[发明专利]一种面向网络系统安全度量的攻击检测方法

权利要求书

1.一种面向网络系统安全度量的攻击检测方法，其特征在于，该方法从网络系统自身、网络系统安全度量出发，通过建立网络信息系统的安全效用基线，通过对网络系统的标识特征、流量特征、效用影响进行度量评估，通过对实际效用与预期效用进行对比，来发现网络系统的异常，及时检测和发现网络攻击；通过在网络系统环境中有效地使用度量指标，选取合适的度量指标集合并按照这些度量集合在实际项目中进行数据采集，根据采集到的数据来判断是否发生了网络攻击，即通过使用网络系统度量结果来为网络攻击的检测提供决策支撑，为评估对象主动发现安全问题、检测和判断出网络攻击提供依据；

该方法包括以下步骤：

S1、确定安全度量任务

划分安全度量功能，通过构建网络系统安全量化评估试验环境，将安全度量操作流程以图形和通用语言描述，通过绘制流程方式建立安全度量操作流程，按照所建立的安全度量操作流程提取并封装可组件化、可复用的度量内容；

S2、部署网络安全参数的采集器

在网络边界、网络交换、主机、服务器这几个维度部署采集器；

S3、选取度量指标

根据所确定的安全度量任务，选取多维安全度量指标，从而确定各安全度量指标的安全基线；

S4、采集度量数据

利用所部署的能够适应于不同网络环境的采集器，感知网络连接上下文，进行自动和自适应的度量数据采集，获取度量数据；

S5、判断网络系统是否异常

利用各安全度量指标的安全基线，构建基于贝叶斯网络的概率攻击图，对采集到的度量数据进行识别，判断网络系统是否存在异常，若是，则进入步骤S6，否则结束；

S6、进行攻击检测分析

提取攻击的特征，包括攻击目标状态、安全事件、可观测数据、漏洞信息，与外部的网络威胁情报进行匹配，形成攻击信息，并基于地理空间和虚拟空间数据，实现形成可视化网络攻击链。

2.如权利要求1所述的方法，其特征在于，若网络系统是IP网络系统，则安全度量指标包括网络拓扑、网络资产信息、网络流量、服务器信息、关键业务、出口防火墙和安全防护资源。

3.如权利要求2所述的方法，其特征在于，所述网络流量包括吞吐量、丢包率、用户响应时间、服务器响应时间、网络时延、网络拥塞时间。

4.如权利要求3所述的方法，其特征在于，所述服务器信息包括CPU性能变化、内存性能变化、磁盘性能变化、内存占用率、磁盘读取/写入速度。

5.如权利要求4所述的方法，其特征在于，所述关键业务包括业务中断，业务出错，业务响应延迟，业务正常。

6.如权利要求5所述的方法，其特征在于，所述安全防护资源包括入侵防御资源、病毒查杀资源、身份鉴别资源、访问控制资源、安全审计资源。

7.如权利要求6所述的方法，其特征在于，步骤S4中，所述采集器为探针集。

8.如权利要求7所述的方法，其特征在于，所述度量数据包括网络拓扑、网络资产信息、漏洞分布信息、网络流量、数据流级的应用流量、网络设备日志、网络安全防护设备日志、网络攻击链数据。

9.如权利要求8所述的方法，其特征在于，步骤S4中采集度量数据时，利用安全度量工作流引擎提供引擎集群功能，根据安全度量请求数量分发至不同的操作业务流程引擎进行实例处理。

10.如权利要求1所述的方法，其特征在于，所述网络威胁情报包括威胁主体、攻击目标、攻击活动、攻击标识、安全事件、可观测数据、攻击方法、应对措施。