技術領域

本發明涉及一種面向攻擊溯源的威脅情報分析系統，屬于網絡安全技術領域。

背景技術

威脅情報(threat intelligence)是一種基于證據來描述威脅的知識信息，包括威脅相關的上下文信息(context)、威脅所使用的方法機制、威脅相關指標(indictors)攻擊影響以及應對行動建議等。威脅情報用來描述安全威脅，給組織或第三方提供決策建議。威脅情報的目的是為還原已發生和預測未發生的攻擊提供一切線索，盡可能多地了解攻擊者的動機、戰術方法、工具、資源以及行為過程等諸多方面，并建立有效的防御體系。威脅情報一般由威脅信息和防御信息兩部分內容組成。其中威脅信息包括：攻擊源，即攻擊者身份IP、DNS、URL等；攻擊方式，如武器庫；攻擊對象，如指紋信息；漏洞信息，如漏洞庫。防御信息包括：策略庫、訪問控制列表等。

目前，關于威脅情報的專利主要分為兩類：

(1)威脅情報采集，生成及處理方法。現有專利包括：威脅情報的生成方法及裝置(公開號為CN105897751A)、一種網絡安全威脅情報處理方法及系統(公開號為CN105743877A)、一種基于web的威脅情報采集系統及方法(公開號為CN105763530A)。

(2)威脅情報共享方法?，F有的專利包括：一種網絡威脅情報共享模型(公開號為CN106060018A)。

上述方法存在著一定的局限性：

(1)威脅情報采集，生成及處理方法中，現有的幾種專利均從建立白樣本特征情報庫出發，若情報并未在白樣本特征庫中出現，則產生威脅情報。上述方法使用了較為簡單的白名單方法，首先產生威脅情報的方式較為單一，威脅情報來源也不夠廣泛，漏報或誤報率可能較高，方法泛化性較差。而且，僅僅描述了產生威脅情報的方法，并沒有形成一種完備的威脅情報分析分析系統。(2)威脅情報共享方法則是基于解決當前在網絡威脅情報自動化處理和跨部門信息共享之間存在的缺乏統一規范、情報共享效率低和情報由于共享帶來的泄密風險的問題而提出的。

發明內容

針對現有技術存在的不足，本發明目的是提供一種面向攻擊溯源的威脅情報分析系統，本發明將威脅情報共享和威脅情報分析系統融合在一起，將威脅情報共享作為威脅情報來源的外部輸入，使威脅情報分析系統的數據更加廣泛，通過情報共享獲得攻擊者的相關信息，同時結合企業內部的基礎安全監測系統和安全分析模塊提供的威脅情報，能夠準確快速的鎖定攻擊者。

為了實現上述目的，本發明是通過如下的技術方案來實現：

本發明的一種面向攻擊溯源的威脅情報分析系統，包括內部威脅情報收集模塊、外部威脅情報收集模塊和攻擊溯源分析模塊；所述內部威脅情報收集模塊包括安全檢測模塊和安全分析模塊；所述外部威脅情報收集模塊包括互聯網公開情報源、合作交換情報源和商業共享情報源；所述攻擊溯源分析模塊包括攻擊者溯源和攻擊主機溯源；通過所述內部威脅情報收集模塊和外部威脅情報收集模塊收集得到的威脅情報上傳到攻擊溯源分析模塊，所述攻擊溯源分析模塊對威脅情報進行攻擊者溯源和攻擊主機溯源，將得到的結果反饋給安全檢測模塊和安全分析模塊；同時結果也會和外部合作企業進行威脅情報共享交換。

上述安全檢測模塊中的情報來源包括：防火墻、入侵檢測系統、漏洞掃描系統、防病毒系統和終端安全管理系統；當數據流通過防火墻時，防火墻所記錄下的日志信息；入侵檢測系統對異常網絡行為進行記錄，并產生的日志信息；漏洞掃描系統基于漏洞數據庫，通過掃描對企業內部計算機系統的安全脆弱性進行檢測，從而找出的可利用漏洞信息；防病毒系統對網絡內部的可疑文件進行隔離產生的信息；終端安全管理系統收集的安全管理事件操作信息。

上述安全分析模塊中的情報來源是：安全信息與事件管理SIEM、安全運營中心和安全管理平臺；安全信息與事件管理SIEM從企業安全控件、主機操作系統收集得到的安全日志數據；安全運營中心針對企業海量事件和漏洞信息進行收集過濾、管理和分析得到的情報；安全管理平臺以安全風險管理為指導的面向信息資產的安全運行監測、風險度量和安全運維得到的信息。

上述互聯網公開情報源中的情報來源是：安全態勢信息、安全事件信息、各種網絡安全預警信息、網絡監控數據分析結果、IP地址信譽；所述合作交換情報源中的情報來源是：來自建立合作關系的機構，通過在互利互惠基礎上實現的共享合作機制進行保障的合作交換情報；所述商業共享情報源中的情報來源是：完全通過商業付費行為得到的商業購買情報。

上述攻擊者溯源具體采用的方法如下：