[发明专利]一种针对多步攻击的实时攻击场景重构方法、系统与设备有效
| 申请号: | 202310050901.0 | 申请日: | 2023-02-02 |
| 公开(公告)号: | CN115801458B | 公开(公告)日: | 2023-05-12 |
| 发明(设计)人: | 谢峥;高庆官;路广平;付安民 | 申请(专利权)人: | 南京赛宁信息技术有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L43/04;H04L41/0631 |
| 代理公司: | 南京苏高专利商标事务所(普通合伙) 32204 | 代理人: | 孟红梅 |
| 地址: | 211100 江*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 针对 攻击 实时 场景 方法 系统 设备 | ||
1.一种针对多步攻击的实时攻击场景重构方法,其特征在于,包括如下步骤:
基于网络入侵检测系统检测网络攻击形成原始警报信息,包括源IP地址、源端口、目的IP地址、目的端口、时间戳、触发规则和攻击类型;
对原始警报信息进行分析,添加威胁程度字段,并将攻击与TTP框架关联起来在警报中添加TTP字段,标识警报的攻击阶段和攻击技术,得到待匹配的警报;
计算待匹配的警报与警报簇之间的属性相似度,如果存在相似度超过设定阈值的警报簇,则更新该警报簇信息,否则新建警报簇,得到待匹配的警报簇;所述警报簇聚合了同一攻击者同一攻击阶段对同一目标主机发起的同一类型的多次攻击产生的警报;
使用基于经验知识和基于因果关系的攻击场景重构技术,依据预处理挖掘出的因果知识和语义知识,通过专家知识提前构建出攻击模板,为每个待匹配的警报簇代表的攻击行为匹配到符合某攻击模板的攻击阶段;如果能够匹配到,则关联该警报簇到攻击场景中,否则根据警报簇新建攻击场景;通过实时的映射匹配算法,将警报簇映射匹配到某一攻击场景的具体阶段,包括:首先调出所有匹配态的攻击场景;然后以IP地址进行初筛,如果攻击场景中不存在警报簇的IP地址,直接跳过;针对每个攻击场景的每个阶段警报簇,使用预先设定的攻击模板,计算两者之间的匹配度;最后依据匹配度进行关联或新增操作;
相似度计算公式为:,其中ai表示第i个待匹配的警报信息,Aj表示第j个已聚合的警报簇信息,k表示第k个属性,K是属性总数目,函数h是与属性相关的相似度比较函数,对于每个属性,函数h根据比较结果给予[0,1]的相似值,对于函数h计算得到的属性相似值,使用相应的权重wk进行加权;
与属性相关的相似度比较函数取值规则如下:
源IP地址:警报与警报簇相同为1,不同为0;
源端口:警报与警报簇相同为1,不同为0;
目的IP地址:警报与警报簇相同为1,不同为0;
目的端口:警报与警报簇直接目的端口差值的绝对值比例;
威胁程度:警报与警报簇威胁程度差值的绝对值比例;
时间戳:警报与警报簇之间时间差不超过设定阈值为1,其余为0;
攻击类型:警报与警报簇同属一类为1,其余为0;
攻击阶段:警报与警报簇同属一阶段为1,其余为0。
2.根据权利要求1所述的针对多步攻击的实时攻击场景重构方法,其特征在于,所述警报簇的基础属性与聚合的警报相同,时间戳使用最新时间,威胁程度使用均值,目的端口使用众数。
3.根据权利要求1所述的针对多步攻击的实时攻击场景重构方法,其特征在于,所述攻击模板定义了一次完整攻击的各攻击阶段之间的关系,包括顺序攻击行为关系,失陷回连行为关系以及横向移动行为关系;所述顺序攻击行为关系的特点包括:第i个警报簇Ai与第j个攻击场景Sj某阶段警报簇之间源IP地址和目的IP地址均相同、警报阶段存在前后因果关系;所述失陷回连行为关系的特点包括:第i个警报簇Ai与第j个攻击场景Sj某阶段警报簇之间源IP地址和目的IP地址均相反、警报存在前后因果关系;所述横向移动行为关系的特点包括:第i个警报簇Ai的源IP地址和第j个攻击场景Sj某阶段警报簇目的IP地址相同、攻击发生时间存在前后关系。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南京赛宁信息技术有限公司,未经南京赛宁信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202310050901.0/1.html,转载请声明来源钻瓜专利网。
