CN105046147A - 系统受攻击程度的监测方法及装置 - Google Patents

Abstract

本发明公开了一种系统受攻击程度的监测方法及装置。该方法包括：采集至少一种数据破坏类攻击效果评价指标的数据信息，其中，数据破坏类攻击效果评价指标为：篡改的用户账户信息数、删除的用户账户信息数、增加的用户账户信息数、篡改的注册表键值数、删除的注册表键值数、增加的注册表键值数、篡改的文件数、删除的文件数、增加的文件数、终止的进程数或创建的进程数；根据每种数据破坏类攻击效果评价指标的数据信息，确定每种数据破坏类攻击效果评价指标的攻击效果值；以及根据每种数据破坏类攻击效果评价指标的攻击效果值和每种数据破坏类攻击效果评价指标的权重，确定目标系统受攻击程度。由此，可以实现系统受攻击程度的准确监测。

Description

系统受攻击程度的监测方法及装置

技术领域

本发明涉及信息安全领域，具体地，涉及一种系统受攻击程度的监测方法及装置。

背景技术

以计算机网络为主体的网络空间正在取代传统的通信方式，成为人类社会重要的通信基础设施，也深刻地影响并改变着人类的通信方式以及生产生活方式。然而，随着网络信息技术的不断发展，各种各样的网络攻击手段层出不穷，对信息系统的数据安全的威胁越来越严重，同时也威胁着国家的安全。因此，对信息系统数据的安全开展监测是十分重要的。

对信息系统数据的安全开展监测的一个环节就是要确定出系统的受攻击程度。目前，常见的网络攻击可以分为泄露信息类攻击、入侵控制类攻击、拒绝服务类攻击、数据破坏类攻击和对抗能力攻击这五类。针对数据破坏类攻击，惯常的确定系统受攻击程度的方法大都存在计算量复杂、准确率低的缺陷，因而不能准确、高效地确定出系统的受攻击程度。

发明内容

本发明的目的是提供一种系统受攻击程度的监测方法及装置，以实现针对数据破坏类攻击的系统受攻击程度的准确监测。

为了实现上述目的，本发明提供一种系统受攻击程度的监测方法，该方法包括：采集至少一种数据破坏类攻击效果评价指标的数据信息，其中，所述数据破坏类攻击效果评价指标为：篡改的用户账户信息数、删除的用户账户信息数、增加的用户账户信息数、篡改的注册表键值数、删除的注册表键值数、增加的注册表键值数、篡改的文件数、删除的文件数、增加的文件数、终止的进程数或创建的进程数；根据每种数据破坏类攻击效果评价指标的数据信息，确定每种数据破坏类攻击效果评价指标的攻击效果值；以及根据所述每种数据破坏类攻击效果评价指标的攻击效果值和每种数据破坏类攻击效果评价指标的权重，确定所述目标系统受攻击程度。

优选地，所述每种数据破坏类攻击效果评价指标的权重基于序关系法来被预先确定。

优选地，通过以下方式确定每种数据破坏类攻击效果评价指标的攻击效果值：

$H_i=\left\{\begin{array}{cc}0,& V_i=0\\ 0.5,& V_i=1\\ 1{\mathrm{og}}_2{V}_i,& V_i\≥2\end{array}\right.$

其中，H_i表示第i种数据破坏类攻击效果评价指标的攻击效果值；V_i表示第i种数据破坏类攻击效果评价指标的数据信息；

并且，通过以下方式确定所述目标系统受攻击程度：

$Q=\underset{i=1}{\overset{m}{\Σ}}{\mathrm{\ω}}_i\×H_i$

其中，Q表示所述目标系统受攻击程度；ω_i表示第i种数据破坏类攻击效果评价指标的权重；m表示数据破坏类攻击效果评价指标的总个数，并且1≤i≤m。

优选地，通过采集来自攻击方的攻击日志来获取所述至少一种数据破坏类攻击效果评价指标的数据信息；或者，通过采集所述目标系统自身的采集点来获取所述至少一种数据破坏类攻击效果评价指标的数据信息，其中，所述采集点包括以下中的至少一者：安全日志、注册表、目录文件、运行进程。

优选地，该方法还包括：根据所述目标系统受攻击程度，确定所述目标系统当前的受攻击程度等级；以及根据所述受攻击程度等级进行告警。

本发明还提供一种系统受攻击程度的监测装置，该装置包括：数据采集单元，用于采集至少一种数据破坏类攻击效果评价指标的数据信息，其中，所述数据破坏类攻击效果评价指标为：篡改的用户账户信息数、删除的用户账户信息数、增加的用户账户信息数、篡改的注册表键值数、删除的注册表键值数、增加的注册表键值数、篡改的文件数、删除的文件数、增加的文件数、终止的进程数或创建的进程数；攻击效果确定单元，用于根据每种数据破坏类攻击效果评价指标的数据信息，确定每种数据破坏类攻击效果评价指标的攻击效果值；以及受攻击程度确定单元，用于根据所述每种数据破坏类攻击效果评价指标的攻击效果值和每种数据破坏类攻击效果评价指标的权重，确定所述目标系统受攻击程度。

通过上述技术方案，可以在目标系统遭受到数据破坏类攻击后，定量且准确地确定出目标系统受攻击程度，该受攻击程度能够直接并且准确地反映数据破坏类网络攻击对目标系统的攻击效果。整个过程简单方便、复杂性低，并且可以为安全告警、以及数据修复和防护措施选择提供及时、准确、可靠的数据支持。

本发明的其他特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

附图是用来提供对本发明的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明，但并不构成对本发明的限制。在附图中：

图1是根据本发明的实施方式的系统受攻击程度的监测方法的流程图；

图2是根据本发明的另一实施方式的系统受攻击程度的监测方法的流程图；

图3是根据本发明的实施方式的系统受攻击程度的监测装置的框图；以及

图4是根据本发明的另一实施方式的系统受攻击程度的监测装置的框图。

具体实施方式

以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。

图1示出了根据本发明的一种实施方式的系统受攻击程度的监测方法的流程图，该方法可以由计算机实施。如图1所示，该方法可以包括：步骤S1，采集至少一种数据破坏类攻击效果评价指标的数据信息。例如，所述数据破坏类攻击效果评价指标可以为：篡改的用户账户信息数、删除的用户账户信息数、增加的用户账户信息数、篡改的注册表键值数、删除的注册表键值数、增加的注册表键值数、篡改的文件数、删除的文件数、增加的文件数、终止的进程数或创建的进程数。

在本发明中，某种数据破坏类攻击效果评价指标的数据信息，是指该数据破坏类攻击效果评价指标的数值统计信息。例如，篡改的用户账户信息数的数据信息可以指共有多少个用户账户信息被篡改，再例如，删除的文件数可以指共有多少个文件被删除，诸如此类。

选取上述11种数据破坏类攻击效果评价指标来确定目标系统的受攻击程度，是因为这些指标基本上代表了绝大多数数据破坏类攻击行为的攻击效果，并且其数据信息容易采集，从而使得方法的实施更为简单、高效。

可以通过多种方式来采集所述数据破坏类攻击效果评价指标的数据信息。例如，在一种实施方式中，可以通过采集来自攻击方的攻击日志来获取所述至少一种数据破坏类攻击效果评价指标的数据信息。其中，所述攻击日志可以用于记录攻击方的攻击行为。并且，在该攻击日志中，可以直接记录有关数据破坏类攻击效果评价指标的数据信息，例如，在该攻击日志中直接记录了篡改的用户账户信息数、删除的注册表键值数等等。因此，在步骤S1中，可以直接读取所述攻击日志来得到这些指标的数据信息。

可替换地，在另一实施方式中，可以通过采集目标系统自身的采集点来获取所述至少一种数据破坏类攻击效果评价指标的数据信息。其中，所述采集点可以包括以下中的至少一者：安全日志、注册表、目录文件、运行进程。例如，可以通过采集所述目标系统的安全日志来获取以下数据破坏类攻击效果评价指标中的至少一者的数据信息：篡改的用户账户信息数、删除的用户账户信息数、增加的用户账户信息数。可以通过采集所述目标系统的注册表来获取以下数据破坏类攻击效果评价指标中的至少一者的数据信息：篡改的注册表键值数、删除的注册表键值数、增加的注册表键值数。可以通过采集所述目标系统的目录文件来获取以下数据破坏类攻击效果评价指标中的至少一者的数据信息：篡改的文件数、删除的文件数、增加的文件数。并且，可以通过采集所述目标系统的运行进程来获取以下数据破坏类攻击效果评价指标中的至少一者的数据信息：终止的进程数、创建的进程数。

为了更加准确、全面地确定目标系统的受攻击程度，优选地，在上述步骤S1中，可以采集上面所列举的所有11种数据破坏类攻击效果评价指标的数据信息，以用于后续确定目标系统的受攻击程度。

接下来，该方法还可以包括步骤S2，根据每种数据破坏类攻击效果评价指标的数据信息，确定每种数据破坏类攻击效果评价指标的攻击效果值。

在本发明中，可以例如通过以下等式(1)来确定每种数据破坏类攻击效果评价指标的攻击效果值：

$H_i=\left\{\begin{array}{cc}0,& V_i=0\\ 0.5,& V_i=1\\ 1{\mathrm{og}}_2{V}_i,& V_i\≥2\end{array}\right.---\left(1\right)$

其中，H_i可以表示第i种数据破坏类攻击效果评价指标的攻击效果值；V_i可以表示第i种数据破坏类攻击效果评价指标的数据信息。

接下来，该方法还可以包括步骤S3，根据所述每种数据破坏类攻击效果评价指标的攻击效果值和每种数据破坏类攻击效果评价指标的权重，确定所述目标系统受攻击程度。在本发明中，可以例如通过以下等式(2)来确定所述目标系统受攻击程度：

$Q=\underset{i=1}{\overset{m}{\Σ}}{\mathrm{\ω}}_i\×H_i---\left(2\right)$

其中，Q可以表示所述目标系统受攻击程度；ω_i可以表示第i种数据破坏类攻击效果评价指标的权重；以及m可以表示数据破坏类攻击效果评价指标的总个数，并且1≤i≤m。如上所述，在步骤S1中，优选地，采集全部11种数据破坏类攻击效果评价指标的数据信息。因此，在该优选的实施方式下，m＝11。

可以通过多种方法来预先确定每种数据破坏类攻击效果评价指标的权重，例如，AHP(层次分析法)。然而，基于AHP法来确定权重，由于需要进行一致性检验，导致其计算复杂度高，并且在指标数超过9个时，会带来计算不准确的问题。

为此，在本发明的一个优选实施方式中，采用序关系法(亦称为G1法)来预先确定所述数据破坏类攻击效果评价指标的权重。

采用G1法确定权重的过程主要包括以下步骤：

1)确定各数据破坏类攻击效果评价指标的序关系。

假设上述11种数据破坏类攻击效果评价指标全部被使用。并且，假设篡改的用户账户信息数表示为a₁，删除的用户账户信息数表示为a₂，增加的用户账户信息数表示为a₃，篡改的注册表键值数表示为a₄，删除的注册表键值数表示为a₅，增加的注册表键值数表示为a₆，篡改的文件数表示为a₇，删除的文件数表示为a₈，增加的文件数表示为a₉，终止的进程数表示为a₁₀，以及创建的进程数表示为a₁₁。

根据经验数据，这11种数据破坏类攻击效果评价指标的序关系可以被确定为：

a₁＞a₂＞a₃＞a₄＞a₅＞a₆＞a₇＞a₈＞a₉＞a₁₀＞a₁₁

2)确定数据破坏类攻击效果评价指标a_k-1与a_k之间的重要性程度之比r_k＝ω_k-1/ω_k，且必须保证r_k-1＞1/r_k，其中，k＝m,m-1,m-2,…,3,2，ω_k-1表示数据破坏类攻击效果评价指标a_k-1的权重，ω_k表示数据破坏类攻击效果评价指标a_k的权重。

表1示出了r_k的赋值参考表。

表1

rk	说明
		1.0	指标ak-1与指标ak具有同样重要性
1.2	指标ak-1比指标ak稍微重要
		1.4	指标ak-1比指标ak明显重要
1.6	指标ak-1比指标ak强烈重要
		1.8	指标ak-1比指标ak极端重要
1.1,1.3,1.5,1.7	对应以上两两相邻判断的中间情况

根据经验数据，按照表1，可以确定出各重要性程度之比为：r₂＝1.1，r₃＝1.2，r₄＝1.3，r₅＝1.2，r₆＝1.3，r₇＝1.4，r₈＝1.2，r₉＝1.3，r₁₀＝1.2，r₁₁＝1.1。并且经验证，这些重要性程度之比满足r_k-1＞1/r_k的限制条件。

3)确定各数据破坏类攻击效果评价指标的权重ω_k。

例如，可以通过以下等式(3)来确定数据破坏类攻击效果评价指标a_m的权重ω_m：

${\mathrm{\ω}}_m={(1+\underset{k=2}{\overset{m}{\Σ}}\underset{i=k}{\overset{m}{\Π}}{r}_i)}^{-1}---\left(3\right)$

并且，根据ω_k-1＝r_kω_k来确定其他数据破坏类攻击效果评价指标的权重。

例如，按照上面步骤2)给出的示例结果，所确定出的数据破坏类攻击效果评价指标a₁～a₁₁的权重如下表2所示：

表2

评价指标	权重系数	评价指标	权重系数
				a1	0.198376	a7	0.052932
a2	0.180342	a8	0.04411
				a3	0.150285	a9	0.0339308
a4	0.115604	a10	0.0282757
				a5	0.0963363	a11	0.0257051
a6	0.0741048

通过上述过程可以看出，利用G1法来确定数据破坏类攻击效果评价指标的权重，计算过程简单，并且不需要像AHP法一样进行一致性检验，因此计算复杂度得以降低。

图2示出了根据本发明的另一实施方式的系统受攻击程度的监测方法的流程图。如图2所示，该方法还可以包括：步骤S4，根据所述目标系统受攻击程度，确定所述目标系统当前的受攻击程度等级。

可以预先根据经验数据设定多个攻击程度阈值，并基于这些攻击程度阈值来划分若干受攻击程度等级。例如，在攻击程度∈[0，0.2]时，可以表明系统当前的受攻击程度等级为低级，在攻击程度∈(0.2，0.4]时，可以表明系统当前的受攻击程度等级为中低级，在攻击程度∈(0.4，0.6]时，可以表明系统当前的受攻击程度等级为中级，在攻击程度∈(0.6，0.8]时，可以表明系统当前的受攻击程度等级为中高级，在攻击程度∈(0.8，+∞)时，可以表明系统当前的受攻击程度等级为高级。这样，在定量确定出目标系统受攻击程度之后，就可以通过比较所确定出的目标系统受攻击程度与所述多个攻击程度阈值来确定目标系统的当前的受攻击程度等级。由此，可以定性分析出系统受攻击程度，以使用户或监测人员更为直观地获悉系统受攻击程度。

此外，该方法还可以包括：步骤S5，根据所述受攻击程度等级进行告警。例如，在受攻击程度等级为中级或以上时，进行告警。由此，可以在确定出系统受攻击程度等级较高的情况下向用户或者监测人员警示，以提醒用户或监测人员及时注意并及时采取修复和防护措施。

图3示出了根据本发明的实施方式的系统受攻击程度的监测装置的框图。如图3所示，该装置可以包括：数据采集单元10，可以用于采集至少一种数据破坏类攻击效果评价指标的数据信息，其中，所述数据破坏类攻击效果评价指标为：篡改的用户账户信息数、删除的用户账户信息数、增加的用户账户信息数、篡改的注册表键值数、删除的注册表键值数、增加的注册表键值数、篡改的文件数、删除的文件数、增加的文件数、终止的进程数或创建的进程数；攻击效果确定单元20，可以用于根据每种数据破坏类攻击效果评价指标的数据信息，确定每种数据破坏类攻击效果评价指标的攻击效果值；以及受攻击程度确定单元30，可以用于根据所述每种数据破坏类攻击效果评价指标的攻击效果值和每种数据破坏类攻击效果评价指标的权重，确定所述目标系统受攻击程度。

其中，所述数据采集单元10可以例如通过采集攻击日志来获取所述至少一种数据破坏类攻击效果评价指标的数据信息。

可替换地，所述数据采集单元10可以例如通过采集所述目标系统自身的采集点来获取所述至少一种数据破坏类攻击效果评价指标的数据信息，其中，所述采集点包括以下中的至少一者：安全日志、注册表、目录文件、运行进程。

具体地，所述数据采集单元10可以例如通过采集所述目标系统的安全日志来获取以下数据破坏类攻击效果评价指标中的至少一者的数据信息：篡改的用户账户信息数、删除的用户账户信息数、增加的用户账户信息数；通过采集所述目标系统的注册表来获取以下数据破坏类攻击效果评价指标中的至少一者的数据信息：篡改的注册表键值数、删除的注册表键值数、增加的注册表键值数；通过采集所述目标系统的目录文件来获取以下数据破坏类攻击效果评价指标中的至少一者的数据信息：篡改的文件数、删除的文件数、增加的文件数；以及通过采集所述目标系统的运行进程来获取以下数据破坏类攻击效果评价指标中的至少一者的数据信息：终止的进程数、创建的进程数。

图4示出了根据本发明的另一实施方式的系统受攻击程度的监测装置的框图。如图4所示，该装置还可以包括：受攻击程度等级确定单元40，可以用于根据所述目标系统受攻击程度，确定所述目标系统当前的受攻击程度等级；以及告警单元50，可以用于根据所述受攻击程度等级进行告警。

本发明的系统受攻击程度的监测装置对应于本发明的系统受攻击程度的监测方法，因此相同的内容不再赘述。

通过上述技术方案，可以在目标系统遭受到数据破坏类攻击后，定量且准确地确定出目标系统受攻击程度，该受攻击程度能够直接并且准确地反映数据破坏类网络攻击对目标系统的攻击效果。整个过程简单方便、复杂性低，并且可以为安全告警、以及数据修复和防护措施选择提供及时、准确、可靠的数据支持。

以上结合附图详细描述了本发明的优选实施方式，但是，本发明并不限于上述实施方式中的具体细节，在本发明的技术构思范围内，可以对本发明的技术方案进行多种简单变型，这些简单变型均属于本发明的保护范围。

此外，尽管在附图中以特定顺序描述了本发明方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。

本领域技术人员知道，本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此，本发明的实施方式可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。

另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合。为了避免不必要的重复，本发明对各种可能的组合方式不再另行说明。

此外，本发明的各种不同的实施方式之间也可以进行任意组合，只要其不违背本发明的思想，其同样应当视为本发明所公开的内容。

Claims (10)

1.一种系统受攻击程度的监测方法，其特征在于，该方法包括：

采集至少一种数据破坏类攻击效果评价指标的数据信息，其中，所述数据破坏类攻击效果评价指标为：篡改的用户账户信息数、删除的用户账户信息数、增加的用户账户信息数、篡改的注册表键值数、删除的注册表键值数、增加的注册表键值数、篡改的文件数、删除的文件数、增加的文件数、终止的进程数或创建的进程数；

根据每种数据破坏类攻击效果评价指标的数据信息，确定每种数据破坏类攻击效果评价指标的攻击效果值；以及

根据所述每种数据破坏类攻击效果评价指标的攻击效果值和每种数据破坏类攻击效果评价指标的权重，确定所述目标系统受攻击程度。

2.根据权利要求1所述的方法，其特征在于，所述每种数据破坏类攻击效果评价指标的权重基于序关系法来被预先确定。

3.根据权利要求1所述的方法，其特征在于，通过以下方式确定每种数据破坏类攻击效果评价指标的攻击效果值：

$H_i=\left\{\begin{array}{cc}0,& V_i=0\\ 0.5,& V_i=1\\ 1{\mathrm{og}}_2{V}_i,& V_i\≥2\end{array}\right.$

其中，H_i表示第i种数据破坏类攻击效果评价指标的攻击效果值；

V_i表示第i种数据破坏类攻击效果评价指标的数据信息；

并且，通过以下方式确定所述目标系统受攻击程度：

$Q=\underset{i=1}{\overset{m}{\Σ}}{\mathrm{\ω}}_i\×H_i$

其中，Q表示所述目标系统受攻击程度；

ω_i表示第i种数据破坏类攻击效果评价指标的权重；

m表示数据破坏类攻击效果评价指标的总个数，并且1≤i≤m。

4.根据权利要求1所述的方法，其特征在于，通过采集来自攻击方的攻击日志来获取所述至少一种数据破坏类攻击效果评价指标的数据信息；或者，通过采集所述目标系统自身的采集点来获取所述至少一种数据破坏类攻击效果评价指标的数据信息，其中，所述采集点包括以下中的至少一者：安全日志、注册表、目录文件、运行进程。

5.根据权利要求1-4中任一权利要求所述的方法，其特征在于，该方法还包括：

根据所述目标系统受攻击程度，确定所述目标系统当前的受攻击程度等级；以及

根据所述受攻击程度等级进行告警。

6.一种系统受攻击程度的监测装置，其特征在于，该装置包括：

数据采集单元，用于采集至少一种数据破坏类攻击效果评价指标的数据信息，其中，所述数据破坏类攻击效果评价指标为：篡改的用户账户信息数、删除的用户账户信息数、增加的用户账户信息数、篡改的注册表键值数、删除的注册表键值数、增加的注册表键值数、篡改的文件数、删除的文件数、增加的文件数、终止的进程数或创建的进程数；

攻击效果确定单元，用于根据每种数据破坏类攻击效果评价指标的数据信息，确定每种数据破坏类攻击效果评价指标的攻击效果值；以及

受攻击程度确定单元，用于根据所述每种数据破坏类攻击效果评价指标的攻击效果值和每种数据破坏类攻击效果评价指标的权重，确定所述目标系统受攻击程度。

7.根据权利要求6所述的装置，其特征在于，所述每种数据破坏类攻击效果评价指标的权重基于序关系法来被预先确定。

8.根据权利要求6所述的装置，其特征在于，所述攻击效果确定单元通过以下方式确定每种数据破坏类攻击效果评价指标的攻击效果值：

$H_i=\left\{\begin{array}{cc}0,& V_i=0\\ 0.5,& V_i=1\\ 1{\mathrm{og}}_2{V}_i,& V_i\≥2\end{array}\right.$

其中，H_i表示第i种数据破坏类攻击效果评价指标的攻击效果值；

V_i表示第i种数据破坏类攻击效果评价指标的数据信息；

并且，所述受攻击程度确定单元通过以下方式确定所述目标系统受攻击程度：

$Q=\underset{i=1}{\overset{m}{\Σ}}{\mathrm{\ω}}_i\×H_i$

其中，Q表示所述目标系统受攻击程度；

ω_i表示第i种数据破坏类攻击效果评价指标的权重；

m表示数据破坏类攻击效果评价指标的总个数，并且1≤i≤m。

9.根据权利要求6所述的装置，其特征在于，所述数据采集单元通过采集来自攻击方的攻击日志来获取所述至少一种数据破坏类攻击效果评价指标的数据信息；或者，通过采集所述目标系统自身的采集点来获取所述至少一种数据破坏类攻击效果评价指标的数据信息，其中，所述采集点包括以下中的至少一者：安全日志、注册表、目录文件、运行进程。

10.根据权利要求6-9中任一权利要求所述的装置，其特征在于，该装置还包括：

受攻击程度等级确定单元，用于根据所述目标系统受攻击程度，确定所述目标系统当前的受攻击程度等级；以及

告警单元，用于根据所述受攻击程度等级进行告警。