[发明专利]一种攻击链情报分析方法、系统及存储介质

说明书

本发明提供一种攻击链情报分析方法及系统，采集多种途径的数据信息，将其预处理为情报数据流，克服现有技术信息仅来源于本地发生的事件和行为，分析情报数据流的高频项目组，得到其树状结构，使用不同的机器学习模型分别对情报数据流、树状结构进行分析，并进行并行溯源，得到传染面，方便管理员动态部署防御策略。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种攻击链情报分析的方法及系统。

背景技术

随着网络技术的飞速发展，企业信息化程度越来越高，对信息系统的依赖程度也达到了非常的高度的，也导致了各种新型网络攻击、敏感信息泄露等信息安全问题。传统的安全检测只能抵御来自某个方面的安全威胁，形成安全防御的孤岛，缺乏对海量信息的安全数据的关联分析，无法产生协同效应。

急需一种针对性的攻击链情报分析的方法及系统。

发明内容

本发明的目的在于提供一种攻击链情报分析的方法及系统，采集多种途径的数据信息，将其预处理为情报数据流，克服现有技术信息仅来源于本地发生的事件和行为，分析情报数据流的高频项目组，得到其树状结构，使用不同的机器学习模型分别对情报数据流、树状结构进行分析，并进行并行溯源，得到传染面，方便管理员动态部署防御策略。

第一方面，本申请提供一种攻击链情报分析方法，所述方法包括：

通过数据采集器收集交换机的镜像流量、网络流量日志、安全设备日志以及传输文件的原始数据，以及从多方不同数据源接收漏洞信息、病毒库信息、网络攻击行为特征的情报数据，将收集到的原始数据和情报数据进行缓存；

采集网络内的传感器、节点设备、信息平台、网络设备的运行状态数据、IP 数据、域名信息、URL信息、传输数据包、数据库动态信息，与所述收集到的原始数据和情报数据合并缓存，进行实时的预处理，得到标准化的情报数据流；

其中，所述预处理包括清除数据中冗余重复的信息，根据来源的类型，将数据初始化转换为统一的格式，分入对应的字段，合并成所述情报数据流；

从所述情报数据流中提取要素，发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小中的一种或若干种，从中发掘高频项目组，根据高频项目组对应的信息生成高频关联规则，加大其对应的权重，将更新权重后的数据进行数据融合，组成树状结构；

将所述情报数据流送入第一机器学习模型，检测是否包括第一攻击向量；

将所述树状结构的图形数据送入第二机器学习模型，进行形态分析，根据图形的树状结构，找出其中的关键节点，所述关键节点包括源点、分裂出并行的轨迹的节点、分裂出分支的节点、或者跨网的节点，比较所述树状结构的形状和覆盖范围与数据库中历史攻击面的形态数据的相似度，当相似度数值落入预设的区间内时，则认定当前所述树状结构与历史某一次攻击面形态吻合，调取所述历史某一次攻击面的攻击向量作为第二攻击向量；

将所述情报数据流再次送入第一机器学习模型，检测是否包括第二攻击向量；

当所述第一机器学习模型检测出所述情报数据流中包括所述第一攻击向量或第二攻击向量时，标记所述第一攻击向量或第二攻击向量所在的节点为异常，开始对所述第一攻击向量和第二攻击向量分别进行并行溯源；

获取数据库的用户关系链，所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系中的一种或若干种，将每一种关系下每一个人为所述用户关系链的一个子节点；

根据业务流程规定的前后关系、具体业务动作的经办人，得到业务关系链，将每一个经办人、经办人名下的终端、设备、文件、即时通信为所述业务关系链的一个子节点；

获取设备上传输的数据流、用户使用情况、业务办理情况，得到设备关系链，将每一个数据包、用户账号、业务动作作为所述设备关系链的一个子节点；