本發明公開了一種天地一體化信息網絡下攻擊回溯的方法，所述方法包括：步驟1)建立天地一體化知識圖譜，并把各維度的知識通過屬性關聯起來，包括：建立天地一體化知識圖譜分為六個維度的本體，分別是：主機資產維H、漏洞維V、攻擊威脅維A、痕跡維E、位置維L、策略維S以及各維度之間的關系集合R；將主機資產維與漏洞維和位置維相關聯，漏洞維與攻擊威脅維相關聯，攻擊威脅維與策略維、痕跡維和位置相關聯，形成天地一體化知識圖譜；步驟2)從不同的角度進行攻擊回溯。本發明通過前面所建立的天地一體化知識圖譜，可以從不同的角度進行攻擊回溯。

技術領域

本發明屬于一種天地一體化信息網絡下攻擊回溯的方法。

背景技術

天地一體化信息網絡由天基骨干網、天基接入網、地基節點網組成，并與地面互聯網和移動通信網互聯互通。分別在天基骨干網、天基接入網、地基節點網部署安全設備監測與處置模塊，將采集到的數據分別通過異構網間安全互聯網關匯集組件和地面網間安全互聯網關匯集組件集中傳入匯集子系統，然后由天地一體化網絡攻擊回溯分析系統得出攻擊的路徑和攻擊方法。

攻擊回溯技術在國內發展緩慢，在新興的天地一體化信息網絡中尚未得到使用。攻擊回溯就是要找到攻擊得源頭，或者是找到攻擊的成因。網絡攻擊一旦被實施，一定會留下痕跡，只要順著痕跡找，就一定能找到攻擊的源頭或攻擊的成因。

發明內容

本發明所要解決的技術問題是通過分析目前網絡攻擊的特性，構建了天地一體化網絡知識圖譜，并利用該知識圖譜，提出并實現了自動化攻擊回溯的方法。

本發明解決上述技術問題所采取的技術方案如下：

一種天地一體化信息網絡下攻擊回溯的方法，所述方法包括：步驟1)建立天地一體化知識圖譜，并把各維度的知識通過屬性關聯起來，包括：

建立天地一體化知識圖譜分為六個維度的本體，分別是：主機資產維H、漏洞維V、攻擊威脅維A、痕跡維E、位置維L、策略維S以及各維度之間的關系集合R；

將主機資產維與漏洞維和位置維相關聯，漏洞維與攻擊威脅維相關聯，攻擊威脅維與策略維、痕跡維和位置相關聯，形成天地一體化知識圖譜；

步驟2)從不同的角度進行攻擊回溯，包括：

以主機資產維為基礎，根據某個疑似被攻擊的主機資產，查詢該主機資產具有的漏洞，通過漏洞尋找與該漏洞相關聯的攻擊威脅，最后獲取有關攻擊的回溯策略，執行回溯策略，由此回溯到攻擊源；

或者，以某種攻擊威脅為基礎，確定某種攻擊威脅，通過查詢知識圖譜，執行該攻擊威脅相對應的回溯策略，找出攻擊所留下的痕跡和位置，定位到被攻擊的主機資產。

優選的是，主機資產維H的數據，其主要屬性分別有：

“name”，主機資產的名稱，它是一個格式化的字符串，簡潔地描述了主機資產信息；“part”，主機資產的類型，包括：硬件、應用軟件或操作系統；“vendor”，主機資產的開發商或組織的名字；“product”，主機資產產品的名字；“version”，主機資產的版本號；“cve_list”，漏洞名稱列表，它記錄了一組與主機資產有關聯的漏洞名稱；“location_list”，位置列表，它記錄了一組與主機資產有關聯的位置名稱。

優選的是，攻擊威脅維A的數據，其主要屬性有：“name”，攻擊威脅的ID；“strategy_list”，與攻擊威脅關聯的一組策略名稱，一個攻擊威脅可能有一個或多個回溯策略；“evidence_list”，與攻擊威脅關聯的一組痕跡名稱，一個攻擊可能留下的一些痕跡特征；“location_list”，與攻擊威脅關聯的一組位置名稱，攻擊的特征可能被記錄的位置；“cve_list”，與攻擊威脅關聯的一組漏洞名稱。