本發明公開了一種基于策略的攻擊溯源方法，包括：獲取網絡攻擊數據，從網絡攻擊數據中采集網絡攻擊的源IP、目標IP以及攻擊事件信息，對被攻擊主機歸類攻擊方法以及劃分主機被攻擊的程度，構建規則知識庫；將攻擊事件與所述攻擊矩陣進行匹配，確定攻擊事件與攻擊步驟之間的映射關系；根據根據風險指標確定具有風險的主機。本發明通過對異常訪問攻擊事件進行歸類分析，對攻擊事件按照嚴重程度、時序關系進行分類，獲得規則知識庫，基于提取攻擊信息中的源IP、目的IP和攻擊事件，與規則知識庫匹配，能夠對攻擊進行溯源。

技術領域

本發明涉及計算機網絡安全領域，具體涉及一種基于策略的攻擊溯源方法。

背景技術

正常情況下，現有檢測手段可以通過對網絡流量的監測，檢測到服務器、工作站或者電網安防設備之間的訪問關系和攻擊事件。輔助一定的策略配置，忽略電網內部生產調度維護所需的訪問關系，其它的訪問關系認為是異常訪問。以報文形式上報給管理系統，管理系統結合可視化工具對訪問關系和攻擊事件進行分析處理。

隨著電力系統中的業務關系拓展，網絡基礎設施規模日益擴大，拓撲結構越來越復雜，導致異常訪問攻擊事件數量龐大。同時，由于誤報或閾值低的原因，進一步增加了日志量，給管理系統分析問題帶來了困難，很難找到需要重點關注的攻擊事件，這給電網安全運行帶來了極大的隱患。

通常情況下，外來入侵會通過比較隱秘的手段隱藏自身，而且攻擊手段是有計劃有步驟地進行。現有手段只是檢查到了大量的訪問關系和攻擊事件，沒有對不同攻擊事件之間的關聯關系進行分析，訪問時序也沒有得到應有的關注。導致攻擊事件之間比較孤立，很難通過人為分析確認攻擊源頭，更不能對攻擊行為進行有效防御。

發明內容

本發明針對現有技術中存在的以上不足，提供了一種在電力系統網絡安全管理上應用的攻擊溯源方法，通過該方法，可以用來確認網絡攻擊者身份、位置以及其中間介質、攻擊路徑、攻擊時序。通過溯源結果，使用者可以采用必要的策略或手段，抑制攻擊源，防止網絡攻擊帶來的安全隱患。同時，根據對攻擊過程的分析，可以為司法取證提供必要依據。

本發明采用以下技術方案。

一種基于策略的攻擊溯源方法，包括以下步驟：

獲取網絡攻擊數據，從網絡攻擊數據中采集網絡攻擊的源IP、目標IP以及攻擊事件信息，對被攻擊主機歸類攻擊方法以及劃分主機被攻擊的程度，獲得規則知識庫；所述規則知識庫包括攻擊矩陣，所述攻擊矩陣的橫向表示攻擊階段，縱向表示各攻擊階段對應的攻擊類型；

提取攻擊信息中的源IP、目的IP和攻擊事件，根據主機之間的源、目的IP確認訪問關系，將攻擊事件與所述攻擊矩陣進行匹配，確定攻擊事件與攻擊步驟之間的映射關系；

根據各個攻擊步驟中攻擊類型及所屬的攻擊階段確定攻擊權重；根據各攻擊步驟的權重大小以及攻擊次數確定攻擊風險指標，根據風險指標確定具有風險的主機。

進一步地，所述攻擊階段包括：信息收集、弱點發現、載荷投遞、突防利用、通信控制以及達成目標。

再進一步地，所述信息收集的攻擊階段對應的攻擊類型包括端口掃描、指紋識別、存活主機探測、外部移動介質接入以及主機掃描。

再進一步地，所述弱點發現的攻擊階段對應的攻擊類型包括口令爆破、web服務漏洞挖掘、中間件服務漏洞挖掘、數據庫服務漏洞挖掘以及通用服務漏洞挖掘。

再進一步地，所述載荷投遞的攻擊階段對應的攻擊類型上傳可執行文件、上傳未編譯的源碼、上傳木馬文件、通過外接設備感染惡意代碼以及發送釣魚郵件、短信、論壇回帖。

再進一步地，所述突防利用的攻擊階段對應的攻擊類型包括執行惡意代碼、移動惡意文件、編譯惡意源碼、增添文件權限以及后門漏洞利用。