攻击链的检测方法、装置及设备制造方法及图纸

技术编号：38330908 阅读：10 留言：0更新日期：2023-07-29 09:13

本申请公开了一种攻击链的检测方法、装置及设备，涉及网络安全技术领域，能够直观展示不同攻击链之间的关联关系，便于攻击链的关联分析。其中方法包括：基于告警日志生成攻击图，该攻击图由节点和连接节点的有向边组成，告警日志中攻击源作为边的源节点，攻击目标作为边的目标节点，然后将攻击图拆分为多个攻击子图，多个攻击子图之间不具有连接边关系，最后利用攻击子图中描述的连接属性特征在攻击子图中检测满足攻击条件的节点，将满足攻击条件的节点连接得到攻击链。的节点连接得到攻击链。的节点连接得到攻击链。

全部详细技术资料下载

【技术实现步骤摘要】
攻击链的检测方法、装置及设备

[0001]本申请涉及网络安全
，尤其是涉及到一种攻击链的检测方法、装置及设备。

技术介绍

[0002]近年来，计算机系统漏洞的发展速度加快，网络安全状况不同乐观。使用流量检测设备、web应用防护设备作为工具对检测某一时刻从特定源发往特定目标的黑客攻击非常有效，然而，在部署了多台检测设备的较大型网络中，不同检测设备生成的告警日志之间彼此孤立，而孤立的告警日志无法为分析人员提供更加全局的视角，不能够从更高的维度帮助分析人员理解攻击发生的全过程。
[0003]相关技术中，使用广度优先算法的攻击链检测技术能够解决不同类型、不同厂商的检测设备生成告警日志之间互相孤立、无法关联的问题，具有很强的应用价值，例如，APT组织的常见攻击手段就是在攻陷某一节点之后，将其作为据点向其他节点渗透，蠕虫病毒的扩散也在攻击链检测的覆盖之下。然而，在大型网络环境下，所有检测设备每天会产生上亿的告警日志，算法很难在短时间要求下将告警日志中隐藏的攻击链检测出来，不利于攻击链的关联分析。

技术实现思路

[0004]有鉴于此，本申请提供了一种攻击链的检测方法、装置及设备，主要目的在于解决现有技术中算法很难在短时间要求下将告警日志中隐藏的攻击链检测出来，不利于攻击链的关联分析的问题。
[0005]根据本申请的第一个方面，提供了一种攻击链的检测方法，包括：基于告警日志生成攻击图，所述攻击图由节点和连接节点的有向边组成，所述告警日志中攻击源作为边的源节点，攻击目标作为边的目标节点；将所述攻击...

【技术保护点】

【技术特征摘要】
1.一种攻击链的检测方法，其特征在于，包括：基于告警日志生成攻击图，所述攻击图由节点和连接节点的有向边组成，所述告警日志中攻击源作为边的源节点，攻击目标作为边的目标节点；将所述攻击图拆分为多个攻击子图，所述多个攻击子图之间不具有连接边关系；利用所述攻击子图中描述的连接属性特征在所述攻击子图中检测满足攻击条件的节点，将所述满足攻击条件的节点连接得到攻击链。2.根据权利要求1所述的方法，其特征在于，所述将所述攻击图拆分为多个攻击子图，具体包括：检测所述攻击图中的连通分量，所述连通分量为攻击图中节点和边连通的极大子图；对所述攻击图进行弱连通分量计算，得到攻击图中包含的弱连通分量；使用弱连通分量将所述攻击图拆分为多个攻击子图。3.根据权利要求2所述的方法，其特征在于，所述对所述攻击图进行弱连通分量计算，得到攻击图中包含的弱连通分量，具体包括：在所述攻击图中检测任意两个节点之间的路径；若任意两点之间存在路径，则将存在路径的至少两个节点组合作为攻击图中包含的弱连通分量。4.根据权利要求1所述的方法，其特征在于，在所述利用所述攻击子图中描述的连接属性特征在所述攻击子图中检测满足攻击条件的节点，将所述满足攻击条件的节点连接得到攻击链之前，所述方法还包括：判断所述攻击链是否要求符合攻击时间顺序，所述攻击时间顺序根据边的开始攻击时间和结束攻击时间确定；若所述攻击链要求符合边的攻击时间顺序，则所述利用所述攻击子图中描述的连接属性特征在所述攻击子图中检测满足攻击条件的节点，将所述满足攻击条件的节点连接得到攻击链，具体包括：遍历所述攻击子图中的边，判断当前边是否符合攻击时间顺序，所述攻击时间顺序为当所述边的开始攻击时间早于其目标节点的出边中最晚的开始攻击时间；或当所述边的开始攻击时间晚于其源节点的入边中最早的开始攻击时间；保留符合攻击时间顺序的边，将所述符合攻击时间顺序的边关联的节点连接得到攻击链。5.根据权利要求4所述的方法，其特征在于，若所述攻击链不要求符合攻击时间顺序，则所述利用所述攻击子图中描述的连接属性特征在所述攻击子图中检测满足攻击条件的节点，将所述满足攻击条件的节点连接得到攻击链，具体包括：遍历所述攻...

【专利技术属性】
技术研发人员：王雨民，邹武，马振，
申请(专利权)人：上海观安信息技术股份有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人