CN101771582B - 一种基于状态机的安全监控关联分析方法及*** - Google Patents
一种基于状态机的安全监控关联分析方法及*** Download PDFInfo
- Publication number
- CN101771582B CN101771582B CN200910243576XA CN200910243576A CN101771582B CN 101771582 B CN101771582 B CN 101771582B CN 200910243576X A CN200910243576X A CN 200910243576XA CN 200910243576 A CN200910243576 A CN 200910243576A CN 101771582 B CN101771582 B CN 101771582B
- Authority
- CN
- China
- Prior art keywords
- safe condition
- security incident
- goal systems
- attack
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
本发明公开了一种基于状态机的安全监控关联分析方法,包括以下步骤:确定目标***的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集;对目标***的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表;根据所述对照表检查并记录目标***的安全状态。本发明可以在保障***运行速度一定的情况下,对资产的安全状态存储较长时间;可以检查分布式的***攻击;在没有定义精确攻击场景的情况下,可以确定***的安全状态;可以分析出***受到攻击的轨迹,为调查取证提供依据。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种基于状态机的安全监控关联分析方法及***。
背景技术
传统的解决多步攻击的攻击场景重构的方法中,主要使用时序关联的方法。
传统的攻击场景重构主要的实现过程如下:
(1)自定义攻击场景,把需要检查的攻击过程用规则的进行表示。
(2)对检查到得安全事件与规则进行匹配,如果符合规则则产生告警。
现有技术一的缺点:
(1)需要准确的定义的攻击场景。
(2)当定义过多的安全攻击场景时,需对安全事件进行各个攻击场景匹配,导致***的检查效率明显下降。
(3)当攻击者进行协同攻击时,需保持过多的安全状态,导致***的检查效率降低。
发明内容
(一)发明目的
本发明的目的是提供一种基于状态机的安全监控关联分析方法,解决由多步骤组成事件的检查、利用多源数据来判断***的状态和网络协同攻击的问题。
(二)发明内容
一种基于状态机的安全监控关联分析方法,包括以下步骤:
S1:确定目标***的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集;
S2:对目标***的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表;
S3:根据所述对照表检查并记录目标***的安全状态。
其中,所述步骤S3包括:
当目标***收到监视程序的告警时,查看所述目标***的对照表中的安全状态是否为满足所述告警中安全事件对应安全状态的前一状态,若满足,则将所述目标***的安全状态改为告警中安全事件对应的安全状态,否则查找目标***前一阶段是否有对应的安全事件,如果找到,则将所述目标***的安全状态改为告警中安全事件对应的安全状态,否则将目标***的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。
其中,所述安全状态包括:目标***信息被收集、权限被获取、被置入后门和日志被清理。
一种基于状态机的安全监控关联分析***,包括:
攻击场景确定模块,用于确定目标***的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集;
对照表建立模块,用于对目标***的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表;
安全状态记录模块,用于根据所述对照表检查并记录目标***的安全状态。
其中,所述安全状态记录模块包括:
前一状态判断模块,用于当目标***收到监视程序的告警时,查看所述目标***的对照表中的安全状态是否为满足所述告警中安全事件对应安全状态的前一状态,若满足,则执行当前安全状态设置模块,否则执行前一阶段查找模块;
当前安全状态设置模块,用于将所述目标***的安全状态改为告警中安全事件对应的安全状态;
前一阶段查找模块,用于查找目标***前一阶段是否有对应的安全事件,如果找到,则执行当前安全状态设置模块,否则执行不确定安全状态设置模块;
不确定安全状态设置模块,用于将目标***的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。
(三)有益效果
本发明的基于状态机的安全监控关联分析方法具有如下有益效果:
(1)可以在保障***运行速度一定的情况下,对资产的安全状态存储较长时间;
(2)可以检查分布式的***攻击;
(3)在没有定义精确攻击场景的情况下,可以确定***的安全状态;
(4)可以分析出***受到攻击的轨迹,为调查取证提供依据。
附图说明
图1是根据本发明的基于状态机的安全监控关联分析方法的流程图。
具体实施方式
本发明提出的基于状态机的安全监控关联分析方法,结合附图和实施例说明如下。
如图1所示,步骤S1确定目标***的攻击场景的各攻击阶段对应的安全状态,其中攻击场景是指相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集,通过规则构建攻击场景可以识别真正的攻击事件、预测攻击的下一步动作,安全状态通常包括目标***信息被收集、权限被获取、被置入后门和日志被清理等。
步骤S2中对各监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立安全状态与安全事件的对照表,即各攻击阶段与安全事件的对照表,如表1所示:
表1 各攻击阶段与安全事件的对照表
表中的攻击各阶段对应于各个安全状态,安全事件为导致达到某个安全状态时所发生的事件。
步骤S3根据上述对照表检查并记录资产所在目标***的安全状态。具体地,当***收到监视程序的一个告警Alert_new时,步骤S31中查看目标***的对照表中的安全状态是否为满足所述告警Alert_new中安全事件对应安全状态的前一状态,若满足,则将目标***的安全状态改为对应状态,即步骤S32,然后结束,例如:收到一个告警Alert_new,该警告中安全事件(如:溢出攻击)对应的安全状态为“获取权限”,则检查对应***对照表的安全状态是否已经被标为“***信息被收集”状态,如果是则把该***的安全状态改为“权限被获取”的状态;若不满足,则在步骤S33中查找目标***前一阶段是否有对应的安全事件,若找到,则将目标***的安全状态改为告警Alert_new中安全事件对应的安全状态,然后结束;否则将该***的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。
一种基于状态机的安全监控关联分析***,包括:
攻击场景确定模块,用于确定目标***的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集;对照表建立模块,用于对目标***的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表;安全状态记录模块,用于根据所述对照表检查并记录目标***的安全状态。
其中,所述安全状态记录模块包括:
前一状态判断模块,用于当目标***收到监视程序的告警时,查看所述目标***的对照表中的安全状态是否为满足所述告警中安全事件对应安全状态的前一状态,若满足,则执行当前安全状态设置模块,否则执行前一阶段查找模块;当前安全状态设置模块,用于将所述目标***的安全状态改为告警中安全事件对应的安全状态;前一阶段查找模块,用于查找目标***前一阶段是否有对应的安全事件,如果找到,则执行当前安全状态设置模块,否则执行不确定安全状态设置模块;不确定安全状态设置模块,用于将目标***的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (3)
1.一种基于状态机的安全监控关联分析方法,其特征在于,包括以下步骤:
S1:确定目标***的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集;
S2:对目标***的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表;
S3:根据所述对照表检查并记录目标***的安全状态,具体包括:
当目标***收到监视程序的告警时,查看所述目标***的对照表中的安全状态是否为满足所述告警中安全事件对应安全状态的前一状态,若满足,则将所述目标***的安全状态改为告警中安全事件对应的安全状态,否则查找目标***前一阶段是否有对应的安全事件,如果找到,则将所述目标***的安全状态改为告警中安全事件对应的安全状态,否则将目标***的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。
2.如权利要求1所述的基于状态机的安全监控关联分析方法,其特征在于,所述安全状态包括:目标***信息被收集、权限被获取、被置入后门和日志被清理。
3.一种基于状态机的安全监控关联分析***,其特征在于,包括:
攻击场景确定模块,用于确定目标***的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集;
对照表建立模块,用于对目标***的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表;
安全状态记录模块,用于根据所述对照表检查并记录目标***的安全状态,具体包括:
前一状态判断模块,用于当目标***收到监视程序的告警时,查看所述目标***的对照表中的安全状态是否为满足所述告警中安全事件对应安全状态的前一状态,若满足,则执行当前安全状态设置模块,否则执行前一阶段查找模块;
当前安全状态设置模块,用于将所述目标***的安全状态改为告警中安全事件对应的安全状态;
前一阶段查找模块,用于查找目标***前一阶段是否有对应的安全事件,如果找到,则执行当前安全状态设置模块,否则执行不确定安全状态设置模块;
不确定安全状态设置模块,用于将目标***的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910243576XA CN101771582B (zh) | 2009-12-28 | 2009-12-28 | 一种基于状态机的安全监控关联分析方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910243576XA CN101771582B (zh) | 2009-12-28 | 2009-12-28 | 一种基于状态机的安全监控关联分析方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101771582A CN101771582A (zh) | 2010-07-07 |
CN101771582B true CN101771582B (zh) | 2011-12-14 |
Family
ID=42504198
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910243576XA Active CN101771582B (zh) | 2009-12-28 | 2009-12-28 | 一种基于状态机的安全监控关联分析方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101771582B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101958897B (zh) * | 2010-09-27 | 2013-10-09 | 北京***工程研究所 | 一种安全事件关联分析方法及*** |
CN102685095A (zh) * | 2011-12-26 | 2012-09-19 | 北京安天电子设备有限公司 | 基于风险级别事件处理的方法及*** |
CN103580900B (zh) * | 2012-08-01 | 2016-12-21 | 上海宝信软件股份有限公司 | 一种基于事件链的关联分析*** |
CN103269290B (zh) * | 2013-04-18 | 2016-04-13 | ***通信集团陕西有限公司 | 基于案例库智能分析网络异常的方法和装置 |
CN103269337B (zh) * | 2013-04-27 | 2016-08-10 | 中国科学院信息工程研究所 | 数据处理方法及装置 |
CN104219193B (zh) * | 2013-05-29 | 2017-08-08 | 中国电信股份有限公司 | 安全事件关联分析方法及*** |
CN103561012B (zh) * | 2013-10-28 | 2017-01-25 | 中国科学院信息工程研究所 | 一种基于关联树的web后门检测方法及*** |
CN103746991B (zh) * | 2014-01-02 | 2017-03-15 | 曙光云计算技术有限公司 | 云计算网络中的安全事件分析方法及*** |
CN106330909B (zh) * | 2016-08-24 | 2019-07-26 | 华青融天(北京)技术股份有限公司 | 安全事件处理方法 |
CN107483425B (zh) * | 2017-08-08 | 2020-12-18 | 北京盛华安信息技术有限公司 | 基于攻击链的复合攻击检测方法 |
CN112866220B (zh) * | 2021-01-07 | 2022-08-23 | 深圳市永达电子信息股份有限公司 | 一种基于cia状态机的安全管控方法及*** |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5414833A (en) * | 1993-10-27 | 1995-05-09 | International Business Machines Corporation | Network security system and method using a parallel finite state machine adaptive active monitor and responder |
CN1447263A (zh) * | 2003-03-17 | 2003-10-08 | 上海金诺网络安全技术发展股份有限公司 | 计算机网络信息安全事件处理方法 |
CN101047542A (zh) * | 2006-03-31 | 2007-10-03 | 中国科学院软件研究所 | 大规模网络安全性分析的方法 |
-
2009
- 2009-12-28 CN CN200910243576XA patent/CN101771582B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5414833A (en) * | 1993-10-27 | 1995-05-09 | International Business Machines Corporation | Network security system and method using a parallel finite state machine adaptive active monitor and responder |
CN1447263A (zh) * | 2003-03-17 | 2003-10-08 | 上海金诺网络安全技术发展股份有限公司 | 计算机网络信息安全事件处理方法 |
CN101047542A (zh) * | 2006-03-31 | 2007-10-03 | 中国科学院软件研究所 | 大规模网络安全性分析的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101771582A (zh) | 2010-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101771582B (zh) | 一种基于状态机的安全监控关联分析方法及*** | |
CN106341414B (zh) | 一种基于贝叶斯网络的多步攻击安全态势评估方法 | |
CN109981328A (zh) | 一种故障预警方法及装置 | |
CN106888205A (zh) | 一种非侵入式基于功耗分析的plc异常检测方法 | |
CN109886475B (zh) | 基于ai的计量自动化***的信息安全态势感知*** | |
CN105681286A (zh) | 关联分析方法和关联分析*** | |
CN101556679A (zh) | 一种综合前端***故障处理方法及计算机设备 | |
CN105354697A (zh) | 一种基于财务科目规则库的自动在线审计方法及*** | |
CN101272286A (zh) | 网络入侵事件关联检测方法 | |
CN103208049B (zh) | 异常告警快速事故分析方法及*** | |
KR101444250B1 (ko) | 개인정보 접근감시 시스템 및 그 방법 | |
CN108880901A (zh) | 一种网络设备及服务器故障诊断和修复的***和方法 | |
CN110933083A (zh) | 一种基于分词与攻击匹配的漏洞等级评估装置及其方法 | |
CN104219193A (zh) | 安全事件关联分析方法及*** | |
CN115664703A (zh) | 一种基于多维度信息的攻击溯源方法 | |
Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
CN117220917A (zh) | 一种基于云计算的网络实时监控方法 | |
CN112348306A (zh) | 一种面向配电运检中的TitanOS人工智能开发方法及装置 | |
CN102073930A (zh) | 一种基于虚拟机的针对电力调度自动化***的安全风险评估方法 | |
Qiu et al. | Attack detection for spoofed synchrophasor measurements using segmentation network | |
CN116346405A (zh) | 基于数据统计的网络安全运维能力评估***及方法 | |
CN110515365B (zh) | 一种基于过程挖掘的工控***异常行为分析方法 | |
CN106548191A (zh) | 基于集成核局部保持投影的连续过程故障检测方法 | |
CN101833695A (zh) | 一种被执行人财产预警方法及*** | |
CN100367230C (zh) | 基于lsm的程序行为控制方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder | ||
CP02 | Change in the address of a patent holder |
Address after: Room 818, 8 / F, 34 Haidian Street, Haidian District, Beijing 100080 Patentee after: BEIJING ULTRAPOWER SOFTWARE Co.,Ltd. Address before: No. 28 building, 100089 Beijing Wanliu new city Haidian District wanquanzhuang Road 5 layer Patentee before: BEIJING ULTRAPOWER SOFTWARE Co.,Ltd. |