本发明涉及一种面向攻击溯源的威胁情报分析系统,属于网络安全技术领域。
背景技术:
威胁情报(threatintelligence)是一种基于证据来描述威胁的知识信息,包括威胁相关的上下文信息(context)、威胁所使用的方法机制、威胁相关指标(indictors)攻击影响以及应对行动建议等。威胁情报用来描述安全威胁,给组织或第三方提供决策建议。威胁情报的目的是为还原已发生和预测未发生的攻击提供一切线索,尽可能多地了解攻击者的动机、战术方法、工具、资源以及行为过程等诸多方面,并建立有效的防御体系。威胁情报一般由威胁信息和防御信息两部分内容组成。其中威胁信息包括:攻击源,即攻击者身份ip、dns、url等;攻击方式,如武器库;攻击对象,如指纹信息;漏洞信息,如漏洞库。防御信息包括:策略库、访问控制列表等。
目前,关于威胁情报的专利主要分为两类:
(1)威胁情报采集,生成及处理方法。现有专利包括:威胁情报的生成方法及装置(公开号为cn105897751a)、一种网络安全威胁情报处理方法及系统(公开号为cn105743877a)、一种基于web的威胁情报采集系统及方法(公开号为cn105763530a)。
(2)威胁情报共享方法。现有的专利包括:一种网络威胁情报共享模型(公开号为cn106060018a)。
上述方法存在着一定的局限性:
(1)威胁情报采集,生成及处理方法中,现有的几种专利均从建立白样本特征情报库出发,若情报并未在白样本特征库中出现,则产生威胁情报。上述方法使用了较为简单的白名单方法,首先产生威胁情报的方式较为单一,威胁情报来源也不够广泛,漏报或误报率可能较高,方法泛化性较差。而且,仅仅描述了产生威胁情报的方法,并没有形成一种完备的威胁情报分析分析系统。(2)威胁情报共享方法则是基于解决当前在网络威胁情报自动化处理和跨部门信息共享之间存在的缺乏统一规范、情报共享效率低和情报由于共享带来的泄密风险的问题而提出的。
技术实现要素:
针对现有技术存在的不足,本发明目的是提供一种面向攻击溯源的威胁情报分析系统,本发明将威胁情报共享和威胁情报分析系统融合在一起,将威胁情报共享作为威胁情报来源的外部输入,使威胁情报分析系统的数据更加广泛,通过情报共享获得攻击者的相关信息,同时结合企业内部的基础安全监测系统和安全分析模块提供的威胁情报,能够准确快速的锁定攻击者。
为了实现上述目的,本发明是通过如下的技术方案来实现:
本发明的一种面向攻击溯源的威胁情报分析系统,包括内部威胁情报收集模块、外部威胁情报收集模块和攻击溯源分析模块;所述内部威胁情报收集模块包括安全检测模块和安全分析模块;所述外部威胁情报收集模块包括互联网公开情报源、合作交换情报源和商业共享情报源;所述攻击溯源分析模块包括攻击者溯源和攻击主机溯源;通过所述内部威胁情报收集模块和外部威胁情报收集模块收集得到的威胁情报上传到攻击溯源分析模块,所述攻击溯源分析模块对威胁情报进行攻击者溯源和攻击主机溯源,将得到的结果反馈给安全检测模块和安全分析模块;同时结果也会和外部合作企业进行威胁情报共享交换。
上述安全检测模块中的情报来源包括:防火墙、入侵检测系统、漏洞扫描系统、防病毒系统和终端安全管理系统;当数据流通过防火墙时,防火墙所记录下的日志信息;入侵检测系统对异常网络行为进行记录,并产生的日志信息;漏洞扫描系统基于漏洞数据库,通过扫描对企业内部计算机系统的安全脆弱性进行检测,从而找出的可利用漏洞信息;防病毒系统对网络内部的可疑文件进行隔离产生的信息;终端安全管理系统收集的安全管理事件操作信息。
上述安全分析模块中的情报来源是:安全信息与事件管理siem、安全运营中心和安全管理平台;安全信息与事件管理siem从企业安全控件、主机操作系统收集得到的安全日志数据;安全运营中心针对企业海量事件和漏洞信息进行收集过滤、管理和分析得到的情报;安全管理平台以安全风险管理为指导的面向信息资产的安全运行监测、风险度量和安全运维得到的信息。
上述互联网公开情报源中的情报来源是:安全态势信息、安全事件信息、各种网络安全预警信息、网络监控数据分析结果、ip地址信誉;所述合作交换情报源中的情报来源是:来自建立合作关系的机构,通过在互利互惠基础上实现的共享合作机制进行保障的合作交换情报;所述商业共享情报源中的情报来源是:完全通过商业付费行为得到的商业购买情报。
上述攻击者溯源具体采用的方法如下:
(1-1)攻击代码分析:基于流量分析、逆向分析攻击代码,收集攻击者使用的控制服务器c&c地址、攻击者的目的(信息收集、系统破坏)、攻击者使用的漏洞、攻击代码的传播方式、主机驻留的手段等攻击细节情报;
(1-2)攻击模式分析:基于统计学习的方法分析攻击时序模式、攻击频率模式、攻击特征模式、攻击手法模式,形成攻击模式情报;
(1-3)社会网络分析:利用社工库,结合域名与注册邮箱的关联关系,再关联常见社交网络用户信息进行关联,形成攻击者画像证据链,从而寻找到背后的攻击者的真正身份。
上述攻击主机溯源具体采用的方法如下:
(2-1)僵尸网络主机判定,一种通过外部威胁情报共享分析判定,另一种是通过内部威胁情报产生的情报判定;
(2-2)网络跳板主机判定,通过外部威胁情报共享与内部主动对攻击主机反向渗透扫描联合判定;
(2-3)攻击主机的ip地址是否是真实ip地址,是否通过ip代理,一种通过外部威胁情报共享分析判定,另一种是通过爬取网络空间共享出来的代理ip地址进行判定;
(2-4)攻击主机网络隐蔽信道判定,通过收集暗网地址进行判定。
本发明的优点在于:威胁情报来源方式更为广泛,结合外部公开情报和合作机构共享情报,不仅可以单独、快速完成威胁情报分析检测,也可以为针对企业的攻击提供预测。此外,该方法面向攻击溯源,从源头上分析攻击的方式目的,更好的辨别攻击者的身份。同时使用资源少,运行效率高,泛化性能好。
附图说明
图1为本发明实施例的基于面向攻击溯源的威胁情报分析系统的模块示意图。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
参见图1,本发明包括内部威胁情报源模块、外部威胁情报源模块和攻击溯源分析模块。
其中,内部威胁情报源模块,主要指机构自身的安全监测防护分析系统所形成的威胁情报,包括来自安全检测模块的数据和安全分析模块的数据。安全检测模块,比如防火墙、入侵检测系统、漏洞扫描系统、防病毒系统和终端安全管理系统等。企业内部安全分析模块,比如sime、安全运营中心和安全管理平台;
其中,外部威胁情报源模块,主要指来自外部机构的威胁情报源,包括互联网公开情报源,合作交换情报源和商业共享情报源;
其中,攻击溯源分析模块,包括攻击者溯源和攻击主机溯源。其中,攻击者溯源分析包括攻击代码分析、攻击模式分析、社会网络分析等;攻击主机溯源包括僵尸网络、匿名网络、网络跳板以及网络隐蔽信道等。
内部威胁情报源模块具体包括:
防火墙:数据流通过防火墙时,记录数据流活动。
入侵检测系统:实时监控网络,对异常的网络行为发出警报并记录,记录的信息是威胁情报的主要来源;
漏洞扫描系统:基于漏洞数据库,通过扫描对企业内部计算机系统的安全脆弱性进行检测,找出可利用漏洞;
防病毒系统:企业通过自身网络内部的反病毒产品检测病毒,将可疑数据信息隔离,也是威胁情报的主要来源;
终端安全管理系统:对企业内部所有网络设备进行安全管理和风险管控,将各个安全部件反馈的信息加以分辨,上传至威胁情报分析系统;
安全信息与事件管理siem:安全信息和时间管理,负责从企业安全控件、主机操作系统、企业应用和企业使用的其他软件收集安全日志数据,并进行分析和报告,同时将安全日志数据作为威胁情报分析系统的数据来源;
安全运营中心:专门的安全事件管理工具,针对企业海量事件和漏洞信息进行收集过滤、管理和分析,同样也是威胁情报分析系统分的数据来源;
安全管理平台:类似于安全运营中心,但更多地是以企业资产为核心,以安全事件处理为关键流程,以安全风险管理为指导的一个面向信息资产的安全运行监测、风险度量和安全运维的技术平台,也作为威胁情报产生的来源。
外部威胁情报源模块,涉及的情报来源初步包括:
互联网公开情报源:即基于网络互联网的公开可获取的相关威胁情报,主要来自互联网已公开的情报源,及各种订阅的安全信息,漏洞信息、等数据。公开的信息包含了安全态势信息、安全事件信息、各种网络安全预警信息、网络监控数据分析结果、ip地址信誉等,可通过网络爬虫进行采集;
合作交换情报源:来自建立合作关系的机构,这往往通过在互利互惠基础上实现的共享合作机制进行保障,所获得的情报有较为直观的攻击者的信息,比如攻击者的惯用攻击方法手段和一些特征习惯;
商业共享情报源:指完全通过商业付费行为得到的情报源,这往往来自专门的威胁情报供应商。
攻击溯源分析模块,主要包括:
攻击者溯源:寻找实施攻击的幕后黑客及其组织,主要通过结合威胁情报和攻击事件信息进行基于大数据的挖掘分析,可以实现对攻击者的刻画,对攻击行为的关联分析,从未为揭示攻击过程和确定攻击者身份提供有效的信息。
攻击主机溯源:寻找和定位发起攻击事件的主控机器,主要是利用威胁情报进行关联分析,以实现对采用隐匿技术机制的攻击行为进行溯源分析。
攻击者溯源主要包括如下方法:
(1-1)攻击代码分析:通过分析攻击代码,判断攻击种类。
(1-2)攻击模式分析:判断攻击是如何被执行的,判断攻击模式的类型,是服务拒绝攻击,利用型攻击,信息收集型攻击还是假消息攻击。
(1-3)社会网络分析:指研究一组行动者的关系的研究方法,焦点是关系和关系的模式,采用的方式和方法从概念上有别于传统的统计分析和数据处理方法。在威胁情报分析系统中,根据威胁情报,分析一组威胁情报之间的关系,对同类威胁情报或者攻击寻找背后的攻击者的真正身份。
攻击主机溯源主要包括如下方法:
(2-1)僵尸网络:指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。系统需要判断攻击主机是否来源于僵尸网络。
(2-2)网络跳板:系统需要判断攻击主机是否是跳板主机,是否是攻击者利用该主机作为网络跳板发起的攻击。
(2-3)匿名网络:所谓匿名网络,不仅仅是网络中网络用户的匿名性,也可能是攻击者通过代理ip等手段,隐藏自己的ip,使系统很难找到真正的攻击主机。
(2-4)网络隐蔽信道:隐蔽信道是信息隐藏技术的扩展,它不像加密方法一样将密文暴露给攻击者,而是通过隐藏通信通道的方法来隐蔽地将信息从一段传递到另一端。因此,系统判断信息是否通过网络隐蔽信道进行传输。
本发明不仅仅依赖互联网公开数据,同时结合企业自身的安全日志信息以及合作企业的情报共享得到威胁情报,不仅可以独立、快速完成攻击溯源分析,也可以为企业提供安全防护。此外,该方法面向攻击溯源,从源头上分析攻击者的攻击手段、攻击目标,攻击意图,攻击者身份,即得到所谓的“黑客肖像”,从而更好的确定攻击者身份。同时系统运行使用资源少,运行效率高,泛化性能好。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。