本发明专利技术公开了一种基于策略的攻击溯源方法,包括:获取网络攻击数据,从网络攻击数据中采集网络攻击的源IP、目标IP以及攻击事件信息,对被攻击主机归类攻击方法以及划分主机被攻击的程度,构建规则知识库;将攻击事件与所述攻击矩阵进行匹配,确定攻击事件与攻击步骤之间的映射关系;根据根据风险指标确定具有风险的主机。本发明专利技术通过对异常访问攻击事件进行归类分析,对攻击事件按照严重程度、时序关系进行分类,获得规则知识库,基于提取攻击信息中的源IP、目的IP和攻击事件,与规则知识库匹配,能够对攻击进行溯源。能够对攻击进行溯源。能够对攻击进行溯源。
【技术实现步骤摘要】
一种基于策略的攻击溯源方法
[0001]本专利技术涉及计算机网络安全领域,具体涉及一种基于策略的攻击溯源方法。
技术介绍
[0002]正常情况下,现有检测手段可以通过对网络流量的监测,检测到服务器、工作站或者电网安防设备之间的访问关系和攻击事件。辅助一定的策略配置,忽略电网内部生产调度维护所需的访问关系,其它的访问关系认为是异常访问。以报文形式上报给管理系统,管理系统结合可视化工具对访问关系和攻击事件进行分析处理。
[0003]随着电力系统中的业务关系拓展,网络基础设施规模日益扩大,拓扑结构越来越复杂,导致异常访问攻击事件数量庞大。同时,由于误报或阈值低的原因,进一步增加了日志量,给管理系统分析问题带来了困难,很难找到需要重点关注的攻击事件,这给电网安全运行带来了极大的隐患。
[0004]通常情况下,外来入侵会通过比较隐秘的手段隐藏自身,而且攻击手段是有计划有步骤地进行。现有手段只是检查到了大量的访问关系和攻击事件,没有对不同攻击事件之间的关联关系进行分析,访问时序也没有得到应有的关注。导致攻击事件之间比较孤立,很难通过人为分析确认攻击源头,更不能对攻击行为进行有效防御。
技术实现思路
[0005]本专利技术针对现有技术中存在的以上不足,提供了一种在电力系统网络安全管理上应用的攻击溯源方法,通过该方法,可以用来确认网络攻击者身份、位置以及其中间介质、攻击路径、攻击时序。通过溯源结果,使用者可以采用必要的策略或手段,抑制攻击源,防止网络攻击带来的安全隐患。同时,根据对攻击过程的分析,可以为司法取证提供必要依据。
[0006]本专利技术采用以下技术方案。
[0007]一种基于策略的攻击溯源方法,包括以下步骤:获取网络攻击数据,从网络攻击数据中采集网络攻击的源IP、目标IP以及攻击事件信息,对被攻击主机归类攻击方法以及划分主机被攻击的程度,获得规则知识库;所述规则知识库包括攻击矩阵,所述攻击矩阵的横向表示攻击阶段,纵向表示各攻击阶段对应的攻击类型;提取攻击信息中的源IP、目的IP和攻击事件,根据主机之间的源、目的IP确认访问关系,将攻击事件与所述攻击矩阵进行匹配,确定攻击事件与攻击步骤之间的映射关系;根据各个攻击步骤中攻击类型及所属的攻击阶段确定攻击权重;根据各攻击步骤的权重大小以及攻击次数确定攻击风险指标,根据风险指标确定具有风险的主机。
[0008]进一步地,所述攻击阶段包括:信息收集、弱点发现、载荷投递、突防利用、通信控制以及达成目标。
[0009]再进一步地,所述信息收集的攻击阶段对应的攻击类型包括端口扫描、指纹识别、存活主机探测、外部移动介质接入以及主机扫描。
[0010]再进一步地,所述弱点发现的攻击阶段对应的攻击类型包括口令爆破、web服务漏洞挖掘、中间件服务漏洞挖掘、数据库服务漏洞挖掘以及通用服务漏洞挖掘。
[0011]再进一步地,所述载荷投递的攻击阶段对应的攻击类型上传可执行文件、上传未编译的源码、上传木马文件、通过外接设备感染恶意代码以及发送钓鱼邮件、短信、论坛回帖。
[0012]再进一步地,所述突防利用的攻击阶段对应的攻击类型包括执行恶意代码、移动恶意文件、编译恶意源码、增添文件权限以及后门漏洞利用。
[0013]再进一步地,所述通信控制的攻击阶段对应的攻击类型包括开启定时任务、新增或篡改账号、启动代理、启动守护进程以及应用篡改。
[0014]再进一步地,所述达成目标的攻击阶段对应的攻击类型包括凭证访问、资产发现、横向移动、信息收集以及命令与控制。
[0015]再进一步地,基于ATT&CK框架获得规则知识库。
[0016]再进一步地,所述攻击风险指标表示如下:其中R为攻击风险指标;i为攻击阶段,j为攻击类型,n为攻击次数w为攻击权重。
[0017]本专利技术所取得的有益技术效果:通过本专利技术通过对异常访问攻击事件进行归类分析,对攻击事件按照严重程度、时序关系进行分类,获得规则知识库,基于提取攻击信息中的源IP、目的IP和攻击事件,并与规则知识库匹配,能够对攻击进行溯源,同时根据攻击风险指标信息可以监测某类攻击事件或某一资产被攻击的频率,进而了解被攻击的严重程度。
附图说明
[0018]图1为本专利技术的流程示意图;图2为本专利技术具体实施例中的攻击矩阵实例;图3为本专利技术具体实施例中资产风险矩阵图4为本专利技术具体实施例中的攻击风险指标;图5为本专利技术具体实施例中192.168.0.5攻击事件溯源示例;图6为本专利技术具体实施例中192.168.0.5攻击事件溯源过程;图7为本专利技术具体实施例192.168.0.4攻击步骤越线示例;图8为本专利技术具体实施例192.168.0.5攻击事件溯源过程。
具体实施方式
[0019]以下结合说明书附图和具体实施例对本专利技术做进一步说明。
[0020]实施例:一种基于策略的攻击溯源方法,包括:获取网络攻击数据,从网络攻击数据中采集网络攻击的源IP、目标IP以及攻击事件信息,对被攻击主机归类攻击方法以及划
分主机被攻击的程度,构建规则知识库;所述规则知识库包括攻击矩阵,所述攻击矩阵的横向表示攻击阶段,纵向表示各攻击阶段对应的攻击类型;提取攻击信息中的源IP、目的IP和攻击事件,根据主机之间的源、目的IP确认访问关系,将攻击事件与所述攻击矩阵进行匹配,确定攻击事件与攻击步骤之间的映射关系;根据各个攻击步骤中攻击类型及所属的攻击阶段确定攻击权重;根据各攻击步骤的权重大小以及攻击次数确定攻击风险指标,根据风险指标确定具有风险的主机。
[0021]本实施例中构建的规则知识库如表1所示。
[0022]表1攻击矩阵形成上述各步骤原因说明如下:1.信息收集阶段信息收集阶段指的是在渗透测试工作发起之前,对目标主机或系统的运行信息、系统信息、开启服务信息等进行探测并记录的过程。可以收集到的信息包括攻击目标设备的开放端口信息、开放服务信息以及各服务对应的版本信息、操作系统版本信息等,通常使用的攻击包括端口扫描工具、浏览器、指纹识别工具等。
[0023]2.弱点发现阶段弱点发现阶段指的是了解目标主机或系统的各种信息之后,对容易存在漏洞或防御相对薄弱的服务进行进一步的验证,确认目标的攻击面,该阶段主要是侧重于发现目标主机或者系统的弱点,为攻击做准备。该阶段主要行为包括对各类可登陆的服务的爆破、对易存在漏洞的服务或web页面进行探测或访问等,通常用的工具包括各类口令爆破工具、浏览器、抓包工具等。
[0024]3.载荷投递阶段载荷投递阶段指的是在确定目标主机或系统存在某个漏洞或弱点之后,准备好相应的攻击载荷并通过发包工具或自研脚本将攻击流量发送给目标从而达到特定目的的过程。该阶段主要行为因所用漏洞的不同而稍有差异,通常可分为手工编辑发送和自动化脚本或工具发送两种,可用的工具较为广泛,手段也无统一标准。
[0025]4.突防利用阶段突防利用阶段指的是在投递攻击载荷阶段发现目标存在一定的安全防护能力之后,攻击者根据目标防护机制采取各类绕过手段达本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于策略的攻击溯源方法,其特征在于,包括:获取网络攻击数据,从网络攻击数据中采集网络攻击的源IP、目标IP以及攻击事件信息,对被攻击主机归类攻击方法以及划分主机被攻击的程度,构建规则知识库;所述规则知识库包括攻击矩阵,所述攻击矩阵的横向表示攻击阶段,纵向表示各攻击阶段对应的攻击类型;提取攻击信息中的源IP、目的IP和攻击事件,根据主机之间的源、目的IP确认访问关系,将攻击事件与所述攻击矩阵进行匹配,确定攻击事件与攻击步骤之间的映射关系;根据各个攻击步骤中攻击类型及所属的攻击阶段确定攻击权重;根据各攻击步骤的权重大小以及攻击次数确定攻击风险指标,根据风险指标确定具有风险的主机。2.根据权利要求1所述的一种基于策略的攻击溯源方法,其特征在于,所述攻击阶段包括:信息收集、弱点发现、载荷投递、突防利用、通信控制以及达成目标。3.根据权利要求2所述的一种基于策略的攻击溯源方法,其特征在于,所述信息收集的攻击阶段对应的攻击类型包括端口扫描、指纹识别、存活主机探测、外部移动介质接入以及主机扫描。4.根据权利要求2所述的一种基于策略的攻击溯源方法,其特征在于,所述弱点发现的攻击阶段对应的攻击类型包括口令爆破、web服务漏洞挖掘、中间件服务漏洞挖掘、数据库服务漏洞挖掘以及通用服务...
【专利技术属性】
技术研发人员:沈鹏,卢楷,王洋,高明慧,张志军,马力,何纪成,赵航,郭乃豪,李勃,马骁,刘锦利,王丹,计士禹,宁志言,高英健,
申请(专利权)人:北京科东电力控制系统有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。