[0001] 本发明涉及信息安全领域，更具体地，涉及一种基于攻击链的复合攻击检测方法。

[0002] 在信息安全领域，电子数据信息对于国家、政府、企业的重要性与日俱增，对竞争对手的意义也同样重大，如果信息系统遭受APT(高级持续攻击)攻击，那么单位受到的影响也会日益严重。然而在APT时代，由于感知能力比较差，感知时间比较长，基于事后签名机制的传统产品如IPS、IDS、杀毒软件等，在面对APT攻击时，这种事后签名机制几乎失效。与此同时APT攻击针对性、隐蔽性又在不断加强，攻击者通过持续的攻击，对信息系统的威胁仍在不断加大。因此，加强APT攻击防护任务艰巨。

[0003] APT攻击是一种复杂多阶段的攻击手段，一般包括即搜索阶段、进入阶段、渗透阶段、收获阶段。APT攻击技术更加复杂、攻击手段更加隐蔽，而且攻击已经不局限于传统的信息系统，而是逐渐把目标扩散到工业控制等系统。传统的检测手段在应对APT攻击时已显得力不从心。因为传统的检测手段主要针对已知的单次威胁，对于未知的漏洞利用、木马程序、攻击手法，无法进行检测和定位。

[0004] 发明人发现，针对复合攻击的检测方法仍然较少，目前有人提出了采用随机森林分类模型对数据进行训练进而进行异常检测的方法，但该方法适合在线常驻检测，难以对真正的多阶段长周期攻击进行检测。因此有必要提供一种复合攻击检测方法。

[0005] 公开于本发明背景技术部分的信息仅仅旨在加深对本发明的一般背景技术的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。

[0026] 下面将参照附图更详细地描述本发明。虽然附图中显示了本发明的优选实施例，然而应该理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了使本发明更加透彻和完整，并且能够将本发明的范围完整地传达给本领域的技术人员。

[0027] 实施例

[0028] 图1示出了根据本发明的基于攻击链的复合攻击检测方法的步骤的流程图。

[0029] 在该实施例中，根据本发明的基于攻击链的复合攻击检测方法可以包括：步骤101，构建事件类型与攻击链映射表，将事件类型映射为攻击阶段；步骤102，获取攻击元数据；步骤103，建立攻击链基线，根据行为偏离发现行为异常事件；以及步骤104，计算行为异常事件的攻击链匹配度，发现攻击行为。

[0030] 该实施例通过将事件类型映射为攻击阶段，获取攻击元数据；建立攻击链基线，根据行为偏离发现行为异常事件并判断是否为潜在的攻击事件，实现了对多阶段长周期复杂网络攻击的检测。

[0031] 下面结合图1详细说明根据本发明的基于攻击链的复合攻击检测方法的具体步骤。

[0032] 步骤101，构建事件类型与攻击链映射表，将事件类型映射为攻击阶段。

[0033] 在一个示例中，通过人工配置或预置将事件类型与各个攻击阶段进行映射。本领域技术人员应当理解，可以采用本领域已知的各种常规方法，将安全事件的事件类型与攻击链映射表匹配。

[0034] 在一个示例中，攻击阶段包括：

[0035] (1)侦查扫描，利用社会工程学侦查目标网络；

[0036] (2)定向攻击，制作带有恶意代码的pdf文件或office文件，作为定向攻击的工具；

[0037] (3)入侵控制，通过邮件的附件或U盘将攻击工具输送到目标系统；

[0038] (4)安装攻击，利用目标系统的操作系统漏洞触发攻击工具运行；

[0039] (5)恶意活动，执行pdf文件或office文件携带的恶意代码，创建攻击据点，并进一步扩大攻击战果。

[0040] 步骤102，获取攻击元数据。

[0041] 在一个示例中，获取攻击元数据包括：基于syslog或文件系统，实时获取安全事件；将安全事件进行标准化，得到标准化事件；基于攻击链映射表，将标准化事件映射至攻击阶段，获得攻击元数据。

[0042] 在一个示例中，标准化事件的信息包括：攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型和事件类型，这些信息是组成攻击元数据的必要信息。

[0043] 在一个示例中，攻击元数据的信息包括：攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型、事件类型和攻击阶段，标准化事件所含的信息加上匹配获得的攻击阶段，就能得到完整的攻击元数据。

[0044] 在一个示例中，通过事件类型与攻击链映射表匹配获得攻击阶段，依据安全事件的事件类型与攻击链映射表匹配，就可以得出该事件所处的攻击阶段。

[0045] 具体地，基于syslog或文件系统，实时获取防火墙、IDS/IPS、操作系统、Web服务器和数据库中的各类安全日志，作为构建攻击链的数据支撑；然后对各类安全日志进行标准化，标准化后的日志包括了攻击时间、攻击严重程度、源IP、源端口、目的IP、目的端口、协议类型和事件类型的信息；最后通过事件类型与攻击链映射表匹配获得攻击阶段，在标准化后的日志所含的信息中加入匹配获得的攻击阶段，就能得到一个完整的攻击元数据。

[0046] 在一个示例中，获取攻击元数据还包括，对攻击元数据进行实时存储，形成元数据数据库。

[0047] 具体地，由于攻击元数据数据量大，采用HDFS分布式文件存储系统。

[0048] 步骤103，建立攻击链基线，根据行为偏离发现行为异常事件。

[0049] 在一个示例中，发现行为异常事件包括：基于采集到的攻击元数据，实时计算建立攻击链基线；当某时刻某攻击阶段的安全事件总量偏离攻击链基线超过阈值时，确定该时刻该攻击阶段最活跃的安全事件为行为异常事件。

[0050] 具体地，该攻击链基线以事件量为基本指标，基线构成是固定周期的攻击链各阶段的平均事件总量。

[0051] 步骤104，计算行为异常事件的攻击链匹配度，发现攻击行为。

[0052] 在一个示例中，计算行为异常事件的攻击链匹配度包括：针对每一个行为异常事件从元数据数据库进行回溯计算，构建攻击序列图；基于攻击序列图计算行为异常事件的攻击链匹配度，发现攻击行为，并且触发告警。

[0053] 具体地，攻击序列图的设计为：

[0054] M＝{P(M),E(M),W(M)}  (1)

[0055] 其中，P(M)＝{p1,p2,p3,…,pn}表示攻击链，每一个元素表示一个攻击阶段；E(M)＝{E(p1),E(p2),E(p3),...，E(pn)}，E(M)与P(M)一一对应，E(pi)表示攻击阶段为pi的攻击事件的集合，E(pi)＝{e1,e2,e3,...,eki}每个元素代表一个攻击事件；W(M)＝{w1,w2,w3,...，wn}，W(M)与P(M)一一对应，表示每一个攻击阶段pi在攻击链中的重要性和危害程度，wi的取值在0～10之间。

[0056] 具体地，针对每一个异常事件从元数据数据库进行回溯计算方法为：

[0057] (1)根据异常事件的源IP和目的IP信息，从元数据数据库中检索相关元数据；

[0058] (2)按照攻击链P(M)＝{p1,p2,p3,...,pn}顺次进行检索；

[0059] (3)检索获取到的元数据中的源IP和目的IP作为新的条件进行攻击链下一阶段的检索。

[0060] 攻击链匹配度计算公式为：

[0061]

[0062] 其中，n为攻击链的阶段数量；pi为攻击阶段；wi表示每一个攻击阶段在攻击链中的重要性和危害程度，wi的取值在0～10之间。E(pi)表示攻击阶段为pi的攻击事件的集合；E(pi)＝{e1,e2,e3,...,eki}每个元素代表一个攻击事件；ki表示该攻击阶段攻击事件的数量。

[0063] 该实施例通过构建事件类型和攻击链映射表，将安全事件映射到攻击阶段，获得了攻击元数据；采用HDFS分布式文件存储系统对攻击元数据进行实时存储，大大提高了存储效率；同时针对每一个异常事件从元数据数据库进行回溯计算，判断该异常事件是否为攻击行为并告警，实现了对多阶段长周期复杂网络攻击的检测。

[0064] 应用示例

[0065] 为便于理解本发明实施例的方案及其效果，以下给出一个具体应用示例。本领域技术人员应理解，该示例仅为了便于理解本发明，其任何具体细节并非意在以任何方式限制本发明。

[0066] 构建事件类型与攻击链映射表，采集syslog或文件系统中的海量安全事件，对安全事件进行标准化处理后映射到攻击链的攻击阶段，从而获得攻击元数据；采用HDFS分布式文件存储系统对获得的攻击元数据进行实时存储，形成元数据数据库；建立攻击链基线，根据行为偏离发现行为异常事件；针对每一个异常事件从元数据数据库进行回溯计算，将攻击阶段、处于该攻击阶段攻击事件的集合以及攻击严重程度代入公式(1)中，构建攻击序列图；基于攻击序列图，将攻击严重程度代入公式(2)中，计算异常事件的攻击链匹配度，发现潜在的攻击事件，并告警。

[0067] 该应用示例通过构建事件类型和攻击链映射表，将安全事件映射到攻击阶段，获得了攻击元数据；采用HDFS分布式文件存储系统对攻击元数据进行实时存储，大大提高了存储效率；同时针对每一个异常事件从元数据数据库进行回溯计算，判断该异常事件是否为攻击行为并告警，实现了对多阶段长周期复杂网络攻击的检测。

[0068] 本领域技术人员应理解，上面对本发明的实施例的描述的目的仅为了示例性地说明本发明的实施例的有益效果，并不意在将本发明的实施例限制于所给出的任何示例。

[0069] 以上已经描述了本发明的实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的实施例。在不偏离所说明的实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。