本发明专利技术公开了一种基于安全朔源图和攻击链关联技术的态势感知方法,一种基于安全朔源图和攻击链关联技术的态势感知方法,其特征在于,包括以攻击组织为核心的本体结构和大数据流式计算框架,所述本体结构包括上下文采集模块和上下文推理模块,所述上下文采集模块将非实时的多源异构威胁情报和实时的沙箱样本分析信息进行采集,所述上下文推理模块对采集的信息进行语义的过滤、融合以及推理后储存至攻击组织知识库本发明专利技术的有益效果:通过设置的大数据流式计算框架和攻击组织知识库可以对更大时间跨度内的所有攻击事件进行监测和追踪,从而获得更加全面和准确的攻击行为场景,可以快速的从海量的数据中发现APT组织相关的高危安全事件。安全事件。安全事件。
【技术实现步骤摘要】
一种基于安全朔源图和攻击链关联技术的态势感知方法
[0001]本专利技术涉及网络信息安全
,具体是一种基于安全朔源图和攻击链关联技术的态势感知方法。
技术介绍
[0002]2017年Shadow Brokers泄露了NSA(美国国家安全局)多个震惊世界的攻击武器工具,世界顶级APT组织的攻击水平由此可见一斑。泄露的内容中除了各种0day漏洞利用工具,还有一款类似Metasploit的Exploit攻击框架,调用多个模块进行武器的组装和攻击,说明APT组织具备高水平的漏洞研究和定制武器开发能力。未知攻击和定制武器的使用给APT组织的归因溯源带来挑战。
[0003]目前单纯依靠人工研判或者依赖安全专家基于离线数据进行特征建模和分析已经很难有效满足大部分企业或组织对APT组织攻击事件进行实时分析的要求。目前追踪和发现APT组织内的攻击团伙的方法主要包括直接基于网络流量进行特征建模和基于样本代码特征进行建模,但是由于原始流量数据量往往过于巨大,且噪声特征占据非常大的比例,导致直接基于原始流量构建的特征模型的鲁棒性欠佳,并且此类方法通常需要耗费较多的人工分析成本,某些情况下只能基于离线的历史数据进行分析,无法满足实时分析和追踪的需求。
[0004]为了有效从海量数据中发现APT组织相关的高危安全事件,我们提出一种基于上下文感知计算框架的攻击组织追踪方法。
技术实现思路
[0005]本专利技术的目的在于提供一种基于安全朔源图和攻击链关联技术的态势感知方法,以解决上述
技术介绍
中提出的问题。r/>[0006]为实现上述目的,本专利技术提供如下技术方案:一种基于安全朔源图和攻击链关联技术的态势感知方法,包括以攻击组织为核心的本体结构和大数据流式计算框架,所述本体结构包括上下文采集模块和上下文推理模块,所述上下文采集模块将非实时的多源异构威胁情报和实时的沙箱样本分析信息进行采集,所述上下文推理模块对采集的信息进行语义的过滤、融合以及推理后储存至攻击组织知识库;所述攻击组织知识库基于攻击组织本体对范式化安全事件进行定义并生成安全事件模板,利用大数据流式计算框架下的流式处理引擎将海量多模态数据进行解析,以安全事件模板为基础生成范式化安全事件;在范式化安全事件的基础上基于攻击链模型将多个事件进行关联,生成包含多个事件的攻击链,并按照事件的时间序列,将某一时间段内的所有针对同一目标IP的事件整合生成序列攻击链;所述攻击组织知识库根据安全事件模板和大数据流式计算框架对序列攻击链的关联事件进行细化分析,最终发现攻击组织相关的高危事件。
[0007]进一步的,所述大数据流式计算框架包括调度层,runtime核心运行层,API调度接口层,应用场景层,所述调度层为最底层结构,用于实时告警信息和多源威胁情报的调度以
及原始信息的获取,所述runtime核心运行层为第二层结构,由攻击组织知识库和序列攻击链构成,所述API调度接口层为第三层结构,包括表和sql接口的API网关层、数据集和数据流API接口、攻击组织知识库API接口、攻击事件库API接口和管理调度API接口,所述应用场景层根据业务需要构建业务场景和应用,建立攻击链全景视图和匹配攻击链的现有业务场景的攻击全景全流程视图。
[0008]进一步的,所述攻击链模型包括侦察目标、制作工具、传送工具、触发工具、安装木马、建立连接和执行攻击七个阶段。
[0009]进一步的,所述语义的过滤主要利用关键词过滤技术,过滤其中的非正常业务信息,具体采用正则表达式过滤的方式,所述融合具体是针对提取上述过滤后不同来源的信息要素情报来源并根据时间维度进行关联融合,所述推理主要是对有关联的信息进行AI逻辑推理判断。
[0010]进一步的,所述上下文采集模块所采集的信息还包括非实时的非结构化和半结构化的网页、公开性质的博客论坛、结构化的开源威胁情报以及本地积累的攻击组织的威胁情报信息。
[0011]与现有技术相比,本专利技术的有益效果是:通过以攻击为核心的上下文采集模块和上下文推理模块采集实时的沙箱样本信息和非实时的多源异构威胁情报,并且在大数据流式计算框架下整理出范式化安全事件,基于范式化安全事件进一步的将多个事件进行关联,通过对具有相同特征的攻击链进行表征化处理,有利于在短时间内将所有针对同一IP的事件整合成攻击链序列,最后利用攻击组织知识库结合上下文推理模块可以快速的发现攻击组织相关的高危事件;通过设置的大数据流式计算框架和攻击组织知识库可以对更大时间跨度内的所有攻击事件进行监测和追踪,从而获得更加全面和准确的攻击行为场景,可以快速的从海量的数据中发现APT组织相关的高危安全事件。
附图说明
[0012]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0013]图1为本专利技术基于攻击组织本体的上下文感知计算框架结构图;图2为本专利技术感知步骤流程图;图3为本专利技术大数据流式计算框架结构图。
具体实施方式
[0014]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0015]请参阅图1
‑
3,本专利技术实施例中,一种基于安全朔源图和攻击链关联技术的态势感
知方法,包括以攻击组织为核心的本体结构和大数据流式计算框架,所述本体结构包括上下文采集模块和上下文推理模块,所述上下文采集模块将非实时的多源异构威胁情报和实时的沙箱样本分析信息进行采集,所述上下文推理模块对采集的信息进行语义的过滤、融合以及推理后储存至攻击组织知识库;所述攻击组织知识库基于攻击组织本体对范式化安全事件进行定义并生成安全事件模板,利用大数据流式计算框架下的流式处理引擎将海量多模态数据进行解析,以安全事件模板为基础生成范式化安全事件;在范式化安全事件的基础上基于攻击链模型将多个事件进行关联,生成包含多个事件的攻击链,并按照事件的时间序列,将某一时间段内的所有针对同一目标IP的事件整合生成序列攻击链;所述攻击组织知识库根据安全事件模板和大数据流式计算框架对序列攻击链的关联事件进行细化分析,最终发现攻击组织相关的高危事件。
[0016]所述大数据流式计算框架包括调度层,runtime核心运行层,API调度接口层,应用场景层,所述调度层为最底层结构,用于实时告警信息和多源威胁情报的调度以及原始信息的获取,所述runtime核心运行层为第二层结构,由攻击组织知识库和序列攻击链构成,所述API调度接口层为第三层结构,包括表和sql接口的API网关层、数据集和数据流API接口、攻击组织知识库API接口、攻击事件库API接口和管理调度API接口,所述应用场景层根据业务需本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于安全朔源图和攻击链关联技术的态势感知方法,其特征在于,包括以攻击组织为核心的本体结构和大数据流式计算框架,所述本体结构包括上下文采集模块和上下文推理模块,所述上下文采集模块将非实时的多源异构威胁情报和实时的沙箱样本分析信息进行采集,所述上下文推理模块对采集的信息进行语义的过滤、融合以及推理后储存至攻击组织知识库;所述攻击组织知识库基于攻击组织本体对范式化安全事件进行定义并生成安全事件模板,利用大数据流式计算框架下的流式处理引擎将海量多模态数据进行解析,以安全事件模板为基础生成范式化安全事件;在范式化安全事件的基础上基于攻击链模型将多个事件进行关联,生成包含多个事件的攻击链,并按照事件的时间序列,将某一时间段内的所有针对同一目标IP的事件整合生成序列攻击链;所述攻击组织知识库根据安全事件模板和大数据流式计算框架对序列攻击链的关联事件进行细化分析,最终发现攻击组织相关的高危事件。2.根据权利要求1所述的一种基于安全朔源图和攻击链关联技术的态势感知方法,其特征在于:所述大数据流式计算框架包括调度层,runtime核心运行层,API调度接口层,应用场景层,所述调度层为最底层结构,用于实时告警信息和多源威胁情报的调度以及原始信息的获取,所述runtime核...
【专利技术属性】
技术研发人员:李峰,顾亮,
申请(专利权)人:南京怡晟安全技术研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。