[发明专利]一种基于目标模型的网络攻击检测方法

说明书

技术领域

本发明涉及信息安全领域，具体涉及一种基于目标模型的网络攻击检测方法。

背景技术

随着信息技术的发展和网络环境的日益复杂，网络攻击范围越来越大，攻击手段越来越先进，攻击形式也更为隐蔽和多元化。当前的网络攻击呈现出以下趋势：

1.社会工程学方法越来越频繁的出现在网络攻击中；

2.综合利用多种攻击手段实现网络攻击；

3.0day漏洞等先进的攻击方式大量出现在网络攻击中；

4.攻击持续时间变长，长期潜伏于攻击目标；

5.攻击手段更加隐蔽，不易被安全软件检测；

6.针对特定目标的精准攻击越来越频繁。

网络攻击的演变给攻击检测带来了新的挑战。高级持续性威胁(Advanced Persistent Threat,APT)攻击是当前网络攻击的典型代表。本发明以APT攻击检测分析当前攻击检测中存在的问题

APT攻击是传统网络入侵、渗透手段的集成和综合运用，具有如下特征：

1.针对性：APT攻击有明确的客体对象及目标，包括攻击范围、目标资产、攻击时限、破坏程度、终止条件等，需要针对目标网络及信息系统的类型、防御机制，以及部署的安全设备进行攻击规划，在攻击进行时通过采集到的信息、状态数据等动态调整攻击策略，以实现最优的攻击效果。APT攻击的针对性体现在每一次发动攻击前都必须针对目标进行详细的探测并对攻击进行专门设计，前次有效的攻击手段往往无法直接应用于下一次攻击中。

2.持续性：攻击者为了达到目的会进行长时间、持续、多手段的入侵和渗透，直到成功。在潜伏期花费几个月甚至一年，甚至在入侵成功后继续探测三到五年。这种持续性的攻击使黑客的行为可以不断演变发展，但防护体系的静态特征却难以适应这种动态的变化：也许防护机制可以抵挡一时的攻击，但随着时间的推移，信息系统、应用软件不断有新的漏洞被发现，这一段防御体系的空档期就是攻击者突破防线的最好时机。

3.多态性：攻击者的攻击方式不是一成不变的，既包括病毒、木马植入等传统入侵手段，也包括SQL注入、零日漏洞、软件后门、操作系统缺陷等，甚至结合社会工程学、心理学等各种线下手段实施攻击。综合采用多类技术首先是为了使受害者难于防范，提高攻击的成功率，其次也可以通过并行实施起到掩盖其真实攻击意图的作用。

4.隐蔽性：APT攻击的隐蔽性表现在攻击者对目标系统的探测、入侵及信息窃取都尽量尝试以不被察觉的方式进行。

基于以上分析，传统的网络攻击检测方法已经很难满足当前的网络攻击检测需求。

发明内容

鉴于现有技术的上述状况，本发明提出一种基于目标模型的网络攻击检测方法，基于被保护目标的目标模型，在攻击过程的大量安全事件中，根据安全事件与保护目标的距离、安全事件对目标的安全影响检测网络攻击。

一种基于目标模型的网络攻击检测方法，包括：

步骤一、建立通用目标模型框架，通用目标模型框架中描述了可能成为网络攻击目标的实体以及实体之间的关联关系；根据待保护的目标T向通用目标模型框架中填入信息，形成目标模型；所述实体是物理的、虚拟的、逻辑的或社会的元素；

步骤二、利用目标模型所体现的关联关系，建立扩展影响树和安全影响图；

所述扩展影响树采用树结构记载了直接或间接访问到目标T的实体与目标T之间的关联关系以及实体之间的关联关系；所述安全影响图以节点、节点间连线的方式记载了扩展影响树所涉及到的实体之间的攻击传播通道；扩展影响树和安全影响图的节点间具有权值，表示一个节点对另一个节点的影响大小，且对于具有父子关系的节点，同一父节点下各子节点的关系有“与”以及“或”；

步骤三、针对检测到的每个安全事件，确定该安全事件与目标T之间的距离d和对目标T的安全影响H；

针对距离d，其组成元素至少包括安全事件终端和目标T之间的逻辑距离Ld；逻辑距离Ld的值利用扩展影响树的节点间关系和权值，从安全事件终端所在的层级向上推算，最终获得安全事件与目标T之间的逻辑距离Ld；

针对安全影响H，利用安全影响图的节点间关系和权值，从安全事件终端所在的层级向上推算，获得安全事件对目标T的安全影响H；

步骤四、根据各个安全事件的距离d和安全影响H进行攻击检测。