本發(fā)明提供了一種多步攻擊檢測(cè)方法及裝置，應(yīng)用于信息安全技術(shù)領(lǐng)域，該方法在在獲取網(wǎng)絡(luò)攻擊報(bào)警序列之后，確定多個(gè)多步攻擊場(chǎng)景的隱馬爾可夫模型，基于多個(gè)多步攻擊場(chǎng)景的隱馬爾可夫模型，預(yù)測(cè)網(wǎng)絡(luò)攻擊報(bào)警序列對(duì)應(yīng)的多步攻擊場(chǎng)景，基于網(wǎng)絡(luò)攻擊報(bào)警序列以及網(wǎng)絡(luò)攻擊報(bào)警序列對(duì)應(yīng)的多步攻擊場(chǎng)景的隱馬爾可夫模型，預(yù)測(cè)網(wǎng)絡(luò)攻擊報(bào)警序列對(duì)應(yīng)的攻擊意圖序列，對(duì)網(wǎng)絡(luò)攻擊報(bào)警序列背后隱藏的攻擊意圖進(jìn)行了更深入挖掘，根據(jù)網(wǎng)絡(luò)攻擊報(bào)警序列對(duì)應(yīng)的攻擊意圖序列以及網(wǎng)絡(luò)攻擊報(bào)警序列對(duì)應(yīng)的多步攻擊場(chǎng)景的隱馬爾可夫模型，預(yù)測(cè)攻擊者下一步可能的攻擊意圖。對(duì)多步攻擊進(jìn)行了準(zhǔn)確的判別，對(duì)攻擊路徑進(jìn)行了定性的顯示，對(duì)攻擊意圖進(jìn)行了定量的分析，具有較高準(zhǔn)確率，在一定程度上可以快速有效地預(yù)測(cè)和抵御多步攻擊。

技術(shù)領(lǐng)域

本發(fā)明屬于信息安全技術(shù)領(lǐng)域，尤其涉及一種多步攻擊檢測(cè)方法及裝置。

背景技術(shù)

在智能信息化發(fā)展道路上，由于網(wǎng)絡(luò)系統(tǒng)中安全漏洞和黑客工具的大量存在，導(dǎo)致進(jìn)行網(wǎng)絡(luò)攻擊難度的降低，網(wǎng)絡(luò)攻擊帶來(lái)豐厚利益的驅(qū)動(dòng)，使得網(wǎng)絡(luò)上的攻擊入侵行為越來(lái)越多。多步攻擊已經(jīng)成為網(wǎng)絡(luò)攻擊入侵的主要形式之一。

現(xiàn)有技術(shù)中，檢測(cè)多步攻擊的方法主要偏向于規(guī)則匹配的方式，多步攻擊場(chǎng)景的預(yù)測(cè)大都需要提前知曉攻擊行為，進(jìn)而基于已經(jīng)重建好的多步攻擊場(chǎng)景來(lái)選擇相應(yīng)的算法對(duì)多步攻擊進(jìn)行檢測(cè)。

但這種方法在大數(shù)據(jù)量時(shí)往往運(yùn)行緩慢，并且維護(hù)成本高昂，因此，如何對(duì)多步攻擊進(jìn)行快速有效的檢測(cè)，成為本領(lǐng)域技術(shù)人員亟待解決的技術(shù)問(wèn)題。

發(fā)明內(nèi)容

鑒于上述問(wèn)題，本申請(qǐng)?zhí)岢隽艘环N多步攻擊檢測(cè)方法及裝置，對(duì)多步攻擊進(jìn)行了準(zhǔn)確的判別，對(duì)攻擊路徑進(jìn)行了定性的顯示，對(duì)攻擊意圖進(jìn)行了定量的分析，具有較高準(zhǔn)確率，在一定程度上可以快速有效地預(yù)測(cè)和抵御多步攻擊。具體方案如下：

一種多步攻擊檢測(cè)方法，包括：

獲取網(wǎng)絡(luò)攻擊報(bào)警序列；

確定多個(gè)多步攻擊場(chǎng)景的隱馬爾可夫模型；

基于所述多個(gè)多步攻擊場(chǎng)景的隱馬爾可夫模型，預(yù)測(cè)所述網(wǎng)絡(luò)攻擊報(bào)警序列對(duì)應(yīng)的多步攻擊場(chǎng)景；

基于所述網(wǎng)絡(luò)攻擊報(bào)警序列以及所述網(wǎng)絡(luò)攻擊報(bào)警序列對(duì)應(yīng)的多步攻擊場(chǎng)景的隱馬爾可夫模型，預(yù)測(cè)所述網(wǎng)絡(luò)攻擊報(bào)警序列對(duì)應(yīng)的攻擊意圖序列；

根據(jù)所述網(wǎng)絡(luò)攻擊報(bào)警序列對(duì)應(yīng)的攻擊意圖序列以及所述網(wǎng)絡(luò)攻擊報(bào)警序列對(duì)應(yīng)的多步攻擊場(chǎng)景的隱馬爾可夫模型，預(yù)測(cè)攻擊者下一步可能的攻擊意圖。

可選的，所述確定多個(gè)攻擊場(chǎng)景的隱馬爾可夫模型，包括：

獲取多個(gè)多步攻擊場(chǎng)景的多步攻擊事件；

針對(duì)每個(gè)多步攻擊場(chǎng)景的多步攻擊事件，確定所述多步攻擊場(chǎng)景的多步攻擊事件的狀態(tài)數(shù)是否已知；

如果所述多步攻擊場(chǎng)景的多步攻擊事件的狀態(tài)數(shù)已知，則基于所述多步攻擊場(chǎng)景的多步攻擊事件的狀態(tài)數(shù)構(gòu)建所述多步攻擊場(chǎng)景的隱馬爾可夫模型；

如果所述多步攻擊場(chǎng)景的多步攻擊事件的狀態(tài)數(shù)未知，則先確定所述多步攻擊場(chǎng)景的多步攻擊事件的狀態(tài)數(shù)，再基于確定的所述多步攻擊場(chǎng)景的多步攻擊事件的狀態(tài)數(shù)構(gòu)建所述多步攻擊場(chǎng)景的隱馬爾可夫模型。

可選的，所述基于所述多個(gè)多步攻擊場(chǎng)景的隱馬爾可夫模型，預(yù)測(cè)所述網(wǎng)絡(luò)攻擊報(bào)警序列對(duì)應(yīng)的多步攻擊場(chǎng)景，包括：

計(jì)算各個(gè)多步攻擊場(chǎng)景的隱馬爾可夫模型產(chǎn)生所述網(wǎng)絡(luò)報(bào)警序列的概率；

將概率最高的多步攻擊場(chǎng)景的隱馬爾可夫模型對(duì)應(yīng)的多步攻擊場(chǎng)景，確定為所述網(wǎng)絡(luò)攻擊報(bào)警序列對(duì)應(yīng)的多步攻擊場(chǎng)景。

可選的，所述基于所述網(wǎng)絡(luò)攻擊報(bào)警序列以及所述網(wǎng)絡(luò)攻擊報(bào)警序列對(duì)應(yīng)的多步攻擊場(chǎng)景的隱馬爾可夫模型，預(yù)測(cè)所述網(wǎng)絡(luò)攻擊報(bào)警序列對(duì)應(yīng)的攻擊意圖序列，包括：