2. 专利技术
  3. 一种网络安全监测管理系统及方法与流程

一种网络安全监测管理系统及方法与流程

专利2023-05-10  119


1.本发明涉及网络安全技术领域,具体涉及一种网络安全监测管理系统及方法。


背景技术:

2.随着网络信息化工作的不断深入,信息通信网同外部接入单位之间的数据交换量逐渐增大,网络的攻击、入侵、病毒、木马等各种类型的安全威胁日益增大,信息通信网上信息的完整性、安全性面临的挑战越来越多。
3.现有技术通常通过正则匹配算法设置与日志格式匹配的正则表达式来识别是否受到网络攻击行为。然而,在实践中发现,现有技术只能在网络攻击完成后识别网络攻击行为,无法提前对网络攻击行为进行预测,不利于及时地维护网络安全。


技术实现要素:

4.本发明的目的就在于解决上述背景技术的问题,而提出一种网络安全监测管理系统及方法。
5.本发明的目的可以通过以下技术方案实现:
6.本发明实施例第一方面,首先提供了一种网络安全监测管理系统,包括网络安全监管服务器和分布式入侵检测模块ids;所述网络安全监管服务器包括预处理模块、事件检测模块、攻击演化模块和杀伤链识别模块;所述ids包括部署于多个预设网络节点的传感器;其中:
7.所述ids,用于当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集;
8.所述预处理模块,用于提取所述攻击事件集的特定字段的信息,生成预设格式的事件信息;
9.所述事件检测模块,用于根据预设攻击行为集确定所述事件信息中的可疑行为,使用杀伤链模型对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段;
10.所述攻击演化模块,用于根据可疑服务器、可疑行为和预设的攻击策略演化多个网络攻击下一攻击阶段的攻击方案;攻击方案包括攻击路径和攻击行为;
11.所述杀伤链识别模块,用于识别各攻击方案的置信度,确定各攻击方案是否为网络攻击。
12.可选地,所述ids还包括主控模块;
13.每一传感器,用于对该传感器对应网络节点的交互数据进行检查,若针对目标数据包检查失败,则向所述主控模块发送报警数据包以发出警报;所述报警数据包包括目标数据包、目标数据包的负载类型、报警时间、目标数据包相关的数据包信息、传感器id和该传感器对应的预设网络节点信息;
14.所述主控模块,用于根据目标数据包相关的数据包信息和该传感器对应的预设网
络节点信息,确定与该警报相关的各传感器,获取各传感器的监控日志,生成所述攻击事件集,根据报警时间和传感器id生成所述攻击事件集的事件id。
15.可选地,所述事件信息包括事件id、源服务器、源服务器发送消息的时间、目的地服务器、目的服务器接收消息的时间和消息发送过程中经过的服务器;
16.所述事件检测模块,具体用于:
17.将所述事件信息根据网络拓扑和时间关系构建消息传输模型;
18.根据预设攻击行为集确定所述消息传输模型中的具有可疑行为的节点,重构为攻击事件模型;
19.将所述攻击事件模型映射到杀伤链模型,对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段。
20.可选地,所述攻击演化模块包括服务器识别子模块和演化子模块;
21.服务器识别子模块,用于根据可疑行为在可疑服务器中确定疑似c2服务器和疑似感染服务器;
22.演化子模块,用于模拟疑似c2服务器执行预设的攻击策略,演化疑似c2服务器和疑似感染服务器的攻击路径和攻击行为,得到多个网络攻击下一攻击阶段的攻击方案。
23.可选地,所述杀伤链识别模块包括置信度子模块、服务器检测子模块、判断子模块和攻击识别子模块;
24.所述信度子模块,用于针对每一攻击方案,根据dempster合成规则将各步骤的执行概率融合,得到该攻击方案的置信度;
25.所述判断子模块,用于将各攻击方案的置信度与预设阈值进行比较,确定最优攻击方案;
26.所述服务器检测子模块,用于对可疑服务器进行检测,确定可疑服务器是否为受感染服务器;
27.所述攻击识别子模块,用于若存在最优攻击方案,则确定当前受到网络攻击;若不存在最优攻击方案且不存在受感染服务器,则确定当前未受到网络攻击;若不存在最优攻击方案且存在受感染服务器,则确定当前受到新型的网络攻击。
28.本发明实施例第二方面,还提供了一种网络安全监测管理方法,应用于网络安全监管服务器;所述方法包括:
29.当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集;多个预设网络节点部署有传感器;
30.提取所述攻击事件集的特定字段的信息,生成预设格式的事件信息;
31.根据预设攻击行为集确定所述事件信息中的可疑行为,使用杀伤链模型对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段;
32.根据可疑服务器、可疑行为和预设的攻击策略演化多个网络攻击下一攻击阶段的攻击方案;攻击方案包括攻击路径和攻击行为;
33.识别各攻击方案的置信度,确定各攻击方案是否为网络攻击。
34.可选地,当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集包括:
35.接收传感器发送的报警数据包;报警数据包是传感器对网络节点的目标数据包检
查失败时发送的报警信息;所述报警数据包包括目标数据包、目标数据包的负载类型、报警时间、目标数据包相关的数据包信息、传感器id和该传感器对应的预设网络节点信息;
36.根据目标数据包相关的数据包信息和该传感器对应的预设网络节点信息,确定与该警报相关的各传感器,获取各传感器的监控日志,生成所述攻击事件集,根据报警时间和传感器id生成所述攻击事件集的事件id。
37.可选地,所述事件信息包括事件id、源服务器、源服务器发送消息的时间、目的地服务器、目的服务器接收消息的时间和消息发送过程中经过的服务器;
38.提取所述攻击事件集的特定字段的信息,生成预设格式的事件信息包括:
39.将所述事件信息根据网络拓扑和时间关系构建消息传输模型;
40.根据预设攻击行为集确定所述消息传输模型中的具有可疑行为的节点,重构为攻击事件模型;
41.将所述攻击事件模型映射到杀伤链模型,对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段。
42.可选地,根据可疑服务器、可疑行为和预设的攻击策略演化多个网络攻击下一攻击阶段的攻击方案包括:
43.根据可疑行为在可疑服务器中确定疑似c2服务器和疑似感染服务器;
44.模拟疑似c2服务器执行预设的攻击策略,演化疑似c2服务器和疑似感染服务器的攻击路径和攻击行为,得到多个网络攻击下一攻击阶段的攻击方案。
45.可选地,识别各攻击方案的置信度,确定各攻击方案是否为网络攻击,包括:
46.针对每一攻击方案,根据dempster合成规则将各步骤的执行概率融合,得到该攻击方案的置信度;
47.将各攻击方案的置信度与预设阈值进行比较,确定最优攻击方案;
48.对可疑服务器进行检测,确定可疑服务器是否为受感染服务器;
49.若存在最优攻击方案,则确定当前受到网络攻击;若不存在最优攻击方案且不存在受感染服务器,则确定当前未受到网络攻击;若不存在最优攻击方案且存在受感染服务器,则确定当前受到新型的网络攻击。
50.本发明实施例提供了一种网络安全监测管理系统,包括网络安全监管服务器和分布式入侵检测模块ids;网络安全监管服务器包括预处理模块、事件检测模块、攻击演化模块和杀伤链识别模块;ids包括部署于多个预设网络节点的传感器;其中:ids,用于当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集;预处理模块,用于提取攻击事件集的特定字段的信息,生成预设格式的事件信息;事件检测模块,用于根据预设攻击行为集确定事件信息中的可疑行为,使用杀伤链模型对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段;攻击演化模块,用于根据可疑服务器、可疑行为和预设的攻击策略演化多个网络攻击下一攻击阶段的攻击方案;攻击方案包括攻击路径和攻击行为;杀伤链识别模块,用于识别各攻击方案的置信度,确定各攻击方案是否为网络攻击。
51.通过对每次警报的攻击事件集进行分析,使用杀伤链模型对当前网络攻击处于的阶段进行分析,并站在攻击者的角度进行模拟攻击,对网络攻击行为进行预测,可以在网络攻击为完成前即可识别网络攻击,提高了网络攻击识别的效率和网络防护的安全性。
附图说明
52.下面结合附图对本发明作进一步的说明。
53.图1为本发明实施例提供的一种网络安全监测管理系统的系统框图;
54.图2为本发明实施例提供的一种网络安全监测管理方法的流程图。
具体实施方式
55.下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
56.本发明实施例提供了一种网络安全监测管理系统。参见图1,图1为本发明实施例提供的一种网络安全监测管理系统的系统框图。该包括网络安全监管服务器和分布式入侵检测模块ids;网络安全监管服务器包括预处理模块、事件检测模块、攻击演化模块和杀伤链识别模块;ids包括部署于多个预设网络节点的传感器(传感器一、传感器二和传感器三),本发明实施例仅以包含三个传感器为例进行说明,但实际情况并不限于此;其中:
57.ids,用于当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集;
58.预处理模块,用于提取攻击事件集的特定字段的信息,生成预设格式的事件信息;
59.事件检测模块,用于根据预设攻击行为集确定事件信息中的可疑行为,使用杀伤链模型对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段;
60.攻击演化模块,用于根据可疑服务器、可疑行为和预设的攻击策略演化多个网络攻击下一攻击阶段的攻击方案;攻击方案包括攻击路径和攻击行为;
61.杀伤链识别模块,用于识别各攻击方案的置信度,确定各攻击方案是否为网络攻击。
62.基于本发明实施例提供的一种网络安全监测管理系统,通过对每次警报的攻击事件集进行分析,使用杀伤链模型对当前网络攻击处于的阶段进行分析,并站在攻击者的角度进行模拟攻击,对网络攻击行为进行预测,可以在网络攻击为完成前即可识别网络攻击,提高了网络攻击识别的效率和网络防护的安全性。
63.一种实现方式中,预设网络节点可以为交换机的span端口或网络分路器等位置,使传感器可以获取网络中的交互数据。
64.在一个实施例中,ids还包括主控模块;
65.每一传感器,用于对该传感器对应网络节点的交互数据进行检查,若针对目标数据包检查失败,则向所述主控模块发送报警数据包以发出警报;所述报警数据包包括目标数据包、目标数据包的负载类型、报警时间、目标数据包相关的数据包信息、传感器id和该传感器对应的预设网络节点信息;
66.主控模块,用于根据目标数据包相关的数据包信息和该传感器对应的预设网络节点信息,确定与该警报相关的各传感器,获取各传感器的监控日志,生成攻击事件集,根据报警时间和传感器id生成所述攻击事件集的事件id。
67.一种实现方式中,传感器对应网络节点的交互数据进行检查,具体为检查数据包的格式、发送源地址和发送目的地址等。若检测到发送源地址的第一服务器和/或发送目的地址的第二服务器为陌生服务器,或者数据包是通过第一服务器未配置的数据接口发送和/或数据包是通过第二服务器未配置的数据接口接收,则对数据包检查失败,进行报警。
68.在一个实施例中,事件信息包括事件id、源服务器、源服务器发送消息的时间、目的地服务器、目的服务器接收消息的时间和消息发送过程中经过的服务器;
69.事件检测模块,具体用于:
70.将事件信息根据网络拓扑和时间关系构建消息传输模型;
71.根据预设攻击行为集确定消息传输模型中的具有可疑行为的节点,重构为攻击事件模型;
72.将攻击事件模型映射到杀伤链模型,对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段。
73.一种实现方式中,杀伤链模型包括侦察、武器化、投递、漏洞利用、安装、指挥和控制和目标行动等七个阶段。基于这些阶段,分别可以使用以下方法进行防御,不同阶段采用不同的方法相结合:检测-确定渗透组织的尝试;拒绝-在攻击发生时停止攻击;中断-干预攻击者完成的数据通信,然后停止它;降级-限制网络安全攻击的有效性,以尽量减少其不良影响;欺骗-通过向攻击者提供错误信息或误导攻击者;遏制-遏制和限制攻击的范围,使其仅限于组织的某些部分。
74.(1)侦察阶段:
75.检测:网络分析,威胁情报,网络入侵检测系统;
76.拒绝:信息共享政策,防火墙访问控制列表。
77.(2)武器化阶段:
78.检测:威胁情报,网络入侵检测系统;
79.拒绝:网络入侵防御系统;
80.(3)投递阶段:
81.检测:端点恶意软件保护;
82.拒绝:变更管理;应用白名单;代理过滤器;基于主机的入侵防御系统;
83.中断:内联防病毒;
84.降级:排队;
85.遏制:路由器访问控制列表;应用感知防火墙;信任区;区域间网络入侵检测系统。
86.(4)漏洞利用阶段
87.检测:端点恶意软件保护,基于主机的入侵检测系统;
88.拒绝:安全密码,补丁管理;
89.中断:数据执行保护;
90.遏制:应用感知防火墙,信任区,区域间网络入侵检测系统。
91.(5)安装阶段:
92.检测:安全信息和事件管理(siem),基于主机的入侵检测系统;
93.拒绝:权限分离,强密码,两因素身份验证;
94.中断:路由器访问控制列表;
95.遏制:应用感知防火墙,信任区,区域间网络入侵检测系统。
96.(6)指挥和控制阶段:
97.检测:网络入侵检测系统,基于主机的入侵检测系统;
98.拒绝:防火墙访问控制列表,网络分割;
99.中断:基于主机的入侵防御系统;
100.降级:tarpit,tarpit是计算机系统上的一项服务,它故意延迟传入连接。
101.欺骗:域名系统重定向;
102.遏制:信任区,域名系统漏洞。
103.(7)目标行动阶段
104.检测:端点恶意软件保护;
105.拒绝:静态数据加密;
106.中断:端点恶意软件保护;
107.降级:服务质量;
108.欺骗:蜜罐;
109.遏制:事件响应。
110.在一个实施例中,攻击演化模块包括服务器识别子模块和演化子模块;
111.服务器识别子模块,用于根据可疑行为在可疑服务器中确定疑似c2服务器和疑似感染服务器;
112.演化子模块,用于模拟疑似c2服务器执行预设的攻击策略,演化疑似c2服务器和疑似感染服务器的攻击路径和攻击行为,得到多个网络攻击下一攻击阶段的攻击方案。
113.一种实现方式中,攻击者可以控制c2服务器转发命令。感染服务器为已经被攻击者的病毒感染的服务器。
114.一种实现方式中,攻击策略可以根据历史的网络攻击案例进行设计,参见表一,表一为攻击策略可以包括的攻击手段。
115.表一
116.[0117][0118]
在一个实施例中,杀伤链识别模块包括置信度子模块、服务器检测子模块、判断子模块和攻击识别子模块;
[0119]
信度子模块,用于针对每一攻击方案,根据dempster合成规则将各步骤的执行概率融合,得到该攻击方案的置信度;
[0120]
判断子模块,用于将各攻击方案的置信度与预设阈值进行比较,确定最优攻击方案;
[0121]
服务器检测子模块,用于对可疑服务器进行检测,确定可疑服务器是否为受感染服务器;
[0122]
攻击识别子模块,用于若存在最优攻击方案,则确定当前受到网络攻击;若不存在最优攻击方案且不存在受感染服务器,则确定当前未受到网络攻击;若不存在最优攻击方案且存在受感染服务器,则确定当前受到新型的网络攻击。
[0123]
基于相同的发明构思,本发明实施例还提供了一种网络安全监测管理方法。参见图2,图2为本发明实施例提供的一种网络安全监测管理方法的流程图。多个预设网络节点部署有传感器,该方法可以包括以下步骤:
[0124]
s201,当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集。
[0125]
s202,提取攻击事件集的特定字段的信息,生成预设格式的事件信息。
[0126]
s203,根据预设攻击行为集确定事件信息中的可疑行为,使用杀伤链模型对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段。
[0127]
s204,根据可疑服务器、可疑行为和预设的攻击策略演化多个网络攻击下一攻击阶段的攻击方案。
[0128]
s205,识别各攻击方案的置信度,确定各攻击方案是否为网络攻击。
[0129]
攻击方案包括攻击路径和攻击行为。
[0130]
基于本发明实施例提供的一种网络安全监测管理方法,通过对每次警报的攻击事件集进行分析,使用杀伤链模型对当前网络攻击处于的阶段进行分析,并站在攻击者的角度进行模拟攻击,对网络攻击行为进行预测,可以在网络攻击为完成前即可识别网络攻击,提高了网络攻击识别的效率和网络防护的安全性。
[0131]
在一个实施例中,步骤s201包括以下步骤:
[0132]
步骤一,接收传感器发送的报警数据包。
[0133]
步骤二,根据目标数据包相关的数据包信息和该传感器对应的预设网络节点信息,确定与该警报相关的各传感器,获取各传感器的监控日志,生成攻击事件集,根据报警时间和传感器id生成攻击事件集的事件id。
[0134]
报警数据包是传感器对网络节点的目标数据包检查失败时发送的报警信息;报警数据包包括目标数据包、目标数据包的负载类型、报警时间、目标数据包相关的数据包信息、传感器id和该传感器对应的预设网络节点信息。
[0135]
在一个实施例中,事件信息包括事件id、源服务器、源服务器发送消息的时间、目的地服务器、目的服务器接收消息的时间和消息发送过程中经过的服务器;
[0136]
步骤s202可以包括以下步骤:
[0137]
步骤一,将事件信息根据网络拓扑和时间关系构建消息传输模型。
[0138]
步骤二,根据预设攻击行为集确定消息传输模型中的具有可疑行为的节点,重构为攻击事件模型。
[0139]
步骤三,将攻击事件模型映射到杀伤链模型,对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段。
[0140]
在一个实施例中,步骤s204可以包括以下步骤:
[0141]
步骤一,根据可疑行为在可疑服务器中确定疑似c2服务器和疑似感染服务器。
[0142]
步骤二,模拟疑似c2服务器执行预设的攻击策略,演化疑似c2服务器和疑似感染服务器的攻击路径和攻击行为,得到多个网络攻击下一攻击阶段的攻击方案。
[0143]
在一个实施例中,步骤s205可以包括以下步骤:
[0144]
步骤一,针对每一攻击方案,根据dempster合成规则将各步骤的执行概率融合,得到该攻击方案的置信度;
[0145]
步骤二,将各攻击方案的置信度与预设阈值进行比较,确定最优攻击方案;
[0146]
步骤三,对可疑服务器进行检测,确定可疑服务器是否为受感染服务器;
[0147]
步骤四,若存在最优攻击方案,则确定当前受到网络攻击;若不存在最优攻击方案且不存在受感染服务器,则确定当前未受到网络攻击;若不存在最优攻击方案且存在受感染服务器,则确定当前受到新型的网络攻击。
[0148]
以上对本发明的一个实施例进行了详细说明,但所述内容仅为本发明的较佳实施例,不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等,均应仍归属于本发明的专利涵盖范围之内。

技术特征:
1.一种网络安全监测管理系统,其特征在于,包括网络安全监管服务器和分布式入侵检测模块ids;所述网络安全监管服务器包括预处理模块、事件检测模块、攻击演化模块和杀伤链识别模块;所述ids包括部署于多个预设网络节点的传感器;其中:所述ids,用于当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集;所述预处理模块,用于提取所述攻击事件集的特定字段的信息,生成预设格式的事件信息;所述事件检测模块,用于根据预设攻击行为集确定所述事件信息中的可疑行为,使用杀伤链模型对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段;所述攻击演化模块,用于根据可疑服务器、可疑行为和预设的攻击策略演化多个网络攻击下一攻击阶段的攻击方案;攻击方案包括攻击路径和攻击行为;所述杀伤链识别模块,用于识别各攻击方案的置信度,确定各攻击方案是否为网络攻击。2.基于权利要求1所述的一种网络安全监测管理系统,其特征在于,所述ids还包括主控模块;每一传感器,用于对该传感器对应网络节点的交互数据进行检查,若针对目标数据包检查失败,则向所述主控模块发送报警数据包以发出警报;所述报警数据包包括目标数据包、目标数据包的负载类型、报警时间、目标数据包相关的数据包信息、传感器id和该传感器对应的预设网络节点信息;所述主控模块,用于根据目标数据包相关的数据包信息和该传感器对应的预设网络节点信息,确定与该警报相关的各传感器,获取各传感器的监控日志,生成所述攻击事件集,根据报警时间和传感器id生成所述攻击事件集的事件id。3.基于权利要求2所述的一种网络安全监测管理系统,其特征在于,所述事件信息包括事件id、源服务器、源服务器发送消息的时间、目的地服务器、目的服务器接收消息的时间和消息发送过程中经过的服务器;所述事件检测模块,具体用于:将所述事件信息根据网络拓扑和时间关系构建消息传输模型;根据预设攻击行为集确定所述消息传输模型中的具有可疑行为的节点,重构为攻击事件模型;将所述攻击事件模型映射到杀伤链模型,对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段。4.基于权利要求1所述的一种网络安全监测管理系统,其特征在于,所述攻击演化模块包括服务器识别子模块和演化子模块;服务器识别子模块,用于根据可疑行为在可疑服务器中确定疑似c2服务器和疑似感染服务器;演化子模块,用于模拟疑似c2服务器执行预设的攻击策略,演化疑似c2服务器和疑似感染服务器的攻击路径和攻击行为,得到多个网络攻击下一攻击阶段的攻击方案。5.基于权利要求1所述的一种网络安全监测管理系统,其特征在于,所述杀伤链识别模
块包括置信度子模块、服务器检测子模块、判断子模块和攻击识别子模块;所述信度子模块,用于针对每一攻击方案,根据dempster合成规则将各步骤的执行概率融合,得到该攻击方案的置信度;所述判断子模块,用于将各攻击方案的置信度与预设阈值进行比较,确定最优攻击方案;所述服务器检测子模块,用于对可疑服务器进行检测,确定可疑服务器是否为受感染服务器;所述攻击识别子模块,用于若存在最优攻击方案,则确定当前受到网络攻击;若不存在最优攻击方案且不存在受感染服务器,则确定当前未受到网络攻击;若不存在最优攻击方案且存在受感染服务器,则确定当前受到新型的网络攻击。6.一种网络安全监测管理方法,其特征在于,应用于网络安全监管服务器;所述方法包括:当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集;多个预设网络节点部署有传感器;提取所述攻击事件集的特定字段的信息,生成预设格式的事件信息;根据预设攻击行为集确定所述事件信息中的可疑行为,使用杀伤链模型对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段;根据可疑服务器、可疑行为和预设的攻击策略演化多个网络攻击下一攻击阶段的攻击方案;攻击方案包括攻击路径和攻击行为;识别各攻击方案的置信度,确定各攻击方案是否为网络攻击。7.基于权利要求6所述的一种网络安全监测管理方法,其特征在于,当检测到网络中有传感器发出警报,则获取相关各传感器的监控日志,生成该警报对应的攻击事件集包括:接收传感器发送的报警数据包;报警数据包是传感器对网络节点的目标数据包检查失败时发送的报警信息;所述报警数据包包括目标数据包、目标数据包的负载类型、报警时间、目标数据包相关的数据包信息、传感器id和该传感器对应的预设网络节点信息;根据目标数据包相关的数据包信息和该传感器对应的预设网络节点信息,确定与该警报相关的各传感器,获取各传感器的监控日志,生成所述攻击事件集,根据报警时间和传感器id生成所述攻击事件集的事件id。8.基于权利要求7所述的一种网络安全监测管理方法,其特征在于,所述事件信息包括事件id、源服务器、源服务器发送消息的时间、目的地服务器、目的服务器接收消息的时间和消息发送过程中经过的服务器;提取所述攻击事件集的特定字段的信息,生成预设格式的事件信息包括:将所述事件信息根据网络拓扑和时间关系构建消息传输模型;根据预设攻击行为集确定所述消息传输模型中的具有可疑行为的节点,重构为攻击事件模型;将所述攻击事件模型映射到杀伤链模型,对各可疑行为进行分类,确定网络中的可疑服务器以及网络攻击当前处于的攻击阶段。9.基于权利要求6所述的一种网络安全监测管理方法,其特征在于,根据可疑服务器、可疑行为和预设的攻击策略演化多个网络攻击下一攻击阶段的攻击方案包括:
根据可疑行为在可疑服务器中确定疑似c2服务器和疑似感染服务器;模拟疑似c2服务器执行预设的攻击策略,演化疑似c2服务器和疑似感染服务器的攻击路径和攻击行为,得到多个网络攻击下一攻击阶段的攻击方案。10.基于权利要求6所述的一种网络安全监测管理方法,其特征在于,识别各攻击方案的置信度,确定各攻击方案是否为网络攻击,包括:针对每一攻击方案,根据dempster合成规则将各步骤的执行概率融合,得到该攻击方案的置信度;将各攻击方案的置信度与预设阈值进行比较,确定最优攻击方案;对可疑服务器进行检测,确定可疑服务器是否为受感染服务器;若存在最优攻击方案,则确定当前受到网络攻击;若不存在最优攻击方案且不存在受感染服务器,则确定当前未受到网络攻击;若不存在最优攻击方案且存在受感染服务器,则确定当前受到新型的网络攻击。

技术总结
本发明公开了一种网络安全监测管理系统及方法,涉及网络安全技术领域。I DS则获取传感器的监控日志,生成攻击事件集;预处理模块提取攻击事件集的特定字段的信息,生成事件信息;事件检测模块根据预设攻击行为集确定事件信息中的可疑行为,使用杀伤链模型确定网络中的可疑服务器以及当前攻击阶段;攻击演化模块演化多个网络攻击下一攻击阶段的攻击方案;杀伤链识别模块确定各攻击方案是否为网络攻击。通过对每次警报的攻击事件集进行分析,使用杀伤链模型对当前网络攻击处于的阶段进行分析,并站在攻击者的角度进行模拟攻击,对网络攻击行为进行预测,可以在网络攻击为完成前即可识别网络攻击,提高了网络攻击识别的效率和网络防护的安全性。防护的安全性。防护的安全性。


技术研发人员:余强
受保护的技术使用者:广州杰强信息科技有限公司
技术研发日:2022.07.25
技术公布日:2022/11/1
转载请注明原文地址: https://tieba.8miu.com/read-2558.html

专利

最新回复(0)