一种网络攻击检测方法技术

本发明专利技术公开了一种网络攻击检测方法，属于网络安全技术领域。本发明专利技术的方法为：１）将从网络安全基础设施获得的报警转化为统一格式的报警；２）获取与报警行为相关联的主机的状态信息，根据状态信息判断报警关联行为是否生效，当一个报警关联行为无效时，则丢弃此报警，否则将此报警标记为有效；当无法获取与报警行为关联的主机的状态信息时，则将此报警标记为未确定；３）聚合有效报警和未确定报警，生成安全事件；４）利用生成的安全事件将攻击图实例化，得到攻击场景图；５）输出满足条件的攻击场景图，确定攻击类型。本发明专利技术有效地降低了攻击图算法的开销，在提高发现网络攻击准确度的同时，不会降低发现过程的时效性。

【技术实现步骤摘要】

【技术保护点】
一种网络攻击检测方法，其步骤为：１）将从网络安全基础设施获得的报警转化为统一格式的报警；２）获取与报警行为相关联的主机的状态信息，根据状态信息判断报警关联行为是否生效，当一个报警关联行为无效时，则丢弃此报警，否则将此报警标记为有效；当无法获取与报警行为关联的主机的状态信息时，则将此报警标记为未确定；３）聚合有效报警和未确定报警，生成安全事件；所述安全事件为行为和特征相似的报警集合；４）利用生成的安全事件将攻击图实例化，得到攻击场景图；５）输出满足条件的攻击场景图，确定攻击类型。

【技术特征摘要】

【专利技术属性】
技术研发人员：聂楚江，许佳，和亮，
申请(专利权)人：中国科学院软件研究所，
类型：发明
国别省市：11[中国|北京]