本發明公開了一種基于大數據的網絡攻擊監測方法，包括：采集信息系統超大時空范圍的安全相關數據；根據網絡安全威脅線索，在所述安全相關數據中搜索與所述網絡安全威脅線索相關的威脅基礎數據；基于所述威脅基礎數據，根據威脅模型和關聯分析模型識別并描述高級網絡安全威脅。公開了一種基于大數據的網絡攻擊監測裝置，包括主機資源數據采集、網絡數據采集、威脅數據搜索和威脅識別等四個模塊。通過本發明，能夠采集超大時間空間范圍的數據，并利用大數據平臺進行數據的預處理、傳輸、融合和分析，從而能夠發現攻擊持續時間長、隱蔽性好的高級可持續性威脅，克服了當前安全監測手段僅能發現APT攻擊離散線索的局限性。

技術領域

本發明屬于大數據技術領域，涉及大數據安全分析，特別涉及如何采集數據并利用大數據手段來解決高級網絡安全威脅(如APT攻擊)的監測與識別問題。

背景技術

隨著網絡空間安全攻防對抗逐步上升到國家或地區的層次，有組織、有國家或地區背景支持的網絡攻擊越來越多，并且這些攻擊都明確指向了一個國家的關鍵信息基礎設施和重要信息系統，企業級網絡信息系統成為高級可持續性威脅(APT攻擊)的首要目標。近年來，APT攻擊呈現出時間跨度長、隱蔽程度高、攻擊能力和支撐資源強等特點，現有的網絡安全監測或態勢感知系統由于數據采集資源的限制和分析能力的不足，通常對其無能為力。

APT攻擊本質上是一個攻擊鏈，多種不同的網絡攻擊手段在時間和空間上的組合，所以APT攻擊的檢測過程對安全事件關聯分析效果的要求尤其高。目前，現有安全監測手段難以發現不同位置、不同時間段內的各個安全事件之間的潛在關聯關系，僅能發現APT攻擊的離散或局部線索，需要大量人工分析介入，因而無法高效率地描繪APT攻擊的全貌。

只有依靠大數據才能改變當前安全防護的不利局面，使網絡安全監測或態勢感知真正感知高等級的網絡安全威脅。數據采集方面，不但需要能夠進行常規的主機資源數據、安全審計數據和網絡數據采集，還能夠根據策略對被刪除的數據進行恢復，從中找到網絡攻擊隱藏的痕跡；數據分析方面，以基于攻擊線索的關聯分析為基礎，根據APT威脅模型，強化在云端的大數據安全分析，通過超長時空范圍的歷史數據和真實可控的沙箱網絡環境，來分析網絡攻擊行為，從而具備強大的網絡安全態勢感知能力。

發明內容

有鑒于此，本發明提供一種基于大數據的網絡攻擊監測方法，通過采集超大時空范圍的數據，根據基于大數據的關聯分析和威脅模型進行安全分析，來解決高級網絡安全威脅(如APT攻擊)的監測與識別問題，從而提高自動化高級威脅監測能力，幫助構建安全高效的網絡主動防御體系。還提供一種基于大數據的網絡攻擊監測裝置，通過與大數據平臺的緊密融合，實現對高級網絡安全威脅的有效監測和防御。

本發明提供了一種基于大數據的網絡攻擊監測方法，用于高級網絡安全威脅的識別，其特征在于，分為如下步驟：

S1：采集信息系統超大時空范圍的安全相關數據；

S2：根據網絡安全威脅線索，在所述安全相關數據中搜索與所述網絡安全威脅線索相關的威脅基礎數據；

S3：基于所述威脅基礎數據，根據威脅模型和關聯分析模型識別并描述高級網絡安全威脅。

如所述的網絡攻擊監測方法，其特征在于，在所述“S1：采集信息系統超大時空范圍的安全相關數據”之前，能夠制定數據采集的時間策略和空間策略；所述時間策略可指定數據采集的開始時間點和結束時間點，所述時間點可設置為從信息系統開始運行的時間至當前時間中的任意時間點；所述空間策略可指定數據采集的網絡地址范圍，可設置為采集一個網絡地址至信息系統全部的網絡地址中的任意數量。

如所述的網絡攻擊監測方法，其特征在于，在所述“S1：采集信息系統超大時空范圍的安全相關數據”之后，所述安全相關數據通過大數據平臺進行預處理、傳輸匯聚和融合，并存儲到數據庫。