基于有限状态机的面向天地一体化网络安全状态分析方法与流程

本发明涉及天地一体化网络安全技术领域，具体为基于有限状态机的面向天地一体化网络安全状态分析方法。

背景技术：

网络空间(cyberspace)被定义为“构建在信息通信技术基础设施之上的人造空间，用以支撑人们在该空间中开展各类与信息通信技术相关的活。目前，网络空间已经逐步发展成为继陆、海、空、天之后的第五大战略空间，网络空间的安全问题也随时而来。天地一体化信息网络是国家面向2030的重大项目中首个启动的重大工程项目，天地一体化网络采用“天网地网”架构，突出天基组网、天地互联，由天基骨干网、天基接入网、地基节点网构成，并可与地面互联网和移动通信网开放互联。

天地一体化网络中有特点的安全威胁包括：数据完整性安全，卫星网络的动态拓扑、地面手持终端的可移动性、星/地传输数据的方式不同，导致数据安全性和完整性容易遭到破坏；无线接入攻击，无线链路的开放性特点和通信链路具有传输距离远、传输时延大、误码率高、间歇性连接等特性，在缺乏物理保护的情况下，容易遭受干扰、截获、伪造等恶意电磁攻击；安全机制漏洞攻击，主要指身份认证、密钥管理和访问控制，星座网络拓扑具有无中心、自组织、周期性的特点，增大了身份认证、密钥管理、访问控制的难度；专用设备漏洞攻击，天地一体化网络有关口站、卫星等专有设备，安装了专用系统，存在漏洞，可对其进行利用、渗透、破坏；多域环境下的传输与接入威胁，跨域通信会面临着安全切换、安全传输等威胁，同时，在多域环境下，通信还会面临源地址伪造以及跨域切换时非法接入的威胁。

天地一体化网络因其节点覆盖范围广、传输信道开放透明、拓扑连接动态变化而具备网络体系结构立体多维异构、星间/星地信道开放、网络拓扑变化频繁、数据传输时延高和上下行链路传输带宽不对称等特点。这些特点使得实时分析变得相当困难。

技术实现要素：

本发明旨在提供一种基于有限状态机的面向天地一体化网络安全状态分析方法，其基于天地一体化网络的独特性、天地一体化网络安全处理模块的实际部署情况及管控系统的实际需求设计，通过采集的数据有效的分析出数据对应的当前攻击状态并提供处置建议，减少误报和错报。

其技术方案是这样的：基于有限状态机的面向天地一体化网络安全状态分析方法，其特征在于：包括以下步骤：

s1：对天地一体化网络的数据进行采集；

s2：读取并处理采集的数据；

s3：根据数据的特征值区分数据来源，将数据分成地面网数据和卫星网数据，

s4：根据数据来源调用不同的有限状态机模块来处理数据，将数据特征依次与知识图谱中的知识进行匹配，将匹配返回的结果存入状态机，并通过设置触发条件获得最后的分析结果，将分析结果对应的当前攻击的现状及其相关的知识输出给管控系统。

进一步的，调用satellite-module模块，用于处理卫星网数据，

satellite-module模块将数据的特征值中的转发带宽与天地一体化网络的知识图谱进行匹配，若匹配成功，则返回卫星编号、卫星攻击名称和时间给管控系统，否则，认为无卫星攻击。

进一步的，调用ground-module模块，用于处理地面网数据，

ground-module模块将数据的特征值中的事件特征与天地一体化网络的知识图谱进行匹配，其中单步攻击的事件描述为攻击名称，apt攻击的事件描述为apt攻击对应的kill-chain模型的阶段，当数据的特征值中的事件特征与天地一体化网络的知识图谱中的apt攻击的阶段相匹配且匹配到的apt攻击的阶段不是第一阶段，则认为是单步攻击，返回单步攻击的名称、时间、目的ip给管控系统；

当数据的特征值中的事件特征与天地一体化网络的知识图谱中的apt攻击的阶段相匹配且匹配到apt攻击的阶段是第一阶段，将匹配到的攻击的名称及对应的apt攻击的阶段存入状态机，根据触发条件继续匹配apt攻击的第二阶段且更新状态机的状态，若匹配到apt攻击的第二阶段则继续顺次匹配apt攻击的第三阶段，以此类推直到无法匹配到apt攻击的下一阶段或匹配结束，然后将最后匹配到apt攻击的阶段、apt攻击名称、目的ip、时间和处置建议返回给管控系统；

当数据的特征值中的事件特征匹配到apt攻击的第一阶段后，无法匹配到apt攻击的第二阶段却匹配到与apt攻击的第一阶段间隔为n的阶段，其中n为自然数，

当n大于2时，则认为匹配到apt攻击的第一阶段和第n+1阶段分别为两个单步攻击，返回单步攻击的名称、时间、目的ip给管控系统；

当n小于等于2时，则仍然认为该阶段与apt攻击相匹配，根据触发条件继续与apt攻击的下一阶段进行匹配且更新状态机的状态，以此类推直到无法匹配到apt攻击的下一阶段或匹配结束，则将最后匹配到apt攻击的阶段、apt攻击名称、目的ip、时间和处置建议返回给管控系统。

进一步的，步骤s1中对天地一体化网络的数据进行采集具体如下：包括采集地面网的数据和卫星网的数据，

地面网的数据包括探针采集的数据和链路采集的数据，

探针采集设置的节点包括终端采集节点、网络节点和蜜罐采集节点，终端采集节点用于实时采集系统行为，包括windows注册表的进程、文件、网络模块；网络节点用于采集由网络节点产生的多种类型的日志；罐采集节用于点采集漏洞和攻击手段；

链路采集的数据通过对宿主机中虚拟机网络流量的采集得到；

卫星网的数据由卫星的第三方管控系统提供，数据内容为卫星经纬度、频段范围和转发带宽。

进一步的，步骤s2中对采集的数据进行处理具体如下：读取采集的数据，对采集的数据进行清理、去除重复数据；然后通过z-score方法进行标准化处理；再将数据按照时间戳、源ip、目的ip、特征值的格式统一表示。

进一步的，天地一体化网络的知识图谱通过如下方式构建：

步骤1：构建网络安全领域的本体，本体的模型包括：攻击、事件、关口站、卫星、漏洞、操作系统、应用软件、进程、注册表和文件；

步骤2：构建天地一体化网络的知识图谱，知识图谱的模型包括概念、实例、属性、关系、规则，实例为概念的具体例子，属性为实例的属性，关系为实例之间的关系，规则用于约束实例之间关系，将步骤1中构建的本体作为概念构建知识图谱，确定本体的实例、实例的属性、实例之间的关系、约束并存入知识图谱中。

进一步的，本体中，攻击包括互联网攻击和卫星攻击，互联网攻击包括单步攻击和apt攻击，通过互联网获取；单步攻击和apt攻击对应的事件从安全日记获取，卫星攻击对应的事件由卫星的第三方管控系统通过提供卫星经纬度、频段范围和转发带宽信息获取；关口站、卫星以及关口站与卫星的动态拓扑关系是由天地一体化网络动态重构与安全保障系统提供；漏洞、操作系统、应用软件、进程、注册表、和文件的信息通过网络爬虫工具批量获得。

本发明的基于有限状态机的面向天地一体化网络安全状态分析方法，采集数据进行分析，采集数据时，针对数据来源的不同设定不同的采集策略；依托于现有的天地一体化网络系统，从天地一体化网络系统的各个子系统之间通信的实际需求出发构建天地一体化网络的知识图谱，知识图谱构建时，特别调研了现有的卫星攻击，将卫星的相关安全知识补充进去，进一步扩充了安全知识图谱；

在针对攻击的数据分析中，根据数据来源调用不同的有限状态机模块来处理数据，将数据特征依次与知识图谱中的知识进行匹配，将匹配返回的结果存入状态机，并通过设置触发条件获得最后的分析结果，将分析结果对应的当前攻击的现状及其相关的知识输出给管控系统，通过使用kill-chain模型，将apt攻击的阶段与杀死链的阶段对应起来，实时有效的分析出当前攻击状态并提供处置建议，减少误报和错报。

附图说明

图1为本发明的基于有限状态机的面向天地一体化网络安全状态分析方法的流程图。

具体实施方式

本发明的基于有限状态机的面向天地一体化网络安全状态分析方法，在开始分析之前，首先构建天地一体化网络的知识图谱：

步骤1：构建网络安全领域的本体，

本体的模型包括：攻击、事件、关口站、卫星、漏洞、操作系统、应用软件、进程、注册表和文件，在网络安全领域，本体是指网络安全态势要素知识的共享概念，本体构建是指这些概念属性及概念之间的关系，然后依据本体的原则指导构建网络安全知识图谱；

步骤2：构建天地一体化网络的知识图谱，知识图谱的模型包括概念、实例、属性、关系、规则，实例为概念的具体例子，属性为实例的属性，关系为实例之间的关系，规则用于约束实例之间关系，知识图谱五元组模型表述为：知识图谱＝<概念，实例，属性，关系，规则>；将步骤1中构建的本体作为概念构建知识图谱，确定本体的实例、实例的属性、实例之间的关系、约束并存入知识图谱中。

本体构建完成后，就需要依据本体设置的规则与约束获取与本体中的概念对应的实例，这些实例就是知识图谱中的知识，知识的来源说明如下：

本体中，攻击包括互联网攻击和卫星攻击，互联网攻击包括单步攻击和apt攻击，通过互联网获取；单步攻击和apt攻击对应的事件从安全日记获取，卫星攻击对应的事件由卫星的第三方管控系统通过提供卫星经纬度、频段范围和转发带宽信息获取；关口站、卫星以及关口站与卫星的动态拓扑关系是由天地一体化网络动态重构与安全保障系统提供；漏洞、操作系统、应用软件、进程、注册表、和文件的信息通过网络爬虫工具批量获得。

其中，apt攻击的数据来源有六大类：1.github：apt大事件；2.互联网安全商:360威胁情报中心、ibm等；3.开源安全威胁情报：threatminer、threatbook等；4.付费类威胁情报：知道创宇、nosec等；5.资讯类威胁情报：安全牛、安全客、secwiki、tools、sec-un、ibm、天际友、freebuf、ichunqiu、cybernews、secrss、exploit-db、thehacknew、hacknews等；6.网络空间搜索引擎威胁情报：shoda、censys、fofa、zoomeye等。

互联网攻击根据调研目前分为两类攻击：干扰和阻断。

另外，apt攻击的定义为：利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。对于攻击的分析模型主要有两个：钻石模型和kill-chain模型。钻石模型主要分析单步攻击，主要描述攻击手段、攻击方向和攻击结果。apt攻击的一般步骤分为信息收集，武器化部署，传递载荷，利用，安装命令和控制，执行，kill-chain一般分为6个阶段：发现，定位，跟踪，瞄准，入侵，完成，apt攻击步骤与杀死链的阶段一一对应。

网络杀伤链(cyber-kill-chain)，也称为网络攻击生命周期，最早是由洛克希德-马丁公司提出的，用于网络攻防对抗，主要用来识别攻击和防止入侵。识别目标，信息收集阶段主要是通过社会工程学手段发现目标安全状态的弱点，并选择合适的后门植入；武器化部署阶段为目标系统制作攻击工具；传递阶段将攻击工具通过后门交付给目标系统；利用阶段通过漏洞获取目标访问权限，控制目标；安装阶段在目标系统上安装远程控制程序目标，建立堡垒；命令和控制阶段创建一个c2通道，以建立与c2服务器的连接；行动阶段将继续窃取有关目标系统的信息，破坏信息的完整性和可用性，并进一步控制机器跳转攻击其他机器，扩大影响范围。

见图1，本发明的基于有限状态机的面向天地一体化网络安全状态分析方法包括以下步骤：

s1：对天地一体化网络的数据进行采集；步骤s1中对天地一体化网络的数据进行采集具体如下：包括采集地面网的数据和卫星网的数据，

地面网的数据包括探针采集的数据和链路采集的数据，

探针采集设置的节点包括终端采集节点、网络节点和蜜罐采集节点，终端采集节点用于实时采集系统行为，包括windows注册表的进程、文件、网络模块；网络节点用于采集由网络节点产生的多种类型的日志；罐采集节用于点采集漏洞和攻击手段；

链路采集的数据通过对宿主机中虚拟机网络流量的采集得到；

卫星网的数据由卫星的第三方管控系统提供，数据内容为卫星经纬度、频段范围和转发带宽。

s2：读取并处理采集的数据，具体如下：读取采集的数据，对采集的数据进行清理、去除重复数据；然后通过z-score方法进行标准化处理；再将数据按照时间戳、源ip、目的ip、特征值的格式统一表示。

步骤s1中采集的数据，既有结构化数据，如csv文本和数据表，也有半结构化数据，如html和xml，对于这些数据要进行标准化和清洗，将数据格式统一；对于网络流量数据，要进行分类统计，选择全部数据或对重点关注部分特征数据进行统计；

s3：根据数据的特征值区分数据来源，将数据分成地面网数据和卫星网数据，对数据进行清洗、标准化和数据融合处理以后，要对这些数据进行特征检测，可以检测出网络威胁行为、系统威胁行为、攻击手段、木马恶意行为、webshell后门通信和检测僵尸网络活动等内容；

s4：根据数据来源调用不同的有限状态机模块来处理数据，将数据特征依次与知识图谱中的知识进行匹配，将匹配返回的结果存入状态机，并通过设置触发条件获得最后的分析结果，将分析结果对应的当前攻击的现状及其相关的知识输出给管控系统。

其中，调用satellite-module模块，用于处理卫星网数据，

satellite-module模块将数据的特征值中的转发带宽与天地一体化网络的知识图谱进行匹配，若匹配成功，则返回卫星编号、卫星攻击名称和时间给管控系统，否则，认为无卫星攻击。

其中，调用ground-module模块，用于处理地面网数据，

ground-module模块将数据的特征值中的事件特征与天地一体化网络的知识图谱进行匹配，其中单步攻击的事件描述为攻击名称，apt攻击的事件描述为apt攻击对应的kill-chain模型的阶段，当数据的特征值中的事件特征与天地一体化网络的知识图谱中的apt攻击的阶段相匹配且匹配到的apt攻击的阶段不是第一阶段，则认为是单步攻击，返回单步攻击的名称、时间、目的ip和处置建议给管控系统；

当数据的特征值中的事件特征与天地一体化网络的知识图谱中的apt攻击的阶段相匹配且匹配到apt攻击的阶段是第一阶段，将匹配到的攻击的名称及对应的apt攻击的阶段存入状态机，根据触发条件继续匹配apt攻击的第二阶段且更新状态机的状态，若匹配到apt攻击的第二阶段则继续顺次匹配apt攻击的第三阶段，以此类推直到无法匹配到apt攻击的下一阶段或匹配结束，然后将最后匹配到apt攻击的阶段、apt攻击名称、目的ip、时间和处置建议返回给管控系统；

当数据的特征值中的事件特征匹配到apt攻击的第一阶段后，无法匹配到apt攻击的第二阶段却匹配到与apt攻击的第一阶段间隔为n的阶段，其中n为自然数，

当n大于2时，则认为匹配到apt攻击的第一阶段和第n+1阶段分别为两个单步攻击，返回单步攻击的名称、时间、目的ip给管控系统；

当n小于等于2时，则仍然认为该阶段与apt攻击相匹配，根据触发条件继续与apt攻击的下一阶段进行匹配且更新状态机的状态，以此类推直到无法匹配到apt攻击的下一阶段或匹配结束，则将最后匹配到apt攻击的阶段、apt攻击名称、目的ip、时间和处置建议返回给管控系统。

因为kill-chain的阶段和apt攻击的步骤一一对应，所以kill-chain的应对措施可以与apt攻击步骤的处置建议对应起来，apt的步骤确定，第一步中包含很多具体的攻击，同样，第二步也包含很多具体的攻击到第六步包含很多具体的攻击，设定只有匹配出第一步的攻击，才是apt攻击，否则作为单步攻击。匹配到第一步攻击，如果接下来的数据是属于第二步的攻击，这时状态机的状态就更新为apt的第二步，以此类推，直接无法匹配到下一步，匹配到apt攻击的第几阶段就返回第几阶段。再比如匹配到第一步和第二步了，但没有第三和第四步，直接匹配除了第五步，就加入容错机制，在缺少两步的情况下，加边处理，依然认为是apt攻击的第五步，但间隔超过两步，分别当作两个单步攻击。

在针对攻击的数据分析中，根据数据来源调用不同的有限状态机模块来处理数据，将数据特征依次与知识图谱中的知识进行匹配，将匹配返回的结果存入状态机，并通过设置触发条件获得最后的分析结果，将分析结果对应的当前攻击的现状及其相关的知识输出给管控系统，通过使用kill-chain模型，将apt攻击的阶段与杀死链的阶段对应起来，实时有效的分析出当前攻击状态并提供处置建议，减少误报和错报。