一种聚合式持续分析自动发现恶意攻击源方法.docVIP

一种聚合式持续分析自动发现恶意攻击源的方法 　　摘 要 　　针对高威胁网络安全事件隐蔽性强、攻击手法多样难以早期发现的问题，研究多维度分析评价及自动筛选高威胁目标的方法，采用具备对高威胁目标进行历史事件关联的持续监督技术，实现高威胁网络安全事件的早期发现，提升安全预警能力。本文提出了一种聚合式持续分析自动发现恶意攻击源的方法，该方法提出了一种新的威胁度计算模型，该计算模型综合了攻击源多维度的信息，利用机器学习中的回归分析方法，针对具体的网络安全环境，可训练出具体的威胁度计算模型，利用计算得到的模型，可对未知的攻击源，实时进行威胁度的计算，通过威胁度的大小来自动识别恶意的攻击源。 　　【关键词】聚合式持续分析 恶意攻击源 攻击手段 　　1 背景分析 　　随着大数据技术的快速发展，使得数据采集技术以及大数据存储得到快速的发展，将之前各个安全设备、网络设备、防病毒设备、服务器等孤立的安全告警事件，?M行了汇集，希望通过关联分析的技术，机器学习技术，发现高威胁的网络安全事件，定位高威胁的攻击源。 　　目前现有的方法，主要是基于攻击特征的检测，发现攻击行为来定位攻击源，通过攻击行为的威胁程度来定位攻击源的威胁程度，但是攻击者采用的攻击手段不断变化，而且攻击过程会体现反复持续的过程，只是通过实时的告警事件，来定位一个攻击源的威胁程度，会面临这样几个问题，一是由于安全设备的误报，会导致上报了大量的攻击源，对所有的攻击源进行确认，是个非常浩大的工程；二是攻击源采用的攻击手段不断在变化，发生的告警事件也会不断发生变化，定位一个攻击源的威胁程度，需要结合历史情况进行综合分析；三是如何实时的结合历史，实时的发现那些高威胁的恶意攻击源，如果基于历史事件的离线分析，可以事后发现那些高威胁的恶意攻击源，但是不是安全监测和分析的目标。 　　高威胁的网络安全事件隐藏在海量的安全告警事件中，攻击手段多样，持续时间较长，攻击目标精准，要发现这些高威胁的攻击源，需要通过分析机制从大量的攻击源中，识别出可疑的攻击源范围，再利用持续跟踪分析的方法对可疑的攻击源进行持续的跟踪分析，从而定位出高威胁的攻击源。 　　2 定位可疑攻击源 　　定位可疑攻击源，是发现恶意攻击源的前提条件，安全设备每天上报的攻击源成千上万甚至上百万，但是真正恶意的攻击源往往不到1%，如果不经过筛选，而是直接对所有的攻击源进行持续的跟踪，会使得分析没有目标，大大浪费计算的资源和分析的工作，也会降低分析的效率，不能真正的定位出恶意的攻击源来。 　　分析一个攻击源是否为可疑的攻击源，需要综合考虑多个因素，如攻击源采用的攻击手段、攻击针对的目标、攻击的频率、情报匹配、异常行为特征匹配等。 　　聚合分析以攻击源为聚合目标，聚合各种跟攻击源相关的信息，如攻击源持续的攻击时间、采用的所有攻击手段、攻击的目标范围、攻击次数、情报匹配情况、异常行为检测情况等信息，在聚合的过程中，基于可疑攻击源识别策略识别可疑攻击源，可疑攻击源识别后，进入后续的持续跟踪分析，通过持续跟踪分析，最后定位出恶意的攻击源。 　　可疑攻击源识别的策略包括发生高等级告警事件的攻击源，进行频繁扫描的攻击源，发生某些异常行为的攻击源，针对高等级资产的攻击源等，这些被识别为可疑的攻击源，后续会进行持续的跟踪，在持续跟踪的过程中，会利用威胁度计算模型，实时计算攻击源的威胁度，通过威胁度来自动识别恶意的攻击源。 　　3 聚合式持续跟踪分析识别恶意攻击源 　　在持续跟踪分析的过程中，要持续聚合跟攻击源相关的多维信息，在持续跟踪的过程中，对聚合的信息基于威胁度分析模型，实时计算攻击源的威胁度，通过威胁度来实时自动识别恶意的攻击源。 　　3.1 威胁度计算模型 　　攻击源威胁度分析模型涉及的分析维度有：攻击源攻击持续的时长、采用了哪些攻击手段类型、最高阶攻击阶段（攻击阶段按照标准划分为8个阶段）、持续聚合的攻击事件数量、持续聚合的攻击目标资产范围、持续聚合的攻击目标资产脆弱性情况、持续聚合的威胁情报分析情况、持续聚合的攻击场景等。 　　3.1.1 攻击持续时间 　　该维度通过持续跟踪攻击源的安全告警事件，计算最新攻击时间与攻击开始时间的时间间隔，该维度体现攻击源攻击的持续时间，数据以天作为分析单位，数据处理规则如表1所示。 　　3.1.2 采用的攻击手段类型 　　在持续跟踪分析的过程中，持续的聚合攻击源所有相关的安全事件，在分析的过程中，除了会聚合攻击源的攻击告警事件，同时也会聚合攻击源的异常行为事件。 　　该维度体现了攻击源攻击方式的尝试，同时也体现了攻击渗透的过程，数据处理规则如表2所示。 　　3.1.3 当前最高告警级别 　　在持续跟踪分析的过程中，会不断聚合各种攻击告警事件和异常行为事件，每种事件的告警