[發(fā)明專利]面向攻擊溯源的威脅情報智能分析方法及系統(tǒng)有效
| 申請?zhí)枺?/td> | 202210034167.4 | 申請日: | 2022-01-13 |
| 公開(公告)號: | CN114422224B | 公開(公告)日: | 2023-08-29 |
| 發(fā)明(設(shè)計)人: | 胡浩;孫澄;劉懷興;張恒巍;蔡鎮(zhèn);李炳龍 | 申請(專利權(quán))人: | 中國人民解放軍戰(zhàn)略支援部隊信息工程大學 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L41/142;G06F16/36 |
| 代理公司: | 鄭州大通專利商標代理有限公司 41111 | 代理人: | 周艷巧 |
| 地址: | 450000 河*** | 國省代碼: | 河南;41 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 面向 攻擊 溯源 威脅 情報 智能 分析 方法 系統(tǒng) | ||
本發(fā)明屬于網(wǎng)絡信息安全分析技術(shù)領(lǐng)域,特別涉及一種面向攻擊溯源的威脅情報智能分析方法及系統(tǒng),通過分析場景中脆弱性利用動作,構(gòu)建用于刻畫攻擊事件中攻擊步驟類型的攻擊事件框架,并以攻擊事件為單位進行攻擊告警關(guān)聯(lián),重構(gòu)攻擊場景;提取攻擊場景中威脅特征作為指紋特征,構(gòu)建威脅指紋知識圖譜;通過比較知識圖譜中指紋特征相似性來挖掘攻擊場景幕后攻擊者。本發(fā)明以脆弱性利用動作為核心構(gòu)建攻擊事件框架,以事件為單位實施告警關(guān)聯(lián)重構(gòu)攻擊場景;利用威脅指紋知識圖譜整合已公開威脅情報知識,抽取攻擊場景中威脅指紋特征,分析兩者相似性溯源攻擊者,充實攻擊行為上下文信息,有效溯源攻擊者,提高威脅特征識別全面性,具有較好應用前景。
技術(shù)領(lǐng)域
本發(fā)明屬于網(wǎng)絡信息安全分析技術(shù)領(lǐng)域,特別涉及一種面向攻擊溯源的威脅情報智能分析方法及系統(tǒng)。
背景技術(shù)
隨著網(wǎng)絡技術(shù)的不斷發(fā)展,萬物互聯(lián)的信息化社會正逐步到來。然而,網(wǎng)絡技術(shù)促進社會進步的同時也帶來了新的問題——網(wǎng)絡安全威脅。當前網(wǎng)絡空間面臨多種安全威脅并存的局面,為網(wǎng)絡中各類信息系統(tǒng)帶來了不同程度的安全隱患。因此,如何有效識別威脅,對于合理分析威脅的進一步發(fā)展并實施針對性防御具有重大意義。
當前威脅識別方面的研究以威脅特征為識別目標,主要基于攻擊場景重構(gòu)實現(xiàn),具體而言,首先通過告警關(guān)聯(lián)重構(gòu)攻擊場景,再根據(jù)進一步分析的需要,從攻擊場景中提取相應類型的威脅特征。其中,告警關(guān)聯(lián)方法主要包括基于攻擊圖以及基于屬性相似性等兩類方法,前者由于依托先驗知識,相比于后者,無需進行復雜的相似性計算,能夠更加準確、快速地完成場景重構(gòu),而后者則具備挖掘未知攻擊的能力,兩者各有長短。近年來相關(guān)研究趨向于以前者為主,輔以后者,也可協(xié)同使用兩類方法,能夠?qū)崿F(xiàn)優(yōu)勢互補。然而,由于攻擊圖等模型是一種以脆弱性利用動作為核心的簡化的攻擊場景表示形式,導致重構(gòu)的攻擊場景缺乏攻擊上下文等細節(jié)信息,不利于威脅特征的識別提取。威脅特征識別以重構(gòu)的攻擊場景為依據(jù),設(shè)計特征分析算法,提取相應特征。根據(jù)特征類別,采用分析方法也不同,如:基于貝葉斯網(wǎng)絡的攻擊意圖分析方法、基于攻擊時間的攻擊能力動態(tài)量化評估方法以及基于動靜態(tài)分析的惡意代碼特征提取方法等等。盡管以上方法在針對具體類型的威脅特征的提取方面均取得了不錯的效果,但是,單一攻擊場景承載的威脅特征知識畢竟有限,尚不足以支持對威脅全貌的識別,因此,仍需探索一種能夠進一步提高威脅識別程度的方法。
發(fā)明內(nèi)容
針對基于場景重構(gòu)的威脅分析方法因攻擊場景信息有限、無法充分識別威脅特征等問題,本發(fā)明提供一種面向攻擊溯源的威脅情報智能分析方法及系統(tǒng),以脆弱性利用動作為核心構(gòu)建攻擊事件框架,并以事件為單位實施告警關(guān)聯(lián),重構(gòu)攻擊場景;在此基礎(chǔ)上,利用威脅指紋知識圖譜,整合已公開的威脅情報知識,并抽取攻擊場景中的威脅特征作為指紋,分析兩者相似性,溯源攻擊者,能夠利用攻擊事件框架充實攻擊行為的上下文信息,并基于知識圖譜有效溯源攻擊者,提高威脅特征識別全面性。
按照本發(fā)明所提供的設(shè)計方案,一種面向攻擊溯源的威脅情報智能分析方法,包含:
通過分析場景中脆弱性利用動作,構(gòu)建用于刻畫攻擊事件中攻擊步驟類型的攻擊事件框架,并以攻擊事件為單位進行攻擊告警關(guān)聯(lián),重構(gòu)攻擊場景;
提取攻擊場景中威脅特征作為指紋特征,構(gòu)建威脅指紋知識圖譜;通過比較知識圖譜中指紋特征相似性來挖掘攻擊場景幕后攻擊者。
作為本發(fā)明面向攻擊溯源的威脅情報智能分析方法,進一步地,基于殺傷鏈模型構(gòu)建用于作為攻擊事件框架的單個攻擊事件模板,其中,攻擊事件中攻擊步驟由先至后依次表示為偵察、攻擊武器構(gòu)造、攻擊載荷投送、脆弱性利用、惡意程序安裝、命令控制活動及目標行動。
作為本發(fā)明面向攻擊溯源的威脅情報智能分析方法,進一步地,重構(gòu)攻擊場景中,首先,利用先驗知識聚合攻擊步驟所引發(fā)的攻擊告警,生成元告警;然后,以脆弱性利用元告警為基點,聚合攻擊上下文告警,識別攻擊事件,并添加至對應脆弱性利用動作的列表中;以脆弱性利用前后依賴關(guān)系及告警時序關(guān)系將識別的攻擊事件前后關(guān)聯(lián)為攻擊場景。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國人民解放軍戰(zhàn)略支援部隊信息工程大學,未經(jīng)中國人民解放軍戰(zhàn)略支援部隊信息工程大學許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210034167.4/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 溯源交互系統(tǒng)及溯源系統(tǒng)交互方法
- 單溯源碼農(nóng)產(chǎn)品分級溯源管理系統(tǒng)及方法
- 多溯源碼農(nóng)產(chǎn)品分級溯源管理系統(tǒng)及方法
- 食品安全溯源系統(tǒng)及方法
- 一種基于區(qū)塊鏈的溯源數(shù)據(jù)的獲取方法及相關(guān)設(shè)備
- 溯源方法、溯源裝置、溯源系統(tǒng)和存儲介質(zhì)
- 一種基于區(qū)塊鏈技術(shù)的溯源應用系統(tǒng)
- 一種基于區(qū)塊鏈技術(shù)的溯源管理系統(tǒng)
- 一種聚合溯源的方法和相關(guān)裝置
- 一種醫(yī)學實驗室監(jiān)管溯源系統(tǒng)及方法
