本發明提供一種攻擊鏈情報分析方法及系統，采集多種途徑的數據信息，將其預處理為情報數據流，克服現有技術信息僅來源于本地發生的事件和行為，分析情報數據流的高頻項目組，得到其樹狀結構，使用不同的機器學習模型分別對情報數據流、樹狀結構進行分析，并進行并行溯源，得到傳染面，方便管理員動態部署防御策略。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種攻擊鏈情報分析的方法及系統。

背景技術

隨著網絡技術的飛速發展，企業信息化程度越來越高，對信息系統的依賴程度也達到了非常的高度的，也導致了各種新型網絡攻擊、敏感信息泄露等信息安全問題。傳統的安全檢測只能抵御來自某個方面的安全威脅，形成安全防御的孤島，缺乏對海量信息的安全數據的關聯分析，無法產生協同效應。

急需一種針對性的攻擊鏈情報分析的方法及系統。

發明內容

本發明的目的在于提供一種攻擊鏈情報分析的方法及系統，采集多種途徑的數據信息，將其預處理為情報數據流，克服現有技術信息僅來源于本地發生的事件和行為，分析情報數據流的高頻項目組，得到其樹狀結構，使用不同的機器學習模型分別對情報數據流、樹狀結構進行分析，并進行并行溯源，得到傳染面，方便管理員動態部署防御策略。

第一方面，本申請提供一種攻擊鏈情報分析方法，所述方法包括：

通過數據采集器收集交換機的鏡像流量、網絡流量日志、安全設備日志以及傳輸文件的原始數據，以及從多方不同數據源接收漏洞信息、病毒庫信息、網絡攻擊行為特征的情報數據，將收集到的原始數據和情報數據進行緩存；

采集網絡內的傳感器、節點設備、信息平臺、網絡設備的運行狀態數據、IP 數據、域名信息、URL信息、傳輸數據包、數據庫動態信息，與所述收集到的原始數據和情報數據合并緩存，進行實時的預處理，得到標準化的情報數據流；

其中，所述預處理包括清除數據中冗余重復的信息，根據來源的類型，將數據初始化轉換為統一的格式，分入對應的字段，合并成所述情報數據流；

從所述情報數據流中提取要素，發現要素中包括的行為動作、訪問對象、來源者地址、瞬時流量大小中的一種或若干種，從中發掘高頻項目組，根據高頻項目組對應的信息生成高頻關聯規則，加大其對應的權重，將更新權重后的數據進行數據融合，組成樹狀結構；

將所述情報數據流送入第一機器學習模型，檢測是否包括第一攻擊向量；

將所述樹狀結構的圖形數據送入第二機器學習模型，進行形態分析，根據圖形的樹狀結構，找出其中的關鍵節點，所述關鍵節點包括源點、分裂出并行的軌跡的節點、分裂出分支的節點、或者跨網的節點，比較所述樹狀結構的形狀和覆蓋范圍與數據庫中歷史攻擊面的形態數據的相似度，當相似度數值落入預設的區間內時，則認定當前所述樹狀結構與歷史某一次攻擊面形態吻合，調取所述歷史某一次攻擊面的攻擊向量作為第二攻擊向量；

將所述情報數據流再次送入第一機器學習模型，檢測是否包括第二攻擊向量；

當所述第一機器學習模型檢測出所述情報數據流中包括所述第一攻擊向量或第二攻擊向量時，標記所述第一攻擊向量或第二攻擊向量所在的節點為異常，開始對所述第一攻擊向量和第二攻擊向量分別進行并行溯源；

獲取數據庫的用戶關系鏈，所述用戶關系鏈包括所屬部門的同事關系、與公司外部的客戶關系、親戚好友關系、郵件收發關系中的一種或若干種，將每一種關系下每一個人為所述用戶關系鏈的一個子節點；

根據業務流程規定的前后關系、具體業務動作的經辦人，得到業務關系鏈，將每一個經辦人、經辦人名下的終端、設備、文件、即時通信為所述業務關系鏈的一個子節點；

獲取設備上傳輸的數據流、用戶使用情況、業務辦理情況，得到設備關系鏈，將每一個數據包、用戶賬號、業務動作作為所述設備關系鏈的一個子節點；