基于攻击链的复合攻击检测方法技术

本发明专利技术公开了一种基于攻击链的复合攻击检测方法。该方法可以包括：构建事件类型与攻击链映射表，将事件类型映射为攻击阶段；获取攻击元数据；建立攻击链基线，根据行为偏离发现行为异常事件；以及计算行为异常事件的攻击链匹配度，发现攻击行为。本发明专利技术通过构建事件类型和攻击链映射表，将安全事件映射到攻击阶段，获得了攻击元数据；采用HDFS分布式文件存储系统对攻击元数据进行实时存储，大大提高了存储效率；同时针对每一个异常事件从元数据数据库进行回溯计算，判断该异常事件是否为攻击行为并告警，实现了对多阶段长周期复杂网络攻击的检测。

A complex attack detection method based on attack chain

The invention discloses a complex attack detection method based on attack chain. The method can include: Construction of event types and attack chain mapping table, the event type is mapped to the attack phase; access attack metadata; build the attack chain according to deviation from baseline, found abnormal behavior events; and calculating the abnormal behavior of attacking the chain of events matching, the attack behavior. The present invention constructs event types and attack chain mapping table, the security event into the attack phase, get attacked by HDFS metadata; distributed file storage system for real-time storage of attack metadata, greatly improves the storage efficiency; at the same time for each of the abnormal events from the metadata database back calculation, determine whether the abnormal event to attack and alarm, realized the detection of multi stage long cycle of complex network attack.

【技术实现步骤摘要】
基于攻击链的复合攻击检测方法
本专利技术涉及信息安全领域，更具体地，涉及一种基于攻击链的复合攻击检测方法。
技术介绍
在信息安全领域，电子数据信息对于国家、政府、企业的重要性与日俱增，对竞争对手的意义也同样重大，如果信息系统遭受APT(高级持续攻击)攻击，那么单位受到的影响也会日益严重。然而在APT时代，由于感知能力比较差，感知时间比较长，基于事后签名机制的传统产品如IPS、IDS、杀毒软件等，在面对APT攻击时，这种事后签名机制几乎失效。与此同时APT攻击针对性、隐蔽性又在不断加强，攻击者通过持续的攻击，对信息系统的威胁仍在不断加大。因此，加强APT攻击防护任务艰巨。APT攻击是一种复杂多阶段的攻击手段，一般包括即搜索阶段、进入阶段、渗透阶段、收获阶段。APT攻击技术更加复杂、攻击手段更加隐蔽，而且攻击已经不局限于传统的信息系统，而是逐渐把目标扩散到工业控制等系统。传统的检测手段在应对APT攻击时已显得力不从心。因为传统的检测手段主要针对已知的单次威胁，对于未知的漏洞利用、木马程序、攻击手法，无法进行检测和定位。专利技术人发现，针对复合攻击的检测方法仍然较少，目前有人提出了采用随机森林分类模型对数据进行训练进而进行异常检测的方法，但该方法适合在线常驻检测，难以对真正的多阶段长周期攻击进行检测。因此有必要提供一种复合攻击检测方法。公开于本专利技术
技术介绍
部分的信息仅仅旨在加深对本专利技术的一般
技术介绍
的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。
技术实现思路
本专利技术提出了一种基于攻击链的复合攻击检测方法，其能够通过将事件类型映射为攻击阶段，获取攻击元数据；建立攻击链基线，根据行为偏离发现行为异常事件并判断是否为潜在的攻击事件，实现了对多阶段长周期复杂网络攻击的检测。根据本专利技术提出了一种基于攻击链的复合攻击检测方法。所述方法可以包括：构建事件类型与攻击链映射表，将事件类型映射为攻击阶段；获取攻击元数据；建立攻击链基线，根据行为偏离发现行为异常事件；计算所述行为异常事件的攻击链匹配度，发现攻击行为。优选地，通过人工配置或预置将所述事件类型与各个所述攻击阶段进行映射。优选地，获取攻击元数据包括：基于syslog或文件系统，实时获取安全事件；将所述安全事件进行标准化，得到标准化事件；基于所述攻击链映射表，将所述标准化事件映射至所述攻击阶段，获得所述攻击元数据。优选地，所述标准化事件的信息包括：攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型和事件类型。优选地，所述攻击元数据的信息包括：攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型、事件类型和攻击阶段。优选地，通过所述事件类型与所述攻击链映射表匹配获得所述攻击阶段。优选地，获取攻击元数据还包括，对所述攻击元数据进行实时存储，形成元数据数据库。优选地，所述发现行为异常事件包括：基于采集到的所述攻击元数据，实时计算建立攻击链基线；当某时刻某攻击阶段的安全事件总量偏离所述攻击链基线超过阈值时，确定该时刻该攻击阶段最活跃的安全事件为所述行为异常事件。优选地，所述计算所述行为异常事件的攻击链匹配度包括：针对每一个所述行为异常事件从元数据数据库进行回溯计算，构建攻击序列图；基于所述攻击序列图计算所述行为异常事件的所述攻击链匹配度，发现所述攻击行为。优选地，所述攻击阶段包括：(1)侦查扫描，利用社会工程学侦查目标网络；(2)定向攻击，制作定向攻击所述目标网络的攻击工具；(3)入侵控制，输送所述攻击工具到目标系统；(4)安装攻击，利用所述目标系统的应用或操作系统漏洞，在所述目标系统触发所述攻击工具运行；(5)恶意活动，执行所述攻击行为，创建攻击据点，扩大攻击战果。本专利技术的有益效果在于：通过构建事件类型和攻击链映射表，将安全事件映射到攻击阶段，获得了攻击元数据；采用HDFS分布式文件存储系统对攻击元数据进行实时存储，大大提高了存储效率；同时针对每一个异常事件从元数据数据库进行回溯计算，判断该异常事件是否为攻击行为并告警，实现了对多阶段长周期复杂网络攻击的检测。本专利技术的方法具有其它的特性和优点，这些特性和优点从并入本文中的附图和随后的具体实施例中将是显而易见的，或者将在并入本文中的附图和随后的具体实施例中进行详细陈述，这些附图和具体实施例共同用于解释本专利技术的特定原理。附图说明通过结合附图对本专利技术示例性实施例进行更详细的描述，本专利技术的上述以及其它目的、特征和优势将变得更加明显，其中，在本专利技术示例性实施例中，相同的附图标记通常代表相同部件。图1示出了根据本专利技术的基于攻击链的复合攻击检测方法的步骤的流程图。具体实施方式下面将参照附图更详细地描述本专利技术。虽然附图中显示了本专利技术的优选实施例，然而应该理解，可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了使本专利技术更加透彻和完整，并且能够将本专利技术的范围完整地传达给本领域的技术人员。实施例图1示出了根据本专利技术的基于攻击链的复合攻击检测方法的步骤的流程图。在该实施例中，根据本专利技术的基于攻击链的复合攻击检测方法可以包括：步骤101，构建事件类型与攻击链映射表，将事件类型映射为攻击阶段；步骤102，获取攻击元数据；步骤103，建立攻击链基线，根据行为偏离发现行为异常事件；以及步骤104，计算行为异常事件的攻击链匹配度，发现攻击行为。该实施例通过将事件类型映射为攻击阶段，获取攻击元数据；建立攻击链基线，根据行为偏离发现行为异常事件并判断是否为潜在的攻击事件，实现了对多阶段长周期复杂网络攻击的检测。下面结合图1详细说明根据本专利技术的基于攻击链的复合攻击检测方法的具体步骤。步骤101，构建事件类型与攻击链映射表，将事件类型映射为攻击阶段。在一个示例中，通过人工配置或预置将事件类型与各个攻击阶段进行映射。本领域技术人员应当理解，可以采用本领域已知的各种常规方法，将安全事件的事件类型与攻击链映射表匹配。在一个示例中，攻击阶段包括：(1)侦查扫描，利用社会工程学侦查目标网络；(2)定向攻击，制作带有恶意代码的pdf文件或office文件，作为定向攻击的工具；(3)入侵控制，通过邮件的附件或U盘将攻击工具输送到目标系统；(4)安装攻击，利用目标系统的操作系统漏洞触发攻击工具运行；(5)恶意活动，执行pdf文件或office文件携带的恶意代码，创建攻击据点，并进一步扩大攻击战果。步骤102，获取攻击元数据。在一个示例中，获取攻击元数据包括：基于syslog或文件系统，实时获取安全事件；将安全事件进行标准化，得到标准化事件；基于攻击链映射表，将标准化事件映射至攻击阶段，获得攻击元数据。在一个示例中，标准化事件的信息包括：攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型和事件类型，这些信息是组成攻击元数据的必要信息。在一个示例中，攻击元数据的信息包括：攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型、事件类型和攻击阶段，标准化事件所含的信息加上匹配获得的攻击阶段，就能得到完整的攻击元数据。在一个示例中，通过事件类型与攻击链映射表匹配获得攻击阶段，依据安全事件的事件类型与攻击链映射表匹配，就可以得出该事件所处的攻击阶段。具体本文档来自技高网...

【技术保护点】
一种基于攻击链的复合攻击检测方法，其特征在于，包括：构建事件类型与攻击链映射表，将事件类型映射为攻击阶段；获取攻击元数据；建立攻击链基线，根据行为偏离发现行为异常事件；计算所述行为异常事件的攻击链匹配度，发现攻击行为。

【技术特征摘要】
1.一种基于攻击链的复合攻击检测方法，其特征在于，包括：构建事件类型与攻击链映射表，将事件类型映射为攻击阶段；获取攻击元数据；建立攻击链基线，根据行为偏离发现行为异常事件；计算所述行为异常事件的攻击链匹配度，发现攻击行为。2.根据权利要求1所述的基于攻击链的复合攻击检测方法，其中，通过人工配置或预置将所述事件类型与各个所述攻击阶段进行映射。3.根据权利要求1所述的基于攻击链的复合攻击检测方法，其中，获取攻击元数据包括：基于syslog或文件系统，实时获取安全事件；将所述安全事件进行标准化，得到标准化事件；基于所述攻击链映射表，将所述标准化事件映射至所述攻击阶段，获得所述攻击元数据。4.根据权利要求3所述的基于攻击链的复合攻击检测方法，其中，所述标准化事件的信息包括：攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型和事件类型。5.根据权利要求1所述的基于攻击链的复合攻击检测方法，其中，所述攻击元数据的信息包括：攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型、事件类型和攻击阶段。6.根据权利要求1所述的基于攻击链的复合攻击检测方法，其中，通过所述事件类型与所述攻击链映射表匹...

【专利技术属性】
技术研发人员：陈华，
申请(专利权)人：北京盛华安信息技术有限公司，
类型：发明
国别省市：北京,11