CN107294971B - 服务器攻击源的威胁度排序方法 - Google Patents

服务器攻击源的威胁度排序方法 Download PDF

Info

Publication number
CN107294971B
CN107294971B CN201710488361.9A CN201710488361A CN107294971B CN 107294971 B CN107294971 B CN 107294971B CN 201710488361 A CN201710488361 A CN 201710488361A CN 107294971 B CN107294971 B CN 107294971B
Authority
CN
China
Prior art keywords
attack
stage
server
threat
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710488361.9A
Other languages
English (en)
Other versions
CN107294971A (zh
Inventor
刘彦伯
何建锋
陈宏伟
白肖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xi'an Jiaotong University Jump Network Technology Co ltd
Original Assignee
Xi'an Jiaotong University Jump Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xi'an Jiaotong University Jump Network Technology Co ltd filed Critical Xi'an Jiaotong University Jump Network Technology Co ltd
Priority to CN201710488361.9A priority Critical patent/CN107294971B/zh
Publication of CN107294971A publication Critical patent/CN107294971A/zh
Application granted granted Critical
Publication of CN107294971B publication Critical patent/CN107294971B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例公开了一种服务器攻击源的威胁度排序方法,获取服务器的入侵检测系统中生成的日志信息,根据日志信息将每个攻击源对服务器的攻击过程划分为若干个攻击阶段,并且统计每个攻击阶段的攻击次数,根据对每个攻击阶段赋予的威胁度权值确定每个攻击源对服务器的威胁度,最后,根据对所有攻击源对服务器的威胁度进行排序。本发明使用户直观的得出对自己服务器威胁度最高的攻击源,及时做出相应的防御措施,有效提高了入侵检测系统的检测效率。

Description

服务器攻击源的威胁度排序方法
技术领域
本发明属于信息安全技术领域,具体涉及一种服务器攻击源的威胁度排序方法。
背景技术
随着互联网技术的发展和社会信息化程度的不断提高,网络逐渐成为人们生产、生活中不可或缺的一部分,网络安全受到了越来越多的关注,各种各样的安全产品被用于检测网络中的攻击威胁,维护网络的安全运行,但这些安全手段一般只能在一定范围内发挥特定的作用,互相之间缺乏有效的数据融合和协同管理机制,面对众多分散的信息,网络安全管理人员无法及时的应对这些网络攻击威胁,出于从整体上把握网络攻击威胁、维护网络安全运行目的,侧重于攻击事件分析的网络威胁态势感知技术应运而生,并成为网络安全研究中的新热点。
随着安全技术的不断发展,IDS、IPS以及各种安全防护的软硬件设备近乎实时地对网络中可能存在的安全事件产生大量的报警日志;当系统遭受攻击时,通过分析日志能够发现当前系统存在的漏洞,确定网络中的脆弱环节,分析发生的攻击事件,因此,从大量的各种类型的日志中提取网络安全威胁态势相关的安全事件显得至关重要;同时,网络中存在的多种不同类型的安全设备共同组成了网络防御体系,一次网络攻击可能会在不同的安全设备上留下痕迹,异构的安全设备从不同的方面反映同一个攻击带来的影响,并以报警日志的形式储存。
传统的入侵检测系统以日志的形式为用户展示网络中发生的攻击,这种形式粒度粗散,使用户无法聚焦到真正的有威胁的攻击源上,不能为网络管理员提供直接的决策信息。
发明内容
有鉴于此,本发明的主要目的在于提供一种服务器攻击源的威胁度排序方法。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供一种服务器攻击源的威胁度排序方法,该方法包括:获取服务器的入侵检测系统中生成的日志信息,根据日志信息将每个攻击源对服务器的攻击过程划分为若干个攻击阶段,并且统计每个攻击阶段的攻击次数,根据对每个攻击阶段赋予的威胁度权值确定每个攻击源对服务器的威胁度,最后,根据对所有攻击源对服务器的威胁度进行排序。
上述方案中,所述若干个攻击阶段为:含有定位信息的划分为目标定位阶段、含有端口扫描信息的划分为目标扫描阶段、含有漏洞信息的划分为提升权限阶段、含有病毒信息的划分为病毒投递阶段、和/或含有后门信息的划分为安装后门阶段。
上述方案中,所述根据对每个攻击阶段赋予的威胁度权值确定每个攻击源对服务器的威胁度,具体为:对每个攻击阶段赋予威胁度权值,根据威胁度计算公式v=∑pi·ci+∑ei ·bi确定每个攻击源对服务器的威胁度,其中,v表示该攻击源的威胁度,pi表示第i攻击阶段的威胁度权值,ci表示第i阶段该攻击源的攻击次数,ei表示第i阶段的攻击基数,bi表示第i阶段是否受到攻击,当第i阶段受到攻击时bi=1,当第i阶段未受到攻击时bi=0;当i=1表示目标定位阶段, i=2表示目标扫描阶段,i=3表示提升权限阶段,i=4表示病毒投递阶段,i=5表示安装后门阶段。
上述方案中,所述根据对所有攻击源对服务器的威胁度进行排序,具体为:对所有攻击源对服务器的威胁度按照从高到低或者从低到高排序。
与现有技术相比,本发明实施例提供了一种服务器攻击源的威胁度排序方法,获取服务器的入侵检测系统中生成的日志信息,根据日志信息将每个攻击源对服务器的攻击过程划分为若干个攻击阶段,并且统计每个攻击阶段的攻击次数,根据对每个攻击阶段赋予的威胁度权值确定每个攻击源对服务器的威胁度,最后,根据对所有攻击源对服务器的威胁度进行排序,这样,本发明使用户直观的得出对自己服务器威胁度最高的攻击源,及时做出相应的防御措施,有效提高了入侵检测系统的检测效率。
附图说明
图1为本发明实施例提供一种服务器攻击源的威胁度排序方法的流程图;
图2为攻击源对服务器的攻击过程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例提供一种服务器攻击源的威胁度排序方法,如图1所示,该方法通过以下步骤实现:
步骤101:获取服务器的入侵检测系统中生成的日志信息。
步骤102:根据日志信息将每个攻击源对服务器的攻击过程划分为若干个攻击阶段,并且统计每个攻击阶段的攻击次数。
具体地,如图2所示,黑客攻击步骤中的扫描、获取访问权限、保持访问权限分为五个步骤,即:
(1)目标定位:使用ping对攻击目标进行定位;
(2)目标扫描:使用一些工具对目标开放端口进行扫描;
(3)提升权限:黑客通过发现目标漏洞获取控制目标主机权限;
(4)病毒投递:黑客向攻击目标传送木马或后门的过程;
(5)安装后门:黑客已经建立后门并通过后门控制目标主机。
故而,所述若干个攻击阶段为:含有定位信息的划分为目标定位阶段、含有端口扫描信息的划分为目标扫描阶段、含有漏洞信息的划分为提升权限阶段、含有病毒信息的划分为病毒投递阶段、和/或含有后门信息的划分为安装后门阶段。
将每个攻击阶段及其对应的攻击次数存入攻击日志数据库中。
步骤103:根据对每个攻击阶段赋予的威胁度权值确定每个攻击源对服务器的威胁度。
具体地,对攻击日志数据库中每个攻击阶段赋予威胁度权值,根据威胁度计算公式v=∑pi·ci+∑ei·bi确定每个攻击源对服务器的威胁度,其中,v表示该攻击源的威胁度,pi表示第i攻击阶段的威胁度权值,ci表示第i阶段该攻击源的攻击次数,ei表示第i阶段的攻击基数,bi表示第i阶段是否受到攻击,当第i阶段受到攻击时bi=1,当第i阶段未受到攻击时bi=0;当i=1表示目标定位阶段, i=2表示目标扫描阶段,i=3表示提升权限阶段,i=4表示病毒投递阶段,i=5表示安装后门阶段。
其中p2=2p1,p3=3p1,p5=2p4=4p3;e2=2e1,e3=3e1,e5=2e4=4e3,且ei=10000pi,由于每个攻击阶段对服务器的威胁度不同,且安装后门阶段的威胁度远远大于目标定位阶段的威胁度。
pi的取值可以为:p1=1,p2=2,p3=3,p4=6,p5=12;ei的取值可以为: e1=10000,e2=20000,e3=30000,e4=60000,e5=120000,以上数据的设置是经过多次实际测试所得,实际效果证明合理性较好。
步骤104:根据对所有攻击源对服务器的威胁度进行排序。
具体地,所有攻击源对服务器的威胁度按照从高到低或者从低到高排序。
实施例1:
步骤一,获取服务器的日志信息,其中包括多个攻击源对服务器的攻击记录,攻击过程分析模块通过对日志信息进行分类,将每一个攻击源对服务器的攻击过程进行分类,其中分类规则具体为:
(1)将日志信息中含有定位信息的划分为目标定位阶段;
(2)将日志信息中含有端口扫描信息的划分为目标扫描阶段;
(3)将日志信息中含有漏洞信息的划分为提升权限阶段;
(4)将日志信息中含有病毒信息的划分为病毒投递阶段;
(5)将日志信息中含有后门信息的划分为安装后门阶段;
同时统计每个攻击源对服务器每个攻击阶段的攻击次数,将每个攻击源对服务器每个攻击阶段的攻击次数存入攻击日志数据库中;如下表1为本实施例统计的不同攻击源在一段时间内对本公司防火墙的攻击情况:
表1
Figure BDA0001331006310000051
如上表所示,为了方便对每个阶段攻击次数的统计和接下来计算每个攻击源的威胁度,对每个阶段进行了相应的标号;其中,当i=1表示目标定位阶段, i=2表示目标扫描阶段,i=3表示提升权限阶段,i=4表示病毒投递阶段,i=5表示安装后门阶段。
步骤二,对攻击日志数据库中每个攻击阶段赋予威胁度权值,根据威胁度计算公式计算出每个攻击源对服务器的威胁度;
其中,威胁度计算公式为:v=∑pi·ci+∑ei·bi,其中v表示该攻击源的威胁度,pi表示第i攻击阶段的威胁度权值,ci表示第i阶段该攻击源的攻击次数,ei表示第i阶段的攻击基数,bi表示第i阶段是否受到攻击,当第i阶段受到攻击时 bi=1,当第i阶段未受到攻击时bi=0;其中p2=2p1,p3=3p1,p5=2p4=4p3; e2=2e1,e3=3e1,e5=2e4=4e3,且ei=10000pi,由于每个攻击阶段对服务器的威胁度不同,且安装后门阶段的威胁度远远大于目标定位阶段的威胁度。
pi的取值可以为:p1=1,p2=2,p3=3,p4=6,p5=12;ei的取值可以为: e1=10000,e2=20000,e3=30000,e4=60000,e5=120000,以上数据的设置是经过多次实际测试所得,实际效果证明合理性较好。
攻击过程分析模块通过威胁度计算公式可得,攻击源36.47.25.22的威胁度为180207,攻击源42.23.15.85的威胁度为220306,攻击源16.82.17.19 的威胁度为240198,攻击源36.46.18.27的威胁度为120277,由此可知攻击源 16.82.17.19对服务器的威胁度最高。
步骤三,将每个攻击源按照威胁度从高到底进行排序。
通过威胁度显示界面对排序后的攻击源进行显示,用户对威胁度高的攻击源采取处理措施,及时做出相应的防御措施,有效提高了入侵检测系统的检测效率。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (3)

1.一种服务器攻击源的威胁度排序方法,其特征在于,该方法包括:获取服务器的入侵检测系统中生成的日志信息,根据日志信息将每个攻击源对服务器的攻击过程划分为若干个攻击阶段,并且统计每个攻击阶段的攻击次数,根据对每个攻击阶段赋予的威胁度权值确定每个攻击源对服务器的威胁度,最后,根据对所有攻击源对服务器的威胁度进行排序;
所述根据对每个攻击阶段赋予的威胁度权值确定每个攻击源对服务器的威胁度,具体为:对每个攻击阶段赋予威胁度权值,根据威胁度计算公式v=∑pi·ci+∑ei·bi确定每个攻击源对服务器的威胁度,其中,v表示该攻击源的威胁度,pi表示第i攻击阶段的威胁度权值,ci表示第i阶段该攻击源的攻击次数,ei表示第i阶段的攻击基数,bi表示第i阶段是否受到攻击,当第i阶段受到攻击时bi=1,当第i阶段未受到攻击时bi=0;当i=1表示目标定位阶段,i=2表示目标扫描阶段,i=3表示提升权限阶段,i=4表示病毒投递阶段,i=5表示安装后门阶段。
2.根据权利要求1所述的服务器攻击源的威胁度排序方法,其特征在于:所述若干个攻击阶段为:含有定位信息的划分为目标定位阶段、含有端口扫描信息的划分为目标扫描阶段、含有漏洞信息的划分为提升权限阶段、含有病毒信息的划分为病毒投递阶段、和/或含有后门信息的划分为安装后门阶段。
3.根据权利要求2所述的服务器攻击源的威胁度排序方法,其特征在于:所述根据对所有攻击源对服务器的威胁度进行排序,具体为:对所有攻击源对服务器的威胁度按照从高到低或者从低到高排序。
CN201710488361.9A 2017-06-23 2017-06-23 服务器攻击源的威胁度排序方法 Active CN107294971B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710488361.9A CN107294971B (zh) 2017-06-23 2017-06-23 服务器攻击源的威胁度排序方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710488361.9A CN107294971B (zh) 2017-06-23 2017-06-23 服务器攻击源的威胁度排序方法

Publications (2)

Publication Number Publication Date
CN107294971A CN107294971A (zh) 2017-10-24
CN107294971B true CN107294971B (zh) 2020-05-26

Family

ID=60098222

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710488361.9A Active CN107294971B (zh) 2017-06-23 2017-06-23 服务器攻击源的威胁度排序方法

Country Status (1)

Country Link
CN (1) CN107294971B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108427882B (zh) * 2018-03-13 2022-06-17 南京邮电大学 基于行为特征抽取的安卓软件动态分析检测法
CN108900508B (zh) * 2018-06-29 2021-09-14 亚信科技(成都)有限公司 高级威胁检测方法及智能探针装置和高级威胁检测系统
CN109696892A (zh) * 2018-12-21 2019-04-30 上海瀚之友信息技术服务有限公司 一种安全自动化系统及其控制方法
CN110365638B (zh) * 2019-05-28 2021-07-09 杭州电力设备制造有限公司 一种泛在物联网室内分布共享上行控制监测方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1770700A (zh) * 2004-11-01 2006-05-10 中兴通讯股份有限公司 计算机攻击的威胁评估方法
CN103748996B (zh) * 2009-08-20 2011-01-12 北京理工大学 一种攻防对抗环境下的网络安全态势评估方法
CN105915536A (zh) * 2016-05-25 2016-08-31 重庆洞见信息技术有限公司 用于网络靶场的攻击行为实时跟踪分析方法
CN106341414A (zh) * 2016-09-30 2017-01-18 重庆邮电大学 一种基于贝叶斯网络的多步攻击安全态势评估方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160014148A1 (en) * 2014-07-10 2016-01-14 Soteria Systems Llc Web anomaly detection apparatus and method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1770700A (zh) * 2004-11-01 2006-05-10 中兴通讯股份有限公司 计算机攻击的威胁评估方法
CN103748996B (zh) * 2009-08-20 2011-01-12 北京理工大学 一种攻防对抗环境下的网络安全态势评估方法
CN105915536A (zh) * 2016-05-25 2016-08-31 重庆洞见信息技术有限公司 用于网络靶场的攻击行为实时跟踪分析方法
CN106341414A (zh) * 2016-09-30 2017-01-18 重庆邮电大学 一种基于贝叶斯网络的多步攻击安全态势评估方法

Also Published As

Publication number Publication date
CN107294971A (zh) 2017-10-24

Similar Documents

Publication Publication Date Title
US11916944B2 (en) Network anomaly detection and profiling
US10530796B2 (en) Graph database analysis for network anomaly detection systems
CN107294971B (zh) 服务器攻击源的威胁度排序方法
US10686829B2 (en) Identifying changes in use of user credentials
EP3461103B1 (en) Ip reputation
US10015185B1 (en) Risk score aggregation for automated detection of access anomalies in a computer network
Krishnaveni et al. Ensemble approach for network threat detection and classification on cloud computing
Jia et al. Big-data analysis of multi-source logs for anomaly detection on network-based system
Hu et al. Anomalous user activity detection in enterprise multi-source logs
Kumar et al. A novel similarity measure for intrusion detection using gaussian function
CN110896386B (zh) 识别安全威胁的方法、装置、存储介质、处理器和终端
Rosli et al. Clustering analysis for malware behavior detection using registry data
Kotlaba et al. Active Directory Kerberoasting Attack: Detection using Machine Learning Techniques.
Atawodi A machine learning approach to network intrusion detection system using K nearest neighbor and random forest
CN110881022A (zh) 一种大型网络安全态势检测分析方法
Song et al. A comprehensive approach to detect unknown attacks via intrusion detection alerts
Gautam et al. Anomaly detection system using entropy based technique
Kang et al. ActDetector: A Sequence-based Framework for Network Attack Activity Detection
Bravo et al. Distributed Denial of Service Attack Detection in Application Layer Based on User Behavior.
CN116032501A (zh) 网络异常行为检测方法、装置、电子设备及存储介质
Ghazi et al. Machine Learning Based Obfuscated Malware Detection in the Cloud Environment with Nature-Inspired Feature Selection
Choi et al. Performance Comparison of Traffic Classification Techniques for Detecting Malicious Network Traffic
Kuo et al. Design and Implementation of a Host-Based Intrusion Detection System for Linux-Based Web Server
Anashkin et al. Implementation of Behavioral Indicators in Threat Detection and User Behavior Analysis
Wankhede et al. Intrusion Detection System Using Hybrid Classification Technique

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Threat ranking method of server attack sources

Effective date of registration: 20211126

Granted publication date: 20200526

Pledgee: Xi'an investment and financing Company limited by guarantee

Pledgor: XI'AN JIAOTONG UNIVERSITY JUMP NETWORK TECHNOLOGY Co.,Ltd.

Registration number: Y2021610000367

PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20221207

Granted publication date: 20200526

Pledgee: Xi'an investment and financing Company limited by guarantee

Pledgor: XI'AN JIAOTONG UNIVERSITY JUMP NETWORK TECHNOLOGY Co.,Ltd.

Registration number: Y2021610000367