【技术实现步骤摘要】
攻击信息预测方法和预测装置
[0001]本公开涉及网络与信息安全领域,特别涉及一种攻击信息预测方法和预测装置。
技术介绍
[0002]目前网络安全工作者已不局限于处理单点触发的告警信息,而是更多通过不同日志源在一定时间区间内综合观察攻击者的攻击路径和攻击手段,从而获得攻击链。因此,攻击链已经成为判定系统受损和预先阻止攻击的重要依据。
技术实现思路
[0003]本公开实施例通过对攻击链进行不同攻击阶段的模糊匹配,扩大攻击链预测过程中的预测范围,增加攻击链预测成功率,减少因完全匹配而未能捕获的真实攻击链数据。
[0004]本公开一些实施例提出一种攻击信息预测方法,包括:
[0005]收集待预测攻击IP对的攻击手法的集合,攻击IP对包括攻击者IP和攻击目标IP;
[0006]根据当前收集的待预测攻击IP对的攻击手法的集合以及各攻击手法所属的攻击阶段,形成待预测攻击IP对的第一攻击链;
[0007]将第一攻击链与已知攻击链进行完全匹配和模糊匹配,得到匹配攻击链,其中,模糊匹配是指第一攻...
【技术保护点】
【技术特征摘要】
1.一种攻击信息预测方法,其特征在于,包括:收集待预测攻击IP对的攻击手法的集合,攻击IP对包括攻击者IP和攻击目标IP;根据当前收集的待预测攻击IP对的攻击手法的集合以及各攻击手法所属的攻击阶段,形成待预测攻击IP对的第一攻击链;将第一攻击链与已知攻击链进行完全匹配和模糊匹配,得到匹配攻击链,其中,模糊匹配是指第一攻击链的至少部分节点与已知攻击链的相应节点不同、但已知攻击链的该部分节点的攻击手法包括第一攻击链相应节点的攻击手法,并且第一攻击链的其他节点与已知攻击链的相应节点相同;从匹配攻击链中选择最优匹配攻击链,作为预测的待预测攻击IP对的攻击链。2.根据权利要求1所述的方法,其特征在于,攻击链的每个节点能够表征该节点所属的攻击阶段和该节点采用的攻击手法。3.根据权利要求1所述的方法,其特征在于,攻击阶段和攻击手法的每种组合对应一个主编号,其中,如果任一第一组合与任一第二组合的攻击阶段相同、且第二组合的攻击手法包括第一组合的攻击手法,第二组合还对应一个子编号,第二组合的子编号的值为第一组合的主编号;将当前收集的待预测攻击IP对的各攻击手法和相应的攻击阶段的各个组合的主编号,按照攻击阶段的次序顺序串联起来,形成待预测攻击IP对的第一攻击链。4.根据权利要求3所述的方法,其特征在于,将第一攻击链与已知攻击链进行完全匹配和模糊匹配,得到匹配攻击链包括:将与第一攻击链的各个主编号完全匹配的已知攻击链,作为完全匹配攻击链;如果第一攻击链的至少部分节点与已知攻击链的相应节点的主编号不同、但第一攻击链的该部分节点的主编号存在于已知攻击链的相应节点的子编号,并且第一攻击链的其他节点与已知攻击链的相...
【专利技术属性】
技术研发人员:秦博,陆晨晖,马浩翔,靳玮炜,黄少琪,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。