CN116614260A - 复杂网络攻击检测方法、系统、电子设备及存储介质 - Google Patents
复杂网络攻击检测方法、系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116614260A CN116614260A CN202310470871.9A CN202310470871A CN116614260A CN 116614260 A CN116614260 A CN 116614260A CN 202310470871 A CN202310470871 A CN 202310470871A CN 116614260 A CN116614260 A CN 116614260A
- Authority
- CN
- China
- Prior art keywords
- attack
- node
- mdta
- matched
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 77
- 238000000034 method Methods 0.000 claims abstract description 50
- 230000008569 process Effects 0.000 claims abstract description 10
- 230000006399 behavior Effects 0.000 claims description 33
- 238000012545 processing Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 11
- 230000008859 change Effects 0.000 claims description 6
- 238000007781 pre-processing Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 14
- 238000002347 injection Methods 0.000 description 10
- 239000007924 injection Substances 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 7
- 230000002123 temporal effect Effects 0.000 description 7
- 206010000117 Abnormal behaviour Diseases 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 238000012098 association analyses Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012384 transportation and delivery Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000000149 penetrating effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 101100332287 Dictyostelium discoideum dst2 gene Proteins 0.000 description 1
- 102100038367 Gremlin-1 Human genes 0.000 description 1
- 101001032872 Homo sapiens Gremlin-1 Proteins 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 101100534231 Xenopus laevis src-b gene Proteins 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- AWSBQWZZLBPUQH-UHFFFAOYSA-N mdat Chemical compound C1=C2CC(N)CCC2=CC2=C1OCO2 AWSBQWZZLBPUQH-UHFFFAOYSA-N 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/907—Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually
- G06F16/909—Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually using geographical or spatial information, e.g. location
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computational Linguistics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Library & Information Science (AREA)
- Life Sciences & Earth Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了复杂网络攻击检测方法、系统、电子设备及存储介质,涉及网络安全技术领域。通过获取待检测的告警信息,提取其关键信息生成MDATA待匹配节点,关键信息包括地址特征和时间特征,MDATA待匹配节点包括根据地址特征生成的地址实体和根据时间特征生成的时间实体,然后将MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配,若匹配成功,则将该MDATA待匹配节点设置为匹配节点并加入攻击序列,通过不断获取待检测的告警信息,重复上述过程直至符合预设条件,则根据攻击序列输出对应的复杂网络攻击。由此,通过实时获取告警,生成具有时空特征的MDATA待匹配节点,并与MDATA图数据库的进行匹配,有效去除了虚警,提高了复杂网络攻击的检测速度和准确性。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种复杂网络攻击检测方法、系统、电子设备及存储介质。
背景技术
复杂网络攻击是指利用多种攻击手段和技术,由一系列有逻辑关系的基础攻击行为构成,对网络进行深度渗透和破坏的攻击方式,其攻击手段和技术多样化和复杂化,隐蔽性强、破坏性大、威胁范围广,已经成为网络攻击的主要形式之一。
相关技术中,对复杂网络攻击的检测通常基于关联分析,例如基于机器学习的方法和基于溯源图的方法进行。然而基于机器学习的方法解释性差,不能有效解释虚警的发生,基于溯源图的方法主要依赖于主机审计日志,难以综合多维信息进行有效检测,从而导致检测复杂网络攻击的准确率低、速度慢。
发明内容
本申请旨在至少解决现有技术中存在的技术问题之一。为此,本申请实施例提供了一种复杂网络攻击检测方法、系统、电子设备及存储介质,能够在MDATA图数据库中快速检测和匹配,从而有效消除虚警,提高复杂网络攻击的检测速度和准确率。
第一方面,本申请实施例提供了一种复杂网络攻击检测方法,包括:
获取待检测的告警信息,并从所述告警信息中提取用于构建MDATA图的关键信息,所述关键信息包括地址特征和时间特征;
根据所述关键信息,生成MDATA待匹配节点,所述MDATA待匹配节点包括地址实体和时间实体;其中,所述地址特征用于对应生成所述地址实体,所述时间特征用于对应生成所述时间实体;
将所述MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配;其中,所述MDATA图数据库包括至少一个所述MDATA子图;所述MDATA子图包括多个节点,各个所述节点之间存在时间特征关系和空间特征关系,以使所述MDATA子图用于表征一个复杂网络攻击的时空规则;
若匹配成功,则将所述MDATA待匹配节点设置为匹配节点,并将所述匹配节点加入攻击序列;
获取下一个待检测的告警信息,重复上述过程,直至符合预设条件;
基于所述攻击序列,输出所述复杂网络攻击。
在本申请的一些实施例中,所述获取待检测的告警信息之前,还包括:
构建MDATA图数据库,包括:
从预设数据源获取预设数据;所述预设数据源包括安全知识库和漏洞数据库,所述预设数据包括安全知识数据和漏洞数据;
对所述预设数据进行预处理,得到各个复杂网络攻击对应的时空规则;所述时空规则包括多个攻击步骤,所述攻击步骤包括攻击地址特征和攻击时间特征;
基于每个所述时空规则,构建各个所述复杂网络攻击对应的所述MDATA子图;
将多个所述MDATA子图进行融合,以构建所述MDATA图数据库。
在本申请的一些实施例中,所述攻击步骤还包括行为属性,多个所述攻击地址特征之间存在攻击空间特征关系,多个所述攻击时间特征之间存在攻击时间特征关系;所述基于每个所述时空规则,构建各个所述复杂网络攻击对应的所述MDATA子图,包括:
根据所述攻击时间特征,对应生成攻击时间实体;
根据所述攻击地址特征,对应生成攻击地址实体,所述攻击地址特征包括攻击源地址和/或攻击目的地址,对应的,所述攻击地址实体包括攻击源地址实体和/或攻击目的地址实体;
设置关系连接边,以连接所述攻击时间实体与攻击地址实体;
基于所述攻击时间实体、所述攻击地址实体、所述关系连接边和所述行为属性,生成所述MDATA子图的节点;
基于所述攻击时间特征关系和所述攻击空间特征关系,对各个所述节点进行链接,以构建所述复杂网络攻击对应的所述MDATA子图。
在本申请的一些实施例中,所述关键信息还包括攻击属性;所述根据所述关键信息,生成MDATA待匹配节点,包括:
根据所述时间特征,对应生成所述时间实体;
根据所述地址特征,对应生成所述地址实体,所述地址特征包括第一攻击地址和/或第二攻击地址,对应的,所述地址实体包括第一攻击地址实体和/或第二攻击地址实体;
设置攻击连接边,以连接所述时间实体与地址实体;
基于所述时间实体、所述地址实体、所述攻击连接边和所述攻击属性,生成所述MDATA待匹配节点。
在本申请的一些实施例中,所述将所述MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配,包括:
判断所述MDATA待匹配节点是否为所述MDATA图数据库中的所述MDATA子图的首节点;
若所述MDATA待匹配节点为所述MDATA子图的所述首节点,则匹配成功,否则判断所述MDATA待匹配节点是否为所述攻击序列中所述匹配节点的后置节点;
若所述MDATA待匹配节点为所述匹配节点的所述后置节点,则匹配成功,否则匹配失败。
在本申请的一些实施例中,所述MDATA待匹配节点包括攻击连接边和攻击属性,所述MDATA子图的各个所述节点包括关系连接边和行为属性;所述判断所述MDATA待匹配节点是否为所述MDATA图数据库中的所述MDATA子图的首节点,包括:
基于所述MDATA图数据库,查询所述MDATA待匹配节点的所述攻击连接边是否与所述MDATA子图的所述首节点的所述关系连接边匹配;
基于所述MDATA图数据库,查询所述MDATA待匹配节点的所述攻击属性是否与所述MDATA子图的所述首节点的所述行为属性匹配;
若所述MDATA待匹配节点的所述攻击连接边和所述攻击属性均与所述MDATA子图的所述首节点的所述关系连接边和所述行为属性匹配,则判断所述MDATA待匹配节点为所述MDATA子图的所述首节点。
在本申请的一些实施例中,所述判断所述MDATA待匹配节点是否为所述攻击序列中所述匹配节点的后置节点,包括:
判断所述MDATA待匹配节点与所述攻击序列中所述匹配节点是否满足时间特征关系;
判断所述MDATA待匹配节点与所述攻击序列中所述匹配节点是否满足空间特征关系;
若同时满足所述时间特征关系和所述空间特征关系,则判断所述MDATA待匹配节点为所述匹配节点的所述后置节点。
在本申请的一些实施例中,所述匹配节点包括攻击连接边和攻击属性,所述MDATA子图的各个所述节点包括关系连接边和行为属性;所述预设条件包括所述匹配节点为所述MDATA图数据库中所述MDATA子图的尾节点;
所述符合预设条件,包括:
基于所述MDATA图数据库,查询所述攻击序列中的所述匹配节点的所述攻击连接边是否与所述MDATA子图的所述尾节点的所述关系连接边匹配;
基于所述MDATA图数据库,查询所述攻击序列中的所述匹配节点的所述攻击属性是否与所述MDATA子图的所述尾节点的所述行为属性匹配;
若所述匹配节点的所述攻击连接边与所述攻击属性均与所述MDATA子图的所述尾节点的所述关系连接边和所述行为属性匹配,则确定所述匹配节点为所述MDATA子图的所述尾节点。
在本申请的一些实施例中,所述基于所述攻击序列,输出所述复杂网络攻击,包括:
对所述攻击序列中的各个所述匹配节点按存储顺序进行链接,使得各个所述匹配节点之间满足所述时间特征关系和所述空间特征关系,以得到对应的所述MDATA子图;
获取并输出所述MDATA子图对应的所述复杂网络攻击。
在本申请的一些实施例中,所述时间特征关系为所述MDATA子图中各个所述节点的攻击时间的先后顺序,所述空间特征关系为所述MDATA子图中各个所述节点的攻击地址的变化顺序。
在本申请的一些实施例中,所述获取待检测的告警信息,包括:
获取告警产生信号;
响应于告警产生信号,从告警对应的工作日志获取对应的告警信息作为待检测的告警信息;
所述获取下一个待检测的告警信息,包括:
获取下一个告警产生信号;
响应于下一个告警产生信号,从告警对应的工作日志获取对应的告警信息作为下一个待检测的告警信息。
在本申请的一些实施例中,所述预设条件包括达到预设时长;
所述方法还包括:
在将所述MDATA待匹配节点设置为匹配节点后,启动计时器开始计时,并在下一个MDATA待匹配节点被设置为匹配节点时,重新计时;
所述符合预设条件,包括:
当计时到达所述预设时长,根据所述攻击序列输出所述复杂网络攻击。
在本申请的一些实施例中,所述预设时长通过以下方式预先设置:
获取样本攻击集合,所述样本攻击集合包括多个样本攻击,每个所述样本攻击包括多个攻击步骤;
获取每个所述样本攻击中的各个相邻所述步骤之间的时间间隔;
计算多个所述时间间隔的平均值;
基于所述平均值和第一系数,确定所述预设时长。
第二方面,本申请实施例还提供了一种复杂网络攻击检测系统,应用如本申请第一方面实施例所述的复杂网络攻击检测方法,包括:
告警模块,用于获取待检测的告警信息,并从所述告警信息中提取用于构建MDATA图的关键信息,所述关键信息包括地址特征和时间特征;
节点生成模块,用于根据所述关键信息,生成MDATA待匹配节点,所述MDATA待匹配节点包括地址实体和时间实体;其中,所述地址特征用于对应生成所述地址实体,所述时间特征用于对应生成所述时间实体;
节点匹配模块,用于将所述MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配;其中,所述MDATA图数据库包括至少一个所述MDATA子图;所述MDATA子图包括多个节点,各个所述节点之间存在时间特征关系和空间特征关系,以使所述MDATA子图用于表征一个复杂网络攻击的时空规则;
节点处理模块,用于当所述MDATA待匹配节点匹配成功时,将所述MDATA待匹配节点设置为匹配节点,并将所述匹配节点加入攻击序列
攻击输出模块,用于当符合预设条件时,基于所述攻击序列,输出所述复杂网络攻击。
第三方面,本申请实施例还提供了一种电子设备,包括存储器、处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如本申请第一方面实施例所述的复杂网络攻击检测方法。
第四方面,本申请实施例还提供了一种计算机可读存储介质,所述存储介质存储有程序,所述程序被处理器执行实现如本申请第一方面实施例所述的复杂网络攻击检测方法。
本申请实施例至少包括以下有益效果:
本申请实施例提供了一种复杂网络攻击检测方法、系统、电子设备及存储介质,通过获取待检测的告警信息,并提取告警信息中的关键信息生成MDATA待匹配节点,其中,关键信息包括地址特征和时间特征,MDATA待匹配节点包括根据地址特征生成的地址实体和根据时间特征生成的时间实体,然后将MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配,其中,MDATA图数据库中包括至少一个MDATA子图,并且MDATA子图包括多个节点,各个节点之间存在时间特征关系和空间特征关系,使得MDATA子图表征一个复杂网络攻击的时空规则。如果MDATA待匹配节点与MDATA图数据库的MDATA子图匹配成功,则将该MDATA待匹配节点设置为匹配节点并加入攻击序列,通过不断获取待检测的告警信息,重复上述过程直至符合预设条件,则根据攻击序列输出对应的复杂网络攻击。由此,可以实时获取告警,通过生成具有时间特征和空间特征的MDATA待匹配节点,并与存在时间特征关系和空间特征关系的MDATA图数据库的进行匹配,有效去除虚警,提高了复杂网络攻击的检测速度和准确性。
本申请的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1是本申请一个实施例提供的复杂网络检测方法的流程示意图;
图2是本申请一个实施例提供的MDATA待匹配节点示意图;
图3是本申请一个实施例提供的复杂网络攻击示意图;
图4是本申请一个实施例提供的复杂网络攻击MDATA图示意图;
图5是图1中步骤S101之前的流程示意图;
图6是图5中步骤S203的流程示意图;
图7是本申请一个实施例提供的攻击时间特征关系示意图;
图8是本申请一个实施例提供的攻击空间特征关系示意图;
图9是本申请一个实施例提供的MDATA子图示意图;
图10是图1中步骤S102的流程示意图;
图11是图1中步骤S103的流程示意图;
图12是图1中步骤S101的流程示意图;
图13是本申请一个实施例提供的复杂网络攻击检测流程图;
图14是本申请一个实施例提供的实时攻击示意图;
图15是本申请一个实施例提供的复杂网络检测系统模块示意图;
图16是本申请一个实施例提供的电子设备的结构示意图。
附图标记:告警模块100、节点生成模块200、节点匹配模块300、节点处理模块400、攻击输出模块500、电子设备1000、处理器1001、存储器1002。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能理解为对本申请的限制。
在本申请的描述中,需要理解的是,涉及到方位描述,例如上、下、前、后、左、右等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
在本申请的描述中,若干的含义是一个或者多个,多个的含义是两个以上,大于、小于、超过等理解为不包括本数,以上、以下、以内等理解为包括本数。如果有描述到第一、第二只是用于区分技术特征为目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。
本申请的描述中,除非另有明确的限定,设置、安装、连接等词语应做广义理解,所属技术领域技术人员可以结合技术方案的具体内容合理确定上述词语在本申请中的具体含义。
为了更好地理解本申请提供的技术方案,在此对本文中出现的术语进行相应地说明:
MDATA:多维数据关联和分析模型(Multidimensional Data Association andinTelligent Analysis,简称MDATA),是一种可以表示时空特征和动态知识的模型。
IDS:入侵检测系统(Intrusion Detection System,简称IDS),是一种安全设备,用于监控网络和系统中的安全事件,并检测可能的入侵行为。IDS设备可以被视为一种安全防线,它可以检测到并报告潜在的安全威胁,从而帮助管理员及时采取措施应对这些威助。
源IP地址:(Source IP Address)指的是发起通信的设备或主机的网络地址,用于标识通信数据包的来源,通常是一个32位的IP地址。
目的IP地址:(Destination IP Address)指的是接收通信数据包的设备或主机的网络地址,用于标识通信数据包的目的地,通常是一个32位的IP地址。
复杂网络攻击是指利用多种攻击手段和技术,由一系列有逻辑关系的基础攻击行为构成,对网络进行深度渗透和破坏的攻击方式,其攻击手段和技术多样化和复杂化,隐蔽性强、破坏性大、威胁范围广,已经成为网络攻击的主要形式之一。针对如何发现复杂网络攻击的内在联系,从而识别其攻击意图,是实现网络复杂攻击检测的关键也是建立大规模网络防御和预警机制的基础。
相关技术中,复杂网络攻击检测技术大多基于关联分析,即根据基础攻击之间的不同关系进行检测,而关联分析的处理可分为基于机器学习的方法和基于溯源图的方法。其中,基于机器学习的方法解释性差,不能有效解释误报报警的发生,基于溯源图的方法主要依赖于主机审计日志,难以综合多维信息进行有效检测,从而导致检测复杂网络攻击的准确率低、速度慢。相比之下现有的知识表示模型,如知识图谱,有很好的可解释性,而且复杂网络攻击之间的时间特征与空间特征从理论上可以用于基础攻击的关联分析从而完成检测。
基于此,本申请实施例提供了一种复杂网络攻击检测方法、系统、电子设备及存储介质,能够通过获取待检测的告警信息,并提取告警信息中的关键信息生成MDATA待匹配节点,其中,关键信息包括地址特征和时间特征,MDATA待匹配节点包括根据地址特征生成的地址实体和根据时间特征生成的时间实体,然后将MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配,如果MDATA待匹配节点与MDATA图数据库的MDATA子图匹配成功,则将该MDATA待匹配节点设置为匹配节点并加入攻击序列,通过不断获取待检测的告警信息,重复上述过程直至符合预设条件,则根据攻击序列输出对应的复杂网络攻击。由此,可以实时获取告警,通过生成具有时间特征和空间特征的MDATA待匹配节点,并与MDATA图数据库的进行匹配,有效去除虚警,提高了复杂网络攻击的检测速度和准确性。
本发明实施例提供复杂网络攻击检测方法、系统、电子设备及存储介质,具体通过如下实施例进行说明,首先描述本发明实施例中的复杂网络攻击检测方法。
本发明实施例提供的复杂网络攻击检测方法,涉及网络安全技术领域,尤其涉及网络攻防技术领域。本发明实施例提供的复杂网络攻击检测方法可应用于终端中,也可应用于服务器端中,还可以是运行于终端或服务器端中的计算机程序。举例来说,计算机程序可以是操作系统中的原生程序或软件模块;可以是本地(Native)应用程序(APP,Application),即需要在操作系统中安装才能运行的程序,如支持网络攻击规则图谱生成的客户端,即只需要下载到浏览器环境中就可以运行的程序。总而言之,上述计算机程序可以是任意形式的应用程序、模块或插件。其中,终端通过网络与服务器进行通信。该网络攻击规则图谱生成方法可以由终端或服务器执行,或由终端和服务器协同执行。
在一些实施例中,终端可以是智能手机、平板电脑、笔记本电脑、台式计算机或者智能手表等。服务器可以是独立的服务器,也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(ContentDelivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器;也可以是区块链系统中的服务节点,该区块链系统中的各服务节点之间组成点对点(P2P,PeerTo Peer)网络,P2P协议是一个运行在传输控制协议(TCP,Transmission ControlProtocol)协议之上的应用层协议。服务器上可以安装复杂网络攻击检测系统的服务端,通过该服务端可以与终端进行交互,例如服务端上安装对应的软件,软件可以是实现复杂网络攻击检测方法的应用等,但并不局限于以上形式。终端与服务器之间可以通过蓝牙、USB(Universal Serial Bus,通用串行总线)或者网络等通讯连接方式进行连接,本实施例在此不做限制。
本发明可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
下面描述本发明实施例中的复杂网络攻击检测方法。
图1是本发明实施例提供的网络攻击规则图谱生成方法的一个可选的流程图,图1中的方法可以包括但不限于包括步骤S101至步骤S106。同时可以理解的是,本实施例对图1中步骤S101至步骤S106的顺序不做具体限定,可以根据实际需求调整步骤顺序或者减少、增加某些步骤。
步骤S101,获取待检测的告警信息,并从告警信息中提取用于构建MDATA图的关键信息。
可以理解的是,网络攻击的告警通常由安全设备或安全软件自动产生,这些设备或软件会监控网络流量、系统日志、安全事件等,一旦发现异常行为或恶意攻击就会自动触发告警机制。示例性的,有网络设备告警,例如防火墙、入侵检测系统等安全设备会监控网络流量一且发现异常流量或攻击流量,就会生成告警;或者主机安全软件告警:例如杀毒软件、入侵检测软件等安全软件会监控主机的系统日志、进程、文件等,一旦发现异常行为或恶意攻击,就会生成告警;或者用户报告告警,由于有些安全事件可能不易被自动检测到,但用户可能会发现异常行为或恶意攻击,向安全人员报告后,安全人员会对此进行调查,并生成告警。
在一些实施例中,由IDS设备产生告警后,通过获取待检测的告警信息,并从告警信息中提取用于构建MDATA图的关键信息。其中,关键信息包括地址特征和时间特征,示例性的,待检测告警信息如下所示:
告警等级:高
告警内容:发现恶意IP地址尝试进行DDoS攻击,攻击目标IP地址为192.168.1.100,攻击时间戳为2021年6月1日13:45:00
告警时间:2021年6月1日13:45:30
告警来源:入侵检测系统
源IP地址:203.0.113.1
目的IP地址:192.168.1.100
攻击时间戳:2021年6月1日13:45:00
在一些实施例中,通过代码程序从该告警信息中提取的关键信息如下:
"src":203.0.113.1
"dst":192.168.1.100
"time":2021年6月1日13:45:00
可以理解的是,时间特征即攻击时间戳;地址特征可以包括攻击的源IP地址和目的IP地址,也可以包括攻击的源IP地址、源端口号、目的IP地址和目的端口号等,本实施例对此不做限制。
在一些实施例中,MDATA图是基于MDATA模型表示的知识图谱,而知识图谱是一种基于图的数据结构,由节点(Point)和边(Edge)组成。在知识图谱里每个节点表示现实世界中存在的“实体”,每条边为实体与实体之间的“关系”,知识图谱中二元关系事实通常表示为三元组,即(头部实体,关系,尾部实体)。MDATA模型在知识图谱的基础上,还实现了时间、空间的实体表示,增强了知识图谱的表示能力。具体的,MDATA图可以把攻击步骤作为实体,时间特征以及步骤之间的时间前后关系也作为实体,同时把地址特征作为实体。例如,源IP地址作为实体,也可以把目的IP地址作为实体,还可以把源IP地址和目的IP地址均作为实体。然后,根据攻击步骤和时间特征之间的关系构建关系边,根据攻击步骤和地址特征之间的关系构建关系边,根据各地址之间的空间关系构建关系边,从而形成MDATA图。这样,有利于更直观地呈现攻击步骤之间的时间关系和空间关系,同时有利于更快捷地进行攻击步骤的查找和匹配。
步骤S102,根据关键信息,生成MDATA待匹配节点,MDATA待匹配节点包括地址实体和时间实体。
在一些实施例中,根据关键信息中的时间特征,生成MDATA待匹配节点的时间实体;根据关键信息中的地址特征,生成MDATA待匹配节点的地址实体。示例性的,可以将攻击时间戳作为一个时间实体,将攻击的源IP地址作为一个地址实体,将攻击的目的IP地址作为另一个地址实体等,本实施例对此不做限制。
在一些实施例中,对不同的实体进行链接从而构成MDATA待匹配节点。示例性的,参照图2所示的MDATA待匹配节点示意图,一个MDATA待匹配节点包括攻击时间戳的时间实体t、攻击目的IP地址的地址实体dst和攻击步骤的实体步骤a,其中,攻击源IP地址可以作为步骤a的属性,关联至实体步骤a中。具体的,由攻击源IP地址对攻击目的IP地址发起网络攻击,对应的,将攻击源IP地址所在的实体步骤a指向攻击目的IP地址的地址实体dst,并与攻击时间戳对应的时间实体t链接,从而生成MDATA待匹配节点,本实施例对此不做限制。
步骤S103,将MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配。
在一些实施例中,MDATA图数据库包括至少一个MDATA子图,其中,一个MDATA子图包括多个节点,而且各个节点之间存在时间特征关系和空间特征关系,以使一个MDATA子图可以用于表征一个复杂网络攻击的时空规则。因此,MDATA图数据库中包括至少一个复杂网络攻击的时空规则,从而将复杂网络攻击的时空规则转化为MDATA子图表示,利用分布式图计算等方法有利于提高复杂网络攻击的检测速度。
在一些实施例中,时间特征关系为MDATA子图中各个节点的攻击时间的先后顺序,空间特征关系为MDATA子图中各个节点的攻击地址的变化顺序。可以理解的是,一个复杂网络攻击通常包括多个攻击步骤,不同的攻击步骤之间存在攻击时间的先后顺序和攻击地址的变化关系,可以将此作为MDATA子图中各个节点的时间特征关系和空间特征关系。
示例性的,参照图3所示的复杂网络攻击示意图,该复杂网络攻击为“夜龙”APT攻击。图中包括三个主机服务器,分别是攻击者、WEB服务器和敏感主机,“夜龙”APT中包含5个攻击步骤,分别是:
步骤1:攻陷web服务器——使用SQL注入攻击;
步骤2:扫描探测——扫描敏感主机和服务器;
步骤3:攻击突破——使用弱口令进行攻击破解;
步骤4:安装控制——安装远程控制工具;
步骤5:资源窃取——传回大量机敏文件。
具体的,“夜龙”APT攻击的各个攻击步骤存在时间特征关系:步骤1.t<步骤2.t<步骤3.t<步骤4.t<步骤5.t,即攻击步骤的执行顺序依次为步骤1、步骤2、步骤3、步骤4、步骤5;“夜龙”APT攻击的各个攻击步骤存在空间特征关系:步骤1的攻击源地址1.src=步骤2攻击源地址2.src、步骤1的攻击目的地址1.dst=步骤2的攻击目的地址2.dst、步骤2的攻击目的地址2.dst=步骤3的攻击源地址3.src、步骤3的攻击目的地址3.dst=步骤4的攻击源地址4.src、步骤4的攻击源地址4.src=步骤4的攻击目的地址4.dst、步骤4的攻击目的地址4.dst=步骤5的攻击源地址5.src、步骤5的攻击目的地址5.dst=步骤1的攻击源地址1.src。可以理解的是,上述IP地址中可能某些地址为经过伪装的IP地址。
步骤S104,若匹配成功,则将MDATA待匹配节点设置为匹配节点,并将匹配节点加入攻击序列。
在一些实施例中,如果MDATA待匹配节点与MDATA图数据库中的MDATA子图匹配成功,即MDATA待匹配节点属于复杂网络攻击的攻击步骤,则将该MDATA待匹配节点设置为匹配节点,并将匹配节点加入攻击序列中。示例性的,攻击序列中的匹配节点已包括“夜龙”APT攻击中的步骤1和步骤2,如果此时检测为步骤3,则匹配成功,如果检测为步骤2或步骤5则匹配失败,本实施例仅做示例。可以理解的是,攻击序列用于存储多个匹配节点,攻击序列可以表示为一组有序的步骤或操作,也可以表示为一个MDATA图,其中每个匹配节点代表一个攻击步骤,本实施例对此不做限制。
在一些实施例中,如果MDATA待匹配节点与MDATA图数据库中的MDATA子图匹配失败,即MDATA待匹配节点不属于复杂网络攻击的攻击步骤,则将该MDATA待匹配节点丢弃,从而可以有效去除IDS设备产生的大量虚警,有利于提高复杂网络攻击检测的准确率。
步骤S105,获取下一个待检测的告警信息,重复上述过程,直至符合预设条件。
在一些实施例中,一个复杂网络攻击通常包括多个攻击步骤,由此MDATA图数据库中的一个MDATA子图也对应包括多个节点。示例性的,复杂网络攻击A包括七个攻击步骤,此时匹配成功的MDATA子图的节点共三个,还未构成复杂网络攻击A,需要继续等待并获取下一个待检测的告警信息,并重复上述过程,直到检测到第七个攻击步骤对应的匹配节点时,才构成复杂网络攻击A,即预设条件为匹配到MDATA子图的尾结点,本实施例对此不做限制。
步骤S106,基于攻击序列,输出复杂网络攻击。
在一些实施例中,符合预设条件后,根据攻击序列中存储的各个匹配节点,将其作为复杂网络攻击的各个攻击步骤,输出对应的复杂网络攻击。具体的,对攻击序列中的各个匹配节点按存储顺序进行链接,使得各个匹配节点之间满足时间特征关系和空间特征关系,从而得到对应的MDATA子图,再获取并输出MDATA子图对应的复杂网络攻击。示例性的,参照图4所示复杂网络攻击MDATA图示意图,如果检测到“夜龙”APT攻击的步骤5的匹配节点,并与攻击序列中已匹配的前4个步骤对应的匹配节点相匹配,则按存储顺序对各个匹配节点进行链接,得到对应的MDATA子图,各个节点之间满足“夜龙”APT的时间特征关系和空间特征关系。由此完成一个复杂网络攻击的检测,通过对图数据库进行匹配,有效提升了复杂网络攻击的检测速度,去除大量IDS设备产生的虚警提高了检测准确率。
参照图5所示,在本申请的一些实施例中,上述步骤S101之前,即获取待检测的告警信息之前,还包括构建MDATA图数据库,具体还可以包括但不限于以下步骤S201至步骤S204。
步骤S201,从预设数据源获取预设数据。
在一些实施例中,预设数据源包括安全知识库和漏洞数据库,预设数据则对应包括安全知识数据和漏洞数据。可以理解的是,互联网中每天都有大量的网络安全相关知识发布,并且许多组织和机构建立的各种各样的知识库能够对攻击和漏洞的知识进行有效管理,比如通用漏洞披露(Common Vulnerabilities&Exposures,CVE)和常见缺陷列表(Common Weakness Enumeration,CWE)数据库,因此本实施例通过网络爬虫技术对网站爬取或者直接获取公开数据库的数据等方式获取得到获取预设数据源中的预设数据,具体包括安全报告、漏洞数据、安全论坛新闻等网络攻击信息。需要说明的是,本申请实施例对预设数据的获取方式不做具体限定。
步骤S202,对预设数据进行预处理,得到各个复杂网络攻击对应的时空规则。
在一些实施例中,对预设数据进行预处理,示例性的,预处理可以包括删除重复项、缺失值处理、去除乱码与标点以及非英文处理等。预设数据中包括各种各样的复杂网络攻击,可以理解的是,一个复杂网络攻击又包括多个攻击步骤,每个攻击步骤包括攻击地址特征和攻击时间特征,随着时间的变化,攻击的地址也会发生变化,由此构成了该复杂网络攻击对应的时空规则。
步骤S203,基于每个时空规则,构建各个复杂网络攻击对应的MDATA子图。
在一些实施例中,基于时空规则,构建复杂网络攻击对应的MDATA子图,具体的,根据攻击步骤中的攻击时间特征和攻击地址特征可以构建该复杂网络攻击对应的MDATA子图中的节点。具体的,根据攻击时间特征对应生成攻击时间实体,根据攻击地址特征对应生成攻击地址实体,对不同实体进行链接即生成MDATA子图的节点。根据复杂网络攻击的时空规则,由不同的攻击步骤生成MDATA子图中的不同节点,最后对各个节点进行链接即可得到该复杂网络攻击对应的MDATA子图。
步骤S204,将多个MDATA子图进行融合,以构建MDATA图数据库。
在一些实施例中,将不同的复杂网络攻击对应得到MDATA子图进行融合,从而构建MDATA图数据库。可以理解的是,可以将各个MDATA子图单独存储至MDATA图数据库中,从而便于对每个MDAT子图进行管理、维护和优化。也可以将各个MDATA子图融合成一个MDATA大图,对各个MDATA子图的节点去重后存储至MDATA图数据库中,从而对整个图数据库进行处理,同时也能够减少重复节点的存储。本实施例对此不做限制。
参照图6所示,在本申请的一些实施例中,上述步骤S203还可以包括但不限于以下步骤S301至步骤S305。
步骤S301,根据攻击时间特征,对应生成攻击时间实体。
在一些实施例中,不同的攻击步骤中的攻击时间特征之间存在攻击时间特征关系,示例性的,参照图7所示的攻击时间特征关系示意图,一个复杂网络攻击A包括四个攻击步骤,分别是攻击步骤a,攻击步骤b,攻击步骤c,攻击步骤d。该复杂网络攻击需要按照特定的顺序依次执行各个步骤才能完成攻击,具体的,在攻击步骤c之前,需要完成攻击步骤a和攻击步骤b,即a.t<b.t<c.t<d.t,因此攻击时间特征关系即各个攻击步骤中的攻击时间特征先后顺序,根据攻击时间特征对应生成该攻击步骤的攻击时间实体,从而与不同的时间实体存在先后关系。
步骤S302,根据攻击地址特征,对应生成攻击地址实体。
在一些实施例中,不同的攻击步骤对应攻击的地址不同,由此随着时间的变化,不同的攻击步骤中对应的攻击地址特征之间存在攻击空间特征关系。可以理解的是,攻击步骤中的攻击地址特征包括攻击源地址和/或攻击目的地址,对应的,攻击地址实体也包括攻击源地址实体和/或攻击目的地址实体。示例性的,参照图8所示的攻击空间特征关系示意图,复杂网络攻击A包括四个攻击步骤,分别是攻击步骤a,攻击步骤b,攻击步骤c,攻击步骤d。由于每个攻击步骤都存在攻击行为,即具有攻击目的IP地址,将此作为对应的地址实体dst,而攻击源IP地址则作为步骤实体的属性,与步骤实体关联。由图可知,该复杂网络攻击A对应的攻击空间特征关系为:步骤a的攻击源地址a.src=步骤b的攻击源地址b.src、步骤a的攻击目的地址a.dst=步骤b的攻击目的地址b.dst、步骤b的攻击目的地址b.dst=步骤c的攻击源地址c.src、步骤c的攻击目的地址c.dst=步骤d的攻击源地址d.src、步骤d的攻击目的地址d.dst=步骤a的攻击源地址a.src。因此,根据攻击地址特征,对应生成该攻击步骤的攻击地址实体,从而与不同的地址实体存在空间关系。
步骤S303,设置关系连接边,以连接攻击时间实体与攻击地址实体。
在一些实施例中,针对每个攻击步骤,设置关系连接边,用于连接攻击时间实体与攻击地址实体,以表达该攻击步骤的时空关系。可以理解的是,由各个攻击步骤的时空关系构成了对应的复杂网络攻击的时空规则。
步骤S304,基于攻击时间实体、攻击地址实体、关系连接边和行为属性,生成MDATA子图的节点。
在一些实施例中,攻击步骤还包括行为属性,示例性的,行为属性可以是攻击者的身份、攻击类型和攻击工具等,本实施例对此不做限制。根据攻击时间实体、攻击地址实体、关系连接边和行为属性,对应生成MDATA子图的节点,一个节点代表复杂网络攻击中的一个攻击步骤,节点中的各个实体和关系连接边共同组成了攻击步骤中的时空关系。
步骤S305,基于攻击时间特征关系和攻击空间特征关系,对各个节点进行链接,以构建复杂网络攻击对应的MDATA子图。
在一些实施例中,根据复杂网络攻击中各个攻击步骤之间的攻击时间特征关系和攻击空间特征关系,对生成的MDATA子图的各个节点进行链接,使得链接后的各个节点之间存在同样的攻击时间特征关系和攻击空间特征关系,以构建该复杂网络攻击对应的MDATA子图。示例性的,参照图9所示的MDATA子图示意图,对复杂网络攻击A的四个步骤的攻击时间特征关系和攻击空间特征关系结合,从而得到该复杂网络攻击A对应的MDATA子图。示例性的,可以将攻击空间特征关系中的攻击步骤实体指向攻击时间特征关系中的时间实体,本实施例对此不做限制。
参照图10所示,在本申请的一些实施例中,上述步骤S102还可以包括但不限于以下步骤S401至步骤S404。
步骤S401,根据时间特征,对应生成时间实体。
在一些实施例中,根据告警的关键信息中的时间特征,对应生成时间实体。具体的,将关键信息中的攻击时间戳作为时间实体,便于与其他告警的关键信息生成的时间实体进行对比,从而得到不同告警对应攻击的先后顺序。
步骤S402,根据地址特征,对应生成地址实体。
在一些实施例中,根据告警的关键信息中的地址特征,对应生成地址实体。具体的,关键信息中的地址特征包括第一攻击地址和/或第二攻击地址,对应的,攻击地址实体也包括第一攻击地址实体和/或第二攻击地址实体。可以理解的是,第一攻击地址为攻击源地址,第二攻击地址为攻击目的地址。可以理解的是,或者根据告警的关键信息中的攻击信息,对应生成步骤实体,并将攻击的第一攻击地址作为步骤实体的属性,即将第一攻击地址实体与步骤实体联合表示,本实施例对此不做限制。
步骤S403,设置攻击连接边,以连接时间实体与地址实体。
在一些实施例中,针对该告警的关键信息生成的实体设置关系连接边,从而连接时间实体与地址实体,以表达该告警中的时空关系。
步骤S404,基于时间实体、地址实体、攻击连接边和攻击属性,生成MDATA待匹配节点。
在一些实施例中,关键信息还包括攻击属性,具体的,攻击属性可以是攻击者的身份、攻击类型和攻击工具等。示例性的,关键信息中还包括攻击源端口和攻击目的端口,则将攻击源端口和攻击目的端口作为攻击属性,本实施例对此不做限制。根据时间实体、地址实体、攻击连接边和攻击属性,对应生成MDATA待匹配节点。
参照图11所示,在本申请的一些实施例中,上述步骤S103还可以包括但不限于以下步骤S501至步骤S503。
步骤S501,判断MDATA待匹配节点是否为MDATA图数据库中的MDATA子图的首节点。
在一些实施例中,生成MDATA待匹配节点后便于MDATA图数据库中的各个MDATA子图进行匹配,首先判断该MDATA待匹配节点是否为某个MDATA子图的首节点。
在一些实施例中,MDATA待匹配节点包括攻击连接边和攻击属性,MDATA子图的各个节点包括关系连接边和行为属性。可以理解的是,查询图数据库通常需要使用特定的查询语言或API,如Cypher、Gremlin、SPARQL等。具体的,基于MDATA图数据库,查询MDATA待匹配节点的攻击连接边是否与MDATA子图的首节点的关系连接边匹配;基于MDATA图数据库,查询MDATA待匹配节点的攻击属性是否与MDATA子图的首节点的行为属性匹配。如果MDATA待匹配节点的攻击连接边和攻击属性均与MDATA子图的首节点的关系连接边和行为属性匹配,则判断待匹配节点为MDATA子图的首节点。
在一些实施例中,首节点存在特定的攻击行为,示例性的,“夜龙”APT攻击中,步骤1对应的攻击行为是使用SQL注入攻击,由此可能引发IDS设备产生SQL注入告警。可以理解的是,本领域技术人员可以根据实际需求设置首节点的相关属性,本实施例对此不做限制。
步骤S502,若MDATA待匹配节点为MDATA子图的首节点,则匹配成功,否则判断MDATA待匹配节点是否为攻击序列中匹配节点的后置节点。
在一些实施例中,如果MDATA待匹配节点为MDATA子图的首节点,则匹配成功,否则需要进一步判断该MDATA待匹配节点是否为攻击序列中匹配节点的后置节点。具体的,除了判断攻击连接边与关系连接边和攻击属性与行为属性是否匹配,还需要进一步判断MDATA待匹配节点与攻击序列中匹配节点是否满足时间特征关系,并判断MDATA待匹配节点与攻击序列中匹配节点是否满足空间特征关系,如果同时满足时间特征关系和空间特征关系,则判断MDATA待匹配节点为匹配节点的后置节点。
示例性的,参照图4所示的复杂网络攻击MDATA图示意图,攻击序列中存储有“夜龙”APT攻击的步骤1和步骤2对应的匹配节点,当MDATA待匹配节点为步骤3对应的节点时,其时间特征关系满足:步骤1.t<步骤2.t<步骤3.t,并且其空间特征关系满足:步骤2的攻击目的地址2.dst=步骤3的攻击源地址3.src、步骤3的攻击目的地址3.dst=步骤4的攻击源地址4.src。从而该MDATA待匹配节点为步骤2对应的匹配节点的后置节点,本实施例对此不做限制。
步骤S503,若MDATA待匹配节点为匹配节点的后置节点,则匹配成功,否则匹配失败。
在一些实施例中,如果MDATA待匹配节点为匹配节点的后置节点,则匹配成功,即该MDATA待匹配节点为MDATA图数据库中MDATA子图的节点。如果该MDATA待匹配节点既不是MDATA子图的首节点,也不是攻击序列中匹配节点的后置节点,则匹配失败,即该MDATA待匹配节点并非MDATA图数据库中MDATA子图的任一节点。
在一些实施例中,丢弃匹配失败的MDATA待匹配节点,从而去除对应产生的虚警,有利于提高复杂网络攻击的检测准确率。
在本申请的一些实施例中,处理完一个告警后,如果攻击序列中的各个匹配节点还未形成一个复杂网络攻击,则需要继续获取下一个待检测的告警信息,重复上述过程,直至符合预设条件。示例性的,预设条件包括匹配节点为MDATA图数据库中MDATA子图的尾节点,即一个复杂网络攻击对应的最后一个攻击步骤匹配成功。具体的,基于MDATA图数据库,查询攻击序列中的匹配节点的攻击连接边是否与MDATA子图的尾节点的关系连接边匹配;基于MDATA图数据库,查询攻击序列中的匹配节点的攻击属性是否与MDATA子图的尾节点的行为属性匹配。如果该匹配节点的攻击连接边和攻击属性均与MDATA子图的尾节点的关系连接边和行为属性匹配,则判断匹配节点为MDATA子图的尾节点。
在一些实施例中,尾节点存在特定的攻击行为,示例性的,“夜龙”APT攻击中,步骤5对应的攻击行为是传回大量机敏文件,由此产生了实际的危害。可以理解的是,本领域技术人员可以根据实际需求设置尾节点的相关属性,本实施例对此不做限制。
在本申请的一些实施例中,预设条件还可以是达到预设时长。具体的,在将MDATA待匹配节点设置为匹配节点后,启动计时器开始计时,并在下一个MDATA待匹配节点被设置为匹配节点时,重新计时;当计时到达预设时长,根据攻击序列输出复杂网络攻击。由此可以有效控制复杂网络攻击的检测时长,避免浪费资源。
在本申请一些实施例中,预设时长可以通过以下方式预先设置,首先获取样本攻击集合,样本攻击集合中包括多个样本攻击,每个样本攻击包括多个攻击步骤,然后获取每个样本攻击中的各个相邻步骤之间的时间间隔,再计算多个时间间隔的平均值,基于平均值和第一系数,确定预设时长。示例性的,计算的平均值为10分钟,第一系数为1.5,则确定预设时长为10*1.5=15分钟。
预设时长可以根据各个样本攻击之间的时间间隔的平均值再乘上第一系数确定。例如,设中间值,其中,β为第一系数,pk为第k个样本攻击与下一个样本攻击之间的时间间隔,n为样本攻击集合中的样本攻击之间的时间间隔的数量。则可以根据中间值M的大小确定预设时长。
第一系数可以根据需要合理设定。一般第一系数的取值范围在1至2之间。例如,第一系数可设定为1.5。预设时长这样设置的好处是,在各个样本攻击之间的时间间隔的平均数的基础上乘上合理系数,满足了大部分样本攻击的等待时长,且可以通过对第一系数的调整,实现对等待时长的调整;相对于根据最大值确定预设时长的方案,采用平均数确定预设时长可以缩小等待时长,从而节省资源。
参照图12所示,在本申请的一些实施例中,上述步骤S101还可以包括但不限于以下步骤S601至步骤S602。
步骤S601,获取告警产生信号。
在一些实施例中,如果发现异常行为或恶意攻击就会自动触发告警机制,由IDS设备发出告警产生信号。IDS设备发出告警产生信号的原因有许多,示例性的,可以是由未经授权的访问引发,攻击者可能会尝试通过暴力破解或利用漏洞等方式,未经授权地访问受害者的网络或系统。又或者是由恶意软件攻击引发,攻击者可能会通过电子邮件、社交媒体等途径向受害者发送恶意软件,例如病毒、木马等。或者是由SQL注入攻击:攻击者可能会尝试通过SQL注入等方式,利用应用程序漏洞攻击受害者的数据库等等。IDS设备可能会检测到这些行为,并发出告警产生信号。
步骤S602,响应于告警产生信号,从告警对应的工作日志获取对应的告警信息作为待检测的告警信息。
在一些实施例中,响应于告警产生信号,从告警对应的工作日志获取对应的告警信息,并作为待检测的告警信息。可以理解的是,工作日志通常包括以下信息:
告警级别:表示告警的严重程度,通常分为紧急、重要、一般等几个级别
设备名称:告警所涉及的设备或系统的名称
告警类型:告警所属的类型,如网络故障、硬件故障、软件错误等
时间戳:告警发生的时间
告警描述:告警事件的具体描述
告警来源:发出告警的模块或程序
处理状态:告警处理状态,如已处理、未处理等
告警处理人:负责处理告警的人员姓名或账号
额外信息:可能还包括告警相关的其他信息,如告警的影响范围、建议的解决方案等
可以理解的是,本实施例仅做示例,对此不做限制。
在一些实施例中,上述步骤S105中的获取下一个待检测的告警信息,还包括获取下一个告警产生信号,然后响应于下一个告警产生信号,从告警对应的工作日志获取对应的告警信息作为下一个待检测的告警信息。从而实时对告警进行检测,有效提高了复杂网络攻击的检测速度。
以下通过一个完整的实施例说明本申请,当IDS设备产生告警后,提取告警信息中的关键信息生成MDATA待匹配节点,然后基于MDATA图数据库进行检测匹配。具体的,参照图13所示的复杂网络攻击检测流程图,首先判断该MDATA待匹配节点是否是MDATA图数据库中某一MDATA子图的首节点,如果匹配为首节点则将该MDATA待匹配节点设置为匹配节点后加入攻击序列中,否则继续判断是否是攻击序列中匹配节点的后置节点,如果匹配为后置节点则同样将该MDATA待匹配节点设置为匹配节点并加入攻击序列中,此时如果符合预设条件则根据攻击序列输出对应的复杂网络攻击,否则继续等待检测下一个告警的MDATA待匹配节点。如果检测的MDATA待匹配节点既不是首节点也不是后置节点,则将判断为非攻击行为并丢弃而不进行记录,从而有效去除了大量虚警,提高了复杂网络攻击检测的速度和准确率。
示例性的,MDATA图数据库中存储有复杂网络攻击B对应的MDATA子图,复杂网络攻击B共有三个攻击步骤,即其对应的MDATA子图共有三个节点。可以理解的是,每个节点对应有时间实体、目的地址实体和步骤实体,而且步骤实体具有攻击源地址的属性,或者也可以直接将攻击源地址作为源地址实体,本实施例对此不做限制。参照图14所示的实时攻击示意图,当产生SQL注入告警时,对应生成SQL注入攻击的MDATA待匹配节点1,节点1具有时间实体t1,目的地址实体dst1,步骤实体b1和源地址实体src1,通过与MDATA图数据库检测,匹配为复杂网络攻击B的MDATA子图的首节点,然后将该SQL注入攻击存储至攻击序列中,后续又产生一个缓冲区溢出告警,对应生成缓存溢出攻击的MDATA待匹配节点2,节点2具有时间实体t2,目的地址实体dst2,步骤实体b2和源地址实体src2,通过与MDATA图数据库检测,并与首节点满足时间特征关系和空间特征关系。例如,缓存溢出攻击的攻击时间戳晚于SQL注入攻击的攻击时间戳,即时间实体t1和t2满足时间特征关系t1<t2。由此匹配为复杂网络攻击B的步骤2,即第二个节点。可以将缓存溢出攻击与SQL注入攻击对应的节点进行链接,形成实时攻击图存储至攻击序列中,并等待下一攻击步骤的加入从而形成完整的复杂网络实时攻击图。如果下一个告警对应的MDATA待匹配节点不符合复杂网络攻击B的MDATA子图对应的第三个节点,则将其丢弃并继续检测下一个告警,直到检测到复杂网络攻击B的最后一个步骤,即对应的MDATA子图的尾结点时,才符合预设条件,进而根据攻击序列输出复杂网络攻击B。
通过实时获取告警,生成具有时间特征和空间特征的MDATA待匹配节点,并与MDATA图数据库的进行匹配,有效去除虚警,基于图的计算和检测有效提高了复杂网络攻击的检测速度和准确性。
本发明实施例还提供一种复杂网络攻击检测系统,可以实现上述复杂网络攻击检测方法,参照图15所示,在本申请一些实施例中,复杂网络攻击检测系统包括:
告警模块100,用于获取待检测的告警信息,并从告警信息中提取用于构建MDATA图的关键信息,关键信息包括地址特征和时间特征;
节点生成模块200,用于根据关键信息,生成MDATA待匹配节点,MDATA待匹配节点包括地址实体和时间实体;其中,地址特征用于对应生成地址实体,时间特征用于对应生成时间实体;
节点匹配模块300,用于将MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配;其中,MDATA图数据库包括至少一个MDATA子图;MDATA子图包括多个节点,各个节点之间存在时间特征关系和空间特征关系,以使MDATA子图用于表征一个复杂网络攻击的时空规则;
节点处理模块400,用于当MDATA待匹配节点匹配成功时,将MDATA待匹配节点设置为匹配节点,并将匹配节点加入攻击序列;
攻击输出模块500,用于当符合预设条件时,基于攻击序列,输出复杂网络攻击。
本实施例的复杂网络攻击检测系统的具体实施方式与上述复杂网络攻击检测方法的具体实施方式基本一致,在此不再一一赘述。
图16示出了本申请实施例提供的电子设备1000。电子设备1000包括:处理器1001、存储器1002及存储在存储器1002上并可在处理器1001上运行的计算机程序,计算机程序运行时用于执行上述的复杂网络攻击检测方法。
处理器1001和存储器1002可以通过总线或者其他方式连接。
存储器1002作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序,如本申请实施例描述的复杂网络攻击检测方法。处理器1001通过运行存储在存储器1002中的非暂态软件程序以及指令,从而实现上述的复杂网络攻击检测方法。
存储器1002可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储执行上述的复杂网络攻击检测方法。此外,存储器1002可以包括高速随机存取存储器1002,还可以包括非暂态存储器1002,例如至少一个储存设备存储器件、闪存器件或其他非暂态固态存储器件。在一些实施方式中,存储器1002可选包括相对于处理器1001远程设置的存储器1002,这些远程存储器1002可以通过网络连接至该电子设备1000。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
实现上述的复杂网络攻击检测方法所需的非暂态软件程序以及指令存储在存储器1002中,当被一个或者多个处理器1001执行时,执行上述的复杂网络攻击检测方法,例如,执行图1中的方法步骤S101至步骤S106、图5中的方法步骤S201至步骤S204、图6中的方法步骤S301至步骤S305、图10中的方法步骤S401至步骤S404、图11中的方法步骤S501至步骤S504、图12中的方法步骤S601至步骤S602。
本申请实施例还提供了一种存储介质,存储介质为计算机可读存储介质,该存储介质存储有计算机程序,该计算机程序被处理器执行时实现上述复杂网络攻击检测方法。存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本申请实施例提供的复杂网络攻击检测方法、系统、电子设备及存储介质,能够通过获取待检测的告警信息,并提取告警信息中的关键信息生成MDATA待匹配节点,其中,关键信息包括地址特征和时间特征,MDATA待匹配节点包括根据地址特征生成的地址实体和根据时间特征生成的时间实体,然后将MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配,如果MDATA待匹配节点与MDATA图数据库的MDATA子图匹配成功,则将该MDATA待匹配节点设置为匹配节点并加入攻击序列,通过不断获取待检测的告警信息,重复上述过程直至符合预设条件,则根据攻击序列输出对应的复杂网络攻击。由此,通过实时获取告警,生成具有时间特征和空间特征的MDATA待匹配节点,并与MDATA图数据库的进行匹配,有效去除虚警,基于图的计算和检测有效提高了复杂网络攻击的检测速度和准确性。
以上所描述的实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、储存设备存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包括计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
还应了解,本申请实施例提供的各种实施方式可以任意进行组合,以实现不同的技术效果。以上是对本申请的较佳实施进行了具体说明,但本申请并不局限于上述实施方式,熟悉本领域的技术人员在不违背本申请精神的共享条件下还可作出种种等同的变形或替换。
Claims (16)
1.一种复杂网络攻击检测方法,其特征在于,包括:
获取待检测的告警信息,并从所述告警信息中提取用于构建MDATA图的关键信息,所述关键信息包括地址特征和时间特征;
根据所述关键信息,生成MDATA待匹配节点,所述MDATA待匹配节点包括地址实体和时间实体;其中,所述地址特征用于对应生成所述地址实体,所述时间特征用于对应生成所述时间实体;
将所述MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配;其中,所述MDATA图数据库包括至少一个所述MDATA子图;所述MDATA子图包括多个节点,各个所述节点之间存在时间特征关系和空间特征关系,以使所述MDATA子图用于表征一个复杂网络攻击的时空规则;
若匹配成功,则将所述MDATA待匹配节点设置为匹配节点,并将所述匹配节点加入攻击序列;
获取下一个待检测的告警信息,重复上述过程,直至符合预设条件;
基于所述攻击序列,输出所述复杂网络攻击。
2.根据权利要求1所述的复杂网络攻击检测方法,其特征在于,所述获取待检测的告警信息之前,还包括:
构建MDATA图数据库,包括:
从预设数据源获取预设数据;所述预设数据源包括安全知识库和漏洞数据库,所述预设数据包括安全知识数据和漏洞数据;
对所述预设数据进行预处理,得到各个复杂网络攻击对应的时空规则;所述时空规则包括多个攻击步骤,所述攻击步骤包括攻击地址特征和攻击时间特征;
基于每个所述时空规则,构建各个所述复杂网络攻击对应的所述MDATA子图;
将多个所述MDATA子图进行融合,以构建所述MDATA图数据库。
3.根据权利要求2所述的复杂网络攻击检测方法,其特征在于,所述攻击步骤还包括行为属性,多个所述攻击地址特征之间存在攻击空间特征关系,多个所述攻击时间特征之间存在攻击时间特征关系;所述基于每个所述时空规则,构建各个所述复杂网络攻击对应的所述MDATA子图,包括:
根据所述攻击时间特征,对应生成攻击时间实体;
根据所述攻击地址特征,对应生成攻击地址实体,所述攻击地址特征包括攻击源地址和/或攻击目的地址,对应的,所述攻击地址实体包括攻击源地址实体和/或攻击目的地址实体;
设置关系连接边,以连接所述攻击时间实体与攻击地址实体;
基于所述攻击时间实体、所述攻击地址实体、所述关系连接边和所述行为属性,生成所述MDATA子图的节点;
基于所述攻击时间特征关系和所述攻击空间特征关系,对各个所述节点进行链接,以构建所述复杂网络攻击对应的所述MDATA子图。
4.根据权利要求1所述的复杂网络攻击检测方法,其特征在于,所述关键信息还包括攻击属性;所述根据所述关键信息,生成MDATA待匹配节点,包括:
根据所述时间特征,对应生成所述时间实体;
根据所述地址特征,对应生成所述地址实体,所述地址特征包括第一攻击地址和/或第二攻击地址,对应的,所述地址实体包括第一攻击地址实体和/或第二攻击地址实体;
设置攻击连接边,以连接所述时间实体与地址实体;
基于所述时间实体、所述地址实体、所述攻击连接边和所述攻击属性,生成所述MDATA待匹配节点。
5.根据权利要求1所述的复杂网络攻击检测方法,其特征在于,所述将所述MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配,包括:
判断所述MDATA待匹配节点是否为所述MDATA图数据库中的所述MDATA子图的首节点;
若所述MDATA待匹配节点为所述MDATA子图的所述首节点,则匹配成功,否则判断所述MDATA待匹配节点是否为所述攻击序列中所述匹配节点的后置节点;
若所述MDATA待匹配节点为所述匹配节点的所述后置节点,则匹配成功,否则匹配失败。
6.根据权利要求5所述的复杂网络攻击检测方法,其特征在于,所述MDATA待匹配节点包括攻击连接边和攻击属性,所述MDATA子图的各个所述节点包括关系连接边和行为属性;所述判断所述MDATA待匹配节点是否为所述MDATA图数据库中的所述MDATA子图的首节点,包括:
基于所述MDATA图数据库,查询所述MDATA待匹配节点的所述攻击连接边是否与所述MDATA子图的所述首节点的所述关系连接边匹配;
基于所述MDATA图数据库,查询所述MDATA待匹配节点的所述攻击属性是否与所述MDATA子图的所述首节点的所述行为属性匹配;
若所述MDATA待匹配节点的所述攻击连接边和所述攻击属性均与所述MDATA子图的所述首节点的所述关系连接边和所述行为属性匹配,则判断所述MDATA待匹配节点为所述MDATA子图的所述首节点。
7.根据权利要求5所述的复杂网络攻击检测方法,其特征在于,所述判断所述MDATA待匹配节点是否为所述攻击序列中所述匹配节点的后置节点,包括:
判断所述MDATA待匹配节点与所述攻击序列中所述匹配节点是否满足时间特征关系;
判断所述MDATA待匹配节点与所述攻击序列中所述匹配节点是否满足空间特征关系;
若同时满足所述时间特征关系和所述空间特征关系,则判断所述MDATA待匹配节点为所述匹配节点的所述后置节点。
8.根据权利要求1所述的复杂网络攻击检测方法,其特征在于,所述匹配节点包括攻击连接边和攻击属性,所述MDATA子图的各个所述节点包括关系连接边和行为属性;所述预设条件包括所述匹配节点为所述MDATA图数据库中所述MDATA子图的尾节点;
所述符合预设条件,包括:
基于所述MDATA图数据库,查询所述攻击序列中的所述匹配节点的所述攻击连接边是否与所述MDATA子图的所述尾节点的所述关系连接边匹配;
基于所述MDATA图数据库,查询所述攻击序列中的所述匹配节点的所述攻击属性是否与所述MDATA子图的所述尾节点的所述行为属性匹配;
若所述匹配节点的所述攻击连接边与所述攻击属性均与所述MDATA子图的所述尾节点的所述关系连接边和所述行为属性匹配,则确定所述匹配节点为所述MDATA子图的所述尾节点。
9.根据权利要求1所述的复杂网络攻击检测方法,其特征在于,所述基于所述攻击序列,输出所述复杂网络攻击,包括:
对所述攻击序列中的各个所述匹配节点按存储顺序进行链接,使得各个所述匹配节点之间满足所述时间特征关系和所述空间特征关系,以得到对应的所述MDATA子图;
获取并输出所述MDATA子图对应的所述复杂网络攻击。
10.根据权利要求1至9中任一项所述的复杂网络攻击检测方法,其特征在于,所述时间特征关系为所述MDATA子图中各个所述节点的攻击时间的先后顺序,所述空间特征关系为所述MDATA子图中各个所述节点的攻击地址的变化顺序。
11.根据权利要求1所述的复杂网络攻击检测方法,其特征在于,
所述获取待检测的告警信息,包括:
获取告警产生信号;
响应于告警产生信号,从告警对应的工作日志获取对应的告警信息作为待检测的告警信息;
所述获取下一个待检测的告警信息,包括:
获取下一个告警产生信号;
响应于下一个告警产生信号,从告警对应的工作日志获取对应的告警信息作为下一个待检测的告警信息。
12.根据权利要求11所述的复杂网络攻击检测方法,其特征在于,所述预设条件包括达到预设时长;
所述方法还包括:
在将所述MDATA待匹配节点设置为匹配节点后,启动计时器开始计时,并在下一个MDATA待匹配节点被设置为匹配节点时,重新计时;
所述符合预设条件,包括:
当计时到达所述预设时长,根据所述攻击序列输出所述复杂网络攻击。
13.根据权利要求12所述的复杂网络攻击检测方法,其特征在于,所述预设时长通过以下方式预先设置:
获取样本攻击集合,所述样本攻击集合包括多个样本攻击,每个所述样本攻击包括多个攻击步骤;
获取每个所述样本攻击中的各个相邻所述步骤之间的时间间隔;
计算多个所述时间间隔的平均值;
基于所述平均值和第一系数,确定所述预设时长。
14.一种复杂网络攻击检测系统,其特征在于,应用如权利要求1至13中任一项所述的复杂网络攻击检测方法,包括:
告警模块,用于获取待检测的告警信息,并从所述告警信息中提取用于构建MDATA图的关键信息,所述关键信息包括地址特征和时间特征;
节点生成模块,用于根据所述关键信息,生成MDATA待匹配节点,所述MDATA待匹配节点包括地址实体和时间实体;其中,所述地址特征用于对应生成所述地址实体,所述时间特征用于对应生成所述时间实体;
节点匹配模块,用于将所述MDATA待匹配节点与MDATA图数据库中的MDATA子图进行匹配;其中,所述MDATA图数据库包括至少一个所述MDATA子图;所述MDATA子图包括多个节点,各个所述节点之间存在时间特征关系和空间特征关系,以使所述MDATA子图用于表征一个复杂网络攻击的时空规则;
节点处理模块,用于当所述MDATA待匹配节点匹配成功时,将所述MDATA待匹配节点设置为匹配节点,并将所述匹配节点加入攻击序列
攻击输出模块,用于当符合预设条件时,基于所述攻击序列,输出所述复杂网络攻击。
15.一种电子设备,其特征在于,包括存储器、处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至13中任一项所述的复杂网络攻击检测方法。
16.一种计算机可读存储介质,其特征在于,所述存储介质存储有程序,所述程序被处理器执行实现如权利要求1至13中任一项所述的复杂网络攻击检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310470871.9A CN116614260A (zh) | 2023-04-25 | 2023-04-25 | 复杂网络攻击检测方法、系统、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310470871.9A CN116614260A (zh) | 2023-04-25 | 2023-04-25 | 复杂网络攻击检测方法、系统、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116614260A true CN116614260A (zh) | 2023-08-18 |
Family
ID=87679138
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310470871.9A Pending CN116614260A (zh) | 2023-04-25 | 2023-04-25 | 复杂网络攻击检测方法、系统、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116614260A (zh) |
-
2023
- 2023-04-25 CN CN202310470871.9A patent/CN116614260A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US12047396B2 (en) | System and method for monitoring security attack chains | |
US11212306B2 (en) | Graph database analysis for network anomaly detection systems | |
JP6894003B2 (ja) | Apt攻撃に対する防御 | |
US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
US10296739B2 (en) | Event correlation based on confidence factor | |
WO2022083417A1 (zh) | 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品 | |
CN111193719A (zh) | 一种网络入侵防护系统 | |
CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
CN112685734B (zh) | 安全防护方法、装置、计算机设备和存储介质 | |
CN111726342B (zh) | 一种提升蜜罐系统告警输出精准性的方法及系统 | |
US12081569B2 (en) | Graph-based analysis of security incidents | |
CN117527412A (zh) | 数据安全监测方法及装置 | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
CN113596044A (zh) | 一种网络防护方法、装置、电子设备及存储介质 | |
CN116319074B (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 | |
CN114598546B (zh) | 应用防御方法、装置、设备、介质和程序产品 | |
CN114024709B (zh) | 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质 | |
CN116614260A (zh) | 复杂网络攻击检测方法、系统、电子设备及存储介质 | |
Xu et al. | [Retracted] Method of Cumulative Anomaly Identification for Security Database Based on Discrete Markov chain | |
CN111680294A (zh) | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 | |
Chen et al. | State-based attack detection for cloud | |
CN114338175A (zh) | 数据收集管理系统及数据收集管理方法 | |
Yao et al. | Anomaly Detection on Network Traffic | |
CN117278245A (zh) | 针对互联网仿真场景的数据采集方法、装置及存储介质 | |
CN115664831A (zh) | 一种网络安全防护方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |