[發(fā)明專利]一種基于威脅情報和ATT&CK的威脅響應方法及裝置有效
| 申請?zhí)枺?/td> | 202110016211.4 | 申請日: | 2021-01-07 |
| 公開(公告)號: | CN112769821B | 公開(公告)日: | 2022-07-22 |
| 發(fā)明(設計)人: | 任傳倫;郭世澤;馮景瑜;張威;劉曉影;張先國;俞賽賽;烏吉斯古愣;王玥;閆慧;孟祥頔;夏建民;金波;劉文瀚 | 申請(專利權(quán))人: | 中國電子科技集團公司第十五研究所;西安郵電大學 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;G06F21/53;G06F21/55;G06F21/56;G06N20/00 |
| 代理公司: | 北京豐浩知識產(chǎn)權(quán)代理事務所(普通合伙) 11781 | 代理人: | 李學康 |
| 地址: | 100083 北*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 威脅 情報 att ck 響應 方法 裝置 | ||
1.一種基于威脅情報和ATTCK的威脅響應方法,其特征在于,包括:
S1建立威脅情報庫:
外部威脅采集步驟:利用爬蟲和開源威脅情報共享平臺API自動化從公開資源中收集外部威脅情報為第一采集結(jié)果;
內(nèi)部威脅采集步驟:從傳統(tǒng)安全設備中收集內(nèi)部威脅情報為第二采集結(jié)果;所述傳統(tǒng)安全設備包括防火墻、IDS、IPS;所述內(nèi)部威脅情報包括非法接入、未授權(quán)訪問、身份認證、非常規(guī)操作、沙盒執(zhí)行和惡意代碼檢測;
ATTCK解析步驟:通過ATTCK框架將所述第一采集結(jié)果與所述第二采集結(jié)果糅合,建立完整攻擊鏈形式的攻擊者機器學習模型,存入威脅情報數(shù)據(jù)庫中;所述通過ATTCK框架將所述第一采集結(jié)果與所述第二采集結(jié)果糅合,建立完整攻擊鏈形式的攻擊者機器學習模型,具體為:通過自然語言處理方法NLP,結(jié)合ATTCK對所述第一采集結(jié)果與所述第二采集結(jié)果進行文本分類,詞性標注,句法分析,信息檢索,信息抽取,問答系統(tǒng),機器翻譯,逐步建立攻擊者機器學習模型;所述攻擊者機器學習模型中所包含的威脅情報信息包括所述ATTCK框架在各攻擊階段中的檢測對象及檢測結(jié)果,所述攻擊階段包括:入口點階段、命令執(zhí)行階段、持久化階段、權(quán)限維持階段、繞過防御階段、橫向滲透階段、C2命令與控制階段和信息竊取階段;
所述檢測對象包括:所述入口點階段中檢測工具的行為,所述檢測工具包括Nmap、WHOIS、Gscan及SeatBelt;所述命令執(zhí)行階段中的行為,包括Winodws powershell腳本,Linux shell腳本,惡意鏈接,延時執(zhí)行DLL以及無文件攻擊方式;所述持久化階段中的行為,包括創(chuàng)建賬戶,修改進程,進程劫持,OFFICE異常啟動及預啟動;所述權(quán)限維持階段中的行為,包括SID歷史注入,PID欺騙,偽造令牌及事件觸發(fā)執(zhí)行;所述繞過防御階段中的行為,包括:目錄和文件權(quán)限修改,隱藏文件,簡介命令執(zhí)行及安全軟件異常關閉;所述橫向滲透階段中的行為,包括內(nèi)部魚叉,遠程會話劫持,內(nèi)網(wǎng)蠕蟲,抓取登錄憑證;所述C2命令與控制階段中的行為,包括加密通道,非應用層協(xié)議,異常協(xié)議隧道以及異常端口數(shù)據(jù)傳輸;所述信息竊取階段中的行為,包括移動介質(zhì)信息泄露,暗網(wǎng)信息售賣以及漏洞庫公告;
所述檢測結(jié)果包括:攻擊者可能的意圖、攻擊者信息、攻擊者利用方法及攻擊工具;
S2建立標簽與處理規(guī)則的映射關系:根據(jù)所述攻擊者機器學習模型建立所述標簽與處理規(guī)則的映射關系,每種標簽對應一種威脅度;
S3威脅感知:使用基于DFI的深度流撿測技術(shù)對實時流量數(shù)據(jù)進行監(jiān)控,識別出惡意攻擊數(shù)據(jù)流,利用不同的應用類型體現(xiàn)在會話連接和數(shù)據(jù)流上狀態(tài)不同,建立流量特征模型,通過分析會話連接流信息結(jié)合威脅情報和ATTCK分析結(jié)果對比,對流量數(shù)據(jù)進行監(jiān)控、賦予標簽以及響應,根據(jù)流量實時特征的變化不斷更改所述惡意攻擊數(shù)據(jù)流的標簽;所述會話連接流信息包括包長、連接速率、傳輸字節(jié)量以及包與包間隔;所述深度流檢測技術(shù)包括:流特征選擇、流特征提取、分類器;在所述深度流檢測中,首先對所述實時流量數(shù)據(jù)進行識別,提取所述實時流量數(shù)據(jù)的流特征,然后經(jīng)由所述分類器進行分析,如果判斷為可疑流量,則結(jié)合上下行流量對稱法、時間跨度均衡法、行為鏈關聯(lián)法方法進行延遲監(jiān)控判別;如果判斷為異常,則對數(shù)據(jù)包進行拆分,在數(shù)據(jù)包空白字段依據(jù)標簽模塊的規(guī)則設置標簽;
S4威脅防御,根據(jù)所述標簽與處理規(guī)則的映射關系激活所述威脅防御,包括:
響應策略步驟,當所述惡意攻擊數(shù)據(jù)流的標簽所對應的威脅度為較低時,采用蜜罐技術(shù),并將流量引入蜜罐中,對攻擊行為進行捕獲和分析后獲取攻擊行為數(shù)據(jù);具有蜜罐響應策略;所述蜜罐具體分為低交互性蜜罐、中交互性蜜罐、高交互性蜜罐;所述蜜罐響應策略用于根據(jù)所述惡意攻擊數(shù)據(jù)流的標簽來激活不同種類的蜜罐;當所述惡意攻擊數(shù)據(jù)流的標簽所對應的威脅度為較高時,加入黑名單進行威脅阻斷;
反饋步驟,收集所述惡意攻擊數(shù)據(jù)流中的威脅信息,用于豐富所述威脅情報數(shù)據(jù)庫中的所述攻擊者機器學習模型,根據(jù)所述攻擊行為數(shù)據(jù)評估攻擊風險并生成安全防護建議。
2.一種基于威脅情報和ATTCK的威脅響應裝置,其特征在于,包括:
威脅情報庫模塊,包括:
外部威脅采集子模塊,被配置為:利用爬蟲和開源威脅情報共享平臺API自動化從公開資源中收集外部威脅情報為第一采集結(jié)果;
內(nèi)部威脅采集子模塊,被配置為:從傳統(tǒng)安全設備中收集內(nèi)部威脅情報為第二采集結(jié)果;所述傳統(tǒng)安全設備包括防火墻、IDS、IPS;所述內(nèi)部威脅情報包括非法接入、未授權(quán)訪問、身份認證、非常規(guī)操作、沙盒執(zhí)行和惡意代碼檢測;
ATTCK解析子模塊,被配置為:通過ATTCK框架將所述第一采集結(jié)果與所述第二采集結(jié)果糅合,建立完整攻擊鏈形式的攻擊者機器學習模型,存入威脅情報數(shù)據(jù)庫中;具體為:通過自然語言處理方法NLP,結(jié)合ATTCK對所述第一采集結(jié)果與所述第二采集結(jié)果進行文本分類,詞性標注,句法分析,信息檢索,信息抽取,問答系統(tǒng),機器翻譯,逐步建立攻擊者機器學習模型;所述攻擊者機器學習模型中所包含的威脅情報信息包括所述ATTCK框架在各攻擊階段中的檢測對象及檢測結(jié)果,所述攻擊階段包括:入口點階段、命令執(zhí)行階段、持久化階段、權(quán)限維持階段、繞過防御階段、橫向滲透階段、C2命令與控制階段和信息竊取階段;
所述檢測對象包括:所述入口點階段中檢測工具的行為,所述檢測工具包括Nmap、WHOIS、Gscan及SeatBelt;所述命令執(zhí)行階段中的行為,包括Winodws powershell腳本,Linux shell腳本,惡意鏈接,延時執(zhí)行DLL以及無文件攻擊方式;所述持久化階段中的行為,包括創(chuàng)建賬戶,修改進程,進程劫持,OFFICE異常啟動及預啟動;所述權(quán)限維持階段中的行為,包括SID歷史注入,PID欺騙,偽造令牌及事件觸發(fā)執(zhí)行;所述繞過防御階段中的行為,包括:目錄和文件權(quán)限修改,隱藏文件,簡介命令執(zhí)行及安全軟件異常關閉;所述橫向滲透階段中的行為,包括內(nèi)部魚叉,遠程會話劫持,內(nèi)網(wǎng)蠕蟲,抓取登錄憑證;所述C2命令與控制階段中的行為,包括加密通道,非應用層協(xié)議,異常協(xié)議隧道以及異常端口數(shù)據(jù)傳輸;所述信息竊取階段中的行為,包括移動介質(zhì)信息泄露,暗網(wǎng)信息售賣以及漏洞庫公告;
所述檢測結(jié)果包括:攻擊者可能的意圖、攻擊者信息、攻擊者利用方法及攻擊工具;
標簽模塊,根據(jù)所述攻擊者機器學習模型建立標簽與處理規(guī)則的映射關系,每種標簽對應一種威脅度;
感知模塊,被配置為:使用基于DFI的深度流撿測技術(shù)對實時流量數(shù)據(jù)進行監(jiān)控,識別出惡意攻擊數(shù)據(jù)流,利用不同的應用類型體現(xiàn)在會話連接和數(shù)據(jù)流上狀態(tài)不同,建立流量特征模型,通過分析會話連接流信息結(jié)合威脅情報和ATTCK分析結(jié)果對比,對流量數(shù)據(jù)進行監(jiān)控、賦予標簽以及響應,根據(jù)流量實時特征的變化不斷更改所述惡意攻擊數(shù)據(jù)流的標簽;所述會話連接流信息包括包長、連接速率、傳輸字節(jié)量以及包與包間隔;所述深度流檢測技術(shù)包括:流特征選擇、流特征提取、分類器;在所述深度流檢測中,首先對所述實時流量數(shù)據(jù)進行識別,提取所述實時流量數(shù)據(jù)的流特征,然后經(jīng)由所述分類器進行分析,如果判斷為可疑流量,則結(jié)合上下行流量對稱法、時間跨度均衡法、行為鏈關聯(lián)法方法進行延遲監(jiān)控判別;如果判斷為異常,則對數(shù)據(jù)包進行拆分,在數(shù)據(jù)包空白字段依據(jù)標簽模塊的規(guī)則設置標簽;
防御模塊,根據(jù)所述標簽模塊的處理規(guī)則激活所述防御模塊,包括:
響應策略子模塊,當所述惡意攻擊數(shù)據(jù)流的標簽所對應的威脅度為較低時,采用蜜罐技術(shù),并將流量引入蜜罐中,對攻擊行為進行捕獲和分析后獲取攻擊行為數(shù)據(jù);具有蜜罐響應策略;所述蜜罐具體分為低交互性蜜罐、中交互性蜜罐、高交互性蜜罐;所述蜜罐響應策略用于根據(jù)所述惡意攻擊數(shù)據(jù)流的標簽來激活不同種類的蜜罐;當所述惡意攻擊數(shù)據(jù)流的標簽所對應的威脅度為較高時,加入黑名單進行威脅阻斷;
反饋子模塊,收集所述惡意攻擊數(shù)據(jù)流中的威脅信息,用于豐富所述威脅情報數(shù)據(jù)庫中的所述攻擊者機器學習模型,根據(jù)所述攻擊行為數(shù)據(jù)評估攻擊風險并生成安全防護建議。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國電子科技集團公司第十五研究所;西安郵電大學,未經(jīng)中國電子科技集團公司第十五研究所;西安郵電大學許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110016211.4/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
