[发明专利]一种基于大数据的网络攻击监测方法和装置

说明书

本发明公开了一种基于大数据的网络攻击监测方法，包括：采集信息系统超大时空范围的安全相关数据；根据网络安全威胁线索，在所述安全相关数据中搜索与所述网络安全威胁线索相关的威胁基础数据；基于所述威胁基础数据，根据威胁模型和关联分析模型识别并描述高级网络安全威胁。公开了一种基于大数据的网络攻击监测装置，包括主机资源数据采集、网络数据采集、威胁数据搜索和威胁识别等四个模块。通过本发明，能够采集超大时间空间范围的数据，并利用大数据平台进行数据的预处理、传输、融合和分析，从而能够发现攻击持续时间长、隐蔽性好的高级可持续性威胁，克服了当前安全监测手段仅能发现APT攻击离散线索的局限性。

技术领域

本发明属于大数据技术领域，涉及大数据安全分析，特别涉及如何采集数据并利用大数据手段来解决高级网络安全威胁(如APT攻击)的监测与识别问题。

背景技术

随着网络空间安全攻防对抗逐步上升到国家或地区的层次，有组织、有国家或地区背景支持的网络攻击越来越多，并且这些攻击都明确指向了一个国家的关键信息基础设施和重要信息系统，企业级网络信息系统成为高级可持续性威胁(APT攻击)的首要目标。近年来，APT攻击呈现出时间跨度长、隐蔽程度高、攻击能力和支撑资源强等特点，现有的网络安全监测或态势感知系统由于数据采集资源的限制和分析能力的不足，通常对其无能为力。

APT攻击本质上是一个攻击链，多种不同的网络攻击手段在时间和空间上的组合，所以APT攻击的检测过程对安全事件关联分析效果的要求尤其高。目前，现有安全监测手段难以发现不同位置、不同时间段内的各个安全事件之间的潜在关联关系，仅能发现APT攻击的离散或局部线索，需要大量人工分析介入，因而无法高效率地描绘APT攻击的全貌。

只有依靠大数据才能改变当前安全防护的不利局面，使网络安全监测或态势感知真正感知高等级的网络安全威胁。数据采集方面，不但需要能够进行常规的主机资源数据、安全审计数据和网络数据采集，还能够根据策略对被删除的数据进行恢复，从中找到网络攻击隐藏的痕迹；数据分析方面，以基于攻击线索的关联分析为基础，根据APT威胁模型，强化在云端的大数据安全分析，通过超长时空范围的历史数据和真实可控的沙箱网络环境，来分析网络攻击行为，从而具备强大的网络安全态势感知能力。

发明内容

有鉴于此，本发明提供一种基于大数据的网络攻击监测方法，通过采集超大时空范围的数据，根据基于大数据的关联分析和威胁模型进行安全分析，来解决高级网络安全威胁(如APT攻击)的监测与识别问题，从而提高自动化高级威胁监测能力，帮助构建安全高效的网络主动防御体系。还提供一种基于大数据的网络攻击监测装置，通过与大数据平台的紧密融合，实现对高级网络安全威胁的有效监测和防御。

本发明提供了一种基于大数据的网络攻击监测方法，用于高级网络安全威胁的识别，其特征在于，分为如下步骤：

S1：采集信息系统超大时空范围的安全相关数据；

S2：根据网络安全威胁线索，在所述安全相关数据中搜索与所述网络安全威胁线索相关的威胁基础数据；

S3：基于所述威胁基础数据，根据威胁模型和关联分析模型识别并描述高级网络安全威胁。

如所述的网络攻击监测方法，其特征在于，在所述“S1：采集信息系统超大时空范围的安全相关数据”之前，能够制定数据采集的时间策略和空间策略；所述时间策略可指定数据采集的开始时间点和结束时间点，所述时间点可设置为从信息系统开始运行的时间至当前时间中的任意时间点；所述空间策略可指定数据采集的网络地址范围，可设置为采集一个网络地址至信息系统全部的网络地址中的任意数量。

如所述的网络攻击监测方法，其特征在于，在所述“S1：采集信息系统超大时空范围的安全相关数据”之后，所述安全相关数据通过大数据平台进行预处理、传输汇聚和融合，并存储到数据库。