本發明公開了一種基于威脅情報和ATT＆CK的威脅響應方法與裝置，屬于計算機網絡安全技術領域。所述方法包括建立威脅情報庫，從公開資源和傳統安全設備中收集所述威脅情報，結合ATT＆CK框架解析攻擊行為全生命周期，建立完整攻擊鏈形式的攻擊者機器學習模型；根據攻擊者機器學習模型建立標簽與處理規則的映射關系；使用基于DFI的深度流撿測技術對實時流量數據進行監控，識別并根據流量實時特征的變化不斷更改標簽值；根據標簽與處理規則的映射關系激活威脅防御。本發明解決了威脅情報信息單一且雜亂無序導致溯源過程缺乏有效證據，以及通常采取的封禁和阻塞策略系統負載開銷大的問題。

技術領域

本發明涉及計算機網絡安全技術領域，特別是涉及一種基于威脅情報和ATT＆CK的威脅響應方法及裝置。

背景技術

隨著互聯網的開放性和復雜性不斷提高，大數據、云計算、物聯網、5G移動通信網絡等新型信息技術飛速發展，網絡空間威脅也朝泛化和復雜化趨勢發展。基于威脅情報進行網絡安全防御能夠及時分析已發生的入侵，對未來威脅態勢研判，并據此評估潛在安全風險以指導用戶指定有效安全決策。

傳統安全防護僅僅依靠部署于邊界或特殊節點的防火墻、IDS、IPS等安全設備進行靜態控制，實行以特征檢測為主的網絡安全監控，并基于預先制定的規則來匹配產生告警信息。更為嚴峻的是，隨著網絡威脅呈泛化和持續化趨勢發展，多樣化的攻擊切入點、高水平的入侵方式、系統化的攻擊工具使安全威脅更加立體，難以及時防護。

在實現本發明過程中，發明人發現現有基于威脅情報的解決方案中缺乏有效的措施捕獲攻擊者，無法獲知攻擊者攻擊方式，但漏洞仍存在，未解決根本問題；且威脅情報信息并不總是完整的，往往只包含單一或極少的攻擊者信息，攻擊行為在其生命周期中的意圖及攻擊流程無法緊密聯系起來，雜亂無序，難以從龐大冗雜的信息集合中篩選出有效的情報，導致溯源過程缺乏證據；且針對攻擊行為的響應多采用封禁，阻塞等方法，攻擊者可隨時更換IP或其他特征，使得封禁和阻塞策略會耗費大量資源，甚至造成網絡阻塞或癱瘓。

發明內容

有鑒于此，本發明提供的一種基于威脅情報和ATT＆CK的威脅響應方法及裝置，主要用于解決現有技術中威脅情報信息單一且雜亂無序，導致溯源過程缺乏有效證據，以及通常采取的封禁和阻塞策略系統負載開銷大等問題。

根據本發明一個方面，提供了一種基于威脅情報和ATT＆CK的威脅響應方法，該方法包括：

S1建立威脅情報庫：

外部威脅采集步驟：利用爬蟲和開源威脅情報共享平臺API自動化從公開資源中收集所述外部威脅情報為第一采集結果；

內部威脅采集步驟：從傳統安全設備中收集所述內部威脅情報為第二采集結果；所述傳統安全設備包括但不限于防火墻、IDS、IPS；所述內部威脅情報包括但不限于非法接入、未授權訪問、身份認證、非常規操作、沙盒執行、惡意代碼檢測；

ATT＆CK解析步驟：通過ATT＆CK框架將所述第一采集結果與所述第二采集結果糅合，建立完整攻擊鏈形式的攻擊者機器學習模型，存入威脅情報數據庫中；

S2建立標簽與處理規則的映射關系：根據所述攻擊者機器學習模型建立所述標簽與處理規則的映射關系，每種標簽對應一種威脅度；

S3威脅感知：使用基于DFI的深度流撿測技術對實時流量數據進行監控，識別出惡意攻擊數據流，根據流量實時特征的變化不斷更改所述惡意攻擊數據流的標簽；

S4威脅防御，根據所述標簽與處理規則的映射關系激活所述威脅防御，包括：

響應策略步驟，當所述惡意攻擊數據流的標簽所對應的威脅度為較低時，采用蜜罐技術，并將流量引入蜜罐中，對攻擊行為進行捕獲和分析后獲取攻擊行為數據；當所述惡意攻擊數據流的標簽所對應的威脅度為較高時，加入黑名單進行威脅阻斷；