CN109167794B - 一种面向网络***安全度量的攻击检测方法 - Google Patents

一种面向网络***安全度量的攻击检测方法 Download PDF

Info

Publication number
CN109167794B
CN109167794B CN201811112626.6A CN201811112626A CN109167794B CN 109167794 B CN109167794 B CN 109167794B CN 201811112626 A CN201811112626 A CN 201811112626A CN 109167794 B CN109167794 B CN 109167794B
Authority
CN
China
Prior art keywords
network
measurement
security
attack
network system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811112626.6A
Other languages
English (en)
Other versions
CN109167794A (zh
Inventor
曾颖明
谢小权
吴明杰
王斌
海然
常承伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Computer Technology and Applications
Original Assignee
Beijing Institute of Computer Technology and Applications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Computer Technology and Applications filed Critical Beijing Institute of Computer Technology and Applications
Priority to CN201811112626.6A priority Critical patent/CN109167794B/zh
Publication of CN109167794A publication Critical patent/CN109167794A/zh
Application granted granted Critical
Publication of CN109167794B publication Critical patent/CN109167794B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种面向网络***安全度量的攻击检测方法,涉及网络安全领域。本发明从网络***自身、网络***安全度量出发,通过建立网络信息***的安全效用基线,通过对网络***的标识特征、流量特征、效用影响进行度量评估,通过对实际效用与预期效用进行对比,发现网络***的异常,及时检测和发现网络攻击,弥补了基于攻击特征检测存在的不足,提升了攻击检测的准确性;通过在网络***环境中有效地使用度量指标,选取合适度量指标集合并按照这些度量集合在实际项目中进行数据采集,根据采集到的数据来判断是否发生了网络攻击,通过使用网络***度量结果为网络攻击的检测提供决策支撑,为评估对象主动发现安全问题、检测和判断出网络攻击提供依据。

Description

一种面向网络***安全度量的攻击检测方法
技术领域
本发明涉及网络安全技术领域,具体涉及一种面向网络***安全度量的攻击检测方法。
背景技术
网络***安全度量是指,首先建立网络信息***的安全基线(网络信息***有不同安全级别的基线),通过对网络***的标识特征、流量特征、效用影响进行度量评估,对实际评估效用与预期安全基线进行对比,来发现网络***的异常,及时检测和发现网络攻击,从而为网络安全决策提供准确指引。
在网络***安全中,风险、攻击和防御是相互关联与制约及协同演化的。目前,网络攻击检测的主流做法是:通过监测网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与网络行为原型相比较来识别攻击事件。但这种做法有两个缺陷及不足:一方面无法对加密后的网络流量进行有效的攻击检测;另一方面这种攻击检测能力严重依赖已知攻击特征。随着网络攻击技术的迅猛发展,面对网络***的复杂、多样和异构等特性,出现了越来越多“手术刀”式的高级持续攻击,更为可怕的是,黑客组织、攻击团队等已经将攻击程序都隐藏在加密链路中。因此,如何针对这两类缺陷提供一种攻击检测方法,通过对网络***的安全度量,发现网络***的异常情况,以实现攻击检测的效果,成为了亟待解决的技术问题。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何提升攻击检测的准确性。
(二)技术方案
为了解决上述技术问题,本发明提供了一种面向网络***安全度量的攻击检测方法,包括以下步骤:
S1、确定安全度量任务
划分安全度量功能,通过构建网络***安全量化评估试验环境,将安全度量操作流程以图形和通用语言描述,通过绘制流程方式建立安全度量操作流程,按照所建立的安全度量操作流程提取并封装可组件化、可复用的度量内容;
S2、部署网络安全参数的采集器
在网络边界、网络交换、主机、服务器这几个维度部署采集器;
S3、选取度量指标
根据所确定的安全度量任务,选取多维安全度量指标,从而确定各安全度量指标的安全基线;
S4、采集度量数据
利用所部署的能够适应于不同网络环境的采集器,感知网络连接上下文,进行自动和自适应的度量数据采集,获取度量数据;
S5、判断网络***是否异常
利用各安全度量指标的安全基线,构建基于贝叶斯网络的概率攻击图,对采集到的度量数据进行识别,判断网络***是否存在异常,若是,则进入步骤S6,否则结束。
S6、进行攻击检测分析
提取攻击的特征,包括攻击目标状态、安全事件、可观测数据、漏洞信息,与外部的网络威胁情报进行匹配,形成攻击信息,并基于地理空间和虚拟空间数据,实现形成可视化网络攻击链。
优选地,若网络***是IP网络***,则安全度量指标包括网络拓扑、网络资产信息、网络流量、服务器信息、关键业务、出口防火墙和安全防护资源。
优选地,所述网络流量包括吞吐量、丢包率、用户响应时间、服务器响应时间、网络时延、网络拥塞时间。
优选地,所述服务器信息包括CPU性能变化、内存性能变化、磁盘性能变化、内存占用率、磁盘读取/写入速度。
优选地,所述关键业务包括业务中断,业务出错,业务响应延迟,业务正常。
优选地,所述安全防护资源包括入侵防御资源、病毒查杀资源、身份鉴别资源、访问控制资源、安全审计资源。
优选地,步骤S4中,所述采集器为探针集。
优选地,所述度量数据包括网络拓扑、网络资产信息、漏洞分布信息、网络流量、数据流级的应用流量、网络设备日志、网络安全防护设备日志、网络攻击链数据。
优选地,步骤S4中采集度量数据时,利用安全度量工作流引擎提供引擎集群功能,根据安全度量请求数量分发至不同的操作业务流程引擎进行实例处理。
优选地,所述网络威胁情报包括威胁主体、攻击目标、攻击活动、攻击标识、安全事件、可观测数据、攻击方法、应对措施。
(三)有益效果
本发明从网络***自身、网络***安全度量出发,通过建立网络信息***的安全效用基线,通过对网络***的标识特征、流量特征、效用影响进行度量评估,通过对实际效用与预期效用进行对比,来发现网络***的异常,及时检测和发现网络攻击,弥补了基于攻击特征检测存在的不足,提升了攻击检测的准确性;通过在网络***环境中有效地使用度量指标,选取合适的度量指标集合并按照这些度量集合在实际项目中进行数据采集,根据采集到的数据来判断是否发生了网络攻击,即通过使用网络***度量结果来为网络攻击的检测提供决策支撑,为评估对象主动发现安全问题、检测和判断出网络攻击提供有力依据。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合实施例,对本发明的具体实施方式作进一步详细描述。
本发明提供的一种面向网络***安全度量的攻击检测方法,包括以下步骤:
S1、确定安全度量任务
划分安全度量功能,通过构建网络***安全量化评估试验环境,将安全度量操作流程以图形和通用语言描述,通过绘制流程方式建立安全度量操作流程,按照所建立的安全度量操作流程提取并封装可组件化、可复用的度量内容;
本步骤实现了操作流程与任务实现细节剥离,保证安全度量具有灵活性、动态可扩展性,且保证了安全度量过程的流程化和规范化。
S2、部署网络安全参数的采集器
本步骤中,针对不同应用场景和被评估对象存在的差异,在网络边界、网络交换、主机、服务器这几个维度部署采集器,提升安全度量的科学性、全面性和普适性。
S3、选取度量指标
根据所确定的安全度量任务,选取多维安全度量指标,从而确定各安全度量指标的安全基线;
以典型IP网络***为例,安全度量指标包括网络拓扑、网络资产信息、网络流量、服务器信息、关键业务、出口防火墙和安全防护资源。在具体试验中,将网络流量包括吞吐量、丢包率、用户响应时间、服务器响应时间、网络时延、网络拥塞时间。服务器信息包括CPU性能变化、内存性能变化、磁盘性能变化、内存占用率、磁盘读取/写入速度。关键业务包括业务中断,业务出错,业务响应延迟,业务正常。安全防护资源包括入侵防御资源、病毒查杀资源、身份鉴别资源、访问控制资源、安全审计资源。
S4、采集度量数据
利用所部署的能够适应于不同网络环境的采集器(探针集),感知网络连接上下文,进行自动和自适应的度量数据采集,获取度量数据。所述度量数据包括网络拓扑、网络资产信息、漏洞分布信息、网络流量、数据流级的应用流量、网络设备日志、网络安全防护设备日志、网络攻击链数据;采集时,利用安全度量工作流引擎提供引擎集群功能,根据安全度量请求数量分发至不同的操作业务流程引擎进行实例处理,以提高整体并发数量。
S5、判断网络***是否异常
利用各安全度量指标的安全基线,构建基于贝叶斯网络的概率攻击图,对采集到的度量数据进行识别,判断网络***是否存在异常,若是,则进入步骤S6,否则结束。
S6、进行攻击检测分析
提取攻击的特征,包括攻击目标状态、安全事件、可观测数据、漏洞信息,与外部的网络威胁情报(包括威胁主体、攻击目标、攻击活动、攻击标识、安全事件、可观测数据、攻击方法、应对措施)进行匹配,形成攻击信息,并基于地理空间和虚拟空间数据,实现形成可视化网络攻击链。
本发明可为典型网络***的安全度量评估提供参考标准、参考流程以及自动化的工具及平台。可指导开发人员及运维管理人员,针对特定的网络***定制有效的安全评估指标,实施自动化、可视化的安全度量评估标准流程,从而有效降低安全评估的技术难度,并能通过实际的应用验证,不断完善安全度量指标及度量方案,从而提高安全度量评估方案的有效性和可实施性、提升攻击检测的准确性。本发明可以为复杂网络***提供安全自测自查。针对典型网络***的安全度量评估经验、理论及技术成果,可构建成为安全度量的整体解决方案,指导关键网络***的安全度量指标建立、流程制定以及安全度量实施的全过程。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (10)

1.一种面向网络***安全度量的攻击检测方法,其特征在于,该方法从网络***自身、网络***安全度量出发,通过建立网络信息***的安全效用基线,通过对网络***的标识特征、流量特征、效用影响进行度量评估,通过对实际效用与预期效用进行对比,来发现网络***的异常,及时检测和发现网络攻击;通过在网络***环境中有效地使用度量指标,选取合适的度量指标集合并按照这些度量集合在实际项目中进行数据采集,根据采集到的数据来判断是否发生了网络攻击,即通过使用网络***度量结果来为网络攻击的检测提供决策支撑,为评估对象主动发现安全问题、检测和判断出网络攻击提供依据;
该方法包括以下步骤:
S1、确定安全度量任务
划分安全度量功能,通过构建网络***安全量化评估试验环境,将安全度量操作流程以图形和通用语言描述,通过绘制流程方式建立安全度量操作流程,按照所建立的安全度量操作流程提取并封装可组件化、可复用的度量内容;
S2、部署网络安全参数的采集器
在网络边界、网络交换、主机、服务器这几个维度部署采集器;
S3、选取度量指标
根据所确定的安全度量任务,选取多维安全度量指标,从而确定各安全度量指标的安全基线;
S4、采集度量数据
利用所部署的能够适应于不同网络环境的采集器,感知网络连接上下文,进行自动和自适应的度量数据采集,获取度量数据;
S5、判断网络***是否异常
利用各安全度量指标的安全基线,构建基于贝叶斯网络的概率攻击图,对采集到的度量数据进行识别,判断网络***是否存在异常,若是,则进入步骤S6,否则结束;
S6、进行攻击检测分析
提取攻击的特征,包括攻击目标状态、安全事件、可观测数据、漏洞信息,与外部的网络威胁情报进行匹配,形成攻击信息,并基于地理空间和虚拟空间数据,实现形成可视化网络攻击链。
2.如权利要求1所述的方法,其特征在于,若网络***是IP网络***,则安全度量指标包括网络拓扑、网络资产信息、网络流量、服务器信息、关键业务、出口防火墙和安全防护资源。
3.如权利要求2所述的方法,其特征在于,所述网络流量包括吞吐量、丢包率、用户响应时间、服务器响应时间、网络时延、网络拥塞时间。
4.如权利要求3所述的方法,其特征在于,所述服务器信息包括CPU性能变化、内存性能变化、磁盘性能变化、内存占用率、磁盘读取/写入速度。
5.如权利要求4所述的方法,其特征在于,所述关键业务包括业务中断,业务出错,业务响应延迟,业务正常。
6.如权利要求5所述的方法,其特征在于,所述安全防护资源包括入侵防御资源、病毒查杀资源、身份鉴别资源、访问控制资源、安全审计资源。
7.如权利要求6所述的方法,其特征在于,步骤S4中,所述采集器为探针集。
8.如权利要求7所述的方法,其特征在于,所述度量数据包括网络拓扑、网络资产信息、漏洞分布信息、网络流量、数据流级的应用流量、网络设备日志、网络安全防护设备日志、网络攻击链数据。
9.如权利要求8所述的方法,其特征在于,步骤S4中采集度量数据时,利用安全度量工作流引擎提供引擎集群功能,根据安全度量请求数量分发至不同的操作业务流程引擎进行实例处理。
10.如权利要求1所述的方法,其特征在于,所述网络威胁情报包括威胁主体、攻击目标、攻击活动、攻击标识、安全事件、可观测数据、攻击方法、应对措施。
CN201811112626.6A 2018-09-25 2018-09-25 一种面向网络***安全度量的攻击检测方法 Active CN109167794B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811112626.6A CN109167794B (zh) 2018-09-25 2018-09-25 一种面向网络***安全度量的攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811112626.6A CN109167794B (zh) 2018-09-25 2018-09-25 一种面向网络***安全度量的攻击检测方法

Publications (2)

Publication Number Publication Date
CN109167794A CN109167794A (zh) 2019-01-08
CN109167794B true CN109167794B (zh) 2021-05-14

Family

ID=64880109

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811112626.6A Active CN109167794B (zh) 2018-09-25 2018-09-25 一种面向网络***安全度量的攻击检测方法

Country Status (1)

Country Link
CN (1) CN109167794B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112422483B (zh) * 2019-08-23 2022-04-08 东北大学秦皇岛分校 一种用于泛在电力物联网的身份保护策略
CN113627613B (zh) * 2021-08-17 2024-02-06 北京计算机技术及应用研究所 一种实现边端协同的规则推理方法
CN114500310A (zh) * 2021-12-23 2022-05-13 中国人民解放军63921部队 一种多维网络态势数据基线的精准确定方法
CN115134258B (zh) * 2022-06-29 2024-01-30 北京计算机技术及应用研究所 一种基于网络攻击面的网络安全效能度量方法
CN115174420A (zh) * 2022-07-05 2022-10-11 中信百信银行股份有限公司 基于指标测量的安全运营方法、***、终端设备及存储介质
CN116074113B (zh) * 2023-03-06 2023-08-15 成都市以太节点科技有限公司 基于业务流程约束的安全防护方法、装置及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101165696A (zh) * 2006-10-16 2008-04-23 中国长城计算机深圳股份有限公司 一种基于安全计算机的安全认证方法
CN102594620A (zh) * 2012-02-20 2012-07-18 南京邮电大学 一种基于行为描述的可联动分布式网络入侵检测方法
CN102724210A (zh) * 2012-06-29 2012-10-10 上海海事大学 一种求解k最大概率攻击图的网络安全分析方法
CN103442008A (zh) * 2013-08-29 2013-12-11 中国科学院计算技术研究所 一种路由安全检测***及检测方法
CN103905450A (zh) * 2014-04-03 2014-07-02 国家电网公司 智能电网嵌入式设备网络检测评估***与检测评估方法
CN103905451A (zh) * 2014-04-03 2014-07-02 国家电网公司 一种智能电网嵌入式设备网络攻击诱捕***和诱捕方法
CN106941502A (zh) * 2017-05-02 2017-07-11 北京理工大学 一种内部网络的安全度量方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8726393B2 (en) * 2012-04-23 2014-05-13 Abb Technology Ag Cyber security analyzer

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101165696A (zh) * 2006-10-16 2008-04-23 中国长城计算机深圳股份有限公司 一种基于安全计算机的安全认证方法
CN102594620A (zh) * 2012-02-20 2012-07-18 南京邮电大学 一种基于行为描述的可联动分布式网络入侵检测方法
CN102724210A (zh) * 2012-06-29 2012-10-10 上海海事大学 一种求解k最大概率攻击图的网络安全分析方法
CN103442008A (zh) * 2013-08-29 2013-12-11 中国科学院计算技术研究所 一种路由安全检测***及检测方法
CN103905450A (zh) * 2014-04-03 2014-07-02 国家电网公司 智能电网嵌入式设备网络检测评估***与检测评估方法
CN103905451A (zh) * 2014-04-03 2014-07-02 国家电网公司 一种智能电网嵌入式设备网络攻击诱捕***和诱捕方法
CN106941502A (zh) * 2017-05-02 2017-07-11 北京理工大学 一种内部网络的安全度量方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
校园网信息安全建设中安全基线的研究与应用;黄志宏等;《重庆理工大学学报(自然科学)》;20141015;第28卷(第10期);P73-78 *

Also Published As

Publication number Publication date
CN109167794A (zh) 2019-01-08

Similar Documents

Publication Publication Date Title
CN109167794B (zh) 一种面向网络***安全度量的攻击检测方法
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其***
US11159542B2 (en) Cloud view detection of virtual machine brute force attacks
JP6201614B2 (ja) ログ分析装置、方法およびプログラム
CN106789935B (zh) 一种终端异常检测方法
CN106027559A (zh) 基于网络会话统计特征的大规模网络扫描检测方法
US11575688B2 (en) Method of malware characterization and prediction
JP6717206B2 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム
EP3623983A1 (en) Method and device for identifying security threats, storage medium, processor and terminal
KR101692982B1 (ko) 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템
CN114268452A (zh) 一种网络安全防护方法及***
CN116319061A (zh) 一种智能控制网络***
CN114531283B (zh) 入侵检测模型的鲁棒性测定方法、***、存储介质及终端
CN114640548A (zh) 一种基于大数据的网络安全感知和预警的方法及***
US20210367958A1 (en) Autonomic incident response system
Bortolameotti et al. Headprint: detecting anomalous communications through header-based application fingerprinting
KR100432168B1 (ko) 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법
KR101712462B1 (ko) Ip 위험군 탐지 시스템
Asaka et al. Remote attack detection method in IDA: MLSI-based intrusion detection using discriminant analysis
Wüchner et al. MalFlow: identification of C&C servers through host-based data flow profiling
CN113094715A (zh) 一种基于知识图谱的网络安全动态预警***
EP3484122A1 (en) Malicious relay and jump-system detection using behavioral indicators of actors
JP4668092B2 (ja) 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム
Hiruta et al. Ids alert priority determination based on traffic behavior
KR102614309B1 (ko) 엔드포인트 공격 탐지 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant