CN109167794A - 一种面向网络***安全度量的攻击检测方法 - Google Patents
一种面向网络***安全度量的攻击检测方法 Download PDFInfo
- Publication number
- CN109167794A CN109167794A CN201811112626.6A CN201811112626A CN109167794A CN 109167794 A CN109167794 A CN 109167794A CN 201811112626 A CN201811112626 A CN 201811112626A CN 109167794 A CN109167794 A CN 109167794A
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- security
- security measure
- network system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种面向网络***安全度量的攻击检测方法,涉及网络安全领域。本发明从网络***自身、网络***安全度量出发,通过建立网络信息***的安全效用基线,通过对网络***的标识特征、流量特征、效用影响进行度量评估,通过对实际效用与预期效用进行对比,发现网络***的异常,及时检测和发现网络攻击,弥补了基于攻击特征检测存在的不足,提升了攻击检测的准确性;通过在网络***环境中有效地使用度量指标,选取合适度量指标集合并按照这些度量集合在实际项目中进行数据采集,根据采集到的数据来判断是否发生了网络攻击,通过使用网络***度量结果为网络攻击的检测提供决策支撑,为评估对象主动发现安全问题、检测和判断出网络攻击提供依据。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种面向网络***安全度量的攻击检测方法。
背景技术
网络***安全度量是指,首先建立网络信息***的安全基线(网络信息***有不同安全级别的基线),通过对网络***的标识特征、流量特征、效用影响进行度量评估,对实际评估效用与预期安全基线进行对比,来发现网络***的异常,及时检测和发现网络攻击,从而为网络安全决策提供准确指引。
在网络***安全中,风险、攻击和防御是相互关联与制约及协同演化的。目前,网络攻击检测的主流做法是:通过监测网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与网络行为原型相比较来识别攻击事件。但这种做法有两个缺陷及不足:一方面无法对加密后的网络流量进行有效的攻击检测;另一方面这种攻击检测能力严重依赖已知攻击特征。随着网络攻击技术的迅猛发展,面对网络***的复杂、多样和异构等特性,出现了越来越多“手术刀”式的高级持续攻击,更为可怕的是,黑客组织、攻击团队等已经将攻击程序都隐藏在加密链路中。因此,如何针对这两类缺陷提供一种攻击检测方法,通过对网络***的安全度量,发现网络***的异常情况,以实现攻击检测的效果,成为了亟待解决的技术问题。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何提升攻击检测的准确性。
(二)技术方案
为了解决上述技术问题,本发明提供了一种面向网络***安全度量的攻击检测方法,包括以下步骤:
S1、确定安全度量任务
划分安全度量功能,通过构建网络***安全量化评估试验环境,将安全度量操作流程以图形和通用语言描述,通过绘制流程方式建立安全度量操作流程,按照所建立的安全度量操作流程提取并封装可组件化、可复用的度量内容;
S2、部署网络安全参数的采集器
在网络边界、网络交换、主机、服务器这几个维度部署采集器;
S3、选取度量指标
根据所确定的安全度量任务,选取多维安全度量指标,从而确定各安全度量指标的安全基线;
S4、采集度量数据
利用所部署的能够适应于不同网络环境的采集器,感知网络连接上下文,进行自动和自适应的度量数据采集,获取度量数据;
S5、判断网络***是否异常
利用各安全度量指标的安全基线,构建基于贝叶斯网络的概率攻击图,对采集到的度量数据进行识别,判断网络***是否存在异常,若是,则进入步骤S6,否则结束。
S6、进行攻击检测分析
提取攻击的特征,包括攻击目标状态、安全事件、可观测数据、漏洞信息,与外部的网络威胁情报进行匹配,形成攻击信息,并基于地理空间和虚拟空间数据,实现形成可视化网络攻击链。
优选地,若网络***是IP网络***,则安全度量指标包括网络拓扑、网络资产信息、网络流量、服务器信息、关键业务、出口防火墙和安全防护资源。
优选地,所述网络流量包括吞吐量、丢包率、用户响应时间、服务器响应时间、网络时延、网络拥塞时间。
优选地,所述服务器信息包括CPU性能变化、内存性能变化、磁盘性能变化、内存占用率、磁盘读取/写入速度。
优选地,所述关键业务包括业务中断,业务出错,业务响应延迟,业务正常。
优选地,所述安全防护资源包括入侵防御资源、病毒查杀资源、身份鉴别资源、访问控制资源、安全审计资源。
优选地,步骤S4中,所述采集器为探针集。
优选地,所述度量数据包括网络拓扑、网络资产信息、漏洞分布信息、网络流量、数据流级的应用流量、网络设备日志、网络安全防护设备日志、网络攻击链数据。
优选地,步骤S4中采集度量数据时,利用安全度量工作流引擎提供引擎集群功能,根据安全度量请求数量分发至不同的操作业务流程引擎进行实例处理。
优选地,所述网络威胁情报包括威胁主体、攻击目标、攻击活动、攻击标识、安全事件、可观测数据、攻击方法、应对措施。
(三)有益效果
本发明从网络***自身、网络***安全度量出发,通过建立网络信息***的安全效用基线,通过对网络***的标识特征、流量特征、效用影响进行度量评估,通过对实际效用与预期效用进行对比,来发现网络***的异常,及时检测和发现网络攻击,弥补了基于攻击特征检测存在的不足,提升了攻击检测的准确性;通过在网络***环境中有效地使用度量指标,选取合适的度量指标集合并按照这些度量集合在实际项目中进行数据采集,根据采集到的数据来判断是否发生了网络攻击,即通过使用网络***度量结果来为网络攻击的检测提供决策支撑,为评估对象主动发现安全问题、检测和判断出网络攻击提供有力依据。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合实施例,对本发明的具体实施方式作进一步详细描述。
本发明提供的一种面向网络***安全度量的攻击检测方法,包括以下步骤:
S1、确定安全度量任务
划分安全度量功能,通过构建网络***安全量化评估试验环境,将安全度量操作流程以图形和通用语言描述,通过绘制流程方式建立安全度量操作流程,按照所建立的安全度量操作流程提取并封装可组件化、可复用的度量内容;
本步骤实现了操作流程与任务实现细节剥离,保证安全度量具有灵活性、动态可扩展性,且保证了安全度量过程的流程化和规范化。
S2、部署网络安全参数的采集器
本步骤中,针对不同应用场景和被评估对象存在的差异,在网络边界、网络交换、主机、服务器这几个维度部署采集器,提升安全度量的科学性、全面性和普适性。
S3、选取度量指标
根据所确定的安全度量任务,选取多维安全度量指标,从而确定各安全度量指标的安全基线;
以典型IP网络***为例,安全度量指标包括网络拓扑、网络资产信息、网络流量、服务器信息、关键业务、出口防火墙和安全防护资源。在具体试验中,将网络流量包括吞吐量、丢包率、用户响应时间、服务器响应时间、网络时延、网络拥塞时间。服务器信息包括CPU性能变化、内存性能变化、磁盘性能变化、内存占用率、磁盘读取/写入速度。关键业务包括业务中断,业务出错,业务响应延迟,业务正常。安全防护资源包括入侵防御资源、病毒查杀资源、身份鉴别资源、访问控制资源、安全审计资源。
S4、采集度量数据
利用所部署的能够适应于不同网络环境的采集器(探针集),感知网络连接上下文,进行自动和自适应的度量数据采集,获取度量数据。所述度量数据包括网络拓扑、网络资产信息、漏洞分布信息、网络流量、数据流级的应用流量、网络设备日志、网络安全防护设备日志、网络攻击链数据;采集时,利用安全度量工作流引擎提供引擎集群功能,根据安全度量请求数量分发至不同的操作业务流程引擎进行实例处理,以提高整体并发数量。
S5、判断网络***是否异常
利用各安全度量指标的安全基线,构建基于贝叶斯网络的概率攻击图,对采集到的度量数据进行识别,判断网络***是否存在异常,若是,则进入步骤S6,否则结束。
S6、进行攻击检测分析
提取攻击的特征,包括攻击目标状态、安全事件、可观测数据、漏洞信息,与外部的网络威胁情报(包括威胁主体、攻击目标、攻击活动、攻击标识、安全事件、可观测数据、攻击方法、应对措施)进行匹配,形成攻击信息,并基于地理空间和虚拟空间数据,实现形成可视化网络攻击链。
本发明可为典型网络***的安全度量评估提供参考标准、参考流程以及自动化的工具及平台。可指导开发人员及运维管理人员,针对特定的网络***定制有效的安全评估指标,实施自动化、可视化的安全度量评估标准流程,从而有效降低安全评估的技术难度,并能通过实际的应用验证,不断完善安全度量指标及度量方案,从而提高安全度量评估方案的有效性和可实施性、提升攻击检测的准确性。本发明可以为复杂网络***提供安全自测自查。针对典型网络***的安全度量评估经验、理论及技术成果,可构建成为安全度量的整体解决方案,指导关键网络***的安全度量指标建立、流程制定以及安全度量实施的全过程。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种面向网络***安全度量的攻击检测方法,其特征在于,包括以下步骤:
S1、确定安全度量任务
划分安全度量功能,通过构建网络***安全量化评估试验环境,将安全度量操作流程以图形和通用语言描述,通过绘制流程方式建立安全度量操作流程,按照所建立的安全度量操作流程提取并封装可组件化、可复用的度量内容;
S2、部署网络安全参数的采集器
在网络边界、网络交换、主机、服务器这几个维度部署采集器;
S3、选取度量指标
根据所确定的安全度量任务,选取多维安全度量指标,从而确定各安全度量指标的安全基线;
S4、采集度量数据
利用所部署的能够适应于不同网络环境的采集器,感知网络连接上下文,进行自动和自适应的度量数据采集,获取度量数据;
S5、判断网络***是否异常
利用各安全度量指标的安全基线,构建基于贝叶斯网络的概率攻击图,对采集到的度量数据进行识别,判断网络***是否存在异常,若是,则进入步骤S6,否则结束。
S6、进行攻击检测分析
提取攻击的特征,包括攻击目标状态、安全事件、可观测数据、漏洞信息,与外部的网络威胁情报进行匹配,形成攻击信息,并基于地理空间和虚拟空间数据,实现形成可视化网络攻击链。
2.如权利要求1所述的方法,其特征在于,若网络***是IP网络***,则安全度量指标包括网络拓扑、网络资产信息、网络流量、服务器信息、关键业务、出口防火墙和安全防护资源。
3.如权利要求2所述的方法,其特征在于,所述网络流量包括吞吐量、丢包率、用户响应时间、服务器响应时间、网络时延、网络拥塞时间。
4.如权利要求3所述的方法,其特征在于,所述服务器信息包括CPU性能变化、内存性能变化、磁盘性能变化、内存占用率、磁盘读取/写入速度。
5.如权利要求4所述的方法,其特征在于,所述关键业务包括业务中断,业务出错,业务响应延迟,业务正常。
6.如权利要求5所述的方法,其特征在于,所述安全防护资源包括入侵防御资源、病毒查杀资源、身份鉴别资源、访问控制资源、安全审计资源。
7.如权利要求6所述的方法,其特征在于,步骤S4中,所述采集器为探针集。
8.如权利要求7所述的方法,其特征在于,所述度量数据包括网络拓扑、网络资产信息、漏洞分布信息、网络流量、数据流级的应用流量、网络设备日志、网络安全防护设备日志、网络攻击链数据。
9.如权利要求8所述的方法,其特征在于,步骤S4中采集度量数据时,利用安全度量工作流引擎提供引擎集群功能,根据安全度量请求数量分发至不同的操作业务流程引擎进行实例处理。
10.如权利要求1所述的方法,其特征在于,所述网络威胁情报包括威胁主体、攻击目标、攻击活动、攻击标识、安全事件、可观测数据、攻击方法、应对措施。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811112626.6A CN109167794B (zh) | 2018-09-25 | 2018-09-25 | 一种面向网络***安全度量的攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811112626.6A CN109167794B (zh) | 2018-09-25 | 2018-09-25 | 一种面向网络***安全度量的攻击检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109167794A true CN109167794A (zh) | 2019-01-08 |
CN109167794B CN109167794B (zh) | 2021-05-14 |
Family
ID=64880109
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811112626.6A Active CN109167794B (zh) | 2018-09-25 | 2018-09-25 | 一种面向网络***安全度量的攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109167794B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112422483A (zh) * | 2019-08-23 | 2021-02-26 | 东北大学秦皇岛分校 | 一种用于泛在电力物联网的身份保护策略 |
CN113627613A (zh) * | 2021-08-17 | 2021-11-09 | 北京计算机技术及应用研究所 | 一种实现边端协同的规则推理方法 |
CN114500310A (zh) * | 2021-12-23 | 2022-05-13 | 中国人民解放军63921部队 | 一种多维网络态势数据基线的精准确定方法 |
CN115134258A (zh) * | 2022-06-29 | 2022-09-30 | 北京计算机技术及应用研究所 | 一种基于网络攻击面的网络安全效能度量方法 |
CN115174420A (zh) * | 2022-07-05 | 2022-10-11 | 中信百信银行股份有限公司 | 基于指标测量的安全运营方法、***、终端设备及存储介质 |
CN116074113A (zh) * | 2023-03-06 | 2023-05-05 | 成都市以太节点科技有限公司 | 基于业务流程约束的安全防护方法、装置及存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101165696A (zh) * | 2006-10-16 | 2008-04-23 | 中国长城计算机深圳股份有限公司 | 一种基于安全计算机的安全认证方法 |
CN102594620A (zh) * | 2012-02-20 | 2012-07-18 | 南京邮电大学 | 一种基于行为描述的可联动分布式网络入侵检测方法 |
CN102724210A (zh) * | 2012-06-29 | 2012-10-10 | 上海海事大学 | 一种求解k最大概率攻击图的网络安全分析方法 |
US20130283336A1 (en) * | 2012-04-23 | 2013-10-24 | Abb Technology Ag | Cyber security analyzer |
CN103442008A (zh) * | 2013-08-29 | 2013-12-11 | 中国科学院计算技术研究所 | 一种路由安全检测***及检测方法 |
CN103905451A (zh) * | 2014-04-03 | 2014-07-02 | 国家电网公司 | 一种智能电网嵌入式设备网络攻击诱捕***和诱捕方法 |
CN103905450A (zh) * | 2014-04-03 | 2014-07-02 | 国家电网公司 | 智能电网嵌入式设备网络检测评估***与检测评估方法 |
CN106941502A (zh) * | 2017-05-02 | 2017-07-11 | 北京理工大学 | 一种内部网络的安全度量方法和装置 |
-
2018
- 2018-09-25 CN CN201811112626.6A patent/CN109167794B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101165696A (zh) * | 2006-10-16 | 2008-04-23 | 中国长城计算机深圳股份有限公司 | 一种基于安全计算机的安全认证方法 |
CN102594620A (zh) * | 2012-02-20 | 2012-07-18 | 南京邮电大学 | 一种基于行为描述的可联动分布式网络入侵检测方法 |
US20130283336A1 (en) * | 2012-04-23 | 2013-10-24 | Abb Technology Ag | Cyber security analyzer |
CN102724210A (zh) * | 2012-06-29 | 2012-10-10 | 上海海事大学 | 一种求解k最大概率攻击图的网络安全分析方法 |
CN103442008A (zh) * | 2013-08-29 | 2013-12-11 | 中国科学院计算技术研究所 | 一种路由安全检测***及检测方法 |
CN103905451A (zh) * | 2014-04-03 | 2014-07-02 | 国家电网公司 | 一种智能电网嵌入式设备网络攻击诱捕***和诱捕方法 |
CN103905450A (zh) * | 2014-04-03 | 2014-07-02 | 国家电网公司 | 智能电网嵌入式设备网络检测评估***与检测评估方法 |
CN106941502A (zh) * | 2017-05-02 | 2017-07-11 | 北京理工大学 | 一种内部网络的安全度量方法和装置 |
Non-Patent Citations (1)
Title |
---|
黄志宏等: "校园网信息安全建设中安全基线的研究与应用", 《重庆理工大学学报(自然科学)》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112422483A (zh) * | 2019-08-23 | 2021-02-26 | 东北大学秦皇岛分校 | 一种用于泛在电力物联网的身份保护策略 |
CN112422483B (zh) * | 2019-08-23 | 2022-04-08 | 东北大学秦皇岛分校 | 一种用于泛在电力物联网的身份保护策略 |
CN113627613A (zh) * | 2021-08-17 | 2021-11-09 | 北京计算机技术及应用研究所 | 一种实现边端协同的规则推理方法 |
CN113627613B (zh) * | 2021-08-17 | 2024-02-06 | 北京计算机技术及应用研究所 | 一种实现边端协同的规则推理方法 |
CN114500310A (zh) * | 2021-12-23 | 2022-05-13 | 中国人民解放军63921部队 | 一种多维网络态势数据基线的精准确定方法 |
CN115134258A (zh) * | 2022-06-29 | 2022-09-30 | 北京计算机技术及应用研究所 | 一种基于网络攻击面的网络安全效能度量方法 |
CN115134258B (zh) * | 2022-06-29 | 2024-01-30 | 北京计算机技术及应用研究所 | 一种基于网络攻击面的网络安全效能度量方法 |
CN115174420A (zh) * | 2022-07-05 | 2022-10-11 | 中信百信银行股份有限公司 | 基于指标测量的安全运营方法、***、终端设备及存储介质 |
CN116074113A (zh) * | 2023-03-06 | 2023-05-05 | 成都市以太节点科技有限公司 | 基于业务流程约束的安全防护方法、装置及存储介质 |
CN116074113B (zh) * | 2023-03-06 | 2023-08-15 | 成都市以太节点科技有限公司 | 基于业务流程约束的安全防护方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109167794B (zh) | 2021-05-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109167794A (zh) | 一种面向网络***安全度量的攻击检测方法 | |
CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其*** | |
CN104509034B (zh) | 模式合并以识别恶意行为 | |
CN106027559B (zh) | 基于网络会话统计特征的大规模网络扫描检测方法 | |
CN107454109A (zh) | 一种基于http流量分析的网络窃密行为检测方法 | |
CN112039862B (zh) | 一种面向多维立体网络的安全事件预警方法 | |
CN105407103A (zh) | 一种基于多粒度异常检测的网络威胁评估方法 | |
KR20090039524A (ko) | 위협 관리를 위한 보안 위험도 평가 방법 | |
US9692779B2 (en) | Device for quantifying vulnerability of system and method therefor | |
CN110035062A (zh) | 一种网络验伤方法及设备 | |
CN115277490B (zh) | 一种网络靶场评估方法、***、设备及存储介质 | |
CN115225384A (zh) | 一种网络威胁度评估方法、装置、电子设备及存储介质 | |
CN117478433A (zh) | 一种网络与信息安全动态预警*** | |
CN117650923A (zh) | 一种基于K-means的信息安全主动防御方法 | |
CN116050841B (zh) | 信息安全风险评估方法、装置、终端设备及存储介质 | |
CN112596984A (zh) | 业务弱隔离环境下的数据安全态势感知*** | |
CN113094715B (zh) | 一种基于知识图谱的网络安全动态预警*** | |
Xi et al. | Quantitative threat situation assessment based on alert verification | |
KR101256671B1 (ko) | 침입탐지시스템의 탐지성능 적합성 판정 방법 및 그기록매체 | |
Lamichhane et al. | Discovering breach patterns on the internet of health things: A graph and machine learning anomaly analysis | |
WO2019224932A1 (ja) | セキュリティ対処能力測定システム、方法及びプログラム | |
Khordadpour et al. | FIDS: Fuzzy Intrusion Detection System for simultaneous detection of DoS/DDoS attacks in Cloud computing | |
Ye et al. | An attack-norm separation approach for detecting cyber attacks | |
Prabu et al. | An Automated Intrusion Detection and Prevention Model for Enhanced Network Security and Threat Assessment | |
Li et al. | Overview of intrusion detection systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |