专利名称:一种反馈式多步网络攻击智能检测方法及装置的制作方法
技术领域:
本发明涉及一种网络信息安全技术,是一种带有反馈机制的网络多步攻击规则智能检测方法,通过反馈机制智能调整多步攻击检测规则,进而提高规则的可用性和全面性。
背景技术:
在网络安全技术发展的同时,网络攻击手段也日益复杂多样。为了保护网络中资产和信息的安全,防火墙、入侵检测、防病毒、漏洞扫描等设备和系统得到了广泛应用。这些设备和系统产生的报警信息数量巨大,且信息之间没有直接关联,很难分析出多步攻击。因此,人们提出多种方法对网络安全事件进行关联分析,从而提取出检测多步攻击的方法。主要有基于前提条件和后果的关联方法、基于统计时序的关联方法、基于规则的关联方法等。法国国防部的Cuppens、美国加利福尼亚大学的Templeton、美国北卡罗莱纳州大学的Peng Ning等人先后提出了基于前提条件和后果的关联方法。利用攻击的前提条件和后果来进行序列关联,不必事先知道整个攻击过程,适用于攻击步骤间的关联,它可以发现不同攻击组合形成的新攻击过程,序列关联结果准确率高。但该方法难以提前预警,关联时搜索空间较大、消耗资源大、处理时间长,不利于实时在线操作,不能检测出不知道前因后果的新型攻击。Xinzhou Qin提出了基于时间序列的统计因果关联方法GrangerCausalityTest (GCT)。该关联算法的核心是采用数据挖掘的方法GCT (granger causalitytest,时序因果分析),即将网络安全信息流看作时序事件流,通过计算两个不同事件(Xi,Y)间的GCI,择优选取前m个Xi事件,判定Xi事件与Y事件的统计因果关系。该方法大量依赖先验知识和专家知识。同时,对于攻击预测来说,该方法产生的序列并不能直接作为预测的依据,需要进一步检验。基于规则(Rule-Based)的分析方法是将特定领域知识(如告警相关性知识)包含在一组规则集中,通过推理机制对各种问题进行分析判断。基于规则的关联是当前最基本、最有效的关联技术,符合人们的思维,直观、便于理解。该方法的缺点在于当规则数量达到一定程度时,规则库的维护变得越来越困难;系统缺乏自学习能力,对于不断涌现出来的新攻击无能为力;规则的调整和维护困难,难以适应经常变化的网络。
发明内容
本发明的目的是提高网络多步攻击检测规则的智能化程度和可用性,解决目前通过各种算法得到的多步攻击检测规则在不同网络环境下可用度差别较大、普遍不能智能扩展的问题。
网络多步攻击检测规则不论以何种方式生成,其用途一般为识别和预测网络攻击。有效的网络攻击被识别时,往往已经对网络造成一定影响。而如果攻击能被成功预测,一般会向用户或特定系统发出预警。当预测被用户或特定系统认可,用户和系统会采取相应的防范措施,以阻止攻击的继续进行。将规则应用的情况进行评估,将评估结果反馈给多步攻击检测规则库,可以及时、有效地对多步攻击检测规则进行调整,提高规则的可用性、准确性和全面性。一种反馈式多步攻击智能检测方法的具体流程如图I所示。本发明的实现方式是利用具有多步网络攻击检测功能的产品识别和预测网络攻击,并记录多步网络攻击检测规则在实际网络中发挥效用的情况(即“规则效用信息”);利用具有网络异常探测功能的产品探测网络异常,如异常流量、病毒、木马、蠕虫、缓存溢出、非法登录等;利用具有网络安全策略监测功能的产品监测网络安全策略的调整情况,即用
户和系统变换防范措施的情况,并追溯这些调整是否依据多步网络攻击检测工具给出的预警。多步网络攻击检测规则实际发挥效用的具体信息、网络异常信息和并非依据预警进行的网络策略调整信息(即“非预警策略调整”)各自反馈给多步网络攻击检测规则评估器。该评估器根据异常信息判断网络是否遭受攻击,根据非预警策略调整情况判断预警的全面性,并结合多步网络攻击检测规则实际生效的情况对规则的有效性进行评估,以确定已有的多步攻击识别规则在实际网络中的可用性,以及当前多步攻击识别规则的全面性,即是否足以识别和预测所有攻击。为了更好地描述多步网络攻击检测规则评估器评估规则有效性的算法和评估规则全面性的方法,先定义几个名词启用时长Tms:评估规则有效性时的时间与规则投入使用的时间相差的毫秒数。如某条规则在时间T1启用,评估器在时间T2对该规则的有效性进行评估,则该规则的启用时长Tms = T2-T10 Tms是一个动态变化的量,评估器在不同时间对同一规则的有效性进行评估时,规则的启用时长不同。使用次数Nused:多步网络攻击检测工具根据某条规则产生攻击告警与预警的次数,称为该规则的使用次数。有效告警次数Nm :多步网络攻击检测工具根据某条规则产生攻击告警,且告警被认为有效的次数。有效预警次数Ntouct :多步网络攻击检测工具根据某条规则产生攻击预警,且预警被认为有效的次数。本专利所设计的一种反馈式多步攻击智能检测方法认为,预警有效即用户或策略管理系统根据预警对网络中的策略(如防火墙策略、访问控制策略、主机监控策略等)进行了调整。规则优先级Lpkmkity :规则优先级定义了多步网络攻击检测规则被使用的次序。Lpeioeity值越大,规则的优先级越高,被用到的可能性也越大。非预警策略调整依据预警进行的网络策略调整称为预警策略调整,不是依据预警进行的网络策略调整信息称为非预警策略调整。以下介绍有效性评估算法和全面性评估方法。有效性评估模块的输入是规则启用时长Tms、使用次数NUSED、有效告警次数Nm和有效预警次数Npmcy,输出是多步网络攻击检测规则优先级LPKramY。具体算法如下
权利要求
1.一种反馈式多步网络攻击智能检测方法,其特征在于利用具有多步网络攻击检测功能的产品识别和预测网络攻击,并记录多步网络攻击检测规则在实际网络中发挥效用的信息;利用具有网络异常探测功能的产品探测网络异常信息;利用具有网络安全策略监测功能的产品监测网络安全策略的调整情况,即用户和系统变换防范措施的情况,并追溯这些调整是否依据多步网络攻击检测工具给出的预警; 多步网络攻击检测规则实际发挥效用的信息、网络异常信息和并非依据预警进行的网络策略调整信息即非预警策略调整信息各自反馈给多步网络攻击检测规则评估器;该评估器根据网络异常信息判断网络是否遭受攻击,根据非预警策略调整信息判断预警的全面性,并结合多步网络攻击检测规则发挥效用的信息对规则的有效性进行评估,以确定已有的多步攻击识别规则在实际网络中的可用性,以及当前多步攻击识别规则的全面性,即是否足以识别和预测所有攻击。
2.根据权利要求I所述的一种反馈式多步攻击智能检测方法,其特征在于 先定义以下几个名词 启用时长Tms :评估规则有效性时的时间与规则投入使用的时间相差的毫秒数; 使用次数Nused:多步网络攻击检测工具根据某条规则产生攻击告警与预警的次数,称为该规则的使用次数; 有效告警次数Nm :多步网络攻击检测工具根据某条规则产生攻击告警,且告警被认为有效的次数; 有效预警次数Nkmct :多步网络攻击检测工具根据某条规则产生攻击预警,且预警被认为有效的次数;预警有效即用户根据预警对网络中的策略进行了调整; 规则优先级Lpkmkity :规则优先级定义了多步网络攻击检测规则被使用的次序;LPKramY值越大,规则的优先级越高,被用到的可能性也越大; 依据预警进行的网络策略调整称为预警策略调整,不是依据预警进行的网络策略调整信息称为非预警策略调整信息; 所述有效性评估算法和全面性评估方法如下 有效性评估模块的输入是规则启用时长Tms、使用次数NUSED、有效告警次数Nm和有效预警次数NrarcY,输出是多步网络攻击检测规则优先级LPKramY ;计算公式如下
3.一种反馈式多步网络攻击智能检测装置,其特征在于包括识别和预测网络攻击,并记录多步网络攻击检测规则在实际网络中发挥效用的信息的装置;探测网络异常信息的装置;能监测网络安全策略的调整情况,并追溯这些调整是否依据多步网络攻击检测工具给出预警的装置; 能根据网络异常信息判断网络是否遭受攻击,根据非预警策略调整信息判断预警的全面性,并结合多步网络攻击检测规则发挥效用的信息对规则的有效性进行评估,以确定已 有的多步攻击识别规则在实际网络中的可用性,以及当前多步攻击识别规则的全面性的装置。
全文摘要
一种反馈式多步网络攻击智能检测方法及装置涉及网络信息安全领域。多步网络攻击检测规则实际发挥效用的信息、网络异常信息和非预警策略调整信息各自反馈给多步网络攻击检测规则评估器;该评估器根据网络异常信息判断网络是否遭受攻击,根据非预警策略调整信息判断预警的全面性,并结合多步网络攻击检测规则发挥效用的信息对规则的有效性进行评估,以确定已有的多步攻击识别规则在实际网络中的可用性,以及当前多步攻击识别规则的全面性,即是否足以识别和预测所有攻击。本发明可广泛应用于各种普通局域网、涉密局域网、行业内部网络等;任何方式生成的网络多步攻击检测规则在特定网络环境下,都能越来越精准和全面。
文档编号H04L29/06GK102638445SQ20111044516
公开日2012年8月15日 申请日期2011年12月27日 优先权日2011年12月27日
发明者毛俐旻, 王斌, 石波, 胡晴 申请人:中国航天科工集团第二研究院七〇六所