[发明专利]基于威胁情报和ATTCK的攻击溯源方法有效
| 申请号: | 202110020451.1 | 申请日: | 2021-01-07 |
| 公开(公告)号: | CN112738126B | 公开(公告)日: | 2021-09-14 |
| 发明(设计)人: | 任传伦;郭世泽;张先国;张威;冯景瑜;夏建民;俞赛赛;刘晓影;乌吉斯古愣 | 申请(专利权)人: | 中国电子科技集团公司第十五研究所;西安邮电大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京丰浩知识产权代理事务所(普通合伙) 11781 | 代理人: | 李学康 |
| 地址: | 100083 北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 威胁 情报 attck 攻击 溯源 方法 | ||
1.一种基于威胁情报和ATTCK的攻击溯源方法,其特征在于,利用标签模块,威胁情报库模块,数据预处理模块和ATTCK处理模块来实现;威胁情报库模块包括外部威胁采集子模块、内部威胁采集子模块、内部威胁聚合分析子模块和内部威胁情报库;ATTCK处理模块包括ATTCK框架解析子模块、数据处理子模块和反馈子模块;
本方法的具体步骤包括:
基于应用场景,先建立标签体系与处理规则的映射关系,预先设定各个攻击行为属性的权重系数,利用标签体系对应数据特征并标识日志文件中的数据;针对威胁性质,通过攻击行为暴露出的IP、MD5标识码、HASH标识码和域名特征,对日志文件中的数据进行标识;
搜集内部安全威胁,结合外部各平台共享的威胁情报源,建立并完善内部威胁情报库;
利用外部威胁采集子模块,建立开源威胁情报收集查询框架,自动从各种公开资源中收集威胁情报,利用网络爬虫技术和API接口,简化外部收集流程,实现对威胁情报的快速收集整理,将采集到的数据存入内部威胁情报库,采用关系型数据库进行存储;
利用内部威胁采集子模块,进行数据源收集;
利用内部威胁聚合分析子模块,发现整个环境中的特定趋势和态势场景下,与某种威胁相关的上下文、场景指标、攻击指标和攻击影响,并在应对威胁中收集和分析所建立的安全事件信息,最终将分析结果按威胁情报格式标准存入内部威胁情报库;
在内部威胁情报库建立完成后,利用数据预处理模块对需要溯源检测的日志文件进行预处理,对该日志文件进行初步过滤,对经过预处理后的日志文件,通过IP、MD5标识码、HASH标识码、域名和攻击特征多维度信息从日志文件中筛选出具有威胁隐患的日志信息,同时,利用标签模块,根据预设的标签体系与处理规则的映射关系,在数据预处理过程中对日志文件中的数据打上对应的威胁权重标签,通过正则匹配标签体系规则,对攻击行为暴露出的对应特征进行标记;
将经过数据预处理模块后的数据,送入ATTCK处理模块;利用ATTCK处理模块,从攻击者角度,结合高级渗透测试攻击矩阵通过对攻击者的战术、技术及步骤分析,识别出需要优先处理的技术点;
ATTCK处理模块中的ATTCK框架解析子模块通过ATTCK解析,并结合本地网络拓扑环境构建攻击者路径模型;
利用ATTCK处理模块中的数据处理子模块,基于解析子模块所生成的模型,将数据预处理模块所输出的数据作为新的数据源载入到数据处理子模块中,根据标签信息对日志数据进行有优先级的梯度化处理;利用数据处理子模块继续对攻击行为进行信息补充;
利用ATTCK处理模块中的反馈子模块进行如下操作:首先,对通过数据处理子模块完善的攻击路径信息进行收集和整理后,以规定的格式写入到威胁情报库模块的内部威胁情报库,其次,生成以攻击者角度的上下文联系紧密的攻击溯源可视化报告;
所述的利用内部威胁采集子模块,进行数据源收集,
其包括防火墙、IDS和IPS在内的传统安全设备中监测到的非法接入、未授权访问、身份认证和非常规操作,还包括利用沙盒运行模式、蜜罐技术、DPI技术、DFI技术和恶意代码检测技术进行数据源收集;
ATTCK框架解析子模块包含了攻击者所可能使用的全部方法和通过的途径信息,基于此模拟并建立攻击者攻击路径模型;
利用数据处理子模块继续对攻击行为进行信息补充,具体进行如下操作:首先,针对较为完整的已挖掘出的攻击行为,在传统威胁情报基础上重塑攻击者路径,并根据递进关系,丰富攻击行为的上下文关系;其次,针对仍不完整的情报信息和未挖掘出的攻击行为,将得到的情报信息依据解析子模块所生成的模型进行填空操作,寻找攻击信息所缺失的环节,并根据缺失环节,结合情报信息缺失环节的攻击特点、攻击特征和攻击区域信息,再一次进行日志信息搜集和过滤。
2.一种如权利要求1所述的基于威胁情报和ATTCK的攻击溯源方法,其特征在于,所述的标签模块与数据预处理模块相连接,数据预处理模块分别与ATTCK处理模块和威胁情报库模块相连接,ATTCK处理模块和威胁情报库模块相连接;外部威胁采集子模块与内部威胁情报库相连接,内部威胁采集子模块与内部威胁聚合分析子模块相连接,内部威胁聚合分析子模块与内部威胁情报库相连接;ATTCK框架解析子模块与数据处理子模块相连接,数据处理子模块与反馈子模块相连接。
3.一种如权利要求1所述的基于威胁情报和ATTCK的攻击溯源方法,其特征在于,所述的利用网络爬虫技术和API接口,简化外部收集流程,实现对威胁情报的快速收集整理,其中,网络爬虫技术针对Twitter、Tor、暗网论坛、安全门户网站360、freebuf、fireeye和MCAfee目标,利用Python中的BeautifuleSoup、Requests和Scrapy库进行网页解析和页面内容爬取;利用API接口对开源的威胁情报共享平台和厂商收集威胁情报,包括AlienVaultOTX、GreyNoise、Hunter和MalShare,该类平台均提供固定的API接口来调用收集信息。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国电子科技集团公司第十五研究所;西安邮电大学,未经中国电子科技集团公司第十五研究所;西安邮电大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110020451.1/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种重金属污染的土壤修复设备
- 下一篇:转子结构及电机
