[发明专利]攻击检测方法和装置

说明书

技术领域

本发明涉及信息管理领域，尤其涉及一种攻击检测方法和装置。

背景技术

为了缓解日益严重的信息安全问题，越来越多的企业和机构部署了防火墙、入侵检测系统(Intrusion Detection Systems，IDS)、异常流量检测系统等网络安全设备，有效降低了信息系统的安全风险。这些传统的网络安全设备能够根据设定的检测规则，对网络中的数据包进行捕获、流重组和协议解析，发现网络中的攻击事件并按照设定的方式进行响应。然而，一次有威胁的攻击行为往往由一系列前后相关的攻击事件组成，这些攻击事件会触发不同的网络安全设备产生若干条相关的报警信息，传统的网络安全设备只能实现单个攻击事件的检测，难以发现不同报警信息之间的关联关系。

以一次后门植入攻击为例，攻击者在实施攻击时，一般要先远程扫描，探测目标主机上是否存在可利用的漏洞；然后针对漏洞实施缓冲区溢出攻击，获取一定的远程访问权限；最后植入后门并进行远程连接。攻击者的每次攻击，会分别触发防火墙或IDS产生独立的扫描探测事件、缓冲区溢出攻击事件和后门连接事件，只有把这些事件关联起来进行分析，才能发现攻击者的完整攻击过程和意图。

又如一次弱口令猜测攻击，攻击者在登录一个系统时，需要猜测该系统的口令。在猜测过程中会根据字典表进行多次尝试，最终猜对口令实现登录。传统的IDS会针对攻击者的多次尝试产生多条认证失败事件，最终针对攻击成功产生一条认证成功事件，同样的只有把这些事件关联分析，才能发现攻击者的攻击过程。

目前已有的规则关联分析系统，大都基于有限状态自动机技术实现。这在规则数量较少、状态数不多的情况下还能正常运行，当规则积累到一定程度时，不可避免地会因为状态数量太多，导致运行时占用大量内存空间，从而引起运行效率的严重下降。由此可见，现有技术中基于有限状态自动机的关联分析方式不适用于状态复杂的情况。

发明内容

本发明提供了一种攻击检测方法和装置，解决了关联分析方式不适用于复杂情景的问题。

一种攻击检测方法，包括：

提取符合预置的关联规则中场景的安全事件；

对所述安全事件进行关联分析；

在所述关联分析的结果符合所述关联规则时，确定检测到攻击。

优选的，上述攻击检测方法还包括：

设置至少一个场景，每个场景包括一个安全事件，或在一时间窗内发生多次的多个相同的安全事件，所述安全事件具有至少一个事件属性，所述事件属性之间具有逻辑关系，所述逻辑关系包括逻辑关系和(and)和/或逻辑关系或(or)；

设置所述场景之间的关联关系；

将所述场景和所述场景之间的关联关系作为一项关联规则。

优选的，所述提取符合预置的关联规则中场景的安全事件具体为：

将符合所述场景的一个或多个所述安全事件提取出来组成所述场景。

优选的，所述提取符合预置的关联规则中场景的安全事件的步骤之前还包括：

解析所述关联规则，确定所述关联规则中的场景、所述场景的数量和所述场景之间的关联关系。

优选的，所述关联关系包括：

不同场景发生的时序关系，不同场景的引用属性，和在先发生的场景与在后发生的场景间的引用属性关系。

优选的，对所述安全事件进行关联分析包括：

若所述在先发生的场景存在引用属性，则从所述在先发生的场景中提取所述引用属性的值，构造引用属性列表；

提取在后发生的场景的所述引用属性的值；

查找所述引用属性列表中所述在先发生的场景的所述引用属性的值；

当所述在后发生的场景与所述在先发生的场景的引用属性的值一致时，将所述在先发生的场景和所述在后发生的场景按照时序排列，将排列后得到的安全事件序列存储于中间事件缓存区域中。

优选的，所述对所述安全事件进行关联分析的步骤之后，还包括：

在所述安全事件序列包含的场景不能满足所述关联规则中全部场景时，继续对所述安全事件序列与其后发生的场景进行关联分析。

优选的，在所述关联分析的结果符合所述关联规则时，确定检测到攻击具体为：

在所述安全事件序列包含的场景满足所述关联规则中的全部场景时，确定所述安全事件序列中的全部安全事件构成一次攻击。

本发明还提供了一种攻击检测装置，包括：

事件提取模块，用于提取符合预置的关联规则中场景的安全事件；

事件关联模块，用于对所述安全事件进行关联分析；