CN107277039A - 一种网络攻击数据分析及智能处理方法 - Google Patents
一种网络攻击数据分析及智能处理方法 Download PDFInfo
- Publication number
- CN107277039A CN107277039A CN201710587720.6A CN201710587720A CN107277039A CN 107277039 A CN107277039 A CN 107277039A CN 201710587720 A CN201710587720 A CN 201710587720A CN 107277039 A CN107277039 A CN 107277039A
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- analysis
- path
- fuzzy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络攻击数据分析及智能处理方法,包括,步骤1,将多种网络安全设备连接到一台或多台SDN交换机,形成安全资源池;步骤2,安全控制器发出安全控制指令操作SDN交换机,根据不同用户安全需求将网络流量牵引到指定的网络安全设备进行处理;步骤3,安全控制器对网络安全设备进行策略集中管理和状态实时监控,当网络安全设备出现异常,安全控制器发出安全策略指令,进行均衡负载或流量迁移,确保不影响正常的网络通信;其特征在于还包括:通过Telent协议主动收集网络设备、安全设备和服务器的实时状态信息、本机闪存信息和收集日志中心信息,进行大数据实时综合分析,更新同步第三方IDS特征库,全网攻击建模,生成防御指令,组合防御。
Description
技术领域
本发明涉及网络工程技术领域,特别是一种网络攻击数据分析及智能处理方法。
背景技术
信息技术的发展既给人们带来了便利也带来了威胁,因此解决安全问题是网络与信息建设中的紧要任务。传统的网络防御措施,如反病毒软件,防火墙技术,以及入侵检测系统等,都属于被动的安全防御策略,当面临短时间内具有巨大迫害性的攻击时,将损失惨重,并且缺乏对脆弱性状态的关联性分析,多脆弱性和威胁评估方法只是孤立的研究各个攻击事件对主机或网络安全性造成的影响,忽略了攻击事件间存在的逻辑和关联关系,从而导致评估结果不够全面和准确。
由于评估方法在提前预警和实时分析上还没有达成统一,现有的安全评估主要有基于IDS、COPS等告警信息的事后型评估和基于网络脆弱性分析的事前型评估两种方法,其中事后型评估具有滞后性,无法为主动防御策略的制定提供有效依据;事前型评估具有静态性,无法实时反映网络攻击态势的演变,因此,目前还没有能够同时满足预见性和实时性要求的网络安全评估方法。
目前国内外的网络安全设备,网络管理软件,还局限于单一的功能与策略,或简单的联动,管理员也面临更大的学习和使用成本,工作效率较低。即使由安全厂商做出的同品牌多设备综合解决方案,并提供专业的技术培训,也不能很好的应对复杂的网络攻击手段或滞后时间过长造成较大危害。
发明内容
本发明的目的是提供一种设计合理,克服现有技术不足的突破厂商限制、品牌限制、协议限制,最大化兼容所有设备的一种网络攻击数据分析及智能处理方法。
为了实现上述目的,本发明所采取的技术手段是:
一种网络攻击数据分析及智能处理方法,包括以下步骤,
步骤1,将多种网络安全设备连接到一台或多台SDN交换机上,共同形成一个安全资源池;
步骤2,安全控制器发出安全控制指令操作SDN交换机,根据不同用户安全需求将网络流量牵引到指定的网络安全设备进行安全处理;
步骤3,安全控制器对网络安全设备进行策略集中管理和状态实时监控,当网络安全设备出现异常时,安全控制器发出安全策略指令,及时进行均衡负载或流量迁移,确保不影响正常的网络通信;
还包括以下步骤:
第一步,收集设备信息,通过Telent协议主动收集包括网络设备、安全设备和服务器的实时状态信息;
第二步,收集设备日志,通过Telent协议主动收集包括网络设备、安全设备和服务器的本机闪存信息;
第三步,收集日志中心信息;
第四步,大数据实时综合分析;
第五步,更新同步第三方IDS最新特征库;
第六步,全网攻击建模,利用对象Petri网对全网攻击过程进行建模的方法,给出模型的定义、生成方法以及全网攻击的路径挖掘;
第七步,生成防御指令,生成动态策略反馈指令到网络设备、安全设备和服务器的立体化共同防御;
第八步,组合防御,包括关闭交换物理端口、MAC黑洞、时间控制、区域阻断、黑白名单、进程服务清洗或蜜罐的至少一种全自动智能组合防御手段。
所述的第四步中,大数据实时综合分析包括发送异常数据的条目分析和攻击类型分析,所述的攻击类型分析包括IP地址分析、IP地址抽出、IP地址过滤和IP地址分类。
所述的第八步中,还包括退级阻断,对近源、近目标、中间链路、非智能设备的智能退级阻断,判断发送异常数据的MAC地址,在其上一级设备抛弃该MAC地址实现物理阻断。
所述的第六步中,还包括攻击路径的模糊分析与评估,在全网攻击模型的架构上融入模糊性,利用模糊性指标综合评估攻击路径的优劣。
所述的第六步中,全网攻击建模的具体方法包括
(1)利用对象Petri网对全网攻击过程建模,为相关网络节点创建对象,以多种具有代表性的脆弱性状态作为接口库所,给出远程网络攻击和本地主机攻击的层次化结构,将随机Petri网与层次对象Petri网结合,引入随机性因素攻击成本与收益,推导变迁的攻击效能分布函数,给出层次扩展SPN的定义;
(2)构建标准化的网络攻击信息库,采用粗匹配的方式,粗糙挖掘两两节点间所有可能的攻击关系,构建顶层Petri网,利用prolog推理机扩展子网,构建全网攻击模型;
(3)利用后向广度优先搜索的算法在顶层网上生成粗糙攻击路径,利用蚁群算法搜索k条平均攻击效能最大的精确路径,k取攻击效能排位的前10%;
(4)结合粗糙攻击路径和精确攻击路径评估网络节点和节点上弱点的危险性;
(5)模拟试验网络攻击情景,进行实例分析,验证模型的研究性能和评估的准确性。
攻击路径的模糊分析与评估的具体方法包括
(1)将模糊Petri网与对象Petri网结合,引入攻击效能,模糊可靠性,模糊生存性,节点模糊关键度的因素,构建模糊攻击系统;
(2)结合攻击的模糊可靠性,构造库所(命题)真实度推理规则制定;
(3)利用蚁群算法,搜索满足路径可靠度以及库所真实度要求的攻击效能最大的k条攻击路径,k取攻击效能排位的前10%;
(4)通过网络危害性、目标库所的生存性和真实性、以及路径的可靠性方差的因素综合评估攻击路径的优劣;
(5)实例分析,模拟攻击场景,给出各指标模糊取值,分析模糊系统的各状态的模糊转移以及输出情况。
所述的第六步中还包括网络威胁态势感知,网络威胁态势感知包括基本的网络威胁分析和网络威胁动态感知;其中,
基本的网络威胁分析,通过网络脆弱性间的关联关系以及依赖这些关联性的网络威胁传播方式,给出提前预测各脆弱性状态所面临威胁的方法;
网络威胁动态感知,在网络威胁传播分析以及威胁度主动预测的基础上,利用IDS的事后型安全警报对网络威胁度进行实时调整,以便实现适用于复杂网络系统的威胁动态感知方法。
所述的提前预测各脆弱性状态所面临威胁的方法包括
(1)结合面向对象技术,给出网络节点类、节点对象、属性以及方法的定义,帮助对象Petri网攻击模型的模块化设计;
(2)将时间Petri网与对象Petri网结合,在变迁延迟上引入攻击复杂度因素,在变迁输出弧上引入攻击危害度因素,给出威胁度的传播推理方法以及脆弱性关联模型的定义;
(3)采用前向广度优先搜索的算法不断匹配攻击规则库,生成新的脆弱性状态,构建脆弱性关联模型,包括合法关联模型和非法关联模型;
(4)利用Dijkstra算法,在模型上搜索初始库所到其他各脆弱性状态库所威胁度最大的攻击路径,进行无目标导向的网络威胁分析,在此基础上,计算目标导向下各网络节点的威胁度;
(5)实例分析与验证网络威胁度分析方法的正确性和实用性。
所述的适用于复杂网络系统的威胁动态感知方法包括
(1)将粗糙集理论与对象Petri网结合,在变迁域上按照属性集{攻击前提,攻击后果}划分等价类,在对象域上按照{功能,攻击关系}划分等价类,构造粗糙脆弱性关联模型,
(2)定义条件-等价攻击关系,分析攻击变迁以及对象节点的粗糙性,
(3)提出路径相似度的概念以及相似路径的判定过程,利用蚁群算法搜索k条威胁度最大的特征攻击路径,k取攻击效能排位的前10%;
(4)根据k-特征攻击路径集在论域空间上的粗糙性,提出五种安全监测范围分级,分别为0-4级,标准化定义IDS告警信息集,给出相应的动态威胁度调整方案与实现算法;
(5)实例说明网络威胁度动态感知的全过程,分析该方法的实时性和有效性。
本发明的有益效果是:适应性强,可兼容多厂商网络设备和安全设备,并将所有设备关联,综合数据分析,充分发挥各种设备的优势,实现主动防御、被动防御有机结合,实现全方位立体化防御体系。可提取各网络设备运行状态,主干路线路流量负载,CPU、内存负载,网络安全事件等。还可提取各设备接口流量传输、ARP表、MAC表、路由表等。即时收集SNMP trap及syslog,并对所有设备执行查询,反馈控制指令等操作。协助分析IP地址在线情况及使用频率甚至第三方软件协议,提供黑白名单管理,自动智能添加修改名单。核心控制策略采用先进智能算法,让产品能自动学习成长,随着在真实环境中的使用时间积累,策略将更加完善。
具体实施方式
现有的攻击流程为:
首先,通过多种途径对目标进行感染,包括a、通过移动介质摆渡感染;b、通过诱惑连接感染;c、通过钓鱼邮件进行感染;d、通过对系统漏洞进行主动渗透或溢出进行感染;e、通过web级别的跨站感染;f、通过跳板进行感染;
其次,通过多种途径扩散感染内网中的其它机器;
再次,将被感染机器提取控制权限并最终完全控制;
最后,向内网或外网定向发动集权式攻击。
而传统的防御手段为:
第一种,通过边界防火墙对访问进行控制,但是依赖于固定预制策略并只能控制边界出入,这时,精心构建的木马可轻松绕过,而另一种消耗型攻击手段可在短时间内耗尽其物理资源,使防御失效;
第二种,对入侵进行防御,但是此种防御手段依赖预制特征库,只能控制进行边界阻断,阻断有规律,无法防御脉冲式攻击,使遇到防御脉冲式攻击时防御失效;
第三种,入侵检测,只能对攻击行为进行检测,不能主动防御,设备联动也只能简单联动边界设备,而且联动依赖于同品牌或同协议的设备,联动控制手段单一无法抵御宏命令攻击或策略型组合攻击,使防御失效。
本发明具有适应性强,可兼容多厂商网络设备和安全设备,并将所有设备关联,综合数据分析,充分发挥各种设备的优势,实现主动防御、被动防御有机结合,实现全方位立体化防御体系。可提取各网络设备运行状态,主干路线路流量负载,CPU、内存负载,网络安全事件等。还可提取各设备接口流量传输、ARP表、MAC表、路由表等。即时收集SNMP trap及syslog,并对所有设备执行查询,反馈控制指令等操作。协助分析IP地址在线情况及使用频率甚至第三方软件协议,提供黑白名单管理,自动智能添加修改名单。核心控制策略采用先进智能算法,让产品能自动学习成长,随着在真实环境中的使用时间积累,策略将更加完善。
下面结合具体实施例对本发明做进一步说明。
具体实施例,一种网络攻击数据分析及智能处理方法,包括以下步骤,
步骤1,将多种网络安全设备连接到一台或多台SDN交换机上,共同形成一个安全资源池;
步骤2,安全控制器发出安全控制指令操作SDN交换机,根据不同用户安全需求将网络流量牵引到指定的网络安全设备进行安全处理;
步骤3,安全控制器对网络安全设备进行策略集中管理和状态实时监控,当网络安全设备出现异常时,安全控制器发出安全策略指令,及时进行均衡负载或流量迁移,确保不影响正常的网络通信;
还包括以下步骤:
第一步,收集设备信息,通过Telent协议主动收集包括网络设备、安全设备和服务器的实时状态信息,用Python提取mysql数据库信息。
第二步,收集设备日志,通过Telent协议主动收集包括网络设备、安全设备和服务器的本机闪存信息,用Python提取mysql数据库信息。
第三步,收集日志中心信息,用Python提取mysql数据库信息。
第四步,大数据实时综合分析,大数据实时综合分析包括发送异常数据的条目分析和攻击类型分析,所述的攻击类型分析包括IP地址分析、IP地址抽出、IP地址过滤和IP地址分类,综合分析各设备及日志信息后,抽出并重组标准字段,例如:
条目1,攻击源或目标ip188.188.1.84,攻击源或目标ip172.16.1.88,攻击类型--HTTP_SQL注入,攻击时间xxx;
条目1分析,攻击类型分析,提取HTTP_SQL注入字段并比对数据库内特征库确定攻击级别为2级;
Ip地址分析;
Ip地址抽出,利用python语言正则表达式截取;
Ip地址过滤,利用python语言结合mysql预制数据库字段综合分析,去除白名单地址保证核心业务不受损,去除黑名单保证运行效率防止重复处理;
Ip地址分类,利用python语言结合mysql预制数据库字段综合分类可知ip188.188.1.84为非黑白名单为外网地址并且可加入预处理队列1【外网处理队列组】,ip172.16.1.88为非黑白名单为内网地址并进一步分析为注册汇聚交换组可加入预处理队列2【注册汇聚交换组】。
条目2,攻击源或目标ip188.188.1.85,攻击源或目标ip172.16.2.88,攻击类型--udp洪水,攻击时间xxx;
条目2分析,攻击类型分析,提取udp洪水字段并比对数据库内特征库确定攻击级别为0级;
Ip地址分析;
Ip地址抽出,利用python语言正则表达式截取;
Ip地址过滤,利用python语言结合mysql预制数据库字段综合分析,去除白名单地址保证核心业务不受损,去除黑名单保证运行效率防止重复处理;
Ip地址分类,利用python语言结合mysql预制数据库字段综合分类可知ip188.188.1.85、ip172.16.2.88为合法地址并且可加入预处理队列5【时间控制队列组】。
条目3,攻击源或目标ip188.188.1.86,攻击源或目标ip172.16.3.88,攻击类型--udp扫描,攻击时间xxx;
条目3分析,攻击类型分析,提取udp扫描字段并比对数据库内特征库确定攻击级别为2级;
Ip地址分析;
Ip地址抽出,利用python语言正则表达式截取;
Ip地址过滤,利用python语言结合mysql预制数据库字段综合分析,去除白名单地址保证核心业务不受损,去除黑名单保证运行效率防止重复处理;
Ip地址分类,利用python语言结合mysql预制数据库字段综合分类可知ip188.188.1.86为非黑白名单为外网地址并且可加入预处理队列1【外网处理队列组】,ip172.16.3.88为非黑白名单为内网地址并进一步分析为注册服务器可加入预处理队列4【注册服务器组】。
条目4,攻击源或目标ip172.16.4.88,攻击类型--过载单位时间连接数,通过分析对比综合健康状态实时改变的动态阈值,当前连接数1463,当前阈值等级2,当前容错循环2,当前阈值1300,连续报警3,判断过载,攻击时间xxx;
条目4分析,攻击类型分析,提取过载单位时间连接数字段确定攻击级别为2级;
Ip地址分析;
Ip地址抽出,利用python语言正则表达式截取;
Ip地址过滤,利用python语言结合mysql预制数据库字段综合分析,去除白名单地址保证核心业务不受损,去除黑名单保证运行效率防止重复处理;
Ip地址分类,利用python语言结合mysql预制数据库字段综合分类可知ip172.16.4.88为非黑白名单为内网地址并进一步分析为核心交换组可加入预处理队列3【核心交换组】。
第五步,更新同步第三方IDS最新特征库。
第六步,全网攻击建模,利用对象Petri网对全网攻击过程进行建模的方法,给出模型的定义、生成方法以及全网攻击的路径挖掘,还包括攻击路径的模糊分析与评估,在全网攻击模型的架构上融入模糊性,利用模糊性指标综合评估攻击路径的优劣,
其中,全网攻击建模的具体方法包括
(1)利用对象Petri网对全网攻击过程建模,为相关网络节点创建对象,以多种具有代表性的脆弱性状态作为接口库所,给出远程网络攻击和本地主机攻击的层次化结构,将随机Petri网与层次对象Petri网结合,引入随机性因素攻击成本与收益,推导变迁的攻击效能分布函数,给出层次扩展SPN的定义;
(2)构建标准化的网络攻击信息库,采用粗匹配的方式,粗糙挖掘两两节点间所有可能的攻击关系,构建顶层Petri网,利用prolog推理机扩展子网,构建全网攻击模型;
(3)利用后向广度优先搜索的算法在顶层网上生成粗糙攻击路径,利用蚁群算法搜索k条平均攻击效能最大的精确路径,k取攻击效能排位的前10%;
(4)结合粗糙攻击路径和精确攻击路径评估网络节点和节点上弱点的危险性;
(5)模拟试验网络攻击情景,进行实例分析,验证模型的研究性能和评估的准确性。
攻击路径的模糊分析与评估的具体方法包括
(1)将模糊Petri网与对象Petri网结合,引入攻击效能,模糊可靠性,模糊生存性,节点模糊关键度的因素,构建模糊攻击系统;
(2)结合攻击的模糊可靠性,构造库所(命题)真实度推理规则制定;
(3)利用蚁群算法,搜索满足路径可靠度以及库所真实度要求的攻击效能最大的k条攻击路径,k取攻击效能排位的前10%;
(4)通过网络危害性、目标库所的生存性和真实性、以及路径的可靠性方差的因素综合评估攻击路径的优劣;
(5)实例分析,模拟攻击场景,给出各指标模糊取值,分析模糊系统的各状态的模糊转移以及输出情况。
在第六步中还包括网络威胁态势感知,网络威胁态势感知包括基本的网络威胁分析和网络威胁动态感知,
其中,基本的网络威胁分析,通过网络脆弱性间的关联关系以及依赖这些关联性的网络威胁传播方式,给出提前预测各脆弱性状态所面临威胁的方法;
网络威胁动态感知,在网络威胁传播分析以及威胁度主动预测的基础上,利用IDS的事后型安全警报对网络威胁度进行实时调整,以便实现适用于复杂网络系统的威胁动态感知方法。
提前预测各脆弱性状态所面临威胁的方法包括
(1)结合面向对象技术,给出网络节点类、节点对象、属性以及方法的定义,帮助对象Petri网攻击模型的模块化设计;
(2)将时间Petri网与对象Petri网结合,在变迁延迟上引入攻击复杂度因素,在变迁输出弧上引入攻击危害度因素,给出威胁度的传播推理方法以及脆弱性关联模型的定义;
(3)采用前向广度优先搜索的算法不断匹配攻击规则库,生成新的脆弱性状态,构建脆弱性关联模型,包括合法关联模型和非法关联模型;
(4)通过Dijkstra算法,在模型上搜索初始库所到其他各脆弱性状态库所威胁度最大的攻击路径,进行无目标导向的网络威胁分析,在此基础上,计算目标导向下各网络节点的威胁度;
(5)实例分析与验证网络威胁度分析方法的正确性和实用性。
适用于复杂网络系统的威胁动态感知方法包括
(1)将粗糙集理论与对象Petri网结合,在变迁域上按照属性集{攻击前提,攻击后果}划分等价类,在对象域上按照{功能,攻击关系}划分等价类,构造粗糙脆弱性关联模型,
(2)定义条件-等价攻击关系,分析攻击变迁以及对象节点的粗糙性,
(3)提出路径相似度的概念以及相似路径的判定过程,利用蚁群算法搜索k条威胁度最大的特征攻击路径,k取攻击效能排位的前10%;
(4)根据k-特征攻击路径集在论域空间上的粗糙性,提出五种安全监测范围分级,分别为0-4级,标准化定义IDS告警信息集,给出相应的动态威胁度调整方案与实现算法;
(5)实例说明网络威胁度动态感知的全过程,分析该方法的实时性和有效性。
第七步,生成防御指令,生成动态策略反馈指令到网络设备、安全设备和服务器的立体化共同防御。
第八步,组合防御,包括关闭交换物理端口、MAC黑洞、时间控制、区域阻断、黑白名单、进程服务清洗或蜜罐的至少一种全自动智能组合防御手段,还包括退级阻断,对近源、近目标、中间链路、非智能设备的智能退级阻断,判断发送异常数据的物理端口为汇聚端口,检测MAC地址,在其上一级设备抛弃该MAC地址实现退级物理阻断,例如:
并行处理预处理队列分组
处理队列1【外网处理队列组】(ip188.188.1.84,ip188.188.1.86)
处理队列2【注册汇聚交换组】(ip172.16.1.88)
处理队列3【核心交换组】(ip172.16.4.88)
处理队列4【注册服务器组】(ip172.16.3.88)
处理队列5【时间控制队列组】(ip188.188.1.85,ip172.16.2.88)
并行分进程同时处理以上队列
处理队列1,python抽取边界ips账号密码端口号登录设备ips,自动构建阻断策略,自动构建黑名单列表,处理循环,加入ip188.188.1.84,ip188.188.1.86。
处理队列2,python提取字段ip172.16.1.88,正则表达式截取关键字段,比对数据库组织机构库,分析出本地址为XX汇聚交换,从属vlan为xxx,从属端口为25,mac地址为XXXX-XXXX-XXXX,是否汇聚其他非智能交换口为“是”,提取该交换账号密码端口号,登录设备,如不是汇聚口则关闭该25号物理端口,因为是汇聚口,退级处理为MAC黑洞,自动构建MAC黑洞策略,抛弃该mac地址。
处理队列3,python提取字段ip172.16.4.88,循环登录主备心跳核心交换,直到分析出具体的交换端口位置为核心2第三插板第15端口,关闭该物理端口。
处理队列4,python提取字段ip172.16.3.88,比对数据库服务器组,抽取该服务器账号密码端口号进程及服务白名单,登录服务器,运行进程及服务检查命令,比对白名单,关闭差值进程al_attack.exe。
处理队列5python抽取边界ips账号密码端口号当前动态阈值,登录设备ips,自动构建时间阻断策略,自动构建黑名单列表,处理循环,加入ip188.188.1.85,ip172.16.2.88。由于当前综合健康状态值为2,动态阈值为383秒【动态区域时间范围匹配随机函数】,在383秒后,自动删除该策略。
最后,记录系统日志,写入数据库,完成防御操作。
具体实施例2,作为对本发明的改进,在第六步中还包括网络攻防策略博弈方法,网络攻防博弈包括两个部分:a.静态攻防博弈研究和b.动态攻防博弈研究,其中,
a.静态攻防博弈研究,在攻击行为发生前的攻防决策相依情况,结合静态贝叶斯博弈理论给出了适用于复杂网络系统的主动防御策略分析方法,包括
(1)设计网络攻防对峙场景下的攻防Agent结构体系,分析基于主动防御的博弈类型以及参与人、攻防成本与获益的要素;
(2)扩展对象Petri网的定义,在变迁以及变迁输出弧上引入攻防信息结构,并在节点域和变迁域上分别按照属性集{节点重要度,关联关系}和{攻击后果,利用的弱点类型}划分等价类,构建网络攻防对峙模型;
(3)在类空间上提取特征攻防策略集并分析其粗糙性;
(4)根据特征攻防策略集构建粗糙攻防博弈模型,并给出攻防效用函数的计算方法;
(5)分析静态贝叶斯攻防博弈的均衡策略并给出最大攻防策略的生成算法;
b.动态攻防博弈研究,攻防行动执行的全过程中攻防决策相依情况,结合动态贝叶斯博弈理论分析了攻防各阶段的策略对峙情形并给出了最优主动和被动防御策略的制定方法,包括
(1)定义攻防行动顺序,构建基于扩展对象Petri网的网络攻防对峙模型;
(2)在网络攻防对峙模型的基础上,不断提取博弈因素信息,按照攻防行动顺序来构建不完全信息动态攻防博弈的扩展形,生成博弈树结构并计算终端决策点的攻防效用;
(3)根据动态攻防博弈模型分析完美贝叶斯均衡策略,并给出生成算法。
Claims (9)
1.一种网络攻击数据分析及智能处理方法,包括以下步骤,
步骤1,将多种网络安全设备连接到一台或多台SDN交换机上,共同形成一个安全资源池;
步骤2,安全控制器发出安全控制指令操作SDN交换机,根据不同用户安全需求将网络流量牵引到指定的网络安全设备进行安全处理;
步骤3,安全控制器对网络安全设备进行策略集中管理和状态实时监控,当网络安全设备出现异常时,安全控制器发出安全策略指令,及时进行均衡负载或流量迁移,确保不影响正常的网络通信;
其特征在于还包括以下步骤:
第一步,收集设备信息,通过Telent协议主动收集包括网络设备、安全设备和服务器的实时状态信息;
第二步,收集设备日志,通过Telent协议主动收集包括网络设备、安全设备和服务器的本机闪存信息;
第三步,收集日志中心信息;
第四步,大数据实时综合分析;
第五步,更新同步第三方IDS最新特征库;
第六步,全网攻击建模,利用对象Petri网对全网攻击过程进行建模的方法,给出模型的定义、生成方法以及全网攻击的路径挖掘;
第七步,生成防御指令,生成动态策略反馈指令到网络设备、安全设备和服务器的立体化共同防御;
第八步,组合防御,包括关闭交换物理端口、MAC黑洞、时间控制、区域阻断、黑白名单、进程服务清洗或蜜罐的至少一种全自动智能组合防御手段。
2.根据权利要求1所述的一种网络攻击数据分析及智能处理方法,其特征在于:所述的第四步中,大数据实时综合分析包括发送异常数据的条目分析和攻击类型分析,所述的攻击类型分析包括IP地址分析、IP地址抽出、IP地址过滤和IP地址分类。
3.根据权利要求1所述的一种网络攻击数据分析及智能处理方法,其特征在于:所述的第八步中,还包括退级阻断,对近源、近目标、中间链路、非智能设备的智能退级阻断,判断发送异常数据的MAC地址,在其上一级设备抛弃该MAC地址实现物理阻断。
4.根据权利要求1所述的一种网络攻击数据分析及智能处理方法,其特征在于:所述的第六步中,还包括攻击路径的模糊分析与评估,在全网攻击模型的架构上融入模糊性,利用模糊性指标综合评估攻击路径的优劣。
5.根据权利要求1所述的一种网络攻击数据分析及智能处理方法,其特征在于:所述的第六步中,全网攻击建模的具体方法包括
(1)利用对象Petri网对全网攻击过程建模,为相关网络节点创建对象,以多种具有代表性的脆弱性状态作为接口库所,给出远程网络攻击和本地主机攻击的层次化结构,将随机Petri网与层次对象Petri网结合,引入随机性因素攻击成本与收益,推导变迁的攻击效能分布函数,给出层次扩展SPN的定义;
(2)构建标准化的网络攻击信息库,采用粗匹配的方式,粗糙挖掘两两节点间所有可能的攻击关系,构建顶层Petri网,利用prolog推理机扩展子网,构建全网攻击模型;
(3)利用后向广度优先搜索的算法在顶层网上生成粗糙攻击路径,利用蚁群算法搜索k条平均攻击效能最大的精确路径,k取攻击效能排位的前10%;
(4)结合粗糙攻击路径和精确攻击路径评估网络节点和节点上弱点的危险性;
(5)模拟试验网络攻击情景,进行实例分析,验证模型的研究性能和评估的准确性。
6.根据权利要求4所述的一种网络攻击数据分析及智能处理方法,其特征在于:攻击路径的模糊分析与评估的具体方法包括
(1)将模糊Petri网与对象Petri网结合,引入攻击效能,模糊可靠性,模糊生存性,节点模糊关键度的因素,构建模糊攻击系统;
(2)结合攻击的模糊可靠性,构造库所(命题)真实度推理规则制定;
(3)利用蚁群算法,搜索满足路径可靠度以及库所真实度要求的攻击效能最大的k条攻击路径,k取攻击效能排位的前10%;
(4)通过网络危害性、目标库所的生存性和真实性、以及路径的可靠性方差的因素综合评估攻击路径的优劣;
(5)实例分析,模拟攻击场景,给出各指标模糊取值,分析模糊系统的各状态的模糊转移以及输出情况。
7.根据权利要求1所述的一种网络攻击数据分析及智能处理方法,其特征在于:所述的第六步中还包括网络威胁态势感知,网络威胁态势感知包括基本的网络威胁分析和网络威胁动态感知;其中,
基本的网络威胁分析,通过网络脆弱性间的关联关系以及依赖这些关联性的网络威胁传播方式,给出提前预测各脆弱性状态所面临威胁的方法;
网络威胁动态感知,在网络威胁传播分析以及威胁度主动预测的基础上,利用IDS的事后型安全警报对网络威胁度进行实时调整,以便实现适用于复杂网络系统的威胁动态感知方法。
8.根据权利要求7所述的一种网络攻击数据分析及智能处理方法,其特征在于:所述的提前预测各脆弱性状态所面临威胁的方法包括
(1)结合面向对象技术,给出网络节点类、节点对象、属性以及方法的定义,帮助对象Petri网攻击模型的模块化设计;
(2)将时间Petri网与对象Petri网结合,在变迁延迟上引入攻击复杂度因素,在变迁输出弧上引入攻击危害度因素,给出威胁度的传播推理方法以及脆弱性关联模型的定义;
(3)采用前向广度优先搜索的算法不断匹配攻击规则库,生成新的脆弱性状态,构建脆弱性关联模型,包括合法关联模型和非法关联模型;
(4)通过Dijkstra算法,在模型上搜索初始库所到其他各脆弱性状态库所威胁度最大的攻击路径,进行无目标导向的网络威胁分析,在此基础上,计算目标导向下各网络节点的威胁度;
(5)实例分析与验证网络威胁度分析方法的正确性和实用性。
9.根据权利要求7所述的一种网络攻击数据分析及智能处理方法,其特征在于:所述的适用于复杂网络系统的威胁动态感知方法包括
(1)将粗糙集理论与对象Petri网结合,在变迁域上按照属性集{攻击前提,攻击后果}划分等价类,在对象域上按照{功能,攻击关系}划分等价类,构造粗糙脆弱性关联模型,
(2)定义条件-等价攻击关系,分析攻击变迁以及对象节点的粗糙性,
(3)提出路径相似度的概念以及相似路径的判定过程,利用蚁群算法搜索k条威胁度最大的特征攻击路径,k取攻击效能排位的前10%;
(4)根据k-特征攻击路径集在论域空间上的粗糙性,提出五种安全监测范围分级,分别为0-4级,标准化定义IDS告警信息集,给出相应的动态威胁度调整方案与实现算法;
(5)实例说明网络威胁度动态感知的全过程,分析该方法的实时性和有效性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710587720.6A CN107277039B (zh) | 2017-07-18 | 2017-07-18 | 一种网络攻击数据分析及智能处理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710587720.6A CN107277039B (zh) | 2017-07-18 | 2017-07-18 | 一种网络攻击数据分析及智能处理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107277039A true CN107277039A (zh) | 2017-10-20 |
| CN107277039B CN107277039B (zh) | 2020-01-14 |
Family
ID=60079317
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710587720.6A Active CN107277039B (zh) | 2017-07-18 | 2017-07-18 | 一种网络攻击数据分析及智能处理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107277039B (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108123939A (zh) * | 2017-12-14 | 2018-06-05 | 华中师范大学 | 恶意行为实时检测方法及装置 |
| CN108712427A (zh) * | 2018-05-23 | 2018-10-26 | 北京国信安服信息安全科技有限公司 | 一种动态主动防御的网络安全方法及系统 |
| CN109379216A (zh) * | 2018-09-27 | 2019-02-22 | 中国电子科技集团公司第二十八研究所 | 一种自适应切换贝叶斯网络的动态任务影响估计方法 |
| CN109412809A (zh) * | 2018-12-05 | 2019-03-01 | 南京信息职业技术学院 | 基于可认证层次化属性加密的sdn信息访问控制方法 |
| CN109450955A (zh) * | 2018-12-30 | 2019-03-08 | 北京世纪互联宽带数据中心有限公司 | 一种基于网络攻击的流量处理方法及装置 |
| CN110149343A (zh) * | 2019-05-31 | 2019-08-20 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和系统 |
| CN110535682A (zh) * | 2019-07-19 | 2019-12-03 | 浪潮思科网络科技有限公司 | 一种sdn网络中设备告警信息的分析装置及方法 |
| CN110705232A (zh) * | 2019-08-27 | 2020-01-17 | 国网山东省电力公司信息通信公司 | 电力通信网检修影响业务状态分析报告生成方法及系统 |
| CN110881051A (zh) * | 2019-12-24 | 2020-03-13 | 深信服科技股份有限公司 | 安全风险事件处理方法、装置、设备及存储介质 |
| CN111478813A (zh) * | 2020-04-07 | 2020-07-31 | 中国人民解放军国防科技大学 | 一种基于单层信息流传递的网络关键点分析方法 |
| CN111478811A (zh) * | 2020-04-07 | 2020-07-31 | 中国人民解放军国防科技大学 | 一种基于双层信息流传递的网络关键点分析方法 |
| CN112039864A (zh) * | 2020-08-25 | 2020-12-04 | 华北电力大学 | 一种电力cps跨层安全风险分析的方法 |
| CN112134870A (zh) * | 2020-09-16 | 2020-12-25 | 北京中关村银行股份有限公司 | 一种网络安全威胁阻断方法、装置、设备和存储介质 |
| CN112491818A (zh) * | 2020-11-12 | 2021-03-12 | 南京邮电大学 | 基于多智能体深度强化学习的电网输电线路防御方法 |
| CN113923035A (zh) * | 2021-10-15 | 2022-01-11 | 四川新网银行股份有限公司 | 一种基于攻击载荷和攻击行为的动态应用防护系统及方法 |
| CN114006771A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种流量检测方法及装置 |
| WO2022027572A1 (en) * | 2020-08-07 | 2022-02-10 | Nokia Shanghai Bell Co., Ltd. | Security management service in management plane |
| CN114285629A (zh) * | 2021-12-22 | 2022-04-05 | 中国人民银行清算总中心 | Sdn同区域数据流访问控制方法及sdn网络 |
| CN115189970A (zh) * | 2022-09-13 | 2022-10-14 | 珠海市鸿瑞信息技术股份有限公司 | 一种安全态势感知系统的网络安全分析系统及方法 |
| CN115225533A (zh) * | 2022-07-26 | 2022-10-21 | 深圳证券通信有限公司 | 安全分析方法及相关装置 |
| EP4254865A1 (en) * | 2022-04-01 | 2023-10-04 | Vectra AI, Inc. | Method, product, and system for network security management using software representation that embodies network configuration and policy data |
| CN117834305A (zh) * | 2024-03-05 | 2024-04-05 | 米烁网络科技(广州)有限公司 | 一种基于拟态安全技术的网络运维环境评估系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
| CN104618379A (zh) * | 2015-02-04 | 2015-05-13 | 北京天地互连信息技术有限公司 | 一种面向idc业务场景的安全服务编排方法及网络结构 |
| WO2016169472A1 (en) * | 2015-04-21 | 2016-10-27 | Hangzhou H3C Technologies Co., Ltd. | Providing security service |
-
2017
- 2017-07-18 CN CN201710587720.6A patent/CN107277039B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
| CN104618379A (zh) * | 2015-02-04 | 2015-05-13 | 北京天地互连信息技术有限公司 | 一种面向idc业务场景的安全服务编排方法及网络结构 |
| WO2016169472A1 (en) * | 2015-04-21 | 2016-10-27 | Hangzhou H3C Technologies Co., Ltd. | Providing security service |
Cited By (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108123939A (zh) * | 2017-12-14 | 2018-06-05 | 华中师范大学 | 恶意行为实时检测方法及装置 |
| CN108712427A (zh) * | 2018-05-23 | 2018-10-26 | 北京国信安服信息安全科技有限公司 | 一种动态主动防御的网络安全方法及系统 |
| CN109379216A (zh) * | 2018-09-27 | 2019-02-22 | 中国电子科技集团公司第二十八研究所 | 一种自适应切换贝叶斯网络的动态任务影响估计方法 |
| CN109379216B (zh) * | 2018-09-27 | 2022-02-11 | 中国电子科技集团公司第二十八研究所 | 一种自适应切换贝叶斯网络的动态任务影响估计方法 |
| CN109412809A (zh) * | 2018-12-05 | 2019-03-01 | 南京信息职业技术学院 | 基于可认证层次化属性加密的sdn信息访问控制方法 |
| CN109412809B (zh) * | 2018-12-05 | 2022-02-15 | 南京信息职业技术学院 | 基于可认证层次化属性加密的sdn信息访问控制方法 |
| CN109450955A (zh) * | 2018-12-30 | 2019-03-08 | 北京世纪互联宽带数据中心有限公司 | 一种基于网络攻击的流量处理方法及装置 |
| CN109450955B (zh) * | 2018-12-30 | 2022-04-05 | 北京世纪互联宽带数据中心有限公司 | 一种基于网络攻击的流量处理方法及装置 |
| CN110149343A (zh) * | 2019-05-31 | 2019-08-20 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和系统 |
| CN110149343B (zh) * | 2019-05-31 | 2021-07-16 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和系统 |
| CN110535682A (zh) * | 2019-07-19 | 2019-12-03 | 浪潮思科网络科技有限公司 | 一种sdn网络中设备告警信息的分析装置及方法 |
| CN110705232A (zh) * | 2019-08-27 | 2020-01-17 | 国网山东省电力公司信息通信公司 | 电力通信网检修影响业务状态分析报告生成方法及系统 |
| CN110705232B (zh) * | 2019-08-27 | 2023-04-07 | 国网山东省电力公司信息通信公司 | 电力通信网检修影响业务状态分析报告生成方法及系统 |
| CN110881051A (zh) * | 2019-12-24 | 2020-03-13 | 深信服科技股份有限公司 | 安全风险事件处理方法、装置、设备及存储介质 |
| CN110881051B (zh) * | 2019-12-24 | 2022-04-29 | 深信服科技股份有限公司 | 安全风险事件处理方法、装置、设备及存储介质 |
| CN111478813A (zh) * | 2020-04-07 | 2020-07-31 | 中国人民解放军国防科技大学 | 一种基于单层信息流传递的网络关键点分析方法 |
| CN111478811A (zh) * | 2020-04-07 | 2020-07-31 | 中国人民解放军国防科技大学 | 一种基于双层信息流传递的网络关键点分析方法 |
| CN111478813B (zh) * | 2020-04-07 | 2022-07-01 | 中国人民解放军国防科技大学 | 一种基于单层信息流传递的网络关键点分析方法 |
| WO2022027572A1 (en) * | 2020-08-07 | 2022-02-10 | Nokia Shanghai Bell Co., Ltd. | Security management service in management plane |
| CN116114220A (zh) * | 2020-08-07 | 2023-05-12 | 上海诺基亚贝尔股份有限公司 | 管理平面中的安全管理服务 |
| CN112039864A (zh) * | 2020-08-25 | 2020-12-04 | 华北电力大学 | 一种电力cps跨层安全风险分析的方法 |
| CN112134870B (zh) * | 2020-09-16 | 2023-05-09 | 北京中关村银行股份有限公司 | 一种网络安全威胁阻断方法、装置、设备和存储介质 |
| CN112134870A (zh) * | 2020-09-16 | 2020-12-25 | 北京中关村银行股份有限公司 | 一种网络安全威胁阻断方法、装置、设备和存储介质 |
| CN112491818A (zh) * | 2020-11-12 | 2021-03-12 | 南京邮电大学 | 基于多智能体深度强化学习的电网输电线路防御方法 |
| CN112491818B (zh) * | 2020-11-12 | 2023-02-03 | 南京邮电大学 | 基于多智能体深度强化学习的电网输电线路防御方法 |
| CN113923035B (zh) * | 2021-10-15 | 2023-11-07 | 四川新网银行股份有限公司 | 一种基于攻击载荷和攻击行为的动态应用防护系统及方法 |
| CN113923035A (zh) * | 2021-10-15 | 2022-01-11 | 四川新网银行股份有限公司 | 一种基于攻击载荷和攻击行为的动态应用防护系统及方法 |
| CN114285629A (zh) * | 2021-12-22 | 2022-04-05 | 中国人民银行清算总中心 | Sdn同区域数据流访问控制方法及sdn网络 |
| CN114006771A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种流量检测方法及装置 |
| CN114006771B (zh) * | 2021-12-30 | 2022-03-29 | 北京微步在线科技有限公司 | 一种流量检测方法及装置 |
| EP4254865A1 (en) * | 2022-04-01 | 2023-10-04 | Vectra AI, Inc. | Method, product, and system for network security management using software representation that embodies network configuration and policy data |
| CN115225533A (zh) * | 2022-07-26 | 2022-10-21 | 深圳证券通信有限公司 | 安全分析方法及相关装置 |
| CN115225533B (zh) * | 2022-07-26 | 2023-09-19 | 深圳证券通信有限公司 | 安全分析方法及相关装置 |
| CN115189970A (zh) * | 2022-09-13 | 2022-10-14 | 珠海市鸿瑞信息技术股份有限公司 | 一种安全态势感知系统的网络安全分析系统及方法 |
| CN117834305A (zh) * | 2024-03-05 | 2024-04-05 | 米烁网络科技(广州)有限公司 | 一种基于拟态安全技术的网络运维环境评估系统 |
| CN117834305B (zh) * | 2024-03-05 | 2024-05-10 | 米烁网络科技(广州)有限公司 | 一种基于拟态安全技术的网络运维环境评估系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107277039B (zh) | 2020-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107277039A (zh) | 一种网络攻击数据分析及智能处理方法 | |
| CN105871882B (zh) | 基于网络节点脆弱性和攻击信息的网络安全风险分析方法 | |
| CN103368976B (zh) | 一种基于攻击图邻接矩阵的网络安全评估装置 | |
| CN105208037B (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
| CN109558729B (zh) | 一种网络攻击的智能防御系统 | |
| CN103428224B (zh) | 一种智能防御DDoS攻击的方法和装置 | |
| CN106790186A (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| CN103368979A (zh) | 一种基于改进K-means算法的网络安全性验证装置 | |
| CN103561004A (zh) | 基于蜜网的协同式主动防御系统 | |
| CN103457909B (zh) | 一种僵尸网络检测方法及装置 | |
| Dongxia et al. | An intrusion detection system based on honeypot technology | |
| CN101494535A (zh) | 基于隐马尔可夫模型的网络入侵场景构建方法 | |
| CN107623691A (zh) | 一种基于反向传播神经网络算法的DDoS攻击检测系统及方法 | |
| Yang et al. | Detecting DNS covert channels using stacking model | |
| Wang et al. | Source-based defense against ddos attacks in sdn based on sflow and som | |
| CN100379201C (zh) | 可控计算机网络的分布式黑客追踪的方法 | |
| Song et al. | Network security situation prediction of improved lanchester equation based on time action factor | |
| Ping et al. | An incident response decision support system based on CBR and ontology | |
| Nguyen | A scheme for building a dataset for intrusion detection systems | |
| Yang et al. | Identification of DNS covert channel based on stacking method | |
| Zaghdoud et al. | Contextual fuzzy cognitive map for intrusion response system | |
| CN110611636B (zh) | 一种基于大数据算法的失陷主机检测方法 | |
| Palagiri et al. | Network-based intrusion detection using neural networks | |
| Saad et al. | Context-aware intrusion alerts verification approach | |
| Cui et al. | Multi-layer anomaly detection for internet traffic based on data mining |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |