技術領域

本發明涉及一種網絡信息安全技術，是一種帶有反饋機制的網絡多步攻擊規則智能檢測方法，通過反饋機制智能調整多步攻擊檢測規則，進而提高規則的可用性和全面性。

背景技術

在網絡安全技術發展的同時，網絡攻擊手段也日益復雜多樣。為了保護網絡中資產和信息的安全，防火墻、入侵檢測、防病毒、漏洞掃描等設備和系統得到了廣泛應用。這些設備和系統產生的報警信息數量巨大，且信息之間沒有直接關聯，很難分析出多步攻擊。因此，人們提出多種方法對網絡安全事件進行關聯分析，從而提取出檢測多步攻擊的方法。主要有基于前提條件和后果的關聯方法、基于統計時序的關聯方法、基于規則的關聯方法等。

法國國防部的Cuppens、美國加利福尼亞大學的Templeton、美國北卡羅萊納州大學的Peng?Ning等人先后提出了基于前提條件和后果的關聯方法。利用攻擊的前提條件和后果來進行序列關聯，不必事先知道整個攻擊過程，適用于攻擊步驟間的關聯，它可以發現不同攻擊組合形成的新攻擊過程，序列關聯結果準確率高。但該方法難以提前預警，關聯時搜索空間較大、消耗資源大、處理時間長，不利于實時在線操作，不能檢測出不知道前因后果的新型攻擊。

Xinzhou?Qin提出了基于時間序列的統計因果關聯方法Granger?CausalityTest(GCT)。該關聯算法的核心是采用數據挖掘的方法GCT(granger?causality?test，時序因果分析)，即將網絡安全信息流看作時序事件流，通過計算兩個不同事件(Xi，Y)間的GCI，擇優選取前m個Xi事件，判定Xi事件與Y事件的統計因果關系。該方法大量依賴先驗知識和專家知識。同時，對于攻擊預測來說，該方法產生的序列并不能直接作為預測的依據，需要進一步檢驗。

基于規則(Rule-Based)的分析方法是將特定領域知識(如告警相關性知識)包含在一組規則集中，通過推理機制對各種問題進行分析判斷?；谝巹t的關聯是當前最基本、最有效的關聯技術，符合人們的思維，直觀、便于理解。該方法的缺點在于：當規則數量達到一定程度時，規則庫的維護變得越來越困難；系統缺乏自學習能力，對于不斷涌現出來的新攻擊無能為力；規則的調整和維護困難，難以適應經常變化的網絡。

發明內容

本發明的目的是提高網絡多步攻擊檢測規則的智能化程度和可用性，解決目前通過各種算法得到的多步攻擊檢測規則在不同網絡環境下可用度差別較大、普遍不能智能擴展的問題。

網絡多步攻擊檢測規則不論以何種方式生成，其用途一般為識別和預測網絡攻擊。有效的網絡攻擊被識別時，往往已經對網絡造成一定影響。而如果攻擊能被成功預測，一般會向用戶或特定系統發出預警。當預測被用戶或特定系統認可，用戶和系統會采取相應的防范措施，以阻止攻擊的繼續進行。將規則應用的情況進行評估，將評估結果反饋給多步攻擊檢測規則庫，可以及時、有效地對多步攻擊檢測規則進行調整，提高規則的可用性、準確性和全面性。

一種反饋式多步攻擊智能檢測方法的具體流程如圖1所示。

本發明的實現方式是：利用具有多步網絡攻擊檢測功能的產品識別和預測網絡攻擊，并記錄多步網絡攻擊檢測規則在實際網絡中發揮效用的情況(即“規則效用信息”)；利用具有網絡異常探測功能的產品探測網絡異常，如異常流量、病毒、木馬、蠕蟲、緩存溢出、非法登錄等；利用具有網絡安全策略監測功能的產品監測網絡安全策略的調整情況，即用戶和系統變換防范措施的情況，并追溯這些調整是否依據多步網絡攻擊檢測工具給出的預警。

多步網絡攻擊檢測規則實際發揮效用的具體信息、網絡異常信息和并非依據預警進行的網絡策略調整信息(即“非預警策略調整”)各自反饋給多步網絡攻擊檢測規則評估器。該評估器根據異常信息判斷網絡是否遭受攻擊，根據非預警策略調整情況判斷預警的全面性，并結合多步網絡攻擊檢測規則實際生效的情況對規則的有效性進行評估，以確定已有的多步攻擊識別規則在實際網絡中的可用性，以及當前多步攻擊識別規則的全面性，即是否足以識別和預測所有攻擊。

為了更好地描述多步網絡攻擊檢測規則評估器評估規則有效性的算法和評估規則全面性的方法，先定義幾個名詞：