CN115174208A - 一种多步攻击检测方法及装置 - Google Patents
一种多步攻击检测方法及装置 Download PDFInfo
- Publication number
- CN115174208A CN115174208A CN202210777732.6A CN202210777732A CN115174208A CN 115174208 A CN115174208 A CN 115174208A CN 202210777732 A CN202210777732 A CN 202210777732A CN 115174208 A CN115174208 A CN 115174208A
- Authority
- CN
- China
- Prior art keywords
- attack
- sequence
- network
- scene
- hidden markov
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 18
- 238000000034 method Methods 0.000 claims abstract description 35
- 238000010276 construction Methods 0.000 claims description 5
- 238000004422 calculation algorithm Methods 0.000 description 9
- 230000006399 behavior Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000015654 memory Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种多步攻击检测方法及装置,应用于信息安全技术领域,该方法在在获取网络攻击报警序列之后,确定多个多步攻击场景的隐马尔可夫模型,基于多个多步攻击场景的隐马尔可夫模型,预测网络攻击报警序列对应的多步攻击场景,基于网络攻击报警序列以及网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测网络攻击报警序列对应的攻击意图序列,对网络攻击报警序列背后隐藏的攻击意图进行了更深入挖掘,根据网络攻击报警序列对应的攻击意图序列以及网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图。对多步攻击进行了准确的判别,对攻击路径进行了定性的显示,对攻击意图进行了定量的分析,具有较高准确率,在一定程度上可以快速有效地预测和抵御多步攻击。
Description
技术领域
本发明属于信息安全技术领域,尤其涉及一种多步攻击检测方法及装置。
背景技术
在智能信息化发展道路上,由于网络系统中安全漏洞和黑客工具的大量存在,导致进行网络攻击难度的降低,网络攻击带来丰厚利益的驱动,使得网络上的攻击入侵行为越来越多。多步攻击已经成为网络攻击入侵的主要形式之一。
现有技术中,检测多步攻击的方法主要偏向于规则匹配的方式,多步攻击场景的预测大都需要提前知晓攻击行为,进而基于已经重建好的多步攻击场景来选择相应的算法对多步攻击进行检测。
但这种方法在大数据量时往往运行缓慢,并且维护成本高昂,因此,如何对多步攻击进行快速有效的检测,成为本领域技术人员亟待解决的技术问题。
发明内容
鉴于上述问题,本申请提出了一种多步攻击检测方法及装置,对多步攻击进行了准确的判别,对攻击路径进行了定性的显示,对攻击意图进行了定量的分析,具有较高准确率,在一定程度上可以快速有效地预测和抵御多步攻击。具体方案如下:
一种多步攻击检测方法,包括:
获取网络攻击报警序列;
确定多个多步攻击场景的隐马尔可夫模型;
基于所述多个多步攻击场景的隐马尔可夫模型,预测所述网络攻击报警序列对应的多步攻击场景;
基于所述网络攻击报警序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测所述网络攻击报警序列对应的攻击意图序列;
根据所述网络攻击报警序列对应的攻击意图序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图。
可选的,所述确定多个攻击场景的隐马尔可夫模型,包括:
获取多个多步攻击场景的多步攻击事件;
针对每个多步攻击场景的多步攻击事件,确定所述多步攻击场景的多步攻击事件的状态数是否已知;
如果所述多步攻击场景的多步攻击事件的状态数已知,则基于所述多步攻击场景的多步攻击事件的状态数构建所述多步攻击场景的隐马尔可夫模型;
如果所述多步攻击场景的多步攻击事件的状态数未知,则先确定所述多步攻击场景的多步攻击事件的状态数,再基于确定的所述多步攻击场景的多步攻击事件的状态数构建所述多步攻击场景的隐马尔可夫模型。
可选的,所述基于所述多个多步攻击场景的隐马尔可夫模型,预测所述网络攻击报警序列对应的多步攻击场景,包括:
计算各个多步攻击场景的隐马尔可夫模型产生所述网络报警序列的概率;
将概率最高的多步攻击场景的隐马尔可夫模型对应的多步攻击场景,确定为所述网络攻击报警序列对应的多步攻击场景。
可选的,所述基于所述网络攻击报警序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测所述网络攻击报警序列对应的攻击意图序列,包括:
确定所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型对应的多个攻击意图;
从所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型对应的多个攻击意图中确定出概率最大的攻击意图序列,作为所述网络攻击报警序列对应的攻击意图序列。
可选的,所述根据所述网络攻击报警序列对应的攻击意图序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图,包括:
根据所述网络攻击报警序列对应的攻击意图序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图序列;
将所述攻击者下一步可能的攻击意图序列中概率最大的攻击意图,确定为攻击者下一步可能的攻击意图。
一种多步攻击检测装置,包括:
获取单元,用于获取网络攻击报警序列;
确定单元,确定多个多步攻击场景的隐马尔可夫模型;
第一预测单元,用于基于所述多个多步攻击场景的隐马尔可夫模型,预测所述网络攻击报警序列对应的多步攻击场景;
第二预测单元,用于基于所述网络攻击报警序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测所述网络攻击报警序列对应的攻击意图序列;
第三预测单元,用于根据所述网络攻击报警序列对应的攻击意图序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图。
可选的,所述确定单元,包括:
获取子单元,用于获取多个多步攻击场景的多步攻击事件;
第一确定子单元,用于针对每个多步攻击场景的多步攻击事件,确定所述多步攻击场景的多步攻击事件的状态数是否已知;
第一构建子单元,用于如果所述多步攻击场景的多步攻击事件的状态数已知,则基于所述多步攻击场景的多步攻击事件的状态数构建所述多步攻击场景的隐马尔可夫模型;
第二构建子单元,用于如果所述多步攻击场景的多步攻击事件的状态数未知,则先确定所述多步攻击场景的多步攻击事件的状态数,再基于确定的所述多步攻击场景的多步攻击事件的状态数构建所述多步攻击场景的隐马尔可夫模型。
可选的,所述第一预测单元,包括:
计算子单元,用于计算各个多步攻击场景的隐马尔可夫模型产生所述网络报警序列的概率;
第二确定子单元,用于将概率最高的多步攻击场景的隐马尔可夫模型对应的多步攻击场景,确定为所述网络攻击报警序列对应的多步攻击场景。
可选的,所述第二预测单元,包括:
第三确定子单元,用于确定所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型对应的多个攻击意图;
第四确定子单元,用于从所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型对应的多个攻击意图中确定出概率最大的攻击意图序列,作为所述网络攻击报警序列对应的攻击意图序列。
可选的,所述第三预测单元,包括:
预测子单元,用于根据所述网络攻击报警序列对应的攻击意图序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图序列;
第五确定子单元,用于将所述攻击者下一步可能的攻击意图序列中概率最大的攻击意图,确定为攻击者下一步可能的攻击意图。
基于上述技术方案,本发明提供的多步攻击检测方法及装置,在获取网络攻击报警序列之后,确定多个多步攻击场景的隐马尔可夫模型,基于多个多步攻击场景的隐马尔可夫模型,预测网络攻击报警序列对应的多步攻击场景,基于网络攻击报警序列以及网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测网络攻击报警序列对应的攻击意图序列,对网络攻击报警序列背后隐藏的攻击意图进行了更深入挖掘,根据网络攻击报警序列对应的攻击意图序列以及网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图。对多步攻击进行了准确的判别,对攻击路径进行了定性的显示,对攻击意图进行了定量的分析,具有较高准确率,在一定程度上可以快速有效地预测和抵御多步攻击。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例提供的一种多步攻击检测方法的流程示意图;
图2为本发明实施例提供的一种确定多个攻击场景的隐马尔可夫模型的方法的流程示意图;
图3为本发明实施例提供的一种预测所述网络攻击报警序列对应的多步攻击场景的方法的流程示意图;
图4为本发明实施例公开的一种预测所述网络攻击报警序列对应的攻击意图序列的方法的流程示意图;
图5为本申请实施例公开的一种预测攻击者下一步可能的攻击意图的方法的流程示意图;
图6为本申请实施例公开的一种多步攻击检测装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换,这仅仅是描述本发明的实施例中对相同属性的对象在描述时所采用的区分方式。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。
为了快速有效地检测多步攻击,本发明提供了一种多步攻击检测方法,下面结合附图和具体实施方式对本发明提供的多步攻击检测方法作进一步详细的说明。
请参阅附图1,图1为本发明实施例提供的一种多步攻击检测方法的流程示意图。该方法可以包括以下步骤:
步骤S101:获取网络攻击报警序列。
在本申请中,网络攻击报警序列以DDOS攻击为例,各个攻击阶段分别为:第一阶段:IP扫描,攻击意图是获得目标主机的IP地址;第二阶段:端口扫描,攻击意图是获得目标主机的活动端口、漏洞发现;第三阶段:利用缓冲区溢出漏洞攻击,攻击意图是获取目标主机的root权限;第四阶段:远程Telnet登陆,攻击意图是在被攻陷主机上安装DDOS攻击软件;第五阶段:DDOS攻击,实现攻击。
步骤S102:确定多个多步攻击场景的隐马尔可夫模型。
步骤S103:基于多个多步攻击场景的隐马尔可夫模型,预测网络攻击报警序列对应的多步攻击场景。
步骤S104:基于网络攻击报警序列以及网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测网络攻击报警序列对应的攻击意图序列。
需要说明的是,网络多步攻击都具有目的性,将网络多步攻击所要达到的攻击目的或攻击目标称为攻击意图。
步骤S105:根据网络攻击报警序列对应的攻击意图序列以及网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图。
本实施例提供的多步攻击检测方法,在获取网络攻击报警序列之后,确定多个多步攻击场景的隐马尔可夫模型,基于多个多步攻击场景的隐马尔可夫模型,预测网络攻击报警序列对应的多步攻击场景,基于网络攻击报警序列以及网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测网络攻击报警序列对应的攻击意图序列,对网络攻击报警序列背后隐藏的攻击意图进行了更深入挖掘,根据网络攻击报警序列对应的攻击意图序列以及网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图。对多步攻击进行了准确的判别,对攻击路径进行了定性的显示,对攻击意图进行了定量的分析,具有较高准确率,在一定程度上可以快速有效地预测和抵御多步攻击。
在上述本发明公开的实施例的基础上,在本发明的再一个实施例中,对步骤S102对确定多个攻击场景的隐马尔可夫模型的具体实现方式进行了详细说明。
作为一种可实施方式,请参阅附图2,为本发明公开的一种确定多个攻击场景的隐马尔可夫模型的方法的流程示意图。该方法可以包括以下步骤:
步骤S201:获取多个多步攻击场景的多步攻击事件。
步骤S202:针对每个多步攻击场景的多步攻击事件,确定多步攻击场景的多步攻击事件的状态数是否已知,如果多步攻击场景的多步攻击事件的状态数已知执行步骤S203,如果多步攻击场景的多步攻击事件的状态数未知执行步骤S204。
需要说明的是,隐马尔可夫模型的下一个状态只取决于当前状态,而不依赖于之前事件的顺序。如果当前事件的当前状态与下一个状态有关联,即能确定一个攻击状态数,如果当前状态与下一个状态没关联,则攻击状态数未知。这跟隐马尔科夫模型中的参数学习功能相对应,对于不同的多步攻击报警序列,通过参数学习可以得到不同的参数文件,进而可以对多步攻击行为进行检测。
步骤S203:基于多步攻击场景的多步攻击事件的状态数构建多步攻击场景的隐马尔可夫模型。
在本申请中,如果多步攻击场景的多步攻击事件的状态数已知,则基于Baum—Welch算法,利用多步攻击场景的多步攻击事件的状态数构建多步攻击场景的隐马尔可夫模型。
步骤S204:先确定多步攻击场景的多步攻击事件的状态数,再基于确定的多步攻击场景的多步攻击事件的状态数构建多步攻击场景的隐马尔可夫模型。
在本申请中,如果多步攻击场景的多步攻击事件的状态数未知,则先基于粒子群优化算法确定多步攻击场景的多步攻击事件的状态数,再基于Baum—Welch算法,利用确定的多步攻击场景的多步攻击事件的状态数构建多步攻击场景的隐马尔可夫模型。
在上述本发明公开的实施例的基础上,在本发明的再一个实施例中,对步骤S103基于多个多步攻击场景的隐马尔可夫模型,预测网络攻击报警序列对应的多步攻击场景的具体实现方式进行了详细说明。
作为一种可实施方式,请参阅附图3,为本发明公开的一种预测网络攻击报警序列对应的多步攻击场景的方法的流程示意图。该方法可以包括以下步骤:
步骤S301:计算各个多步攻击场景的隐马尔可夫模型产生网络报警序列的概率。
在本申请中,利用隐马尔可夫模型的前向Forward算法计算各个多步攻击场景的隐马尔可夫模型产生网络报警序列的概率。
需要说明的是,在数据量大的情况下,可能会出现多个多步攻击场景对应多个攻击意图的情况,就会形成一个M*N的矩阵,也是通过Forward算法里面的概率计算方法计算概率后,选择概率大的攻击意图,如下图所示:
步骤S302:将概率最高的多步攻击场景的隐马尔可夫模型对应的多步攻击场景,确定为网络攻击报警序列对应的多步攻击场景。
在上述本发明公开的实施例的基础上,在本发明的再一个实施例中,对步骤S104基于网络攻击报警序列以及网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测网络攻击报警序列对应的攻击意图序列的具体实现方式进行了详细说明。
作为一种可实施方式,请参阅附图4,为本发明公开的一种预测网络攻击报警序列对应的攻击意图序列的流程示意图。该方法可以包括以下步骤:
步骤S401:确定网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型对应的多个攻击意图。
步骤S402:从网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型对应的多个攻击意图中确定出概率最大的攻击意图序列,作为网络攻击报警序列对应的攻击意图序列。
在本申请中,利用隐马尔可夫模型的维特比Viterbi算法,从网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型对应的多个攻击意图中确定出概率最大的攻击意图序列,作为网络攻击报警序列对应的攻击意图序列。
需要说明的是,Viterbi算法实际上是寻找满足观测序列意义上最优攻击意图序列,Viterbi算法可以分为两步,第一步:从t=1开始,依次找到t=(1,2,,,T)时刻状态为i的各攻击意图序列的最大概率。当t=T时,就可以得到最优攻击意图序列的概率P*(t=T的最大概率)及其终结点;第二步:从开始,由后向前逐步回溯求得结点,得到最优攻击意图序列。这也是对攻击意图序列的定性显示的具体实现方法。
在上述本发明公开的实施例的基础上,在本发明的再一个实施例中,对步骤S105根据网络攻击报警序列对应的攻击意图序列以及网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图的具体实现方式进行了详细说明。
作为一种可实施方式,请参阅附图5,为本发明公开的一种预测攻击者下一步可能的攻击意图的方法的流程示意图。该方法可以包括以下步骤:
步骤S501:根据网络攻击报警序列对应的攻击意图序列以及网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图序列。
步骤S502:将攻击者下一步可能的攻击意图序列中概率最大的攻击意图,确定为攻击者下一步可能的攻击意图。
上述本发明公开的实施例中详细描述了方法,对于本发明的方法可采用多种形式的装置实现,因此本发明还公开了一种多步攻击检测装置,下面给出具体的实施例进行详细说明。
请参阅附图6,图6为本申请实施例公开的一种多步攻击检测装置的结构示意图,该装置可以包括:
获取单元11,用于获取网络攻击报警序列。
确定单元12,确定多个多步攻击场景的隐马尔可夫模型。
第一预测单元13,用于基于所述多个多步攻击场景的隐马尔可夫模型,预测所述网络攻击报警序列对应的多步攻击场景。
第二预测单元14,用于基于所述网络攻击报警序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测所述网络攻击报警序列对应的攻击意图序列。
第三预测单元15,用于根据所述网络攻击报警序列对应的攻击意图序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图。
作为一种可实施方式,所述确定单元,包括:
获取子单元,用于获取多个多步攻击场景的多步攻击事件。
第一确定子单元,用于针对每个多步攻击场景的多步攻击事件,确定所述多步攻击场景的多步攻击事件的状态数是否已知。
第一构建子单元,用于如果所述多步攻击场景的多步攻击事件的状态数已知,则基于所述多步攻击场景的多步攻击事件的状态数构建所述多步攻击场景的隐马尔可夫模型。
第二构建子单元,用于如果所述多步攻击场景的多步攻击事件的状态数未知,则先确定所述多步攻击场景的多步攻击事件的状态数,再基于确定的所述多步攻击场景的多步攻击事件的状态数构建所述多步攻击场景的隐马尔可夫模型。
作为一种可实施方式,所述第一预测单元,包括:
计算子单元,用于计算各个多步攻击场景的隐马尔可夫模型产生所述网络报警序列的概率。
第二确定子单元,用于将概率最高的多步攻击场景的隐马尔可夫模型对应的多步攻击场景,确定为所述网络攻击报警序列对应的多步攻击场景。
作为一种可实施方式,所述第二预测单元,包括:
第三确定子单元,用于确定所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型对应的多个攻击意图。
第四确定子单元,用于从所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型对应的多个攻击意图中确定出概率最大的攻击意图序列,作为所述网络攻击报警序列对应的攻击意图序列。
作为一种可实施方式,所述第三预测单元,包括:
预测子单元,用于根据所述网络攻击报警序列对应的攻击意图序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图序列。
第五确定子单元,用于将所述攻击者下一步可能的攻击意图序列中概率最大的攻击意图,确定为攻击者下一步可能的攻击意图。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
另外需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本发明而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
综上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照上述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对上述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种多步攻击检测方法,其特征在于,包括:
获取网络攻击报警序列;
确定多个多步攻击场景的隐马尔可夫模型;
基于所述多个多步攻击场景的隐马尔可夫模型,预测所述网络攻击报警序列对应的多步攻击场景;
基于所述网络攻击报警序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测所述网络攻击报警序列对应的攻击意图序列;
根据所述网络攻击报警序列对应的攻击意图序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图。
2.根据权利要求1所述的方法,其特征在于,所述确定多个攻击场景的隐马尔可夫模型,包括:
获取多个多步攻击场景的多步攻击事件;
针对每个多步攻击场景的多步攻击事件,确定所述多步攻击场景的多步攻击事件的状态数是否已知;
如果所述多步攻击场景的多步攻击事件的状态数已知,则基于所述多步攻击场景的多步攻击事件的状态数构建所述多步攻击场景的隐马尔可夫模型;
如果所述多步攻击场景的多步攻击事件的状态数未知,则先确定所述多步攻击场景的多步攻击事件的状态数,再基于确定的所述多步攻击场景的多步攻击事件的状态数构建所述多步攻击场景的隐马尔可夫模型。
3.根据权利要求1或2所述的方法,其特征在于,所述基于所述多个多步攻击场景的隐马尔可夫模型,预测所述网络攻击报警序列对应的多步攻击场景,包括:
计算各个多步攻击场景的隐马尔可夫模型产生所述网络报警序列的概率;
将概率最高的多步攻击场景的隐马尔可夫模型对应的多步攻击场景,确定为所述网络攻击报警序列对应的多步攻击场景。
4.根据权利要求1或2所述的方法,其特征在于,所述基于所述网络攻击报警序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测所述网络攻击报警序列对应的攻击意图序列,包括:
确定所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型对应的多个攻击意图;
从所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型对应的多个攻击意图中确定出概率最大的攻击意图序列,作为所述网络攻击报警序列对应的攻击意图序列。
5.根据权利要求1或2所述的方法,其特征在于,所述根据所述网络攻击报警序列对应的攻击意图序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图,包括:
根据所述网络攻击报警序列对应的攻击意图序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图序列;
将所述攻击者下一步可能的攻击意图序列中概率最大的攻击意图,确定为攻击者下一步可能的攻击意图。
6.一种多步攻击检测装置,其特征在于,包括:
获取单元,用于获取网络攻击报警序列;
确定单元,确定多个多步攻击场景的隐马尔可夫模型;
第一预测单元,用于基于所述多个多步攻击场景的隐马尔可夫模型,预测所述网络攻击报警序列对应的多步攻击场景;
第二预测单元,用于基于所述网络攻击报警序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测所述网络攻击报警序列对应的攻击意图序列;
第三预测单元,用于根据所述网络攻击报警序列对应的攻击意图序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图。
7.根据权利要求6所述的装置,其特征在于,所述确定单元,包括:
获取子单元,用于获取多个多步攻击场景的多步攻击事件;
第一确定子单元,用于针对每个多步攻击场景的多步攻击事件,确定所述多步攻击场景的多步攻击事件的状态数是否已知;
第一构建子单元,用于如果所述多步攻击场景的多步攻击事件的状态数已知,则基于所述多步攻击场景的多步攻击事件的状态数构建所述多步攻击场景的隐马尔可夫模型;
第二构建子单元,用于如果所述多步攻击场景的多步攻击事件的状态数未知,则先确定所述多步攻击场景的多步攻击事件的状态数,再基于确定的所述多步攻击场景的多步攻击事件的状态数构建所述多步攻击场景的隐马尔可夫模型。
8.根据权利要求6或7所述的装置,其特征在于,所述第一预测单元,包括:
计算子单元,用于计算各个多步攻击场景的隐马尔可夫模型产生所述网络报警序列的概率;
第二确定子单元,用于将概率最高的多步攻击场景的隐马尔可夫模型对应的多步攻击场景,确定为所述网络攻击报警序列对应的多步攻击场景。
9.根据权利要求6或7所述的装置,其特征在于,所述第二预测单元,包括:
第三确定子单元,用于确定所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型对应的多个攻击意图;
第四确定子单元,用于从所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型对应的多个攻击意图中确定出概率最大的攻击意图序列,作为所述网络攻击报警序列对应的攻击意图序列。
10.根据权利要求6或7所述的方法,其特征在于,所述第三预测单元,包括:
预测子单元,用于根据所述网络攻击报警序列对应的攻击意图序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型,预测攻击者下一步可能的攻击意图序列;
第五确定子单元,用于将所述攻击者下一步可能的攻击意图序列中概率最大的攻击意图,确定为攻击者下一步可能的攻击意图。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210777732.6A CN115174208A (zh) | 2022-07-04 | 2022-07-04 | 一种多步攻击检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210777732.6A CN115174208A (zh) | 2022-07-04 | 2022-07-04 | 一种多步攻击检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115174208A true CN115174208A (zh) | 2022-10-11 |
Family
ID=83490256
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210777732.6A Pending CN115174208A (zh) | 2022-07-04 | 2022-07-04 | 一种多步攻击检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115174208A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102075516A (zh) * | 2010-11-26 | 2011-05-25 | 哈尔滨工程大学 | 一种网络多步攻击识别和预测方法 |
| CN105245503A (zh) * | 2015-09-08 | 2016-01-13 | 中国民航大学 | 隐马尔可夫模型检测LDoS攻击方法 |
| CN111709028A (zh) * | 2020-04-21 | 2020-09-25 | 中国科学院信息工程研究所 | 一种网络安全状态评估和攻击预测方法 |
| CN113822355A (zh) * | 2021-09-22 | 2021-12-21 | 华北电力科学研究院有限责任公司 | 基于改进的隐马尔可夫模型的复合攻击预测方法及装置 |
-
2022
- 2022-07-04 CN CN202210777732.6A patent/CN115174208A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102075516A (zh) * | 2010-11-26 | 2011-05-25 | 哈尔滨工程大学 | 一种网络多步攻击识别和预测方法 |
| CN105245503A (zh) * | 2015-09-08 | 2016-01-13 | 中国民航大学 | 隐马尔可夫模型检测LDoS攻击方法 |
| CN111709028A (zh) * | 2020-04-21 | 2020-09-25 | 中国科学院信息工程研究所 | 一种网络安全状态评估和攻击预测方法 |
| CN113822355A (zh) * | 2021-09-22 | 2021-12-21 | 华北电力科学研究院有限责任公司 | 基于改进的隐马尔可夫模型的复合攻击预测方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 张松红等: "基于隐马尔可夫模型的复合攻击预测方法", 计算机工程, no. 06, 20 March 2008 (2008-03-20), pages 1 - 4 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9870470B2 (en) | Method and apparatus for detecting a multi-stage event | |
| EP2979424B1 (en) | Method and apparatus for detecting a multi-stage event | |
| EP2828753B1 (en) | Anomaly detection to identify coordinated group attacks in computer networks | |
| CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
| CN110798426A (zh) | 一种洪水类DoS攻击行为的检测方法、系统及相关组件 | |
| CN112671767A (zh) | 一种基于告警数据分析的安全事件预警方法及装置 | |
| Sukhwani et al. | A survey of anomaly detection techniques and hidden markov model | |
| CN113645215A (zh) | 异常网络流量数据的检测方法、装置、设备及存储介质 | |
| US20230087309A1 (en) | Cyberattack identification in a network environment | |
| CN115174208A (zh) | 一种多步攻击检测方法及装置 | |
| CN112070161A (zh) | 一种网络攻击事件分类方法、装置、终端及存储介质 | |
| CN116208416A (zh) | 一种工业互联网的攻击链路挖掘方法及系统 | |
| CN113792291B (zh) | 一种受域生成算法恶意软件感染的主机识别方法及装置 | |
| CN113709097B (zh) | 网络风险感知方法及防御方法 | |
| CN111191683A (zh) | 基于随机森林和贝叶斯网络的网络安全态势评估方法 | |
| CN113839912B (zh) | 主被动结合进行异常主机分析的方法、装置、介质和设备 | |
| CN107251519B (zh) | 用于检测通信网络上的假信息的攻击的系统、方法和介质 | |
| Cheng et al. | Protecting VNF services with smart online behavior anomaly detection method | |
| CN114362972A (zh) | 一种基于流量摘要和图采样的僵尸网络混合检测方法及系统 | |
| KR20210056790A (ko) | 동적인 분석 플랜을 이용하는 edr 장치 및 방법 | |
| CN113782213B (zh) | 基于区块链的患者轨迹存储方法、装置、存储介质及电子设备 | |
| CN116405323B (zh) | 安全态势感知攻击预测方法、装置、设备、介质及产品 | |
| Liu et al. | TLP-IDS: A Two-layer Intrusion Detection System for Integrated Electronic Systems | |
| Alagrash et al. | Malware Detection via Machine Learning and Recognition of Non Stationary Tasks | |
| CN117375923A (zh) | 一种威胁信息检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |