【技术实现步骤摘要】
本专利技术涉及信息安全,具体涉及一种基于网络空间测绘的网络攻击发现方法及装置、计算设备。
技术介绍
1、网络空间测绘主要指用一些技术方法探测全球互联网空间上的节点分布情况和网络关系索引,构建全球互联网图谱的一种方法。
2、目前主流的基于实景现场主机侧、网络侧中的威胁检测发现,以及基于威胁基础数据库的集中式分析作业的apt威胁研判发现,两者都是偏向于被动式的守候模式的威胁发现手段,特别是具有相当的滞后性缺陷,往往是攻击事件已发生,甚至早已发生有一定时间长度后才检测到威胁存在,难以做到预先或尽可能快地发现攻击者的网络基础设施资产。
技术实现思路
1、鉴于上述问题,本专利技术提供一种基于网络空间测绘的网络攻击发现方法及装置、计算设备,以缩短从攻击事件的发生到攻击痕迹的检出之间的时间窗口。
2、根据本专利技术的一个方面,提供了一种基于网络空间测绘的网络攻击发现方法,包括:
3、设定待测绘空间范围,其中,所述待测绘空间范围包括但不限于全量ip空间、区域网段、域名列表以及分散ip地址列表;
4、对所述待测绘空间范围的存活目标进行网络测绘,得到所述存活目标的交互流量特征和服务指纹特征;
5、根据预备的携带溯源情报和威胁类型信息的匹配特征,对所述交互流量特征和服务指纹特征进行匹配,得到所述存活目标的特征匹配结果;
6、对所述存活目标的特征匹配结果进行相关度评估,判断所述存活目标是否为特征相关;
7、其中,所述对所述
8、在情报库中查询所述存活目标的命中目标的多源情报,并与交互流量特征或服务指纹特征中定义的溯源情报进行比对;
9、若查询结果中的溯源情报与定义情报一致,且人工溯源研判结论无异议或无结论,则评估命中目标为特征相关;
10、若人工溯源研判结论与定义情报一致,但所述情报库查询无溯源情报结果或有异议,则根据人工研判结论的可靠性高于情报查询结果的原则,评估命中目标为特征相关。
11、在一种可选的方式中,所述交互流量特征包括:
12、编写时间,为交互流量特征的创建或更新日期和时间;
13、模拟交互包,为特定木马家族向c2服务器发送的上线包以及心跳包;
14、交互特征,为特定木马家族与c2服务器交互流量中的特征以及资产;
15、溯源情报,为可溯源关联到的威胁组织名称;
16、威胁类型,包括恶意代码家族名以及攻击手段。
17、在一种可选的方式中,所述服务指纹特征包括:
18、编写时间,为交互流量特征的创建或更新日期和时间;
19、指纹特征,包括中间件名称及版本号、端口号、状态码、回显内容、数字证书、favicon图标包含的内容以及资产特征;
20、溯源情报,为可溯源关联到的威胁组织名称;
21、威胁类型,包括恶意代码家族名以及攻击手段。
22、在一种可选的方式中,对所述待测绘空间范围的存活目标进行网络测绘进一步包括:
23、通过ping 命令发送icmp回显请求到所述存活目标的ip地址,并监听返回的回显应答;如果接收到回显应答,则所述存活目标处于存活状态;和/或,
24、向22/445/80端口发送tcp连接请求,判断是否接收到所述存活目标的tcp三次握手中的syn-ack应答;若接收到,则所述端口在所述存活目标上为开放状态,进而推断所述存活目标处于存活状态。
25、在一种可选的方式中,判断所述存活目标是否为特征相关之后,所述方法还包括:
26、根据所述存活目标的所属互联网服务提供商、归属地、主动dns记录、被动dns记录以及whois信息,将所述存活目标最新的网络测绘信息按照时间批次存储至数据库。
27、在一种可选的方式中,对所述存活目标的特征匹配结果进行相关度评估,判断所述存活目标是否为特征相关还包括:
28、若情报库查询及人工研判均无法得出溯源情报,则进一步进行关联拓线,若高关联度拓线结果的情报查询与定义情报一致且人工研判无异议,则评估命中目标为特征相关;
29、其中,与交互流量特征或服务指纹特征中定义的溯源情报进行比对的计算公式为:
30、
31、其中,为两个情报字符串的相似度评分;为levenshtein编辑距离;为字符串长度函数;为时间衰减因子,为衰减率,为参考时间,为是情报的创建时间或更新时间。
32、在一种可选的方式中,判断所述存活目标是否为特征相关之后,所述方法还包括:
33、若所述命中目标和其高关联度拓线结果在所述情报库查询及人工溯源研判中均无法得出溯源情报;但情报查询结果或人工威胁研判中的威胁类型与定义威胁类型存在一致,则评估所述命中目标为疑似特征相关;
34、若均未能确认所述命中目标与定义特征之间的直接或疑似相关性,则评估所述命中目标为特征不相关或特征相关度未知。
35、在一种可选的方式中,所述方法还包括:
36、若所述命中目标和其高关联度拓线结果在情报库查询及人工研判中均无法得出溯源情报和威胁类型,则评估命中目标为特征相关度未知。
37、根据本专利技术的另一方面,提供了一种基于网络空间测绘的网络攻击发现装置,包括:
38、测绘空间设定模块,用于设定待测绘空间范围,其中,所述待测绘空间范围包括但不限于全量ip空间、区域网段、域名列表以及分散ip地址列表;
39、网络测绘模块,用于对所述待测绘空间范围的存活目标进行网络测绘,得到所述存活目标的交互流量特征和服务指纹特征;
40、特征匹配模块,用于根据预备的携带溯源情报和威胁类型信息的匹配特征,对所述交互流量特征和服务指纹特征进行匹配,得到所述存活目标的特征匹配结果;
41、相关度评估模块,用于对所述存活目标的特征匹配结果进行相关度评估,判断所述存活目标是否为特征相关;其中,所述对所述存活目标的特征匹配结果进行相关度评估,判断所述存活目标是否为特征相关包括:在情报库中查询所述存活目标的命中目标的多源情报,并与交互流量特征或服务指纹特征中定义的溯源情报进行比对;若查询结果中的溯源情报与定义情报一致,且人工溯源研判结论无异议或无结论,则评估命中目标为特征相关;若人工溯源研判结论与定义情报一致,但所述情报库查询无溯源情报结果或有异议,则根据人工研判结论的可靠性高于情报查询结果的原则,评估命中目标为特征相关。
42、根据本专利技术的又一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
43、所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述任一实施方式所述的基于网络空间测绘的网络攻击发现方法。
本文档来自技高网...【技术保护点】
1.一种基于网络空间测绘的网络攻击发现方法,其特征在于,包括:
2.根据权利要求1所述的基于网络空间测绘的网络攻击发现方法,其特征在于,所述交互流量特征包括:
3.根据权利要求1或2所述的基于网络空间测绘的网络攻击发现方法,其特征在于,所述服务指纹特征包括:
4.根据权利要求1所述的基于网络空间测绘的网络攻击发现方法,其特征在于,所述对所述待测绘空间范围的存活目标进行网络测绘包括:
5.根据权利要求4所述的基于网络空间测绘的网络攻击发现方法,其特征在于,判断所述存活目标是否为特征相关之后,所述方法还包括:
6.根据权利要求1所述的基于网络空间测绘的网络攻击发现方法,其特征在于,所述对所述存活目标的特征匹配结果进行相关度评估,判断所述存活目标是否为特征相关还包括:
7.根据权利要求6所述的基于网络空间测绘的网络攻击发现方法,其特征在于,判断所述存活目标是否为特征相关之后,所述方法还包括:
8.根据权利要求7所述的基于网络空间测绘的网络攻击发现方法,其特征在于,所述方法还包括:
9.一种基
10.一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
...【技术特征摘要】
1.一种基于网络空间测绘的网络攻击发现方法,其特征在于,包括:
2.根据权利要求1所述的基于网络空间测绘的网络攻击发现方法,其特征在于,所述交互流量特征包括:
3.根据权利要求1或2所述的基于网络空间测绘的网络攻击发现方法,其特征在于,所述服务指纹特征包括:
4.根据权利要求1所述的基于网络空间测绘的网络攻击发现方法,其特征在于,所述对所述待测绘空间范围的存活目标进行网络测绘包括:
5.根据权利要求4所述的基于网络空间测绘的网络攻击发现方法,其特征在于,判断所述存活目标是否为特征相关之后,所述方法还包括:
6.根据权利要求1所述的...
【专利技术属性】
技术研发人员:李登锋,白淳升,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。