技術領域

本發明涉及信息管理領域，尤其涉及一種攻擊檢測方法和裝置。

背景技術

為了緩解日益嚴重的信息安全問題，越來越多的企業和機構部署了防火墻、入侵檢測系統(Intrusion?Detection?Systems，IDS)、異常流量檢測系統等網絡安全設備，有效降低了信息系統的安全風險。這些傳統的網絡安全設備能夠根據設定的檢測規則，對網絡中的數據包進行捕獲、流重組和協議解析，發現網絡中的攻擊事件并按照設定的方式進行響應。然而，一次有威脅的攻擊行為往往由一系列前后相關的攻擊事件組成，這些攻擊事件會觸發不同的網絡安全設備產生若干條相關的報警信息，傳統的網絡安全設備只能實現單個攻擊事件的檢測，難以發現不同報警信息之間的關聯關系。

以一次后門植入攻擊為例，攻擊者在實施攻擊時，一般要先遠程掃描，探測目標主機上是否存在可利用的漏洞；然后針對漏洞實施緩沖區溢出攻擊，獲取一定的遠程訪問權限；最后植入后門并進行遠程連接。攻擊者的每次攻擊，會分別觸發防火墻或IDS產生獨立的掃描探測事件、緩沖區溢出攻擊事件和后門連接事件，只有把這些事件關聯起來進行分析，才能發現攻擊者的完整攻擊過程和意圖。

又如一次弱口令猜測攻擊，攻擊者在登錄一個系統時，需要猜測該系統的口令。在猜測過程中會根據字典表進行多次嘗試，最終猜對口令實現登錄。傳統的IDS會針對攻擊者的多次嘗試產生多條認證失敗事件，最終針對攻擊成功產生一條認證成功事件，同樣的只有把這些事件關聯分析，才能發現攻擊者的攻擊過程。

目前已有的規則關聯分析系統，大都基于有限狀態自動機技術實現。這在規則數量較少、狀態數不多的情況下還能正常運行，當規則積累到一定程度時，不可避免地會因為狀態數量太多，導致運行時占用大量內存空間，從而引起運行效率的嚴重下降。由此可見，現有技術中基于有限狀態自動機的關聯分析方式不適用于狀態復雜的情況。

發明內容

本發明提供了一種攻擊檢測方法和裝置，解決了關聯分析方式不適用于復雜情景的問題。

一種攻擊檢測方法，包括：

提取符合預置的關聯規則中場景的安全事件；

對所述安全事件進行關聯分析；

在所述關聯分析的結果符合所述關聯規則時，確定檢測到攻擊。

優選的，上述攻擊檢測方法還包括：

設置至少一個場景，每個場景包括一個安全事件，或在一時間窗內發生多次的多個相同的安全事件，所述安全事件具有至少一個事件屬性，所述事件屬性之間具有邏輯關系，所述邏輯關系包括邏輯關系和(and)和/或邏輯關系或(or)；

設置所述場景之間的關聯關系；

將所述場景和所述場景之間的關聯關系作為一項關聯規則。

優選的，所述提取符合預置的關聯規則中場景的安全事件具體為：

將符合所述場景的一個或多個所述安全事件提取出來組成所述場景。

優選的，所述提取符合預置的關聯規則中場景的安全事件的步驟之前還包括：

解析所述關聯規則，確定所述關聯規則中的場景、所述場景的數量和所述場景之間的關聯關系。

優選的，所述關聯關系包括：

不同場景發生的時序關系，不同場景的引用屬性，和在先發生的場景與在后發生的場景間的引用屬性關系。

優選的，對所述安全事件進行關聯分析包括：

若所述在先發生的場景存在引用屬性，則從所述在先發生的場景中提取所述引用屬性的值，構造引用屬性列表；

提取在后發生的場景的所述引用屬性的值；

查找所述引用屬性列表中所述在先發生的場景的所述引用屬性的值；

當所述在后發生的場景與所述在先發生的場景的引用屬性的值一致時，將所述在先發生的場景和所述在后發生的場景按照時序排列，將排列后得到的安全事件序列存儲于中間事件緩存區域中。

優選的，所述對所述安全事件進行關聯分析的步驟之后，還包括：

在所述安全事件序列包含的場景不能滿足所述關聯規則中全部場景時，繼續對所述安全事件序列與其后發生的場景進行關聯分析。

優選的，在所述關聯分析的結果符合所述關聯規則時，確定檢測到攻擊具體為：

在所述安全事件序列包含的場景滿足所述關聯規則中的全部場景時，確定所述安全事件序列中的全部安全事件構成一次攻擊。

本發明還提供了一種攻擊檢測裝置，包括：

事件提取模塊，用于提取符合預置的關聯規則中場景的安全事件；

事件關聯模塊，用于對所述安全事件進行關聯分析；