[发明专利]一种网络攻击检测方法

说明书

技术领域

本发明涉及涉及一种网络攻击检测方法，是一种应用于P2P对等网上的利用攻击图从 报警数据中发现真实攻击，属于网络安全技术领域。

背景技术

部署在网络中各个节点的各种网络安全基础设施每天会报告大量的报警，这些报警数 据有数量大、来源分布广、格式不统一、误报率高的特点，仅仅靠人工分析无法对这些报 警数据进行有效的处理。目前广泛应用的网络安全基础设施包括入侵监测系统、防火墙。 网络攻击一般有许多攻击步骤，这些步骤具有不同的特征，特别是有些步骤的行为在网络 上会大量存在，如端口扫描，所以网络安全基础设施提供的报警的数量会极多。网络攻击 的步骤可能会根据其策略在网络空间的不同位置被实施，并被不同的网络安全基础设施上 被检测出来，并由于安全基础设施的多样性，使得报警的来源也很多样，并且这些报警的 格式可能会不相同。入侵监测系统与防火墙一般是对网络数据包的指纹特征来判断网络攻 击的存在，这种判断并不是基于攻击的本质特征，往往会造成大量的误报。考虑到一次攻 击的各个步骤之间一般会存在特定的逻辑关系，如前一个行为是为后一次行为进行准备， 可以自动的对网络安全基础设施产生的报警进行相关处理，把由某一次攻击引起的全部报 警关联起来。攻击图可以有效的描述报警之间的逻辑关系，利用攻击图对报警信息进行相 关处理对于充分利用网络安全基础设施的功能、应对日益突出的网络犯罪行为具有重要的 价值。

目前利用攻击场景图监测网络攻击的方法，算法复杂度都很高，处理自然网络中出现 的大量报警会消耗大量的运算资源，并需要较长的时间，往往不能实时的监控网络攻击行 为。

目前利用攻击图进行报警聚合的方法数据来源主要集中在网络安全基础设施上，这些 设施只能监控网络行为，然而任何有意义的网络行为必须关联到某一个主机提供的网络服 务。网络攻击的某一个步骤是否生效，必须考虑相关主机的状态。以一次攻击的某个步骤 是对某一个FTP软件进行溢出为例，单单只考虑网络数据包是否含有溢出特征是不能判断 这次攻击是否生效的，以下的目标主机状态都会对攻击的结果造成影响：1)目标主机的 操作系统是什么；2)目标主机是否安装了此FTP软件；3)目标主机有没有打上相应的补 丁包；4)目标主机是否开放了相应服务。由此可见，在缺少主机信息的情况下，网络安 全基础设施不能准确的描述攻击行为，会带来大量的误报，这些误报一方面极大的增加报 警的数量，另一方面极大的降低了报警的质量。利用主机信息对报警信息进行相应处理， 对降低报警相关处理的资源消耗，提高报警相关处理的准确度有极其重要的意义。

OVAL(Open Vulnerbility Assent Language)是一种主机状态描述语言，它由如下几个部 分组成：1)系统描述部分2)安全配置描述部分3)应用程序版本及其补丁的描述部分4) 漏洞的描述部分。OVAL基本上包括了与安全相关的主机状态，并且是一个开放的标准。 IDMEF是一种描述报警信息的规范，它提供了一种有很强表达能力的格式，可以用来容纳 各种安全基础设施生成的报警。

针对以上问题，本发明提出的新的实现攻击场景图方法的策略，以及为了实现该策略 对攻击场景图算法进行改进，能极大的提高利用攻击场景图方法检测网络攻击的效率。此 外将报警信息与主机信息进行关联将会极大的提高报警相关处理的性能，使得利用攻击图 进行检测网络攻击变得更加高效和准确。最后利用攻击图发现网络攻击的同时，也可以收 集了大量的和所发现攻击相关的大量信息，可以用来进行网络取证，预防网络犯罪。

发明内容

针对以上问题，本发明的目的在于提供一种网络攻击检测方法。该方法从各种网络安 全基础设施获得攻击的网络行为特征，并结合网络攻击相关主机的信息，对网络行为的效 果进行验证，极大的提高了准确性与效率，为在网络中发现攻击并进行取证提供了高效的 方法。