一种基于多个攻击阶段的安全入侵回放设备

技术领域

本发明涉及计算机网络防御技术领域，具体涉及一种基于多个攻击阶段的安全入侵回放设备。

背景技术

今天的信息网络面临越来越复杂和持久的威胁，新的威胁工具和可以被利用的漏洞往往超越了入侵检测系统的进步。当前的入侵检测系统通常会产生太多的告警，其中所包含的信息还不足以提供给安全运维服务人员进行定位故障和根原因的分析。结果，绝大多数告警都被忽略了，导致了原本可以避免的安全漏洞。SIEM（Security Information andEvent Management安全信息和事件管理）软件是一个最新的趋势，旨在通过关联来自多个传感器的数据以改进告警的数量和告警内容所存在的缺陷。然而，到目前为止，SIEM的不足还限制了SIEM软件改进入侵检测的光明前景。

任何网络安全运维监控的解决方案的目标都是及时、准确和可诉的网络威胁告警。这类告警被引用为成熟安全组织的一条公理。不幸的是，安全告警通常会基于传感器在网络中的位置、应用高级规则逻辑的能力的局限性，或无法表示复杂的组织数据层次结构（如：用户帐户、关键计算资源、企业网络风险级别和工作时间）而产生误报和漏报。此外，单个安全设备本身可能容易被精明的攻击者所利用，从而影响它们提供数据的完整性。这些限制导致大量告警涌入安全运维服务人员，或者由于过度热情的告警抑制/或压缩而缺少告警。

近来，市场上的一些信息安全的事件关联软件，用于聚合不同传感器源所提供的数据，从而能够从单个集中的告警中对所有网络数据进行整体分析。对这些设备的数据进行分析可能会揭示有利于对个人或威胁群体进行指纹识别的活动模式，这是基于分布在整个传感器网络上的数据线索。然而，在基于多个攻击阶段的攻击本体（attack ontology）的背景下，设计用于分析这些数据的定制算法的开发，才能够真正为威胁检测和预防提供了高额附加值。

此外，还有一种趋势是，聊天式的数据源（如防火墙日志）的数量大大超过了更有举证价值的数据源（如端点操作系统日志）的数量。对一家安全运维服务提供商的SOC（Security Operations Center安全运维中心）的安全运维服务人员的观察表明，绝大多数的安全告警都被安全运维服务人员忽视了。此外，许多安全专家认为，消除每一个告警是不切实际的，通常必须结合某种形式的攻击归属（或攻击归因/或攻击朔源/或攻击回放）的自动化。不幸的是，仅仅从传感器采集数据并不能大大提高检测率，也不能降低误报率。

如果没有有效的告警引擎来适当地过滤、分类和升级安全事件，那么从日志数据中识别显著的安全事件并对事件实施及时的补救是一项艰巨的任务。安全数据必须规范化为一个标准的本体论框架，在已知的攻击者方法论的背景下进行分析，并最终允许随着威胁活动在整个网络中的进展而动态升级怀疑，以充分实现及时、准确和可诉的告警。

SIEM系统中的高级关联软件旨在对潜在的安全事件进行实时告警，并增强与这些事件相关的调查和数据检索功能。由于大量告警和高误报率，对原始传感器的数据分析对安全运维服务人员来说是压倒性的。一些研究表明，在SOC环境中，只有29%的告警是由安全运维服务人员实际检查的，其中平均40%被确定为误报。实现程序化分析可以减少误报率，并通过统一的GUI（Graphical User Interface图形用户界面）提供将人力功能抽象到更高分析平面的机制。这反过来又使安全运维服务人员资源池的建立最终提高了流程效率，并减少了分类和响应网络安全事件所需的平均时间。

然而，目前已有的安全运维管理平台及SIEM软件中用于数据规范化和威胁行为建模的软件解决方案是有限的。这些解决方案仅仅提供了一个框架，用于规范不同的数据源，并对其中包含的元数据执行逻辑比较而已罢了。

发明内容

本发明的目的是针对现有技术存在的不足，提供一种基于多个攻击阶段的安全入侵回放设备。

为实现上述目的，本发明提供了一种基于多个攻击阶段的安全入侵回放设备，该设备被应用于安全运维服务提供商为企业网络提供的入侵检测的服务中，并将黑客入侵企业网络的过程划分为侦察阶段、交付阶段、安装阶段、特权提升阶段、横向扩张阶段、攻击对象阶段和撤出阶段，所述设备包括：

数据采集模块，包括多个协议代理、调度器和多个应用代理，所述协议代理用以从企业网络中获取原始日志消息，并将原始日志消息发送至调度器，所述调度器用以确定向其发送原始日志消息的协议代理的类型，并将原始日志消息转发至相应的应用代理，所述应用代理用以接收调度器转发的原始日志消息，并将原始日志消息解析为标准字段的格式化消息，且将标准字段的格式化消息发送至数据库；

数据库，创建有用于存储各个阶段的格式化消息的数据库表，所述数据库表依次为侦察表、交付表、安装表、特权提升表、横向扩张表、攻击对象表和撤出表，所述侦察表至少包括侦察阶段中的源IP、源端口、目标IP和目标端口4个字段，所述交付表至少包括交付阶段中的源IP、源端口、目标IP和目标端口4个字段，所述安装表至少包括安装阶段中的计算机名和文件名2个字段，特权提升表至少包括特权提升阶段中的用户帐户、计算机名、IP地址和目录安全组修改4个字段，所述横向扩张表至少包括横向扩张阶段中的用户帐户、计算机名、IP地址和目录认证4个字段，所述攻击对象表至少包括攻击对象阶段中的用户帐户、计算机名、IP地址、文件夹访问、文件夹路径、修改类型和许可7个字段，所述撤出表至少包括撤出阶段中的源IP、源端口、目标IP、目标端口和已传输的Mb共5个字段；

安全入侵回放模块，用以获取所述数据库表内存储的各个阶段的格式化消息，并根据各个阶段的格式化消息依次得到入侵者发起攻击而产生的侦察事件、交付事件、安装事件、特权提升事件、横向扩张事件、攻击对象事件和撤出事件，并按事件产生的先后顺序，将各个事件通过聚合字段进行聚合和关联，从而实现安全入侵的回放。

进一步的，所述聚合字段包括侦察阶段聚合字段、交付阶段聚合字段、安装阶段聚合字段、特权提升阶段聚合字段、横向扩张阶段聚合字段、攻击对象阶段聚合字段和撤出阶段聚合字段；

所述侦察阶段聚合字段包括侦察阶段的源IP；

所述交付阶段聚合字段包括交付阶段的目标IP；

所述安装阶段聚合字段包括安装阶段的计算机名；

所述特权提升阶段聚合字段包括特权提升阶段的帐户名；

所述横向扩张阶段聚合字段包括横向扩张阶段的日志名；

所述攻击对象阶段聚合字段包括攻击对象阶段的计算机名；

所述撤出阶段聚合字段包括撤出阶段的目标IP。

进一步的，所述协议代理包括syslog、SNMP、SMTP和Http/xml。

进一步的，所述应用代理包括Windows、Linux、Apache、IIS、Oracle、防火墙、路由器、ISS、IDS和WMI。

进一步的，所述企业网络包括防火墙、IDS、端点操作系统、域控制器、查杀恶意软件、邮件服务器、Web服务器和数据库服务器。

有益效果：本发明将黑客入侵企业网络的过程划分为侦察阶段、交付阶段、安装阶段、特权提升阶段、横向扩张阶段、攻击对象阶段和撤出阶段，并从每一个阶段所提供的聚合字段进行告警聚合和关联，生成新的告警、发现入侵路径和实现安全入侵的回放，通过本发明，能够减少告警数量并可确定入侵的根本原因。

附图说明

图1是事件聚合和事件关联的示意图；

图2是7个阶段和有关数据源的示意图；

图3是数据采集与事件分类存储的示意图；

图4是事件分类的示意图；

图5是数据采集过程的示意图。

具体实施方式

下面结合附图和具体实施例，进一步阐明本发明，本实施例在以本发明技术方案为前提下进行实施，应理解这些实施例仅用于说明本发明而不用于限制本发明的范围。

如图1至5所示，本发明实施例提供了一种基于多个攻击阶段的安全入侵回放设备，该设备被应用于安全运维服务提供商为企业网络提供的入侵检测的服务中，其中，企业网络包括防火墙、IDS、端点操作系统、域控制器、查杀恶意软件、邮件服务器、Web服务器和数据库服务器。将黑客入侵企业网络的过程划分为侦察阶段、交付阶段、安装阶段、特权提升阶段、横向扩张阶段、攻击对象阶段和撤出阶段。

其中，侦察阶段为黑客入侵的开始，交付阶段为开始向目标机器分发黑客入侵工具的阶段，安装阶段包含与系统更改、软件安装或状态消息相关的事件的阶段，特权提升阶段就是指黑客用户帐户本地权限的提升的阶段，横向扩张阶段是提升黑客用户帐户的企业网络的网络访问的权限的阶段，攻击对象阶段是对目标进行非法操作和破坏的阶段，撤出阶段包含将窃取数据传输出企业网络和其它与黑客出逃相关的事件。

本申请的以上7个阶段被包含在一个企业网络内的黑客入侵的全过程，由安全运维服务提供商来提供该企业网络的安全运维服务。企业网络包括防火墙、IDS、端点操作系统、域控制器、查杀恶意软件、邮件服务器、Web服务器和数据库服务器。这7个阶段根据本阶段的任务目标采集有关设备的日志数据，并进行事件关联分析和生成告警。各个阶段的数据采集模块均支持syslog、snmp、smtp、html等传输协议和从异构源采集数据。

本发明实施例的安全入侵回放设备包括：数据采集模块、数据库和安全入侵回放模块。

其中，如图3所示，数据采集模块包括多个协议代理（protocol agent）、调度器（dispatcher）和多个应用代理（protocol agent）。协议代理从传感器采集信息，应用代理解析信息以“伪标准”格式存储。这两个模块通过调度器（dispatcher）而连接起来的。这种体系结构允许在体系结构的任何级别设置高可用性和负载平衡系统，实现即插即用。

具体的，协议代理包括syslog、SNMP、SMTP和Http/xml。协议代理用以从企业网络中获取特定传输协议的原始日志消息，并将原始日志消息发送至调度器，特定传输协议如syslog、snmp等，多个协议代理充当服务器端应用程序，其唯一目的是监听来自传感器的输入连接，并将采集到的数据提供给调度器。这种协议代理的简单性使得它们易于实现和维护。

原始格式存储通常是一个简单的文件，尽管通过命名管道、套接字或共享内存直接传输到调度器可以确保更好的性能。从安全角度来看，最重要的是确保代理采集的数据的完整性。因此，数据被封装在一个安全的隧道中。

调度器用以确定向其发送原始日志消息的协议代理的类型，并将原始日志消息转发至相应的应用代理。同样，一旦为每个可能采集数据的源类型找到了特定的模式，实现就相对简单了。以下是调度器执行的自主操作：

1、监听来自协议代理的输入通道，如套接字、命名管道、systemv消息队列等。

2、通过任何合适的输出通道向应用代理发送原始消息。

3、根据模式数据库检查模式匹配，出于性能考虑，该数据库应将其预加载到内存中。

应用代理包括Windows、Linux、Apache、IIS、Oracle、防火墙、路由器、ISS、IDS和WMI。应用代理用以接收调度器转发的原始日志消息，并将原始日志消息解析为标准字段的格式化消息，且将标准字段的格式化消息发送至数据库。以便它们与数据库的通用模型相匹配。应用代理执行的自主操作包括如下：

1、监听来自调度器的输入通道，如套接字、命名管道、systemv消息队列等。

2、将原始消息解析为标准字段。

3、将已解析为标准字段的格式化消息传输到数据库。

上述消息的处理由不同类型设备生成并通过不同传输协议传输的数据需要“标准”格式。尽管已经努力用IDMEF（Intrusion Detection Message Exchange Format 入侵检测消息交换格式）定义一个全球标准，但似乎使用的XML总线过于繁重和资源消耗，主要用于事件关联。但是，必须实现一个单独的转换过程以符合IDMEF。本申请的数据库结构，如图3所示。

数据库内创建有用于存储各个阶段的格式化消息的数据库表，如图3所示，数据存储也支持分布式架构，支持创建索引服务器等，这7个阶段的数据采集和存储情况如下：

1、侦察阶段：采集防火墙日志和IDS日志，数据采集模块的有关协议代理接收防火墙日志和IDS日志，并经调度器转发给相关应用代理之后发送至数据库中的侦察表存储。此处的防火墙日志和IDS日志的“源IP”为入侵的源头，侦察阶段包含与扫描和其它用于识别网络资源的技术相关的事件，侦察表至少包括侦察阶段中的源IP、源端口、目标IP和目标端口4个字段。

2、交付阶段：采集IDS日志、域控制器日志和端点操作系统日志，数据采集模块的有关协议代理接收采集IDS日志、域控制器日志和端点操作系统日志，并经调度器转发给相关应用代理之后发送至数据库中的交付表存储。交付阶段为开始向目标机器分发黑客入侵工具，其日志的“目标IP”为接收黑客入侵工具的机器，交付阶段包含黑客入侵工具非法被分发到企业网络的相关事件，交付表至少包括交付阶段中的源IP、源端口、目标IP和目标端口4个字段。

3、安装阶段：采集域控制器日志、端点操作系统日志和查杀恶意软件日志，数据采集模块的有关协议代理接收采集域控制器日志、端点操作系统日志和查杀恶意软件日志，并经调度器转发给相关应用代理之后发送至数据库中的安装表存储。安装阶段包含与系统更改、软件安装或状态消息相关的事件，安装阶段的日志是基于机器的计算机名，包含多种类型的元数据，从网络数据（IP和MAC地址）到用户信息（帐户名、权限级别、安全组），安装表至少包括安装阶段中的计算机名和文件名2个字段。

4、特权提升阶段：采集域控制器日志和端点操作系统日志，数据采集模块的有关协议代理接收域控制器日志和端点操作系统日志，并经调度器转发给相关应用代理之后发送至数据库中的特权提升表存储。特权提升阶段就是指黑客用户帐户本地权限的提升，特权提升阶段的日志是基于用户帐户，特权提升阶段包含与认证、会话和监视网络上用户的访问控制相关的事件，特权提升表至少包括特权提升阶段中的用户帐户、计算机名、IP地址和目录安全组修改4个字段。

5、横向扩张阶段：采集IDS日志、域控制器日志和端点操作系统日志，数据采集模块的有关协议代理接收IDS日志、域控制器日志和端点操作系统日志，经调度器转发给相关应用代理之后发送至数据库中的横向扩张表存储。横向扩张阶段是提升黑客用户帐户的企业网络的网络访问的权限，横向扩张阶段的日志是基于用户帐户，横向扩张阶段包含用于监控企业网络的认证和访问控制的事件，横向扩张表至少包括横向扩张阶段中的用户帐户、计算机名、IP地址和目录认证4个字段。

6、攻击对象阶段：采集IDS日志、域控制器日志、端点操作系统日志、邮件服务器日志、Web服务器日志和数据库服务器日志，数据采集模块的有关协议代理接收以上IDS日志、域控制器日志、端点操作系统日志、邮件服务器日志、Web服务器日志和数据库服务器日志，并经调度器转发给相关应用代理之后发送至数据库中的攻击对象表存储。攻击对象阶段是对目标进行非法操作和破坏，攻击对象阶段的日志是基于机器的计算机名，攻击对象阶段包含发生通信或访问攻击的事件，攻击对象表至少包括攻击对象阶段中的用户帐户、计算机名、IP地址、文件夹访问、文件夹路径、修改类型和许可7个字段。

7、撤出阶段：采集防火墙日志和IDS日志，数据采集模块的有关协议代理接收以上防火墙日志和IDS日志，经调度器转发给相关应用代理之后发送至数据库中的撤出表存储。撤出阶段包含将窃取数据传输出企业网络和其它与黑客出逃相关的事件，撤出阶段日志是基于撤出阶段的目标IP的，撤出表至少包括撤出阶段中的源IP、源端口、目标IP、目标端口和已传输的Mb共5个字段。

需要说明的是，由于侦察阶段、交付阶段、安装阶段、特权提升阶段、横向扩张阶段、攻击对象阶段和撤出阶段是按照入侵过程依次划分的，因此，侦察阶段的目标IP和目标端口实际上就是交付阶段的源IP和源端口。同理，交付阶段的目标IP和目标端口即为安装阶段中的计算机IP和端口，以此类推。

安全入侵回放模块用以获取所述数据库表内存储的各个阶段的格式化消息，并根据各个阶段的格式化消息依次得到入侵者发起攻击而产生的侦察事件、交付事件、安装事件、特权提升事件、横向扩张事件、攻击对象事件和撤出事件，并按事件产生的先后顺序，将各个事件通过聚合字段进行聚合和关联，从而实现安全入侵的回放。

通过对已知安全事件的事后分析表明，需要在每个阶段中使用特定的元数据字段，以便在日志源之间关联，并生成可疑恶意操作的准确描述。这个观察形成了本申请的新模型的发展，其中每个新设计的阶段都有一个自然的“聚合”元数据字段，即上述聚合字段。

具体如图1所示，例如，“侦察”阶段与源机器的网络数据（即源IP地址）自然对齐，而“交付”则自然与目的地机器的网络数据（即目的地IP地址）对齐。这些字段（源IP和目标IP）在日志摄取过程中由SIEM规范化。后面的阶段，如“安装”，可能包含多种类型的元数据，从网络数据（IP和MAC地址）到用户信息（帐户名、权限级别、安全组）。因此，根据哪些元数据字段与检测和描述其中的操作最相关，而不是根据检测发生的位置，对这些阶段进行隔离。

单个数据源或事件有可能对多个阶段产生影响，例如“安装”和“特权提升”事件。这两个阶段都可能在端点操作系统日志中观察到。但是，知道“安装”日志是基于设备的（例如，在计算机名或其他计算机标识符上进行聚合）和“特权提升”事件是基于帐户的（例如，聚合是在帐户名/或用户名上进行的），这就提供了如何在其各自的阶段内最好地组合数据的见解。

在理想情况下，来自多个不同数据源的不同元数据可以由SIEM使用这些自然元数据自动组合。本申请最初设计为每个阶段都包含执行自动事件组合所需的元数据字段。图1描绘了有助于在同一阶段内聚合来自不同源的日志或事件的自然元数据字段。这种关系数据库方法的动机是SIEM使用SQL查询来执行相关函数。然而，阶段标记可能会证明对其他不使用SQL语言的系统是有益的。

如图2所示，其示意出了入侵过程中各个阶段的任务目标：

1、侦察阶段：其任务目标为探测和枚举；探测或扫描遍历所有目标企业网络的资源，例如，数据库、Web服务器、mail服务器和操作系统等。

2、交付阶段：其任务目标为网络交付和主机访问；设计分发策略，例如定时分发，按照分发策略攻击者将黑客工具软件分发到目标企业网络上（或非目标的企业网络），类似于CDN（Content Delivery Network内容分发网络），IPTV就采用了这种CDN技术。

3、安装阶段：其任务目标为主机交付和软件修改；按照分发策略将黑客工具软件分发到主机上，并进行安装，在安装的过程中，可能要修改主机的配置参数等。

4、特权提升阶段：其任务目标为特权提升和特权使用。

5、横向扩张阶段：其任务目标为内部侦察和横向扩张；可能要将特权扩张到整个目标的企业网络。

6、攻击对象阶段：其任务目标为数据操作和迷惑；非法访问目标企业网络且不留下任何的痕迹。

7、撤出阶段：其任务目标为外部数据传输；黑客将窃取到的目标企业网络的重要数据，传输到外网。

数据采集模块支持分布式架构，当位于网络这一部分的传感器处在高工作负载下工作时，也不排除在同一网段上安装多个数据采集器。在较安静的站点，只有一个数据采集器可以用来采集来自所有传感器的数据。本申请还实现了为网络入侵检测系统定义的不同类型的数据采集器。然而，除了这些实现所涉及的纯技术方面外，有必要将IT基础设施的监管视为一个完整的操作项目。

本申请的聚合字段包括侦察阶段聚合字段、交付阶段聚合字段、安装阶段聚合字段、特权提升阶段聚合字段、横向扩张阶段聚合字段、攻击对象阶段聚合字段和撤出阶段聚合字段。其中，侦察阶段聚合字段包括侦察阶段的源IP；交付阶段聚合字段包括交付阶段的目标IP；安装阶段聚合字段包括安装阶段的计算机名；特权提升阶段聚合字段包括特权提升阶段的帐户名；横向扩张阶段聚合字段包括横向扩张阶段的日志名；攻击对象阶段聚合字段包括攻击对象阶段的计算机名；撤出阶段聚合字段包括撤出阶段的目标IP。

如图5所示，本申请监视apache2.0web服务器的linux2.6系统的安全性。当用户对web服务器（例如目标标识）执行攻击时，有关攻击的事件由syslog（充当传输代理）转发到本申请的数据采集模块的协议代理。当这个代理接收到消息时，它将它们转发给调度器，调度器验证它们的源编号，并看到它们来自Apache2.0服务器。之后，调度器将消息转发给Apache2.0应用代理，后者解析消息并将其标准化为本申请的消息格式。这种格式对于关联操作特别重要。来自linux2.6系统的所有安全消息都将由调度器转发到linux2.6应用代理。此代理将负责将消息转换为本申请的消息格式。

数据采集器采集Apache2.0服务器的Linux2.6系统，并进行分析，但消息必须采用本申请的标准格式。

以下几行显示了syslog格式的Snort 1.8告警示例：

基于Perl中的脚本的正则表达式，本申请调度器执行以下操作，以syslog格式标识Snort 1.8.x告警。

应用代理的send_to_snort_1.8_application_agent将执行以下操作以将snort 1.8告警置于本申请的标准消息格式：

通过MSSP的安全运维服务人员对本申请的评估，本申请所提供的一种基于多个攻击阶段的安全入侵回放的实现方法，具有如下有益效果：

1、本申请改进安全运维服务人员、SIEM工程师和利益相关者之间的沟通。本申请所提供的多个阶段规则提供了一种机制，用于描述和上下文化由SIEM生成的告警，这种机制在整个SIEM用户群（安全运维服务人员、SIEM工程师和客户）之间共享。此外，本申请还允许根据观察到的告警对潜在的先前或预期的未来事件进行预测分析。

2、本申请由于减少了冗余查询，提高了操作流程的效率。告警中包含的更具描述性的告警名称和聚合数据为安全运维服务人员提供了在为客户制定建议时有用的高额的附加信息。此外，客户不太可能要求安全运维人员提供更多信息，从而减少了手动查询或调查的要求。

3、由于SIEM关联逻辑错误或数据遗漏而可能出现漏报，然而，本申请的多个阶段规则不会出现这种情况。

4、本申请的告警数量的大幅减少，并大大提高了每个告警提供的数据信息量，以及将减少维护SIEM系统的管理工作量。

5、本申请减少了安全运维服务人员定位安全事件所需的平均时间，例如：

（1）总告警数量减少。

（2）通过提高检测率提高网络安全攻击期间的可见性。

（3）生成告警中包含的元数据字段数量增加。

（4）安全运维服务人员部署检测规则所需的工作量减少。

（5）减少系统资源需求，防止潜在的处理瓶颈。

6、本申请数据采集实现模块化和插件化，即插即用，提高了系统部署的灵活性。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，其它未具体描述的部分，属于现有技术或公知常识。在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。