网络动态威胁跟踪量化方法及系统与流程

本发明属于网络安全技术领域，特别涉及一种网络动态威胁跟踪量化方法及系统。

背景技术：

网络信息系统固有的脆弱性使其不可避免的面临外在威胁的影响，针对外在动态、变化的威胁开展有效分析对于实施针对性的防御决策具有重要支撑作用。随着信息网络规模的不断扩大，仅仅割裂式的针对单一或部分主机、服务器等开展威胁信息采集与分析，已无法满足信息网络动态威胁分析的需求，因此必须融合信息网络整体威胁信息，才能有效实施信息网络动态威胁态势分析。现有的网络威胁信息主要体现在告警日志、ids、异常行为检测、网络预警等告警信息，因此如何融合处理网络告警信息是分析网络动态威胁的关键。目前基于告警信息融合的网络动态威胁分析方法主要包含以下几种：一是基于信息融合的网络威胁态势分析方法，借鉴d-s证据理论融合态势要素和节点态势计算网络安全态势；从告警数据中识别攻击模式的方法，通过定义告警间的相似度函数来构建攻击活动序列集，该方法可以量化攻击威胁程度，但无法展现攻击过程的全貌。二是基于威胁状态转移图和告警信息融合的威胁分析方法，通过挖掘威胁事件的时空关联关系，构建威胁转移图模型，然后对网络系统中的多节点进行关联分析，采用bfs树遍历前件节点和后件节点，该方法能识别已知攻击产生的前件告警，无法解决后件漏报和误报问题。三是基于因果知识网络的威胁分析方法，首先通过告警识别已经发生的攻击行为，然后预测攻击路径，使用隐马尔可夫模型训练网络参数，预测未来网络安全状况。以上方法利用图论知识处理多告警信息，由于告警事件存在时序和因果关联关系，产生状态爆炸影响了威胁分析的效率；同时未考虑网络节点服务存取访问关系对网络威胁传播带来的影响。

技术实现要素：

为此，本发明提供一种网络动态威胁跟踪量化方法及系统，综合考虑服务存取访问关系，实现实时威胁的动态分析，提升动态威胁分析效率，具有较强的实用性和可操作性。

按照本发明所提供的设计方案，一种网络动态威胁跟踪量化方法，包含如下内容：

a)结合目标网络系统配置、漏洞及网络节点间服务存取访问关系，构建系统动态威胁属性攻击图；

b)基于属性攻击图，对网络系统多告警信息进行融合，并通过推断强度量化系统威胁，绘制用于描述安全威胁变化态势的动态威胁跟踪图。

上述的，a)中，采用图论知识，创建属性攻击图，该属性攻击图表示为dtaag＝(c,r,e,p)，其中，c表示威胁转移条件属性集，r表示威胁转移条件属性间的关系集，e表示连接条件属性和关系的边集，p表示威胁转移概率。

优选的，威胁转移条件属性集包含前置条件中攻击者权限、攻击源ip、攻击目标ip、节点间连接端口、实施攻击漏洞及提升攻击者权限服务访问关系，和攻击者实施攻击后获得权限、获得权限节点ip、攻击利用端口、实施攻击漏洞计提升权限协议。

优选的，连接条件属性和关系的边集包含前置条件指向漏洞节点的边、漏洞节点指向后置条件的边、前置条件指向协议的边及协议指向后置条件的边。

上述的，b)中，告警信息融合中，首先，对原始告警信息进行格式化处理，推断强度表示由已告警节点推断未告警节点的威胁转移概率，其中，告警信息包含告警产生时间、告警源ip、告警目标ip及告警漏洞类型。

优选的，通过推断强度量化系统威胁中，包含如下内容：首先，分别对已告警节点的前件节点和后件节点进行推断强度量化；然后，基于多告警信息，并结合前件节点推断强度量化和后件节点推断强度量化过程，来量化分析网络整体威胁态势变化。

更进一步，前件节点推断强度量化中，根据ip地址确定攻击图中产生告警信息的节点，按照攻击图中关于告警节点的路径的节点权限排序，推断告警节点的前件节点的推断强度。

更进一步，后件节点推断强度量化中，根据ip地址确定攻击图中产生告警信息的节点，按照攻击图中关于告警节点的路径的节点权限排序，对告警节点的后件节点进行多步预测，确定其余未告警节点的推断强度。

更进一步，量化分析网络整体威胁态势变化中，针对系统产生的多告警信息，单个告警信息中分别对告警节点进行前件推断和后件推断来获取未告警节点的推断强度，将多告警信息的推断强度相结合，得到整体威胁态势。

更进一步，一种网络动态威胁跟踪量化系统，包含构建模块和量化分析模块，其中，

构建模块，用于结合目标网络系统配置、漏洞及网络节点间服务存取访问关系，构建系统动态威胁属性攻击图；

量化分析模块，用于基于属性攻击图，对网络系统多告警信息进行融合，并通过推断强度量化系统威胁，绘制用于描述安全威胁变化态势的动态威胁跟踪图。

本发明的有益效果：

本发明利用图论知识构建系统动态威胁属性攻击图；基于权限提升原则通过前件推断系统、后件预测系统和综合告警信息推断系统进行多告警信息的融合与威胁分析，生成网络动态威胁跟踪图进行威胁变化态势的可视化展示；可以实现网络安全的动态预警监察，提升对大规模潜在威胁行为的持续监控跟踪和深度溯源能力。

附图说明：

图1为实施例中跟踪量化方法流程示意；

图2为实施例中动态威胁跟踪机制示意；

图3为实施例中前件推断示意；

图4为实施例中后件预测示意；

图5为实施例中综合告警信息推断示意；

图6为实施例中实际网络环境；

图7为实施例中系统漏洞和协议关系示意；

图8为实施例中漏洞信息示意；

图9为实施例中动态威胁属性攻击示意；

图10为实施例中time1威胁状态图；

图11为实施例中time2威胁状态图。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。实施例中涉及到的技术术语如下：

利用图论知识处理多告警信息，由于告警事件存在时序和因果关联关系，产生状态爆炸影响威胁分析效率；同时未考虑网络节点服务存取访问关系对网络威胁传播带来的影响；如何综合考虑服务存取访问关系，实现实时威胁的动态分析，提升动态威胁分析效率，成为亟待解决的技术问题。为此，本发明实施例，参见图1所示，提供一种网络动态威胁跟踪量化方法，包含：

结合目标网络系统配置、漏洞及网络节点间服务存取访问关系，构建系统动态威胁属性攻击图；

基于属性攻击图，对网络系统多告警信息进行融合，并通过推断强度量化系统威胁，绘制用于描述安全威胁变化态势的动态威胁跟踪图。

基于属性攻击图的动态威胁跟踪分析，在攻击路径推断、威胁转移概率、前后件推断、消解环路、实时分析、综合多路径、权限提升和存取访问关系等方面具有明显优势。

在动态威胁分析中需要对网络系统产生的告警信息进行有效融合处理，本发明另一个实施例中利用融合处理机制，如图2所示，首先利用图论知识构建系统动态威胁属性攻击图模型，并结合目标网络系统配置信息、漏洞信息，以及网络节点间服务的存取访问关系生成攻击图；接着利用权限提升原则，设计前件推断系统算法(apa)、后件预测系统算法(cpa)和综合告警信息推断算法(caiia)对告警进行融合处理；最后通过定义推断强度量化系统威胁，绘制动态威胁跟踪图描述安全威胁的变化态势。

动态威胁属性攻击图模型dtaag(dynamicthreatattributeattackgraph)由四元组dtaag＝(c,r,e,p)表示，其中，c表示威胁转移条件属性集，r表示威胁转移条件属性间的关系集，e表示连接条件属性和关系的边集，p表示威胁转移概率。以下述4个要素为输入，利用自动工具mulval生成攻击图。

1)输入威胁转移条件属性集c，c＝cpro∪cpost，其中，cpro是前置条件，即攻击者利用系统漏洞或者协议的前提条件，其中包括身份认证、攻击可达性、服务漏洞等；当攻击者利用协议提升权限时，前提条件一般是协议认证有效性、身份认证等；cpost是后置条件，即攻击者利用前提条件攻击系统漏洞或者根据协议获得的权限。前置条件和后置条件用节点ip表示。

2)输入威胁转移条件属性间的关系集r，r＝{rvul,rpr}表示通过漏洞或协议关联主机或服务的节点集群，四元组rvul＝(ippro,ippost,vul,0)和rpr＝(ippro,ippost,0,pr)分别表示漏洞和协议节点。其中ippro表示发起漏洞或者协议利用的源主机ip；ippost表示目标主机ip；vul表示攻击者利用的漏洞；pr(protocol)表示服务存取访问关系的实现协议。

3)输入连接条件属性和关系的边集e，

e＝{cpro×r}∪{r×cpost}＝{cpro×rvul}∪{rvul×cpost}∪{cpro×rpr}∪{rpr×cpost}，其中cpro×rvul表示前置条件指向漏洞节点的边，rvul×cpost表示漏洞节点指向后置条件的边，cpro×rpr表示前置条件指向协议的边，rpr×cpost表示协议指向后置条件的边。

4)输入威胁转移概率p，p为威胁转移概率，即攻击者利用前提条件攻击系统中漏洞的成功概率，或者为攻击者利用系统中的协议提升权限的概率。

对原始告警信息按如下格式进行格式化处理：

al＝(time,ippro,ippost,class)

其中，al∈al表示告警事件，al为告警事件集合，time表示告警产生的时间，ippro表示产生告警的源ip，ippost表示产生告警的目标ip，class表示告警触发的漏洞类型。

推断强度di表示从已告警节点推断未告警节点的威胁转移概率，di∈[0,1]。动态威胁跟踪分析的目的是给出各个网络节点的实时推断强度，以展示威胁整体变化态势。

在多告警信息融合处理时，对原始告警信息进行格式化处理，其中，告警信息包含告警产生时间、告警源ip、告警目标ip及告警漏洞类型。进一步的，本发明另一个实施例中，分别对已告警节点的前件节点和后件节点进行推断强度量化；然后，基于多告警信息，并结合前件节点推断强度量化和后件节点推断强度量化过程，来量化分析网络整体威胁态势变化。本发明实施例中，并提供前件推断算法、后件预测算法和综合告警信息推断算法，其中前件推断算法和后件预测算法是分别对已告警节点的前件节点和后件节点进行推断强度的量化分析；综合告警信息推断算法基于多告警信息，结合前件推断和后件预测进行网络整体威胁态势变化的量化。

通常而言，网络渗透反映了攻击者权限提升过程，因此从防御视角更关注后续攻击行为，考虑对前件节点推断会对后件节点产生影响，本发明实施例对前件节点只推断一步。在前件推断过程中存在2种典型情况：1)攻击者由内网节点对告警主机攻击获得权限的情况；2)攻击者从外网对告警主机攻击获得权限的情况。下面利用一个简单的前件推断图说明上述两种情况，如图3所示：

当节点b产生告警信息alb＝(timeb,ipprob,ippostb,portb,classb)时，判断ipprob＝ipa是否成立，如果不成立，则推断节点b的前件节点a的推断强度为0，满足dia＝0；如果成立，则dia＝1。若dia＝1，则继续预测节点a的其余后件节点c。

前件推断算法实现步骤可设计为如下内容：

与上述前件推断算法系不同，在后件预测算法中，需要对告警节点的后件节点进行多步预测，以确定其余未告警节点的推断强度。下面利用一个简单的后件预测图解释说明，如图4：当节点a产生告警，根据节点a在属性攻击图中的位置，截取其中一条路径，利用节点间因果关系推测后件，即前步攻击的目标ip地址，一般为后一个攻击步骤的源ip地址。图5中，攻击者在获得节点a的权限后，通过攻击vul1可以获得节点b的权限；攻击者在获得节点b的权限后，可以利用节点b与节点c之间的协议关系获得节点c的权限。

其中dia＝1，攻击者攻击vul1的成功概率为p1，则节点b的预测强度为：dib＝p1；同理，节点c的预测强度为：dic＝p1×pr1，由属性攻击图dtaag模型可知：pr1＝1，则dic＝p1。设置阈值λ∈[0,1)，当dii≥λ且dii+1＜λ时，停止推断节点i+1的后件节点i+2。λ为设置的一个推断强度阈值，表示该节点在具有λ的推断强度时，对系统的威胁程度较低，不需要继续推断下一节点。λ的设定与系统的安全需求有关，当网络系统的安全偏好较高时，λ值较低；当网络系统安全偏好较低时，λ值较高。后件预测算法具体实现步骤可设计为如下内容：

上面给出了单个告警事件的前件推断算法和后件预测算法，在实际的网络环境中，有组织的协同攻击行为越来越多，为了更好的分析多攻击行为，本发明另一个实施例中，融合处理多告警信息，实现对威胁态势的综合分析。当系统产生多个告警信息时，每个告警遵循单个告警前件推断和后件预测。然后将多个告警信息的推断强度相结合，得到整体威胁态势。如图5。若检测到告警事件al1＝(time1,ippro1,ippost1,port1,class1)和al3＝(time3,ippro3,ippost3,port3,class3)，由单告警推断可知，di1＝di3＝1。可知di2＝p1，di4＝p3。根据算法3得到附图5中节点5的综合推断强度di5＝min(p1×p2+p3×p4,1)。下面给出综合告警推断算法，具体步骤可设计为如下内容：

基于上述的跟踪量化方法，本发明实施例还提供一种网络动态威胁跟踪量化系统，包含构建模块和量化分析模块，其中，

构建模块，用于结合目标网络系统配置、漏洞及网络节点间服务存取访问关系，构建系统动态威胁属性攻击图；

量化分析模块，用于基于属性攻击图，对网络系统多告警信息进行融合，并通过推断强度量化系统威胁，绘制用于描述安全威胁变化态势的动态威胁跟踪图。

为进一步验证本发明实施例中技术方案的有效性，通过构建网络实验环境如图6所示，具体包含3个主机和2个服务器，以及2个防火墙和2个ids；通过对系统主机服务器进行漏洞扫描并结合网络系统的业务访问关系，查询nvd漏洞数据库得到风险等级评分，结合通用漏洞评分标准cvss，由dtaag攻击图模型中系统节点的威胁转移概率，计算网络系统信息如图7和图8所示；对系统中权限关系进行排序，得到节点间权限关系：根据系统中主机和服务器开放端口和漏洞信息结合构建动态威胁属性攻击图，附图9所示，测试过程中攻击者以dmzzone的服务器节点为跳板攻击trustedzone的服务器节点；采集实时告警事件al＝{al1,al2}，格式化处理后得到al1＝(time1,213.92.100.63,192.168.1.3,apache)al2＝(time2,192.168.1.2,192.168.1.3,apache)，满足time1＜time2，设置参数λ＝0.5。在time1时刻实时分析告警al1，利用caiia算法分析al1得到威胁状态图，附图10所示，后续可能对节点192.168.1.6进行攻击，因此在time1时刻需要着重考虑对节点192.168.1.6设备采取防护措施。在time2时刻实时分析al2，利用caiia算法分析al2得到威胁状态图，附图11所示：除节点192.168.1.7推断强度小于1，其余节点推断强度都为1，需要立即采取安全加固。进一步验证了利用本发明可以实现网络安全的动态预警监察，提升对潜在协同威胁行为的持续监控跟踪和深度溯源能力能力，为网络取证提供依据。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的各实例的单元及方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不认为超出本发明的范围。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如：只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现，相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。