[发明专利]基于规则泛化和攻击重构网络攻击检测方法及装置

说明书

本发明涉及一种入侵监测技术领域，是一种基于规则泛化和攻击重构网络攻击检测方法及装置，包括：获取网络流量数据；利用入侵检测改进模型对网络流量数据进行低层次的单步攻击检测，输出低级警报，其中，入侵检测改进模型为对规则库进行泛化，根据泛化后的规则库和Snort入侵检测技术建立的入侵检测改进模型；利用攻击重构技术，对低级警报进行关联及学习，重构出高层次的多步攻击场景，完成多步攻击检测。本发明通过研究基于规则泛化的入侵检测系统来实现对未知攻击的检测，能够发现新的入侵行为；并应用攻击重构技术，实现对高层次、多步攻击的完整重构，为公专互动新型业务系统的多层次防御提供关键技术支持。

技术领域

本发明涉及一种入侵监测技术领域，是一种基于规则泛化和攻击重构网络攻击检测方法及装置。

背景技术

目前在变电站中主要采用防火墙和入侵检测设备进行安全防护，基于误用或签名的系统维护与已知攻击相对应的预定义签名(模式)数据库，并通过将它们与审计数据流进行比较来执行检测。有许多基于签名的开源idss在企业领域中得到了广泛的应用，例如Snort、Bro和Suricata。此外，现有的各种安全解决方案包括已知供应商提供的网络入侵检测，例如AlienVault提供的统一安全管理(USM)、Cisco提供的下一代iPS(Ngips)和Fireye的network security。但这种检测方式只能检测已知攻击，严重依赖于特征，并且极易容易绕过。

发明内容

本发明提供了一种基于规则泛化和攻击重构网络攻击检测方法及装置，克服了上述现有技术之不足，其能有效解决现有入侵检测系统存在规则库固定，且只利用规则库来检测已知的攻击，不能对未知攻击进行检测的问题。

本发明的技术方案之一是通过以下措施来实现的：一种基于规则泛化和攻击重构网络攻击检测方法，包括：

获取网络流量数据；

利用入侵检测改进模型对网络流量数据进行低层次的单步攻击检测，输出低级警报，其中，入侵检测改进模型为对规则库进行泛化，根据泛化后的规则库和Snort入侵检测技术建立的入侵检测改进模型；

利用攻击重构技术，对低级警报进行关联及学习，重构出高层次的多步攻击场景，完成多步攻击检测。

下面是对上述发明技术方案的进一步优化或/和改进：

上述利用攻击重构技术，对低级警报进行关联及学习，重构出高层次的多步攻击场景，完成多步攻击检测，包括：

获取低级警报，并将低级警报关联组成候选攻击序列；

将候选攻击序列聚合形成超警报序列；

对超警报序列进行学习分析，从超警报序列中获取攻击模式；

利用交互式攻击链与顺序攻击链结合的方式构造攻击树，完成多步攻击检测。

上述对超警报序列进行学习分析，从超警报序列中获取攻击模式，包括：

利用马尔可夫链将超警报序列中所有的超警报转换为元警报集；

设置元警报关联标准，根据元警报关联标准获取元警报集中的关键事件，其中关键事件包括两个相关联的元警报；

设置超警报关联标准，分别从两个关键事件提取超警报，根据超警报关联标准获取双成员集群，其中双成员集群包括两个相关的超警报；

分析双成员集群中包含的IP地址，将相同IP地址的双成员集群组成因果集群，其中因果集群为被攻击的宿主的攻击模式。

上述元警报关联标准如下所示：