[发明专利]一种基于策略的攻击溯源方法

权利要求书

1.一种基于策略的攻击溯源方法，其特征在于，包括：

获取网络攻击数据，从网络攻击数据中采集网络攻击的源IP、目标IP以及攻击事件信息，对被攻击主机归类攻击方法以及划分主机被攻击的程度，构建规则知识库；所述规则知识库包括攻击矩阵，所述攻击矩阵的横向表示攻击阶段，纵向表示各攻击阶段对应的攻击类型；其中攻击阶段包括信息收集、弱点发现、载荷投递、突防利用、通信控制以及达成目标；攻击程度从信息收集、弱点发现、载荷投递、突防利用、通信控制、达成目标危害程度逐渐增加；

提取攻击信息中的源IP、目的IP和攻击事件，根据主机之间的源、目的IP确认访问关系，将攻击事件与所述攻击矩阵进行匹配，确定攻击事件与攻击步骤之间的映射关系；

根据各个攻击步骤中攻击类型及所属的攻击阶段确定攻击权重；根据各攻击步骤的权重大小以及攻击次数确定攻击风险指标，根据风险指标确定具有风险的主机。

2.根据权利要求1所述的一种基于策略的攻击溯源方法，其特征在于，所述信息收集的攻击阶段对应的攻击类型包括端口扫描、指纹识别、存活主机探测、外部移动介质接入以及主机扫描。

3.根据权利要求1所述的一种基于策略的攻击溯源方法，其特征在于，所述弱点发现的攻击阶段对应的攻击类型包括口令爆破、web服务漏洞挖掘、中间件服务漏洞挖掘、数据库服务漏洞挖掘以及通用服务漏洞挖掘。

4.根据权利要求1所述的一种基于策略的攻击溯源方法，其特征在于，所述载荷投递的攻击阶段对应的攻击类型上传可执行文件、上传未编译的源码、上传木马文件、通过外接设备感染恶意代码以及发送钓鱼邮件、短信、论坛回帖。

5.根据权利要求1所述的一种基于策略的攻击溯源方法，其特征在于，所述突防利用的攻击阶段对应的攻击类型包括执行恶意代码、移动恶意文件、编译恶意源码、增添文件权限以及后门漏洞利用。

6.根据权利要求1所述的一种基于策略的攻击溯源方法，其特征在于，所述通信控制的攻击阶段对应的攻击类型包括开启定时任务、新增或篡改账号、启动代理、启动守护进程以及应用篡改。

7.根据权利要求1所述的一种基于策略的攻击溯源方法，其特征在于，所述达成目标的攻击阶段对应的攻击类型包括凭证访问、资产发现、横向移动、信息收集以及命令与控制。

8.根据权利要求1所述的一种基于策略的攻击溯源方法，其特征在于，还包括添加访问的策略，对于信任的主机、或者主机的操作权限进行设定，已经设定的主机和操作不进行风险指标的计算。

9.根据权利要求1所述的一种基于策略的攻击溯源方法，其特征在于，所述攻击风险指标表示如下：

其中R为攻击风险指标；i为攻击阶段，j为攻击类型，n为攻击次数；w_ij 为攻击阶段为i攻击类型为j的攻击权重。