[发明专利]一种网络攻击的溯源分析方法

说明书

本发明公开一种网络攻击的溯源分析方法，包括：获取指定类型的威胁情报，缓存至本地威胁情报数据库；获取本次告警信息与所述本地威胁情报，判断告警的攻击来源；根据攻击源，和/或攻击目的的设备标识，分别进行告警关联，确定所述设备所处攻击阶段并根据攻击阶段判断设备失陷等级；获取所述设备的资产信息，根据告警关联结果，确定攻击的影响范围。实现了对网络攻击的有效溯源分析，得到多种溯源结果，并且每次溯源都会更新溯源数据，有利于网络运维人员处理问题加强安全策略提供依据。

技术领域

本发明属于网络安全与数据分析技术领域，尤其是涉及一种网络攻击的溯源分析方法。

背景技术

随着技术进步，互联网已深入各个方面，攻击事件逐年增多，网络安全问题逐渐成为社会焦点。网络攻击者采用的攻击技术及攻击手段也有了新的发展趋势，传统的通过在网络边界点设置防火墙等安全工具、将内外网隔离开的防护，对于常见的通过单个节点来攻击其他节点或针对系统漏洞进行攻击或防止木马程序等单一、易发现的攻击方式具有效果。

但是随着网络攻击手段层出不穷，不但种类繁多，而且向高度集成、自动化的方向快速发展，随着网络的日益复杂，安全威胁也趋于多元化，面对大量格式不一、形式各异的日志和警报，特别是对于高级持续性威胁攻击（Advanced Persistent Threat，APT），使用的工具或恶意程序一般都是针对性开发，难以检测，攻击中还会用到0day漏洞，而且具有持续性，会进行较长时间的观察、踩点、收集信息、社会工程等准备，然后才逐步渗透、信息回传、通信控制等等。传统的处理方法早已不堪重负，从而衍生出网络安全态势感知。

网络安全态势感知是一种主动的网络防御手段，从防火墙、安全审计、防病毒软件等软硬件中获取到大量的日志数据，在对数据处理的基础上，对整个网络的当前状况进行及时评估和反映，并对未来的变化趋势进行预测。它不仅能够反应当前网络安全态势，并且能够对网络中潜在的攻击做出预测，从而对潜在攻击做出主动防御。使管理者对网络的安全状况和演化趋势有一个全面的了解，对复杂多变的安全威胁做出快速响应，以减轻认知与响应压力。

网络攻击的溯源分析，是态势感知的重要组成，基于已知的安全威胁事件，追溯威胁路径、威胁过程、攻击手法和虚拟身份，快速找出攻击的源IP、物理位置等有用信息，为网络运维人员处理问题加强安全策略提供依据；溯源分析的高效性及其溯源结果的准确性，直接关系到后续的策略制定和整改措施。

发明内容

鉴于以上，本发明提供一种网络攻击的溯源分析方法，根据告警所处的攻击阶段和告警发生的时间以及告警中的源IP、目的IP结合资产业务库、威胁情报库等，确定攻击源头；在攻击链条上进行过程推演，还原出攻击过程的时间线，并评判攻击影响范围；其技术方案如下所示。

一种网络攻击的溯源分析方法，包括：

获取指定类型的威胁情报，缓存至本地威胁情报数据库；

获取本次告警信息与所述本地威胁情报，判断告警的攻击来源；

根据攻击源，和/或攻击目的的设备标识，分别进行告警关联，确定所述设备所处攻击阶段并根据攻击阶段判断设备失陷等级；

获取所述设备的资产信息，根据告警关联结果，确定攻击的影响范围。

第一方面，判断告警的攻击源，根据告警的源IP查询威胁情报，确定攻击源为内网或外网。

第二方面，还原攻击过程，包括依次进行告警关联、攻击阶段确定、失陷等级确定与告警时间序列修正。

首先是进行告警关联，具体为：

根据规定条件 ，获取与本次告警的源IP或目的IP一致的所有告警；

若源IP与本次告警的目的IP一致：当两个告警的源端口与目的端口均一致，将两个告警合并；当两个告警的源端口不一致、目的端口一致时，将两个告警判断为关联告警；