CN113596043A - 攻击检测方法、攻击检测装置、存储介质与电子设备 - Google Patents

攻击检测方法、攻击检测装置、存储介质与电子设备 Download PDF

Info

Publication number
CN113596043A
CN113596043A CN202110885933.3A CN202110885933A CN113596043A CN 113596043 A CN113596043 A CN 113596043A CN 202110885933 A CN202110885933 A CN 202110885933A CN 113596043 A CN113596043 A CN 113596043A
Authority
CN
China
Prior art keywords
event
nfa
information
detected
attack detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110885933.3A
Other languages
English (en)
Other versions
CN113596043B (zh
Inventor
徐尼锋
王井龙
金潇
任红伟
常琳
任竹艳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202110885933.3A priority Critical patent/CN113596043B/zh
Publication of CN113596043A publication Critical patent/CN113596043A/zh
Application granted granted Critical
Publication of CN113596043B publication Critical patent/CN113596043B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Artificial Intelligence (AREA)
  • Medical Informatics (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本公开提供了一种攻击检测方法、攻击检测装置、存储介质与电子设备,涉及信息安全技术领域。该攻击检测方法包括:获取对事件子模式进行编译所生成的NFA对象;对所述NFA对象进行语义解析,得到用于攻击检测的规则表达式;当所述事件子模式发生更新时,获取所述NFA对象的增量数据,并根据所述增量数据更新所述规则表达式;利用所述规则表达式检测异常行为。本公开能够实现规则的动态更新,并降低人力维护成本。

Description

攻击检测方法、攻击检测装置、存储介质与电子设备
技术领域
本公开涉及信息安全技术领域,尤其涉及一种攻击检测方法、攻击检测装置、计算机可读存储介质与电子设备。
背景技术
随着网络攻击事件的增多,安全需求迅速提升。相关技术中,用于攻击检测的规则配置较为固定,无法实现动态更新,极大地限制了其在实际业务中的应用。
发明内容
本公开提供了一种攻击检测方法、攻击检测装置、计算机可读存储介质与电子设备,进而至少在一定程度上解决相关技术无法动态更新规则的问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的第一方面,提供一种攻击检测方法,包括:获取对事件子模式进行编译所生成的NFA对象;对所述NFA对象进行语义解析,得到用于攻击检测的规则表达式;当所述事件子模式发生更新时,获取所述NFA对象的增量数据,并根据所述增量数据更新所述规则表达式;利用所述规则表达式检测异常行为。
可选的,所述获取对事件子模式进行编译所生成的非确定有限自动机NFA对象,包括:获取事件子模式,每个事件子模式对应于单一攻击逻辑;按照链表结构将所述事件子模式组合为复杂事件模式;利用编译器将所述复杂事件模式编译为NFA对象。
可选的,所述获取事件子模式,包括:获取用户配置的事件子模式;或者获取根据异常行为样本所建立的事件子模式。
可选的,所述方法还包括:通过机器学习获取异常行为的特征,以根据所述异常行为的特征更新所述事件子模式。
可选的,所述利用所述规则表达式检测异常行为,包括:获取具有关联的多个待检测信息;利用所述规则表达式对所述多个待检测信息进行匹配,以确定所述多个待检测信息是否包含异常行为。
可选的,所述获取具有关联的多个待检测信息,包括:获取待检测的访问信息以及所述访问信息的响应信息。
可选的,所述获取具有关联的多个待检测信息,包括:根据历史状态机,将多个待检测信息排列为待检测信息序列。
根据本公开的第二方面,提供一种攻击检测装置,包括:NFA对象获取单元,被配置为获取对事件子模式进行编译所生成的NFA对象;语义解析单元,被配置为对所述NFA对象进行语义解析,得到用于攻击检测的规则表达式;规则更新单元,被配置为当所述事件子模式发生更新时,获取所述NFA对象的增量数据,并根据所述增量数据更新所述规则表达式;异常行为检测单元,被配置为利用所述规则表达式检测异常行为。
根据本公开的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面的攻击检测方法及其可能的实现方式。
根据本公开的第四方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述第一方面的攻击检测方法及其可能的实现方式。
本公开的技术方案具有以下有益效果:
将事件子模式编译为NFA对象,并进行语义识别以得到用于攻击检测的规则表达式。一方面,能够动态感知、实时同步配置端对于事件子模式的更新,实现了灵活的语义配置与识别,以及规则的动态更新,在安全分析场景中保证了攻击检测的灵活性与实时性。另一方面,能够实现自动化的规则更新,降低人力维护成本。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施方式,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本示例性实施方式中一种系统架构的示意图;
图2示出本示例性实施方式中一种攻击检测方法的流程图;
图3示出本示例性实施方式中一种获取NFA对象的流程图;
图4示出本示例性实施方式中一种Pattern处理引擎的示意图;
图5示出本示例性实施方式中一种检测异常行为的流程图;
图6示出本示例性实施方式中一种攻击检测方法的示意图;
图7示出本示例性实施方式中一种业务流程的示意图;
图8示出本示例性实施方式中一种攻击检测装置的结构示意图;
图9示出本示例性实施方式中一种电子设备的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的步骤。例如,有的步骤还可以分解,而有的步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
网络攻击事件的种类日益繁复,不断出现新的攻击模式与行为模式,因此需要针对性地更新原有的攻击检测规则。相关技术中,由人为编写新的规则,并对原有的规则库进行更新,在此过程中需要停止相关的攻击检测任务,清空缓存中的数据,等到更新完成后重新启动任务。该方案对于业务正常运行的影响较大。
鉴于上述问题,本公开的示例性实施方式提供一种攻击检测方法。图1示出了该攻击检测方法运行环境的系统架构100,可以包括规则配置系统110与攻击检测系统120。其中,规则配置系统110可以从数据域采集相关信息,以配置攻击检测的规则;数据域用于存储一定业务范围内的日志、流量等信息,可以配置分布式数据库、分布式消息系统等。规则配置系统110可以配置Pattern处理引擎与NFA对象分析两部分模块。攻击检测系统120用于根据规则检测异常行为,包括规则匹配、关联分析、机器学习三部分模块,并在检测到异常行为时通过业务域进行告警。业务域可以进行告警分析、告警研判、告警处理、告警调度等相关业务。
本示例性实施方式中的攻击检测方法可以由上述规则配置系统110或攻击检测系统120执行。图2示出了该攻击检测方法的示例性流程,可以包括:
步骤S210,获取对事件子模式进行编译所生成的NFA对象;
步骤S220,对上述NFA对象进行语义解析,得到用于攻击检测的规则表达式;
步骤S230,当事件子模式发生更新时,获取NFA对象的增量数据,并根据增量数据更新规则表达式;
步骤S240,利用规则表达式检测异常行为。
通过上述方法,将事件子模式编译为NFA对象,并进行语义识别以得到用于攻击检测的规则表达式,能够动态感知、实时同步配置端对于事件子模式的更新,实现了灵活的语义配置与识别,以及规则表达式的动态更新,在安全分析场景中保证了攻击检测的灵活性与实时性。
下面分别对图2中的每个步骤做具体说明。
参考图2,在步骤S210中,获取对事件子模式进行编译所生成的NFA对象。
事件子模式是描述攻击逻辑的语句。本示例性实施方式中,事件子模式可以采用便于用户使用的语言,如可以采用高级语言,甚至采用自然语言。示例性的,用户可以通过自然语言编写事件子模式,并通过后续的处理形成计算机可识别的规则。
NFA(Nondeterministic Finite Automaton,非确定有限自动机)是一种有限状态自动机,对于其中每个状态和输入符号,可以有多个可能的下一状态,因此称为“非确定”。NFA对象即NFA的具体表示,是对复杂事件逻辑的表示。
在一种实施方式中,参考图3所示,上述获取对事件子模式进行编译所生成的NFA对象,可以包括以下步骤S310至S330:
步骤S310,获取事件子模式,每个事件子模式对应于单一攻击逻辑;
步骤S320,按照链表结构将事件多个子模式组合为复杂事件模式;
步骤S330,利用编译器将复杂事件模式编译为NFA对象。
其中,事件子模式可以由用户配置,例如在流式系统Flink中,用户可以通过规则引擎创建自定义的pattern,即事件子模式。或者,可以根据异常行为样本建立事件子模式,例如对异常行为样本建立对象的行为基线,并基于该基线确定偏离正常的行为模式,进而配置相应的事件子模式。
每个事件子模式对应于单一攻击逻辑,而一般的攻击事件包括由多种攻击逻辑形成的复合逻辑。为了对复合逻辑进行表示,通过链表结构将多个事件子模式进行组合。链表结构是一种动态数据结构,以每个事件子模式为一个节点,将不同节点按照一定的顺序进行连接,形成链表结构。由此将存在逻辑关系的事件子模式组合在一起,并维护其之间的数据结构,构成攻击事件复合逻辑的整体表达,称为复杂事件模式。
复杂事件模式是一种数据结构,为了便于计算机识别其中的逻辑,可以利用编译器对复杂事件模式进行模式解析。具体地,编译器可以对复杂事件模式进行拆分以构建状态,并根据复杂事件模式中的数据结构,构建状态转换信息,从而得到NFA对象,其不仅包含模式匹配中各事件子模式的逻辑,也包含事件子模式之间的数据结构关系。
在一种实施方式中,可以采用Flink CEP(Complex Event Processing,复杂事件处理)库来配置与管理NFA对象,并在其中增加pattern处理引擎,以负责从pattern(事件子模式)到NFA对象的处理。图4示出了pattern处理引擎的示意图,将pattern通过链表结构进行组合,形成pattern逻辑表达式,即复杂事件模式,再经过NFA编译器的处理,输出NFA对象。
步骤S220,对上述NFA对象进行语义解析,得到用于攻击检测的规则表达式。
本示例性实施方式中,可以建立语义识别模块,将NFA对象输入到该模块中,可以将NFA对象中的信息进行提取与语义解析,以匹配攻击检测系统的规则数据格式,从而形成对应的规则表达式。
语义识别模块可以部署在规则配置系统与攻击检测系统之间。
步骤S230,当事件子模式发生更新时,获取NFA对象的增量数据,并根据增量数据更新规则表达式。
其中,事件子模式发生更新,主要包括两种情况:第一种情况是事件子模式本身发生更新,如用户修改事件子模式的语句,增加新的事件子模式,删除原有的事件子模式等;第二种情况是事件子模式之间的关系发生更新,将导致链表结构的变化,如某一复合逻辑中的各单一攻击逻辑的组合发生变化,导致形成对应的复杂事件模式的事件子模式的数量、种类、顺序等的变化。可见,上述两种更新情况都将导致NFA对象的变化。
本示例性实施方式中,可以获取NFA对象的增量数据,进而对规则表达式也采用增量更新的方式,即对所获取的NFA对象的增量数据进行语义解析,得到增量部分的规则表达式,将其与原有的规则表达式进行合并,得到新的规则表达式。
示例性的,采用MySQL数据库来实现Flink CEP库,并部署Canal(负责增量数据订阅和消费)组件。当事件子模式更新导致NFA对象更新时,通过Canal获取增量数据,并同步至攻击检测系统。
通过上述方式,一方面,能够动态感知、实时同步配置端对于事件子模式的更新,实现了灵活的语义配置与识别,以及规则表达式的动态更新,在安全分析场景中保证了攻击检测的灵活性与实时性。另一方面,能够实现自动化的规则更新,降低人力维护成本。
步骤S240,利用规则表达式检测异常行为。
其中,进行检测的对象可以是一定业务范围、一定时间范围内的特定信息,例如某一业务内的全量日志。本示例性实施方式可以采用规则表达式匹配的方式检测其中的异常行为,即对某一行为与规则表达式匹配成功,则确定该行为是异常行为。
在一种实施方式中,攻击检测系统可以是分布式集群,采用分布式计算引擎进行规则匹配与攻击检测。由于在上述事件子模式与复杂事件模式的配置中可以自定义状态,因此通过规则表达式可以实现状态自定义监控,保持系统的高可用性。
在一种实施方式中,参考图5所示,上述利用规则表达式检测异常行为,可以包括以下步骤S510与S520:
步骤S510,获取具有关联的多个待检测信息;
步骤S520,利用规则表达式对多个待检测信息进行匹配,以确定多个待检测信息是否包含异常行为。
其中,待检测信息可以是任意的网络交互行为信息,具有关联的多个待检测信息可以是业务或时间上相关的多个行为信息,利用规则表达式对该多个待检测信息进行关联分析与匹配,可以检测其中较为复杂的攻击逻辑,以确定是否包含异常行为。
在一种实施方式中,上述获取具有关联的多个待检测信息,可以包括:
获取待检测的访问信息以及访问信息的响应信息。
其中,访问信息是指向网络端发送的请求包信息,响应信息可以是该请求包信息的返回包信息。将访问信息与响应信息进行组合与分析,可以对请求内容与返回内容进行上下文关联,实现对用户访问行为逐项进行攻击检测,有利于进一步提高检测结果的准确性,并能够识别深层次威胁行为以及未知类型攻击。
在一种实施方式中,上述获取具有关联的多个待检测信息,可以包括:
根据历史状态机,将多个待检测信息排列为待检测信息序列。
其中,历史状态机可以存放历史匹配的事件,可以包括:单一攻击逻辑的事件子模式与复合攻击逻辑的复杂事件模式。当多个待检测信息出现乱序时,可以将乱序的多个待检测事件与历史状态机中的事件进行序列匹配,以确定该多个待检测事件的顺序,并将其排列为待检测信息序列。进而,可以对该待检测信息序列与规则表达式进行匹配,以实现多事件的关联分析,减少对多个待检测事件进行遍历匹配的时间复杂度,提高攻击检测的性能。
在一种实施方式中,攻击检测方法还可以包括以下步骤:
通过机器学习获取异常行为的特征,以根据异常行为的特征更新事件子模式。
其中,采用机器学习技术可以提取异常行为的特征。示例性的,可以设置流式机器学习模块,将实时产生的业务行为信息输入该模块,输出相应的事件模式信息,进而可以根据该事件模式信息更新事件子模式,例如可以增加新的事件子模式,从而实现对未知的攻击模式的发现,并保证规则库的高效更新。流失机器学习能够发现准确率比较高的单一场景检测,提高前置攻击时间的准确率,并能够发现复杂事件的特征,以根据特征进行复杂事件的检测,缩短响应时间。
此外,通过机器学习可以满足特定安全检测场景下的需求,如行为特征异常检测、时间序列异常检测、IP地址群组聚类分析等,进而可以提供可理解的产品业务,如基线行为、用户及实体行为分析等。
在一种实施方式中,可以对待检测信息进行无监督学习,以发现待检测信息中的共性特征,进而找到其对应的攻击逻辑,以确定相应的事件子模式或复杂事件模式。
图6示出了攻击检测方法的示意性流程。由用户配置端配置事件子模式,进入动态CEP更新系统后,由Pattern处理引擎进行将其组合为复杂事件模式,并编译为NFA对象;NFA对象进入语义识别模块,经过语义解析处理,向复杂CEP检测系统输出规则表达式;复杂CEP检测系统进行规则匹配,并基于事件匹配、关联分析、机器学习等手段进行安全场景分析,最终输出告警信息;告警信息与CEP库中的相关模式信息可以在数据库中留存,以便于后续使用。
图7示出了包括攻击检测的业务处理流程。动态CEP更新系统可以通过采集程序,从海量的日志与流量中采集待检测信息,并执行规则的感知与动态更新、状态维护、以及基线的构造,将最终构造的规则表达式同步至复杂CEP检测系统。复杂CEP检测系统执行事件分类、规则匹配、告警分析与攻击关联分析,以发现异常行为,可以实现分钟级的风险获悉,并进行后续的告警,如告警信息可以包括:主机暴力破解后访问敏感文件;SQL注入后拖库;端口扫描后远程控制等。进而,通过对告警信息进行分析,可以进行攻击链路检测,从而进行主动防御。
本公开的示例性实施方式还提供一种攻击检测装置。参考图8所示,该攻击检测装置800可以包括:
NFA对象获取单元810,被配置为获取对事件子模式进行编译所生成的NFA对象;
语义解析单元820,被配置为对NFA对象进行语义解析,得到用于攻击检测的规则表达式;
规则更新单元830,被配置为当事件子模式发生更新时,获取NFA对象的增量数据,并根据增量数据更新规则表达式;
异常行为检测单元840,被配置为利用规则表达式检测异常行为。
在一种实施方式中,NFA对象获取单元810,被配置为:
获取事件子模式,每个事件子模式对应于单一攻击逻辑;
按照链表结构将事件子模式组合为复杂事件模式;
利用编译器将复杂事件模式编译为NFA对象。
在一种实施方式中,上述获取事件子模式,可以包括:
获取用户配置的事件子模式,或者获取根据异常行为样本所建立的事件子模式。
在一种实施方式中,规则更新单元830,还被配置为:
通过机器学习获取异常行为的特征,以根据异常行为的特征更新事件子模式。
在一种实施方式中,异常行为检测单元840,被配置为:
获取具有关联的多个待检测信息;
利用规则表达式对多个待检测信息进行匹配,以确定多个待检测信息是否包含异常行为。
在一种实施方式中,上述获取具有关联的多个待检测信息,可以包括:
获取待检测的访问信息以及访问信息的响应信息。
在一种实施方式中,上述获取具有关联的多个待检测信息,可以包括:
根据历史状态机,将多个待检测信息排列为待检测信息序列。
上述装置中各部分的细节在方法部分实施方式中已经详细说明,因而不再赘述。
本公开的示例性实施方式还提供了一种计算机可读存储介质,可以实现为一种程序产品的形式,其包括程序代码,当程序产品在电子设备上运行时,程序代码用于使电子设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。在一种实施方式中,该程序产品可以实现为便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在电子设备,例如个人电脑上运行。然而,本公开的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
本公开的示例性实施方式还提供一种电子设备,下面参考图9对该电子设备进行说明。应当理解,图9显示的电子设备900仅仅是一个示例,不应对本公开实施方式的功能和使用范围带来任何限制。
如图9所示,电子设备900以通用计算设备的形式表现。电子设备900的组件可以包括但不限于:至少一个处理单元910、至少一个存储单元920、连接不同系统组件(包括处理单元910和存储单元920)的总线930。
其中,存储单元存储有程序代码,程序代码可以被处理单元910执行,使得处理单元910执行本示例性实施方式中的传播路径确定方法,如执行图1的方法步骤。
存储单元920可以包括易失性存储单元,例如随机存取存储单元(RAM)921和/或高速缓存存储单元922,还可以进一步包括只读存储单元(ROM)923。
存储单元920还可以包括具有一组(至少一个)程序模块925的程序/实用工具924,这样的程序模块925包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线930可以包括数据总线、地址总线和控制总线。
电子设备900也可以与一个或多个外部设备1000(例如键盘、指向设备、蓝牙设备等)通信,这种通信可以通过输入/输出(I/O)接口940进行。电子设备900还可以通过网络适配器950与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图9所示,网络适配器950通过总线930与电子设备900的其它模块通信。应当理解,尽管图9中未示出,可以在电子设备900中设置其它硬件和/或软件模块,包括但不限于:显示器、微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的示例性实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其他实施方式。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施方式仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限定。

Claims (10)

1.一种攻击检测方法,其特征在于,包括:
获取对事件子模式进行编译所生成的非确定有限自动机NFA对象;
对所述NFA对象进行语义解析,得到用于攻击检测的规则表达式;
当所述事件子模式发生更新时,获取所述NFA对象的增量数据,并根据所述增量数据更新所述规则表达式;
利用所述规则表达式检测异常行为。
2.根据权利要求1所述的方法,其特征在于,所述获取对事件子模式进行编译所生成的非确定有限自动机NFA对象,包括:
获取事件子模式,每个事件子模式对应于单一攻击逻辑;
按照链表结构将所述事件子模式组合为复杂事件模式;
利用编译器将所述复杂事件模式编译为NFA对象。
3.根据权利要求2所述的方法,其特征在于,所述获取事件子模式,包括:
获取用户配置的事件子模式;或者
获取根据异常行为样本所建立的事件子模式。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
通过机器学习获取异常行为的特征,以根据所述异常行为的特征更新所述事件子模式。
5.根据权利要求1所述的方法,其特征在于,所述利用所述规则表达式检测异常行为,包括:
获取具有关联的多个待检测信息;
利用所述规则表达式对所述多个待检测信息进行匹配,以确定所述多个待检测信息是否包含异常行为。
6.根据权利要求5所述的方法,其特征在于,所述获取具有关联的多个待检测信息,包括:
获取待检测的访问信息以及所述访问信息的响应信息。
7.根据权利要求5所述的方法,其特征在于,所述获取具有关联的多个待检测信息,包括:
根据历史状态机,将多个待检测信息排列为待检测信息序列。
8.一种攻击检测装置,其特征在于,包括:
NFA对象获取单元,被配置为获取对事件子模式进行编译所生成的NFA对象;
语义解析单元,被配置为对所述NFA对象进行语义解析,得到用于攻击检测的规则表达式;
规则更新单元,被配置为当所述事件子模式发生更新时,获取所述NFA对象的增量数据,并根据所述增量数据更新所述规则表达式;
异常行为检测单元,被配置为利用所述规则表达式检测异常行为。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7任一项所述的方法。
10.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至7任一项所述的方法。
CN202110885933.3A 2021-08-03 2021-08-03 攻击检测方法、攻击检测装置、存储介质与电子设备 Active CN113596043B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110885933.3A CN113596043B (zh) 2021-08-03 2021-08-03 攻击检测方法、攻击检测装置、存储介质与电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110885933.3A CN113596043B (zh) 2021-08-03 2021-08-03 攻击检测方法、攻击检测装置、存储介质与电子设备

Publications (2)

Publication Number Publication Date
CN113596043A true CN113596043A (zh) 2021-11-02
CN113596043B CN113596043B (zh) 2023-03-24

Family

ID=78254286

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110885933.3A Active CN113596043B (zh) 2021-08-03 2021-08-03 攻击检测方法、攻击检测装置、存储介质与电子设备

Country Status (1)

Country Link
CN (1) CN113596043B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117499129A (zh) * 2023-11-15 2024-02-02 南方电网数字电网集团信息通信科技有限公司 应用于入侵检测系统的规则同步方法、装置和存储介质

Citations (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101296116A (zh) * 2007-04-24 2008-10-29 丛林网络公司 使用非确定性有限自动机的并行模式匹配
CN101841546A (zh) * 2010-05-17 2010-09-22 华为技术有限公司 一种规则匹配方法、装置及系统
CN102075511A (zh) * 2010-11-01 2011-05-25 北京神州绿盟信息安全科技股份有限公司 一种数据匹配设备和方法以及网络入侵检测设备和方法
CN106487803A (zh) * 2016-11-10 2017-03-08 深圳市任子行科技开发有限公司 用于大流量网络入侵检测系统的模式匹配算法和系统
CN106776456A (zh) * 2017-01-18 2017-05-31 中国人民解放军国防科学技术大学 基于fpga+npu的高速正则表达式匹配混合系统及方法
CN106878289A (zh) * 2017-01-22 2017-06-20 中国人民解放军信息工程大学 基于多维模板有限自动机tmfa的正则表达式匹配方法及其装置
CN107016091A (zh) * 2017-04-06 2017-08-04 北京邮电大学 一种软件定义网络中正则表达式更新方法及装置
CN107038026A (zh) * 2017-02-28 2017-08-11 中国科学院信息工程研究所 一种增量式的自动机更新方法与系统
US9800590B1 (en) * 2015-06-25 2017-10-24 Symantec Corporation Systems and methods for threat detection using a software program update profile
CN109495467A (zh) * 2018-11-07 2019-03-19 深圳前海微众银行股份有限公司 拦截规则的更新方法、设备及计算机可读存储介质
CN110602029A (zh) * 2019-05-15 2019-12-20 上海云盾信息技术有限公司 一种用于识别网络攻击的方法和系统
CN111510446A (zh) * 2020-04-10 2020-08-07 深信服科技股份有限公司 一种攻击检测方法、装置及电子设备和存储介质
CN111786959A (zh) * 2020-06-10 2020-10-16 中移(杭州)信息技术有限公司 安全防护方法、waf系统、电子设备及存储介质
CN112579054A (zh) * 2020-12-10 2021-03-30 平安普惠企业管理有限公司 规则引擎的规则更新方法、装置、设备及介质
CN112650607A (zh) * 2020-12-30 2021-04-13 中国农业银行股份有限公司 一种动态cep模式实现方法及装置
CN112653749A (zh) * 2020-12-18 2021-04-13 北京工商大学 用于物联网的基于边缘计算的复杂事件处理系统及方法
US20210185057A1 (en) * 2019-12-16 2021-06-17 Secureworks Corp. Systems and methods for identifying malicious actors or activities

Patent Citations (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101296116A (zh) * 2007-04-24 2008-10-29 丛林网络公司 使用非确定性有限自动机的并行模式匹配
CN101841546A (zh) * 2010-05-17 2010-09-22 华为技术有限公司 一种规则匹配方法、装置及系统
CN102075511A (zh) * 2010-11-01 2011-05-25 北京神州绿盟信息安全科技股份有限公司 一种数据匹配设备和方法以及网络入侵检测设备和方法
US9800590B1 (en) * 2015-06-25 2017-10-24 Symantec Corporation Systems and methods for threat detection using a software program update profile
CN106487803A (zh) * 2016-11-10 2017-03-08 深圳市任子行科技开发有限公司 用于大流量网络入侵检测系统的模式匹配算法和系统
CN106776456A (zh) * 2017-01-18 2017-05-31 中国人民解放军国防科学技术大学 基于fpga+npu的高速正则表达式匹配混合系统及方法
CN106878289A (zh) * 2017-01-22 2017-06-20 中国人民解放军信息工程大学 基于多维模板有限自动机tmfa的正则表达式匹配方法及其装置
CN107038026A (zh) * 2017-02-28 2017-08-11 中国科学院信息工程研究所 一种增量式的自动机更新方法与系统
CN107016091A (zh) * 2017-04-06 2017-08-04 北京邮电大学 一种软件定义网络中正则表达式更新方法及装置
CN109495467A (zh) * 2018-11-07 2019-03-19 深圳前海微众银行股份有限公司 拦截规则的更新方法、设备及计算机可读存储介质
CN110602029A (zh) * 2019-05-15 2019-12-20 上海云盾信息技术有限公司 一种用于识别网络攻击的方法和系统
US20210185057A1 (en) * 2019-12-16 2021-06-17 Secureworks Corp. Systems and methods for identifying malicious actors or activities
CN111510446A (zh) * 2020-04-10 2020-08-07 深信服科技股份有限公司 一种攻击检测方法、装置及电子设备和存储介质
CN111786959A (zh) * 2020-06-10 2020-10-16 中移(杭州)信息技术有限公司 安全防护方法、waf系统、电子设备及存储介质
CN112579054A (zh) * 2020-12-10 2021-03-30 平安普惠企业管理有限公司 规则引擎的规则更新方法、装置、设备及介质
CN112653749A (zh) * 2020-12-18 2021-04-13 北京工商大学 用于物联网的基于边缘计算的复杂事件处理系统及方法
CN112650607A (zh) * 2020-12-30 2021-04-13 中国农业银行股份有限公司 一种动态cep模式实现方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张伟等: "一种支持多正则表达式匹配的硬件结构", 《清华大学学报(自然科学版)网络.预览》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117499129A (zh) * 2023-11-15 2024-02-02 南方电网数字电网集团信息通信科技有限公司 应用于入侵检测系统的规则同步方法、装置和存储介质
CN117499129B (zh) * 2023-11-15 2024-05-03 南方电网数字电网集团信息通信科技有限公司 应用于入侵检测系统的规则同步方法、装置和存储介质

Also Published As

Publication number Publication date
CN113596043B (zh) 2023-03-24

Similar Documents

Publication Publication Date Title
US11640494B1 (en) Systems and methods for construction, maintenance, and improvement of knowledge representations
El-Masri et al. A systematic literature review on automated log abstraction techniques
US10387899B2 (en) Systems and methods for monitoring and analyzing computer and network activity
US11645271B2 (en) Automatic generation of an efficient rule set implementation
US9652318B2 (en) System and method for automatically managing fault events of data center
US11258814B2 (en) Methods and systems for using embedding from Natural Language Processing (NLP) for enhanced network analytics
WO2018106624A1 (en) Structure-level anomaly detection for unstructured logs
CN112639781A (zh) 用于实时工业控制系统安全事件监视和管理的知识图
US11601453B2 (en) Methods and systems for establishing semantic equivalence in access sequences using sentence embeddings
CN111813960B (zh) 基于知识图谱的数据安全审计模型装置、方法及终端设备
Turaga et al. Design principles for developing stream processing applications
CN108491228A (zh) 一种二进制漏洞代码克隆检测方法及系统
US11055631B2 (en) Automated meta parameter search for invariant based anomaly detectors in log analytics
CN114328208A (zh) 代码检测方法及装置、电子设备、存储介质
Alawneh et al. Segmenting large traces of inter-process communication with a focus on high performance computing systems
US10291483B2 (en) Entity embedding-based anomaly detection for heterogeneous categorical events
US11601339B2 (en) Methods and systems for creating multi-dimensional baselines from network conversations using sequence prediction models
Peng et al. Mining logs files for data-driven system management
CN113596043B (zh) 攻击检测方法、攻击检测装置、存储介质与电子设备
CN117235745B (zh) 基于深度学习工控漏洞挖掘方法、系统、设备和存储介质
Saberi et al. A passive online technique for learning hybrid automata from input/output traces
Turgeman et al. Context-aware incremental clustering of alerts in monitoring systems
CN113760891A (zh) 一种数据表的生成方法、装置、设备和存储介质
Kohyarnejadfard et al. Anomaly detection in microservice environments using distributed tracing data analysis and NLP
US20220247620A1 (en) Identification of Clusters of Elements Causing Network Performance Degradation or Outage

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant