多源情報(bào)融合分析技術(shù)的研究與應(yīng)用：以電網(wǎng)企業(yè)為例

張亞昊，胡 威，節(jié) 驁

(1.國家電網(wǎng)有限公司信息通信分公司 網(wǎng)絡(luò)安全監(jiān)控中心，北京 100761；2.華中科技大學(xué) 電子信息與通信學(xué)院，湖北 武漢 430074)

能源安全是國計(jì)民生的基本需求。目前我國的智能電網(wǎng)是以特高壓電網(wǎng)為骨干網(wǎng)架、各級電網(wǎng)協(xié)調(diào)發(fā)展的堅(jiān)強(qiáng)網(wǎng)架為基礎(chǔ)，以信息通信技術(shù)與平臺為支撐，覆蓋電力系統(tǒng)的發(fā)電、輸電、變電、配電、用電和調(diào)度各個(gè)環(huán)節(jié)，實(shí)現(xiàn)“電力流、信息流、業(yè)務(wù)流”高度一體化融合的現(xiàn)代電網(wǎng)。從電力系統(tǒng)整體性分析發(fā)現(xiàn)，電力整體調(diào)度的穩(wěn)定性、電力內(nèi)部系統(tǒng)的安全性兩大核心需求一直亟待解決。

隨著全球網(wǎng)絡(luò)對抗態(tài)勢升級，電網(wǎng)內(nèi)部系統(tǒng)面臨復(fù)雜的安全情況，攻擊者發(fā)起分布式攻擊或偽裝性強(qiáng)的魚叉式釣魚郵件，結(jié)合自動(dòng)化工具縮短入侵時(shí)間，很難只依靠特征庫匹配和單一情報(bào)源及時(shí)感知攻擊行為。傳統(tǒng)電網(wǎng)企業(yè)的安全防護(hù)體系采用“圍墻式”防護(hù)手段，通過防守方的維度觀察，預(yù)判攻擊的行為周期和強(qiáng)度，但卻限制了對于攻擊行為的全面思考，如信息來源、深度處理等。攻擊者維度的優(yōu)勢在于從攻擊角度考慮攻擊的發(fā)動(dòng)時(shí)間、攻擊手法、影響范圍等，攻防對抗中，防守和攻擊思路并重，同樣吻合當(dāng)前國家電網(wǎng)提倡的紅藍(lán)對抗模式。智能電網(wǎng)的應(yīng)用對應(yīng)急處置的準(zhǔn)確性和時(shí)效性均提出了新要求。攻擊維度的知識通常來自不同情報(bào)源，情報(bào)來源質(zhì)量參差不齊，多類信息[1]質(zhì)量不同，安全風(fēng)險(xiǎn)無法準(zhǔn)確描述。此外，整合多情報(bào)源還存在管理問題[2]，威脅數(shù)據(jù)通常存在敏感性，需要考慮信息包含內(nèi)容、隱寫敏感字段方式、管理身份限制等問題。所以攻防思維并重、威脅情報(bào)分析利用對于電網(wǎng)內(nèi)部系統(tǒng)的信息安全起到強(qiáng)有力的保障作用。

筆者基于國內(nèi)外現(xiàn)有研究，對國家電網(wǎng)情報(bào)生產(chǎn)的關(guān)鍵技術(shù)進(jìn)行剖析，根據(jù)國家電網(wǎng)已有數(shù)據(jù)對安全日志智能分析算法、釣魚網(wǎng)站指紋識別算法進(jìn)行證明，佐證電網(wǎng)攻防邏輯的先進(jìn)性和局限性，為更好地應(yīng)用多源情報(bào)融合分析技術(shù)提供支持。

1 研究現(xiàn)狀

針對當(dāng)前電網(wǎng)企業(yè)網(wǎng)絡(luò)安全問題的復(fù)雜性與研究的滯后性，“威脅情報(bào)”概念[3]的提出具有借鑒意義，其主要是指基于證據(jù)的知識，包括上下文、機(jī)制、標(biāo)示、含義和能夠執(zhí)行的建議，這些信息來源與資產(chǎn)面臨的威脅相關(guān)，可為資產(chǎn)對威脅的響應(yīng)、處理決策提供信息支持。因此，“威脅情報(bào)”實(shí)際上能夠幫助信息層擴(kuò)大對威脅來源的感知范圍，加深信息安全預(yù)警，將行業(yè)內(nèi)或行業(yè)外、可見或不可見、潛在或非潛在的網(wǎng)絡(luò)安全威脅，通過“早知道”“早預(yù)警”的方式提前分析，從而提出網(wǎng)絡(luò)安全的防范預(yù)案。

海量安全日志格式不統(tǒng)一，電網(wǎng)企業(yè)面臨的威脅信息需從系統(tǒng)被攻擊的狀態(tài)和行為進(jìn)行分析，此時(shí)安全日志來自不同安全特征庫記錄的告警數(shù)據(jù)，數(shù)據(jù)具備可讀性但格式不同，無法從海量日志中融合分析威脅情報(bào)。在情報(bào)融合分析研究方面，AL-SHAER等[4]研發(fā)層次聚類分析算法分析威脅情報(bào)，將MITRE ATT&CK攻擊戰(zhàn)術(shù)和戰(zhàn)略作為數(shù)據(jù)源，推測未知的攻擊行為；JUAN等[5]提出利用機(jī)器學(xué)習(xí)算法訓(xùn)練軟件代理，使其像人工分析專家一樣分析APT事件，但復(fù)雜性較高；張紅斌等[6]提出網(wǎng)絡(luò)態(tài)勢感知模型分析情報(bào)，基于攻防博弈思想建模，量化攻防成本與安全狀態(tài)，利用納什均衡預(yù)測攻擊行動(dòng)，判斷內(nèi)源情報(bào)與預(yù)測結(jié)果的相似度；RUDMAN等[7]設(shè)計(jì)自動(dòng)化情報(bào)提取模型，分析Dridex銀行木馬特征，并自動(dòng)化提取攻擊信息。上述研究均提到使用機(jī)器學(xué)習(xí)模型分析日志數(shù)據(jù)，但是尚未解決電網(wǎng)企業(yè)安全日志格式不統(tǒng)一的問題。

情報(bào)質(zhì)量缺乏實(shí)際應(yīng)用評估，黃克振等[12]設(shè)計(jì)基于區(qū)塊鏈的網(wǎng)絡(luò)威脅共享模型，利用區(qū)塊鏈的去中心化和匿名性保護(hù)情報(bào)隱私性,利用回溯性追溯攻擊鏈威脅；董聰?shù)萚13]闡述了面向安全情報(bào)的知識圖譜框架，介紹了信息抽取、本體構(gòu)建和知識推理技術(shù),并根據(jù)情報(bào)本質(zhì)討論情報(bào)發(fā)展的現(xiàn)狀，但未在電網(wǎng)企業(yè)等工程領(lǐng)域驗(yàn)證實(shí)施。此外，情報(bào)應(yīng)用未與數(shù)學(xué)模型深度結(jié)合，PENG等[14]提出應(yīng)用圖論從被攻擊系統(tǒng)視角關(guān)聯(lián)離散的情報(bào)信息，識別復(fù)雜的網(wǎng)絡(luò)入侵，認(rèn)為更完善的矩陣數(shù)學(xué)結(jié)合關(guān)聯(lián)函數(shù)有助于構(gòu)建目標(biāo)系統(tǒng)視角的情報(bào)模型。

綜上所述，筆者從攻擊者視角出發(fā)，改進(jìn)現(xiàn)有機(jī)器學(xué)習(xí)模型，設(shè)計(jì)安全日志智能分析算法，提升安全日志轉(zhuǎn)換內(nèi)部情報(bào)的準(zhǔn)確性，研究APT組織的網(wǎng)站指紋識別算法，生成準(zhǔn)確的黑客畫像情報(bào)，應(yīng)用兩種算法提升電網(wǎng)企業(yè)攻擊溯源的效率。

2 多源情報(bào)融合整體流程

多源情報(bào)融合分析技術(shù)包含情報(bào)數(shù)據(jù)采集、數(shù)據(jù)標(biāo)準(zhǔn)化處理、情報(bào)智能融合分析和情報(bào)數(shù)據(jù)輸出4個(gè)階段。由于安全日志數(shù)據(jù)存在相互割裂、上下文信息不完整的問題，因此關(guān)聯(lián)分析受限導(dǎo)致無法還原攻擊路徑，而智能融合分析階段包含安全日志智能分析算法，能有效解決安全日志的標(biāo)準(zhǔn)化處理問題，具體流程如圖1所示。

圖1 多源威脅情報(bào)融合技術(shù)架構(gòu)

(1)多源情報(bào)采集。多源情報(bào)采集模塊包含外部情報(bào)聚合和安全日志信息兩部分。外部情報(bào)聚合主要利用爬蟲收集CNCERT等國家公開平臺數(shù)據(jù)并生成國家情報(bào)，使用JSON接口接入行業(yè)情報(bào)和商業(yè)情報(bào)，存儲(chǔ)人工研判的APT組織報(bào)告與MITRE ATT&CK知識庫；安全日志信息主要采集各類安全設(shè)備的日志信息，包含防火墻、IPS、流量分析設(shè)備等，此階段情報(bào)質(zhì)量參差不齊、情報(bào)格式不統(tǒng)一問題較明顯。

(2)數(shù)據(jù)標(biāo)準(zhǔn)化處理。多源情報(bào)采集開源情報(bào)、國家情報(bào)、行業(yè)情報(bào)與商業(yè)情報(bào)等信息，形成可用的外源威脅情報(bào)數(shù)據(jù)；安全日志信息通過標(biāo)準(zhǔn)化與歸一化處理、合并降噪等方式整合成標(biāo)準(zhǔn)日志結(jié)構(gòu)，并統(tǒng)一數(shù)據(jù)源的基本格式。

(3)情報(bào)智能融合分析。首先，以電網(wǎng)企業(yè)原始安全日志為數(shù)據(jù)源，包含對象為IP攻擊日志與郵件數(shù)據(jù)，利用安全日志智能分析算法計(jì)算基礎(chǔ)情報(bào)數(shù)據(jù)，進(jìn)而得到攻擊IP信譽(yù)評分，根據(jù)真實(shí)攻擊事件實(shí)時(shí)生成內(nèi)部情報(bào)；其次，基于K-means++的情報(bào)聚類分析訓(xùn)練機(jī)器學(xué)習(xí)模型，對郵件日志數(shù)據(jù)分類；最后，網(wǎng)站指紋識別算法實(shí)時(shí)提取釣魚網(wǎng)站指紋，分析具備APT組織特征的攻擊行為。

(4)情報(bào)數(shù)據(jù)輸出。情報(bào)融合技術(shù)最終為態(tài)勢感知提供情報(bào)數(shù)據(jù)接口，檢索本地情報(bào)，根據(jù)情報(bào)源顯示列表，并行向互聯(lián)網(wǎng)SaaS API接口發(fā)起請求，將云端標(biāo)注結(jié)果與本地情報(bào)合并展示。

3 情報(bào)分析算法關(guān)鍵技術(shù)

3.1 安全日志智能分析算法

安全日志智能分析算法在情報(bào)智能融合分析階段收集流量數(shù)據(jù)、安全日志，提取數(shù)據(jù)詳情，規(guī)范化處理后歸并原始日志，利用權(quán)重統(tǒng)計(jì)算法、頻度分析算法計(jì)算攻擊源地址的威脅分?jǐn)?shù)，運(yùn)用時(shí)間衰減法動(dòng)態(tài)調(diào)整威脅分?jǐn)?shù)，智能分析算法可提升對同一IP地址少量多次的“噴灑式”攻擊分析的準(zhǔn)確性。

(1)權(quán)重統(tǒng)計(jì)算法。電網(wǎng)企業(yè)安全防護(hù)體系中部署防火墻、IPS、WAF與流量分析等多類安全設(shè)備，不同的安全設(shè)備擁有不同的特征庫，其識別攻擊的維度不同。針對高危IP地址命中不同安全特征庫的情況，設(shè)存在n項(xiàng)安全設(shè)備的特征庫，安全特征庫的基準(zhǔn)值為Bj,安全特征庫的權(quán)重值為Wj，利用權(quán)重統(tǒng)計(jì)算法計(jì)算攻擊源IP地址在m日周期范圍的威脅分?jǐn)?shù)S。

(1)

每臺安全設(shè)備的威脅分?jǐn)?shù)是其安全特征庫的基準(zhǔn)值Bj與安全特征庫在m日內(nèi)每日IP告警數(shù)量N的平均值的和，攻擊源IP地址在m天的威脅分?jǐn)?shù)S為此階段內(nèi)基于權(quán)重Wj的各安全設(shè)備威脅指數(shù)的加權(quán)平均值。

(2)頻度統(tǒng)計(jì)算法。假設(shè)攻擊源IP地址在攻擊時(shí)間T存在頻率集中的特點(diǎn)，則從時(shí)間維度計(jì)算安全日志的觸發(fā)頻率。設(shè)時(shí)間周期T內(nèi)的攻擊次數(shù)為AT，ST-1為時(shí)間周期T-1至T-2的威脅分?jǐn)?shù)，AT-2為時(shí)間T-2的攻擊次數(shù)，則依據(jù)頻度統(tǒng)計(jì)算法計(jì)算攻擊源IP地址在時(shí)間間隔T到T-1內(nèi)的威脅分?jǐn)?shù)ST為：

(2)

頻度分析算法表示，ST為上一時(shí)間周期ST-1乘以攻擊次數(shù)的增長比，增長比為時(shí)間間隔T至T-1內(nèi)的攻擊次數(shù)比時(shí)間間隔T-1至T-2內(nèi)的攻擊次數(shù)。

(3)時(shí)間衰減算法。從時(shí)間維度分析，若IP地址的分?jǐn)?shù)S未根據(jù)權(quán)重統(tǒng)計(jì)和頻度分析算法而產(chǎn)生變化，則啟動(dòng)時(shí)間衰減算法，如式(3)所示。

(3)

式中：St+1表示t+1時(shí)刻攻擊源IP地址威脅分?jǐn)?shù);St為時(shí)刻t的威脅分?jǐn)?shù);p為衰減周期。

安全日志智能分析算法初步范式化安全日志格式后，使用權(quán)重統(tǒng)計(jì)算法依據(jù)多個(gè)特征庫從攻擊空間維度詳細(xì)分析攻擊手法，保證情報(bào)的全面性；使用頻度分析算法從攻擊時(shí)間維度關(guān)聯(lián)攻擊行為，保證情報(bào)的連續(xù)性；使用時(shí)間衰減算法從情報(bào)生命周期維度迭代更新威脅分?jǐn)?shù)，保證情報(bào)的時(shí)效性。

3.2 基于K-means++釣魚郵件聚類與釣魚網(wǎng)站指紋識別算法

從攻擊者視角分析，電網(wǎng)企業(yè)除遭遇分布式攻擊外，還面臨長期、持續(xù)且針對性強(qiáng)的APT攻擊，此類攻擊試圖繞過傳統(tǒng)的安全監(jiān)控技術(shù)，通常結(jié)合社會(huì)工程學(xué)制定攻擊戰(zhàn)術(shù)，魚叉式釣魚郵件成為APT攻擊的主要載體。筆者基于K-means++釣魚郵件聚類分析郵件APT攻擊樣本，關(guān)聯(lián)相似特征的原始郵件，設(shè)計(jì)釣魚網(wǎng)站指紋識別算法關(guān)聯(lián)APT組織的活動(dòng)規(guī)律，生成符合釣魚郵件特征的畫像情報(bào)。

(1)基于K-means++釣魚郵件聚類模型算法。該算法根據(jù)郵件主題、郵件內(nèi)容、樣本病毒類型、釣魚網(wǎng)站URL、釣魚網(wǎng)頁特征5個(gè)元素，訓(xùn)練釣魚郵件聚類模型。算法的生成流程如下：①釣魚郵件特征向量計(jì)算，根據(jù)常用的釣魚郵件關(guān)鍵判定元素，梳理釣魚郵件特征并生成27維特征向量，特征向量的定義如表1所示。該特征向量用來標(biāo)識每個(gè)釣魚郵件，并通過歸一化處理使每個(gè)值在0～1之間。②設(shè)置URL過濾模塊，選取原型網(wǎng)站，提取釣魚郵件鏈接的URL特征，比較原型網(wǎng)站URL與釣魚鏈接URL的相似程度，將相似度高的郵件歸并到同一釣魚郵件集合，并以原型網(wǎng)站命名集合。③URL過濾不匹配的網(wǎng)站，利用混合釣魚郵件模型進(jìn)行特征識別，根據(jù)提取的特征用K-means++模型學(xué)習(xí)、訓(xùn)練，產(chǎn)生降維后的特征數(shù)據(jù)，再利用有監(jiān)督分類功能的KNN算法進(jìn)行分類識別。

表1 釣魚郵件特征向量定義

(2)APT釣魚網(wǎng)站指紋識別算法。攻擊者使用釣魚網(wǎng)站進(jìn)行攻擊，在生成釣魚頁面時(shí)往往會(huì)選擇與某些開源網(wǎng)站相類似的頁面模板，提高頁面的仿真效果。APT釣魚網(wǎng)站指紋識別算法可以分析攻擊者使用釣魚網(wǎng)站的特征，計(jì)算網(wǎng)頁中隱藏的特殊值，生成網(wǎng)頁指紋信息，檢索網(wǎng)絡(luò)空間測繪平臺，批量關(guān)聯(lián)分析攻擊者使用的其他釣魚網(wǎng)站，擴(kuò)充樣本空間，提升溯源APT組織行為的準(zhǔn)確率。

一次釣魚郵件攻擊事件PISH為一個(gè)三元組，由攻擊手法A、網(wǎng)站IP地址I、網(wǎng)站URL地址U構(gòu)成，即PISH=(A,I,U)。釣魚網(wǎng)站U的指紋值FPU為一個(gè)多元組，由a、b、c共3個(gè)特征值構(gòu)成，即將ico后綴文件的返回?cái)?shù)據(jù)作為關(guān)聯(lián)值a，將釣魚網(wǎng)站U的注釋值作為關(guān)聯(lián)值b，將釣魚網(wǎng)站html源碼中十六進(jìn)制字符和特殊字符組成的字符串作為關(guān)聯(lián)值c。算法描述如下：①結(jié)合MITRE ATT&CK知識庫與商業(yè)威脅情報(bào)，以釣魚郵件攻擊PISH包含的網(wǎng)站IP地址I與URL信息U為線索，檢索APT組織信息。②通過式(4)～式(6)分別計(jì)算a、b、c3個(gè)特征值。其中，icon為網(wǎng)頁中第一個(gè)ico后綴文件請求的服務(wù)器返回?cái)?shù)據(jù)；base64()為base64編碼函數(shù)；mmh3()為mmh3哈希算法的加密函數(shù)；注釋值b表示釣魚頁面共n個(gè)注釋字符串的首尾相接后取單向散列的結(jié)果，其中md5()為單向散列函數(shù)算法；bi為釣魚頁面中第i個(gè)注釋字符串；特征值c為網(wǎng)頁前端源代碼中的字符串，如圖2所示，由十六進(jìn)制字符和特殊字符組成，釣魚網(wǎng)站U與特征值c為唯一對應(yīng)關(guān)系，即U為c關(guān)于功能函數(shù)f的原像，功能函數(shù)f為網(wǎng)站后端代碼的業(yè)務(wù)邏輯函數(shù)。③通過實(shí)驗(yàn)組與對照組的對比分析，應(yīng)證明存在功能函數(shù)f,使得釣魚網(wǎng)站U與特征值c為唯一對應(yīng)關(guān)系。④如果功能函數(shù)f不存在，即釣魚網(wǎng)站U與特征值c的唯一對應(yīng)關(guān)系不成立，則釣魚網(wǎng)站U的指紋FPU=(a,b)。如能證明功能函數(shù)f存在，則釣魚網(wǎng)站U的指紋FPU=(a,b,c)。⑤訪問網(wǎng)絡(luò)空間測繪平臺的搜索引擎，根據(jù)關(guān)聯(lián)值a和關(guān)聯(lián)值c進(jìn)行檢索，返回值為同類型釣魚網(wǎng)站樣本集合，逐一計(jì)算樣本集合中網(wǎng)站的指紋信息FPU，F(xiàn)PU值相同的網(wǎng)站為同一APT組織使用的攻擊戰(zhàn)略資源。

圖2 關(guān)聯(lián)值c樣例圖

a=mmh3(base64(icon))

(4)

(5)

c=f(U)

(6)

網(wǎng)站指紋識別算法通過定義網(wǎng)站指紋FPU，描述黑客畫像的指紋信息，其實(shí)質(zhì)為基于情報(bào)的關(guān)聯(lián)分析算法，總結(jié)單一攻擊行為的共性，推算高級可持續(xù)威脅的攻擊特征。

情報(bào)智能融合分析階段包含安全日志智能分析算法、基于K-means++的情報(bào)聚類分析算法和網(wǎng)站指紋識別算法3種算法。為驗(yàn)證電網(wǎng)企業(yè)情報(bào)應(yīng)用的理論基礎(chǔ)，測試3種算法的優(yōu)缺點(diǎn)，通過實(shí)驗(yàn)評估上述情報(bào)算法的質(zhì)量問題，保證算法質(zhì)量并為未來改進(jìn)方向提出建議。

4 情報(bào)分析算法實(shí)驗(yàn)證明

通過與同行業(yè)情況對比分析，選取實(shí)驗(yàn)證明安全日志智能分析算法的效率，同時(shí)通過應(yīng)用案例證明釣魚網(wǎng)站識別算法的有效性。

4.1 安全日志智能分析算法實(shí)驗(yàn)

根據(jù)上述安全日志智能分析算法的數(shù)據(jù)源，收集2021年7月19日—8月19日6臺電網(wǎng)企業(yè)安全設(shè)備的原始日志，應(yīng)用安全日志智能分析算法處理日志量215.4萬條，生產(chǎn)情報(bào)18 663條，如圖3所示。由圖3可知，與某水利部委與商業(yè)銀行情報(bào)分析算法相比，該算法具有良好的情報(bào)轉(zhuǎn)換率，且隨著安全日志數(shù)量的提升，其他行業(yè)的情報(bào)轉(zhuǎn)換率呈現(xiàn)下降趨勢。

圖3 情報(bào)智能分析算法性能對比

4.2 基于K-means++的釣魚郵件聚類算法驗(yàn)證

根據(jù)基于K-means++的釣魚郵件聚類算法的前提描述，收集電網(wǎng)企業(yè)2020年5月—2021年5月的原始郵件樣本300余萬份。利用該算法進(jìn)行聚類計(jì)算，訓(xùn)練5個(gè)釣魚郵件模型樣本，樣本模型分析如表2所示。利用2021年5月至6月的數(shù)據(jù)進(jìn)行測試，均發(fā)現(xiàn)存在類似釣魚郵件，郵件主題與附件病毒類型相似，證明了釣魚郵件聚類算法的有效性。

4.3 釣魚網(wǎng)站指紋識別算法驗(yàn)證

結(jié)合爬蟲技術(shù)與釣魚網(wǎng)站指紋識別算法，分析釣魚URL鏈接的網(wǎng)站樣本與郵件附件的HTML文件，梳理5類釣魚郵件樣本強(qiáng)關(guān)聯(lián)的指紋信息，具體結(jié)果見表2。

表2 釣魚郵件指紋識別算法統(tǒng)計(jì)表

為驗(yàn)證指紋識別算法的有效性，以郵件樣本三為例說明指紋生成算法的步驟：①計(jì)算釣魚攻擊PISH(1)=(A1,I1,U1)，A1為釣魚郵件攻擊，釣魚網(wǎng)站IP地址特征值I1為45.76.66.60，域名U1值為downloaddrive.dynamic-dns.net，屬于臺灣APT組織綠斑。②計(jì)算釣魚網(wǎng)站U1的網(wǎng)站指紋FPU1，因樣本三的ico文件與QQ文件中轉(zhuǎn)站ico圖標(biāo)一致，運(yùn)行關(guān)聯(lián)值a的生成函數(shù)，得到其值為-1298027235，根據(jù)算法生成關(guān)聯(lián)值b為“53f5de16bedc1182f8e754b4d774b98e”。③驗(yàn)證關(guān)聯(lián)值c與網(wǎng)站U1的唯一對應(yīng)關(guān)系，網(wǎng)頁控件代碼的標(biāo)簽中存在十六進(jìn)制字符串k。經(jīng)分析，影響k值的變量為QQ號、時(shí)間戳和文件哈希值(Hash)，根據(jù)多個(gè)實(shí)驗(yàn)組與對照組，發(fā)現(xiàn)k值生成流程如圖4所示，存在功能函數(shù)f1的輸入為QQ號碼、時(shí)間戳和文件Hash，在文件上傳后生成唯一k值，如果將此鏈接轉(zhuǎn)發(fā)非QQ郵箱，文件中轉(zhuǎn)站URL鏈接頁面攜帶唯一k值，證明QQ網(wǎng)站U1為關(guān)聯(lián)值c關(guān)于功能函數(shù)f1的原像。④計(jì)算關(guān)聯(lián)值c，提取釣魚網(wǎng)站U1源碼中的k值，因字符串k值具備唯一性，得到關(guān)聯(lián)值c，如圖5所示，因此釣魚網(wǎng)站指紋FPU1= (-1298027235,53f5de16bedc1182f8e754b4d774b98e,726666304574c29de131ec271361534902565352545104541c040205034c550052554b080c04534b030302540703055057000701356f61aedcd9a8fcd7b0b1d88e481c594515c)。

圖4 指紋生成算法流程圖

圖5 關(guān)聯(lián)值c的指紋信息

根據(jù)關(guān)聯(lián)值c檢索網(wǎng)絡(luò)空間測繪平臺，提取仿冒QQ中轉(zhuǎn)站的釣魚網(wǎng)站共7個(gè)，利用釣魚郵件聚類算法和網(wǎng)站指紋提取算法，計(jì)算釣魚網(wǎng)站指紋FPU值均相同，成功分析郵件樣本中包含臺灣APT組織綠斑的攻擊行為，證明網(wǎng)站指紋算法可識別APT組織行為特征，說明釣魚網(wǎng)指紋識別算法具有很好的應(yīng)用效果。

5 結(jié)論

(1)針對分布式攻擊IP地址與魚叉式釣魚郵件樣本，設(shè)計(jì)一組情報(bào)分析算法，利用多源威脅情報(bào)融合分析技術(shù)，完成海量安全日志與APT事件深度分析，得到以下結(jié)果：①設(shè)計(jì)多情報(bào)融合分析技術(shù)架構(gòu)，聚合多種外部情報(bào)源用于情報(bào)智能分析；②設(shè)計(jì)安全日志智能分析算法計(jì)算攻擊源威脅分?jǐn)?shù)，提升對百萬級數(shù)據(jù)量的情報(bào)分析能力；③設(shè)計(jì)K-means++的聚類算法與網(wǎng)站指紋識別算法，提取釣魚網(wǎng)站的指紋特征，關(guān)聯(lián)分析APT組織活動(dòng)規(guī)律，提高威脅情報(bào)識別高級可持續(xù)威脅的準(zhǔn)確性。

(2)下一步將研究安全日志智能分析算法與并行處理日志的能力，豐富電網(wǎng)企業(yè)高級持續(xù)性威脅的分析場景。未來電網(wǎng)企業(yè)將實(shí)踐平戰(zhàn)轉(zhuǎn)化，以攻促防等模式，從攻擊和防守兩個(gè)維度思考安全防護(hù)問題，通過紅藍(lán)對抗與實(shí)戰(zhàn)演練檢驗(yàn)電網(wǎng)企業(yè)安全防護(hù)手段的有效性。