[发明专利]基于威胁情报和ATTCK的攻击溯源方法

说明书

本发明公开了一种基于威胁情报和ATTCK的攻击溯源方法，利用标签模块，威胁情报库模块，数据预处理模块，ATTCK处理模块来实现；基于应用场景，先建立标签体系与处理规则的映射关系，预先设定各个攻击行为属性的权重系数，利用标签体系对应数据特征并标识日志文件中的数据；建立开源威胁情报收集查询框架，自动从各种公开资源中收集威胁情报；从攻击者角度，结合高级渗透测试攻击矩阵通过对攻击者的战术、技术及步骤分析，识别出需要优先处理的技术点，最后生成攻击溯源可视化报告。本发明对于传统的日志数据清洗和单一的威胁情报溯源方法进行改进，依据标签配置模块预设规则，提高了信息检索效率，同时便于信息分类和建模。

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种基于威胁情报和 ATTCK的攻击溯源方法。

背景技术

威胁是能对特定的目标系统，资产造成破坏的潜在因素。随着黑客攻击手段日趋多样化，方法复杂化，应用多元化，威胁存在大量的不确定因素。而高级可持续性威胁(APT，Advanced Persistent Threat)因其利用手段技术高，攻击持续周期长，攻击危害高特点，已经成为一种严重威胁政府，企业数据安全的网络攻击手段。

现实场景中，在APT攻击造成严重经济损失之前，现有的防御架构无法及时准确地发现威胁的存在。更重要的是，在攻击后的复盘阶段，由于攻击手段过于复杂、攻击者填充过多脏数据干扰等原因，难以详细定位漏洞并知晓详细攻击流程。另外，动辄成百上千G的复盘日志数据，导致溯源过程难上加难。总体而言，现有技术中存在如下问题：

一是实际情况下，现实网络中每日基于IPS的虚假报警信息繁多，对于庞大的日志文件，传统方法在溯源过程中仍然采用Ip-Time-Process等进行低效的日志处理和攻击行为筛选，耗费了大量时间和人力。

二是威胁情报信息并不总是完整的，往往只包含单一或极少的攻击者信息，攻击行为在其生命周期中的意图及攻击流程无法在威胁情报信息中紧密联系起来，其攻击者信息是杂乱无序的，给其溯源过程带来了较大的难度。

三是攻击者在执行攻击行为之前会进行大量的探测行为，甚至在攻击执行中填充脏数据混淆真实攻击目的，这也加大了溯源难度。

依据以上问题，本发明首先引入标签技术，建立标签体系与威胁等级的映射关系，利用威胁情报对日志进行预处理，清洗筛选出具有威胁隐患的数据信息，针对不同特征不同应用场景下不同日志文件，赋予特定的标签，方便分类、分析管理。

威胁情报在现实中经常无法将攻击流程紧密连接，因此本发明通过高级渗透测试攻击矩阵(ATTCK)框架，通过了解对手可能使用的技术，战术和程序，按照已有的部分关键信息，结合ATTCK攻击者框架辅助攻击溯源定位。进行针对性的日志过滤及扫描，同时添加上下文关联信息，丰富攻击语义，完善攻击者路径。

针对以上情况，本发明提出一种基于威胁情报和ATTCK的攻击溯源方法。

发明内容

针对现有网络安全攻击溯源技术中存在的日志数据分类难、处理过程效率低，安全事故难定位，攻击者路径难复原，攻击事件的威胁情报不完整等问题，提出一种基于威胁情报和ATTCK的攻击溯源方法，利用标签模块，威胁情报库模块，数据预处理模块，ATTCK处理模块来实现。其中，威胁情报库模块包括外部威胁采集子模块，内部威胁采集子模块，内部威胁聚合分析子模块，内部威胁情报库。ATTCK处理模块包括ATTCK框架解析子模块，数据处理子模块，反馈子模块。标签模块与数据预处理模块相连接，数据预处理模块分别与ATTCK处理模块和威胁情报库模块相连接，ATTCK处理模块和威胁情报库模块相连接。外部威胁采集子模块与内部威胁情报库相连接，内部威胁采集子模块与内部威胁聚合分析子模块相连接，内部威胁聚合分析子模块与内部威胁情报库相连接。ATTCK框架解析子模块与数据处理子模块相连接，数据处理子模块与反馈子模块相连接。

本方法的具体步骤包括：