[发明专利]一种网络威胁溯源迭代分析方法、计算机设备及存储介质

说明书

本发明公开了一种网络威胁溯源迭代分析方法、计算机设备及存储介质，其中分析方法包括生成资产受损特征链、构建资产受损特征矩阵、生成相似资产运行特征矩阵、生成相似资产运行特征变化矩阵、生成相似资产操作行为矩阵、生成相似资产网络行为矩阵、复盘分析网络攻击链这七个步骤。本发明以资产作为关联分析的主线，基于多维安全大数据融合分析的思想，采用安全数字矩阵的关联追踪分析方法，以具备相似受损特征的资产集为追踪分析的起点，构建相似资产运行特征矩阵、相似资产操作行为矩阵到相似资产网络行为矩阵的逐级反向追踪分析机制，逐段推导网络威胁各个步骤的关联关系和行为特征，以此为基础实现整个网络攻击链的智能化分析和复盘。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络威胁溯源迭代分析方法、计算机设备及存储介质。

背景技术

近年来，随着网络威胁向广域化、复杂化和组织化演进发展，网络威胁已不再局限于单区域的单一恶意动作，而是一系列恶意行为或步骤的复杂组合，国内外研究机构针对性提出了攻击链模型，也称为杀伤链模型(Cyber-Kill-Chain)，是一种基于网络威胁全生命周期的模型，采用时间顺序描述入侵者对攻击目标系统实施攻击所采取的路径及手段的集合，将网络攻击划分为“外部侦察—武器化—交付—外部利用—安装—命令和控制—行动”7个阶段，为了更好的适用于各类网络威胁，因此一些国内外的学者提出了网络威胁的攻击的衍化模型，包括LogRhythm的5阶段模型、Lan-caster的3阶段模型、SDAPT的8阶段模型等。

但从防御方的视角，难以预先、准确的知晓网络威胁全生命周期的各个步骤及具体攻击行为，需要采用逆向溯源的分析方法，从网络、资产及信息系统的各类表象中，寻找各类恶意行为或步骤之间的蛛丝马迹，复盘还原网络威胁全过程的实施步骤及相关攻击行为，这一直是网络安全领域的难点问题，本发明利用大数据分析技术，对多个维度数据进行融合关联，基于“同一威胁在不同层面的相似性破坏和相似性动作”的思想，并采用持续迭代验证和修正的机制，力求准确、全面的复盘网络威胁。

发明内容

针对缺乏有效应对复杂性、规模性、组合性网络威胁的检测方法问题，本发明以资产作为关联分析的主线，基于多维安全大数据融合分析的思想，采用安全数字矩阵的关联追踪分析方法，以具备相似受损特征的资产集为追踪分析的起点，构建相似资产运行特征矩阵、相似资产操作行为矩阵到相似资产网络行为矩阵的逐级反向追踪分析机制，逐段推导网络威胁各个步骤的关联关系和行为特征，以此为基础实现整个网络攻击链的智能化分析和复盘。

本发明采用的技术方案如下：

一种网络威胁溯源迭代分析方法，包括如下步骤：

步骤1、生成资产受损特征链：当某一资产遭受网络攻击时，对已发现该资产的多种网络攻击表象特征进行融合分析，定期形成资产受损特征链；

步骤2、构建资产受损特征矩阵：定期将多个资产的所述资产受损特征链进行关联分析，一旦发现不同资产存在多个相似的受损特征，则认为可能由相似的网络威胁引起，并组合形成资产受损特征矩阵；

步骤3、生成相似资产运行特征矩阵：对所述资产受损特征矩阵中相关的资产一段时间内的运行状态信息进行融合分析，找出存在相似度的资产集合，并将其组合形成相似资产运行特征矩阵；

步骤4、生成相似资产运行特征变化矩阵：将所述相似资产运行特征矩阵中各个资产在最近一段时间的所述运行状态信息的变化进行融合分析，衍化形成相似资产运行特征变化矩阵；

步骤5、生成相似资产操作行为矩阵：基于所述相似资产运行特征变化矩阵，对引起资产运行特征变化的内部操作行为信息进行关联分析，衍化形成相似资产操作行为矩阵；

步骤6、生成相似资产网络行为矩阵：基于所述相似资产运行特征变化矩阵和所述相似资产操作行为矩阵，结合各个资产的网络行为相似度分析，形成相似资产网络行为矩阵；