复杂网络攻击检测方法、系统、电子设备及存储介质技术方案

本申请公开了复杂网络攻击检测方法、系统、电子设备及存储介质，涉及网络安全技术领域。通过获取待检测的告警信息，提取其关键信息生成MDATA待匹配节点，关键信息包括地址特征和时间特征，MDATA待匹配节点包括根据地址特征生成的地址实体和根据时间特征生成的时间实体，然后将MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配，若匹配成功，则将该MDATA待匹配节点设置为匹配节点并加入攻击序列，通过不断获取待检测的告警信息，重复上述过程直至符合预设条件，则根据攻击序列输出对应的复杂网络攻击。由此，通过实时获取告警，生成具有时空特征的MDATA待匹配节点，并与MDATA图数据库的进行匹配，有效去除了虚警，提高了复杂网络攻击的检测速度和准确性。复杂网络攻击的检测速度和准确性。复杂网络攻击的检测速度和准确性。

【技术实现步骤摘要】
复杂网络攻击检测方法、系统、电子设备及存储介质


[0001]本申请涉及网络安全
，特别是涉及一种复杂网络攻击检测方法、系统、电子设备及存储介质。

技术介绍

[0002]复杂网络攻击是指利用多种攻击手段和技术，由一系列有逻辑关系的基础攻击行为构成，对网络进行深度渗透和破坏的攻击方式，其攻击手段和技术多样化和复杂化，隐蔽性强、破坏性大、威胁范围广，已经成为网络攻击的主要形式之一。
[0003]相关技术中，对复杂网络攻击的检测通常基于关联分析，例如基于机器学习的方法和基于溯源图的方法进行。然而基于机器学习的方法解释性差，不能有效解释虚警的发生，基于溯源图的方法主要依赖于主机审计日志，难以综合多维信息进行有效检测，从而导致检测复杂网络攻击的准确率低、速度慢。

技术实现思路

[0004]本申请旨在至少解决现有技术中存在的技术问题之一。为此，本申请实施例提供了一种复杂网络攻击检测方法、系统、电子设备及存储介质，能够在MDATA图数据库中快速检测和匹配，从而有效消除虚警，提高复杂网络攻击的检测速度和准确率。
[0005]第一方面，本申请实施例提供了一种复杂网络攻击检测方法，包括：
[0006]获取待检测的告警信息，并从所述告警信息中提取用于构建MDATA图的关键信息，所述关键信息包括地址特征和时间特征；
[0007]根据所述关键信息，生成MDATA待匹配节点，所述MDATA待匹配节点包括地址实体和时间实体；其中，所述地址特征用于对应生成所述地址实体，所述时间特征用于对应生成所述时间实体；
[0008]将所述MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配；其中，所述MDATA图数据库包括至少一个所述MDATA子图；所述MDATA子图包括多个节点，各个所述节点之间存在时间特征关系和空间特征关系，以使所述MDATA子图用于表征一个复杂网络攻击的时空规则；
[0009]若匹配成功，则将所述MDATA待匹配节点设置为匹配节点，并将所述匹配节点加入攻击序列；
[0010]获取下一个待检测的告警信息，重复上述过程，直至符合预设条件；
[0011]基于所述攻击序列，输出所述复杂网络攻击。
[0012]在本申请的一些实施例中，所述获取待检测的告警信息之前，还包括：
[0013]构建MDATA图数据库，包括：
[0014]从预设数据源获取预设数据；所述预设数据源包括安全知识库和漏洞数据库，所述预设数据包括安全知识数据和漏洞数据；
[0015]对所述预设数据进行预处理，得到各个复杂网络攻击对应的时空规则；所述时空
规则包括多个攻击步骤，所述攻击步骤包括攻击地址特征和攻击时间特征；
[0016]基于每个所述时空规则，构建各个所述复杂网络攻击对应的所述MDATA子图；
[0017]将多个所述MDATA子图进行融合，以构建所述MDATA图数据库。
[0018]在本申请的一些实施例中，所述攻击步骤还包括行为属性，多个所述攻击地址特征之间存在攻击空间特征关系，多个所述攻击时间特征之间存在攻击时间特征关系；所述基于每个所述时空规则，构建各个所述复杂网络攻击对应的所述MDATA子图，包括：
[0019]根据所述攻击时间特征，对应生成攻击时间实体；
[0020]根据所述攻击地址特征，对应生成攻击地址实体，所述攻击地址特征包括攻击源地址和/或攻击目的地址，对应的，所述攻击地址实体包括攻击源地址实体和/或攻击目的地址实体；
[0021]设置关系连接边，以连接所述攻击时间实体与攻击地址实体；
[0022]基于所述攻击时间实体、所述攻击地址实体、所述关系连接边和所述行为属性，生成所述MDATA子图的节点；
[0023]基于所述攻击时间特征关系和所述攻击空间特征关系，对各个所述节点进行链接，以构建所述复杂网络攻击对应的所述MDATA子图。
[0024]在本申请的一些实施例中，所述关键信息还包括攻击属性；所述根据所述关键信息，生成MDATA待匹配节点，包括：
[0025]根据所述时间特征，对应生成所述时间实体；
[0026]根据所述地址特征，对应生成所述地址实体，所述地址特征包括第一攻击地址和/或第二攻击地址，对应的，所述地址实体包括第一攻击地址实体和/或第二攻击地址实体；
[0027]设置攻击连接边，以连接所述时间实体与地址实体；
[0028]基于所述时间实体、所述地址实体、所述攻击连接边和所述攻击属性，生成所述MDATA待匹配节点。
[0029]在本申请的一些实施例中，所述将所述MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配，包括：
[0030]判断所述MDATA待匹配节点是否为所述MDATA图数据库中的所述MDATA子图的首节点；
[0031]若所述MDATA待匹配节点为所述MDATA子图的所述首节点，则匹配成功，否则判断所述MDATA待匹配节点是否为所述攻击序列中所述匹配节点的后置节点；
[0032]若所述MDATA待匹配节点为所述匹配节点的所述后置节点，则匹配成功，否则匹配失败。
[0033]在本申请的一些实施例中，所述MDATA待匹配节点包括攻击连接边和攻击属性，所述MDATA子图的各个所述节点包括关系连接边和行为属性；所述判断所述MDATA待匹配节点是否为所述MDATA图数据库中的所述MDATA子图的首节点，包括：
[0034]基于所述MDATA图数据库，查询所述MDATA待匹配节点的所述攻击连接边是否与所述MDATA子图的所述首节点的所述关系连接边匹配；
[0035]基于所述MDATA图数据库，查询所述MDATA待匹配节点的所述攻击属性是否与所述MDATA子图的所述首节点的所述行为属性匹配；
[0036]若所述MDATA待匹配节点的所述攻击连接边和所述攻击属性均与所述MDATA子图
的所述首节点的所述关系连接边和所述行为属性匹配，则判断所述MDATA待匹配节点为所述MDATA子图的所述首节点。
[0037]在本申请的一些实施例中，所述判断所述MDATA待匹配节点是否为所述攻击序列中所述匹配节点的后置节点，包括：
[0038]判断所述MDATA待匹配节点与所述攻击序列中所述匹配节点是否满足时间特征关系；
[0039]判断所述MDATA待匹配节点与所述攻击序列中所述匹配节点是否满足空间特征关系；
[0040]若同时满足所述时间特征关系和所述空间特征关系，则判断所述MDATA待匹配节点为所述匹配节点的所述后置节点。
[0041]在本申请的一些实施例中，所述匹配节点包括攻击连接边和攻击属性，所述MDATA子图的各个所述节点包括关系连接边和行为属性；所述预设条件包括所述匹配节点为所述MDATA图数据库中所述MDATA子图的尾节点；
[0042]所述符合预设条件，包括：
[0043]基于所述MDATA图数据库，查询所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种复杂网络攻击检测方法，其特征在于，包括：获取待检测的告警信息，并从所述告警信息中提取用于构建MDATA图的关键信息，所述关键信息包括地址特征和时间特征；根据所述关键信息，生成MDATA待匹配节点，所述MDATA待匹配节点包括地址实体和时间实体；其中，所述地址特征用于对应生成所述地址实体，所述时间特征用于对应生成所述时间实体；将所述MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配；其中，所述MDATA图数据库包括至少一个所述MDATA子图；所述MDATA子图包括多个节点，各个所述节点之间存在时间特征关系和空间特征关系，以使所述MDATA子图用于表征一个复杂网络攻击的时空规则；若匹配成功，则将所述MDATA待匹配节点设置为匹配节点，并将所述匹配节点加入攻击序列；获取下一个待检测的告警信息，重复上述过程，直至符合预设条件；基于所述攻击序列，输出所述复杂网络攻击。2.根据权利要求1所述的复杂网络攻击检测方法，其特征在于，所述获取待检测的告警信息之前，还包括：构建MDATA图数据库，包括：从预设数据源获取预设数据；所述预设数据源包括安全知识库和漏洞数据库，所述预设数据包括安全知识数据和漏洞数据；对所述预设数据进行预处理，得到各个复杂网络攻击对应的时空规则；所述时空规则包括多个攻击步骤，所述攻击步骤包括攻击地址特征和攻击时间特征；基于每个所述时空规则，构建各个所述复杂网络攻击对应的所述MDATA子图；将多个所述MDATA子图进行融合，以构建所述MDATA图数据库。3.根据权利要求2所述的复杂网络攻击检测方法，其特征在于，所述攻击步骤还包括行为属性，多个所述攻击地址特征之间存在攻击空间特征关系，多个所述攻击时间特征之间存在攻击时间特征关系；所述基于每个所述时空规则，构建各个所述复杂网络攻击对应的所述MDATA子图，包括：根据所述攻击时间特征，对应生成攻击时间实体；根据所述攻击地址特征，对应生成攻击地址实体，所述攻击地址特征包括攻击源地址和/或攻击目的地址，对应的，所述攻击地址实体包括攻击源地址实体和/或攻击目的地址实体；设置关系连接边，以连接所述攻击时间实体与攻击地址实体；基于所述攻击时间实体、所述攻击地址实体、所述关系连接边和所述行为属性，生成所述MDATA子图的节点；基于所述攻击时间特征关系和所述攻击空间特征关系，对各个所述节点进行链接，以构建所述复杂网络攻击对应的所述MDATA子图。4.根据权利要求1所述的复杂网络攻击检测方法，其特征在于，所述关键信息还包括攻击属性；所述根据所述关键信息，生成MDATA待匹配节点，包括：根据所述时间特征，对应生成所述时间实体；
根据所述地址特征，对应生成所述地址实体，所述地址特征包括第一攻击地址和/或第二攻击地址，对应的，所述地址实体包括第一攻击地址实体和/或第二攻击地址实体；设置攻击连接边，以连接所述时间实体与地址实体；基于所述时间实体、所述地址实体、所述攻击连接边和所述攻击属性，生成所述MDATA待匹配节点。5.根据权利要求1所述的复杂网络攻击检测方法，其特征在于，所述将所述MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配，包括：判断所述MDATA待匹配节点是否为所述MDATA图数据库中的所述MDATA子图的首节点；若所述MDATA待匹配节点为所述MDATA子图的所述首节点，则匹配成功，否则判断所述MDATA待匹配节点是否为所述攻击序列中所述匹配节点的后置节点；若所述MDATA待匹配节点为所述匹配节点的所述后置节点，则匹配成功，否则匹配失败。6.根据权利要求5所述的复杂网络攻击检测方法，其特征在于，所述MDATA待匹配节点包括攻击连接边和攻击属性，所述MDATA子图的各个所述节点包括关系连接边和行为属性；所述判断所述MDATA待匹配节点是否为所述MDATA图数据库中的所述MDATA子图的首节点，包括：基于所述MDATA图数据库，查询所述MDATA待匹配节点的所述攻击连接边是否与所述MDATA子图的所述首节点的所述关系连接边匹配；基于所述MDATA图数据库，查询所述MDATA待匹配节点的所述攻击属性是否与所述MDATA子图的所述首节点的所述行为属性匹配；若所述MDATA待匹配节点的所述攻击连接边和所述攻击属性均与所述MDATA子图的所述首节点的所述关系连接边和所述行为属性匹配，则判断所述MDATA待匹配节点为所述MDATA子图的所述首节点。7.根据权利要求5所述的复杂网络攻击检测方法，其特征在于，所述判断所述MDATA待匹配节...

【专利技术属性】
技术研发人员：贾焰，顾钊铨，龙宇，方滨兴，李润恒，袁华平，罗翠，景晓，
申请(专利权)人：四川亿览态势科技有限公司电子科技大学深圳高等研究院，
类型：发明
国别省市：