網絡攻擊鏈的智能化追蹤與阻斷方法及系統與流程

本發明涉及網絡安全技術，尤其涉及一種網絡攻擊鏈的智能化追蹤與阻斷方法及系統。

背景技術：

1、隨著網絡攻擊的復雜化和智能化，傳統基于規則匹配的攻擊檢測方法難以應對攻擊鏈的動態演變。現有技術主要依賴固定特征庫進行攻擊識別，無法有效追蹤攻擊鏈在網絡中的傳播路徑，導致防御部署盲目且效果欠佳。

2、目前的網絡防護系統缺乏對攻擊者行為的深度分析能力，難以準確刻畫攻擊者的技術特征和攻擊意圖。同時，由于缺乏自適應的數據采集機制和智能化的特征提取方法，導致采集的攻擊數據質量不高，無法支撐對攻擊鏈的精準追蹤。

3、現有防御方法往往采用靜態的防護策略，無法根據攻擊鏈的演進動態調整防御措施，且缺乏對防御效果的閉環優化機制。因此亟需一種能夠智能化追蹤攻擊鏈傳播路徑、精準分析攻擊者行為特征、動態優化防御策略的網絡攻擊防護方法。

技術實現思路

1、本發明實施例提供一種網絡攻擊鏈的智能化追蹤與阻斷方法及系統，能夠解決現有技術中的問題。

2、本發明實施例的第一方面，提供一種網絡攻擊鏈的智能化追蹤與阻斷方法，包括：

3、采集網絡流量數據并建立攻擊鏈傳播路徑，在傳播路徑上設置檢測斷點，根據網絡負載自動調整采樣時間間隔，獲取各檢測斷點的數據樣本，對數據樣本進行因果關聯分析，基于關聯分析結果提取攻擊鏈傳播路徑中各節點間的數據傳輸特征，將數據傳輸特征轉化為行為序列特征；

4、采用雙向特征匹配機制對行為序列特征與預設攻擊模式進行匹配得到相似度，當相似度超過動態閾值時，基于行為序列特征預測攻擊鏈演進路徑，并根據攻擊鏈演進路徑確定防御部署節點位置；

5、在防御部署節點位置部署蜜罐服務和流量探針，通過蜜罐服務獲取攻擊者操作行為，通過流量探針獲取攻擊流量特征，基于操作行為和流量特征生成攻擊者畫像；

6、根據攻擊者畫像分析確定攻擊意圖，針對攻擊意圖制定包括訪問控制和流量重定向的防御策略，向防御設備下發防御策略實現攻擊鏈阻斷，獲取阻斷結果并根據阻斷結果優化防御策略。

7、在一種可選的實施例中，

8、采集網絡流量數據并建立攻擊鏈傳播路徑，在傳播路徑上設置檢測斷點，根據網絡負載自動調整采樣時間間隔，獲取各檢測斷點的數據樣本包括：

9、獲取網絡流量數據，計算網絡鏈路的數據包數量、傳輸字節量和鏈路利用率得到網絡負載狀態，根據所述網絡負載狀態動態調整采樣時間間隔，當所述網絡負載狀態高于預設負載閾值時增大采樣時間間隔，當所述網絡負載狀態低于預設負載閾值時減小采樣時間間隔；

10、對采集的網絡流量數據進行會話重組，提取會話的源目地址、通信時間和協議類型，將所述源目地址作為通信節點，根據所述通信時間對節點間數據傳輸排序，基于所述協議類型標記節點間關聯；

11、分析節點間的傳輸速率和交互頻率，將滿足預設傳輸規則的節點組合構建為初始攻擊鏈路，基于所述初始攻擊鏈路中節點間的協議變化和數據流向驗證得到攻擊鏈傳播路徑；

12、計算所述攻擊鏈傳播路徑中節點的連接數量和數據吞吐量得到節點監測優先級，根據所述節點監測優先級確定監測位置，在所述監測位置設置檢測點，采集應用層數據，提取負載內容和行為特征，按照采樣時間間隔和檢測斷點標識對數據進行分組，獲取各檢測點的數據樣本。

13、在一種可選的實施例中，

14、對數據樣本進行因果關聯分析，基于關聯分析結果提取攻擊鏈傳播路徑中各節點間的數據傳輸特征，將數據傳輸特征轉化為行為序列特征包括：

15、根據數據樣本的時間戳構建時序序列，計算時序序列中相鄰數據樣本的條件互信息得到樣本影響值，基于所述樣本影響值確定時間窗口大小，對數據樣本進行時序分組得到分組數據；

16、對分組數據中樣本對進行因果關聯計算得到關聯強度值，根據所述關聯強度值對分組數據進行聚類得到數據傳輸模式，從所述數據傳輸模式中提取流量變化特征、協議轉換特征和時延分布特征，并進行組合形成數據傳輸特征矩陣，基于所述數據傳輸特征矩陣計算特征轉化概率得到特征映射矩陣；

17、根據歷史防御結果計算特征映射偏差值，基于所述特征映射偏差值對特征映射矩陣進行更新，利用更新后的特征映射矩陣將所述數據傳輸特征矩陣轉化為行為特征序列。

18、在一種可選的實施例中，

19、采用雙向特征匹配機制對行為序列特征與預設攻擊模式進行匹配得到相似度，當相似度超過動態閾值時，基于行為序列特征預測攻擊鏈演進路徑，并根據攻擊鏈演進路徑確定防御部署節點位置包括：

20、從行為序列特征中提取指令級別切換數據、內存訪問數據和進程通信數據，生成時序特征序列；

21、對所述時序特征序列進行分段得到行為階段集合，將所述行為階段集合劃分為多個重疊子序列，計算所述重疊子序列與預設攻擊模式的最長公共子序列長度得到得到局部匹配度，基于局部匹配度的累積分布計算全局相似度；

22、基于歷史匹配樣本計算補償系數，將所述補償系數與基準閾值相乘得到動態閾值，將所述全局相似度與所述動態閾值進行比對，當所述全局相似度超過動態閾值時，根據行為階段集合構建狀態轉移矩陣；

23、基于所述狀態轉移矩陣構建馬爾可夫增益矩陣，計算所述馬爾可夫增益矩陣的特征向量得到節點重要度，選擇所述節點重要度最大的路徑作為攻擊鏈演進路徑；

24、計算所述攻擊鏈演進路徑中各節點的入度中心性和出度中心性之比得到節點影響系數，根據所述節點影響系數由大到小排序確定防御部署節點位置。

25、在一種可選的實施例中，

26、在防御部署節點位置部署蜜罐服務和流量探針，通過蜜罐服務獲取攻擊者操作行為，通過流量探針獲取攻擊流量特征，基于操作行為和流量特征生成攻擊者畫像包括：

27、在防御部署節點位置部署蜜罐服務和流量探針；

28、在所述蜜罐服務中構建包括真實指令流水線和虛擬指令流水線的指令執行環境，將攻擊者的操作行為同時送入真實指令流水線和虛擬指令流水線執行，提取兩個流水線的執行差異得到操作擾動特征；

29、根據所述操作擾動特征識別攻擊者的隱藏操作行為，基于所述隱藏操作行為構建欺騙響應環境，在所述欺騙響應環境中返回符合攻擊者預期的響應結果，記錄攻擊者的后續操作行為；

30、通過所述流量探針獲取攻擊流量，提取所述攻擊流量的載荷數據；

31、對所述載荷數據進行深度包解析得到協議字段結構，計算所述協議字段結構的信息熵得到流量特征，根據所述流量特征識別出攻擊者的流量偽裝方式；

32、將所述操作行為與流量特征在時間維度上映射，提取映射結果的關聯部分得到攻擊特征，根據所述攻擊特征將攻擊過程劃分為多個階段，基于各階段的隱藏操作行為和流量特征生成攻擊者畫像。

33、在一種可選的實施例中，

34、對所述載荷數據進行深度包解析得到協議字段結構，計算所述協議字段結構的信息熵得到流量特征，根據所述流量特征識別出攻擊者的流量偽裝方式包括：

35、對載荷數據進行分層解析，采用滑動窗口計算字節序列的條件概率分布，基于所述條件概率分布將相關聯的字節序列劃分為字段單元，將所述字段單元構建為協議字段樹；

36、在協議字段樹的每一層計算字段類型分布得到類型熵值，計算字段長度分布得到長度熵值，基于所述類型熵值和長度熵值構建當前層的結構特征，提取所述協議字段樹中相鄰層級間的結構特征差值得到層間差異序列，從層間差異序列中識別出結構突變層，所述結構突變層對應攻擊者的協議改寫位置；

37、對所述結構突變層的結構特征進行時序分析得到變化周期，基于所述變化周期將結構特征分組，計算每組特征的波動規律得到混淆模式，將所述協議改寫位置和混淆模式組合形成協議變形特征，根據所述協議變形特征識別攻擊者采用的流量偽裝方式。

38、在一種可選的實施例中，

39、根據攻擊者畫像分析確定攻擊意圖，針對攻擊意圖制定包括訪問控制和流量重定向的防御策略，向防御設備下發防御策略實現攻擊鏈阻斷，獲取阻斷結果并根據阻斷結果優化防御策略包括：

40、從攻擊者畫像中提取攻擊路徑特征，計算所述攻擊路徑特征中的節點狀態分布得到狀態轉移概率，將當前攻擊狀態與所述狀態轉移概率進行關聯運算，得到目標節點預測概率，基于所述目標節點預測概率確定攻擊意圖；

41、針對所述攻擊意圖分析受影響節點，根據受影響節點的分布位置和攻擊意圖的危害程度，生成訪問控制策略，所述訪問控制策略包括節點訪問權限和操作限制條件；

42、在所述受影響節點構建誘導環境，基于所述攻擊意圖設置誘導環境的響應特征，生成用于將攻擊流量引導至誘導環境的重定向策略；

43、將所述訪問控制策略和重定向策略按照防御設備的處理性能進行分級，生成基礎防御策略和增強防御策略；

44、向防御設備下發基礎防御策略和增強防御策略，同時采集防御設備執行防御策略過程中的阻斷數據和性能數據，根據所述阻斷數據計算防御效果，基于所述防御效果和性能數據調整訪問控制策略中的訪問權限粒度和重定向策略中的流量引導比例，更新基礎防御策略和增強防御策略。

45、本發明實施例的第二方面，提供一種網絡攻擊鏈的智能化追蹤與阻斷系統，包括：

46、第一單元，用于采集網絡流量數據并建立攻擊鏈傳播路徑，在傳播路徑上設置檢測斷點，根據網絡負載自動調整采樣時間間隔，獲取各檢測斷點的數據樣本，對數據樣本進行因果關聯分析，基于關聯分析結果提取攻擊鏈傳播路徑中各節點間的數據傳輸特征，將數據傳輸特征轉化為行為序列特征；

47、第二單元，用于采用雙向特征匹配機制對行為序列特征與預設攻擊模式進行匹配得到相似度，當相似度超過動態閾值時，基于行為序列特征預測攻擊鏈演進路徑，并根據攻擊鏈演進路徑確定防御部署節點位置；

48、第三單元，用于在防御部署節點位置部署蜜罐服務和流量探針，通過蜜罐服務獲取攻擊者操作行為，通過流量探針獲取攻擊流量特征，基于操作行為和流量特征生成攻擊者畫像；

49、第四單元，根據攻擊者畫像分析確定攻擊意圖，針對攻擊意圖制定包括訪問控制和流量重定向的防御策略，向防御設備下發防御策略實現攻擊鏈阻斷，獲取阻斷結果并根據阻斷結果優化防御策略。

50、本發明實施例的第三方面，提供一種電子設備，包括：

51、處理器；

52、用于存儲處理器可執行指令的存儲器；

53、其中，所述處理器被配置為調用所述存儲器存儲的指令，以執行前述所述的方法。

54、本發明實施例的第四方面，提供一種計算機可讀存儲介質，其上存儲有計算機程序指令，所述計算機程序指令被處理器執行時實現前述所述的方法。

55、在本實施例中，通過采集網絡流量數據并建立攻擊鏈傳播路徑，設置檢測斷點進行因果關聯分析，提取數據傳輸特征并轉化為行為序列特征，實現了對攻擊鏈的精準識別和追蹤，提高了網絡安全防御的準確性。采用雙向特征匹配機制對行為序列特征與預設攻擊模式進行匹配，并基于此預測攻擊鏈演進路徑，在關鍵節點部署蜜罐服務和流量探針，能夠主動獲取攻擊者操作行為和流量特征，形成全面的攻擊者畫像，增強了網絡防御的前瞻性和針對性。根據攻擊者畫像分析確定攻擊意圖，制定包括訪問控制和流量重定向的防御策略，并根據阻斷結果不斷優化防御策略，實現了網絡攻擊的智能化阻斷，提升了網絡安全防御的自適應能力和防御效果，降低了網絡安全風險。