The embodiment of the present invention provides an attack chain detection method and device. The method includes: constructing attack event graph according to the attack stage of each attack event and the host node transmitting each attack event, calculating the intermediary centrality of each host node according to the attack event graph; and for any sequence of adjacent attack events, according to the intermediary of each host node. Centrality calculates the membership degree of the sequence of proximity attack events; obtains each attack path in the attack event graph, and if each attack path contains the core host node, retrieves the host node that initiated the attack event from the core host node based on the D_S evidence theory according to the membership degree of the sequence of proximity attack events of each host node. The host node and the core node are tracked as attack chains. The attack chain detected by the embodiment of the present invention is more accurate and can realize accurate detection of APT events.
【技术实现步骤摘要】
攻击链检测方法及装置
本专利技术实施例属于网络安全
,更具体地,涉及一种攻击链检测方法及装置。
技术介绍
随着信息化技术的发展,针对核心信息系统和关键信息基础设施的安全事件频发,网络攻击威胁和网络犯罪呈现组织化和产业化的趋势,其中有一类有组织、有特定目标、持续时间极长的新型攻击和威胁正在发展壮大,国际上称之为APT(AdvancedPersistentThreat,高级持续性威胁),又称“针对特定目标的攻击”。此类攻击多针对金融、能源、交通、政府、军工、电信等重要信息系统。由于APT攻击渠道多样化、隐蔽时间长且攻击特征难以提取,使得攻击链的检测面临巨大困难。在此背景下研究如何高效、准确地检测APT攻击事件具有重要意义。传统的APT检测方法通常基于主机监控系统、入侵检测系统等检测设备获得主机行为或网络流量日志,通过建立样本特征库检测网络环境中单个主机的攻击行为或异常事件,通过日志关联与大数据分析从海量的行为数据中发现攻击的全貌。现有的APT检测方法十分依赖专家知识和人工判断,主观性较强,从而导致攻击链检测不精确。由于检测设备的告警信息相互割裂且孤立,传统的检测...
【技术保护点】
1.一种攻击链检测方法,其特征在于,包括:S1,根据各攻击事件所属的攻击阶段和传递各所述攻击事件的主机节点构建攻击事件图;S2,根据所述攻击事件图计算各所述主机节点的中介中心性;S3,对于任一种临近攻击事件序列,根据各所述主机节点的中介中心性计算该种临近攻击事件序列的隶属度;S4,获取所述攻击事件图中的每条攻击路径,若各条所述攻击路径包含核心主机节点,则根据各所述主机节点的临近攻击事件序列的隶属度,基于D‑S证据理论以所述核心主机节点为起点逆向追寻发起所述攻击事件的主机节点,将追寻的所述主机节点和所述核心节点作为攻击链;其中,该种临近攻击事件序列的隶属度为该种临近攻击事件序...
【技术特征摘要】
1.一种攻击链检测方法,其特征在于,包括:S1,根据各攻击事件所属的攻击阶段和传递各所述攻击事件的主机节点构建攻击事件图;S2,根据所述攻击事件图计算各所述主机节点的中介中心性;S3,对于任一种临近攻击事件序列,根据各所述主机节点的中介中心性计算该种临近攻击事件序列的隶属度;S4,获取所述攻击事件图中的每条攻击路径,若各条所述攻击路径包含核心主机节点,则根据各所述主机节点的临近攻击事件序列的隶属度,基于D-S证据理论以所述核心主机节点为起点逆向追寻发起所述攻击事件的主机节点,将追寻的所述主机节点和所述核心节点作为攻击链;其中,该种临近攻击事件序列的隶属度为该种临近攻击事件序列属于该种临近攻击事件序列对应的临近攻击阶段序列的概率,所述临近攻击事件序列包括任一所述主机节点的一次出向攻击事件和一次入向攻击事件,且所述出向攻击事件和所述入向攻击事件满足第一预设条件,所述临近攻击事件序列对应的临近攻击阶段序列包括所述临近攻击事件序列中出向攻击事件所属的攻击阶段和入向攻击事件所属的攻击阶段;所述核心主机节点为满足第二预设条件的所述主机节点。2.根据权利要求1所述的方法,其特征在于,S1具体包括:根据各所述攻击事件的告警信息,获取各所述攻击事件的源地址和目的地址;将任一所述攻击事件的源地址和目的地址对应的主机节点相连,将连接的直线作为攻击事件图的边,将所述任一攻击事件所属的攻击阶段作为所述攻击事件图的边的权重。3.根据权利要求1所述的方法,其特征在于,所述第一预设条件为所述入向攻击事件所属的攻击阶段大于或等于所述出向攻击事件所属的攻击阶段,且所述出向攻击事件的告警时间在所述入向攻击事件的告警时间之后或相同,且所述出向攻击事件的告警时间与所述入向攻击事件的告警时间之间的时间间隔小于或等于预设时间窗。4.根据权利要求3所述的方法,其特征在于,S3具体包括:S31,将该种临近攻击事件序列对应的临近攻击阶段序列作为指定临近攻击阶段序列;S32,将所述指定临近攻击阶段序列对应的所有临近攻击事件序列作为矩阵的列,将各所述主机节点作为所述矩阵的行,若各所述主机节点存在任一列对应的临近攻击事件序列,则将各所述主机节点的中介中心性作为所述任一列中各所述主机节点所在行对应的元素;或者,若各所述主机节点不存在任一列对应的临近攻击事件序列,则将所述任一列中各所述主机节点所在行对应的元素填充为0;S33,根据所述矩阵,计算该种临近攻击事件序列的隶属度。5.根据权利要求4所...
【专利技术属性】
技术研发人员:刘银龙,马宇晨,朱大立,张杭生,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。