CN115277173B - 一种网络安全监测管理系统及方法 - Google Patents
一种网络安全监测管理系统及方法 Download PDFInfo
- Publication number
- CN115277173B CN115277173B CN202210878070.1A CN202210878070A CN115277173B CN 115277173 B CN115277173 B CN 115277173B CN 202210878070 A CN202210878070 A CN 202210878070A CN 115277173 B CN115277173 B CN 115277173B
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- server
- event
- sensor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 37
- 238000000034 method Methods 0.000 title claims abstract description 16
- 230000006399 behavior Effects 0.000 claims abstract description 71
- 238000001514 detection method Methods 0.000 claims abstract description 41
- 238000007781 pre-processing Methods 0.000 claims abstract description 9
- 230000005540 biological transmission Effects 0.000 claims description 17
- 238000007726 management method Methods 0.000 claims description 16
- 208000015181 infectious disease Diseases 0.000 claims description 12
- 230000015572 biosynthetic process Effects 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 6
- 238000003786 synthesis reaction Methods 0.000 claims description 6
- 230000003993 interaction Effects 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 3
- 239000000284 extract Substances 0.000 abstract 1
- 230000002265 prevention Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000015556 catabolic process Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000006731 degradation reaction Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013070 change management Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 235000012907 honey Nutrition 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络安全监测管理系统及方法,涉及网络安全技术领域。I DS则获取传感器的监控日志,生成攻击事件集;预处理模块提取攻击事件集的特定字段的信息,生成事件信息;事件检测模块根据预设攻击行为集确定事件信息中的可疑行为,使用杀伤链模型确定网络中的可疑服务器以及当前攻击阶段;攻击演化模块演化多个网络攻击下一攻击阶段的攻击方案;杀伤链识别模块确定各攻击方案是否为网络攻击。通过对每次警报的攻击事件集进行分析,使用杀伤链模型对当前网络攻击处于的阶段进行分析,并站在攻击者的角度进行模拟攻击,对网络攻击行为进行预测,可以在网络攻击为完成前即可识别网络攻击,提高了网络攻击识别的效率和网络防护的安全性。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种网络安全监测管理系统及方法。
背景技术
随着网络信息化工作的不断深入,信息通信网同外部接入单位之间的数据交换量逐渐增大,网络的攻击、入侵、病毒、木马等各种类型的安全威胁日益增大,信息通信网上信息的完整性、安全性面临的挑战越来越多。
现有技术通常通过正则匹配算法设置与日志格式匹配的正则表达式来识别是否受到网络攻击行为。然而,在实践中发现,现有技术只能在网络攻击完成后识别网络攻击行为,无法提前对网络攻击行为进行预测,不利于及时地维护网络安全。
发明内容
本发明的目的就在于解决上述背景技术的问题,而提出一种网络安全监测管理系统及方法。
本发明的目的可以通过以下技术方案实现:
本发明实施例第一方面,首先提供了一种网络安全监测管理系统,包括网络安全监管服务器和分布式入侵检测模块IDS;所述网络安全监管服务器包括预处理模块、事件检测模块、攻击演化模块和杀伤链识别模块;所述IDS包括部署于多个预设网络节点的传感器;其中:
所述IDS,用于当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集;
所述预处理模块,用于提取所述攻击事件集的特定字段的信息,生成预设格式的事件信息;
所述事件检测模块,用于根据预设攻击行为集确定所述事件信息中的可疑行为,使用杀伤链模型对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段;
所述攻击演化模块,用于根据可疑服务器、可疑行为和预设的攻击策略演化多个网络攻击下一攻击阶段的攻击方案;攻击方案包括攻击路径和攻击行为;
所述杀伤链识别模块,用于识别各攻击方案的置信度,确定各攻击方案是否为网络攻击。
可选地,所述IDS还包括主控模块;
每一传感器,用于对该传感器对应网络节点的交互数据进行检查,若针对目标数据包检查失败,则向所述主控模块发送报警数据包以发出警报;所述报警数据包包括目标数据包、目标数据包的负载类型、报警时间、目标数据包相关的数据包信息、传感器ID和该传感器对应的预设网络节点信息;
所述主控模块,用于根据目标数据包相关的数据包信息和该传感器对应的预设网络节点信息,确定与该警报相关的各传感器,获取各传感器的监控日志,生成所述攻击事件集,根据报警时间和传感器ID生成所述攻击事件集的事件ID。
可选地,所述事件信息包括事件ID、源服务器、源服务器发送消息的时间、目的地服务器、目的服务器接收消息的时间和消息发送过程中经过的服务器;
所述事件检测模块,具体用于:
将所述事件信息根据网络拓扑和时间关系构建消息传输模型;
根据预设攻击行为集确定所述消息传输模型中的具有可疑行为的节点,重构为攻击事件模型;
将所述攻击事件模型映射到杀伤链模型,对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段。
可选地,所述攻击演化模块包括服务器识别子模块和演化子模块;
服务器识别子模块,用于根据可疑行为在可疑服务器中确定疑似C2服务器和疑似感染服务器;
演化子模块,用于模拟疑似C2服务器执行预设的攻击策略,演化疑似C2服务器和疑似感染服务器的攻击路径和攻击行为,得到多个网络攻击下一攻击阶段的攻击方案。
可选地,所述杀伤链识别模块包括置信度子模块、服务器检测子模块、判断子模块和攻击识别子模块;
所述信度子模块,用于针对每一攻击方案,根据Dempster合成规则将各步骤的执行概率融合,得到该攻击方案的置信度;
所述判断子模块,用于将各攻击方案的置信度与预设阈值进行比较,确定最优攻击方案;
所述服务器检测子模块,用于对可疑服务器进行检测,确定可疑服务器是否为受感染服务器;
所述攻击识别子模块,用于若存在最优攻击方案,则确定当前受到网络攻击;若不存在最优攻击方案且不存在受感染服务器,则确定当前未受到网络攻击;若不存在最优攻击方案且存在受感染服务器,则确定当前受到新型的网络攻击。
本发明实施例第二方面,还提供了一种网络安全监测管理方法,应用于网络安全监管服务器;所述方法包括:
当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集;多个预设网络节点部署有传感器;
提取所述攻击事件集的特定字段的信息,生成预设格式的事件信息;
根据预设攻击行为集确定所述事件信息中的可疑行为,使用杀伤链模型对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段;
根据可疑服务器、可疑行为和预设的攻击策略演化多个网络攻击下一攻击阶段的攻击方案;攻击方案包括攻击路径和攻击行为;
识别各攻击方案的置信度,确定各攻击方案是否为网络攻击。
可选地,当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集包括:
接收传感器发送的报警数据包;报警数据包是传感器对网络节点的目标数据包检查失败时发送的报警信息;所述报警数据包包括目标数据包、目标数据包的负载类型、报警时间、目标数据包相关的数据包信息、传感器ID和该传感器对应的预设网络节点信息;
根据目标数据包相关的数据包信息和该传感器对应的预设网络节点信息,确定与该警报相关的各传感器,获取各传感器的监控日志,生成所述攻击事件集,根据报警时间和传感器ID生成所述攻击事件集的事件ID。
可选地,所述事件信息包括事件ID、源服务器、源服务器发送消息的时间、目的地服务器、目的服务器接收消息的时间和消息发送过程中经过的服务器;
提取所述攻击事件集的特定字段的信息,生成预设格式的事件信息包括:
将所述事件信息根据网络拓扑和时间关系构建消息传输模型;
根据预设攻击行为集确定所述消息传输模型中的具有可疑行为的节点,重构为攻击事件模型;
将所述攻击事件模型映射到杀伤链模型,对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段。
可选地,根据可疑服务器、可疑行为和预设的攻击策略演化多个网络攻击下一攻击阶段的攻击方案包括:
根据可疑行为在可疑服务器中确定疑似C2服务器和疑似感染服务器;
模拟疑似C2服务器执行预设的攻击策略,演化疑似C2服务器和疑似感染服务器的攻击路径和攻击行为,得到多个网络攻击下一攻击阶段的攻击方案。
可选地,识别各攻击方案的置信度,确定各攻击方案是否为网络攻击,包括:
针对每一攻击方案,根据Dempster合成规则将各步骤的执行概率融合,得到该攻击方案的置信度;
将各攻击方案的置信度与预设阈值进行比较,确定最优攻击方案;
对可疑服务器进行检测,确定可疑服务器是否为受感染服务器;
若存在最优攻击方案,则确定当前受到网络攻击;若不存在最优攻击方案且不存在受感染服务器,则确定当前未受到网络攻击;若不存在最优攻击方案且存在受感染服务器,则确定当前受到新型的网络攻击。
本发明实施例提供了一种网络安全监测管理系统,包括网络安全监管服务器和分布式入侵检测模块IDS;网络安全监管服务器包括预处理模块、事件检测模块、攻击演化模块和杀伤链识别模块;IDS包括部署于多个预设网络节点的传感器;其中:IDS,用于当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集;预处理模块,用于提取攻击事件集的特定字段的信息,生成预设格式的事件信息;事件检测模块,用于根据预设攻击行为集确定事件信息中的可疑行为,使用杀伤链模型对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段;攻击演化模块,用于根据可疑服务器、可疑行为和预设的攻击策略演化多个网络攻击下一攻击阶段的攻击方案;攻击方案包括攻击路径和攻击行为;杀伤链识别模块,用于识别各攻击方案的置信度,确定各攻击方案是否为网络攻击。
通过对每次警报的攻击事件集进行分析,使用杀伤链模型对当前网络攻击处于的阶段进行分析,并站在攻击者的角度进行模拟攻击,对网络攻击行为进行预测,可以在网络攻击为完成前即可识别网络攻击,提高了网络攻击识别的效率和网络防护的安全性。
附图说明
下面结合附图对本发明作进一步的说明。
图1为本发明实施例提供的一种网络安全监测管理系统的系统框图;
图2为本发明实施例提供的一种网络安全监测管理方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例提供了一种网络安全监测管理系统。参见图1,图1为本发明实施例提供的一种网络安全监测管理系统的系统框图。该包括网络安全监管服务器和分布式入侵检测模块IDS;网络安全监管服务器包括预处理模块、事件检测模块、攻击演化模块和杀伤链识别模块;IDS包括部署于多个预设网络节点的传感器(传感器一、传感器二和传感器三),本发明实施例仅以包含三个传感器为例进行说明,但实际情况并不限于此;其中:
IDS,用于当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集;
预处理模块,用于提取攻击事件集的特定字段的信息,生成预设格式的事件信息;
事件检测模块,用于根据预设攻击行为集确定事件信息中的可疑行为,使用杀伤链模型对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段;
攻击演化模块,用于根据可疑服务器、可疑行为和预设的攻击策略演化多个网络攻击下一攻击阶段的攻击方案;攻击方案包括攻击路径和攻击行为;
杀伤链识别模块,用于识别各攻击方案的置信度,确定各攻击方案是否为网络攻击。
基于本发明实施例提供的一种网络安全监测管理系统,通过对每次警报的攻击事件集进行分析,使用杀伤链模型对当前网络攻击处于的阶段进行分析,并站在攻击者的角度进行模拟攻击,对网络攻击行为进行预测,可以在网络攻击为完成前即可识别网络攻击,提高了网络攻击识别的效率和网络防护的安全性。
一种实现方式中,预设网络节点可以为交换机的SPAN端口或网络分路器等位置,使传感器可以获取网络中的交互数据。
在一个实施例中,IDS还包括主控模块;
每一传感器,用于对该传感器对应网络节点的交互数据进行检查,若针对目标数据包检查失败,则向所述主控模块发送报警数据包以发出警报;所述报警数据包包括目标数据包、目标数据包的负载类型、报警时间、目标数据包相关的数据包信息、传感器ID和该传感器对应的预设网络节点信息;
主控模块,用于根据目标数据包相关的数据包信息和该传感器对应的预设网络节点信息,确定与该警报相关的各传感器,获取各传感器的监控日志,生成攻击事件集,根据报警时间和传感器ID生成所述攻击事件集的事件ID。
一种实现方式中,传感器对应网络节点的交互数据进行检查,具体为检查数据包的格式、发送源地址和发送目的地址等。若检测到发送源地址的第一服务器和/或发送目的地址的第二服务器为陌生服务器,或者数据包是通过第一服务器未配置的数据接口发送和/或数据包是通过第二服务器未配置的数据接口接收,则对数据包检查失败,进行报警。
在一个实施例中,事件信息包括事件ID、源服务器、源服务器发送消息的时间、目的地服务器、目的服务器接收消息的时间和消息发送过程中经过的服务器;
事件检测模块,具体用于:
将事件信息根据网络拓扑和时间关系构建消息传输模型;
根据预设攻击行为集确定消息传输模型中的具有可疑行为的节点,重构为攻击事件模型;
将攻击事件模型映射到杀伤链模型,对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段。
一种实现方式中,杀伤链模型包括侦察、武器化、投递、漏洞利用、安装、指挥和控制和目标行动等七个阶段。基于这些阶段,分别可以使用以下方法进行防御,不同阶段采用不同的方法相结合:检测-确定渗透组织的尝试;拒绝-在攻击发生时停止攻击;中断-干预攻击者完成的数据通信,然后停止它;降级-限制网络安全攻击的有效性,以尽量减少其不良影响;欺骗-通过向攻击者提供错误信息或误导攻击者;遏制-遏制和限制攻击的范围,使其仅限于组织的某些部分。
(1)侦察阶段:
检测:网络分析,威胁情报,网络入侵检测系统;
拒绝:信息共享政策,防火墙访问控制列表。
(2)武器化阶段:
检测:威胁情报,网络入侵检测系统;
拒绝:网络入侵防御系统;
(3)投递阶段:
检测:端点恶意软件保护;
拒绝:变更管理;应用白名单;代理过滤器;基于主机的入侵防御系统;
中断:内联防病毒;
降级:排队;
遏制:路由器访问控制列表;应用感知防火墙;信任区;区域间网络入侵检测系统。
(4)漏洞利用阶段
检测:端点恶意软件保护,基于主机的入侵检测系统;
拒绝:安全密码,补丁管理;
中断:数据执行保护;
遏制:应用感知防火墙,信任区,区域间网络入侵检测系统。
(5)安装阶段:
检测:安全信息和事件管理(SIEM),基于主机的入侵检测系统;
拒绝:权限分离,强密码,两因素身份验证;
中断:路由器访问控制列表;
遏制:应用感知防火墙,信任区,区域间网络入侵检测系统。
(6)指挥和控制阶段:
检测:网络入侵检测系统,基于主机的入侵检测系统;
拒绝:防火墙访问控制列表,网络分割;
中断:基于主机的入侵防御系统;
降级:Tarpit,Tarpit是计算机系统上的一项服务,它故意延迟传入连接。
欺骗:域名系统重定向;
遏制:信任区,域名系统漏洞。
(7)目标行动阶段
检测:端点恶意软件保护;
拒绝:静态数据加密;
中断:端点恶意软件保护;
降级:服务质量;
欺骗:蜜罐;
遏制:事件响应。
在一个实施例中,攻击演化模块包括服务器识别子模块和演化子模块;
服务器识别子模块,用于根据可疑行为在可疑服务器中确定疑似C2服务器和疑似感染服务器;
演化子模块,用于模拟疑似C2服务器执行预设的攻击策略,演化疑似C2服务器和疑似感染服务器的攻击路径和攻击行为,得到多个网络攻击下一攻击阶段的攻击方案。
一种实现方式中,攻击者可以控制C2服务器转发命令。感染服务器为已经被攻击者的病毒感染的服务器。
一种实现方式中,攻击策略可以根据历史的网络攻击案例进行设计,参见表一,表一为攻击策略可以包括的攻击手段。
表一
在一个实施例中,杀伤链识别模块包括置信度子模块、服务器检测子模块、判断子模块和攻击识别子模块;
信度子模块,用于针对每一攻击方案,根据Dempster合成规则将各步骤的执行概率融合,得到该攻击方案的置信度;
判断子模块,用于将各攻击方案的置信度与预设阈值进行比较,确定最优攻击方案;
服务器检测子模块,用于对可疑服务器进行检测,确定可疑服务器是否为受感染服务器;
攻击识别子模块,用于若存在最优攻击方案,则确定当前受到网络攻击;若不存在最优攻击方案且不存在受感染服务器,则确定当前未受到网络攻击;若不存在最优攻击方案且存在受感染服务器,则确定当前受到新型的网络攻击。
基于相同的发明构思,本发明实施例还提供了一种网络安全监测管理方法。参见图2,图2为本发明实施例提供的一种网络安全监测管理方法的流程图。多个预设网络节点部署有传感器,该方法可以包括以下步骤:
S201,当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集。
S202,提取攻击事件集的特定字段的信息,生成预设格式的事件信息。
S203,根据预设攻击行为集确定事件信息中的可疑行为,使用杀伤链模型对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段。
S204,根据可疑服务器、可疑行为和预设的攻击策略演化多个网络攻击下一攻击阶段的攻击方案。
S205,识别各攻击方案的置信度,确定各攻击方案是否为网络攻击。
攻击方案包括攻击路径和攻击行为。
基于本发明实施例提供的一种网络安全监测管理方法,通过对每次警报的攻击事件集进行分析,使用杀伤链模型对当前网络攻击处于的阶段进行分析,并站在攻击者的角度进行模拟攻击,对网络攻击行为进行预测,可以在网络攻击为完成前即可识别网络攻击,提高了网络攻击识别的效率和网络防护的安全性。
在一个实施例中,步骤S201包括以下步骤:
步骤一,接收传感器发送的报警数据包。
步骤二,根据目标数据包相关的数据包信息和该传感器对应的预设网络节点信息,确定与该警报相关的各传感器,获取各传感器的监控日志,生成攻击事件集,根据报警时间和传感器ID生成攻击事件集的事件ID。
报警数据包是传感器对网络节点的目标数据包检查失败时发送的报警信息;报警数据包包括目标数据包、目标数据包的负载类型、报警时间、目标数据包相关的数据包信息、传感器ID和该传感器对应的预设网络节点信息。
在一个实施例中,事件信息包括事件ID、源服务器、源服务器发送消息的时间、目的地服务器、目的服务器接收消息的时间和消息发送过程中经过的服务器;
步骤S202可以包括以下步骤:
步骤一,将事件信息根据网络拓扑和时间关系构建消息传输模型。
步骤二,根据预设攻击行为集确定消息传输模型中的具有可疑行为的节点,重构为攻击事件模型。
步骤三,将攻击事件模型映射到杀伤链模型,对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段。
在一个实施例中,步骤S204可以包括以下步骤:
步骤一,根据可疑行为在可疑服务器中确定疑似C2服务器和疑似感染服务器。
步骤二,模拟疑似C2服务器执行预设的攻击策略,演化疑似C2服务器和疑似感染服务器的攻击路径和攻击行为,得到多个网络攻击下一攻击阶段的攻击方案。
在一个实施例中,步骤S205可以包括以下步骤:
步骤一,针对每一攻击方案,根据Dempster合成规则将各步骤的执行概率融合,得到该攻击方案的置信度;
步骤二,将各攻击方案的置信度与预设阈值进行比较,确定最优攻击方案;
步骤三,对可疑服务器进行检测,确定可疑服务器是否为受感染服务器;
步骤四,若存在最优攻击方案,则确定当前受到网络攻击;若不存在最优攻击方案且不存在受感染服务器,则确定当前未受到网络攻击;若不存在最优攻击方案且存在受感染服务器,则确定当前受到新型的网络攻击。
以上对本发明的一个实施例进行了详细说明,但所述内容仅为本发明的较佳实施例,不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等,均应仍归属于本发明的专利涵盖范围之内。
Claims (5)
1.一种网络安全监测管理系统,其特征在于,包括网络安全监管服务器和分布式入侵检测模块IDS;所述网络安全监管服务器包括预处理模块、事件检测模块、攻击演化模块和杀伤链识别模块;所述IDS包括部署于多个预设网络节点的传感器;其中:
所述IDS,用于当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集;
所述预处理模块,用于提取所述攻击事件集的特定字段的信息,生成预设格式的事件信息;
所述事件检测模块,用于根据预设攻击行为集确定所述事件信息中的可疑行为,使用杀伤链模型对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段;
所述攻击演化模块包括服务器识别子模块和演化子模块;
服务器识别子模块,用于根据可疑行为在可疑服务器中确定疑似C2服务器和疑似感染服务器;
演化子模块,用于模拟疑似C2服务器执行预设的攻击策略,演化疑似C2服务器和疑似感染服务器的攻击路径和攻击行为,得到多个网络攻击下一攻击阶段的攻击方案;
所述杀伤链识别模块,用于识别各攻击方案的置信度,确定各攻击方案是否为网络攻击;
所述IDS还包括主控模块;
每一传感器,用于对该传感器对应网络节点的交互数据进行检查,若针对目标数据包检查失败,则向所述主控模块发送报警数据包以发出警报;所述报警数据包包括目标数据包、目标数据包的负载类型、报警时间、目标数据包相关的数据包信息、传感器ID和该传感器对应的预设网络节点信息;
所述主控模块,用于根据目标数据包相关的数据包信息和该传感器对应的预设网络节点信息,确定与该警报相关的各传感器,获取各传感器的监控日志,生成所述攻击事件集,根据报警时间和传感器ID生成所述攻击事件集的事件ID;
所述事件信息包括事件ID、源服务器、源服务器发送消息的时间、目的地服务器、目的服务器接收消息的时间和消息发送过程中经过的服务器;
所述事件检测模块,具体用于:
将所述事件信息根据网络拓扑和时间关系构建消息传输模型;
根据预设攻击行为集确定所述消息传输模型中的具有可疑行为的节点,重构为攻击事件模型;
将所述攻击事件模型映射到杀伤链模型,对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段;
所述杀伤链识别模块包括置信度子模块、服务器检测子模块、判断子模块和攻击识别子模块;
所述信度子模块,用于针对每一攻击方案,根据Dempster合成规则将各步骤的执行概率融合,得到该攻击方案的置信度;
所述判断子模块,用于将各攻击方案的置信度与预设阈值进行比较,确定最优攻击方案;
所述服务器检测子模块,用于对可疑服务器进行检测,确定可疑服务器是否为受感染服务器;
所述攻击识别子模块,用于若存在最优攻击方案,则确定当前受到网络攻击;若不存在最优攻击方案且不存在受感染服务器,则确定当前未受到网络攻击;若不存在最优攻击方案且存在受感染服务器,则确定当前受到新型的网络攻击。
2.一种基于权利要求1所述的网络安全监测管理系统的管理方法,其特征在于,应用于网络安全监管服务器;所述方法包括:
当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集;多个预设网络节点部署有传感器;
提取所述攻击事件集的特定字段的信息,生成预设格式的事件信息;
根据预设攻击行为集确定所述事件信息中的可疑行为,使用杀伤链模型对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段;
根据可疑行为在可疑服务器中确定疑似C2服务器和疑似感染服务器;
模拟疑似C2服务器执行预设的攻击策略,演化疑似C2服务器和疑似感染服务器的攻击路径和攻击行为,得到多个网络攻击下一攻击阶段的攻击方案;攻击方案包括攻击路径和攻击行为;
识别各攻击方案的置信度,确定各攻击方案是否为网络攻击。
3.基于权利要求2所述的一种网络安全监测管理方法,其特征在于,当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集包括:
接收传感器发送的报警数据包;报警数据包是传感器对网络节点的目标数据包检查失败时发送的报警信息;所述报警数据包包括目标数据包、目标数据包的负载类型、报警时间、目标数据包相关的数据包信息、传感器ID和该传感器对应的预设网络节点信息;
根据目标数据包相关的数据包信息和该传感器对应的预设网络节点信息,确定与该警报相关的各传感器,获取各传感器的监控日志,生成所述攻击事件集,根据报警时间和传感器ID生成所述攻击事件集的事件ID。
4.基于权利要求3所述的一种网络安全监测管理方法,其特征在于,所述事件信息包括事件ID、源服务器、源服务器发送消息的时间、目的地服务器、目的服务器接收消息的时间和消息发送过程中经过的服务器;
提取所述攻击事件集的特定字段的信息,生成预设格式的事件信息包括:
将所述事件信息根据网络拓扑和时间关系构建消息传输模型;
根据预设攻击行为集确定所述消息传输模型中的具有可疑行为的节点,重构为攻击事件模型;
将所述攻击事件模型映射到杀伤链模型,对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段。
5.基于权利要求2所述的一种网络安全监测管理方法,其特征在于,识别各攻击方案的置信度,确定各攻击方案是否为网络攻击,包括:
针对每一攻击方案,根据Dempster合成规则将各步骤的执行概率融合,得到该攻击方案的置信度;
将各攻击方案的置信度与预设阈值进行比较,确定最优攻击方案;
对可疑服务器进行检测,确定可疑服务器是否为受感染服务器;
若存在最优攻击方案,则确定当前受到网络攻击;若不存在最优攻击方案且不存在受感染服务器,则确定当前未受到网络攻击;若不存在最优攻击方案且存在受感染服务器,则确定当前受到新型的网络攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210878070.1A CN115277173B (zh) | 2022-07-25 | 2022-07-25 | 一种网络安全监测管理系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210878070.1A CN115277173B (zh) | 2022-07-25 | 2022-07-25 | 一种网络安全监测管理系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115277173A CN115277173A (zh) | 2022-11-01 |
CN115277173B true CN115277173B (zh) | 2024-03-22 |
Family
ID=83769817
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210878070.1A Active CN115277173B (zh) | 2022-07-25 | 2022-07-25 | 一种网络安全监测管理系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115277173B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108076040A (zh) * | 2017-10-11 | 2018-05-25 | 北京邮电大学 | 一种基于杀伤链和模糊聚类的apt攻击场景挖掘方法 |
CN112087420A (zh) * | 2020-07-24 | 2020-12-15 | 西安电子科技大学 | 一种网络杀伤链检测方法、预测方法及系统 |
CN112637207A (zh) * | 2020-12-23 | 2021-04-09 | 中国信息安全测评中心 | 一种网络安全态势预测方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11343265B2 (en) * | 2010-07-21 | 2022-05-24 | Seculert Ltd. | System and methods for malware detection using log analytics for channels and super channels |
US11575694B2 (en) * | 2021-01-20 | 2023-02-07 | Bank Of America Corporation | Command and control steganographic communications detection engine |
-
2022
- 2022-07-25 CN CN202210878070.1A patent/CN115277173B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108076040A (zh) * | 2017-10-11 | 2018-05-25 | 北京邮电大学 | 一种基于杀伤链和模糊聚类的apt攻击场景挖掘方法 |
CN112087420A (zh) * | 2020-07-24 | 2020-12-15 | 西安电子科技大学 | 一种网络杀伤链检测方法、预测方法及系统 |
CN112637207A (zh) * | 2020-12-23 | 2021-04-09 | 中国信息安全测评中心 | 一种网络安全态势预测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN115277173A (zh) | 2022-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109314698B (zh) | 保护计算机网络与系统的抢占式响应安全系统 | |
Modi et al. | A survey of intrusion detection techniques in cloud | |
US8931099B2 (en) | System, method and program for identifying and preventing malicious intrusions | |
EP2541862B1 (en) | A method of and apparatus for monitoring for security threats in computer network traffic | |
US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
US8127356B2 (en) | System, method and program product for detecting unknown computer attacks | |
US11509690B2 (en) | Management of botnet attacks to a computer network | |
US20040073800A1 (en) | Adaptive intrusion detection system | |
EP2147390B1 (en) | Detection of adversaries through collection and correlation of assessments | |
WO2006049814A2 (en) | Intrusion detection in a data center environment | |
CN112583845A (zh) | 一种访问检测方法、装置、电子设备和计算机存储介质 | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
KR100769221B1 (ko) | 제로데이 공격 대응 시스템 및 방법 | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
CN112583841B (zh) | 虚拟机安全防护方法及系统、电子设备和存储介质 | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
CN115277173B (zh) | 一种网络安全监测管理系统及方法 | |
CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
Durairaj et al. | A study on securing cloud environment from DDoS attack to preserve data availability | |
KR102377784B1 (ko) | 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 | |
CN113923021A (zh) | 基于沙箱的加密流量处理方法、系统、设备及介质 | |
Hamdani et al. | Detection of DDOS attacks in cloud computing environment | |
Hramcov et al. | Ways to eliminate DDos attacks | |
KR102671718B1 (ko) | 머신러닝을 통한 새로운 침입을 예측하는 웹로그 신규 위협 탐지 보안 시스템 | |
US11451584B2 (en) | Detecting a remote exploitation attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |