【技术实现步骤摘要】
本专利技术属于基于主机的入侵检测领域,特别涉及一种基于信息流追踪的攻击检测方法及系统。
技术介绍
1、以高级持续威胁为代表的复杂攻击在现代网络中变得越来越普遍。与常规攻击不同,这些复杂攻击往往由经验丰富的对手使用各种攻击策略和工具进行实施。 这些攻击是攻击者为达成恶意目标而执行的一组活动。因此,攻击活动可能在很长一段时间内涉及多个攻击步骤。安全分析师如果想要确定系统内部是否发生了这些攻击,通常需要对海量日志进行冗长复杂的搜索分析,识别这些日志中是否存在典型的攻击行为,最后评估发生攻击的可能性。
2、传统的检测系统已经通过恶意流量分析、动态沙盒检测、静态代码分析等一系列方法对抗攻击活动。然而,这些方法大多存在计算开销大、系统稳定性低、扩展性差等问题,因此检测效果并不理想。更重要的是,在执行检测时没有充分利用不同攻击实体之间的因果关系,这导致安全分析人员面临海量警报数据,但难以全面关联攻击上下文信息的困境。
3、为了应对上述挑战,许多基于数据溯源的检测系统应运而生。数据溯源通过日志建模和关联分析,捕获不同类型实体(例...
【技术保护点】
1.一种基于信息流追踪的攻击检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于信息流追踪的攻击检测方法,其特征在于,所述步骤S1:抽取系统审计日志中实体和事件,初始化实体标签,按照事件发生的先后顺序,构建溯源图,并根据标签传播规则进行标签传播,所述实体标签包括:进程标签、文件标签和网络标签,具体包括:
3.根据权利要求2所述的基于信息流追踪的攻击检测方法,其特征在于,所述步骤S2:定义所述实体标签的检测策略,检测当前事件所包含进程是否违反所述检测策略,如果是则发出警报;基于事件稀有度计算警报事件的威胁分数并进行降序排序,具体包括
4....
【技术特征摘要】
1.一种基于信息流追踪的攻击检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于信息流追踪的攻击检测方法,其特征在于,所述步骤s1:抽取系统审计日志中实体和事件,初始化实体标签,按照事件发生的先后顺序,构建溯源图,并根据标签传播规则进行标签传播,所述实体标签包括:进程标签、文件标签和网络标签,具体包括:
3.根据权利要求2所述的基于信息流追踪的攻击检测方法,其特征在于,所述步骤s2:定义所述实体标签的检测策略,检测当前事件所包含进程...
【专利技术属性】
技术研发人员:于爱民,潘跃东,赵力欣,冷涛,蔡利君,孟丹,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。