本发明专利技术属于网络安全技术领域,特别涉及一种网络动态威胁跟踪量化方法及系统,该方法包含:结合目标网络系统配置、漏洞及网络节点间服务存取访问关系,构建系统动态威胁属性攻击图;基于属性攻击图,对网络系统多告警信息进行融合,并通过推断告警强度量化攻击威胁,绘制用于描述安全威胁变化态势的动态威胁跟踪图。本发明专利技术利用图论知识构建系统动态威胁属性攻击图;基于权限提升原则通过前件推断系统、后件预测系统和综合告警信息推断系统进行多告警信息的融合与威胁分析,生成网络动态威胁跟踪图进行威胁变化态势的可视化展示;可以实现网络安全的动态预警监察,提升对大规模潜在威胁行为的持续监控跟踪和深度溯源能力。
Quantitative Method and System of Network Dynamic Threat Tracking
【技术实现步骤摘要】
网络动态威胁跟踪量化方法及系统
本专利技术属于网络安全
,特别涉及一种网络动态威胁跟踪量化方法及系统。
技术介绍
网络信息系统固有的脆弱性使其不可避免的面临外在威胁的影响,针对外在动态、变化的威胁开展有效分析对于实施针对性的防御决策具有重要支撑作用。随着信息网络规模的不断扩大,仅仅割裂式的针对单一或部分主机、服务器等开展威胁信息采集与分析,已无法满足信息网络动态威胁分析的需求,因此必须融合信息网络整体威胁信息,才能有效实施信息网络动态威胁态势分析。现有的网络威胁信息主要体现在告警日志、IDS、异常行为检测、网络预警等告警信息,因此如何融合处理网络告警信息是分析网络动态威胁的关键。目前基于告警信息融合的网络动态威胁分析方法主要包含以下几种:一是基于信息融合的网络威胁态势分析方法,借鉴D-S证据理论融合态势要素和节点态势计算网络安全态势;从告警数据中识别攻击模式的方法,通过定义告警间的相似度函数来构建攻击活动序列集,该方法可以量化攻击威胁程度,但无法展现攻击过程的全貌。二是基于威胁状态转移图和告警信息融合的威胁分析方法,通过挖掘威胁事件的时空关联关系,构建威胁转移图模型,然后对网络系统中的多节点进行关联分析,采用BFS树遍历前件节点和后件节点,该方法能识别已知攻击产生的前件告警,无法解决后件漏报和误报问题。三是基于因果知识网络的威胁分析方法,首先通过告警识别已经发生的攻击行为,然后预测攻击路径,使用隐马尔可夫模型训练网络参数,预测未来网络安全状况。以上方法利用图论知识处理多告警信息,由于告警事件存在时序和因果关联关系,产生状态爆炸影响了威胁分析的效率;同时未考虑网络节点服务存取访问关系对网络威胁传播带来的影响。
技术实现思路
为此,本专利技术提供一种网络动态威胁跟踪量化方法及系统,综合考虑服务存取访问关系,实现实时威胁的动态分析,提升动态威胁分析效率,具有较强的实用性和可操作性。按照本专利技术所提供的设计方案,一种网络动态威胁跟踪量化方法,包含如下内容:A)结合目标网络系统配置、漏洞及网络节点间服务存取访问关系,构建系统动态威胁属性攻击图;B)基于属性攻击图,对网络系统多告警信息进行融合,并通过推断强度量化系统威胁,绘制用于描述安全威胁变化态势的动态威胁跟踪图。上述的,A)中,采用图论知识,创建属性攻击图,该属性攻击图表示为DTAAG=(C,R,E,p),其中,C表示威胁转移条件属性集,R表示威胁转移条件属性间的关系集,E表示连接条件属性和关系的边集,p表示威胁转移概率。优选的,威胁转移条件属性集包含前置条件中攻击者权限、攻击源IP、攻击目标IP、节点间连接端口、实施攻击漏洞及提升攻击者权限服务访问关系,和攻击者实施攻击后获得权限、获得权限节点IP、攻击利用端口、实施攻击漏洞计提升权限协议。优选的,连接条件属性和关系的边集包含前置条件指向漏洞节点的边、漏洞节点指向后置条件的边、前置条件指向协议的边及协议指向后置条件的边。上述的,B)中,告警信息融合中,首先,对原始告警信息进行格式化处理,推断强度表示由已告警节点推断未告警节点的威胁转移概率,其中,告警信息包含告警产生时间、告警源IP、告警目标IP及告警漏洞类型。优选的,通过推断强度量化系统威胁中,包含如下内容:首先,分别对已告警节点的前件节点和后件节点进行推断强度量化;然后,基于多告警信息,并结合前件节点推断强度量化和后件节点推断强度量化过程,来量化分析网络整体威胁态势变化。更进一步,前件节点推断强度量化中,根据IP地址确定攻击图中产生告警信息的节点,按照攻击图中关于告警节点的路径的节点权限排序,推断告警节点的前件节点的推断强度。更进一步,后件节点推断强度量化中,根据IP地址确定攻击图中产生告警信息的节点,按照攻击图中关于告警节点的路径的节点权限排序,对告警节点的后件节点进行多步预测,确定其余未告警节点的推断强度。更进一步,量化分析网络整体威胁态势变化中,针对系统产生的多告警信息,单个告警信息中分别对告警节点进行前件推断和后件推断来获取未告警节点的推断强度,将多告警信息的推断强度相结合,得到整体威胁态势。更进一步,一种网络动态威胁跟踪量化系统,包含构建模块和量化分析模块,其中,构建模块,用于结合目标网络系统配置、漏洞及网络节点间服务存取访问关系,构建系统动态威胁属性攻击图;量化分析模块,用于基于属性攻击图,对网络系统多告警信息进行融合,并通过推断强度量化系统威胁,绘制用于描述安全威胁变化态势的动态威胁跟踪图。本专利技术的有益效果:本专利技术利用图论知识构建系统动态威胁属性攻击图;基于权限提升原则通过前件推断系统、后件预测系统和综合告警信息推断系统进行多告警信息的融合与威胁分析,生成网络动态威胁跟踪图进行威胁变化态势的可视化展示;可以实现网络安全的动态预警监察,提升对大规模潜在威胁行为的持续监控跟踪和深度溯源能力。附图说明:图1为实施例中跟踪量化方法流程示意;图2为实施例中动态威胁跟踪机制示意;图3为实施例中前件推断示意;图4为实施例中后件预测示意;图5为实施例中综合告警信息推断示意;图6为实施例中实际网络环境;图7为实施例中系统漏洞和协议关系示意;图8为实施例中漏洞信息示意;图9为实施例中动态威胁属性攻击示意;图10为实施例中time1威胁状态图;图11为实施例中time2威胁状态图。具体实施方式:为使本专利技术的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本专利技术作进一步详细的说明。实施例中涉及到的技术术语如下:利用图论知识处理多告警信息,由于告警事件存在时序和因果关联关系,产生状态爆炸影响威胁分析效率;同时未考虑网络节点服务存取访问关系对网络威胁传播带来的影响;如何综合考虑服务存取访问关系,实现实时威胁的动态分析,提升动态威胁分析效率,成为亟待解决的技术问题。为此,本专利技术实施例,参见图1所示,提供一种网络动态威胁跟踪量化方法,包含:结合目标网络系统配置、漏洞及网络节点间服务存取访问关系,构建系统动态威胁属性攻击图;基于属性攻击图,对网络系统多告警信息进行融合,并通过推断强度量化系统威胁,绘制用于描述安全威胁变化态势的动态威胁跟踪图。基于属性攻击图的动态威胁跟踪分析,在攻击路径推断、威胁转移概率、前后件推断、消解环路、实时分析、综合多路径、权限提升和存取访问关系等方面具有明显优势。在动态威胁分析中需要对网络系统产生的告警信息进行有效融合处理,本专利技术另一个实施例中利用融合处理机制,如图2所示,首先利用图论知识构建系统动态威胁属性攻击图模型,并结合目标网络系统配置信息、漏洞信息,以及网络节点间服务的存取访问关系生成攻击图;接着利用权限提升原则,设计前件推断系统算法(APA)、后件预测系统算法(CPA)和综合告警信息推断算法(CAIIA)对告警进行融合处理;最后通过定义推断强度量化系统威胁,绘制动态威胁跟踪图描述安全威胁的变化态势。动态威胁属性攻击图模型DTAAG(DynamicThreatAttributeAttackGraph)由四元组DTAAG=(C,R,E,p)表示,其中,C表示威胁转移条件属性集,R表示威胁转移条件属性间的关系集,E表示连接条件属性和关系的边集,p表示威胁转移概率。以下述4个要素为输入,利用自动工具MulVAL生成攻击图。1)输本文档来自技高网...
【技术保护点】
1.一种网络动态威胁跟踪量化方法,其特征在于,包含如下内容:A)结合目标网络系统配置、漏洞及网络节点间服务存取访问关系,构建系统动态威胁属性攻击图;B)基于属性攻击图,对网络系统多告警信息进行融合,并通过推断强度量化系统威胁,绘制用于描述安全威胁变化态势的动态威胁跟踪图。
【技术特征摘要】
1.一种网络动态威胁跟踪量化方法,其特征在于,包含如下内容:A)结合目标网络系统配置、漏洞及网络节点间服务存取访问关系,构建系统动态威胁属性攻击图;B)基于属性攻击图,对网络系统多告警信息进行融合,并通过推断强度量化系统威胁,绘制用于描述安全威胁变化态势的动态威胁跟踪图。2.根据权利要求1所述的网络动态威胁跟踪量化方法,其特征在于,A)中,采用图论知识,创建属性攻击图,该属性攻击图表示为DTAAG=(C,R,E,p),其中,C表示威胁转移条件属性集,R表示威胁转移条件属性间的关系集,E表示连接条件属性和关系的边集,p表示威胁转移概率。3.根据权利要求2所述的网络动态威胁跟踪量化方法,其特征在于,威胁转移条件属性集包含前置条件中攻击者权限、攻击源IP、攻击目标IP、节点间连接端口、实施攻击漏洞及提升攻击者权限服务访问关系,和攻击者实施攻击后获得权限、获得权限节点IP、攻击利用端口、实施攻击漏洞计提升权限协议。4.根据权利要求2所述的网络动态威胁跟踪量化方法,其特征在于,连接条件属性和关系的边集包含前置条件指向漏洞节点的边、漏洞节点指向后置条件的边、前置条件指向协议的边及协议指向后置条件的边。5.根据权利要求1所述的网络动态威胁跟踪量化方法,其特征在于,B)中,告警信息融合中,首先,对原始告警信息进行格式化处理,并依据历史告警节点推断未告警节点的威胁转移概率定义推断强度,其中,告警信息包含告警产生时间、告警源IP、告警目标IP及告警漏洞类型。6.根据权利要...
【专利技术属性】
技术研发人员:张红旗,胡浩,张玉臣,冷强,刘玉岭,杨峻楠,金辉,韩卫东,冀会芬,张任川,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,远江盛邦北京网络安全科技股份有限公司,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。