[发明专利]攻击链检测方法及装置有效
| 申请号: | 201811360528.4 | 申请日: | 2018-11-15 |
| 公开(公告)号: | CN109660515B | 公开(公告)日: | 2020-05-12 |
| 发明(设计)人: | 刘银龙;马宇晨;朱大立;张杭生 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京路浩知识产权代理有限公司 11002 | 代理人: | 王莹;吴欢燕 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 攻击 检测 方法 装置 | ||
1.一种攻击链检测方法,其特征在于,包括:
S1,根据各攻击事件所属的攻击阶段和传递各所述攻击事件的主机节点构建攻击事件图;
S2,根据所述攻击事件图计算各所述主机节点的中介中心性;
S3,对于任一种临近攻击事件序列,根据各所述主机节点的中介中心性计算该种临近攻击事件序列的隶属度;
S4,获取所述攻击事件图中的每条攻击路径,若各条所述攻击路径包含核心主机节点,则根据各所述主机节点的临近攻击事件序列的隶属度,基于D-S证据理论以所述核心主机节点为起点逆向追寻发起所述攻击事件的主机节点,将追寻的所述主机节点和所述核心主机节点作为攻击链;
其中,该种临近攻击事件序列的隶属度为该种临近攻击事件序列属于该种临近攻击事件序列对应的临近攻击阶段序列的概率,所述临近攻击事件序列包括任一所述主机节点的一次出向攻击事件和一次入向攻击事件,且所述出向攻击事件和所述入向攻击事件满足第一预设条件,所述临近攻击事件序列对应的临近攻击阶段序列包括所述临近攻击事件序列中出向攻击事件所属的攻击阶段和入向攻击事件所属的攻击阶段;所述核心主机节点为满足第二预设条件的所述主机节点;
其中,S3具体包括:
S31,将该种临近攻击事件序列对应的临近攻击阶段序列作为指定临近攻击阶段序列;
S32,将所述指定临近攻击阶段序列对应的所有临近攻击事件序列作为矩阵的列,将各所述主机节点作为所述矩阵的行,若各所述主机节点存在任一列对应的临近攻击事件序列,则将各所述主机节点的中介中心性作为所述任一列中各所述主机节点所在行对应的元素;或者,
若各所述主机节点不存在任一列对应的临近攻击事件序列,则将所述任一列中各所述主机节点所在行对应的元素填充为0;
S33,根据所述矩阵,计算该种临近攻击事件序列的隶属度;
S33具体包括:
将所述矩阵中该种临近攻击事件序列对应的列中的元素相加,获取第一总数;
将所述矩阵中的所有元素相加,获取第二总数;
将所述第一总数与所述第二总数的比值作为该种临近攻击事件序列的隶属度。
2.根据权利要求1所述的方法,其特征在于,S1具体包括:
根据各所述攻击事件的告警信息,获取各所述攻击事件的源地址和目的地址;
将任一所述攻击事件的源地址和目的地址对应的主机节点相连,将连接的直线作为攻击事件图的边,将所述任一攻击事件所属的攻击阶段作为所述攻击事件图的边的权重。
3.根据权利要求1所述的方法,其特征在于,所述第一预设条件为所述入向攻击事件所属的攻击阶段大于或等于所述出向攻击事件所属的攻击阶段,且所述出向攻击事件的告警时间在所述入向攻击事件的告警时间之后或相同,且所述出向攻击事件的告警时间与所述入向攻击事件的告警时间之间的时间间隔小于或等于预设时间窗。
4.根据权利要求3所述的方法,其特征在于,S4具体包括:
将多个所述预设时间窗下各所述主机节点的临近攻击事件序列作为辨识框架;
根据所述辨识框架和多个所述预设时间窗下各主机节点的临近攻击事件序列的隶属度,基于D-S证据理论以所述核心主机节点为起点逆向追寻发起所述攻击事件的各主机节点。
5.根据权利要求1-4任一所述的方法,其特征在于,还包括:
若各条所述攻击路径不包含所述核心主机节点,则根据各种所述临近攻击事件序列的隶属度,预测各条所述攻击路径的最后一个主机节点发起的攻击事件。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201811360528.4/1.html,转载请声明来源钻瓜专利网。
