【技术实现步骤摘要】
本专利技术属于网络空间威胁框架和攻击链构建,具体涉及一种基于融合网空威胁框架的攻击链构建方法。
技术介绍
1、传统的网络安全防御方法大多只能在单个节点上进行部署,如端点反病毒检测、ids、防火墙等,没有从网络的整体考虑系统的脆弱性。但是,随着网络安全上升到国家安全的层面,网空已成为大国博弈与地缘斗争的激烈对抗领域,对网空安全构成严重危害的主体威胁,已转化为apt形式的体系化攻击。持续进化的网络威胁环境使得网络攻击场景变得愈加复杂,鉴于apt攻击作业的持久性,跨时间域、跨网域而离散发生的多起威胁事件,本质上属于同一攻击作业过程。这些威胁事件看似都是孤立存在的,实际上,它们服务于同一攻击作业中不同阶段不同目的,具有前后关联、配合协作的内在联系。在这种多阶段的攻击模式下,防御者只有从整体视角考虑系统的安全性,分析攻击者可能的攻击路径与攻击行为,才能针对性地实施加固方案,为网络安全主动防御提供重要的参考依据,以应对多步攻击威胁。
2、目前针对攻击链构建的研究,一方面,对已产生的攻击行为进行分析,挖掘其中隐藏的相关逻辑,进而推测攻击者后续的攻击路径;另一方面,通过评估网络拓扑的连通性、脆弱性、暴露面,找到代价最小、高效精准的攻击路径。但无论是哪种方法,都是从防御者的视角出发,不能充分认识高能力对手战术技术体系、不能推测和仿真对手所隐藏的战术技术能力,因此不能保证所构建的攻击链真实、全面与可信。
3、网空对抗的严峻形势,促就了网空威胁框架的提出与发展。网空威胁框架提供了一套科学的方法和工具体系,能够更深入地认知apt
4、因此,本专利技术在强敌背景下研究基于融合网空威胁框架的攻击链构建方法,可有效解决防御者更好地保护系统安全的问题。
5、缩略语和关键术语的定义
6、apt:advanced persistent threat,高级持续威胁。
7、网空威胁框架:网空威胁框架是一套科学的方法和工具体系,能够更深入地认知apt形式的网空威胁,系统全面地分析其攻击意图、手法、过程与技术,达成增强防御有效性的目标。
8、网空杀伤链框架:cyber kill chain framework,网空杀伤链框架,是具有影响力的网空威胁框架之一。洛克希德-马丁于2011年提出网空杀伤链框架,将网空威胁划分为7个阶段,分别是“侦察跟踪-武器构建-载荷投送-突防利用-安装植入-通信控制-达成目标”。
9、att&ck框架:common knowledge base of adversary tactics and techniques,对手战术技术公共知识库,是具有影响力的网空威胁框架之一。att&ck框架从大量的现实网空威胁中提炼出攻击行动的具体信息,对这些信息进行了细致的技术分解与特征描述,进而构造了丰富的攻击者战术技术知识库。
技术实现思路
1、(一)要解决的技术问题
2、本专利技术要解决的技术问题是:本专利技术针对防御者普遍存在对高能力对手战术技术体系认识不充分、不能推测和仿真对手所隐藏的战术技术能力等问题,从而不能保证所构建的攻击链真实、全面与可信。本专利技术考虑网空威胁框架能够系统全面地分析攻击意图、手法、过程与技术,达成增强防御有效性的优势,创造性的提出基于“洛克希德-马丁的网空杀伤链框架”和“mitre的att&ck框架”两种网空威胁框架融合的攻击链构建方法。
3、(二)技术方案
4、为了解决上述技术问题,本专利技术提供一种基于融合网空威胁框架的攻击链构建方法,为高度还原潜在战争对手的真实网空攻击能力和作业特点,所述方法为一种基于“洛克希德-马丁的网空杀伤链框架”和“mitre的att&ck框架”两种网空威胁框架融合的攻击链构建方法。
5、其中,所述方法中:
6、步骤1:首先,将“网空杀伤链框架”的攻击链式结构与“att&ck框架”细粒度网空攻击技术知识进行融合,构建面向强敌行为信息的融合网空威胁框架;
7、步骤2:然后,基于融合网空威胁框架,对已曝光的重大网空威胁事件进行分析,将攻击过程映射至融合网空威胁框架中,分别提炼出针对不同类型网络信息系统的攻击链,作为攻击链模板;
8、步骤3:最后,结合目标网络信息系统实际情况选取攻击链模板,进一步分析目标网络信息系统中可被实施攻击的实体,对攻击链进行相应修改与编辑,构建针对该目标网络信息系统的攻击链,从而仿真高能力对手的攻击过程;
9、其中,所述步骤1中,融合网空威胁框架构建;
10、本步骤以“网空杀伤链框架”和“att&ck框架”为输入,进行两个威胁框架优缺点分析、合并操作,实现融合,最后输出“融合网空威胁框架”。
11、其中,所述步骤1中,进行:
12、步骤11:优缺点分析
13、■网空杀伤链框架
14、网空杀伤链框架用来描述针对性的分阶段攻击,每一环节都是对攻击做出侦测和反应的机会;涵盖了网络攻击所需的7个阶段:侦察跟踪、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、目标达成;
15、该框架指导性强,但阶段不够全面,技术细节相对简单,欠缺实践性;
16、■att&ck框架
17、att&ck框架是一套技术细节丰富、易于共享应用的攻击行为分析模型和知识库;涵盖了网络攻击所需的14个阶段:侦察、资源开发、初始访问、执行、持久化、提权、防御规避、凭证访问、发现、横向移动、收集、命令与控制、数据渗出、影响;在每一阶段下,包含可支持此阶段的攻击技术,为达成“初始访问”,可运用技术“水坑攻击”、“通过可移动介质复制”或“使用鱼叉式钓鱼附件”;
18、该框架具备丰富的技术性细节,但各阶段安排是无序的,无法指导攻击链的构建。
19、其中,所述步骤1中,进行:
20、步骤12:合并
21、本步骤以“优势保留、缺点去除”为原则对两个威胁框架进行合并,对于“网空杀伤链框架”,保留其阶段的有序性,去除技术细节的单一性;对于“att&ck框架”,保留其技术细节的丰富性,去除阶段的无序性;
22、■阶段合并
23、对两个威胁框架的阶段执行取并集操作,然后对各阶段按照实际攻击顺序进行排序;在取并集过程中,“网空杀伤链框架”的“侦察跟踪”阶段等同于“att&ck框架”的“侦察”阶段;“网空杀伤链框架”的“载荷投递”阶段等同于“att&ck框架”的“初始访问”阶段;“网空杀伤链框架”的“安装植入”阶段等同于本文档来自技高网...
【技术保护点】
1.一种基于融合网空威胁框架的攻击链构建方法,其特征在于,为高度还原潜在战争对手的真实网空攻击能力和作业特点,所述方法为一种基于“洛克希德-马丁的网空杀伤链框架”和“MITRE的ATT&CK框架”两种网空威胁框架融合的攻击链构建方法。
2.如权利要求1所述的基于融合网空威胁框架的攻击链构建方法,其特征在于,所述方法中:
3.如权利要求2所述的基于融合网空威胁框架的攻击链构建方法,其特征在于,所述步骤1中,融合网空威胁框架构建;
4.如权利要求3所述的基于融合网空威胁框架的攻击链构建方法,其特征在于,所述步骤1中,进行:
5.如权利要求4所述的基于融合网空威胁框架的攻击链构建方法,其特征在于,所述步骤1中,进行:
6.如权利要求5所述的基于融合网空威胁框架的攻击链构建方法,其特征在于,所述步骤2中,攻击链模板构建
7.如权利要求6所述的基于融合网空威胁框架的攻击链构建方法,其特征在于,所述步骤2中,攻击链模板构建过程具体如下:
8.如权利要求7所述的基于融合网空威胁框架的攻击链构建方法,其特
9.如权利要求7所述的基于融合网空威胁框架的攻击链构建方法,其特征在于,所述方法在强敌背景下研究基于融合网空威胁框架的攻击链构建方法,可有效解决防御者更好地保护系统安全的问题。
10.如权利要求7所述的基于融合网空威胁框架的攻击链构建方法,其特征在于,所述方法借助网空杀伤链框架的链式结构与ATT&CK框架所提供的细粒度的、可丰富组合的、场景覆盖全面且高度真实的攻击行为模型对网空攻击进行结构化刻画,能够系统可信的帮助防御者推测高能力对手的潜在攻击手段与能力水平。
...【技术特征摘要】
1.一种基于融合网空威胁框架的攻击链构建方法,其特征在于,为高度还原潜在战争对手的真实网空攻击能力和作业特点,所述方法为一种基于“洛克希德-马丁的网空杀伤链框架”和“mitre的att&ck框架”两种网空威胁框架融合的攻击链构建方法。
2.如权利要求1所述的基于融合网空威胁框架的攻击链构建方法,其特征在于,所述方法中:
3.如权利要求2所述的基于融合网空威胁框架的攻击链构建方法,其特征在于,所述步骤1中,融合网空威胁框架构建;
4.如权利要求3所述的基于融合网空威胁框架的攻击链构建方法,其特征在于,所述步骤1中,进行:
5.如权利要求4所述的基于融合网空威胁框架的攻击链构建方法,其特征在于,所述步骤1中,进行:
6.如权利要求5所述的基于融合网空威胁框架的攻击链构建方法,其特征在于,所述步骤2中,攻...
【专利技术属性】
技术研发人员:陆佐贤,陈晓东,李康,于石林,李彪,
申请(专利权)人:航天科工智能运筹与信息安全研究院武汉有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。