CN111490970A

CN111490970A - 一种网络攻击的溯源分析方法

Info

Publication number: CN111490970A
Application number: CN202010101374.8A
Authority: CN
Inventors: 李福宜; 王平; 陈宏伟
Original assignee: Xi'an Jiaotong University Jump Network Technology Co ltd
Current assignee: Xi'an Jiaotong University Jump Network Technology Co ltd
Priority date: 2020-02-19
Filing date: 2020-02-19
Publication date: 2020-08-04
Anticipated expiration: 2040-02-19
Also published as: CN111490970B

Abstract

本发明公开一种网络攻击的溯源分析方法，包括：获取指定类型的威胁情报，缓存至本地威胁情报数据库；获取本次告警信息与所述本地威胁情报，判断告警的攻击来源；根据攻击源，和/或攻击目的的设备标识，分别进行告警关联，确定所述设备所处攻击阶段并根据攻击阶段判断设备失陷等级；获取所述设备的资产信息，根据告警关联结果，确定攻击的影响范围。实现了对网络攻击的有效溯源分析，得到多种溯源结果，并且每次溯源都会更新溯源数据，有利于网络运维人员处理问题加强安全策略提供依据。

Description

一种网络攻击的溯源分析方法

技术领域

本发明属于网络安全与数据分析技术领域，尤其是涉及一种网络攻击的溯源分析方法。

背景技术

随着技术进步，互联网已深入各个方面，攻击事件逐年增多，网络安全问题逐渐成为社会焦点。网络攻击者采用的攻击技术及攻击手段也有了新的发展趋势，传统的通过在网络边界点设置防火墙等安全工具、将内外网隔离开的防护，对于常见的通过单个节点来攻击其他节点或针对系统漏洞进行攻击或防止木马程序等单一、易发现的攻击方式具有效果。

但是随着网络攻击手段层出不穷，不但种类繁多，而且向高度集成、自动化的方向快速发展，随着网络的日益复杂，安全威胁也趋于多元化，面对大量格式不一、形式各异的日志和警报，特别是对于高级持续性威胁攻击（Advanced Persistent Threat，APT），使用的工具或恶意程序一般都是针对性开发，难以检测，攻击中还会用到0day漏洞，而且具有持续性，会进行较长时间的观察、踩点、收集信息、社会工程等准备，然后才逐步渗透、信息回传、通信控制等等。传统的处理方法早已不堪重负，从而衍生出网络安全态势感知。

网络安全态势感知是一种主动的网络防御手段，从防火墙、安全审计、防病毒软件等软硬件中获取到大量的日志数据，在对数据处理的基础上，对整个网络的当前状况进行及时评估和反映，并对未来的变化趋势进行预测。它不仅能够反应当前网络安全态势，并且能够对网络中潜在的攻击做出预测，从而对潜在攻击做出主动防御。使管理者对网络的安全状况和演化趋势有一个全面的了解，对复杂多变的安全威胁做出快速响应，以减轻认知与响应压力。

网络攻击的溯源分析，是态势感知的重要组成，基于已知的安全威胁事件，追溯威胁路径、威胁过程、攻击手法和虚拟身份，快速找出攻击的源IP、物理位置等有用信息，为网络运维人员处理问题加强安全策略提供依据；溯源分析的高效性及其溯源结果的准确性，直接关系到后续的策略制定和整改措施。

发明内容

鉴于以上，本发明提供一种网络攻击的溯源分析方法，根据告警所处的攻击阶段和告警发生的时间以及告警中的源IP、目的IP结合资产业务库、威胁情报库等，确定攻击源头；在攻击链条上进行过程推演，还原出攻击过程的时间线，并评判攻击影响范围；其技术方案如下所示。

一种网络攻击的溯源分析方法，包括：

获取指定类型的威胁情报，缓存至本地威胁情报数据库；

获取本次告警信息与所述本地威胁情报，判断告警的攻击来源；

根据攻击源，和/或攻击目的的设备标识，分别进行告警关联，确定所述设备所处攻击阶段并根据攻击阶段判断设备失陷等级；

获取所述设备的资产信息，根据告警关联结果，确定攻击的影响范围。

第一方面，判断告警的攻击源，根据告警的源IP查询威胁情报，确定攻击源为内网或外网。

第二方面，还原攻击过程，包括依次进行告警关联、攻击阶段确定、失陷等级确定与告警时间序列修正。

首先是进行告警关联，具体为：

根据规定条件，获取与本次告警的源IP或目的IP一致的所有告警；

若源IP与本次告警的目的IP一致：当两个告警的源端口与目的端口均一致，将两个告警合并；当两个告警的源端口不一致、目的端口一致时，将两个告警判断为关联告警；

若目的IP与本次告警的源IP一致：当其他告警的目的端口与本次告警的源端口一致时，将两个告警判断为关联告警；

若源IP、目的IP分别与本次告警的源IP、目的IP一致：当两个告警的源端口与目的端口均一致，将两个告警合并。

其次，确定IP所处的攻击阶段，根据IP查询所有告警，获取该IP经历的所有告警记录，提取告警信息中的攻击行为特征，根据预设的攻击行为特征与攻击阶段的对应关系，确定各个告警所处的攻击阶段；将告警中的最高攻击阶段作为IP当前所处的攻击阶段；将所述攻击阶段列入告警溯源记录。

再次，根据IP所处攻击阶段确定其失陷等级，包括：确定攻击阶段与失陷等级的对应关系，根据IP所处攻击阶段确定失陷等级为低可疑、高可疑或已失陷；将失陷等级列入告警溯源记录。

最后，修正告警的时间序列：根据上述的攻击阶段，划分关联告警，每个攻击阶段内的告警按时间排序，得到告警的攻击阶段序列；

根据告警发生时间，将告警进行排序，得到告警的初始时间序列；

对比所述告警的攻击阶段序列与告警的初始时间序列，去除序列不一致的告警；去除攻击源为内网且处于侦查跟踪与载荷投递阶段的告警；

根据修正后的告警时间序列，得到攻击的传播路径。

第三方面，根据前述的攻击过程，确定攻击影响的IP；获取IP的资产信息，确定所述攻击影响的业务范围，所述资产信息包括资产的属性、脆弱性、风险、承载业务状态、运行状态；所述资产属性包括地域、部门、负责人。

如上所述的本发明的溯源分析方法，首先通过查询威胁情报库，确定攻击源为外网或内网，并进一步案根据情报判定攻击源的性质；其次依次执行关联告警、攻击阶段确定、失陷等级确定和告警时间序列修正，还原攻击过程与传播路径；最后根据资产信息评判攻击影响范围。实现了对网络攻击的有效溯源分析，得到多种溯源结果，并且每次溯源都会更新溯源数据，有利于网络运维人员处理问题加强安全策略提供依据。

附图说明

图1为本发明的网络攻击溯源分析方法实施例，整体流程示意图；

图2为图1中的告警关联流程示意图；

图3为图1中的攻击源分析流程示意图；

图4为图1中的攻击过程分析流程示意图。

具体实施方式

下面结合附图和实施例对本发明的技术方案，进行详细说明；应当理解，此处所描述的具体实施例仅用于解释本发明，并不用于限定本发明。

为了便于理解本发明实施例，首先对涉及到的相关技术术语进行简介。

威胁，可能导致对系统或组织危害的不希望事故潜在起因。

信息安全风险，威胁利用信息系统中存在的脆弱性导致安全事件发生后对组织带来的影响程度。

脆弱性，可能被威胁所利用的资产或若干资产的薄弱环节。

网络流量，连接网络的设备（包括各种网络设备、安全设备、服务器等）在网络上所产生的数据包的集合。

告警数据，安全设备或安全平台上根据对网络流量、日志、扫描探测返回信息等数据的分析结论或基于机器学习、引擎类设备、工具、组件关联分析生成的，描述异常网络情况、异常系统访问或系统脆弱性的信息。

网络安全事件，由于人为以及软硬件本身缺陷或故障的原因，对信息系统构成潜在危害、甚至影响信息系统正常提供服务的情况。网络安全事件通常会对社会造成负面影响，且使经过确认需要做出一定处置措施的事实。

关联分析是用户根据实际环境定义各类安全事件（日志信息、告警信息等）之间在发生序列、事后影响等方面关联性的规则，然后根据已知的情景作出预防响应。例如下述的一些关联分析规则：根据单条日志的部分内容作为告警信息，如日志中出现的登录、开机和关机都可以作为告警信息；根据单位时间内特殊事件出现的频率，如日志中1分钟内出现3次用户密码错误的情况就可以作为一次暴力破解；多设备日志之间的关联分析，如许多目标IP地址相同，而源IP地址不同的日志，则可以作为一次DDOS攻击。

威胁情报，一种基于证据的知识，包含了上下文、攻击机制、攻击指标、启示和可行建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。威胁情报旨在为面临威胁的资产主体(通常为资产所属企业或机构)提供全面的、准确的、与其相关的、并且能够执行和决策的知识和信息。狭义的威胁情报，其主要内容为用于识别和检测威胁的失陷标识，如文件HASH，IP，域名，程序运行路径，注册表项等，以及相关的归属标签。

网络态势，各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。

网络安全态势感知系统，在大规模网络环境中，通过采集、提取、融合分析能引起网络安全状态和趋势变化的网络环境要素（如资产、网络流量、运行状态、设备告警、脆弱性、安全事件和威胁情报等数据），利用数据挖掘等分析技术，对网络安全状况进行分析，对网络安全趋势进行预测，从而协助应急处置和安全决策的产品。以IDS、Firewall、VDS等单点防御为主的传统安全异构防御，实际将网络安全划分成了各个安全孤岛，互相之间缺乏相互关联协作。而态势感知系统的重点在于将网络系统视为整体，融合了传统网络安全理论中的各类攻击检测、定位及跟踪等等的方法，对网络进行全面集中的安全管理和智能综合的分析，将不同领域的安全部件融合为一个无缝的安全体系，从而形成一个宏观的网络安全管理体系，分析其安全状况及把握未来趋势，使用户能够从总体上直观的感知网络状况，为准确的操作提供可靠依据，从而将网路安全问题带来的风险和损失降低。

以窃取信息资产为目标的高级持续性威胁攻击（Advanced Persistent Threat，APT），通常是利用未知威胁实施的定向攻击，由多个阶段组成。例如攻击阶段（环节）的划分方法之一：

侦查跟踪：攻击者通过社交网络、社会工程学等方式了解目标组织的人员信息、IT架构以及防御措施等，该过程为攻击前的“踩点”阶段；常见的行为特征如端口扫描、网络扫描、系统扫描、漏洞扫描、SSH扫描等等；常用的针对系统漏洞的扫描工具有 NESSUS、 SSS、ISS、 X-scan、Retha 等。针对服务端口的扫描工具有 Nmap、Super Scan 、Amap 等；针对WEB页面眼务的扫描工具有 SQL 扫播器、PHP 扫描器、上传漏洞扫描器等；以及 WEB 站点扫描工具如Appscan、 Acunetix Web Vulnerability Scanner、Jsky 等；针对数据库的扫描工具有shadow Database scanner 、NGSSQuirreL、SQL弱口令扫描器等。

攻击者通过 Google Hacking 、WHOIS、DNS 查询以及网络拓扑扫描器 (如Solarwinds 等)，对目标网络拓扑结构、IP分布情况、网络连接设备信息、眼务器分布情况等信息进行收集。

载荷投递：基于对目标的侦查跟踪结果，购买或编写针对攻击目标现存漏洞的恶意代码，并进行逃避测试，保证攻击能够成功绕过目标组织现有的防护体系；通过钓鱼邮件、钓鱼网页、USB存储等手段发起鱼叉式攻击，引诱攻击目标点击、下载事先准备好的恶意代码；

常见的方式有：DOS可能的Memcached DDoS放大查询（set），VOIP REGISTER消息FloodUDP，VOIP INVITE消息洪水UDP，GPL VOIP SIP INVITE消息泛滥，DOS可能的Sentinal LM放大攻击（请求）入站，DOS DNS放大攻击入站，DOS可能的NTP DDoS入站频繁的未经过验证的MON_LIST请求IMPL 0x03等。

突防利用：恶意代码被成功植入攻击目标的设备与系统，并利用目标设备与系统存在的漏洞获取更高的执行权限；常见的方式有：暴力破解、鱼叉攻击、水坑攻击、U盘摆渡、访问恶意链接、恶意邮件。

安装植入：利用成功获取的执行权限，控制目标设备下载功能更为丰富的恶意软件，安装并启动软件。

通信控制：恶意软件启动后将与攻击者在远端部署的命令与控制（ C&C）服务器主动建立连接，接收 C&C服务器发送的控制信令；常见的如：DNS隐蔽信道检测（合法的DNS请求基线，频次和规律、信息熵、语义识别）、权限异常提升、服务监控等。

渗透破坏：攻击者通过 C&C服务器控制目标设备发起进一步的恶意行为，如扫描内网其他设备的漏洞、入侵新的目标、挖掘有价值的数据或外传已窃取的数据；

常见的渗透方式有：TROJAN Windows可执行文件base64编码，INFO可疑Mozilla用户代理-可能伪造（Mozilla / 4.0），MALWARE可疑用户代理，ETPOLICYWin32 / Sogou用户代理（SOGOU_UPDATER），MALWARE-CNC Win.Trojan.ZeroAccess出站连接等。

当攻击的行为特征符合上述最后两个阶段（即“通信控制”或“渗透破坏”阶段），则可以将设备定义为已失陷，此时的设备具有较大的威胁；而符合前两个阶段（即“侦查跟踪”或“载荷投递”阶段）的设备，相对来说，威胁性较小，属于低可疑设备；而符合中间两个阶段（即“突防利用”与“安装置入”阶段）的设备，多处于低可疑与已失陷之间，定义为高可疑。此处需要说明的是，前述的攻击或被攻击设备包括服务器，路由器，交换机，PC等各种可接入网络的设备。

为了及时准确的定位攻击源，掌握攻击的状态与影响范围、程度，最大程度的减少因攻击受到的损失，本发明实施例提供了一种网络攻击的溯源分析方法，该实施例的应用中，系统内部部署有网络安全系统或设备，用于记录系统内的所有访问、流量、安全日志，监测资产是否存在异常数据或行为，发出相应的安全告警。

如图1所示的整体流程，溯源分析是基于已知的安全威胁事件，追溯威胁路径、威胁过程、攻击手法和虚拟身份，快速找出攻击的源IP、物理位置等有用信息。当关联分析或者异常分析产生告警或者发现疑似攻击行为，会将告警存入告警库，溯源分析引擎获取告警数据进行详细分析，首先是根据源IP、目的IP及其端口进行告警关联，包括进行合并和去除，筛选出相关的告警数据，然后根据缓存到本地的威胁情报库进行攻击源分析，再结合资产业务数据、漏洞数据等，分析告警所处的攻击阶段和告警发生的时间以及告警中的在攻击链条上进行过程推演，还原出攻击整个过程的时间线，进行攻击原因分析，评判攻击的影响范围、攻击的源头，目的是为网络运维人员处理问题加强安全策略提供依据。

上述的溯源分析，对每个告警的溯源结果均存储到告警溯源记录中，以便后续的告警溯源进行对比。

本发明实施例的技术方案主要为：获取指定类型的威胁情报，缓存至本地威胁情报数据库；获取本次告警信息与所述本地威胁情报，判断告警的攻击来源；根据攻击源，和/或攻击目的的设备标识，分别进行告警关联，确定所述设备所处攻击阶段并根据攻击阶段判断设备失陷等级；获取所述设备的资产信息，根据告警关联结果，确定攻击的影响范围。具体的各个分析步骤，结合附图具体进行叙述。

如图2所示，告警关联包括：

根据规定条件，获取与本次告警的源IP或目的IP一致的所有告警，所述的规定条件例如某一时间段内的告警，来自某个物理区域的告警，某种类型的威胁或攻击的告警。

对比其他告警与本次告警涉及的IP，并根据关联规则进行告警合并与告警去除，具体为：

告警关联结束后，将相关联的告警进行汇总存储到数据库。

如图3所示，攻击源的分析，是获取告警中的攻击源IP，根据DNS日志与威胁情报库，确定源IP是属于内网还是外网，如果是外网则进一步确定其地理信息，具体的分析过程区分内网攻击源与外网攻击源：

若根据告警源IP，判断攻击来源于内网，查询所述源IP在告警溯源记录的初始失陷确定度，

若查询到源IP高可疑或已失陷，根据目的IP进行告警关联，确定目的IP所处攻击阶段，并根据攻击阶段确定目的IP失陷等级；

若查询到源IP低可疑或未查询到源IP的溯源记录，根据源IP与目的IP进行告警关联，确定源IP与目的IP所处攻击阶段，并根据攻击阶段确定源IP与目的IP的失陷等级；

将所述源IP与目的IP的失陷等级更新到告警溯源记录。

若根据告警的源IP，判断攻击来源于外网，

根据本地威胁情报的地理信息标记攻击源，并将地理标记列入告警溯源记录；所述地理信息包括域名、IP与所属国家/城市信息对应关系，所述所属国家/城市信息包括经纬度信息；

获取DNS日志，在本地威胁情报中查询攻击源IP或域名：若攻击源是恶意，标记目的IP的初始失陷确定度为高可疑或已失陷；若攻击源不是恶意，标记目的IP的初始失陷确定度为低可疑；

根据所述目的IP进行告警关联，确定目的IP所处攻击阶段，并根据攻击阶段确定目的IP失陷等级；

将所述目的IP的失陷等级列入告警溯源记录。

上述的确定IP攻击阶段与失陷等级的技术方案在后面的攻击过程分析中进行叙述。

如图4所示，攻击过程分析，包括攻击阶段与失陷等级的确定：

确定IP所处的攻击阶段，具体包括：根据IP查询告警库，获取该IP经历的所有告警记录，即可得到与该IP相关的所有告警。

提取所有告警信息中的攻击行为特征，根据预设的攻击行为特征与攻击阶段的对应关系（如前述的各个攻击阶段常见的攻击特征），确定各个告警所处的攻击阶段。

从所有告警的攻击阶段中，取出最高攻击阶段作为前述查询的IP（实际上对应于外网或内网的上网设备，内网中的设备也可以称为资产）当前所处的攻击阶段；将得到的攻击阶段列入到告警溯源记录表中。

进一步，根据IP所处攻击阶段确定其失陷等级，具体包括：当处在侦查跟踪与载荷投递阶段，确定失陷等级为低可疑；当处在突防利用与安装植入阶段，确定失陷等级为高可疑；当处在通信控制与渗透破坏阶段，确定失陷等级为已失陷；同样的，将失陷等级结果列入告警溯源记录。

更进一步的，根据告警关联结果，修正告警的时间序列，得到攻击过程，具体包括：

根据上述确定的攻击阶段，划分关联告警，每个攻击阶段内的告警按时间排序，得到告警的攻击阶段序列；

根据流量日志、安全日志以及审计日志等数据，获取告警发生时间，将告警进行排序，得到告警的初始时间序列；

对比所述告警的攻击阶段序列与告警的初始时间序列，不同来源的告警，会有一定比例的误判，因此去除序列不一致的告警；对于威胁性低的内网可疑告警需要进一步的其他安全监测进行确定，为避免误判影响业务运行，去除攻击源为内网且处于侦查跟踪与载荷投递阶段的告警；

根据修正后的告警时间序列，得到攻击的传播路径，并确定攻击影响的IP与失陷等级。

作为一种优选的实施方式，根据资产信息（包括资产的属性、脆弱性、风险、承载业务状态、运行状态；所述资产属性包括地域、部门、负责人）与告警时间序列，确定所述攻击影响的业务范围。

列举一例子进行说明：经过告警关联，得到四个告警事件A，B，C，D，根据攻击分析过程确定，A处于第二阶段载荷投递，B、C处于第四阶段安装置入，D处于第六阶段渗透破坏，且第四阶段的B和C，根据发生时间排序为B在前、C在后，则这四个关联告警的攻击阶段序列为ABCD；而根据日志数据分析得到告警发生的初始时间序列却为BACD，这样可以确定A、B的攻击阶段序列与其初始时间序列不一致，那么这两个告警有可能为某个安全设备或系统发生错误告警，需要进一步的确定，本发明的实施例在此不做进一步解决，为了避免对误判的告警做出相应的处置，影响后续业务，本发明的实施例中，将A与B排除在外。经过前述的过程，可以确定关联告警的发生序列为CD，传播路径则为C的源IP、目的IP，D的源IP、目的IP，所述的IP均在攻击影响到的范围内，进一步根据前述的失陷等级确定方法确定各个IP所处的失陷级别。

作为一种优选的实施方式，安全处置建议时，首先通过资产IP在告警库中进行告警提取，然后遍历该资产的所有告警从中找出威胁的类型和来源分布，最后分别确定问题所在，包括系统安全、应用安全、数据安全、网络安全、配置安全、设备安全以及其他安全层面，最后根据资产的脆弱性信息给出合理的安全防护建议。

本领域普通技术人员可以理解实现上述实施例中的步骤或组成是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于一计算机可读取存储介质中，所述的存储介质如：ROM/RAM、磁碟、光盘等。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种网络攻击的溯源分析方法，其特征在于，包括：

获取指定类型的威胁情报，缓存至本地威胁情报数据库；

2.根据权利要求1所述的溯源分析方法，其特征在于，所述告警关联包括：

3.根据权利要求2所述的溯源分析方法，其特征在于，所述确定IP所处的攻击阶段，具体包括：根据IP查询所有告警，获取该IP经历的所有告警记录，提取告警信息中的攻击行为特征，根据预设的攻击行为特征与攻击阶段的对应关系，确定各个告警所处的攻击阶段；将告警中的最高攻击阶段作为IP当前所处的攻击阶段；将所述攻击阶段列入告警溯源记录。

4.根据权利要求3所述的溯源分析方法，其特征在于，所述根据IP所处攻击阶段确定其失陷等级，包括：确定攻击阶段与失陷等级的对应关系，根据IP所处攻击阶段确定失陷等级为低可疑、高可疑或已失陷；将失陷等级列入告警溯源记录。

5.根据权利要求4所述的溯源分析方法，其特征在于，若根据告警源IP，判断攻击来源于内网，查询所述源IP在告警溯源记录的初始失陷确定度，

将所述源IP与目的IP的失陷等级更新到告警溯源记录。

6.根据权利要求4任一项所述的溯源分析方法，其特征在于，若根据告警的源IP，判断攻击来源于外网，

将所述目的IP的失陷等级列入告警溯源记录。

7.根据权利要求1至6任一项所述的溯源分析方法，其特征在于，根据告警关联结果，修正告警的时间序列，得到攻击过程，具体包括：

根据攻击阶段划分关联告警，每个攻击阶段内的告警按时间排序，得到告警的攻击阶段序列；

8.根据权利要求7所述的溯源分析方法，其特征在于，所述设备的资产信息包括资产的属性、脆弱性、风险、承载业务状态、运行状态；所述资产属性包括地域、部门、负责人。

9.根据权利要求8所述的溯源分析方法，其特征在于，根据所述修正后的告警时间序列与资产信息，确定所述攻击影响的业务范围。