本發明屬于網絡安全技術領域，特別涉及一種網絡動態威脅跟蹤量化方法及系統，該方法包含：結合目標網絡系統配置、漏洞及網絡節點間服務存取訪問關系，構建系統動態威脅屬性攻擊圖；基于屬性攻擊圖，對網絡系統多告警信息進行融合，并通過推斷告警強度量化攻擊威脅，繪制用于描述安全威脅變化態勢的動態威脅跟蹤圖。本發明利用圖論知識構建系統動態威脅屬性攻擊圖；基于權限提升原則通過前件推斷系統、后件預測系統和綜合告警信息推斷系統進行多告警信息的融合與威脅分析，生成網絡動態威脅跟蹤圖進行威脅變化態勢的可視化展示；可以實現網絡安全的動態預警監察，提升對大規模潛在威脅行為的持續監控跟蹤和深度溯源能力。

技術領域

本發明屬于網絡安全技術領域，特別涉及一種網絡動態威脅跟蹤量化方法及系統。

背景技術

網絡信息系統固有的脆弱性使其不可避免的面臨外在威脅的影響，針對外在動態、變化的威脅開展有效分析對于實施針對性的防御決策具有重要支撐作用。隨著信息網絡規模的不斷擴大，僅僅割裂式的針對單一或部分主機、服務器等開展威脅信息采集與分析，已無法滿足信息網絡動態威脅分析的需求，因此必須融合信息網絡整體威脅信息，才能有效實施信息網絡動態威脅態勢分析。現有的網絡威脅信息主要體現在告警日志、IDS、異常行為檢測、網絡預警等告警信息，因此如何融合處理網絡告警信息是分析網絡動態威脅的關鍵。目前基于告警信息融合的網絡動態威脅分析方法主要包含以下幾種：一是基于信息融合的網絡威脅態勢分析方法，借鑒D-S證據理論融合態勢要素和節點態勢計算網絡安全態勢；從告警數據中識別攻擊模式的方法，通過定義告警間的相似度函數來構建攻擊活動序列集，該方法可以量化攻擊威脅程度，但無法展現攻擊過程的全貌。二是基于威脅狀態轉移圖和告警信息融合的威脅分析方法，通過挖掘威脅事件的時空關聯關系，構建威脅轉移圖模型，然后對網絡系統中的多節點進行關聯分析，采用BFS樹遍歷前件節點和后件節點，該方法能識別已知攻擊產生的前件告警，無法解決后件漏報和誤報問題。三是基于因果知識網絡的威脅分析方法，首先通過告警識別已經發生的攻擊行為，然后預測攻擊路徑，使用隱馬爾可夫模型訓練網絡參數，預測未來網絡安全狀況。以上方法利用圖論知識處理多告警信息，由于告警事件存在時序和因果關聯關系，產生狀態爆炸影響了威脅分析的效率；同時未考慮網絡節點服務存取訪問關系對網絡威脅傳播帶來的影響。

發明內容

為此，本發明提供一種網絡動態威脅跟蹤量化方法及系統，綜合考慮服務存取訪問關系，實現實時威脅的動態分析，提升動態威脅分析效率，具有較強的實用性和可操作性。

按照本發明所提供的設計方案，一種網絡動態威脅跟蹤量化方法，包含如下內容：

A)結合目標網絡系統配置、漏洞及網絡節點間服務存取訪問關系，構建系統動態威脅屬性攻擊圖；

B)基于屬性攻擊圖，對網絡系統多告警信息進行融合，并通過推斷強度量化系統威脅，繪制用于描述安全威脅變化態勢的動態威脅跟蹤圖。

上述的，A)中，采用圖論知識，創建屬性攻擊圖，該屬性攻擊圖表示為DTAAG＝(C,R,E,p)，其中，C表示威脅轉移條件屬性集，R表示威脅轉移條件屬性間的關系集，E表示連接條件屬性和關系的邊集，p表示威脅轉移概率。

優選的，威脅轉移條件屬性集包含前置條件中攻擊者權限、攻擊源IP、攻擊目標IP、節點間連接端口、實施攻擊漏洞及提升攻擊者權限服務訪問關系，和攻擊者實施攻擊后獲得權限、獲得權限節點IP、攻擊利用端口、實施攻擊漏洞計提升權限協議。

優選的，連接條件屬性和關系的邊集包含前置條件指向漏洞節點的邊、漏洞節點指向后置條件的邊、前置條件指向協議的邊及協議指向后置條件的邊。

上述的，B)中，告警信息融合中，首先，對原始告警信息進行格式化處理，推斷強度表示由已告警節點推斷未告警節點的威脅轉移概率，其中，告警信息包含告警產生時間、告警源IP、告警目標IP及告警漏洞類型。