一种基于策略的攻击溯源方法与流程

1.本发明涉及计算机网络安全领域，具体涉及一种基于策略的攻击溯源方法。


背景技术：

2.正常情况下，现有检测手段可以通过对网络流量的监测，检测到服务器、工作站或者电网安防设备之间的访问关系和攻击事件。辅助一定的策略配置，忽略电网内部生产调度维护所需的访问关系，其它的访问关系认为是异常访问。以报文形式上报给管理系统，管理系统结合可视化工具对访问关系和攻击事件进行分析处理。
3.随着电力系统中的业务关系拓展，网络基础设施规模日益扩大，拓扑结构越来越复杂，导致异常访问攻击事件数量庞大。同时，由于误报或阈值低的原因，进一步增加了日志量，给管理系统分析问题带来了困难，很难找到需要重点关注的攻击事件，这给电网安全运行带来了极大的隐患。
4.通常情况下，外来入侵会通过比较隐秘的手段隐藏自身，而且攻击手段是有计划有步骤地进行。现有手段只是检查到了大量的访问关系和攻击事件，没有对不同攻击事件之间的关联关系进行分析，访问时序也没有得到应有的关注。导致攻击事件之间比较孤立，很难通过人为分析确认攻击源头，更不能对攻击行为进行有效防御。


技术实现要素：

5.本发明针对现有技术中存在的以上不足，提供了一种在电力系统网络安全管理上应用的攻击溯源方法，通过该方法，可以用来确认网络攻击者身份、位置以及其中间介质、攻击路径、攻击时序。通过溯源结果，使用者可以采用必要的策略或手段，抑制攻击源，防止网络攻击带来的安全隐患。同时，根据对攻击过程的分析，可以为司法取证提供必要依据。
6.本发明采用以下技术方案。
7.一种基于策略的攻击溯源方法，包括以下步骤：获取网络攻击数据，从网络攻击数据中采集网络攻击的源ip、目标ip以及攻击事件信息，对被攻击主机归类攻击方法以及划分主机被攻击的程度，获得规则知识库；所述规则知识库包括攻击矩阵，所述攻击矩阵的横向表示攻击阶段，纵向表示各攻击阶段对应的攻击类型；提取攻击信息中的源ip、目的ip和攻击事件，根据主机之间的源、目的ip确认访问关系，将攻击事件与所述攻击矩阵进行匹配，确定攻击事件与攻击步骤之间的映射关系；根据各个攻击步骤中攻击类型及所属的攻击阶段确定攻击权重；根据各攻击步骤的权重大小以及攻击次数确定攻击风险指标，根据风险指标确定具有风险的主机。
8.进一步地，所述攻击阶段包括：信息收集、弱点发现、载荷投递、突防利用、通信控制以及达成目标。
9.再进一步地，所述信息收集的攻击阶段对应的攻击类型包括端口扫描、指纹识别、存活主机探测、外部移动介质接入以及主机扫描。
10.再进一步地，所述弱点发现的攻击阶段对应的攻击类型包括口令爆破、web服务漏洞挖掘、中间件服务漏洞挖掘、数据库服务漏洞挖掘以及通用服务漏洞挖掘。
11.再进一步地，所述载荷投递的攻击阶段对应的攻击类型上传可执行文件、上传未编译的源码、上传木马文件、通过外接设备感染恶意代码以及发送钓鱼邮件、短信、论坛回帖。
12.再进一步地，所述突防利用的攻击阶段对应的攻击类型包括执行恶意代码、移动恶意文件、编译恶意源码、增添文件权限以及后门漏洞利用。
13.再进一步地，所述通信控制的攻击阶段对应的攻击类型包括开启定时任务、新增或篡改账号、启动代理、启动守护进程以及应用篡改。
14.再进一步地，所述达成目标的攻击阶段对应的攻击类型包括凭证访问、资产发现、横向移动、信息收集以及命令与控制。
15.再进一步地，基于att&ck框架获得规则知识库。
16.再进一步地，所述攻击风险指标表示如下：其中r为攻击风险指标；i为攻击阶段，j为攻击类型，n为攻击次数w为攻击权重。
17.本发明所取得的有益技术效果：通过本发明通过对异常访问攻击事件进行归类分析，对攻击事件按照严重程度、时序关系进行分类，获得规则知识库，基于提取攻击信息中的源ip、目的ip和攻击事件，并与规则知识库匹配，能够对攻击进行溯源，同时根据攻击风险指标信息可以监测某类攻击事件或某一资产被攻击的频率，进而了解被攻击的严重程度。
附图说明
18.图1为本发明的流程示意图；图2为本发明具体实施例中的攻击矩阵实例；图3为本发明具体实施例中资产风险矩阵图4为本发明具体实施例中的攻击风险指标；图5为本发明具体实施例中192.168.0.5攻击事件溯源示例；图6为本发明具体实施例中192.168.0.5攻击事件溯源过程；图7为本发明具体实施例192.168.0.4攻击步骤越线示例；图8为本发明具体实施例192.168.0.5攻击事件溯源过程。
具体实施方式
19.以下结合说明书附图和具体实施例对本发明做进一步说明。
20.实施例：一种基于策略的攻击溯源方法，包括:获取网络攻击数据，从网络攻击数据中采集网络攻击的源ip、目标ip以及攻击事件信息，对被攻击主机归类攻击方法以及划
分主机被攻击的程度，构建规则知识库；所述规则知识库包括攻击矩阵，所述攻击矩阵的横向表示攻击阶段，纵向表示各攻击阶段对应的攻击类型；提取攻击信息中的源ip、目的ip和攻击事件，根据主机之间的源、目的ip确认访问关系，将攻击事件与所述攻击矩阵进行匹配，确定攻击事件与攻击步骤之间的映射关系；根据各个攻击步骤中攻击类型及所属的攻击阶段确定攻击权重；根据各攻击步骤的权重大小以及攻击次数确定攻击风险指标，根据风险指标确定具有风险的主机。
21.本实施例中构建的规则知识库如表1所示。
22.表1攻击矩阵形成上述各步骤原因说明如下：1.信息收集阶段信息收集阶段指的是在渗透测试工作发起之前，对目标主机或系统的运行信息、系统信息、开启服务信息等进行探测并记录的过程。可以收集到的信息包括攻击目标设备的开放端口信息、开放服务信息以及各服务对应的版本信息、操作系统版本信息等，通常使用的攻击包括端口扫描工具、浏览器、指纹识别工具等。
23.2.弱点发现阶段弱点发现阶段指的是了解目标主机或系统的各种信息之后，对容易存在漏洞或防御相对薄弱的服务进行进一步的验证，确认目标的攻击面，该阶段主要是侧重于发现目标主机或者系统的弱点，为攻击做准备。该阶段主要行为包括对各类可登陆的服务的爆破、对易存在漏洞的服务或web页面进行探测或访问等，通常用的工具包括各类口令爆破工具、浏览器、抓包工具等。
24.3.载荷投递阶段载荷投递阶段指的是在确定目标主机或系统存在某个漏洞或弱点之后，准备好相应的攻击载荷并通过发包工具或自研脚本将攻击流量发送给目标从而达到特定目的的过程。该阶段主要行为因所用漏洞的不同而稍有差异，通常可分为手工编辑发送和自动化脚本或工具发送两种，可用的工具较为广泛，手段也无统一标准。
25.4.突防利用阶段突防利用阶段指的是在投递攻击载荷阶段发现目标存在一定的安全防护能力之后，攻击者根据目标防护机制采取各类绕过手段达到攻击目的的过程。该阶段主要包括防火墙、ids等安防设备的绕过、服务端各类输入限制以及客户端各类输入限制绕过、fuzz测试等，无统一工具且手段多样。
26.5.通信控制阶段通信控制阶段指的是在成功获取目标主机或系统一定权限后，维持对目标的长久控制或提升现有权限的过程。该阶段主要包括开启端口映射、开启远程控制服务、开启后台自动启动的恶意进程，ddos攻击等，无统一工具且手段多样。
27.6.达成目标阶段
达成目标阶段指的是在攻击结束或持续过程中时，攻击者成功达成自己的目的的阶段。该阶段主要包括敏感信息窃取、数据丢失、僵尸网络形成、恶意加密文件、病毒传播等各种造成严重后果的事件发生时。
28.如表1中攻击矩阵所示，横向按照攻击程度从信息收集、弱点发现、载荷投递、突防利用、通信控制、达成目标等危害程度逐渐增加。纵向表示同一种危害程度的不同攻击方式也就是攻击类型，例如：弱点发现可以通过口令爆破、通用服务漏洞挖掘等方式实现。
29.本实施例中构建的攻击矩阵实例如图2所示。如下图所示，以圆标识攻击矩阵中的位置，每个圆中的第一个数字标识纵坐标，第二个数字标识横坐标，横坐标值越大表示攻击步骤严重程度越高，例如：16比11对应步骤严重程度高。纵坐标表示相同严重等级的不同攻击步骤，但是同一纵列的攻击步骤严重程度也有一定差异。这样，矩阵中每个坐标对应被攻击的严重程度都可能有差异。每种等级包含的步骤数不尽相同，需要根据实际情况进行动态总结提取。
30.对于单个资产，其各个步骤风险矩阵如图3所示，步骤右上角数字标识对于指定资产，该风险步骤达成次数。
31.对于不同攻击步骤的严重程度，可以根据长期的学习结果对不同矩阵位置设置攻击权重。对于每个被监控资产，以风险指标方式进行统计。攻击风险指标的数学模型如下：r：攻击风险指标；i：攻击阶段；j：攻击类型；n：攻击次数；为攻击阶段i且攻击类型为j的攻击权重。
32.据风险指标，可以确认具有风险的资产，如图4所示，统计不同资产的风险指标。
33.在风险矩阵中，对于某一攻击事件是否达成，可以进行溯源分析，其分析过程如下：1. 提取攻击信息中的源、目的ip和攻击事件；2. 攻击事件与攻击步骤需要有映射关系；3. 根据主机之间的源、目的ip确认访问关系。
34.另外，根据不同阶段的攻击步骤的攻击权重不同，可以根据需要设置阈值，越过阈值的攻击事件才予以关注。
35.如图5所示，对于ip为192.168.0.5资产而言，攻击事件达成可能有2个路径如图6所示，达成8次。
36.如图7所示，对于ip为192.168.0.5资产而言，攻击步骤达成可能有1个路径：如图8所示，对于ip为192.168.0.5服务器而言，攻击步骤5达成溯源过程如下：按照此方案，可以根据权重信息统计攻击事件的风险指标，针对特定的攻击事件可以进行攻击溯源。另外，可以根据实际需要设置攻击红线，灵活调整攻击事件的关注点。矩阵中的每一个事件可以根据大数据分析进行统计分类，攻击规则的定义可以参考告警级别或者已有的规范进行定义。
37.在以上的实施例中，可选地，所提供的基于策略的攻击溯源方法还包括：添加访问
的策略，对于信任的主机、或者主机的操作权限进行设定，已经设定的主机和操作不进行风险指标的计算。例如：某一主机是被信任的，那么这台主机进行外部移动介质接入、增添文件权限等操作时，认为是合理的，不会在攻击分析中进行风险指标统计。
38.以上所述仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。