[发明专利]一种主机攻击检测方法及系统

说明书

本发明公开一种主机攻击检测方法及系统。该主机攻击检测方法包括：获取目标主机网络数据、安全设备系统日志和目标主体系统日志；提取目标主体网络数据、安全设备系统日志和目标主体系统日志的特征信息；将特征信息输入到利用集成学习方法对已公开的漏洞数据进行训练所得到的多个机器学习器中，判断是否输出攻击类别，得到判断结果；若判断结果表示是，则确定发生主机攻击；若判断结果表示否，则确定未发生主机攻击。本发明的主机攻击检测方法及系统，能够提高检测准确度。

技术领域

本发明涉及网络安全领域，特别是涉及一种主机攻击检测方法及系统。

背景技术

随着互联网的发展，网络用户的数量越来越多，投入互联网的主机设备也越来越多。伴随着互联网的发展，利用漏洞对主机进行攻击行为也越发普遍，主机设备的安全性显得更加重要。为了最大程度上保证主机的安全运行，需要实时监测主机攻击行为的发生，以及时发现危险的存在。

基于规则匹配的方法是较为常见的主机攻击检测方法。该方法主要通过关联查询的方式从日志中提取关键信息，而后根据关键信息对操作行为进行判断。然而该方法仅利用日志信息进行攻击检测的判断，分析结果准确性不高。

发明内容

本发明的目的是提供一种主机攻击检测方法及系统，提高检测准确度。

为实现上述目的，本发明提供了如下方案：

一种主机攻击检测方法，包括：

获取目标主机网络数据、安全设备系统日志和目标主体系统日志；

提取所述目标主机网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息；

将所述特征信息输入到利用集成学习方法对已公开的漏洞数据进行训练所得到的多个机器学习器中，判断是否输出攻击类别，得到判断结果；

若所述判断结果表示是，则确定发生主机攻击；

若所述判断结果表示否，则确定未发生主机攻击。

可选的，所述提取所述目标主机网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息，具体包括：

从所述目标主机网络数据中解析提取请求和响应信息；

从所述安全设备系统日志中解析设备日志特征；所述设备日志特征包括但不限于：时间、级别、协议、目的IP、源IP、目的端口、资源账号、目的MAC、源MAC、认证账号、重定向端口、访问方向和阻断信息；

从所述目标主体系统日志中提取系统日志特征；所述系统日志特征包括但不限于：操作系统、版本号、时间、源IP、端口、类型、级别、用户和结果。

可选的，利用集成学习方法对已公开的漏洞数据进行训练的具体过程为：

获取已公开的漏洞数据，得到训练样本；

提取所述训练样本的攻击特征；所述攻击特征包括但不限于：时间、行为、源IP、目的IP、通讯协议、进程信息、配置信息、端口信息、请求连接信息、阻断信息、账号信息、协议内部信息中的至少一项；

将按照各所述攻击特征所属的攻击类型，对各所述攻击特征进行攻击类型的划分；

利用集成学习方法对所述攻击特征和各所述攻击特征所属的攻击类型进行训练，得到训练好的多个机器学习器。

可选的，在所述确定发生主机攻击之后，还包括：

发出主机攻击报警信号。

可选的，所述攻击类型包括但不限于：网络攻击、系统入侵、信息破坏和安全隐患。

一种主机攻击检测系统，包括：