CN108270774A - 一种基于攻击图的攻击行为检测和防护方法 - Google Patents
一种基于攻击图的攻击行为检测和防护方法 Download PDFInfo
- Publication number
- CN108270774A CN108270774A CN201711414550.8A CN201711414550A CN108270774A CN 108270774 A CN108270774 A CN 108270774A CN 201711414550 A CN201711414550 A CN 201711414550A CN 108270774 A CN108270774 A CN 108270774A
- Authority
- CN
- China
- Prior art keywords
- attack
- attacker
- network
- danger level
- graph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及网络信息安全,旨在提供一种基于攻击图的攻击行为检测和防护方法。该种基于攻击图的攻击行为检测和防护方法包括步骤:收集网络环境的拓扑图;扫描器扫描出网络环境中主机的各个漏洞,获取NVD数据库中各个漏洞的Attack Complexity属性值ei;根据拓扑图和漏洞信息生成攻击图;攻击行为检测和防护。本发明提高了检测和防护的准确度,降低了网络入侵报警系统对业务的影响。本发明使用邻接表存储攻击图,方便了后续遍历,减少了存储的空间。
Description
技术领域
本发明是关于网络信息安全领域,特别涉及一种基于攻击图的攻击行为检测和防护 方法。
背景技术
目前国内入侵检测系统(IDS)检测的手段多是对网络封包进行特征串比较,如果某 个网络包符合了某个特征串,则判定为攻击。然而,这种检测方式是建立在已发生入 侵攻击行为网络封包的特征匹配的基础之上,对已知的攻击行为有一定的检测能力, 但是误报漏报严重。
攻击图是研究人员综合攻击、漏洞、目标、主机和网络连接关系等因素,为发现网络中复杂的攻击路径或者引起系统状态变迁的渗透序列而提出的一种描述网络安全状 态的表示方法。攻击图可用来表示在攻击者试图入侵计算机网络时,能否从初始状态到 达目的状态。攻击者可以利用已经取得权限的主机作为跳板再次发起攻击,直到达到最 终的攻击目的。一个完整的攻击图可以表示所有可能达到目的的操作序列。
现有一种基于攻击图的入侵响应方式:根据入侵检测和响应的参考模型即IRAG模型,先就入侵检测和响应提出三种代价:操作代价、响应代价和损失代价,并在考虑这三种代价基础上选择应对措施;任何攻击都是具有特定的目的,利用攻击者在各安全尺度上 的偏好来定义攻击者的类型,并以此来描述攻击者的攻击目的;建立两个信息集:攻击者 的信息集和系统的信息集;攻击者的信息集包含的信息主要来自于攻击者的踩点、嗅 探、扫描以及根据系统的响应信息,而系统的信息集包含的信息则来自于系统内包括 IDS、防火墙、主机等各组件的报警、日志信息;参与方的行动空间:系统在进行响应 时,实际上会根据攻击类型的不同,确定一个响应集。但是该种基于攻击图的入侵响应方 式,可操作性不强,需要采集的信息过多。
因此,提供一种更为方便的基于攻击图的攻击行为检测方法,前景看好。
发明内容
本发明的主要目的在于克服现有技术中的不足,提供一种更为准确的基于攻击图的 攻击行为检测和防护方法。为解决上述技术问题,本发明的解决方案是:
提供一种基于攻击图的攻击行为检测和防护方法,用于防止目标网络受到来自攻击 者的攻击,所述基于攻击图的攻击行为检测和防护方法具体包括下述步骤:
(1)收集网络环境的拓扑图;网络环境是指目标网络的网络环境,包括目标网络中的防火墙、路由器和服务器(不包括连入目标网络的用户工作机);
(2)扫描器(Nessus脆弱点扫描器)扫描出网络环境中主机(主机即指网络环境 中的服务器)的各个漏洞,获取NVD数据库中各个漏洞的Attack Complexity(攻击复 杂性)属性值ei;
(3)根据拓扑图和漏洞信息生成攻击图,攻击图的点表示目标网络和攻击者的状态,其中,目标网络和攻击者的初始状态为Network,后续状态是代表从哪个主机通过 什么漏洞攻击到哪个主机;攻击图的有向边表示攻击者的行为,有向边的权值表示攻击 者行为的危险度,有向边的权值取值如下:
(4)攻击行为检测和防护:
设定每个攻击者有一个危险度指标w,攻击者初始危险度指标为0,攻击者危险度阈值为W(W≥0);网络封包进行特征串比较发现攻击行为,如果攻击者的行为是攻 击图的一条有向边,则将攻击者的危险度指标的值加上这条有向边的权值,作为更新 后的攻击者的危险度指标的值,否则攻击者的危险度指标的值不变;当攻击者的危险度 指标的值大于设定的阈值W时,则认为该攻击者有较高的专业性和危险度,阻断该ip。
与现有技术相比,本发明的有益效果是:
本发明提高了检测和防护的准确度,降低了网络入侵报警系统对业务的影响。本发 明使用邻接表存储攻击图,方便了后续遍历,减少了存储的空间。
附图说明
图1为本发明的流程图。
图2为实施例示意图。
图3为实施例示意图。
图4为实施例示意图。
图5为实施例示意图。
具体实施方式
首先需要说明的是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、 准确理解本发明的实现原理和发明目的之后,在结合现有公知技术的情况下,本领域 技术人员完全可以运用其掌握的软件编程技能实现本发明。
攻击图:是研究人员综合攻击、漏洞、目标、主机和网络连接关系等因素,为发现网络中复杂的攻击路径或者引起系统状态变迁的渗透序列而提出的一种描述网络安全 状态的表示方法。
下面结合附图与具体实施方式对本发明作进一步详细描述:
如图1所示的一种基于攻击图的攻击行为检测和防护方法,根据网络环境的拓扑和 弱点构造攻击图,利用攻击图做到了主动防御。具体包括下述步骤:
(1)收集网络环境的拓扑图。
如图2所示的网络环境的拓扑图:Z1是对外交流区域,有一台Apache服务器,其 中Apache服务器上运行Apache对外提供Web服务,Smtpd提供邮件服务,Sshd提供远 程管理控制服务,Ftpd提供文件传输服务;Z2是内部服务区,有一台SQL服务器,为 Apache服务器上的Apache提供数据库SQL Server服务以及为用户工作机提供RPC、 Sshd和Ftpd服务。Apache服务器可访问任意主机,也可被任意主机访问;同一区域的 所有主机之间可以互相访问。
(2)使用Nessus脆弱点扫描器对各网段内进行扫描,得到各主机上的脆弱点和危险度信息,具体如图3所示。
(3)根据拓扑图和漏洞信息生成攻击图,如图4。图示的初始状态为Network,后 面的状态代表从哪个主机通过什么漏洞攻击到哪个主机,比如Apache-SQL-C3表示在 Apache服务器通过CVE-2002-1123漏洞攻击到SQL服务器。设攻击者危险度阈值为5, 攻击者初始危险度指标为0。
(4)攻击行为检测和防护:
如图5所示,网络封包进行特征串比较发现攻击行为,当攻击者从Network状态走到Network-Apache-C1时,遍历邻接表发现存在该边,攻击者危险度指标加4;攻击者 从Network-Apache-C1到Apache-SQL-C4状态时,遍历邻接表发现存在该边,攻击者危 险度指标加2,系统判定危险度指标超过阈值,阻断该ip。
最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限 于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中 直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (1)
1.一种基于攻击图的攻击行为检测和防护方法,用于防止目标网络受到来自攻击者的攻击,其特征在于,所述基于攻击图的攻击行为检测和防护方法具体包括下述步骤:
(1)收集网络环境的拓扑图;网络环境是指目标网络的网络环境,包括目标网络中的防火墙、路由器和服务器;
(2)扫描器扫描出网络环境中主机的各个漏洞,获取NVD数据库中各个漏洞的AttackComplexity属性值ei;
(3)根据拓扑图和漏洞信息生成攻击图,攻击图的点表示目标网络和攻击者的状态,其中,目标网络和攻击者的初始状态为Network,后续状态是代表从哪个主机通过什么漏洞攻击到哪个主机;攻击图的有向边表示攻击者的行为,有向边的权值表示攻击者行为的危险度,有向边的权值取值如下:
(4)攻击行为检测和防护:
设定每个攻击者有一个危险度指标w,攻击者初始危险度指标为0,攻击者危险度阈值为W;网络封包进行特征串比较发现攻击行为,如果攻击者的行为是攻击图的一条有向边,则将攻击者的危险度指标的值加上这条有向边的权值,作为更新后的攻击者的危险度指标的值,否则攻击者的危险度指标的值不变;当攻击者的危险度指标的值大于设定的阈值W时,则认为该攻击者有较高的专业性和危险度,阻断该ip。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711414550.8A CN108270774A (zh) | 2017-12-22 | 2017-12-22 | 一种基于攻击图的攻击行为检测和防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711414550.8A CN108270774A (zh) | 2017-12-22 | 2017-12-22 | 一种基于攻击图的攻击行为检测和防护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108270774A true CN108270774A (zh) | 2018-07-10 |
Family
ID=62772356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711414550.8A Pending CN108270774A (zh) | 2017-12-22 | 2017-12-22 | 一种基于攻击图的攻击行为检测和防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108270774A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109818984A (zh) * | 2019-04-10 | 2019-05-28 | 吉林亿联银行股份有限公司 | 漏洞的防御方法及装置 |
| CN111786947A (zh) * | 2020-05-18 | 2020-10-16 | 北京邮电大学 | 攻击图的生成方法、装置、电子设备及存储介质 |
| CN115174141A (zh) * | 2022-05-27 | 2022-10-11 | 贵州华谊联盛科技有限公司 | 一种基于图与链路流量分析的入侵检测与链路动态可视化方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103368976A (zh) * | 2013-07-31 | 2013-10-23 | 电子科技大学 | 一种基于攻击图邻接矩阵的网络安全评估装置 |
| US8973138B2 (en) * | 2012-05-02 | 2015-03-03 | The Johns Hopkins University | Secure layered iterative gateway |
| CN106709613A (zh) * | 2015-07-16 | 2017-05-24 | 中国科学院信息工程研究所 | 一种适用于工业控制系统的风险评估方法 |
| CN107347069A (zh) * | 2017-07-10 | 2017-11-14 | 北京理工大学 | 一种基于Kohonen神经网络的最佳攻击路径规划方法 |
-
2017
- 2017-12-22 CN CN201711414550.8A patent/CN108270774A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8973138B2 (en) * | 2012-05-02 | 2015-03-03 | The Johns Hopkins University | Secure layered iterative gateway |
| CN103368976A (zh) * | 2013-07-31 | 2013-10-23 | 电子科技大学 | 一种基于攻击图邻接矩阵的网络安全评估装置 |
| CN106709613A (zh) * | 2015-07-16 | 2017-05-24 | 中国科学院信息工程研究所 | 一种适用于工业控制系统的风险评估方法 |
| CN107347069A (zh) * | 2017-07-10 | 2017-11-14 | 北京理工大学 | 一种基于Kohonen神经网络的最佳攻击路径规划方法 |
Non-Patent Citations (1)
| Title |
|---|
| 吴金宇: "《网络安全风险评估关键技术研究》", 《中国优秀硕士学位论文全文库 信息科技辑》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109818984A (zh) * | 2019-04-10 | 2019-05-28 | 吉林亿联银行股份有限公司 | 漏洞的防御方法及装置 |
| CN111786947A (zh) * | 2020-05-18 | 2020-10-16 | 北京邮电大学 | 攻击图的生成方法、装置、电子设备及存储介质 |
| CN115174141A (zh) * | 2022-05-27 | 2022-10-11 | 贵州华谊联盛科技有限公司 | 一种基于图与链路流量分析的入侵检测与链路动态可视化方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6894003B2 (ja) | Apt攻撃に対する防御 | |
| US10291645B1 (en) | Determining maliciousness in computer networks | |
| CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| US11882137B2 (en) | Network security blacklist derived from honeypot statistics | |
| CN105493060B (zh) | 蜜端主动网络安全 | |
| Giura et al. | A context-based detection framework for advanced persistent threats | |
| US20170257339A1 (en) | Logical / physical address state lifecycle management | |
| US7464407B2 (en) | Attack defending system and attack defending method | |
| US11258812B2 (en) | Automatic characterization of malicious data flows | |
| US7917957B2 (en) | Method and system for counting new destination addresses | |
| CN113326514B (zh) | 网络资产的风险评估方法、装置、交换机、设备及服务器 | |
| CN108270774A (zh) | 一种基于攻击图的攻击行为检测和防护方法 | |
| Fraunholz et al. | YAAS-On the Attribution of Honeypot Data. | |
| Lin et al. | Using signaling games to model the multi-step attack-defense scenarios on confidentiality | |
| Ajayi et al. | Blockchain-based architecture for secured cyber-attack features exchange | |
| CN113904804B (zh) | 基于行为策略的内网安全防护方法、系统及介质 | |
| KR101124615B1 (ko) | 집단행동 악성코드 검색 방법 및 장치 | |
| Oo et al. | Enhancement of preventing application layer based on DDoS attacks by using hidden semi-Markov model | |
| TWI677803B (zh) | 可疑網域之偵測方法、閘道裝置及非暫態電腦可讀取媒體 | |
| WO2008142666A2 (en) | Worm detection by trending fan out | |
| Yong et al. | Understanding botnet: From mathematical modelling to integrated detection and mitigation framework | |
| CN114372269A (zh) | 一种基于系统网络拓扑结构的风险评估方法 | |
| KR20100084488A (ko) | 집단행동 악성코드 검색 방법 및 장치 | |
| Putri et al. | Implementation Of Next-Generation Firewalls To Protect Applications From Malware Attacks | |
| Vishnevsky et al. | A survey of game-theoretic approaches to modeling honeypots |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180710 |