The invention discloses a complex attack detection method based on attack chain. The method can include: Construction of event types and attack chain mapping table, the event type is mapped to the attack phase; access attack metadata; build the attack chain according to deviation from baseline, found abnormal behavior events; and calculating the abnormal behavior of attacking the chain of events matching, the attack behavior. The present invention constructs event types and attack chain mapping table, the security event into the attack phase, get attacked by HDFS metadata; distributed file storage system for real-time storage of attack metadata, greatly improves the storage efficiency; at the same time for each of the abnormal events from the metadata database back calculation, determine whether the abnormal event to attack and alarm, realized the detection of multi stage long cycle of complex network attack.
【技术实现步骤摘要】
基于攻击链的复合攻击检测方法
本专利技术涉及信息安全领域,更具体地,涉及一种基于攻击链的复合攻击检测方法。
技术介绍
在信息安全领域,电子数据信息对于国家、政府、企业的重要性与日俱增,对竞争对手的意义也同样重大,如果信息系统遭受APT(高级持续攻击)攻击,那么单位受到的影响也会日益严重。然而在APT时代,由于感知能力比较差,感知时间比较长,基于事后签名机制的传统产品如IPS、IDS、杀毒软件等,在面对APT攻击时,这种事后签名机制几乎失效。与此同时APT攻击针对性、隐蔽性又在不断加强,攻击者通过持续的攻击,对信息系统的威胁仍在不断加大。因此,加强APT攻击防护任务艰巨。APT攻击是一种复杂多阶段的攻击手段,一般包括即搜索阶段、进入阶段、渗透阶段、收获阶段。APT攻击技术更加复杂、攻击手段更加隐蔽,而且攻击已经不局限于传统的信息系统,而是逐渐把目标扩散到工业控制等系统。传统的检测手段在应对APT攻击时已显得力不从心。因为传统的检测手段主要针对已知的单次威胁,对于未知的漏洞利用、木马程序、攻击手法,无法进行检测和定位。专利技术人发现,针对复合攻击的检测方法仍然较少,目前有人提出了采用随机森林分类模型对数据进行训练进而进行异常检测的方法,但该方法适合在线常驻检测,难以对真正的多阶段长周期攻击进行检测。因此有必要提供一种复合攻击检测方法。公开于本专利技术
技术介绍
部分的信息仅仅旨在加深对本专利技术的一般
技术介绍
的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。
技术实现思路
本专利技术提出了一种基于攻击链的复合攻击检测方法,其能够通 ...
【技术保护点】
一种基于攻击链的复合攻击检测方法,其特征在于,包括:构建事件类型与攻击链映射表,将事件类型映射为攻击阶段;获取攻击元数据;建立攻击链基线,根据行为偏离发现行为异常事件;计算所述行为异常事件的攻击链匹配度,发现攻击行为。
【技术特征摘要】
1.一种基于攻击链的复合攻击检测方法,其特征在于,包括:构建事件类型与攻击链映射表,将事件类型映射为攻击阶段;获取攻击元数据;建立攻击链基线,根据行为偏离发现行为异常事件;计算所述行为异常事件的攻击链匹配度,发现攻击行为。2.根据权利要求1所述的基于攻击链的复合攻击检测方法,其中,通过人工配置或预置将所述事件类型与各个所述攻击阶段进行映射。3.根据权利要求1所述的基于攻击链的复合攻击检测方法,其中,获取攻击元数据包括:基于syslog或文件系统,实时获取安全事件;将所述安全事件进行标准化,得到标准化事件;基于所述攻击链映射表,将所述标准化事件映射至所述攻击阶段,获得所述攻击元数据。4.根据权利要求3所述的基于攻击链的复合攻击检测方法,其中,所述标准化事件的信息包括:攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型和事件类型。5.根据权利要求1所述的基于攻击链的复合攻击检测方法,其中,所述攻击元数据的信息包括:攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型、事件类型和攻击阶段。6.根据权利要求1所述的基于攻击链的复合攻击检测方法,其中,通过所述事件类型与所述攻击链映射表匹...
【专利技术属性】
技术研发人员:陈华,
申请(专利权)人:北京盛华安信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。