本发明专利技术提供了一种基于资产分类的攻击分析方法,属于网络安全技术领域,它解决了现有在对攻击源进行溯源分析时,无法精准匹配攻击源及进行攻击链路还原等技术问题。本发明专利技术按照资产的暴露面、性质分类,从攻击的源、目的的类型匹配分类,通过细化网域资产分类及攻击方向,精准匹配攻击源及进行攻击链路还原,从而减小误报率和错报率。减小误报率和错报率。减小误报率和错报率。
【技术实现步骤摘要】
一种基于资产分类的攻击分析方法
[0001]本专利技术属于网络安全
,涉及一种基于资产分类的攻击分析方法。
技术介绍
[0002]网络资产的范畴很广,从门户网站、信息系统到中间件、操作系统,再到各种网络设备、安全设备和IoT设备等等,凡是网络当中活动的或者可以被访问到的目标,都可以归类为网络资产,而资产安全也成为决定整个网络安全建设是否达标的关键因素。
[0003]近年来,随着网络空间对抗强度的增加、网络攻防演练的常态化开展,由于资产底数不清、遗留安全风险、漏洞修复不及时等各种问题导致的失陷事件也越发引起大家的重视。
[0004]由于网络资产安全性不足而带来的隐患有很多,一方面,网络当中接入资产的类型和数量在不断增加,虚拟化和私有云等建设形式也在不断运用,网络边界逐渐模糊,传统的安全建设思路面临巨大挑战,容易遗漏未知资产,产生安全死角;另一方面,从攻击者的视角而言,通过入侵VPN、域控、统一管理平台等集权系统所带来的收益要远高于直接攻击目标主机,而这类系统通常不在传统的资产保护区域内,容易被绕过后轻易进入内网;最后,业务快速迭代的需求和安全稳定的要求容易产生矛盾,在实际的安全建设当中必须要找到二者之间的平衡点,才能将资产的安全和管理有效结合起来。
[0005]目前在对现有攻击源进行溯源分析时,存在以下问题:
[0006](1)对于一些攻击进行分析的时候,会存在很大的漏报和误报,经常会丢失一些成功或存在分析价值的攻击数据。
[0007](2)出现横向渗透、纵向渗透的情况下,追溯真实攻击源会很复杂,无法精准还原攻击链,从而导致无法真正保障企业资产的安全。
[0008]为了解决以上问题,现有技术中采用基于网域架构的解决方案:将内部资产进行按照网域结构划分,针对网域间的访问进行策略配置及监控告警。但是,基于网域架构的安全解决方案对跳板攻击无法实现深度溯源及真实攻击链还原。
技术实现思路
[0009]本专利技术的目的是针对现有的技术存在上述问题,提出了一种基于资产分类的攻击分析方法,本专利技术通过细化网域资产分类及攻击方向,精准匹配攻击源及进行攻击链路还原,从而减小误报率和错报率。
[0010]本专利技术的目的可通过下列技术方案来实现:
[0011]一种基于资产分类的攻击分析方法,该方法通过以下步骤实现:
[0012]步骤一,通过网管设备、手动导入、被动识别的方式生成资产信息表;
[0013]步骤二,通过步骤一获得的资产表,对资产进行归类,包括暴露面资产、次级暴露面资产、中转区资产、可联网资产、内网资产五项资产分类;
[0014]步骤三,根据步骤二识别的五种资产类型进行资产归类,生成资产归类表;
[0015]步骤四,通过资产的归类可以分析出包括暴露面攻击、中转区攻击、横向移动、失陷外联攻击四种攻击方式,相对应的得到其匹配规则;
[0016]步骤五,通过使用步骤四内的匹配规则,匹配真实攻击告警信息,可以将原方案中所无法识别的中转区攻击识别,从而减少漏报及误报概率。
[0017]进一步的,在步骤三中,五种资产归类识别规则包括:暴露面资产识别规则;次级暴露面识别规则;中转区资产识别规则;可联网资产识别规则;内网资产识别规则。
[0018]进一步的,在步骤四中,四种攻击方式匹配规则包括:暴露面攻击匹配规则;中转区攻击匹配规则;横向移动匹配规则;失陷外联匹配规则。
[0019]与现有技术相比,本基于资产分类的攻击分析方法具有以下优点:
[0020]1、本专利技术按照资产的暴露面、性质分类,从攻击的源、目的的类型匹配分类,通过细化网域资产分类及攻击方向,精准匹配攻击源及进行攻击链路还原,从而减小误报率和错报率。
[0021]2、通过四大规则及网域的划分,可以有效的减少了同一时间展示的无用告警信息。
[0022]3、可根据规则通过xff或联动还原真实攻击链,极大的减少误报情况。
[0023]4、通过精准匹配资产,可以针对资产进行精准防护及监控,降低漏报率。
附图说明
[0024]图1是本专利技术的系统逻辑图。
具体实施方式
[0025]以下是本专利技术的具体实施例并结合附图,对本专利技术的技术方案作进一步的描述,但本专利技术并不限于这些实施例。
[0026]如图1所示,本实施例提供一种基于资产分类的攻击分析方法,该方法通过以下步骤实现:
[0027]步骤一,通过网管设备、手动导入、被动识别的方式生成资产信息表;
[0028]步骤二,通过步骤一获得的资产表,对资产进行归类,包括暴露面资产、次级暴露面资产、中转区资产、可联网资产、内网资产五项资产分类;
[0029]步骤三,根据步骤二识别的五种资产类型进行资产归类,生成资产归类表;
[0030]步骤四,通过资产的归类可以分析出包括暴露面攻击、中转区攻击、横向移动、失陷外联攻击四种攻击方式,相对应的得到其匹配规则;
[0031]步骤五,通过使用步骤四内的匹配规则,匹配真实攻击告警信息,可以将原方案中所无法识别的中转区攻击识别,从而减少漏报及误报概率。
[0032]进一步的,在步骤三中,五种资产归类识别规则如下:
[0033]暴露面资产识别规则:可直接连接互联网的资产;
[0034]次级暴露面识别规则:可通过暴露面资产间接访问互联网的资产;
[0035]中转区资产识别规则:类似于nginx、F5等做为中转设备访问内部资产的资产;
[0036]可联网资产识别规则:可以联网的资产;
[0037]内网资产识别规则:无法连接互联网的内网资产。
[0038]进一步的,在步骤四中,四种攻击方式匹配规则如下:
[0039]暴露面攻击匹配规则:目的IP为暴露面资产的攻击,属于外到内;
[0040]中转区攻击匹配规则:源IP为中转区IP切包含xff(真实攻击源IP)的攻击,属于外到内;
[0041]横向移动匹配规则:攻击源IP及目的IP都为资产,切排除中转区IP的攻击源,属于内到内,并且存在外到内部攻击源的成功攻击;
[0042]失陷外联匹配规则:从内部资产发起对外部的访问,属于内到外,并且存在外到内的攻击源的成功攻击。
[0043]本文中所描述的具体实施例仅仅是对本专利技术精神作举例说明。本专利技术所属
的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本专利技术的精神或者超越所附权利要求书所定义的范围。
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于资产分类的攻击分析方法,其特征在于,该方法通过以下步骤实现:步骤一,通过网管设备、手动导入、被动识别的方式生成资产信息表;步骤二,通过步骤一获得的资产表,对资产进行归类,包括暴露面资产、次级暴露面资产、中转区资产、可联网资产、内网资产五项资产分类;步骤三,根据步骤二识别的五种资产类型进行资产归类,生成资产归类表;步骤四,通过资产的归类可以分析出包括暴露面攻击、中转区攻击、横向移动、失陷外联攻击四种攻击方式,相对应的得到其匹配规则;步骤五,通过使用步骤四内的匹配规则,匹...
【专利技术属性】
技术研发人员:刘庆林,李小琼,魏海宇,谢辉,安恩庆,张乃亮,杨晓峰,刘海洋,姜小光,陈健,
申请(专利权)人:北京中睿天下信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。