CN106537872B - 用于检测计算机网络中的攻击的方法 - Google Patents
用于检测计算机网络中的攻击的方法 Download PDFInfo
- Publication number
- CN106537872B CN106537872B CN201580039167.1A CN201580039167A CN106537872B CN 106537872 B CN106537872 B CN 106537872B CN 201580039167 A CN201580039167 A CN 201580039167A CN 106537872 B CN106537872 B CN 106537872B
- Authority
- CN
- China
- Prior art keywords
- computer network
- anomaly
- alert messages
- type
- alert
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 81
- 238000004458 analytical method Methods 0.000 claims description 53
- 230000008569 process Effects 0.000 claims description 13
- 241000700605 Viruses Species 0.000 claims description 8
- 238000001514 detection method Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 5
- 230000008859 change Effects 0.000 claims description 4
- 230000008901 benefit Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 12
- 238000007726 management method Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 5
- 230000001960 triggered effect Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000000875 corresponding effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0681—Configuration of triggering conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种用于检测具有多个计算机的计算机网络(410,510)中的攻击的方法(600),包括以下步骤:接收(601)来自计算机的多个警报消息(102),该警报消息基于计算机网络中的不同类型的异常(111,112,113,114);将来自所接收到的多个警报消息(102)的警报消息的数目与预定的事件阈值进行比较(603),该警报消息的数目基于计算机网络中的相同类型的异常(114);以及如果基于计算机网络中的相同类型的异常(114)的警报消息的数目下降到该事件阈值以下,则输出(605)警报信号(114)。
Description
本发明涉及一种用于检测计算机网络中的攻击的方法和分析系统。
通过在公司的计算机网络中安插恶意软件,公司秘密的窃取往往不被注意地执行。这种类型的攻击有时利用为特定使用个体调节的自主开发的恶意程序,其不由市售的杀毒软件产品检测到或者直至很晚才被检测到。公司有可能为成为数字间谍攻击的潜在受害者做好准备,但是准确的情形(诸如场所、时间、和配置)往往是未知的。为了检测和抵挡这种类型的攻击,被攻击的公司可能有时面临将来自不同安全性和操作系统的大量异构协议数据进行结合以形成有意义且信息丰富的场景的挑战。
本发明的任务在于,检测计算机网络中的攻击。
该任务是通过独立权利要求的特征来解决的。有利的改进是从属权利要求的主题。
以下阐述的方法和系统可基于来自SIEM(安全性信息和事件管理)系统的记录数据。“SIEM系统”是针对将安全性信息管理(SIM)与安全性事件管理(SEM)组合的软件和产品服务的术语。SIEM技术提供安全性警报的实时分析,其可以由网络硬件和网络应用来生成。SIEM可以以软件、应用或相关服务的形式来销售,并且还可以用于记录安全性相关的数据以及生成对于合规应用的报告。
以下阐述的方法和系统可以使用C2(命令和控制)服务器来对计算机系统的攻击提供指示符或警报信号。命令和控制服务器是能够发送命令并且从作为僵尸网络的一部分的机器或者计算机获得响应的集中式机器或计算机服务器。在任何时间,想要发起DDoS(分布式服务拒绝)攻击的攻击者可以向它们的僵尸网络的C2服务器发送包括攻击特定目标计算机的指令的特殊命令,并且每个与所联系的C2服务器处于通信的被感染的机器将相应地发起对该目标计算机的协调式攻击。
以下阐述的方法和系统可以用于保护计算机网络不受来自僵尸网络的攻击,具体而言,来自DDoS攻击、垃圾邮件攻击、数据盗窃攻击、网络钓鱼攻击、恶意软件传播、按键记录、不期望的软件安装、身份窃取、计算机网络的操纵。
以下阐述的方法和系统可被用于信息技术(IT)领域中。信息技术是关于信息和数据处理以及因此所需要的硬件和软件的涵盖性术语。公司的信息技术包括用于生成、处理和传递信息的所有技术设备。
为了详细描述本发明,使用以下缩写和术语:
IT:信息技术
SIEM 安全性信息和事件管理
SIM:安全性信息管理
SEM:安全性事件管理
C2服务器:命令和控制服务器
本发明的一个方面涉及一种用于检测包括多个计算机的计算机网络中的攻击的方法,包括以下步骤:接收来自计算机的多个警报消息,该警报消息基于计算机网络中的不同类型的异常;将来自所接收到的多个警报消息的警报消息的数目与预定的事件阈值进行比较,该警报消息的数目基于计算机网络中的相同类型的异常;以及如果基于计算机网络中的相同类型的异常的警报消息的数目下降到该事件阈值以下,则输出警报信号。
这种类型的方法的优点在于,该方法在对计算机网络即将发生攻击的情况下,能快速可靠地触发警报信号。计算机网络中的计算机总是生成大量的警告消息,例如,在非功能性的软件更新的情况下、在处理器过载时、在软件的更新还未被执行时、在口令已经被错误地输入时、在因特网访问暂时不可用时、在不可能访问特定数据时等。这些警告消息是由于计算机网络中在操作期间较频繁或者较不频繁地发生的特定异常造成的,并且这些特定异常通常需要用户的交互以消除它们。计算机系统中的非关键或者轻微异常(诸如还未被执行的软件更新或者处理器的过载)很频繁地发生并且容易消除。相反,关键异常(诸如系统的特定组件的非预期故障或者失去访问很少使用的系统资源的能力)仅很少地发生,并且因此相关警报消息也仅很少地发生。
该方法基于网络中的这些关键异常来检测对计算机网络或者计算机系统的可能或即将发生的攻击。出于此目的,有可能将发生警报消息的数目指派给计算机网络中的可能异常并且对它们进行计数。如果基于计算机网络中的相同类型的异常的警报消息的数目下降到事件阈值以下,则通过触发警报来警告计算机网络的用户可能的攻击即将发生或者已经发生。
由此在对计算机网络有可能攻击的情况下,可能以灵活、快速且精确的方式来输出警报信号。作为该方法的模块化构建的结果,个体方法步骤可以在不同的软件或硬件组件上灵活地实现,例如,在计算机网络内的组件上或者在计算机网络外的外部组件上。
在一实施例中,该方法包括在预定的时间区间里接收多个警报消息。
这具有的优点是:基于计算机网络中的不同类型的异常的警报消息可以在相同时间段上被测量,以使得事件阈值对于不同类型的警报消息而言总是与相同时间段相关。以此方式,可能可靠地标识很少发生的发信号通知对计算机网络的可能攻击或者已经发生的攻击的异常。该方法由此非常精确且可靠地操作。
在一实施例中,该方法包括通过由相应的警报消息指示的异常的类型来将该多个警报消息进行分类。
这具有的优点是:发信号通知计算机网络中的关键异常的相关警报消息可以快速地从大量传入的警报消息中被滤出。
在一实施例中,该方法包括基于该警报消息的内容来确定由警报消息指示的异常的类型。
这具有的优点是:异常的类型可以被容易地确定,例如,通过查询警报消息内的特定数据字段或标志,其可以举例而言是以包括报头和有效载荷的数据分组的形式。如果可以基于该警报消息的内容来确定异常,则不需要进一步的信息来确定该异常,并且这使得该方法简单可靠。
在一实施例中,该方法包括在预定的时间区间里对所接收到的被分类为相同类型的警报消息进行计数,以便确定数目,以及如果在预定的时间区间里所计数的被分类为相同类型的警报消息的数目下降到事件阈值以下,则输出警报信号。
这具有的优点是:该方法执行起来很简单,例如,使用一开关、多个计数器以及一定时器或时钟。基于由警报消息发信号通知的异常的类型,该开关可以向相应的计数器提供警报消息,该计数器对提供至其的警报消息的数目进行计数。一旦由定时器指示的特定时间已经流逝,该计数器值就可以被读取。一旦被读取的计数器值之一已经下降到事件阈值以下,警报就可以被触发。该方法可由此使用简单的逻辑电路(例如,在IC或芯片上)来实现。
在一实施例中,该方法包括基于下降到事件阈值以下的警报消息的数目来确定对计算机网络的攻击出现的概率。
这具有的优点是:警报能使用该概率值来分级。警报甚至可以按低的攻击概率来被触发,概率值发信号通知攻击的严重性。例如,低概率值可被指示为绿色警报灯,中等概率值由黄色警报灯指示且高概率值由红色警报灯指示。藉由概率值,用户获得更多关于可能或即将发生的攻击的特性或严重性的信息。
在一实施例中,该方法包括进一步基于以下预定的参数中的至少一者来确定对计算机网络的攻击出现的概率值:黑名单、白名单、阈值、事件相关、以及计算机网络的个体用户群的威胁潜在性的定义。
这具有的优点是:实际上可与系统的正常状态相关联的计算机网络中很少发生的事件或异常可以更好地从与对计算机网络有威胁相关联的很少发生的事件划清界限。藉由这些参数,计算机网络的用户的知识库也可被引入该检测。由此,具体而言,来自过去的威胁(例如,阈值、事件相关)和当前现有的威胁(例如,黑名单、白名单、个体人群的威胁潜在性)的情境可被纳入考虑。
在一实施例中,该方法包括进一步基于到计算机网络的访问者的数目(尤其是到计算机网络的网页的访问者的数目)来确定对计算机网络的攻击出现的概率值。
这具有的优点是:攻击能可靠地藉由用户的数目来检测。如果网页正由许多不同用户访问,则这可表示正常状态。如果网页仅由少数用户访问,则可能存在对网页的攻击。来自用户的数据也可被包括在分析中,例如,它们的IP地址、域名、服务器、访问的时间和历时、或它们所基于的地理位置。例如,如果来自不同地理位置的许多用户正在访问网页或者如果在夜间观察到增大的访问发生,则这可以是显而易见的。如果使用了这种类型的信息,则检测攻击的可靠性甚至可进一步增大。
在一实施例中,该方法包括进一步基于计算机网络中很少执行的进程的频率来确定对计算机网络的攻击出现的概率值。
在正常状态中的计算机网络一般使用相同的进程来操作。很少执行的进程可由此以简单的方式提供对异常的指示并且因此提供对可能的威胁的指示。
在一实施例中,该方法包括进一步基于在计算机网络中预定的一群多个计算机上正被执行的程序的频率(尤其是基于自预定时间起,仅在该预定的一群计算机上执行的程序的频率)来确定对计算机网络的攻击出现的概率值。
这具有的优点是:藉由这种类型的评估,该方法能简单可靠地检测正在诸个人电脑或小型计算机群上执行的可能的病毒程序或恶意软件。
在一实施例中,该方法包括使用多个计算机中的至少一个计算机的以下系统中的一者或多者来生成警报消息:病毒扫描仪、代理服务器、IDS(入侵检测系统)、防火墙、操作系统、日志管理系统、安全性信息和事件管理系统。
这种类型的方法的优点在于,所述系统可被用于确定系统的各种特性并且藉由警报消息来传递它们。通过分析大量的协议数据,该方法有可能比通过考虑当前的网络指示符更早地检测到奇特性或异常。
由此,为了生成警报消息,有可能回退到预先存在的架构上,例如,先前安装的记录相关数据的协议数据系统。可以通过各种分析方法来执行分析(例如,通过人工智能方法或使用神经网络),并且提供可靠的分析结果,这可以按事件的形式来准备。分析能将计算机中的大量数据划定到相关方面或提供可随后被进一步限制的数个相关事件。
在一实施例中,该方法包括基于下降到事件阈值以下的警报消息的数目来调节事件阈值。
这具有的优点是,关于计算机网络的发现可影响事件阈值,例如,藉由网络的架构和个体组件。指示符可由此被灵活地调节以改变环境影响,例如,计算机网络中的附加的软件或硬件组件。
在一实施例中,该方法包括根据以下事件中的至少一者来对事件阈值进行自适应调节:用户反馈、计算机网络的网络架构的变化、计算机网络中的计算机的数目的变化。
这种类型的方法具有的优点是,它可灵活地匹配经改变的架构,并且用户的知识也能影响决策制定。
本发明的一方面涉及一种用于检测包括多个计算机的计算机网络中的攻击的分析系统,包括:配置成接收来自计算机的多个警报消息的接收模块,该警报消息基于计算机网络中的不同类型的异常;配置成将来自所接收到的多个警报消息的警报消息的数目与预定的事件阈值进行比较的比较模块,该警报消息的数目基于计算机网络中的相同类型的异常;以及配置成如果基于计算机网络中的相同类型的异常的警报消息的数目下降到该事件阈值以下,则输出警报信号的输出模块。
这种类型的分析系统的优点在于,该系统在对计算机网络即将发生攻击的情况下,能快速可靠地触发警报信号。该分析系统能基于网络中由警报消息指示的关键异常来可靠地检测对计算机网络或者计算机系统的可能或即将发生的攻击。该系统可将发生的警报消息的数目指派给计算机网络中的可能异常并且对它们进行计数。如果特定异常的数目较大,换言之超过特定阈值,则呈现计算机网络中频繁发生的异常(其因此被分类为非关键)。相反,如果特定异常的数目较低,换言之下降到事件阈值以下,则呈现计算机网络中很少发生的异常(其因此被分类为关键)。在下降到事件阈值以下的情况下,输出模块能输出警报信号以警告计算机网络的用户可能的攻击即将发生或已经发生。
由此在对计算机网络有可能攻击的情况下,可能以灵活、快速且精确的方式来输出警报信号。作为该分析系统的模块化构建的结果,个体模块可以在不同的软件或硬件组件上灵活地实现,例如,在计算机网络内的组件上或者在计算机网络外的外部组件上。
在一实施例中,该分析系统包括配置成通过由相应的警报消息指示的异常的类型来分类该多个警报消息的分类模块。
该分类模块的优点是:它可以快速地从大量传入的警报消息中滤出发信号通知计算机网络中的关键异常的相关警报消息。
在一实施例中,该分析系统包括配置成基于下降到事件阈值以下的警报消息的数目来调节事件阈值的调节模块。
这具有的优点是:调节模块能基于关于计算机网络的发现来调节事件阈值,例如,以自适应的方式。该调节可例如根据网络的架构和个体组件来发生。警报信号的触发可由此被灵活地调节以改变环境影响,例如,计算机网络中附加的软件或硬件组件。
其他实施例参照附图来被描述。
图1是将警报消息分类100成不同类型的异常的实施例的示意图;
图2是用于检测对计算机网络的攻击的分析系统200的实施例的示意图;
图3是用于检测对计算机网络的攻击的分析系统300的另一实施例的示意图;
图4是对计算机网络410的因特网网页411的攻击的场景400的示意图,其中根据一实施例的分析系统200、300检测该攻击;
图5是对公司内部的计算机网络510中的一群经联网的计算机的病毒攻击的场景500的示意图,其中根据一实施例的分析系统200、300检测该攻击;
图6是根据一实施例的用于检测对计算机网络的攻击的方法600的示意图。
图1是将警报消息分类100成不同类型的异常的实施例的示意图。为了分类,从计算机接收携带警报的不同类型或特性的警报消息102。警报消息的总量110或全部或总数目包含基于计算机网络中的不同异常的不同类型的警报。计算机网络中的异常意味着计算机网络中的不规则性或奇特性,或者脱离标准的模式,例如,作为故障的结果。异常可由此被认为是计算机的状态不同于所期望的状态。
图1示出将警报消息分类成第一类型的异常111、第二类型的异常112、第三类型的异常113以及第四类型的异常114。然而,可发生任何其他数目的类型的异常。在图1中,第一类型的异常111的警报消息最频繁地发生,随后第二类型的异常112的警报消息,随后第三类型的异常113的警报消息,以及随后第四类型的异常114的警报消息最少发生。
从相应类型的警报消息的数目,可决定计算机系统是否处于关键状态,换言之,对计算机系统的攻击是否即将发生或已经发生。如果基于特定时间段,一种类型的异常(在此情形中为第四类型114)的警报消息的数目下降到特定阈值(也称为事件阈值)以下,则存在关键状态且警报信号108被触发。
以下描述的方法和分析系统可基于如图1描述的分类。
图2是用于检测包括多个计算机的计算机网络中的攻击的分析系统200的实施例的示意图。分析系统100包括接收模块201、比较模块203以及输出模块205。
通过使用接收模块201,从计算机接收多个警报消息102,该警报消息基于图1的解说中的计算机网络中的不同类型的异常。
通过使用比较模块203,将来自所接收到的多个警报消息的警报消息204的数目或部分与预定的事件阈值进行比较,该警报消息204的数目或部分基于计算机网络中的相同类型(例如,如图1中示出的第四类型114)的异常。
通过使用输出模块205,如果基于计算机网络中的相同类型的异常的警报消息的数目(换言之,比较模块203的结果206)下降到事件阈值以下,则输出警报信号108。
在以下更详细地描述经模块化构建的分析系统200。分析系统200可自动地将大量接收到的警报消息进行相关,并且分析它们以发现存在异常以及由此可能的对攻击的指示符。例如,可使用有意选择的日志数据或替换地先前安装的SIEM系统作为数据源。分析的目的是,通过特定的分析方法来减小可用数据量并且将其以事件的形式来准备,以使得专业人员能够基于所分析的日志数据来检测潜在攻击。以下的自动分析方法是基于搜索不熟悉和很少发生的事件的。特定时间段中的特定(或相当)事件的发生频率与其“熟悉性”是直接相关的。频繁发生的事件由此趋于被分类为熟悉并且因此不相关。相反,很少发生的事件由此趋于不熟悉并且由此潜在地更加相关。
在此基础上,攻击出现的概率值连同要被个体地设置的参数(诸如黑名单、白名单、阈值、事件相关以及个体人群的威胁潜在性的定义)一起被计算,以及在超出特定阈值的情况下与事件相关并且准备好以供进行分析。实质上,由此这是基于特定时间段的事件的频率分析。对于主动异常检测而言最终也是决定性的参数调节能由分析系统200半自动地执行。来自人工智能领域的方法可被用于这一目的,分析系统200能够向用户/分析者做出具体建议,例如,以供调节特定阈值。可以尤其是基于用户反馈和变化约束(诸如网络架构中所建立的变化或者活跃的网络订户的数目的可预测变化(例如在假期时间期间))来做出建议。由用户或分析者对所提供的建议做出的决定可进而影响未来建议。
图3是用于检测包括多个计算机的计算机网络中的攻击的分析系统300的又一实施例的示意图。分析系统300包括接收模块301、分类模块309、比较模块305以及输出模块307。
通过使用接收模块301,从计算机接收多个警报消息102,该警报消息基于根据图1中解说的计算机网络中的不同类型的异常。
可以在预定的时间区间(例如,1秒、1分钟、5分钟、30分钟、或1小时)里接收到多个警报消息。
为了生成警报消息,例如,可以使用以下系统中的一者或多者,这些系统举例而言可被安装在计算机网络中的一个或多个计算机上:病毒扫描仪、代理服务器、IDS(入侵检测系统)、防火墙、操作系统、日志管理系统、SIEM系统(安全性信息和事件管理系统)。
通过使用分类模块309,多个警报消息通过由相应的警报消息指示的异常的类型310来被分类。警报消息304被划分为不同的类别,其与计算机网络中的异常的类型310相关联并且被传递至比较模块305。
多个警报消息可由此通过由相应的警报消息指示的异常的类型来分类。由警报消息指示的异常的类型可例如基于警报消息的内容(例如,通过评估诸如警报消息中的报头或有效载荷之类的数据字段)来确定。
通过使用比较模块305,将来自所接收到的多个警报消息的警报消息的数目或部分与预定的事件阈值进行比较,该警报消息的数目或部分基于计算机网络中的相同类型(例如,如图1中示出的第四类型114)的异常。在图3中,警报消息的相应数目或部分对应于警报消息由分类模块309所分类到的类别。比较模块可以例如在预定的时间区间里执行比较以便具有参考。
该比较可以例如通过对所接收到的被分类为相同类型的警告消息进行计数(例如,通过在预定时间区间内进行计数)来执行。如果由此在预定时间区间内所计数的警报消息下降到事件阈值以下,则输出模块307可被构建成输出警报信号108,例如藉由比较的结果306。
通过使用输出模块307,如果基于计算机网络中的异常的相同类型310的警报消息的数目(换言之,指派给特定类别的警报消息的数目)下降到事件阈值以下,则输出警报信号108。
除了输出该警报信号之外,输出模块307可确定对计算机网络的攻击出现的概率值,例如,基于对下降到事件阈值以下的警报消息的数目或部分的分析。概率值可进一步基于以下预定参数中的一者或多者来确定:黑名单、白名单、阈值、事件相关、以及计算机网络的个体用户群的威胁潜在性的定义。对计算机网络的攻击出现的概率值可进一步基于到计算机网络的访问者的数目(尤其是到计算机网络的网页的访问者的数目)来确定,如以下关于图4更详细地描述的。对计算机网络的攻击出现的概率值可进一步基于计算机网络中很少执行的进程的频率来确定,如以下关于图5更详细地描述的。对计算机网络的攻击出现的概率值可进一步基于在计算机网络中预定的一群多个计算机上执行的程序的频率(尤其是基于自预定时间起,仅在该预定的一群计算机上执行的程序的频率)来确定,如以下关于图5更详细地描述的。
分析系统300可进一步包括调节模块(图3中未示出),事件阈值可藉由该调节模块基于警报消息的数目下降到事件阈值以下的警报消息部分来被调节。为此目的,例如,可做出调节事件阈值的建议,其可以是基于下降到事件阈值以下的警报消息的数目的。可进一步基于用户反馈和/或计算机网络的网络架构的变化(尤其是计算机网络中计算机的数目的变化)来做出建议。事件阈值可被自适应地调节,例如根据以下事件中的至少一者:用户反馈、计算机网络的网络架构的变化、计算机网络中的计算机的数目的变化。
图4是对计算机网络410的因特网网页411的攻击的场景400的示意图,其中分析系统200、300检测该攻击。该攻击源自到因特网网页411的一小群访问者420。分析系统200、300可对应于图2或图3中描述的系统。
分析系统200可包括接收模块201、比较模块203以及输出模块205。通过使用接收模块201,多个警报消息102由计算机来接收,该警报消息基于根据图1中解说的计算机网络中的不同类型的异常。通过使用比较模块203,将来自所接收到的多个警报消息的警报消息的数目或部分与预定的事件阈值进行比较,该警报消息的数目或部分基于计算机网络中的相同类型的异常。通过使用输出模块205,如果基于计算机网络中的相同类型的异常的警报消息的数目下降到事件阈值以下,则生成警报信号108。
在以下更详细地描述了分析系统200、300的操作模式。如果许多不同的访问者访问了因特网上的特定系统(例如,网页411),则这一过程被假定为非关键。然而,如果系统仅由一小群用户420寻址,则C2服务器可被潜在地涉及。另外,如果这些相关用户是特定的一群具有增大的威胁潜在性的人,则分析系统200、300生成可随后由专业人员分析的事件或警报信号108。
图5是对公司内部的计算机网络510中的一群经联网的计算机的病毒攻击的场景500的示意图,分析系统200、300检测该攻击。分析系统200、300可对应于图2或图3中描述的系统。
分析系统200可包括接收模块201、比较模块203以及输出模块205。通过使用接收模块201,从计算机接收多个警报消息102,该警报消息基于根据图1中解说的计算机网络中的不同类型的异常。通过使用比较模块203,将来自所接收到的多个警报消息的警报消息的数目或部分与预定的事件阈值进行比较,该警报消息的数目或部分基于计算机网络中的相同类型的异常。通过使用输出模块205,如果基于计算机网络中的相同类型的异常的警报消息的数目下降到事件阈值以下,则输出警报信号108。
在以下更详细地描述了分析系统200、300的操作模式。假定相对较大的公司中的大多数办公室PC 511、513、515被同等地配置,并且绝大部分办公室PC 511、513、515使用了相同的软件P1、P2、P3,则对大量进程列表512、514、516的比较可标识很少执行的程序P病毒。举例而言仅在一小群计算机515上执行并且仅被执行达较短时间的程序P病毒可以是对最新近安装的恶意软件P病毒的指示。分析系统200、300因此无须搜索特定进程,但是可以通过消除熟悉或频繁发生的进程P1、P2、P3来标识不熟悉的进程P病毒。在评估其他参数之后,该事件可被概括为相关事件或警报信号108,并且呈现给用户或分析者以供进一步检查。
图6是根据一实施例的用于检测对计算机网络的攻击的方法600的示意图。方法600包括从计算机接收(601)多个警报消息,该警报消息基于计算机网络中的各种类型的异常。方法600包括将来自所接收到的多个警报消息的警报消息的数目或部分与预定的事件阈值进行比较(603),该警报消息的数目或部分基于计算机网络中的相同类型的异常。方法600包括如果基于计算机网络中的相同类型的异常的警报消息的数目下降到事件阈值以下,则输出(605)警报信号。
在一实施例中,方法600可包括在预定的时间区间里接收多个警报消息。在一实施例中,方法600可包括通过由相应的警报消息指示的异常的类型来将该多个警报消息进行分类。在一实施例中,方法600可包括基于该警报消息的内容来确定由警报消息指示的异常的类型。在一实施例中,方法600可包括在预定的时间区间里对所接收到的被分类为相同类型的警报消息进行计数;以及如果在预定的时间区间里所计数的警报消息的数目下降到事件阈值以下,则输出警报信号。在一实施例中,方法600可包括基于下降到事件阈值以下的警报消息的数目来确定对计算机网络的攻击出现的概率值。
在一实施例中,方法600可包括进一步基于以下预定参数中的至少一者来确定对计算机网络的攻击出现的概率值:黑名单、白名单、阈值、事件相关、以及计算机网络的个体用户群的威胁潜在性的定义。在一实施例中,方法600可包括进一步基于到计算机网络的访问者的数目(尤其是到计算机网络的网页的访问者的数目)来确定对计算机网络的攻击出现的概率值。在一实施例中,方法600可包括进一步基于计算机网络中很少执行的进程的频率来确定对计算机网络的攻击出现的概率值。
在一实施例中,方法600可包括进一步基于在计算机网络中预定的一群多个计算机上正被执行的程序的频率(尤其是基于自预定时间起,仅在预定的一群计算机上执行的程序的频率)来确定对计算机网络的攻击出现的概率值。
在一实施例中,方法600可包括使用多个计算机中的至少一个计算机上的以下一个或多个系统来生成警报消息:病毒扫描仪、代理服务器、IDS(入侵检测系统)、防火墙、操作系统、日志管理系统、SIEM系统(安全性信息和事件管理系统)。在一实施例中,方法600可包括基于下降到事件阈值以下的警报消息的数目来调节事件阈值。在一实施例中,方法600可包括基于下降到事件阈值以下的警报消息的数目以及进一步基于用户反馈和/或计算机网络的网络架构中的变化(尤其是计算机网络中的计算机的数目的变化)来做出调节事件阈值的建议。在一实施例中,方法600可包括自适应地调节事件阈值,例如根据以下事件中的至少一者:用户反馈、计算机网络的网络架构的变化、计算机网络中的计算机的数目的变化。
本发明的一方面还包括计算机程序产品,其可被直接加载到数字计算机的内部存储器上并且其包括软件代码部分,借助该软件代码部分,关于图6描述的方法600可以在该产品在计算机上运行时被执行。该计算机程序产品可被存储在计算机兼容的介质上并且包括以下方面:计算机可读程序介质使得计算机:接收(601)来自计算机的多个警报消息,该警报消息基于计算机网络中的不同类型的异常;将来自所接收到的多个警报消息的警报消息的数目与预定的事件阈值进行比较(603),该警报消息的数目基于计算机网络中的相同类型的异常;以及如果基于计算机网络中的相同类型的异常的警报消息的数目下降到该事件阈值以下,则输出(605)警报信号。计算机可以是PC,例如计算机网络中的PC。计算机可被实现为芯片、ASIC、微处理器、或者信号处理器,并且被安排在计算机网络中,例如,如图4或5中描述的计算机网络中。
毋庸置疑,藉由示例,本文描述的各种实施例的特征可以彼此组合,除非特别另外声明。如说明书和附图中描绘的,被描绘为已连接的个体元件不需要直接互连;可以在所连接的元件之间提供中间元件。此外,毋庸置疑,本发明的诸实施例可在个体电路、部分集成电路或完全集成电路或者编程介质中实现。术语“例如”仅表示示例,且不是最佳或最优示例。特定实施例已经在本文中解说和描述,但是对本领域技术人员显而易见的是众多的替换方案和/或等效实现可以替代所示出和所描述的实施例来被实现,而不脱离本发明的思想。
附图标记列表
100:分类警报消息
102:警报消息
110:警报消息的总量
111:第一类型的异常
112:第二类型的异常
113:第三类型的异常
114:第四类型的异常
108:警报信号
200:分析系统
201:接收模块
203:比较模块
205:输出模块
204:警报消息
206:比较结果
300:分析系统
301:接收模块
307:分类模块
303:比较模块
305:输出模块
304:警报消息
310:异常的类型
306:比较结果
108:对计算机网络的攻击的警报信号或指示符
400:对计算机网络的因特网网页的攻击的场景
410:计算机网络
411:因特网网页
420:一小群用户
500:对公司内部计算机网络的一群经联网的计算机的病毒攻击的场景
510:公司内部的计算机网络
511、513、515:计算机网络中的计算机
512、514、516:计算机上的进程列表
P1、P2、P3:计算机上运行的进程
P病毒:计算机上的恶意软件
600:用于确定对计算机网络的攻击的指示符的方法
601:第一方法步骤:接收
603:第二方法步骤:比较
605:第三方法步骤:输出
Claims (11)
1.一种用于分析包括多个计算机的计算机网络中的警报消息的方法,所述方法包括:
由分析系统从所述计算机接收多个警报消息,所接收到的警报消息包括与所述计算机网络中的不同类型的异常相对应的警报消息;
由所述分析系统通过确定与所述计算机网络中的第一类型异常相对应的所接收到的警报消息的数目低于预定的事件阈值来确定所述第一类型异常是不熟悉的;以及
响应于确定所述第一类型异常是不熟悉的而执行以下操作:
由所述分析系统输出警报信号;以及
基于以下各项,由所述分析系统确定与对所述计算机网络的攻击相对应的所述第一类型异常的概率:与所述计算机网络中的所述第一类型异常相对应的所接收到的警报消息的所述数目与所述预定的事件阈值之间的差异、所述计算机网络中很少执行的进程的频率、或者自预定时间起仅在所述计算机网络中的所述多个计算机中的预定的一群计算机上执行的程序的频率;以及
响应于所确定的概率超过特定阈值而执行以下操作:
由所述分析系统将所确定的概率与事件相关联;
由所述分析系统将所述事件输出给专业人员进行分析;以及
由所述分析系统基于与所述计算机网络中的第一类异常相对应的所接收到的警告消息的所述数目低于所述预定的事件阈值的程度来调节所述预定的事件阈值。
2.如权利要求1所述的方法,其特征在于,所述多个警报消息是在预定的时间区间里接收到的。
3.如权利要求2所述的方法,其特征在于,进一步包括:
通过由所述多个警报消息中的相应警报消息指示的异常的类型来将所述多个警报消息进行分类。
4.如权利要求2所述的方法,其特征在于,进一步包括:
基于所述多个警报消息中的警报消息的内容来确定由该警报消息指示的异常的类型。
5.如权利要求3所述的方法,其特征在于,进一步包括:
通过对在所述预定的时间区间里接收到的被分类为与所述计算机网络中的所述第一类型的异常相对应的警报消息进行计数来确定与所述第一类型的异常相对应的所接收到的警报消息的所述数目。
6.如权利要求1所述的方法,其特征在于,确定所述概率进一步基于以下预定参数中的至少一者:黑名单、白名单、阈值、事件相关、以及计算机网络的个体用户群的威胁潜在性的定义。
7.如权利要求1所述的方法,其特征在于,确定所述概率进一步基于到所述计算机网络的网页的访问者数目。
8.如权利要求1所述的方法,其特征在于,所述多个警报消息中的警报消息是使用所述多个计算机中的至少一个计算机上的以下一个或多个系统来生成的:病毒扫描仪、代理服务器、入侵检测系统、防火墙、操作系统、日志管理系统、安全性信息和事件管理系统。
9.如权利要求1所述的方法,其特征在于,进一步包括根据以下各项中的至少一者来自适应地调节所述预定的事件阈值:
用户反馈、
所述计算机网络的网络架构中的变化、
所述计算机网络中的所述计算机的数目的变化。
10.一种用于分析包括多个计算机的计算机网络中的警报消息的分析系统,所述分析系统包括:
用于从所述计算机接收多个警报消息的装置,所接收到的警报消息包括与所述计算机网络中的不同类型的异常相对应的警报消息;
用于通过确定与所述计算机网络中的第一类型异常相对应的所接收到的警报消息的数目低于预定的事件阈值来确定所述第一类型异常是不熟悉的装置;以及
用于响应于确定所述第一类型异常是不熟悉的而执行以下操作的装置:
由所述分析系统输出警报信号;以及
基于以下各项,由所述分析系统确定与对所述计算机网络的攻击相对应的所述第一类型异常的概率:与所述计算机网络中的所述第一类型异常相对应的所接收到的警报消息的所述数目与所述预定的事件阈值之间的差异、所述计算机网络中很少执行的进程的频率、或者自预定时间起仅在所述计算机网络中的所述多个计算机中的预定的一群计算机上执行的程序的频率;以及
响应于所确定的概率超过特定阈值而执行以下操作:
由所述分析系统将所确定的概率与事件相关联;
由所述分析系统将所述事件输出给专业人员进行分析;以及
由所述分析系统基于与所述计算机网络中的第一类异常相对应的所接收到的警告消息的所述数目低于所述预定的事件阈值的程度来调节所述预定的事件阈值。
11.如权利要求10所述的分析系统,其特征在于,进一步包括:
用于通过由所述多个警报消息中的相应的警报消息指示的异常的类型来将所述多个警报消息进行分类的装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP14177647.6A EP2975801B1 (de) | 2014-07-18 | 2014-07-18 | Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk |
EP14177647.6 | 2014-07-18 | ||
PCT/EP2015/065547 WO2016008778A1 (de) | 2014-07-18 | 2015-07-08 | Verfahren zum erkennen eines angriffs in einem computernetzwerk |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106537872A CN106537872A (zh) | 2017-03-22 |
CN106537872B true CN106537872B (zh) | 2020-11-24 |
Family
ID=51212712
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580039167.1A Active CN106537872B (zh) | 2014-07-18 | 2015-07-08 | 用于检测计算机网络中的攻击的方法 |
Country Status (7)
Country | Link |
---|---|
US (1) | US9900327B2 (zh) |
EP (1) | EP2975801B1 (zh) |
JP (1) | JP6442051B2 (zh) |
CN (1) | CN106537872B (zh) |
CA (1) | CA2954552C (zh) |
PL (1) | PL2975801T3 (zh) |
WO (1) | WO2016008778A1 (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102018212657A1 (de) * | 2018-07-30 | 2020-01-30 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz |
EP3805928A4 (en) * | 2018-10-11 | 2022-03-16 | Nippon Telegraph And Telephone Corporation | ANALYSIS DEVICE, ANALYSIS SYSTEM, ANALYSIS METHOD AND PROGRAM |
FR3095313A1 (fr) * | 2019-04-18 | 2020-10-23 | Orange | Procédé et dispositif de traitement d’un message d’alerte notifiant une anomalie détectée dans un trafic émis via un réseau |
CN112104480B (zh) * | 2020-08-05 | 2022-10-21 | 福建天泉教育科技有限公司 | 提高告警质量的方法及其系统 |
US11799879B2 (en) | 2021-05-18 | 2023-10-24 | Bank Of America Corporation | Real-time anomaly detection for network security |
US11588835B2 (en) | 2021-05-18 | 2023-02-21 | Bank Of America Corporation | Dynamic network security monitoring system |
US11792213B2 (en) | 2021-05-18 | 2023-10-17 | Bank Of America Corporation | Temporal-based anomaly detection for network security |
CN114024831B (zh) * | 2021-11-08 | 2024-01-26 | 中国工商银行股份有限公司 | 一种异常事件预警方法、装置和系统 |
CN114567482A (zh) * | 2022-02-28 | 2022-05-31 | 天翼安全科技有限公司 | 一种告警分类方法、装置、电子设备及存储介质 |
CN115118463A (zh) * | 2022-06-10 | 2022-09-27 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
CN114978778B (zh) * | 2022-08-01 | 2022-10-28 | 北京六方云信息技术有限公司 | 基于因果推断的多步攻击检测方法、装置及设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011077013A1 (en) * | 2009-12-23 | 2011-06-30 | Teknologian Tutkimuskeskus Vtt | Intrusion detection in communication networks |
US8504504B2 (en) * | 2008-09-26 | 2013-08-06 | Oracle America, Inc. | System and method for distributed denial of service identification and prevention |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0334039A (ja) * | 1989-06-30 | 1991-02-14 | Nec Corp | ネットワーク管理における障害メッセージ管理方式 |
WO1999050750A1 (fr) * | 1998-04-01 | 1999-10-07 | Hitachi, Ltd. | Procede et dispositif de production de messages et support d'enregistrement servant a stocker un programme de production de messages |
JP2000148276A (ja) * | 1998-11-05 | 2000-05-26 | Fujitsu Ltd | セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体 |
JP2001356939A (ja) * | 2000-06-13 | 2001-12-26 | Tokyo Electric Power Co Inc:The | ログ情報解析装置、方法および記録媒体 |
US7475405B2 (en) * | 2000-09-06 | 2009-01-06 | International Business Machines Corporation | Method and system for detecting unusual events and application thereof in computer intrusion detection |
JP4619254B2 (ja) * | 2005-09-30 | 2011-01-26 | 富士通株式会社 | Idsのイベント解析及び警告システム |
CN1848765A (zh) * | 2006-03-10 | 2006-10-18 | 四川大学 | 基于免疫的网络入侵危险性评估方法 |
US8205244B2 (en) * | 2007-02-27 | 2012-06-19 | Airdefense, Inc. | Systems and methods for generating, managing, and displaying alarms for wireless network monitoring |
CN101399672B (zh) * | 2008-10-17 | 2011-03-02 | 章毅 | 一种多神经网络融合的入侵检测方法 |
JP5264470B2 (ja) * | 2008-12-26 | 2013-08-14 | 三菱電機株式会社 | 攻撃判定装置及びプログラム |
JP5066544B2 (ja) * | 2009-03-31 | 2012-11-07 | 株式会社富士通ソーシアルサイエンスラボラトリ | インシデント監視装置,方法,プログラム |
KR101061375B1 (ko) * | 2009-11-02 | 2011-09-02 | 한국인터넷진흥원 | Uri 타입 기반 디도스 공격 탐지 및 대응 장치 |
CN101741847B (zh) * | 2009-12-22 | 2012-11-07 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
WO2013016245A1 (en) * | 2011-07-22 | 2013-01-31 | Anne-Marie Turgeon | Systems and methods for network monitoring and testing using intelligent sequencing |
US9503463B2 (en) * | 2012-05-14 | 2016-11-22 | Zimperium, Inc. | Detection of threats to networks, based on geographic location |
CN103856455A (zh) * | 2012-12-04 | 2014-06-11 | 中山大学深圳研究院 | 一种保护计算机网络避免数据洪水攻击的方法及系统 |
-
2014
- 2014-07-18 EP EP14177647.6A patent/EP2975801B1/de active Active
- 2014-07-18 PL PL14177647T patent/PL2975801T3/pl unknown
-
2015
- 2015-07-08 WO PCT/EP2015/065547 patent/WO2016008778A1/de active Application Filing
- 2015-07-08 JP JP2017522730A patent/JP6442051B2/ja active Active
- 2015-07-08 CA CA2954552A patent/CA2954552C/en active Active
- 2015-07-08 CN CN201580039167.1A patent/CN106537872B/zh active Active
- 2015-07-17 US US14/801,913 patent/US9900327B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8504504B2 (en) * | 2008-09-26 | 2013-08-06 | Oracle America, Inc. | System and method for distributed denial of service identification and prevention |
WO2011077013A1 (en) * | 2009-12-23 | 2011-06-30 | Teknologian Tutkimuskeskus Vtt | Intrusion detection in communication networks |
Also Published As
Publication number | Publication date |
---|---|
PL2975801T3 (pl) | 2017-07-31 |
US9900327B2 (en) | 2018-02-20 |
WO2016008778A1 (de) | 2016-01-21 |
EP2975801B1 (de) | 2016-06-29 |
CN106537872A (zh) | 2017-03-22 |
EP2975801A1 (de) | 2016-01-20 |
JP2017528853A (ja) | 2017-09-28 |
JP6442051B2 (ja) | 2018-12-19 |
CA2954552C (en) | 2019-08-20 |
US20160021128A1 (en) | 2016-01-21 |
CA2954552A1 (en) | 2016-01-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
US10467411B1 (en) | System and method for generating a malware identifier | |
US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
JP6239215B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
US7228564B2 (en) | Method for configuring a network intrusion detection system | |
US9378361B1 (en) | Anomaly sensor framework for detecting advanced persistent threat attacks | |
EP1995929B1 (en) | Distributed system for the detection of eThreats | |
EP3068095B1 (en) | Monitoring apparatus and method | |
US20160373483A1 (en) | Honeyport active network security | |
US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
US20050097339A1 (en) | Method and system for addressing intrusion attacks on a computer system | |
US20030097557A1 (en) | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system | |
EP2366241B1 (en) | Network analysis | |
KR20060013491A (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
WO2011077013A1 (en) | Intrusion detection in communication networks | |
US20200195672A1 (en) | Analyzing user behavior patterns to detect compromised nodes in an enterprise network | |
JP2015179979A (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
GB2381722A (en) | intrusion detection (id) system which uses signature and squelch values to prevent bandwidth (flood) attacks on a server | |
CN114006722B (zh) | 发现威胁的态势感知验证方法、装置及系统 | |
CN114301700A (zh) | 调整网络安全防御方案的方法、装置、系统及存储介质 | |
CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
CN114301796A (zh) | 预测态势感知的验证方法、装置及系统 | |
CN114172881A (zh) | 基于预测的网络安全验证方法、装置及系统 | |
CN114338189B (zh) | 基于节点拓扑关系链的态势感知防御方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |