本发明专利技术公开了一种基于状态机的安全监控关联分析方法,包括以下步骤:确定目标系统的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集;对目标系统的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表;根据所述对照表检查并记录目标系统的安全状态。本发明专利技术可以在保障系统运行速度一定的情况下,对资产的安全状态存储较长时间;可以检查分布式的系统攻击;在没有定义精确攻击场景的情况下,可以确定系统的安全状态;可以分析出系统受到攻击的轨迹,为调查取证提供依据。
【技术实现步骤摘要】
本专利技术涉及网络安全
,特别涉及。
技术介绍
传统的解决多步攻击的攻击场景重构的方法中,主要使用时序关联的方法。 传统的攻击场景重构主要的实现过程如下 (1)自定义攻击场景,把需要检查的攻击过程用规则的进行表示。 (2)对检查到得安全事件与规则进行匹配,如果符合规则则产生告警。 现有技术一的缺点 (1)需要准确的定义的攻击场景。 (2)当定义过多的安全攻击场景时,需对安全事件进行各个攻击场景匹配,导致系统的检查效率明显下降。 (3)当攻击者进行协同攻击时,需保持过多的安全状态,导致系统的检查效率降低。
技术实现思路
( — )专利技术目的 本专利技术的目的是提供,解决由多步骤组成事件的检查、利用多源数据来判断系统的状态和网络协同攻击的问题。
技术实现思路
—种基于状态机的安全监控关联分析方法,包括以下步骤 SI :确定目标系统的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集; S2:对目标系统的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表; S3 :根据所述对照表检查并记录目标系统的安全状态。 其中,所述步骤S3包括 S31 :当目标系统收到监视程序的告警时,查看所述目标系统的对照表中的安全状态是否为满足所述告警中安全事件对应安全状态的前一状态,若满足则执行S32,否则执行S33 ; S32 :将所述目标系统的安全状态改为告警中安全事件对应的安全状态; S33 :查找目标系统前一阶段是否有对应的安全事件,如果找到则执行步骤S32,否则执行S34 ; S34:将目标系统的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。 其中,所述安全状态集中的安全状态主要包括目标系统信息被收集、权限被获取、被置入后门和日志被清理。—种基于状态机的安全监控关联分析系统,包括 攻击场景确定模块,用于确定目标系统的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集; 对照表建立模块,用于对目标系统的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表; 安全状态记录模块,用于根据所述对照表检查并记录资产所在目标系统的安全状态。 其中,所述安全状态记录模块包括 前一状态判断模块,用于当目标系统收到监视程序的告警时,查看所述目标系统的对照表中的安全状态是否为满足所述告警中安全事件对应安全状态的前一状态,若满足执行当前安全状态设置模块,否则执行前一阶段查找模块; 当前安全状态设置模块,用于将所述目标系统的安全状态改为告警中安全事件对应的安全状态; 前一阶段查找模块,用于查找目标系统前一阶段是否有对应的安全事件,如果找到执行当前安全状态设置模块,否则执行不确定安全状态设置模块; 不确定安全状态设置模块,用于将目标系统的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。(三)有益效果 本专利技术的基于状态机的安全监控关联分析方法具有如下有益效果 (1)可以在保障系统运行速度一定的情况下,对资产的安全状态存储较长时间; (2)可以检查分布式的系统攻击; (3)在没有定义精确攻击场景的情况下,可以确定系统的安全状态; (4)可以分析出系统受到攻击的轨迹,为调查取证提供依据。附图说明 图1是根据本专利技术的基于状态机的安全监控关联分析方法的流程图。具体实施例方式本专利技术提出的基于状态机的安全监控关联分析方法,结合附图和实施例说明如下。 如图1所示,步骤S1确定目标系统的攻击场景的各攻击阶段对应的安全状态,其中攻击场景是指相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集,通过规则构建攻击场景可以识别真正的攻击事件、预测攻击的下一步动作,安全状态通常包括目标系统信息被收集、权限被获取、被置入后门和日志被清理等。 步骤S2中对各监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立安全状态与安全事件的对照表,即各攻击阶段与安全事件的对照表,如表1所示 表1各攻击阶段与安全事件的对照表<table>table see original document page 5</column></row><table> 表中的攻击各阶段对应于各个安全状态,安全事件为导致达到某个安全状态时所发生的事件。 步骤S3根据上述对照表检查并记录资产所在目标系统的安全状态。具体地,当系统收到监视程序的一个告警Alert—new时,步骤S31中查看目标系统的对照表中的安全状态是否为满足所述告警Alert—new中安全事件对应安全状态的前一状态,若满足,则将目标系统的安全状态改为对应状态,即步骤S32,例如收到一个告警Alert—new,该警告中安全事件(如溢出攻击)对应的安全状态为获取权限,则检查对应系统对照表的安全状态是否已经被标为系统信息被收集状态,如果是则把该系统的安全状态改为权限被获取的状态;若不满足,则在步骤S33中查找目标系统前一阶段是否有对应的安全事件,若找到,则将目标系统的安全状态改为告警Alert—new中安全事件对应的安全状态;否则将该系统的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。 —种基于状态机的安全监控关联分析系统,包括 攻击场景确定模块,用于确定目标系统的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集;对照表建立模块,用于对目标系统的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表;安全状态记录模块,用于根据所述对照表检查并记录资产所在目标系统的安全状态。 其中,所述安全状态记录模块包括 前一状态判断模块,用于当目标系统收到监视程序的告警时,查看所述目标系统的对照表中的安全状态是否为满足所述告警中安全事件对应安全状态的前一状态,若满足执行当前安全状态设置模块,否则执行前一阶段查找模块;当前安全状态设置模块,用于将所述目标系统的安全状态改为告警中安全事件对应的安全状态;前一阶段查找模块,用于查找目标系统前一阶段是否有对应的安全事件,如果找到执行当前安全状态设置模块,否则执行不确定安全状态设置模块;不确定安全状态设置模块,用于将目标系统的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。 以上实施方式仅用于说明本专利技术,而并非对本专利技术的限制,有关
的普通技术人员,在不脱离本专利技术的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本专利技术的范畴,本专利技术的专利保护范围应由权利要求限定。本文档来自技高网...
【技术保护点】
一种基于状态机的安全监控关联分析方法,其特征在于,包括以下步骤:S1:确定目标系统的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集;S2:对目标系统的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表;S3:根据所述对照表检查并记录目标系统的安全状态。
【技术特征摘要】
一种基于状态机的安全监控关联分析方法,其特征在于,包括以下步骤S1确定目标系统的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集;S2对目标系统的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表;S3根据所述对照表检查并记录目标系统的安全状态。2. 如权利要求1所述的基于状态机的安全监控关联分析方法,其特征在于,所述步骤S3包括531 :当目标系统收到监视程序的告警时,查看所述目标系统的对照表中的安全状态是否为满足所述告警中安全事件对应安全状态的前一状态,若满足则执行S32,否则执行S33 ;532 :将所述目标系统的安全状态改为告警中安全事件对应的安全状态;533 :查找目标系统前一阶段是否有对应的安全事件,如果找到则执行步骤S32,否则执行S34 ;534 :将目标系统的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。3. 如权利要求1或2所述的所述的基于状态机的安全监控关联分析方法,其特征在于,所述安全状态集中的安全状态主要包括目标系统信息被收集、权限被获取、被置入后门和日志被清理...
【专利技术属性】
技术研发人员:王雪飞,苏砫,郭唤斌,张志雄,黄理,方腾飞,依鹏涛,
申请(专利权)人:北京神州泰岳软件股份有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。