[发明专利]一种面向网络系统安全度量的攻击检测方法

摘要

本发明涉及一种面向网络系统安全度量的攻击检测方法，涉及网络安全领域。本发明从网络系统自身、网络系统安全度量出发，通过建立网络信息系统的安全效用基线，通过对网络系统的标识特征、流量特征、效用影响进行度量评估，通过对实际效用与预期效用进行对比，发现网络系统的异常，及时检测和发现网络攻击，弥补了基于攻击特征检测存在的不足，提升了攻击检测的准确性；通过在网络系统环境中有效地使用度量指标，选取合适度量指标集合并按照这些度量集合在实际项目中进行数据采集，根据采集到的数据来判断是否发生了网络攻击，通过使用网络系统度量结果为网络攻击的检测提供决策支撑，为评估对象主动发现安全问题、检测和判断出网络攻击提供依据。

主权项

1.一种面向网络系统安全度量的攻击检测方法，其特征在于，包括以下步骤：S1、确定安全度量任务划分安全度量功能，通过构建网络系统安全量化评估试验环境，将安全度量操作流程以图形和通用语言描述，通过绘制流程方式建立安全度量操作流程，按照所建立的安全度量操作流程提取并封装可组件化、可复用的度量内容；S2、部署网络安全参数的采集器在网络边界、网络交换、主机、服务器这几个维度部署采集器；S3、选取度量指标根据所确定的安全度量任务，选取多维安全度量指标，从而确定各安全度量指标的安全基线；S4、采集度量数据利用所部署的能够适应于不同网络环境的采集器，感知网络连接上下文，进行自动和自适应的度量数据采集，获取度量数据；S5、判断网络系统是否异常利用各安全度量指标的安全基线，构建基于贝叶斯网络的概率攻击图，对采集到的度量数据进行识别，判断网络系统是否存在异常，若是，则进入步骤S6，否则结束。S6、进行攻击检测分析提取攻击的特征，包括攻击目标状态、安全事件、可观测数据、漏洞信息，与外部的网络威胁情报进行匹配，形成攻击信息，并基于地理空间和虚拟空间数据，实现形成可视化网络攻击链。