[發明專利]基于攻擊鏈的復合攻擊檢測方法有效
| 申請號: | 201710672534.2 | 申請日: | 2017-08-08 |
| 公開(公告)號: | CN107483425B | 公開(公告)日: | 2020-12-18 |
| 發明(設計)人: | 陳華 | 申請(專利權)人: | 北京盛華安信息技術有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京思創大成知識產權代理有限公司 11614 | 代理人: | 張清芳 |
| 地址: | 100085 北京市海淀*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 攻擊 復合 檢測 方法 | ||
1.一種基于攻擊鏈的復合攻擊檢測方法,其特征在于,包括:
構建事件類型與攻擊鏈映射表,將事件類型映射為攻擊階段;
獲取攻擊元數據;
建立攻擊鏈基線,根據行為偏離發現行為異常事件;
計算所述行為異常事件的攻擊鏈匹配度,發現攻擊行為;
所述攻擊鏈基線以事件量為基本指標,基線構成是固定周期的攻擊鏈各階段的平均事件總量;
所述發現行為異常事件包括:
基于采集到的所述攻擊元數據,實時計算建立攻擊鏈基線;
當某時刻某攻擊階段的安全事件總量偏離所述攻擊鏈基線超過閾值時,確定該時刻該攻擊階段最活躍的安全事件為所述行為異常事件;
所述計算所述行為異常事件的攻擊鏈匹配度包括:
針對每一個所述行為異常事件從元數據數據庫進行回溯計算,構建攻擊序列圖;
基于所述攻擊序列圖計算所述行為異常事件的所述攻擊鏈匹配度,發現所述攻擊行為;
其中,獲取攻擊元數據包括:
基于syslog或文件系統,實時獲取安全事件;
將所述安全事件進行標準化,得到標準化事件;
基于所述攻擊鏈映射表,將所述標準化事件映射至所述攻擊階段,獲得所述攻擊元數據;
所述標準化事件的信息包括:攻擊時間、攻擊嚴重程度、源IP、源端口、目的IP、目的端口、協議類型和事件類型;
所述攻擊元數據的信息包括:攻擊時間、攻擊嚴重程度、源IP、源端口、目的IP、目的端口、協議類型、事件類型和攻擊階段。
2.根據權利要求1所述的基于攻擊鏈的復合攻擊檢測方法,其中,通過人工配置或預置將所述事件類型與各個所述攻擊階段進行映射。
3.根據權利要求1所述的基于攻擊鏈的復合攻擊檢測方法,其中,通過所述事件類型與所述攻擊鏈映射表匹配獲得所述攻擊階段。
4.根據權利要求1所述的基于攻擊鏈的復合攻擊檢測方法,其中,獲取攻擊元數據還包括,對所述攻擊元數據進行實時存儲,形成元數據數據庫。
5.根據權利要求1所述的基于攻擊鏈的復合攻擊檢測方法,其中,所述攻擊階段包括:
(1)偵查掃描,利用社會工程學偵查目標網絡;
(2)定向攻擊,制作定向攻擊所述目標網絡的攻擊工具;
(3)入侵控制,輸送所述攻擊工具到目標系統;
(4)安裝攻擊,利用所述目標系統的應用或操作系統漏洞,在所述目標系統觸發所述攻擊工具運行;
(5)惡意活動,執行所述攻擊行為,創建攻擊據點,擴大攻擊戰果。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京盛華安信息技術有限公司,未經北京盛華安信息技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710672534.2/1.html,轉載請聲明來源鉆瓜專利網。
