本发明专利技术涉及一种面向网络系统安全度量的攻击检测方法,涉及网络安全领域。本发明专利技术从网络系统自身、网络系统安全度量出发,通过建立网络信息系统的安全效用基线,通过对网络系统的标识特征、流量特征、效用影响进行度量评估,通过对实际效用与预期效用进行对比,发现网络系统的异常,及时检测和发现网络攻击,弥补了基于攻击特征检测存在的不足,提升了攻击检测的准确性;通过在网络系统环境中有效地使用度量指标,选取合适度量指标集合并按照这些度量集合在实际项目中进行数据采集,根据采集到的数据来判断是否发生了网络攻击,通过使用网络系统度量结果为网络攻击的检测提供决策支撑,为评估对象主动发现安全问题、检测和判断出网络攻击提供依据。
【技术实现步骤摘要】
一种面向网络系统安全度量的攻击检测方法
本专利技术涉及网络安全
,具体涉及一种面向网络系统安全度量的攻击检测方法。
技术介绍
网络系统安全度量是指,首先建立网络信息系统的安全基线(网络信息系统有不同安全级别的基线),通过对网络系统的标识特征、流量特征、效用影响进行度量评估,对实际评估效用与预期安全基线进行对比,来发现网络系统的异常,及时检测和发现网络攻击,从而为网络安全决策提供准确指引。在网络系统安全中,风险、攻击和防御是相互关联与制约及协同演化的。目前,网络攻击检测的主流做法是:通过监测网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与网络行为原型相比较来识别攻击事件。但这种做法有两个缺陷及不足:一方面无法对加密后的网络流量进行有效的攻击检测;另一方面这种攻击检测能力严重依赖已知攻击特征。随着网络攻击技术的迅猛发展,面对网络系统的复杂、多样和异构等特性,出现了越来越多“手术刀”式的高级持续攻击,更为可怕的是,黑客组织、攻击团队等已经将攻击程序都隐藏在加密链路中。因此,如何针对这两类缺陷提供一种攻击检测方法,通过对网络系统的安全度量,发现网络系统的异常情况,以实现攻击检测的效果,成为了亟待解决的技术问题。
技术实现思路
(一)要解决的技术问题本专利技术要解决的技术问题是:如何提升攻击检测的准确性。(二)技术方案为了解决上述技术问题,本专利技术提供了一种面向网络系统安全度量的攻击检测方法,包括以下步骤:S1、确定安全度量任务划分安全度量功能,通过构建网络系统安全量化评估试验环境,将安全度量操作流程以图形和通用语言描述,通过绘制流程方式建立安全度量操作流程,按照所建立的安全度量操作流程提取并封装可组件化、可复用的度量内容;S2、部署网络安全参数的采集器在网络边界、网络交换、主机、服务器这几个维度部署采集器;S3、选取度量指标根据所确定的安全度量任务,选取多维安全度量指标,从而确定各安全度量指标的安全基线;S4、采集度量数据利用所部署的能够适应于不同网络环境的采集器,感知网络连接上下文,进行自动和自适应的度量数据采集,获取度量数据;S5、判断网络系统是否异常利用各安全度量指标的安全基线,构建基于贝叶斯网络的概率攻击图,对采集到的度量数据进行识别,判断网络系统是否存在异常,若是,则进入步骤S6,否则结束。S6、进行攻击检测分析提取攻击的特征,包括攻击目标状态、安全事件、可观测数据、漏洞信息,与外部的网络威胁情报进行匹配,形成攻击信息,并基于地理空间和虚拟空间数据,实现形成可视化网络攻击链。优选地,若网络系统是IP网络系统,则安全度量指标包括网络拓扑、网络资产信息、网络流量、服务器信息、关键业务、出口防火墙和安全防护资源。优选地,所述网络流量包括吞吐量、丢包率、用户响应时间、服务器响应时间、网络时延、网络拥塞时间。优选地,所述服务器信息包括CPU性能变化、内存性能变化、磁盘性能变化、内存占用率、磁盘读取/写入速度。优选地,所述关键业务包括业务中断,业务出错,业务响应延迟,业务正常。优选地,所述安全防护资源包括入侵防御资源、病毒查杀资源、身份鉴别资源、访问控制资源、安全审计资源。优选地,步骤S4中,所述采集器为探针集。优选地,所述度量数据包括网络拓扑、网络资产信息、漏洞分布信息、网络流量、数据流级的应用流量、网络设备日志、网络安全防护设备日志、网络攻击链数据。优选地,步骤S4中采集度量数据时,利用安全度量工作流引擎提供引擎集群功能,根据安全度量请求数量分发至不同的操作业务流程引擎进行实例处理。优选地,所述网络威胁情报包括威胁主体、攻击目标、攻击活动、攻击标识、安全事件、可观测数据、攻击方法、应对措施。(三)有益效果本专利技术从网络系统自身、网络系统安全度量出发,通过建立网络信息系统的安全效用基线,通过对网络系统的标识特征、流量特征、效用影响进行度量评估,通过对实际效用与预期效用进行对比,来发现网络系统的异常,及时检测和发现网络攻击,弥补了基于攻击特征检测存在的不足,提升了攻击检测的准确性;通过在网络系统环境中有效地使用度量指标,选取合适的度量指标集合并按照这些度量集合在实际项目中进行数据采集,根据采集到的数据来判断是否发生了网络攻击,即通过使用网络系统度量结果来为网络攻击的检测提供决策支撑,为评估对象主动发现安全问题、检测和判断出网络攻击提供有力依据。具体实施方式为使本专利技术的目的、内容、和优点更加清楚,下面结合实施例,对本专利技术的具体实施方式作进一步详细描述。本专利技术提供的一种面向网络系统安全度量的攻击检测方法,包括以下步骤:S1、确定安全度量任务划分安全度量功能,通过构建网络系统安全量化评估试验环境,将安全度量操作流程以图形和通用语言描述,通过绘制流程方式建立安全度量操作流程,按照所建立的安全度量操作流程提取并封装可组件化、可复用的度量内容;本步骤实现了操作流程与任务实现细节剥离,保证安全度量具有灵活性、动态可扩展性,且保证了安全度量过程的流程化和规范化。S2、部署网络安全参数的采集器本步骤中,针对不同应用场景和被评估对象存在的差异,在网络边界、网络交换、主机、服务器这几个维度部署采集器,提升安全度量的科学性、全面性和普适性。S3、选取度量指标根据所确定的安全度量任务,选取多维安全度量指标,从而确定各安全度量指标的安全基线;以典型IP网络系统为例,安全度量指标包括网络拓扑、网络资产信息、网络流量、服务器信息、关键业务、出口防火墙和安全防护资源。在具体试验中,将网络流量包括吞吐量、丢包率、用户响应时间、服务器响应时间、网络时延、网络拥塞时间。服务器信息包括CPU性能变化、内存性能变化、磁盘性能变化、内存占用率、磁盘读取/写入速度。关键业务包括业务中断,业务出错,业务响应延迟,业务正常。安全防护资源包括入侵防御资源、病毒查杀资源、身份鉴别资源、访问控制资源、安全审计资源。S4、采集度量数据利用所部署的能够适应于不同网络环境的采集器(探针集),感知网络连接上下文,进行自动和自适应的度量数据采集,获取度量数据。所述度量数据包括网络拓扑、网络资产信息、漏洞分布信息、网络流量、数据流级的应用流量、网络设备日志、网络安全防护设备日志、网络攻击链数据;采集时,利用安全度量工作流引擎提供引擎集群功能,根据安全度量请求数量分发至不同的操作业务流程引擎进行实例处理,以提高整体并发数量。S5、判断网络系统是否异常利用各安全度量指标的安全基线,构建基于贝叶斯网络的概率攻击图,对采集到的度量数据进行识别,判断网络系统是否存在异常,若是,则进入步骤S6,否则结束。S6、进行攻击检测分析提取攻击的特征,包括攻击目标状态、安全事件、可观测数据、漏洞信息,与外部的网络威胁情报(包括威胁主体、攻击目标、攻击活动、攻击标识、安全事件、可观测数据、攻击方法、应对措施)进行匹配,形成攻击信息,并基于地理空间和虚拟空间数据,实现形成可视化网络攻击链。本专利技术可为典型网络系统的安全度量评估提供参考标准、参考流程以及自动化的工具及平台。可指导开发人员及运维管理人员,针对特定的网络系统定制有效的安全评估指标,实施自动化、可视化的安全度量评估标准流程,从而有效降低安全评估的技术难度,并能通过实际的应用验证,不断完善安全度量本文档来自技高网...
【技术保护点】
1.一种面向网络系统安全度量的攻击检测方法,其特征在于,包括以下步骤:S1、确定安全度量任务划分安全度量功能,通过构建网络系统安全量化评估试验环境,将安全度量操作流程以图形和通用语言描述,通过绘制流程方式建立安全度量操作流程,按照所建立的安全度量操作流程提取并封装可组件化、可复用的度量内容;S2、部署网络安全参数的采集器在网络边界、网络交换、主机、服务器这几个维度部署采集器;S3、选取度量指标根据所确定的安全度量任务,选取多维安全度量指标,从而确定各安全度量指标的安全基线;S4、采集度量数据利用所部署的能够适应于不同网络环境的采集器,感知网络连接上下文,进行自动和自适应的度量数据采集,获取度量数据;S5、判断网络系统是否异常利用各安全度量指标的安全基线,构建基于贝叶斯网络的概率攻击图,对采集到的度量数据进行识别,判断网络系统是否存在异常,若是,则进入步骤S6,否则结束。S6、进行攻击检测分析提取攻击的特征,包括攻击目标状态、安全事件、可观测数据、漏洞信息,与外部的网络威胁情报进行匹配,形成攻击信息,并基于地理空间和虚拟空间数据,实现形成可视化网络攻击链。
【技术特征摘要】
1.一种面向网络系统安全度量的攻击检测方法,其特征在于,包括以下步骤:S1、确定安全度量任务划分安全度量功能,通过构建网络系统安全量化评估试验环境,将安全度量操作流程以图形和通用语言描述,通过绘制流程方式建立安全度量操作流程,按照所建立的安全度量操作流程提取并封装可组件化、可复用的度量内容;S2、部署网络安全参数的采集器在网络边界、网络交换、主机、服务器这几个维度部署采集器;S3、选取度量指标根据所确定的安全度量任务,选取多维安全度量指标,从而确定各安全度量指标的安全基线;S4、采集度量数据利用所部署的能够适应于不同网络环境的采集器,感知网络连接上下文,进行自动和自适应的度量数据采集,获取度量数据;S5、判断网络系统是否异常利用各安全度量指标的安全基线,构建基于贝叶斯网络的概率攻击图,对采集到的度量数据进行识别,判断网络系统是否存在异常,若是,则进入步骤S6,否则结束。S6、进行攻击检测分析提取攻击的特征,包括攻击目标状态、安全事件、可观测数据、漏洞信息,与外部的网络威胁情报进行匹配,形成攻击信息,并基于地理空间和虚拟空间数据,实现形成可视化网络攻击链。2.如权利要求1所述的方法,其特征在于,若网络系统是IP网络系统,则安全度量指标包括网络拓扑、网络资产信息、网络流量、服务器...
【专利技术属性】
技术研发人员:曾颖明,谢小权,吴明杰,王斌,海然,常承伟,
申请(专利权)人:北京计算机技术及应用研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。