一种基于攻击组织能力评估对攻击进行防御的方法与流程

本发明属于信息安全领域，具体涉及一种基于攻击组织能力评估对攻击进行防御的方法。
背景技术：
：近年来，全球范围内的重大网络安全事件频发，从iot设备被恶意攻击到企业基础设施被挖矿代码劫持，再到自动化勒索软件，网络环境愈发复杂。在一个如此复杂的网络环境中，一个攻击组织所具备的攻击能力直接影响最终的攻击效果。如何综合的对网络攻击组织能力进行评估，挖掘出网络中威胁最大的攻击组织，从而为后续防御策略的定制提供支撑成为一个新的问题。现有的成果大多是按照攻击者视觉对目标系统脆弱性分析，但从攻击组织的攻击过程、攻击面对一个攻击组织画像且对一个攻击组织能力定量评估的相关成果较少，因此，通过评估攻击阻止能力的强弱来定制防御策略成为一个研究方向。技术实现要素：本发明所要解决的技术问题是提供一种基于攻击组织能力评估对攻击进行防御的方法，本方法从攻击组织能力评估角度入手，通过全面分析可评测攻击组织攻击能力的角度，设定多个攻击组织评估方向，综合多种维度实现对一个攻击组织攻击能力的定性描述和定量评估，根据评估结果定制防御策略。为达上述目的，本发明采取的具体技术方案是：一种基于攻击组织能力评估对攻击进行防御的方法，包括以下步骤：1)设定若干个攻击组织能力评估方向，用于对攻击组织进行定性描述。较佳地，设定12个攻击组织能力评估方向，但不限于该数量；这12个评估方向包括：团队规模、组织能力、展开攻击的目标、攻击手段的多样性、发起攻击的影响规模、可能窃取到的资源、自主开发能力、发起的攻击类型、溯源对抗能力、工具运用能力、地理影响力、作战时间分布；2)将设定的攻击组织能力评估方向映射到若干个评估要素中。较佳地，为更好展现不同攻击组织的攻击能力，将12个评估方向映射到6个评估要素中，但不限于该评估要素的数量。12个评估方向和6个评估要素的映射关系如下所示：评估要素一：组织规模包含的能力评估方向：团队规模、组织能力；评估要素二：攻击目标包含的能力评估方向：展开攻击的目标、可能窃取到的资源；评估要素三：对抗能力包含的能力评估方向：溯源对抗能力；评估要素四：技术能力包含的能力评估方向：攻击手段的多样性、工具运用能力、自主开发能力、发起的攻击类型、发起攻击的影响规模；评估要素五：地理影响包含的能力评估方向：地理影响力；评估要素六：弹性时间包含的能力评估方向：作战时间分布；3)针对不同能力方向对应的不同评估条件以及相应的分值，获取攻击组织各个能力方向的分数。较佳地，为上述六种评估要素赋予相同的分数：60分，针对评估要素中不同能力指标分配不同的分值范围。对不同能力指标设定不同的条件，攻击组织满足不同条件会得到不同的分值。4)将攻击组织不同能力指标分值相加得到评估要素的得分，将六个评估要素得分相加便是该攻击组织整体攻击能力分值。5)将攻击组织的分数映射到攻击组织能力等级中，得到攻击组织的能力等级，实现对攻击组织能力的评估。较佳地，将攻击组织能力分值划分为四个范围：[0,120]，[121,180]，[181,240]，[241,360]。这四个范围分别对应：c级(能力较弱)、b级(能力一般)、a级(能力较强)、s级(能力强)。最终，每个攻击组织都会获得能力分值和相应的能力等级。6)对不同等级的攻击组织采用对应等级的防御策略进行防御，对同一等级中的攻击组织按照分数的高低依次先后进行防御，对攻击能力较强的组织进行优先防御。上述方法可通过一种基于攻击组织能力评估对攻击进行防御的系统来实现，自动对攻击组织的攻击能力进行评估，该系统包括存储器和处理器，该存储器存储计算机程序，该程序被配置为由该处理器执行，该程序包括用于执行上述方法中各步骤的指令。本发明方法对攻击组织能力进行综合评估后，根据评估的结果，视攻击组织的能力强弱采取对应的防御策略，既避免出现防御薄弱，又不置于防御过当而浪费资源，对攻击能力较强的进行优先防御，从而对攻击组织进行有效地防御。附图说明图1是本发明的攻击组织能力评估的十二个评估方向脑图。图2是本发明的不同等级的攻击组织评估要素分数雷达图。图3是本发明的不同等级的攻击组织能力评分直方图。图4是本发明的三个攻击组织示例的评估要素分数雷达图。图5是本发明的总样本中各个等级的攻击组织分布情况饼图。具体实施方式为使本
技术领域：
的人员更好地理解本发明实施例中的技术方案，并使本发明的目的、特征和优点能够更加明显易懂，下面对本发明中技术核心作进一步的详细说明。本实施例提供一种基于攻击组织能力评估对攻击进行防御的方法，具体包括以下步骤：步骤s1：按照12个攻击组织能力评估方向提取攻击组织的信息。12个攻击组织能力评估方向来自于已有经验知识，包括：团队规模、组织能力、展开攻击的目标、可能窃取到的资源、溯源对抗能力、攻击手段的多样性、工具运用能力、自主开发能力、发起的攻击类型、发起攻击的影响规模、地理影响力、作战时间分布。步骤s2：将步骤一中攻击组织12个评估方向的信息对应到6个评估要素中，每个评估要素总分数为60分。12个评估方向和6个评估要素的映射关系如下所示：评估要素一：组织规模包含的能力评估方向：团队规模、组织能力；评估要素二：攻击目标包含的能力评估方向：展开攻击的目标、可能窃取到的资源；评估要素三：对抗能力包含的能力评估方向：溯源对抗能力；评估要素四：技术能力包含的能力评估方向：攻击手段的多样性、工具运用能力、自主开发能力、发起的攻击类型、发起攻击的影响规模；评估要素五：地理影响包含的能力评估方向：地理影响力；评估要素六：弹性时间包含的能力评估方向：作战时间分布；步骤s3：针对不同能力方向对应的不同评估条件以及相应的分值，获取攻击组织各个能力方向的分数。不同能力方向、不同条件对应的分值如下表所示，ci(capabilityindex)是能力指数的缩写，cin(n∈[1,12])代表第n个评估方向的能力指数得分。评估标准见表1。表1攻击组织能力量化表s31：对组织规模评估要素量化指标的说明。攻击组织的团队规模在一定程度上能够反映出一个攻击组织的攻击能力。一个团队、小组往往比一个独立的攻击者的能力高。由此，将攻击组织的团队规模分为四个等级：i级、ii级、iii级和iv级，分别对应独立攻击者、小组、中等团队、专业团队。独立攻击者、小组、中等团队、专业团队的划分参照一个攻击组织能够利用的真实ip数量，具体等级定义和关系如表2所示：表2攻击者/攻击组织的团队规模s32：对攻击目标评估要素量化指标的说明。攻击组织展开攻击的目标对于攻击组织攻击能力的评估具有着重要的作用。对攻击组织展开攻击的目标的评估可以从多个方面考虑：包括目标领域、系统平台、攻击语言。目标领域主要根据攻击组织在23种目标领域：网络安全、游戏、体育、药物、学习、赌博、未知、医院、生活、金融、婴儿、枪支、书籍、政治、旅行、女性、烹饪、汽车、门户网站、娱乐、教育、政府、色情涉及到的领域数目来确定。量化指标中的n代表攻击组织覆盖的领域数量。将23个目标领域分成三类：第一类包括政府、政治，系数为a1，第二类包括网络安全、教育、金融，系数为a2，其余为第三类，系数为a3，其中a1>a2>a3；获取攻击组织在上述三类的领域数目，依次为n1、n2、n3；则目标领域的总得分为a1n1+a2n2+a3n3。s33：对技术能力评估要素量化指标的说明。攻击类型方向：根据攻击组织发起的攻击类型的多样性划分，可以评估攻击组织的攻击能力。从攻击组织的攻击手段包括sql注入、xss攻击、异常编码、非法文件写入或下载、异常文件访问/读取、漏洞扫描器的使用、非法漏洞利用、非法命令执行、html实体注入、非法目录遍历。发起的攻击类型总数为v，最高分值为w，同一个攻击组织发起的攻击类型数为m，则发起的攻击类型得分为w·m/v。例如，统计同一个攻击组织使用的攻击类型数m，ci4的最高值为12，则攻击组织攻击类型方向得分为ci4＝12·m/v。步骤s4：将攻击组织不同能力方向分值相加得到评估要素的得分，将六个评估要素得分相加便是该攻击组织整体攻击能力分值。例如，对如下三个攻击组织进行能力分数评估，评估过程如下：第一个攻击组织，ip数量只有1个，且只有get请求，请求类型也比较单一，仅有构造ua一种对抗行为，因此其组织规模、技术能力等分数都偏低，最后的总分也较低。第二个攻击组织，有35个ip，攻击目标有700余个，涉及4个国家，较为广泛，但其攻击行为比较单一，疑似seo，因此技术能力得分偏低；而其在post中进行了多重编码，且有隐藏真实ua的行为，因此得到了较高的对抗能力评分。第三个攻击组织，有200多个ip，攻击目标超过1000个，且对每个目标都有平均1000次以上的攻击，领域涉猎达到21个，国家达到4个；使用了3款自动化工具，有窃取敏感文件和源码的行为，因此技术评分较高；采用了多个代理ip和ua构造，因此对抗能力评分也较高。这三个攻击组织的评估要素分数如图4所示。步骤s5：将攻击组织的攻击能力分值映射到攻击组织能力等级。其中，攻击组织能力分值与攻击组织等级存在如下对应关系：攻击组织能力分值的四个范围[0,120]，[121,180]，[181,240]，[241,360]，分别对应：c级(能力较弱)、b级(能力一般)、a级(能力较强)、s级(能力强)，如表3所示。表3攻击组织能力评分与等级评定能力评分能力评估等级评定0～120能力较弱c级121～180能力一般b级181～240能力较强a级241～360能力强s级由此，可获得每个攻击组织的能力分值和能力等级，实现对攻击组织的全方位定性分析和定量描述，图5所示为总样本中各个等级的攻击组织分布情况。步骤s6：对不同等级的攻击组织采用对应等级的防御策略进行防御，对同一等级中的攻击组织按照分数的高低依次先后进行防御，对攻击能力较强的组织进行优先防御，如此可以对不同攻击能力的攻击组织采取相应的防御策略和应时的防御时间，从而对不同的攻击组织进行有效地防御。以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。当前第1页1 2 3