一种网络攻击识别方法及系统技术方案

本发明专利技术公开了一种网络攻击识别方法及系统，所述网络攻击识别方法包括：检测目标主机是否受到网络攻击；若所述目标主机受到所述网络攻击，则从所述网络攻击对应的网络数据中提取待比对特征；将所述待比对特征与一个以上攻击响应规则进行比对，其中，所述攻击响应规则根据第一响应数据形成，所述第一响应数据用于受攻击主机对成功攻击请求的应答；若所述待比对特征与所述攻击响应规则相匹配，则判定所述网络攻击成功。本发明专利技术提供的网络攻击识别方法及系统，能够精确地识别成功的网络攻击，为网络管理人员提供有效的网络攻击信息。

【技术实现步骤摘要】
一种网络攻击识别方法及系统
本专利技术涉及网络安全
，具体涉及一种网络攻击识别方法及系统。
技术介绍
随着计算机技术的不断发展和互联网的不断普及，网络攻击形式层出不穷，网络安全问题日益突出，造成的社会影响和经济损失越来越大，对网络威胁检测与防御提出了新的需求和挑战。网络流量异常是目前主要的网络安全威胁之一，也是网络安全监测的关键对象。快速、准确地发现网络异常流量，对恶意代码及时准确捕获、分析、跟踪与监测，可以为网络安全态势指标评估和免疫决策提供知识支撑，从而提高网络安全应急组织的整体响应能力。传统的网络攻击检测方法，通常只检测出是否存在网络攻击，而不去识别成功的网络攻击，因而会产生大量不准确的告警信息，而无法有效筛选出有效信息，运维处理的成本非常高。
技术实现思路
本专利技术所要解决的是传统的网络攻击检测方法运维处理成本高的问题。本专利技术通过下述技术方案实现：一种网络攻击识别方法，包括：检测目标主机是否受到网络攻击；若所述目标主机受到所述网络攻击，则从所述网络攻击对应的网络数据中提取待比对特征；将所述待比对特征与一个以上攻击响应规则进行比对，其中，所述攻击响应规则根据第一响应数据形成，所述第一响应数据用于受攻击主机对成功攻击请求的应答；若所述待比对特征与所述攻击响应规则相匹配，则判定所述网络攻击成功。可选的，所述检测目标主机是否受到网络攻击包括：采集所述网络数据；从所述网络数据中提取待检测特征；将所述待检测特征导入预先建立的人工智能模型，通过所述人工智能模型对所述待检测特征进行归类，根据归类结果确定所述目标主机是否受到网络攻击。可选的，所述从所述网络数据中提取待检测特征包括：从所述网络数据中提取请求数据，其中，所述请求数据用于向所述目标主机发起请求服务；从所述请求数据中提取所述待检测特征。可选的，在所述将所述待检测特征导入预先建立的人工智能模型之前，还包括：建立所述人工智能模型。可选的，所述建立所述人工智能模型包括：收集模型训练数据；从所述模型训练数据中提取已知网络攻击的特征，获得攻击特征数据；对所述攻击特征数据进行分类，获得训练样本；根据所述训练样本进行模型训练，获得所述人工智能模型。可选的，所述收集模型训练数据包括：收集互联网已公开的攻击数据、互联网已公开的漏洞数据、所述目标主机已采集的攻击数据以及所述目标主机已采集的漏洞数据中的一种或多种组合。可选的，所述根据所述训练样本进行模型训练包括：根据所述训练样本，采用朴素贝叶斯算法进行模型训练。可选的，所述从所述网络攻击对应的网络数据中提取待比对特征包括：从所述网络数据中提取第二响应数据，其中，所述第二响应数据用于所述目标主机应答请求服务；从所述第二响应数据中提取所述待比对特征。可选的，所述从所述网络攻击对应的网络数据中提取待比对特征包括：从所述网络数据中提取请求数据和第二响应数据，其中，所述请求数据用于向所述目标主机发起请求服务，所述第二响应数据用于所述目标主机应答请求服务；从所述请求数据和所述第二响应数据中提取所述待比对特征。可选的，在所述将所述待比对特征与一个以上攻击响应规则进行比对之前，还包括：建立包含所述一个以上攻击响应规则的特征库。可选的，所述建立包含所述一个以上攻击响应规则的特征库包括：创建数据库；从一个以上第一响应数据中对应提取一个以上攻击响应特征；对每个攻击响应特征进行确定性描述，形成一个以上攻击响应规则；将所述一个以上攻击响应规则存储到所述数据库中，获得所述特征库。可选的，所述特征库包括N个子特征库，N为不小于2的整数，所述建立包含所述一个以上攻击响应规则的特征库包括：创建N个数据库；从两个以上第一响应数据中对应提取两个以上攻击响应特征；对每个攻击响应特征进行确定性描述，形成两个以上攻击响应规则；将所述两个以上攻击响应规则中属于同种攻击类型的攻击响应规则存储到相同的数据库中，获得所述子特征库。可选的，在所述将所述待比对特征与一个以上攻击响应规则进行比对之前，还包括：获得所述网络攻击的攻击类型；所述将所述待比对特征与一个以上攻击响应规则进行比对包括：将所述待比对特征与和所述网络攻击的攻击类型对应的子特征库中一个以上攻击响应规则进行比对。可选的，所述对每个攻击响应特征进行确定性描述包括：采用正则表达式对每个攻击响应特征进行确定性描述。可选的，在所述将所述待比对特征与一个以上攻击响应规则进行比对之前，还包括：建立每个所述攻击响应规则与攻击动作之间的关联关系；在所述判定所述网络攻击成功之后，还包括：根据每个所述攻击响应规则与攻击动作之间的关联关系，将与所述待比对特征匹配的攻击响应规则所对应的攻击动作，确定为所述成功的网络攻击的攻击动作。可选的，在所述将所述待比对特征与一个以上攻击响应规则进行比对之前，还包括：获得所述网络攻击的攻击类型；在所述将所述待比对特征与一个以上攻击响应规则进行比对之后，还包括：生成告警信息，其中，所述告警信息包括所述网络攻击的攻击类型、所述网络攻击是否成功以及成功的网络攻击的攻击动作。可选的，在所述生成告警信息之后，还包括：通过邮件、短信、对话框以及即时通信中的一种或多种组合将所述告警信息发送给网络管理人员。可选的，在所述生成告警信息之后，还包括：根据所述告警信息的告警内容为所述告警信息添加对应的攻击链标签，其中，所述攻击链标签用于表征所述网络攻击在攻击链中所处的攻击阶段；统计同一攻击事件的各个攻击链标签，获得处于所述攻击事件各个攻击阶段的网络攻击总次数、成功的网络攻击次数以及成功的网络攻击的攻击动作；根据处于所述攻击事件各个攻击阶段的网络攻击总次数、成功的网络攻击次数以及成功的网络攻击的攻击动作生成攻击路线信息，其中，所述攻击路线信息包括处于所述攻击事件各个攻击阶段的网络攻击总次数、成功的网络攻击次数以及成功的网络攻击的攻击动作。可选的，所述根据所述告警信息的告警内容为所述告警信息添加对应的攻击链标签包括：根据所述告警信息的告警内容，从预先建立的标签库中确定与所述告警信息对应的攻击链标签。可选的，所述攻击链标签包括两级以上，所述根据所述告警信息的告警内容为所述告警信息添加对应的攻击链标签包括：根据所述告警信息的告警内容，从预先建立的标签库中确定与所述告警信息对应的各级标签，其中，所述标签库存储有M个攻击链标签，所述M个攻击链标签被划分为两级以上，M为大于4的整数。可选的，所述攻击路线信息还包括各个攻击阶段的起止时间，在所述根据处于所述攻击事件各个攻击阶段的网络攻击总次数、成功的网络攻击次数以及成功的网络攻击的攻击动作生成攻击路线信息之后，还包括：按照各个攻击阶段的起始时间的先后顺序显示所述攻击路线信息。基于同样的专利技术构思，本专利技术还提供一种网络攻击识别系统，包括：检测模块，用于检测目标主机是否受到网络攻击；第一提取模块，用于在所述目标主机受到所述网络攻击时，从所述网络攻击对应的网络数据中提取待比对特征；比对模块，用于将所述待比对特征与一个以上攻击响应规则进行比对，其中，所述攻击响应规则根据第一响应数据形成，所述第一响应数据用于受攻击主机对成功攻击请求的应答；判定模块，用于在所述待比对特征与所述攻击响应规则相匹配时，判定所述网络攻击成功。可选的，所述检测模块包括：采集模块，用于采集所述网络数据；第二提取模块，用于本文档来自技高网...

【技术保护点】
1.一种网络攻击识别方法，其特征在于，包括：检测目标主机是否受到网络攻击；若所述目标主机受到所述网络攻击，则从所述网络攻击对应的网络数据中提取待比对特征；将所述待比对特征与一个以上攻击响应规则进行比对，其中，所述攻击响应规则根据第一响应数据形成，所述第一响应数据用于受攻击主机对成功攻击请求的应答；若所述待比对特征与所述攻击响应规则相匹配，则判定所述网络攻击成功。

【技术特征摘要】
1.一种网络攻击识别方法，其特征在于，包括：检测目标主机是否受到网络攻击；若所述目标主机受到所述网络攻击，则从所述网络攻击对应的网络数据中提取待比对特征；将所述待比对特征与一个以上攻击响应规则进行比对，其中，所述攻击响应规则根据第一响应数据形成，所述第一响应数据用于受攻击主机对成功攻击请求的应答；若所述待比对特征与所述攻击响应规则相匹配，则判定所述网络攻击成功。2.根据权利要求1所述的一种网络攻击识别方法，其特征在于，所述检测目标主机是否受到网络攻击包括：采集所述网络数据；从所述网络数据中提取待检测特征；将所述待检测特征导入预先建立的人工智能模型，通过所述人工智能模型对所述待检测特征进行归类，根据归类结果确定所述目标主机是否受到网络攻击。3.根据权利要求2所述的一种网络攻击识别方法，其特征在于，所述从所述网络数据中提取待检测特征包括：从所述网络数据中提取请求数据，其中，所述请求数据用于向所述目标主机发起请求服务；从所述请求数据中提取所述待检测特征。4.根据权利要求2所述的一种网络攻击识别方法，其特征在于，在所述将所述待检测特征导入预先建立的人工智能模型之前，还包括：建立所述人工智能模型。5.根据权利要求4所述的一种网络攻击识别方法，其特征在于，所述建立所述人工智能模型包括：收集模型训练数据；从所述模型训练数据中提取已知网络攻击的特征，获得攻击特征数据；对所述攻击...

【专利技术属性】
技术研发人员：蒋劭捷，张鑫，
申请(专利权)人：北京奇虎科技有限公司，
类型：发明
国别省市：北京,11