国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種反饋式多步網(wǎng)絡(luò)攻擊智能檢測方法及裝置的制作方法

      文檔序號:7835590閱讀:323來源:國知局
      專利名稱:一種反饋式多步網(wǎng)絡(luò)攻擊智能檢測方法及裝置的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及一種網(wǎng)絡(luò)信息安全技術(shù),是一種帶有反饋機(jī)制的網(wǎng)絡(luò)多步攻擊規(guī)則智能檢測方法,通過反饋機(jī)制智能調(diào)整多步攻擊檢測規(guī)則,進(jìn)而提高規(guī)則的可用性和全面性。
      背景技術(shù)
      在網(wǎng)絡(luò)安全技術(shù)發(fā)展的同時(shí),網(wǎng)絡(luò)攻擊手段也日益復(fù)雜多樣。為了保護(hù)網(wǎng)絡(luò)中資產(chǎn)和信息的安全,防火墻、入侵檢測、防病毒、漏洞掃描等設(shè)備和系統(tǒng)得到了廣泛應(yīng)用。這些設(shè)備和系統(tǒng)產(chǎn)生的報(bào)警信息數(shù)量巨大,且信息之間沒有直接關(guān)聯(lián),很難分析出多步攻擊。因此,人們提出多種方法對網(wǎng)絡(luò)安全事件進(jìn)行關(guān)聯(lián)分析,從而提取出檢測多步攻擊的方法。主要有基于前提條件和后果的關(guān)聯(lián)方法、基于統(tǒng)計(jì)時(shí)序的關(guān)聯(lián)方法、基于規(guī)則的關(guān)聯(lián)方法等。法國國防部的Cuppens、美國加利福尼亞大學(xué)的Templeton、美國北卡羅萊納州大學(xué)的Peng Ning等人先后提出了基于前提條件和后果的關(guān)聯(lián)方法。利用攻擊的前提條件和后果來進(jìn)行序列關(guān)聯(lián),不必事先知道整個(gè)攻擊過程,適用于攻擊步驟間的關(guān)聯(lián),它可以發(fā)現(xiàn)不同攻擊組合形成的新攻擊過程,序列關(guān)聯(lián)結(jié)果準(zhǔn)確率高。但該方法難以提前預(yù)警,關(guān)聯(lián)時(shí)搜索空間較大、消耗資源大、處理時(shí)間長,不利于實(shí)時(shí)在線操作,不能檢測出不知道前因后果的新型攻擊。Xinzhou Qin提出了基于時(shí)間序列的統(tǒng)計(jì)因果關(guān)聯(lián)方法GrangerCausalityTest (GCT)。該關(guān)聯(lián)算法的核心是采用數(shù)據(jù)挖掘的方法GCT (granger causalitytest,時(shí)序因果分析),即將網(wǎng)絡(luò)安全信息流看作時(shí)序事件流,通過計(jì)算兩個(gè)不同事件(Xi,Y)間的GCI,擇優(yōu)選取前m個(gè)Xi事件,判定Xi事件與Y事件的統(tǒng)計(jì)因果關(guān)系。該方法大量依賴先驗(yàn)知識和專家知識。同時(shí),對于攻擊預(yù)測來說,該方法產(chǎn)生的序列并不能直接作為預(yù)測的依據(jù),需要進(jìn)一步檢驗(yàn)?;谝?guī)則(Rule-Based)的分析方法是將特定領(lǐng)域知識(如告警相關(guān)性知識)包含在一組規(guī)則集中,通過推理機(jī)制對各種問題進(jìn)行分析判斷。基于規(guī)則的關(guān)聯(lián)是當(dāng)前最基本、最有效的關(guān)聯(lián)技術(shù),符合人們的思維,直觀、便于理解。該方法的缺點(diǎn)在于當(dāng)規(guī)則數(shù)量達(dá)到一定程度時(shí),規(guī)則庫的維護(hù)變得越來越困難;系統(tǒng)缺乏自學(xué)習(xí)能力,對于不斷涌現(xiàn)出來的新攻擊無能為力;規(guī)則的調(diào)整和維護(hù)困難,難以適應(yīng)經(jīng)常變化的網(wǎng)絡(luò)。

      發(fā)明內(nèi)容
      本發(fā)明的目的是提高網(wǎng)絡(luò)多步攻擊檢測規(guī)則的智能化程度和可用性,解決目前通過各種算法得到的多步攻擊檢測規(guī)則在不同網(wǎng)絡(luò)環(huán)境下可用度差別較大、普遍不能智能擴(kuò)展的問題。
      網(wǎng)絡(luò)多步攻擊檢測規(guī)則不論以何種方式生成,其用途一般為識別和預(yù)測網(wǎng)絡(luò)攻擊。有效的網(wǎng)絡(luò)攻擊被識別時(shí),往往已經(jīng)對網(wǎng)絡(luò)造成一定影響。而如果攻擊能被成功預(yù)測,一般會向用戶或特定系統(tǒng)發(fā)出預(yù)警。當(dāng)預(yù)測被用戶或特定系統(tǒng)認(rèn)可,用戶和系統(tǒng)會采取相應(yīng)的防范措施,以阻止攻擊的繼續(xù)進(jìn)行。將規(guī)則應(yīng)用的情況進(jìn)行評估,將評估結(jié)果反饋給多步攻擊檢測規(guī)則庫,可以及時(shí)、有效地對多步攻擊檢測規(guī)則進(jìn)行調(diào)整,提高規(guī)則的可用性、準(zhǔn)確性和全面性。一種反饋式多步攻擊智能檢測方法的具體流程如圖I所示。本發(fā)明的實(shí)現(xiàn)方式是利用具有多步網(wǎng)絡(luò)攻擊檢測功能的產(chǎn)品識別和預(yù)測網(wǎng)絡(luò)攻擊,并記錄多步網(wǎng)絡(luò)攻擊檢測規(guī)則在實(shí)際網(wǎng)絡(luò)中發(fā)揮效用的情況(即“規(guī)則效用信息”);利用具有網(wǎng)絡(luò)異常探測功能的產(chǎn)品探測網(wǎng)絡(luò)異常,如異常流量、病毒、木馬、蠕蟲、緩存溢出、非法登錄等;利用具有網(wǎng)絡(luò)安全策略監(jiān)測功能的產(chǎn)品監(jiān)測網(wǎng)絡(luò)安全策略的調(diào)整情況,即用
      戶和系統(tǒng)變換防范措施的情況,并追溯這些調(diào)整是否依據(jù)多步網(wǎng)絡(luò)攻擊檢測工具給出的預(yù)警。多步網(wǎng)絡(luò)攻擊檢測規(guī)則實(shí)際發(fā)揮效用的具體信息、網(wǎng)絡(luò)異常信息和并非依據(jù)預(yù)警進(jìn)行的網(wǎng)絡(luò)策略調(diào)整信息(即“非預(yù)警策略調(diào)整”)各自反饋給多步網(wǎng)絡(luò)攻擊檢測規(guī)則評估器。該評估器根據(jù)異常信息判斷網(wǎng)絡(luò)是否遭受攻擊,根據(jù)非預(yù)警策略調(diào)整情況判斷預(yù)警的全面性,并結(jié)合多步網(wǎng)絡(luò)攻擊檢測規(guī)則實(shí)際生效的情況對規(guī)則的有效性進(jìn)行評估,以確定已有的多步攻擊識別規(guī)則在實(shí)際網(wǎng)絡(luò)中的可用性,以及當(dāng)前多步攻擊識別規(guī)則的全面性,即是否足以識別和預(yù)測所有攻擊。為了更好地描述多步網(wǎng)絡(luò)攻擊檢測規(guī)則評估器評估規(guī)則有效性的算法和評估規(guī)則全面性的方法,先定義幾個(gè)名詞啟用時(shí)長Tms:評估規(guī)則有效性時(shí)的時(shí)間與規(guī)則投入使用的時(shí)間相差的毫秒數(shù)。如某條規(guī)則在時(shí)間T1啟用,評估器在時(shí)間T2對該規(guī)則的有效性進(jìn)行評估,則該規(guī)則的啟用時(shí)長Tms = T2-T10 Tms是一個(gè)動態(tài)變化的量,評估器在不同時(shí)間對同一規(guī)則的有效性進(jìn)行評估時(shí),規(guī)則的啟用時(shí)長不同。使用次數(shù)Nused:多步網(wǎng)絡(luò)攻擊檢測工具根據(jù)某條規(guī)則產(chǎn)生攻擊告警與預(yù)警的次數(shù),稱為該規(guī)則的使用次數(shù)。有效告警次數(shù)Nm :多步網(wǎng)絡(luò)攻擊檢測工具根據(jù)某條規(guī)則產(chǎn)生攻擊告警,且告警被認(rèn)為有效的次數(shù)。有效預(yù)警次數(shù)Ntouct :多步網(wǎng)絡(luò)攻擊檢測工具根據(jù)某條規(guī)則產(chǎn)生攻擊預(yù)警,且預(yù)警被認(rèn)為有效的次數(shù)。本專利所設(shè)計(jì)的一種反饋式多步攻擊智能檢測方法認(rèn)為,預(yù)警有效即用戶或策略管理系統(tǒng)根據(jù)預(yù)警對網(wǎng)絡(luò)中的策略(如防火墻策略、訪問控制策略、主機(jī)監(jiān)控策略等)進(jìn)行了調(diào)整。規(guī)則優(yōu)先級Lpkmkity :規(guī)則優(yōu)先級定義了多步網(wǎng)絡(luò)攻擊檢測規(guī)則被使用的次序。Lpeioeity值越大,規(guī)則的優(yōu)先級越高,被用到的可能性也越大。非預(yù)警策略調(diào)整依據(jù)預(yù)警進(jìn)行的網(wǎng)絡(luò)策略調(diào)整稱為預(yù)警策略調(diào)整,不是依據(jù)預(yù)警進(jìn)行的網(wǎng)絡(luò)策略調(diào)整信息稱為非預(yù)警策略調(diào)整。以下介紹有效性評估算法和全面性評估方法。有效性評估模塊的輸入是規(guī)則啟用時(shí)長Tms、使用次數(shù)NUSED、有效告警次數(shù)Nm和有效預(yù)警次數(shù)Npmcy,輸出是多步網(wǎng)絡(luò)攻擊檢測規(guī)則優(yōu)先級LPKramY。具體算法如下
      權(quán)利要求
      1.一種反饋式多步網(wǎng)絡(luò)攻擊智能檢測方法,其特征在于利用具有多步網(wǎng)絡(luò)攻擊檢測功能的產(chǎn)品識別和預(yù)測網(wǎng)絡(luò)攻擊,并記錄多步網(wǎng)絡(luò)攻擊檢測規(guī)則在實(shí)際網(wǎng)絡(luò)中發(fā)揮效用的信息;利用具有網(wǎng)絡(luò)異常探測功能的產(chǎn)品探測網(wǎng)絡(luò)異常信息;利用具有網(wǎng)絡(luò)安全策略監(jiān)測功能的產(chǎn)品監(jiān)測網(wǎng)絡(luò)安全策略的調(diào)整情況,即用戶和系統(tǒng)變換防范措施的情況,并追溯這些調(diào)整是否依據(jù)多步網(wǎng)絡(luò)攻擊檢測工具給出的預(yù)警; 多步網(wǎng)絡(luò)攻擊檢測規(guī)則實(shí)際發(fā)揮效用的信息、網(wǎng)絡(luò)異常信息和并非依據(jù)預(yù)警進(jìn)行的網(wǎng)絡(luò)策略調(diào)整信息即非預(yù)警策略調(diào)整信息各自反饋給多步網(wǎng)絡(luò)攻擊檢測規(guī)則評估器;該評估器根據(jù)網(wǎng)絡(luò)異常信息判斷網(wǎng)絡(luò)是否遭受攻擊,根據(jù)非預(yù)警策略調(diào)整信息判斷預(yù)警的全面性,并結(jié)合多步網(wǎng)絡(luò)攻擊檢測規(guī)則發(fā)揮效用的信息對規(guī)則的有效性進(jìn)行評估,以確定已有的多步攻擊識別規(guī)則在實(shí)際網(wǎng)絡(luò)中的可用性,以及當(dāng)前多步攻擊識別規(guī)則的全面性,即是否足以識別和預(yù)測所有攻擊。
      2.根據(jù)權(quán)利要求I所述的一種反饋式多步攻擊智能檢測方法,其特征在于 先定義以下幾個(gè)名詞 啟用時(shí)長Tms :評估規(guī)則有效性時(shí)的時(shí)間與規(guī)則投入使用的時(shí)間相差的毫秒數(shù); 使用次數(shù)Nused:多步網(wǎng)絡(luò)攻擊檢測工具根據(jù)某條規(guī)則產(chǎn)生攻擊告警與預(yù)警的次數(shù),稱為該規(guī)則的使用次數(shù); 有效告警次數(shù)Nm :多步網(wǎng)絡(luò)攻擊檢測工具根據(jù)某條規(guī)則產(chǎn)生攻擊告警,且告警被認(rèn)為有效的次數(shù); 有效預(yù)警次數(shù)Nkmct :多步網(wǎng)絡(luò)攻擊檢測工具根據(jù)某條規(guī)則產(chǎn)生攻擊預(yù)警,且預(yù)警被認(rèn)為有效的次數(shù);預(yù)警有效即用戶根據(jù)預(yù)警對網(wǎng)絡(luò)中的策略進(jìn)行了調(diào)整; 規(guī)則優(yōu)先級Lpkmkity :規(guī)則優(yōu)先級定義了多步網(wǎng)絡(luò)攻擊檢測規(guī)則被使用的次序;LPKramY值越大,規(guī)則的優(yōu)先級越高,被用到的可能性也越大; 依據(jù)預(yù)警進(jìn)行的網(wǎng)絡(luò)策略調(diào)整稱為預(yù)警策略調(diào)整,不是依據(jù)預(yù)警進(jìn)行的網(wǎng)絡(luò)策略調(diào)整信息稱為非預(yù)警策略調(diào)整信息; 所述有效性評估算法和全面性評估方法如下 有效性評估模塊的輸入是規(guī)則啟用時(shí)長Tms、使用次數(shù)NUSED、有效告警次數(shù)Nm和有效預(yù)警次數(shù)NrarcY,輸出是多步網(wǎng)絡(luò)攻擊檢測規(guī)則優(yōu)先級LPKramY ;計(jì)算公式如下
      3.一種反饋式多步網(wǎng)絡(luò)攻擊智能檢測裝置,其特征在于包括識別和預(yù)測網(wǎng)絡(luò)攻擊,并記錄多步網(wǎng)絡(luò)攻擊檢測規(guī)則在實(shí)際網(wǎng)絡(luò)中發(fā)揮效用的信息的裝置;探測網(wǎng)絡(luò)異常信息的裝置;能監(jiān)測網(wǎng)絡(luò)安全策略的調(diào)整情況,并追溯這些調(diào)整是否依據(jù)多步網(wǎng)絡(luò)攻擊檢測工具給出預(yù)警的裝置; 能根據(jù)網(wǎng)絡(luò)異常信息判斷網(wǎng)絡(luò)是否遭受攻擊,根據(jù)非預(yù)警策略調(diào)整信息判斷預(yù)警的全面性,并結(jié)合多步網(wǎng)絡(luò)攻擊檢測規(guī)則發(fā)揮效用的信息對規(guī)則的有效性進(jìn)行評估,以確定已 有的多步攻擊識別規(guī)則在實(shí)際網(wǎng)絡(luò)中的可用性,以及當(dāng)前多步攻擊識別規(guī)則的全面性的裝置。
      全文摘要
      一種反饋式多步網(wǎng)絡(luò)攻擊智能檢測方法及裝置涉及網(wǎng)絡(luò)信息安全領(lǐng)域。多步網(wǎng)絡(luò)攻擊檢測規(guī)則實(shí)際發(fā)揮效用的信息、網(wǎng)絡(luò)異常信息和非預(yù)警策略調(diào)整信息各自反饋給多步網(wǎng)絡(luò)攻擊檢測規(guī)則評估器;該評估器根據(jù)網(wǎng)絡(luò)異常信息判斷網(wǎng)絡(luò)是否遭受攻擊,根據(jù)非預(yù)警策略調(diào)整信息判斷預(yù)警的全面性,并結(jié)合多步網(wǎng)絡(luò)攻擊檢測規(guī)則發(fā)揮效用的信息對規(guī)則的有效性進(jìn)行評估,以確定已有的多步攻擊識別規(guī)則在實(shí)際網(wǎng)絡(luò)中的可用性,以及當(dāng)前多步攻擊識別規(guī)則的全面性,即是否足以識別和預(yù)測所有攻擊。本發(fā)明可廣泛應(yīng)用于各種普通局域網(wǎng)、涉密局域網(wǎng)、行業(yè)內(nèi)部網(wǎng)絡(luò)等;任何方式生成的網(wǎng)絡(luò)多步攻擊檢測規(guī)則在特定網(wǎng)絡(luò)環(huán)境下,都能越來越精準(zhǔn)和全面。
      文檔編號H04L29/06GK102638445SQ20111044516
      公開日2012年8月15日 申請日期2011年12月27日 優(yōu)先權(quán)日2011年12月27日
      發(fā)明者毛俐旻, 王斌, 石波, 胡晴 申請人:中國航天科工集團(tuán)第二研究院七〇六所
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1