【技术实现步骤摘要】
复杂网络攻击检测方法、系统、电子设备及存储介质
[0001]本申请涉及网络安全
,特别是涉及一种复杂网络攻击检测方法、系统、电子设备及存储介质。
技术介绍
[0002]复杂网络攻击是指利用多种攻击手段和技术,由一系列有逻辑关系的基础攻击行为构成,对网络进行深度渗透和破坏的攻击方式,其攻击手段和技术多样化和复杂化,隐蔽性强、破坏性大、威胁范围广,已经成为网络攻击的主要形式之一。
[0003]相关技术中,对复杂网络攻击的检测通常基于关联分析,例如基于机器学习的方法和基于溯源图的方法进行。然而基于机器学习的方法解释性差,不能有效解释虚警的发生,基于溯源图的方法主要依赖于主机审计日志,难以综合多维信息进行有效检测,从而导致检测复杂网络攻击的准确率低、速度慢。
技术实现思路
[0004]本申请旨在至少解决现有技术中存在的技术问题之一。为此,本申请实施例提供了一种复杂网络攻击检测方法、系统、电子设备及存储介质,能够在MDATA图数据库中快速检测和匹配,从而有效消除虚警,提高复杂网络攻击的检测速度和准确率。
[0005]第一方面,本申请实施例提供了一种复杂网络攻击检测方法,包括:
[0006]获取待检测的告警信息,并从所述告警信息中提取用于构建MDATA图的关键信息,所述关键信息包括地址特征和时间特征;
[0007]根据所述关键信息,生成MDATA待匹配节点,所述MDATA待匹配节点包括地址实体和时间实体;其中,所述地址特征用于对应生成所述地址实体,所述时间特征用于对应生成所述 ...
【技术保护点】
【技术特征摘要】
1.一种复杂网络攻击检测方法,其特征在于,包括:获取待检测的告警信息,并从所述告警信息中提取用于构建MDATA图的关键信息,所述关键信息包括地址特征和时间特征;根据所述关键信息,生成MDATA待匹配节点,所述MDATA待匹配节点包括地址实体和时间实体;其中,所述地址特征用于对应生成所述地址实体,所述时间特征用于对应生成所述时间实体;将所述MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配;其中,所述MDATA图数据库包括至少一个所述MDATA子图;所述MDATA子图包括多个节点,各个所述节点之间存在时间特征关系和空间特征关系,以使所述MDATA子图用于表征一个复杂网络攻击的时空规则;若匹配成功,则将所述MDATA待匹配节点设置为匹配节点,并将所述匹配节点加入攻击序列;获取下一个待检测的告警信息,重复上述过程,直至符合预设条件;基于所述攻击序列,输出所述复杂网络攻击。2.根据权利要求1所述的复杂网络攻击检测方法,其特征在于,所述获取待检测的告警信息之前,还包括:构建MDATA图数据库,包括:从预设数据源获取预设数据;所述预设数据源包括安全知识库和漏洞数据库,所述预设数据包括安全知识数据和漏洞数据;对所述预设数据进行预处理,得到各个复杂网络攻击对应的时空规则;所述时空规则包括多个攻击步骤,所述攻击步骤包括攻击地址特征和攻击时间特征;基于每个所述时空规则,构建各个所述复杂网络攻击对应的所述MDATA子图;将多个所述MDATA子图进行融合,以构建所述MDATA图数据库。3.根据权利要求2所述的复杂网络攻击检测方法,其特征在于,所述攻击步骤还包括行为属性,多个所述攻击地址特征之间存在攻击空间特征关系,多个所述攻击时间特征之间存在攻击时间特征关系;所述基于每个所述时空规则,构建各个所述复杂网络攻击对应的所述MDATA子图,包括:根据所述攻击时间特征,对应生成攻击时间实体;根据所述攻击地址特征,对应生成攻击地址实体,所述攻击地址特征包括攻击源地址和/或攻击目的地址,对应的,所述攻击地址实体包括攻击源地址实体和/或攻击目的地址实体;设置关系连接边,以连接所述攻击时间实体与攻击地址实体;基于所述攻击时间实体、所述攻击地址实体、所述关系连接边和所述行为属性,生成所述MDATA子图的节点;基于所述攻击时间特征关系和所述攻击空间特征关系,对各个所述节点进行链接,以构建所述复杂网络攻击对应的所述MDATA子图。4.根据权利要求1所述的复杂网络攻击检测方法,其特征在于,所述关键信息还包括攻击属性;所述根据所述关键信息,生成MDATA待匹配节点,包括:根据所述时间特征,对应生成所述时间实体;
根据所述地址特征,对应生成所述地址实体,所述地址特征包括第一攻击地址和/或第二攻击地址,对应的,所述地址实体包括第一攻击地址实体和/或第二攻击地址实体;设置攻击连接边,以连接所述时间实体与地址实体;基于所述时间实体、所述地址实体、所述攻击连接边和所述攻击属性,生成所述MDATA待匹配节点。5.根据权利要求1所述的复杂网络攻击检测方法,其特征在于,所述将所述MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配,包括:判断所述MDATA待匹配节点是否为所述MDATA图数据库中的所述MDATA子图的首节点;若所述MDATA待匹配节点为所述MDATA子图的所述首节点,则匹配成功,否则判断所述MDATA待匹配节点是否为所述攻击序列中所述匹配节点的后置节点;若所述MDATA待匹配节点为所述匹配节点的所述后置节点,则匹配成功,否则匹配失败。6.根据权利要求5所述的复杂网络攻击检测方法,其特征在于,所述MDATA待匹配节点包括攻击连接边和攻击属性,所述MDATA子图的各个所述节点包括关系连接边和行为属性;所述判断所述MDATA待匹配节点是否为所述MDATA图数据库中的所述MDATA子图的首节点,包括:基于所述MDATA图数据库,查询所述MDATA待匹配节点的所述攻击连接边是否与所述MDATA子图的所述首节点的所述关系连接边匹配;基于所述MDATA图数据库,查询所述MDATA待匹配节点的所述攻击属性是否与所述MDATA子图的所述首节点的所述行为属性匹配;若所述MDATA待匹配节点的所述攻击连接边和所述攻击属性均与所述MDATA子图的所述首节点的所述关系连接边和所述行为属性匹配,则判断所述MDATA待匹配节点为所述MDATA子图的所述首节点。7.根据权利要求5所述的复杂网络攻击检测方法,其特征在于,所述判断所述MDATA待匹配节...
【专利技术属性】
技术研发人员:贾焰,顾钊铨,龙宇,方滨兴,李润恒,袁华平,罗翠,景晓,
申请(专利权)人:四川亿览态势科技有限公司电子科技大学深圳高等研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。