基于大数据背景下的攻击溯源方法研究

发表时间:2021/6/16   来源:《探索科学》2021年5月   作者:刘明 马占祥 李志伟 杜嘉祥
[导读] 随着世界互联网安全形势恶化与针对性攻击事件数量不断增多,企业攻击溯源的技术需求也在不断的提高。目前常用的攻击溯源方案普遍所采用的方式为蜜罐系统引诱+被动反制+人工介入的手段,该方法可以一定程度上解决溯源的需求,但仍存在提供的数据来源单一,无法形成完整证据链,需要大量人工排查等缺点。

北京国网电子商务有限公司   刘明  马占祥 李志伟  杜嘉祥      100000

摘要:随着世界互联网安全形势恶化与针对性攻击事件数量不断增多,企业攻击溯源的技术需求也在不断的提高。目前常用的攻击溯源方案普遍所采用的方式为蜜罐系统引诱+被动反制+人工介入的手段,该方法可以一定程度上解决溯源的需求,但仍存在提供的数据来源单一,无法形成完整证据链,需要大量人工排查等缺点。在大数据分析等技术的不断进步中,以往在其他领域中广泛应用的情报分析,情报关联,行为画像等技术也有了在攻击溯源领域应用的可能性。
关键词:大数据;威胁情报;攻击溯源;
        前言:随着大数据分析技术的不断发展与进步,以及越来越多国家的政府,大型公司提高了对安全的重视程度,攻击溯源也逐渐为大众所熟知,成为一个安全产品或安全解决方案防御效果的的重要评判依据。近年来,攻击溯源的手法在不断迭代更新,从一开始的纯人工,甚至使用灰色技术反制的方法,逐渐演变为结合多种先进技术,在法律框架下的重要安全防御手段。不但能够为防守单位提供针对性防御方案,也能帮助其在网络攻防中了解攻击者的特征和,从而做到真正的“知己知彼,百战不殆”
        1.大数据分析技术及攻击溯源目标概述
        大数据是一种IT行业的专业术语,对于其定义,在维克托·迈尔-舍恩伯格及肯尼斯·库克耶编写的《大数据时代》中有这样一句话:大数据指不用随机分析法(抽样调查)这样捷径,而采用所有数据进行分析处理[1]。通俗来说,就是通过对全量相关数据收集,利用多种分析算法,对数据进行特征提取,从而对目标进行画像,行为预测,标签化等操作。
        1.1情报大数据分析
        所谓情报分析,就是通过对多个采集源的信息进行整合,对全源数据进行综合、评估、分析和解读,将处理过的信息转化为情报,以满足已知或预期用户需求的过程[2]。利用大数据分析技术,能够快速对情报进行分类和关键内容提取,利用内容分析算法,对情报内容进行进一步分析,从而对目标进行精确画像。
        现如今,情报处理主要应用范围包括网络防御中的威胁预警,利用情报分析与行为预测技术,对即将发生的攻击进行提前预警,提前部署反制保护措施。也有综合性产品与其他安全设备进行联动,形成自动化处置流程。提高预警事件的处置效率。
        1.2攻击溯源分析
        在2010年以前,攻击溯源还不是一般公司或企事业单位所关注的主要方面。但随着针对性攻击的不断增多,由于缺少攻击溯源技术对攻击的特征的提取,一般的基于单次流量或事件进行防御的解决方案已经无法有效对不断变化攻击行为进行识别,导致防护效果降低,遭受损失的企业也逐渐开始认识到攻击溯源的重要性。
        2.现有攻击溯源方法的研究
        追踪攻击源是应对安全事件的重要组成部分。通过对受害者资产和内网流量的分析,在一定程度上还原了攻击者的攻击路径和攻击方式,有助于修复漏洞和风险,避免二次事件的发生。攻击知识可以转化为防御优势。如果你能主动预测,你就能更好地控制后果。
        目前,网络攻击溯源技术主要分为主动溯源技术与被动溯源技术。被动技术包括针对潜在恶意行为警告假设检验。主动跟踪技术依靠网络威胁情报生成攻击假设,主动搜索潜在的恶意行为。在这两种情况下,存储在安全信息和事件管理中的数据都可用于调查,以帮助安全分析师更好地调整其假设,以检测APT(高级可持续威胁)攻击。
        2.1主动溯源技术
        当今的威胁形势要求组织更加主动地进行防御,以与高级威胁和持久性威胁站在同一水平线竞争。威胁搜寻的实践已成为检测隐匿威胁参与者的关键能力。



        防守方可以确定以下关键要素:目标:识别系统,网段或特权帐户
        对抗技巧:高水平的TTP线索
        分析:验证假设所需的工具集和方法
        我们可以依托杀伤链模型[3],ATT&CK框架以及TTPs模型,以不同导向出发分析出我们需要的攻击者画像。
        对于威胁发现者而言,没有任何先例可以尝试发现其他未知的入侵。因此,由于不断发展的IT环境和威胁环境,随着时间的推移,应开发,维护和完善具有最佳实践的强大威胁搜寻模型和假设。
        2.2 被动溯源技术
        被动溯源技术依托安全设备的生态环境,让我们能通过捕获到攻击者攻击流量的同时依据攻击者的维度进行黑客画像,这种自动生成的结果极大地提升了溯源工作的效率。
        传统意义上,溯源分析是手动过程。安全分析师使用相关知识来验证来自各种来源的数据的假设。为了使攻击可追溯性分析更加有效,可以将其部分自动化或机器辅助。在这种情况下,分析人员使用相关的分析软件了解潜在风险,然后分析和调查这些潜在风险以跟踪网络中的可疑行为。
        3.基于大数据背景下的攻击溯源方法说明
        更确切的说,基于大数据下的攻击溯源方法其实是一种被动溯源与主动溯源相结合的产物,通过被动溯源采集的数据信息,结合大数据分析的关键算法,可以自动化对部分攻击事件进行溯源,显著提高溯源工作的效率。
        3.1方法模型概述
        模型基于智能化威胁情报与典型大数据情报分析算法建立,整体方案分为数据采集,智能化分类分析,数据存储,数据的展示与使用四个方面。每个方面的解决方案独立成体系,互不干扰,独立维护。采用的核心技术涉及人工智能,大数据技术,机器学些技术等。同时,基于海量历史攻击数据与开源情报数据建立黑客人员情报库与攻击手段模型库,为系统智能化识别攻击数据提供数据支撑。
        3.2模型模块及流程说明
        整体模型的业务流程分为数据处理和数据使用两部分。
        数据处理方面,主要针对采集模块采集的相关数据与本地建立的各种识别资源库两个方面,采集源数据来源混杂,包括各种身份信息,相关新闻信息等,首先通过智能分析算法,对数据噪音进行清洗,留下关联度较高的数据,而后采用大数据关联分析算法,实现单一关键字,到网状信息情报数据的转化。另外,可以通过机器学习模型,从海量流量数据中,提取攻击特性,最终通过对比本地攻击特征库,对曾发起过攻击的组织和个人实现快速识别。另外,通过不断的自动化溯源,通过自动识别分析算法得出的准确度较高的相关攻击数据,则进行格式化存储,作为攻击历史数据,为下次溯源提供重要参考。
        数据使用方面主要为数据展示模块与数据存储模块。数据展示模块主要为两个方面,一个是围绕中心检索数据形成的公开情报关系网,通过合理布局,直观展示系统用户所关注的信息。同时,利用智能排序算法对不同情报赋予参考度评分,评分较高的情报排序考前,具备较高的溯源参考价值。此方法能够帮助使用者快速定位有效信息,提高工作效率。另外对于被证实为真实攻击记录的数据,其相关情报资源,攻击首发画像等信息,将打包存储在本地攻击历史数据及黑客情报数据库中,当再次发生类似攻击行为时,第一时间进行提醒,并进行完整数据展示,以期对相关信息进行快速响应。
        4.总结
        随着安全在各行各业中重要程度不断提高,以及各种攻防演练活动的日趋频繁。溯源反制人员能力的提升以及相关自动化产品的研究也正式被各企业提上日程,通过本文论述,可知大数据技术及智能分析技术在溯源反制工作中的应用存在较大研究意义。
参考文献:
[1]维克托·迈尔-舍恩伯格.肯尼斯·库克耶.大数据时代,2013(01)
[2]美国政府.国防部军事与相关术语字典,2008(05)
[3]田志宏.网络空间高隐蔽未知威胁检测与溯源.信息通信技术,2020(06).

投稿 打印文章 转寄朋友 留言编辑 收藏文章
  期刊推荐
1/1
转寄给朋友
朋友的昵称:
朋友的邮件地址:
您的昵称:
您的邮件地址:
邮件主题:
推荐理由:

写信给编辑
标题:
内容:
您的昵称:
您的邮件地址: