CN113852641A

CN113852641A - 一种基于图数据库的网络攻击溯源系统、方法及设备

Info

Publication number: CN113852641A
Application number: CN202111166160.XA
Authority: CN
Inventors: 张晨
Original assignee: Zhejiang Create Link Technology Co ltd
Current assignee: Zhejiang Create Link Technology Co ltd
Priority date: 2021-09-30
Filing date: 2021-09-30
Publication date: 2021-12-28

Abstract

本发明公开了一种基于图数据库的网络攻击溯源系统、方法及设备，系统包括图数据库模块，存储有样本数据集；样本数据集包括实体信息、实体信息对应的属性信息及实体信息与实体信息之间的关系；攻击检测模块，用于获取警报信息；溯源分析模块，用于根据警报信息，结合样本数据集，对网络攻击进行溯源。本发明利用图数据库找到数据之间的隐藏关系，可以更快地找到风险IP，提前做好预警，将可能发生的损失降低到最小。

Description

一种基于图数据库的网络攻击溯源系统、方法及设备

技术领域

本发明涉及网络安全技术领域，尤其是一种基于图数据库的网络攻击溯源系统、方法及设备。

背景技术

没有网络安全就没有国家安全，就没有经济社会稳定，广大人民群众利益也难以得到保障；要加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业，做到关口前移，防患于未然。

网络空间由互联网、通信网、计算机系统、自动化控制系统、数字设备及其承载的应用、服务和数据等组成。网络安全是指通过采用必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。根据安全法的定义，现在的网络安全涵盖了数据、系统、网络空间，成为一个国家的立国之本，是与国家海、陆、空、天等疆域同等重要的国家主权领域。可以看到，网络安全的内涵，从最初的数据信息安全，过渡到信息系统安全，进而到目前的网络空间安全。网络安全产业已经发展为以满足网络空间的可用性、可靠性和安全性为目标，融合技术开发、产品经营和提供安全服务的网络安全生态链。

在国外市场，2018年全球网络信息安全产品市场总体规模为1259.8亿美元，其中硬件为118.4亿美元，软件为330.1亿美元，服务的规模最大，为811.3亿美元，全球网络安全市场以安全服务为主，市场份额占网络信息安全市场的64.4％。随着网络攻击行为日趋复杂，防火墙、IDS等传统网络安全设备已不能阻挡恶意网络攻击，采用安全服务的商业模式越来越受到全球用户重视。2018年，安全服务市场中安全咨询、安全运维、安全集成三个细分市场份额，分别为21.8％、20.4％、17.6％。从全球范围来看，安全运维服务发展迅速，全球已有超过2万家行业领军企业和政府机构正在使用安全运维服务，尤其是北美、欧洲等发达地区，安全运维服务市场已较为成熟。

在国内市场，2018年，国内网络安全市场容量464.51亿元人民币，预计2021年达到668亿元人民币。在全球网络安全市场，2018年服务市场份额占市场比例达64.40％，但在国内安全服务市场份额占比仅约13.8％，预计到2021年，占比将达到40％～50％(欧美发达国家水平)。安全正在从传统硬件“堆砌盒子”走向“能力交付”，安全服务市场将快速成长。2019年4月，国家电投在国资委指导下，牵头中核集团、中国华电等15国有企业，以资本为纽带，共同组建中能融合智慧科技有限公司，建设全国上千个发电站网络安全态势感知运营平台，打造“国家能源大脑”；360企业安全与绵阳市政府共同建设网络安全运营服务基地，在上海、南京、济南、广州、贵阳等5个地市建设安全运营中心，为智慧城市提供安全服务；启明星辰在成都建有国内最大的安全服务运营中心，在杭州、济南、昆明、郑州、攀枝花、眉山等20个地市继续建设安全运营中心。

网络安全工作本身是一个过程，它的本质是风险的管理，安全产品不能解决所有的问题，所以安全服务已经成为网络安全工作的核心内容。在关注业务安全的大背景下，从立体层面针对用户业务系统进行管理、技术、应用系统方面的评估、咨询，可以帮助用户全面认知自身安全风险，为用户提供更完善，更有针对性的安全解决方案。

如今越来越多的企业面临网络安全攻击的持续威胁。据估计，仅2018年，网络安全攻击造成的损失就高达450亿美元，损失来源主要在于以下两方面。

1)数据泄露

2019年前企业面临的主要问题可能是恶意软件，但在2020年之后，网络钓鱼攻击将成为最大威胁。根据Verizon 2019DBIR数据泄露报道，网络钓鱼攻击是造成数据泄露的第一大因素，数据泄露、财务欺诈等可能对企业造成可怕的后果。联邦调查局发布的《互联网犯罪报告》指出，2018年期间，商业电子邮件攻击共计造成了13亿美元的损失；同时，约35％的CEO或CFO曾受过网络钓鱼攻击。因此，检测并阻止钓鱼攻击，特别是通过电子邮件发起的钓鱼攻击，将成为未来企业安全的最大刚需之一。简单讲，就是通过电子邮件对企业(个人)发起钓鱼攻击，从而出现数据泄露、财务欺诈的情况，对企业(个人)造成严重后果。

2)威胁感知

数据信息驱动的安全解决方案需要数小时才能检测到网络安全威胁，但企业对威胁感知时间的容忍度将越来越低。从恶意攻击发起至被检测到的这段时间，是攻击造成最大破坏性的窗口时段。目前即使是最复杂的安全解决方案，同样需要几个小时甚至更长时间才能检测到攻击。但正是这大段的真空时间是造成企业损失的关键，因此，如何大幅缩短企业安全系统的威胁感知反射弧，提高对未知威胁的感知速度，将是未来企业和安全产业面临的重要挑战。

传统方法不适合转移网络安全威胁，网络安全威胁检测需要具有集成和遍历多个数据源中的数据的能力，并且只需几分之一秒即可完成。互联网是巨大的，而检测威胁所需的信息则以TB为单位。建立在关系数据库上的任何威胁检测系统都难以在几分钟甚至几小时内检测到欺诈，更不用说在几分之一秒内了。传统的无法实时执行深度链接分析(即能够遍历5个以上条目的能力)的旧图，也将无法检测和阻止攻击。

同时，网络安全公司无法以基于SQL服务器的现有解决方案扩展其分类服务。新的网站以惊人的速度出现，为了提供有效的网络安全，我们需要使用准确及时的威胁数据，并在大量数据集上每秒执行数千个分类，使用一个全新的后端来为分类服务，以跟上不断扩大的互联网。因此，对于网络攻击快速溯源的研究具有重要的意义。

发明内容

针对现有技术中的缺陷，本发明提供了一种基于图数据库的网络攻击溯源系统、方法及设备，可以更快地对网络攻击进行溯源。

第一方面

本发明提供了一种基于图数据库的网络攻击溯源系统，包括：

图数据库模块，存储有样本数据集；所述样本数据集包括实体信息、实体信息对应的属性信息及实体信息与实体信息之间的关系；

攻击检测模块，用于获取警报信息；

溯源分析模块，用于根据所述警报信息，结合所述样本数据集，对网络攻击进行溯源。

优选地，所述实体信息包括警报类型、事件、服务进程、IP、用户ID、资源和警报。

优选地，所述警报类型对应的属性信息包括警报类型名称；

所述事件对应的属性信息包括事件编号、开始时间、结束时间、事件类型、返回代码和终止点；

所述服务进程对应的属性信息包括服务进程编号、服务进行名称、服务进程类型；

所述IP对应的属性信息包括IP地址；

所述用户ID对应的属性信息包括用户ID编号；

所述资源对应的属性信息包括资源编号、资源类型和URL；

所述警报对应的属性信息包括警报编号。

优选地，所述样本数据集是依据真实用户操作习惯及网络攻击模式构建的数据集。

优选地，所述溯源分析模块还包括得到发起网络攻击的IP地址。

优选地，还包括记录模块，用于记录所述发起网络攻击的IP地址并存储为黑名单IP地址。

优选地，还包括预警模块，用于检测IP地址是否为黑名单IP地址，若是，则进行告警提醒。

优选地，还包括显示模块，用于以图表可视化的形式显示所述黑名单IP地址。

第二方面

本发明还提供了一种基于图数据库的网络攻击溯源方法，包括以下步骤：

构建样本本数据集；所述样本数据集包括实体信息、实体信息对应的属性信息及实体信息与实体信息之间的关系；

获取警报信息；

根据所述警报信息，结合所述样本数据集，对网络攻击进行溯源。

第三方面

本发明还提供了一种基于图数据库的网络攻击溯源设备，包括存储器和处理器；所述存储器用于存储可执行程序代码；

所述处理器用于读取所述存储器中存储的可执行程序代码，以执行第一方面所述的一种基于图数据库的网络攻击溯源方法。

本发明的有益效果为：

1)可分析的数据量较大；

2)可集成较多的数据源(如日志文件、基础设施信息和用户信息)；

3)可查询存储在服务和微服务、域和子域、组织层次结构中的多级结构数据；

4)可进行深度链接分析，查询穿越多个实体；

5)响应时间短，可在几秒钟内提供查询的答案。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。

图1为本发明实施例一种基于图数据库的网络攻击溯源系统的结构示意图；

图2为本发明实施例一种基于图数据库的网络攻击溯源方法的网络安全图模型；

图3为本发明实施例一种基于图数据库的网络攻击溯源设备的硬件架构图。

具体实施方式

下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案，因此只作为示例，而不能以此来限制本发明的保护范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

图形数据库是检测网络安全威胁的理想方法，网络是一个组件和流程网络，互联网是一个由服务器、路由器、桥梁、笔记本电脑、智能手机等组成的互联系统，并且有一些流程来定义这些系统是如何协同工作的。任何攻击都依赖于这些实体的互连才能成功，攻击是这些实体之间的一系列事件。这些实体之间的互连可以在图形数据库中完美地表示。任何攻击，无论是来自外部还是内部的攻击，都可以使用图形数据库进行建模。因此，本发明实施例提供了一种基于图数据库的网络攻击溯源系统，如图1所示，包括：

图数据库模块，存储有样本数据集；样本数据集是依据真实用户操作习惯及网络攻击模式构建的数据集。

样本数据集包括实体信息、实体信息对应的属性信息及实体信息与实体信息之间的关系；

攻击检测模块，用于获取警报信息；

溯源分析模块，用于根据警报信息，结合样本数据集，对网络攻击进行溯源，得到发起网络攻击的IP地址；具体地，溯源分析模块是根据警报信息，根据实体信息与实体信息之间的关系，对网络攻击进行溯源，得到发起网络攻击的IP地址；

其中，实体信息包括警报类型、事件、服务进程、IP、用户ID、资源和警报。警报类型对应的属性信息包括警报类型名称；事件对应的属性信息包括事件编号、开始时间、结束时间、事件类型、返回代码和终止点；服务进程对应的属性信息包括服务进程编号、服务进行名称、服务进程类型；IP对应的属性信息包括IP地址；用户ID对应的属性信息包括用户ID编号；资源对应的属性信息包括资源编号、资源类型和URL；警报对应的属性信息包括警报编号和警报类型。

本发明实施例中，样本数据集包含警报类型1个、警报10个、事件38个、服务进程10个、IP地址3个、用户ID信息3个、资源7个。

具体地，用户基础信息包括外部唯一标识为用户ID；警报类型信息为一种警报类型，里面包含了不同的警报，如本发明实施例中，样本数据集就在同一类型下设置了十个不同警报；事件信息中，用户进行操作就是一个事件，事件包含IP地址，同时它会调用计算机资源，产生服务进程。

网络攻击溯源系统还包括记录模块，用于记录发起网络攻击的IP地址并存储为黑名单IP地址。

网络攻击溯源系统还包括预警模块，用于检测IP地址是否为黑名单IP地址，若是，则进行告警提醒。

网络攻击溯源系统还包括显示模块，用于以图表可视化的形式显示黑名单IP地址。

本发明实施例可以通过多种方式帮助打击网络安全威胁，例如：

1)查找与恶意攻击相关的行为模式(这可能包括用户插入移动磁盘、复制文件然后删除移动磁盘)或用户在绕过防火墙检查后从受限文件中读取。图形数据库可用于实时发现这些模式，防止机密信息被盗。

2)将错误/警报/问题追溯到其源，例如：当有人试图向它发送和生成警报时，文件可能会损坏或在用户连接到它时收到的高CPU使用警报。图数据库可用于将这些警报追溯到用户，甚至追溯到特定的IP地址(值得注意的是，成功执行这些警报需要穿越多个跳点)，而使用图形数据库可能只需要分秒的时间，但使用关系数据库需要几分钟甚或几小时。

3)检测异常情况(当服务收到比平常多得多的请求时，包括洪水检测事件)或当服务收到来自单个用户的大量请求时，该用户可能正在检测该服务的安全措施中的弱点时，发生脚踏检测事件，图数据库内建立模型正常的行为模式，可以实时检测异常事件。提取可用于机器学习的功能集(一项功能是从新用户到黑名单用户和IP地址的最短路径数量)，另一项功能集是一跳、二跳、三跳等中的黑名单用户数量，而另一项功能是使用k最邻近法(KNN，K-Nearest Neighbor)描述新用户的环境。这些类型的图形功能可以很容易地生成，并用于训练人工智能，以实时检测和防止互联网规模的网络安全攻击。

本发明实施例还提供了一种基于图数据库的网络攻击溯源方法，基于上述的一种基于图数据库的网络攻击溯源系统，网络攻击溯源方法包括以下步骤：

构建样本本数据集；样本数据集包括实体信息、实体信息对应的属性信息及实体信息与实体信息之间的关系；

获取警报信息；

根据警报信息，结合样本数据集，对网络攻击进行溯源，得到发起网络攻击的IP地址。

实体信息包括警报类型、事件、服务进程、IP、用户ID、资源和警报；

警报类型对应的属性信息包括警报类型名称；事件对应的属性信息包括事件编号、开始时间、结束时间、事件类型、返回代码和终止点；服务进程对应的属性信息包括服务进程编号、服务进行名称、服务进程类型；IP对应的属性信息包括IP地址；用户ID对应的属性信息包括用户ID编号；资源对应的属性信息包括资源编号、资源类型和URL；警报对应的属性信息包括警报编号和警报类型。

网络攻击溯源方法还包括以下步骤：

记录发起网络攻击的IP地址并存储为黑名单IP地址；

检测IP地址是否为黑名单IP地址，若是，则进行告警提醒；

以图表可视化的形式显示黑名单IP地址。

具体地，本发明实施例的图数据库是根据实体的关联关系构建的一个类似于节点网络的图谱数据库，其中实体信息为点类型，实体信息与实体信息之间的关系为边类型。如图2所示，本发明实施例基于多用户的简单网络安全图模型，包括用户ID、IP、资源、事件、服务进程、警报、警报类型。其中，图模型中的点类型如表1所示：

表1

图模型中的边类型如表2所示：

表2

起始点类型	边类型	终止点类型	属性
				服务进程	service_alert	警报	/
事件	to_service	服务进程	/
				事件	has_ip	IP	/
事件	output_to_resource	资源	/
				用户ID	user_event	事件	/
资源	read_from_resource	事件	/
				警报	alert_has_type	警报类型	/
服务进程	from_service	事件	/

基于表1、表2和图2，本发明实施例根据点与点之间的关系，能够固定警报类型下的具体警报，分析指定警报类型下的风险来源，可以追溯到具体服务，服务被记录在事件内，事件内也记录了调用的资源，同一资源又会被其他事件调用，这些事件是由某一些用户产生的，可以追溯到他们的IP。这涉及到多表事件的关联查询，关系型数据库在处理深链查询时，耗时过长，结果不理想。而在网络安全中，时间是第一位的，耗时越长，造成的损失就会越大。通过图数据库，提前分析好风险来源，下一次有这类IP进来，就可以重点关注与其相关类型的警报，做好预警工作。

本发明实施例还提供了一种基于图数据库的网络攻击溯源设备，如图3所示，设备包括输入设备、输入接口、中央处理器、存储器、输出接口和输出设备。其中，输入接口、中央处理器、存储器及输出接口通过总线相互连接，输入设备和输出设备分别通过输入接口和输出接口与总线连接，进而与设备的其他组件连接。具体地，输入设备接收来自外部的输入信息，并通过输入接口将输入信息传送到中央处理器。中央处理器基于存储器存储的计算机可执行程序代码对输入信息进行处理以生成输出信息，将输出信息临时或者永久地存储在存储器中，然后通过输出接口将输出信息传送到输出设备，输出设备将输出信息输出到设备的外部供用户使用。

面对日益增长且关联复杂的数据，现有解决方案已经无法很好的满足企业需求。本发明实施例提供的一种基于图数据库的网络攻击溯源系统、方法及设备，利用图数据库找到数据之间的隐藏关系，可以更快地找到风险IP，提前做好预警，将可能发生的损失降低到最小。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims

1.一种基于图数据库的网络攻击溯源系统，其特征在于，包括：

攻击检测模块，用于获取警报信息；

溯源分析模块，用于根据所述警报信息，结合样本数据集，对网络攻击进行溯源。

2.根据权利要求1所述的一种基于图数据库的网络攻击溯源系统，其特征在于，所述实体信息包括警报类型、事件、服务进程、IP、用户ID、资源和警报。

3.根据权利要求2所述的一种基于图数据库的网络攻击溯源系统，其特征在于，所述警报类型对应的属性信息包括警报类型名称；

所述IP对应的属性信息包括IP地址；

所述用户ID对应的属性信息包括用户ID编号；

所述资源对应的属性信息包括资源编号、资源类型和URL；

所述警报对应的属性信息包括警报编号。

4.根据权利要求1所述的一种基于图数据库的网络攻击溯源系统，其特征在于，所述样本数据集是依据真实用户操作习惯及网络攻击模式构建的数据集。

5.根据权利要求1所述的一种基于图数据库的网络攻击溯源系统，其特征在于，所述溯源分析模块还包括得到发起网络攻击的IP地址。

6.根据权利要求5所述的一种基于图数据库的网络攻击溯源系统，其特征在于，还包括记录模块，用于记录所述发起网络攻击的IP地址并存储为黑名单IP地址。

7.根据权利要求6所述的一种基于图数据库的网络攻击溯源系统，其特征在于，还包括预警模块，用于检测IP地址是否为黑名单IP地址，若是，则进行告警提醒。

8.根据权利要求6所述的一种基于图数据库的网络攻击溯源系统，其特征在于，还包括显示模块，用于以图表可视化的形式显示所述黑名单IP地址。

9.一种基于图数据库的网络攻击溯源方法，其特征在于，包括以下步骤：

获取警报信息；

10.一种基于图数据库的网络攻击溯源设备，其特征在于：包括存储器和处理器；所述存储器用于存储可执行程序代码；

所述处理器用于读取所述存储器中存储的可执行程序代码，以执行权利要求1-9中任一项所述的一种基于图数据库的网络攻击溯源方法。