[发明专利]一种面向攻击溯源的威胁情报分析系统

说明书

技术领域

本发明涉及一种面向攻击溯源的威胁情报分析系统，属于网络安全技术领域。

背景技术

威胁情报(threat intelligence)是一种基于证据来描述威胁的知识信息，包括威胁相关的上下文信息(context)、威胁所使用的方法机制、威胁相关指标(indictors)攻击影响以及应对行动建议等。威胁情报用来描述安全威胁，给组织或第三方提供决策建议。威胁情报的目的是为还原已发生和预测未发生的攻击提供一切线索，尽可能多地了解攻击者的动机、战术方法、工具、资源以及行为过程等诸多方面，并建立有效的防御体系。威胁情报一般由威胁信息和防御信息两部分内容组成。其中威胁信息包括：攻击源，即攻击者身份IP、DNS、URL等；攻击方式，如武器库；攻击对象，如指纹信息；漏洞信息，如漏洞库。防御信息包括：策略库、访问控制列表等。

目前，关于威胁情报的专利主要分为两类：

(1)威胁情报采集，生成及处理方法。现有专利包括：威胁情报的生成方法及装置(公开号为CN105897751A)、一种网络安全威胁情报处理方法及系统(公开号为CN105743877A)、一种基于web的威胁情报采集系统及方法(公开号为CN105763530A)。

(2)威胁情报共享方法。现有的专利包括：一种网络威胁情报共享模型(公开号为CN106060018A)。

上述方法存在着一定的局限性：

(1)威胁情报采集，生成及处理方法中，现有的几种专利均从建立白样本特征情报库出发，若情报并未在白样本特征库中出现，则产生威胁情报。上述方法使用了较为简单的白名单方法，首先产生威胁情报的方式较为单一，威胁情报来源也不够广泛，漏报或误报率可能较高，方法泛化性较差。而且，仅仅描述了产生威胁情报的方法，并没有形成一种完备的威胁情报分析分析系统。(2)威胁情报共享方法则是基于解决当前在网络威胁情报自动化处理和跨部门信息共享之间存在的缺乏统一规范、情报共享效率低和情报由于共享带来的泄密风险的问题而提出的。

发明内容

针对现有技术存在的不足，本发明目的是提供一种面向攻击溯源的威胁情报分析系统，本发明将威胁情报共享和威胁情报分析系统融合在一起，将威胁情报共享作为威胁情报来源的外部输入，使威胁情报分析系统的数据更加广泛，通过情报共享获得攻击者的相关信息，同时结合企业内部的基础安全监测系统和安全分析模块提供的威胁情报，能够准确快速的锁定攻击者。

为了实现上述目的，本发明是通过如下的技术方案来实现：

本发明的一种面向攻击溯源的威胁情报分析系统，包括内部威胁情报收集模块、外部威胁情报收集模块和攻击溯源分析模块；所述内部威胁情报收集模块包括安全检测模块和安全分析模块；所述外部威胁情报收集模块包括互联网公开情报源、合作交换情报源和商业共享情报源；所述攻击溯源分析模块包括攻击者溯源和攻击主机溯源；通过所述内部威胁情报收集模块和外部威胁情报收集模块收集得到的威胁情报上传到攻击溯源分析模块，所述攻击溯源分析模块对威胁情报进行攻击者溯源和攻击主机溯源，将得到的结果反馈给安全检测模块和安全分析模块；同时结果也会和外部合作企业进行威胁情报共享交换。

上述安全检测模块中的情报来源包括：防火墙、入侵检测系统、漏洞扫描系统、防病毒系统和终端安全管理系统；当数据流通过防火墙时，防火墙所记录下的日志信息；入侵检测系统对异常网络行为进行记录，并产生的日志信息；漏洞扫描系统基于漏洞数据库，通过扫描对企业内部计算机系统的安全脆弱性进行检测，从而找出的可利用漏洞信息；防病毒系统对网络内部的可疑文件进行隔离产生的信息；终端安全管理系统收集的安全管理事件操作信息。

上述安全分析模块中的情报来源是：安全信息与事件管理SIEM、安全运营中心和安全管理平台；安全信息与事件管理SIEM从企业安全控件、主机操作系统收集得到的安全日志数据；安全运营中心针对企业海量事件和漏洞信息进行收集过滤、管理和分析得到的情报；安全管理平台以安全风险管理为指导的面向信息资产的安全运行监测、风险度量和安全运维得到的信息。

上述互联网公开情报源中的情报来源是：安全态势信息、安全事件信息、各种网络安全预警信息、网络监控数据分析结果、IP地址信誉；所述合作交换情报源中的情报来源是：来自建立合作关系的机构，通过在互利互惠基础上实现的共享合作机制进行保障的合作交换情报；所述商业共享情报源中的情报来源是：完全通过商业付费行为得到的商业购买情报。

上述攻击者溯源具体采用的方法如下：