本发明专利技术公开了高级持续性威胁的多维关联分析方法及系统,方法包括:对原始告警信息进行关联分析和再组织,将具有关联关系的告警信息组成告警信息链;通过语义分析提取出告警信息链中隐含的攻击主题;根据攻击主题的概率计算出安全评估值。本发明专利技术能够实现攻击相关性评估,并发现网络威胁各攻击阶段对安全态势的潜在影响,从而实现整网安全态势评估。
【技术实现步骤摘要】
高级持续性威胁的多维关联分析方法及系统
本申请涉及网络安全监测
,尤其涉及高级持续性威胁的多维关联分析方法及系统。
技术介绍
网络信息技术的发展对现今社会生产力带来了巨大的变化,越来越多的国家公司、机构和政府加快发展自身的网络应用和服务,现有计算机网络和软件系统日趋复杂,随之而来的是漏洞频发和攻击事件频出,这些事件的攻击手段日渐多样化和持久化,攻击面从传统计算机网络延伸到工控系统和社交网络。高级持续性威胁(AdvancedPersistentThreat,APT)是二十世纪以来出现的一类新型网络攻击,攻击者掌握计算机系统及计算机网络的高深专业知识和有效充足的资源,通过多种攻击途径(如网络、系统驱动、物理设施和欺骗等),在特定组织的信息技术基础设施建立立足点,以窃取机密信息,破坏或阻碍任务、程序或组织的关键系统,或者驻留在组织的内部网络进行后续攻击。APT攻击主要针对政府、能源、金融等重要行业与部门实施,其先进的攻击模式、高级的攻击技术、持续的攻击周期与明确的攻击目标,使得攻击能够实现精准打击,造成难以估量的破坏和损失。因此,针对APT攻击进行安全态势和威胁影响的合理评估,为网络管理员或安全主管部门提供辅助决策信息迫在眉睫。目前,评估攻击事件对信息系统造成的威胁态势大体上分为三个研究方向:基于规则的评估方法、基于指标体系的评估方法和基于模型的评估方法。基于规则的评估方法是用主动扫描和被动监测的方式从网络流量和本地、远程机提取检测规则相匹配的脆弱性集合,然后以集合的脆弱性数量及严重程度作为整体安全风险的度量前提。例如,通过主机上安装代理软件,检查文件、进程和注册表等来确定是否存在与扫描规则相抵触的对象;通过发起网络链接主动扫描网络中暴露的漏洞或通过捕获的数据包判断是否存在与漏洞规则匹配的数据包,从而定位漏洞所在的主机。然而,随着计算机网络日趋复杂,安全漏洞日益庞大,扫描准则难以实时跟进;攻击趋于利用多个漏洞组合实施,单一的扫描规则难以发现组合之间的依赖关系,因而难以评估组合利用漏洞的危害。基于指标体系的评估方法,该类方法按照属性的异同分为不同的指标组,构建层次化的评估体系,逐层向上计算整体安全风险。该方法将复杂安全问题进行分解评估,能够反映被评估对像的定量、定性因素,将评估过程和评估因素分层分阶段进行,最终能结合定性定量的中间结果给出最终的评定。但是,该方法中也常忽略主机关联性和漏洞关联性,无法对当前态势的潜在影响进行定量评估,同时该方法大多利用攻击知识库和攻击结果数据,忽略攻击过程中状态变化,导致其评估结果有一定片面性。基于模型的评估方法通过模型定义关联方法,用逻辑推断来衡量漏洞组合利用造成的危害。相对于前面两种评估方法,基于模型的评估方法能将指标体系、关联关系、逻辑关系结合起来评估网络安全态势,因此基于模型的评估方法已经成为网络安全风险评估方法研究领域中的主流方向。综上所述,针对APT攻击的安全评估,采用以上三种方法,每种方法有其优势,也有着其缺点。基于规则的评估方法依据现在规则能准确发现存在的脆弱性,但是难以应对未知攻击,难以发现脆弱性之间的依懒关系;基于指标体系的评估方法,能够结合各阶段的中间结果给出最终评定,但是评估结果难以反映状态变化;基于模型的评估方法能够结合多方面因素进行评估,能够展示攻击过程和威胁变化,但是攻击依赖关系和逻辑关系在评估中的合理应用面临挑战。总之,APT对传统的安全评估技术的挑战关键在于其攻击分阶段的持续性,现有的安全评估技术缺乏长期的监控关联,难以发现这种各阶段攻击中隐蔽的持续破坏。
技术实现思路
有鉴于此,本申请提供了高级持续性威胁的多维关联分析方法,能够实现攻击相关性评估,并发现网络威胁各攻击阶段对安全态势的潜在影响,从而实现整网安全态势评估。本申请提供了一种高级持续性威胁的多维关联分析方法,包括:对原始告警信息进行关联分析和再组织,将具有关联关系的告警信息组成告警信息链;通过语义分析提取出所述告警信息链中隐含的攻击主题;根据所述攻击主题的概率计算出安全评估值。优选地,所述方法还包括:对不断产生的新的异常告警信息进行持续追踪。优选地,所述对原始告警信息进行关联分析和再组织,将具有关联关系的告警信息组成告警信息链包括:获取网络异常行为产生的所述原始告警信息;基于网络攻击的相互依赖关系对所述原始告警信息进行关联分析,得到超告警信息;基于所述超告警信息的关联关系得到所述告警信息链。优选地,所述通过语义分析提取出所述告警信息链中隐含的攻击主题包括:建立网络威胁情报的语义模型;对所述语义模型经参数估计,得到所述告警信息链中隐含的攻击主题。一种高级持续性威胁的多维关联分析系统,包括:关联分析模块,用于对原始告警信息进行关联分析和再组织,将具有关联关系的告警信息组成告警信息链;语义分析模块,用于通过语义分析提取出所述告警信息链中隐含的攻击主题;安全预警模块,用于根据所述攻击主题的概率计算出安全评估值。优选地,所述的系统还包括:持续追踪模块,用于对不断产生的新的异常告警信息进行持续追踪。优选地,所述关联分析模块包括:获取单元,用于获取网络异常行为产生的所述原始告警信息;第一生成单元,用于基于网络攻击的相互依赖关系对所述原始告警信息进行关联分析,得到超告警信息;第二生成单元,用于基于所述超告警信息的关联关系得到所述告警信息链。优选地,所述语义分析模块包括:建模单元,用于建立网络威胁情报的语义模型;参数估计单元,用于对所述语义模型经参数估计,得到所述告警信息链中隐含的攻击主题。综上所述,本专利技术公开了高级持续性威胁的多维关联分析方法,包括:对原始告警信息进行关联分析和再组织,将具有关联关系的告警信息组成告警信息链,通过语义分析提取出告警信息链中隐含的攻击主题,根据攻击主题的概率计算出安全评估值。本专利技术能够实现攻击相关性评估,并发现网络威胁各攻击阶段对安全态势的潜在影响,从而实现整网安全态势评估。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术公开的高级持续性威胁的多维关联分析方法实施例1的流程图;图2为本专利技术公开的高级持续性威胁的多维关联分析方法实施例2的流程图;图3为本专利技术公开的基于LDA模型的复合网络威胁语义分析模型;图4为本专利技术公开的简化的复合网络威胁语义分析LDA贝叶斯网络示意图;图5为本专利技术公开的超告警信息生成及关联过程示意图;图6为本专利技术公开的高级持续性威胁的多维关联分析系统实施例1的结构示意图;图7为本专利技术公开的高级持续性威胁的多维关联分析系统实施例2的结构示意图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。如图1所示,为本专利技术公开的高级持续性威胁的多维关联分析方法实施例1的流程图,所述方法可以包括以下步骤:S1本文档来自技高网...
【技术保护点】
1.一种高级持续性威胁的多维关联分析方法,其特征在于,包括:对原始告警信息进行关联分析和再组织,将具有关联关系的告警信息组成告警信息链;通过语义分析提取出所述告警信息链中隐含的攻击主题;根据所述攻击主题的概率计算出安全评估值。
【技术特征摘要】
1.一种高级持续性威胁的多维关联分析方法,其特征在于,包括:对原始告警信息进行关联分析和再组织,将具有关联关系的告警信息组成告警信息链;通过语义分析提取出所述告警信息链中隐含的攻击主题;根据所述攻击主题的概率计算出安全评估值。2.根据权利要求1所述的方法,其特征在于,还包括:对不断产生的新的异常告警信息进行持续追踪。3.根据权利要求1所述的方法,其特征在于,所述对原始告警信息进行关联分析和再组织,将具有关联关系的告警信息组成告警信息链包括:获取网络异常行为产生的所述原始告警信息;基于网络攻击的相互依赖关系对所述原始告警信息进行关联分析,得到超告警信息;基于所述超告警信息的关联关系得到所述告警信息链。4.根据权利要求3所述的方法,其特征在于,所述通过语义分析提取出所述告警信息链中隐含的攻击主题包括:建立网络威胁情报的语义模型;对所述语义模型经参数估计,得到所述告警信息链中隐含的攻击主题。5.一种高级持续性威胁的多维...
【专利技术属性】
技术研发人员:姜晓枫,张琦,杨坚,侯云鹏,江锦英,
申请(专利权)人:中国科学技术大学,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。