[發明專利]基于規則泛化和攻擊重構網絡攻擊檢測方法及裝置在審

申請號：	202210193114.7	申請日：	2022-02-28
公開（公告）號：	CN114553580A	公開（公告）日：	2022-05-27
發明（設計）人：	谷天佑;黃志堅;李國棟;魏博文;程衛兵;張苗苗	申請（專利權）人：	國網新疆電力有限公司博爾塔拉供電公司;國家電網有限公司
主分類號：	H04L9/40	分類號：	H04L9/40;G06K9/62;G06N7/00
代理公司：	烏魯木齊合縱專利商標事務所 65105	代理人：	俞亮
地址：	833400 新疆維吾爾自治***	國省代碼：	新疆;65
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	基于規則泛化攻擊網絡檢測方法裝置
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種基于規則泛化和攻擊重構網絡攻擊檢測方法，其特征在于，包括：

獲取網絡流量數據；

利用入侵檢測改進模型對網絡流量數據進行低層次的單步攻擊檢測，輸出低級警報，其中，入侵檢測改進模型為對規則庫進行泛化，根據泛化后的規則庫和Snort入侵檢測技術建立的入侵檢測改進模型；

利用攻擊重構技術，對低級警報進行關聯及學習，重構出高層次的多步攻擊場景，完成多步攻擊檢測。

2.根據權利要求1所述的基于規則泛化和攻擊重構網絡攻擊檢測方法，其特征在于，所述利用攻擊重構技術，對低級警報進行關聯及學習，重構出高層次的多步攻擊場景，完成多步攻擊檢測，包括：

獲取低級警報，并將低級警報關聯組成候選攻擊序列；

將候選攻擊序列聚合形成超警報序列；

對超警報序列進行學習分析，從超警報序列中獲取攻擊模式；

利用交互式攻擊鏈與順序攻擊鏈結合的方式構造攻擊樹，完成多步攻擊檢測。

3.根據權利要求2所述的基于規則泛化和攻擊重構網絡攻擊檢測方法，其特征在于，所述對超警報序列進行學習分析，從超警報序列中獲取攻擊模式，包括：

利用馬爾可夫鏈將超警報序列中所有的超警報轉換為元警報集；

設置元警報關聯標準，根據元警報關聯標準獲取元警報集中的關鍵事件，其中關鍵事件包括兩個相關聯的元警報；

設置超警報關聯標準，分別從兩個關鍵事件提取超警報，根據超警報關聯標準獲取雙成員集群，其中雙成員集群包括兩個相關的超警報；

分析雙成員集群中包含的IP地址，將相同IP地址的雙成員集群組成因果集群，其中因果集群為被攻擊的宿主的攻擊模式。

4.根據權利要求3所述的基于規則泛化和攻擊重構網絡攻擊檢測方法，其特征在于，所述元警報關聯標準如下所示：

時,Feature₁(a,b)≥γ，Feature₂(a,b)≥γ，Feature₃(a,b)≥γ，和Feature₄(a,b)≥γ，或Feature₁(a,b)≥δ且Feature₂(a,b)≥δ，或Feature₃(a,b)≥δ且Feature₄(a,b)≥δ，則元警報a和元警報b相關聯；或時,Feature₁(a,b)≥δ且Feature₂(a,b)≥δ，或Feature₃(a,b)≥δ且Feature₄(a,b)≥δ，則元警報a和元警報b相關聯；

其中，a和b均為元警報；Cor(a,b)為元警報a和元警報b之間的相關強度；Feature_K(a,b)為第k個特征的值。

或/和，所述超警報關聯標準為一個超警報的srcip與另一個超警報的srcip相同，且該超警報的dstip與另一個超警報的dstip相同，則兩個超警報之間存在相關性；或一個超警報的srcip與另一個超警報的dstip相同，且該超警報的dstip與另一個超警報的srcip相同，則兩個超警報之間存在相關性。

5.根據權利要求2至4中任意一項所述的基于規則泛化和攻擊重構網絡攻擊檢測方法，其特征在于，所述利用交互式攻擊鏈與順序攻擊鏈結合的方式構造攻擊樹，完成多步攻擊檢測，包括：

將因果集群的攻擊模式與攻擊鏈進行關聯；

在因果簇中繪制每個雙成員簇；

將具有相同節點的不同雙成員簇連接在一起形成順序攻擊鏈；

將具有節點類型相同且第一個節點srcip地址相同的不同雙成員簇連接在一起形成順序攻擊鏈；

將不同因果簇的攻擊鏈連接到攻擊樹中，通過添加提取的攻擊模式來更新攻擊樹。

6.根據權利要求1至5中任意一項所述的基于規則泛化和攻擊重構網絡攻擊檢測方法，其特征在于，所述對規則庫進行泛化，包括：

確定Snort規則庫；

利用聚類泛化的方法對Snort規則庫進行泛化；

利用最近鄰的泛化方法對不能應用聚類泛化的規則點進行泛化。

下載完整專利技術內容需要扣除積分，VIP會員可以免費下載。

免登錄下載普通用戶下載升級VIP會員，免費下載