一种针对企业内网安全的及时因果分析方法、系统及介质

本发明属于网络安全的，具体涉及一种针对企业内网安全的及时因果分析方法、系统及介质。

背景技术：

1、近年来，一种名为高级持续威胁(advanced?and?persistent?threats，apts)攻击现在已经成为企业it安全领域的严峻挑战。在过去的十年里，已报告超过6000起严重数据泄露事故。尤其是在大型企业，已经成为故意攻击的目标，使其遭受重大的财产损失和声誉损害。

2、在复杂的攻击中，为了识别攻击的步骤顺序，之前的研究重建了包括进程、文件和套接字在内的操作系统级系统对象之间的多跳因果依赖关系；从检测到的攻击事件开始，根据系统因果依赖关系在时间顺序上向前向后追踪，确定其对系统造成的损害，例如信息泄露、被篡改的文件和安装的后门。尽管攻击因果关系分析是一种事后的分析方法，但它也是高度时间敏感的。首先，一个受害系统在恢复正常操作之前需要完成后门清理；在恢复之前，由于系统正常运行时间的减少而造成财产的损失将迅速增长；及时的因果性分析可以加速发现所有的攻击痕迹，并降低恢复成本。其次，apt攻击包含多个攻击阶段；一个探测点可能不是最终的攻击序列，并且攻击入侵可能进一步发展并造成更多的损害，因此一个及时的攻击因果性分析能够帮助了解攻击的意图和防止未来的损害。

3、在现有技术中，s.t.king等人发表的《backtracking?intrusions》文献中提出了基于操作系统级系统事件构建的依赖图，以捕获攻击序列和来源，通过启用跨主机跟踪以及向前跟踪攻击后果，进一步改进依赖性分析；通过对系统审计日志进行信息抽取，配合图生成计算，将系统日志转换成可表达事件信息流的溯源图，并把结构化数据进一步用以表示提高攻击调查任务性能。s.ma等人在文献《protracer:towards?practicalprovenancetracing?by?alternating?between?logging?and?tainting》中提出了一个轻量级的溯源跟踪系统，在日志记录和污点跟踪之间交替，通过引入标签衰减策略来缓解标签污染问题，将标签从类别转化为数值，继而对标签数值进行衰减，当某个节点接收了可疑的输入，那攻击行为也会被接收，随着时间推移，可疑输入带来的影响也会周期性衰减。m.n.hossain等人的论文《sleuth:real-time?attackscenario?reconstruction?fromcots?audit?data》中提出一种基于启发式的实时攻击图构建器，其根据攻击必由阶段和攻击常见目的来设计一套标签初始化和传播规则，在溯源图上，根据经验对攻击规律进行总结提炼，形成赋权规则，与攻击相关程度越高的事件权值越小，将这条边权值赋为0，因为该事件极可能与攻击相关。

4、然而，一个实用的安全因果性分析方案必须考虑到时间限制，并且及时地提取有用的攻击信息；但是这在很大程度上被之前的工作所忽视。现有研究主要集中在通过数据压缩来解决依赖爆炸性问题；特别地，其试图通过基于污点分析(如s.ma等人的文献)或者启发式修剪(如m.n.hossain等人的论文)来消除无关的系统依赖性。然而，减少无关依赖关系的数据量并不一定会导致攻击调查时间的减少，并且现有研究仍然需要在分析正常的操作系统事件上投入过多时间，而这些事件占据了系统的主导地位。本质上，这是因为研究缺乏区分不寻?；疃统＜低巢僮鞯哪芰?。因此，现有研究不得不平等地对待所有相关异常的和正常的依赖关系，并且简单地保持跟踪每一个因果关系。由于现有的因果关系追踪器无法将正常的系统事件与真实的攻击活动区分开来，因此会花费大量的时间来分析所有由于运行部件而引入的事件，即使总体数据量已经减少安全依赖性分析，不区分正常和异常的操作，但仍然可能由于跟踪大量的正?；疃谎映俸艹な奔?，不能及时提取有用的攻击信息而造成重大的网络安全事故。

技术实现思路

1、本发明的主要目的在于克服现有技术的缺点与不足，提供一种针对企业内网安全的及时因果分析方法、系统及介质，自动调查企业内网安全的异常因果依赖关系，评估系统事件的优先级，考虑其稀有性和拓扑特征的因果关系图运行时间效率，优化基于因果分析的攻击调查方法。

2、为了达到上述目的，本发明第一目的在于提供一种针对企业内网安全的及时因果分析方法，包括下述步骤：

3、使用内核审计和etw内核事件从企业内网各主机的linux和windows操作系统中检索获取系统事件，经数据流处理平台后存入事件数据库；所述系统事件包括文件事件、进程事件和网络事件；

4、使用参考模型构建器量化系统事件的稀有性得到参考分数，具体为：

5、对获取的系统事件进行数据处理，包括：识别同构主机、认定相同系统事件及设计时间窗限制获取系统事件的发生次数；

6、基于系统事件周期内在所有同构主机上累计发生的次数计算系统事件的参考分数，区分异常系统事件及嘈杂的正常系统事件；

7、将系统事件及其参考分数保存到基于键值存储的参考数据库；

8、当有系统事件触发警报时，使用因果关系追踪器启动依赖性分析，追溯行程依赖关系图，具体为：

9、因果关系追踪器从事件数据库中搜索相关系统事件，并查询参考数据库获取相关系统事件的参考分数；

10、基于参考分数计算相关系统事件的优先级分数，优先依赖性分析优先级分数高的系统事件，得到依赖关系图。

11、作为优选的技术方案，所述文件事件包括文件读事件、文件写事件和文件执行事件；

12、所述进程事件包括进程创建事件和进程销毁事件；

13、所述网络事件包括套接字创建事件、套接字销毁事件、套接字读事件和套接字写事件。

14、作为优选的技术方案，所述同构主机根据企业内网中各主机的操作系统类型及所属部门来识别的。

15、作为优选的技术方案，所述认定相同系统事件具体为：

16、首先从系统事件中提取语义级别的信息：对于文件事件，使用其文件路径名表示其语义级别信息；对于进程事件，使用其可执行路径表示其语义级别信息；对于网络事件，使用其远程ip地址加远程端口号表示其语义级别信息；

17、其次，识别相同的语义级别信息，使用backus-naur形式构造事件的抽象表示，即按照三元组：主体、操作、客体，将提取的语义级别信息进行抽象表示；

18、对于文件事件，其抽象表示为：进程的可执行路径、文件的操作、文件的路径名；所述文件的操作包括文件的读、写和执行；

19、对于进程事件，其抽象表示为：进程的可执行路径、进程的操作、进程的可执行路径；所述进程的操作包括进程的创建和销毁；

20、对于网络事件，其抽象表示为：进程的可执行路径、网络的操作、ip地址加远程端口号；所述网络的操作包括套接字的创建、销毁、读和写；

21、当某些系统事件能够归属于相同的抽象表示时，则认为这些系统事件是相同的系统事件。

22、作为优选的技术方案，所述设计时间窗限制获取系统事件的发生次数是指在系统事件计数器中引入时间窗口，在单个时间窗口内，同一主机上重复发生的系统事件仅被视为一次，系统事件计数器增加一次；

23、所述时间窗口根据企业内网系统进行调整配置。

24、作为优选的技术方案，所述计算系统事件的参考分数，公式为：

25、

26、其中，count(e,c,h)表示系统事件e在第c个周期内和第h个同构主机上是否发生，表示为：

27、

28、e为系统事件，hosts为同构主机集合，cycles表示检测系统事件的周期数；

29、设定参考分数阈值，若系统事件的参考分数高于参考分数阈值，则将该系统事件标记为异常系统事件，否则标记为嘈杂的正常系统事件。

30、作为优选的技术方案，所述基于参考分数计算相关系统事件的优先级分数，具体为：

31、首先基于相关系统事件的参考分数，计算相关系统事件的稀有度评分，公式为：

32、

33、其中，rs(e)为系统事件e的稀有度评分，ref(e)为系统事件e的参考分数；

34、接着结合系统事件的进一步影响计算相关系统事件的扇出分数，公式为：

35、

36、其中，fs(e)为系统事件e的扇出分数，σ为非零数，fanout(e)为系统事件e的出度；

37、最后，对系统事件的稀有度分数和扇出分数进行加权计算，得到系统事件的优先级分数，公式为：

38、priority(e)＝α×rs(e)+β×fs(e)

39、其中，α和β分别为系统事件e的稀有度分数和扇出分数的权重系数。

40、作为优选的技术方案，利用爬山算法对优先级分数中的权重进行优化，优化的目标函数为：

41、

42、其中，e为给定的一组起始系统事件，tlimit为时间窗限制；priotrack(α,β)(e,tlimit)表示在系统事件e在权重系数α、β及一定的时间窗限制下计算得到的优先级分数；θ为给定的稀有度分数阈值；edgecountθ()为稀有度分数大于给定的稀有度分数阈值θ的系统事件数量；

43、所述给定的稀有度分数阈值θ和时间窗限制tlimit根据企业内网的网络环境和安全要求进行自定义设置。

44、本发明另一目的在于提供一种针对企业内网安全的及时因果分析系统，应用于上述的一种针对企业内网安全的及时因果分析方法，包括数据获取?？?、参考分数计算?？?、数据库存储?？楹屯挤治瞿？?；

45、所述数据获取?？橛糜谑褂媚诤松蠹坪蚭tw内核事件从企业内网各主机的linux和windows操作系统中检索获取系统事件，经数据流处理平台后存入事件数据库；所述系统事件包括文件事件、进程事件和网络事件；

46、所述参考分数计算?？橛糜谑褂貌慰寄Ｐ凸菇ㄆ髁炕低呈录南∮行缘玫讲慰挤质?，具体为：

47、对获取的系统事件进行数据处理，包括：识别同构主机、认定相同系统事件及设计时间窗限制获取系统事件的发生次数；

48、基于系统事件周期内在所有同构主机上累计发生的次数计算系统事件的参考分数，区分异常系统事件及嘈杂的正常系统事件；

49、所述数据库存储?？橛糜诮低呈录捌洳慰挤质４娴交诩荡娲⒌牟慰际菘?；

50、所述图分析?？橛糜诘庇邢低呈录シ⒕ㄊ?，使用因果关系追踪器启动依赖性分析，追溯行程依赖关系图，具体为：

51、因果关系追踪器从事件数据库中搜索相关系统事件，并查询参考数据库获取相关系统事件的参考分数；

52、基于参考分数计算相关系统事件的优先级分数，优先分析优先级分数高的系统事件，得到依赖关系图。

53、本发明还一目的在于提供一种计算机可读存储介质，存储有程序，所述程序被处理器执行时，实现上述的一种针对企业内网安全的及时因果分析方法。

54、本发明与现有技术相比，具有如下优点和有益效果：

55、1、本发明优先考虑在因果关系图的构建过程中的异常依赖关系的调查，可以在关键的安全分析截止日期之前揭示更多不寻常的活动。

56、2、本发明通过优化图的遍历方法，加快系统事件的搜索效率，相比之下，现有技术中的攻击图构建算法，遵循原始工作，通过简单地遍历所有节点(正常和异常)来生成因果关系图；而本技术通过计算系统事件的优先级分数，根据分数和时间窗限制进行图的遍历，而不是遍历所有的节点。

57、3、本发明自动调查企业安全的异常因果依赖关系，评估系统事件的优先级，考虑其稀有性和拓扑特征的因果关系图运行时间效率，优化基于因果分析的攻击调查方法。