[发明专利]一种基于行为画像的网络攻击溯源方法

说明书

本发明提供了一种基于行为画像的网络攻击溯源方法，包括：1)实时提取网络流量和日志文件；2)提取网络流量和日志文件中的元数据；3)统计分析同一网络行为主体元数据中的关键字段，针对不同关键字段对应的安全事件，为网络行为打上安全标签；4)根据网络攻击模型，将描述同一网络攻击纬度的安全标签进行聚类，形成结构化标签，即网络攻击行为单一纬度画像；5)将多个纬度的画像结果进行聚合和关联，形成网络攻击行为画像；6)重复步骤1)至步骤5)，不断提取实时流量和日志信息，丰富网络行为画像。本发明提高了对网络安全态势的感知能力，增强了对攻击方的分析和抵御能力，用于网络安全。

技术领域

本发明属于计算机技术领域，尤其涉及一种基于行为画像的网络攻击溯源方法。

背景技术

随着网络空间对抗日益严峻，为了在网络空间对抗中取得优势，各国通过提升网络攻击行为的分析和溯源能力大力增强网络空间综合防御能力以及攻防对对抗能力。传统的方法是通过正则式、特征匹配的方式实现对网络攻击行为的识别和分析，对网络攻击行为进行单一维度的防御，然而，一方面随着APT(Advanced Persistent Threat)的兴起，网络攻击呈现出在时间和空间上跨度大的特点，单一维度的分析无法完整描述网络攻击；另一方面，人工智能领域的兴起为网络安全的攻守双方均赋予了更丰富的工具和方法，数据量呈现指数级增长，在海量数据中进行筛选变得越来越困难。

“安全+AI”在经过众多科研工作者和企业单位的推进后，已经证明“拿来主义”是可以使用的，即将机器学习、人工智能的方法直接使用在网络安全的环境中，就能够达到一定的效果。使用图像识别算法的日益精进使得极其识别验证码变得越来越容易，使用机器学习的方法对海量日志进行分析能够是被85％以上的攻击，各种应用场景不胜枚举。

各国在网络空间安全对抗随着大数据时代的到来，面临更多的新问题和新挑战。敌对方或攻击者将攻击数据和攻击特征在大数据的掩护和遮蔽下，持续、精准地发起网络攻击。从系统漏洞被发现到利用其进行有针对性攻击，大范围的攻击很快就会达到一个高峰，留给攻击分析与安全防御的反应时间极短。传统的攻击分析与溯源技术，依赖于对规则的解析和系统日志、网络流量的分析，未能借助大数据的特征与优势，对隐匿于大数据的复杂、持续性攻击的往往是力不从心，且经常错失良机，给国家基础设施和军队信息系统带来极大的安全威胁。

网络空间对抗中，敌对势力所采用的攻击方法更加先进、攻击手段更加隐蔽，攻击者的位置、攻击发起点、攻击者所采取的方法很难准确的预知。此种情况下，安全防御的成本高昂。基于大数据，可以摆脱被动等待的局面，可以对隐藏的敌人进行全面分析、准确预测，直至有效的溯源和反控。基于特征和白名单方式的传统安全防御思路存在很大的局限。由于攻击者经常使用0day漏洞，漏洞可能在出现之后短短几个小时被利用完后就会消亡，其攻击特征很难被捕捉，防御也无从谈起。而白名单的防御策略，很容易被攻击者通过种种方法绕过和伪装，同样存在很大风险。因此，应对这些没有特征的伪装性很强的攻击，只有放在大数据中进行分析，进行纵向横向的各种关联，才能确定它的真实行为，从而采取针对性的应对措施。

隐匿攻击与准确溯源是网络空间对抗的重点，由于美国等西方强国在技术方面具有绝对的领先优势，使得我国的互联网在国防建设方面一直处于“半透明”状态，无法及时发现被攻击的情况，无法察觉被攻击、窃取的情报，察觉之后无法有效取证和溯源，使得我国长期处于被动挨打的局面。网络空间的情报匮乏、技术落后是致命的，将直接导致我国的国防建设及社会基础设施完全暴露在敌对阵营的视野之中，对国家安全造成严重威胁。积极发展防御与攻击协同的主动防御相关技术，研究能够实时动态配置的伪装网络技术以及网络攻击数据采集分析技术，实现对网络攻击在攻击行为、攻击意图、攻击模式和攻击来源等多个维度的深入分析。