本發明公開了一種基于多個攻擊階段的安全入侵回放設備。該設備被應用于安全運維服務提供商為企業網絡提供的入侵檢測的服務中，企業網絡包括防火墻、IDS、端點操作系統、域控制器、查殺惡意軟件、郵件服務器、Web服務器和數據庫服務器，將黑客入侵企業網絡的過程劃分為偵察階段、交付階段、安裝階段、特權提升階段、橫向擴張階段、攻擊對象階段和撤出階段，并從每一個階段所提供的聚合字段進行告警聚合和關聯，生成新的告警、發現入侵路徑和實現安全入侵的回放，通過本發明，能夠減少告警數量和確定入侵的根原因。

技術領域

本發明涉及計算機網絡防御技術領域，具體涉及一種基于多個攻擊階段的安全入侵回放設備。

背景技術

今天的信息網絡面臨越來越復雜和持久的威脅，新的威脅工具和可以被利用的漏洞往往超越了入侵檢測系統的進步。當前的入侵檢測系統通常會產生太多的告警，其中所包含的信息還不足以提供給安全運維服務人員進行定位故障和根原因的分析。結果，絕大多數告警都被忽略了，導致了原本可以避免的安全漏洞。SIEM（Security Information andEvent Management安全信息和事件管理）軟件是一個最新的趨勢，旨在通過關聯來自多個傳感器的數據以改進告警的數量和告警內容所存在的缺陷。然而，到目前為止，SIEM的不足還限制了SIEM軟件改進入侵檢測的光明前景。

任何網絡安全運維監控的解決方案的目標都是及時、準確和可訴的網絡威脅告警。這類告警被引用為成熟安全組織的一條公理。不幸的是，安全告警通常會基于傳感器在網絡中的位置、應用高級規則邏輯的能力的局限性，或無法表示復雜的組織數據層次結構（如：用戶帳戶、關鍵計算資源、企業網絡風險級別和工作時間）而產生誤報和漏報。此外，單個安全設備本身可能容易被精明的攻擊者所利用，從而影響它們提供數據的完整性。這些限制導致大量告警涌入安全運維服務人員，或者由于過度熱情的告警抑制/或壓縮而缺少告警。

近來，市場上的一些信息安全的事件關聯軟件，用于聚合不同傳感器源所提供的數據，從而能夠從單個集中的告警中對所有網絡數據進行整體分析。對這些設備的數據進行分析可能會揭示有利于對個人或威脅群體進行指紋識別的活動模式，這是基于分布在整個傳感器網絡上的數據線索。然而，在基于多個攻擊階段的攻擊本體（attack ontology）的背景下，設計用于分析這些數據的定制算法的開發，才能夠真正為威脅檢測和預防提供了高額附加值。

此外，還有一種趨勢是，聊天式的數據源（如防火墻日志）的數量大大超過了更有舉證價值的數據源（如端點操作系統日志）的數量。對一家安全運維服務提供商的SOC（Security Operations Center安全運維中心）的安全運維服務人員的觀察表明，絕大多數的安全告警都被安全運維服務人員忽視了。此外，許多安全專家認為，消除每一個告警是不切實際的，通常必須結合某種形式的攻擊歸屬（或攻擊歸因/或攻擊朔源/或攻擊回放）的自動化。不幸的是，僅僅從傳感器采集數據并不能大大提高檢測率，也不能降低誤報率。

如果沒有有效的告警引擎來適當地過濾、分類和升級安全事件，那么從日志數據中識別顯著的安全事件并對事件實施及時的補救是一項艱巨的任務。安全數據必須規范化為一個標準的本體論框架，在已知的攻擊者方法論的背景下進行分析，并最終允許隨著威脅活動在整個網絡中的進展而動態升級懷疑，以充分實現及時、準確和可訴的告警。

SIEM系統中的高級關聯軟件旨在對潛在的安全事件進行實時告警，并增強與這些事件相關的調查和數據檢索功能。由于大量告警和高誤報率，對原始傳感器的數據分析對安全運維服務人員來說是壓倒性的。一些研究表明，在SOC環境中，只有29%的告警是由安全運維服務人員實際檢查的，其中平均40%被確定為誤報。實現程序化分析可以減少誤報率，并通過統一的GUI（Graphical User Interface圖形用戶界面）提供將人力功能抽象到更高分析平面的機制。這反過來又使安全運維服務人員資源池的建立最終提高了流程效率，并減少了分類和響應網絡安全事件所需的平均時間。