并,并将所有资产一段时间内的网络通信行为进行复原,之后对各个资产网络行为矩阵进行融合关联分析,找出网络行为矩阵存在相似性的相关资产,对其组合后形成所述相似资产网络行为矩阵,并对矩阵中的相似网络行为进行标记。
2.根据权利要求1所述的一种网络威胁溯源迭代分析方法,其特征在于,步骤6.1中,所述外部网络行为信息包括文件传送、远程登陆、远程访问和数据获取。
3.根据权利要求1所述的一种网络威胁溯源迭代分析方法,其特征在于,步骤6.3中,所述网络通信行为包括网络行为的源地址、目的地址、通信协议、通信时间和操作对象。
4.根据权利要求1所述的一种网络威胁溯源迭代分析方法,其特征在于,步骤7包括如下子步骤:
步骤7.1、基于网络行为进行追踪分析:将所述相似资产网络行为矩阵中的标记的网络行为进行源地址追踪分析,若所有网络行为源地址均指向同一资产,则将相关网络行为认定为网络威胁行为特征,并跳转到步骤7.4;若存在多个资产,则将相关资产的运行特征进行复原,形成所述相似资产运行特征矩阵;
步骤7.2、生成相似资产网络行为矩阵:将所述相似资产运行特征矩阵中各个资产的运行特征进行融合关联分析,找出运行特征存在相似度的资产,对相关资产一段时间内的所述网络通信行为进行复原,并将其组合形成所述相似资产网络行为矩阵;
步骤7.3、生成网络威胁行为特征:抽取所述相似资产网络行为矩阵的共性特征,认定为网络威胁行为特征;
步骤7.4、复盘网络攻击链:将相关资产以及网络威胁行为特征记录到网络攻击链中,形成网络攻击链的前一步骤特征信息;若存在所述相似资产网络行为矩阵,则跳转到步骤7.1进行再次迭代分析。
5.根据权利要求1所述的一种网络威胁溯源迭代分析方法,其特征在于,步骤3中,所述运行状态信息包括系统策略、系统用户、系统漏洞、系统文件和系统进程。
6.根据权利要求1所述的一种网络威胁溯源迭代分析方法,其特征在于,步骤5中,所述内部操作行为信息包括进程操作、外设操作、文件操作和数据操作。
7.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-6任一项所述的一种网络威胁溯源迭代分析方法的步骤。
8.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-6任一项所述的一种网络威胁溯源迭代分析方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110883416.2A CN113852597B (zh) | 2021-08-03 | 2021-08-03 | 一种网络威胁溯源迭代分析方法、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110883416.2A CN113852597B (zh) | 2021-08-03 | 2021-08-03 | 一种网络威胁溯源迭代分析方法、计算机设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113852597A CN113852597A (zh) | 2021-12-28 |
CN113852597B true CN113852597B (zh) | 2023-05-23 |
Family
ID=78975482
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110883416.2A Active CN113852597B (zh) | 2021-08-03 | 2021-08-03 | 一种网络威胁溯源迭代分析方法、计算机设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113852597B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114070650B (zh) * | 2022-01-11 | 2022-05-17 | 浙江国利网安科技有限公司 | 网络资产评估方法、装置、电子设备及可读储存介质 |
CN114826678B (zh) * | 2022-03-24 | 2023-11-17 | 西北工业大学 | 一种基于渗流过程和进化计算的网络传播源定位方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106960269A (zh) * | 2017-02-24 | 2017-07-18 | 浙江鹏信信息科技股份有限公司 | 基于层次分析法的安全应急处置方法及系统 |
CN107819771A (zh) * | 2017-11-16 | 2018-03-20 | 国网湖南省电力有限公司 | 一种基于资产依赖关系的信息安全风险评估方法及系统 |
CN111479266A (zh) * | 2020-04-14 | 2020-07-31 | 中国电子科技集团公司第三十研究所 | 一种多域协同的安全策略智能生成方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11316883B2 (en) * | 2019-07-17 | 2022-04-26 | Bank Of America Corporation | Cybersecurity—operational resilience of computer networks |
US11507467B2 (en) * | 2019-11-04 | 2022-11-22 | EMC IP Holding Company LLC | Method and system for asset protection threat detection and mitigation using interactive graphics |
-
2021
- 2021-08-03 CN CN202110883416.2A patent/CN113852597B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106960269A (zh) * | 2017-02-24 | 2017-07-18 | 浙江鹏信信息科技股份有限公司 | 基于层次分析法的安全应急处置方法及系统 |
CN107819771A (zh) * | 2017-11-16 | 2018-03-20 | 国网湖南省电力有限公司 | 一种基于资产依赖关系的信息安全风险评估方法及系统 |
CN111479266A (zh) * | 2020-04-14 | 2020-07-31 | 中国电子科技集团公司第三十研究所 | 一种多域协同的安全策略智能生成方法 |
Non-Patent Citations (1)
Title |
---|
基于FAHP的网络安全态势感知风险评估技术研究;陆雨晶;《计算机与数字工程》;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113852597A (zh) | 2021-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10366229B2 (en) | Method for detecting a cyber attack | |
Wang et al. | Delving into internet DDoS attacks by botnets: characterization and analysis | |
Lashkari et al. | Towards a network-based framework for android malware detection and characterization | |
US11030311B1 (en) | Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise | |
CN113852597B (zh) | 一种网络威胁溯源迭代分析方法、计算机设备及存储介质 | |
US20180262521A1 (en) | Method for web application layer attack detection and defense based on behavior characteristic matching and analysis | |
US11805152B2 (en) | Domain specific language for defending against a threat-actor and adversarial tactics, techniques, and procedures | |
CN108256329B (zh) | 基于动态行为的细粒度rat程序检测方法、系统及相应的apt攻击检测方法 | |
CN103312679A (zh) | 高级持续威胁的检测方法和系统 | |
US11805147B2 (en) | Domain-specific language simulant for simulating a threat-actor and adversarial tactics, techniques, and procedures | |
Sharma et al. | Emerging trends in digital forensic and cyber security-an overview | |
CN114117432A (zh) | 一种基于数据溯源图的apt攻击链还原系统 | |
CN115378733B (zh) | 一种基于动态图嵌入的多步攻击场景构建方法及系统 | |
Djap et al. | Xb-pot: Revealing honeypot-based attacker’s behaviors | |
EP4024252A1 (en) | A system and method for identifying exploited cves using honeypots | |
Camacho et al. | A cloud-oriented integrity verification system for audio forensics | |
CN114726565B (zh) | 威胁情报共享方法、威胁情报评级方法、系统及存储介质 | |
CN108090364B (zh) | 一种数据泄漏源的定位方法及系统 | |
US10958686B2 (en) | Domain specific language for threat-actor deception | |
CN109660499B (zh) | 攻击拦截方法和装置、计算设备及存储介质 | |
CN115834231A (zh) | 一种蜜罐系统的识别方法、装置、终端设备及存储介质 | |
CN115604032A (zh) | 一种电力系统复杂多步攻击检测方法及系统 | |
Rade et al. | Temporal and stochastic modelling of attacker behaviour | |
CN115022063A (zh) | 网空威胁行为体攻击意图分析方法、系统、电子设备及存储介质 | |
Ussath et al. | Automatic multi-step signature derivation from taint graphs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |