[发明专利]一种针对多步攻击的实时攻击场景重构方法、系统与设备

说明书

本发明公开了一种针对多步攻击的实时攻击场景重构方法、系统与设备。本发明方法包括警报收集、警报预处理、相似度计算、警报聚合、新建警报簇、关联攻击场景、新建攻击场景等步骤。本发明通过对警报信息进行预处理来筛选警报和将警报与TTP进行关联，实现对警报数据的清洗和初步分析，提高聚合关联的效率；利用警报之间的相似度来将大量高度重复的警报聚合为警报簇，有效解决了入侵警报的冗余问题，同时警报的初步聚合有助于系统提高关联速度，降低系统开销；通过先验知识对警报簇进行前后因果关联，基于实时的映射匹配算法实时重构出攻击场景，实现了对攻击者的攻击链条的复现和攻击意图的展现，使得本发明可以更加高效直观地重构攻击场景。

技术领域

本发明涉及网络空间安全技术领域，特别是一种针对多步攻击的实时攻击场景重构方法、系统与设备。

背景技术

计算机技术的高速发展，在为生产生活带来极大便利的同时，也带来了诸多网络安全隐患。当前，网络攻击活动呈现出多元化、复杂化和频繁化的趋势，造成的网络安全威胁也越来越严重。在众多的网络攻击活动中，多步攻击场景占了很大比例，成为需要防范的重点。不同于传统的单步攻击，多步攻击场景由多个不同的攻击行为构成的完整攻击事件，其存在高隐蔽、高威胁等特点。及时、精准的通过攻击活动还原出多步攻击的全貌，并对攻击者的下一步攻击和攻击意图进行预测，对保护系统的网络安全有着重要的意义。

入侵检测被广泛应用于检测计算机网络中违反安全策略行为，而入侵检测系统(IDS)作为应用入侵检测技术的主动防御体系，目前基于特征和异常的传统IDS是商业应用最广泛的解决方案。但是，入侵检测系统仅能对单独的攻击行为进行报警，在当前的攻击活动检测中，会造成大量冗余和高度相似的攻击警报，造成警报疲劳，使得网络安全管理员无法快速直观地识别攻击者的攻击意图。因而，我们需要使用攻击场景重构技术，将大量杂乱的告警信息整合成完整的攻击事件。

真实的有效攻击往往是复杂的、多阶段的，通过协调各种单点攻击达到最终的攻击目标，而单条告警中呈现出的信息不足以表征整个攻击行为。攻击场景一般被定义为由入侵检测系统输出的警报信息依据某种联系(例如属性相似度、前后因果关系等)组成的警报集合。攻击场景多用来描述一次完整的攻击，而攻击场景重构技术就是从大量冗余的警报数据中还原攻击场景的全链条，帮助网络安全管理员对日常告警进行安全分析与维护。

发明内容

发明目的：针对现有技术存在的问题，本发明的目的在于提供一种针对多步攻击的实时攻击场景重构方法、系统与设备，将大量的入侵警报进行预处理、聚合和关联，实时重构出攻击场景，缓解入侵检测中的警报疲劳问题，同时还原攻击全过程、攻击者意图和攻击影响。

技术方案：实现本发明目的的技术解决方案为：一种针对多步攻击的实时攻击场景重构方法，包括如下步骤：

基于网络入侵检测系统检测网络攻击形成原始警报信息，包括源IP地址、源端口、目的IP地址、目的端口、时间戳、触发规则和攻击类型；

对原始警报信息进行分析，添加威胁程度字段，并将攻击与TTP(Tactics,Techniques and Procedures；战术、技术和过程)框架关联起来在警报中添加TTP字段，标识警报的攻击阶段和攻击技术，得到待匹配的警报；

计算待匹配的警报与警报簇之间的属性相似度，如果存在相似度超过设定阈值的警报簇，则更新该警报簇信息，否则新建警报簇，得到待匹配的警报簇；所述警报簇聚合了同一攻击者同一攻击阶段对同一目标主机发起的同一类型的多次攻击产生的警报；

使用基于经验知识和基于因果关系的攻击场景重构技术，依据预处理挖掘出的因果知识和语义知识，通过专家知识提前构建出攻击模板，为每个待匹配的警报簇代表的攻击行为匹配到符合某攻击模板的攻击阶段；如果能够匹配到，则关联该警报簇到攻击场景中，否则根据警报簇新建攻击场景。