国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      基于時間序列和事件序列的關聯(lián)分析攻擊檢測方法和裝置的制作方法

      文檔序號:7647609閱讀:270來源:國知局
      專利名稱:基于時間序列和事件序列的關聯(lián)分析攻擊檢測方法和裝置的制作方法
      技術領域
      本發(fā)明基于時間序列和事件序列的關聯(lián)分析攻擊檢測方法和裝置涉及以交換功能為特征的網(wǎng)絡,是一種防止未經(jīng)允許從數(shù)據(jù)傳輸信道取出數(shù)據(jù)的方法,是一種用于網(wǎng)絡入侵檢測系統(tǒng)(NIDSNetwork Intrusion Detection System)的核心關鍵技術方法和裝置。
      背景技術
      網(wǎng)絡入侵檢測系統(tǒng)(NIDS)安裝在被保護的網(wǎng)段中,通過將其抓包網(wǎng)卡設置為混雜模式,對流經(jīng)的數(shù)據(jù)包進行捕獲、分析,進而對違犯正常行為規(guī)則的行為進行響應、報警。目前NIDS普遍采用兩類技術進行安全事件的檢測基于網(wǎng)絡數(shù)據(jù)特征的匹配技術和基于網(wǎng)絡流量行為的異常檢測技術。傳統(tǒng)的檢測方法通常使用特征匹配的方式將網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包與攻擊特征庫進行逐一匹配,如果在網(wǎng)絡數(shù)據(jù)中發(fā)現(xiàn)攻擊特征數(shù)據(jù),則生成特征事件,然后進行事件告警(在此將所報警的事件稱之為網(wǎng)絡特征事件)。
      特征匹配技術的缺點在于它只能對攻擊過程的片段進行描述,因此在檢測過程中也只能實現(xiàn)對于攻擊片段的檢測,這在很大的程度上導致了誤報率和漏報率都十分高,而且,這種檢測技術也無法實現(xiàn)對于未知特征攻擊的檢測,正因為傳統(tǒng)的特征匹配技術存在著這些缺陷,所以本文提出了一種新型檢測技術基于時間序列和事件序列的關聯(lián)分析檢測技術。這種檢測技術采用事件間的關聯(lián)分析的方法,對于攻擊進行基于行為過程的描述方式,以此提高了對于攻擊描述的全面性和準確性,提高NIDS系統(tǒng)的報警的準確性,并能夠在很大程度上對未知類型的攻擊進行檢測。
      在現(xiàn)有的NIDS產(chǎn)品中,存在著的關聯(lián)分析方法主要是簡單的基于時間序列的以時間為主線的攻擊序列的檢測、另外一種就是簡單地基于事件序列的報警事件之間的關聯(lián)方法,這種關聯(lián)方法從本質(zhì)上說屬于一維的分析技術,即只存在時間維度或者事件維度,所以這兩種技術存在著以下局限性1.單維度關聯(lián)過于簡單,沒有同時考慮攻擊的時間序列特性和與之相關的事件序列特性,所以對于復雜的攻擊仍然無法實現(xiàn)全面的準確描述2.簡單的基于事件序列的檢測方法無法準確地區(qū)分攻擊事件之間的歸屬關系,只能通過IP對簡單地對事件進行粗粒度的關聯(lián),無法將事件之間的聯(lián)系定位到基于四元組的會話級別。

      發(fā)明內(nèi)容
      本發(fā)明的目的是設計一種針對復雜攻擊事件的描述和檢測方法,該方法提供一種基于文本的對于復雜攻擊事件的描述語言,在單一攻擊事件的基礎上,完成對于單一事件序列的基于時間序列的分析,并以此檢測網(wǎng)絡中發(fā)生的攻擊行為,該描述方法提供簡單易配置的用戶接口,使得用戶和開發(fā)人員可以現(xiàn)場修改內(nèi)置的關聯(lián)特征,同時也可以現(xiàn)場添加新的關聯(lián)事件的特征。
      本發(fā)明所采取的技術方案是基于時間序列和事件序列的關聯(lián)分析攻擊檢測方法,包括基礎事件規(guī)則庫、關聯(lián)分析規(guī)則庫、一級檢測引擎、關聯(lián)分析引擎,運行步驟定義基礎事件規(guī)則的步驟;定義關聯(lián)分析規(guī)則的步驟;對符合關聯(lián)分析條件的基礎事件進行檢測的步驟;對基礎事件進行時間序列和事件序列的分析的步驟;
      報警的步驟。
      所述的定義基礎事件規(guī)則的步驟中的子步驟定義各種單一攻擊事件片段行為的表現(xiàn)形式、特征為基礎事件規(guī)則子步驟;將各種基礎事件規(guī)則添加到基礎事件規(guī)則庫子步驟。
      所述的定義關聯(lián)分析規(guī)則的步驟中的子步驟定義各種攻擊事件中多個單一攻擊事件片段按時間順序所形成的行為為行為序列規(guī)則的子步驟;將各種行為序列規(guī)則添加到關聯(lián)分析規(guī)則庫的子步驟。
      所述的對符合關聯(lián)分析條件的基礎事件進行檢測的步驟中的子步驟對網(wǎng)絡中的報文進行簡單的基于模式匹配的特征檢測的子步驟;向關聯(lián)分析引擎上報關聯(lián)事件的基礎事件子步驟。
      所述的對基礎事件進行時間序列和事件序列的分析的步驟中的子步驟同一會話四元組內(nèi)的關聯(lián)分析的子步驟;不同會話四元組間的關聯(lián)分析的子步驟;基礎事件在限定時間間隔內(nèi)發(fā)生的關聯(lián)分析的子步驟;基礎事件存在條件的關聯(lián)分析的子步驟;基礎事件不存在的關聯(lián)分析的子步驟;判斷基礎事件集合是否滿足關聯(lián)分析定義規(guī)則。
      基于時間序列和事件序列的關聯(lián)分析攻擊檢測裝置,包括對各種單一攻擊事件片段行為的表現(xiàn)形式、特征定義為基礎事件規(guī)則的基礎事件定義單元;對各種攻擊事件中多個單一攻擊事件片段按時間順序所形成的行為為行為序列規(guī)則進行定義的關聯(lián)分析規(guī)則定義單元;對符合關聯(lián)分析條件的基礎事件進行檢測的一級檢測引擎;對基礎事件進行時間序列和事件序列的分析的關聯(lián)分析引擎;對滿足關聯(lián)分析定義規(guī)則的事件進行報警的關聯(lián)報警裝置。
      所述的基礎事件定義單元包括定義各種單一攻擊事件片段行為的表現(xiàn)形式、特征為基礎事件規(guī)則的基礎事件規(guī)則定義裝置;儲存各種基礎事件規(guī)則的基礎事件規(guī)則庫。
      所述的關聯(lián)分析規(guī)則定義單元包括定義各種攻擊事件中多個單一攻擊事件片段按時間順序所形成的行為為行為序列規(guī)則的關聯(lián)分析規(guī)則定義裝置;儲存各種行為序列規(guī)則的關聯(lián)分析規(guī)則庫。
      本發(fā)明的有益效果是1.本發(fā)明與簡單的特征匹配的檢測方法相比,將對于攻擊的檢測由簡單地對攻擊過程中存在的某個特征匹配提升為對于整個攻擊過程的匹配,將攻擊事件的描述由簡單地描述攻擊行為片斷提升為描述整個攻擊過程,從而對攻擊事件的描述更加全面、合理,同時對于攻擊的檢測也更加精準。
      2.該方法同時考慮到了時間因素和事件間的順序的因素,所以,對于攻擊事件的描述與檢測同時使用了兩個維度,這種描述和檢測更加符合攻擊檢測的要求,所以這種檢測技術也更加能夠保證檢測結(jié)果的準確性。
      3.本發(fā)明對于基礎事件進行了進一步區(qū)分,即區(qū)分會話內(nèi)的關聯(lián)事件與會話間的關聯(lián)事件,這就更深地挖掘和描述了基礎事件之間的細微區(qū)別,使得可以區(qū)分出發(fā)生在會話內(nèi)的復雜攻擊和會話之間的復雜攻擊。
      4.本發(fā)明與傳統(tǒng)的方法相比,不僅可以描述出IDS報警事件之間的關聯(lián)關系,同時還描述出了未報警事件與已報警事件之間的關聯(lián)關系,這使得事件之間的關聯(lián)更加多樣化、合理化,也使得檢測可以對發(fā)生事件和未發(fā)生事件進行進一步區(qū)分,提高檢測的準確率。


      下面結(jié)合附圖和實施例對本發(fā)明作進一步敘述。
      圖1本發(fā)明的方法運行原理框圖圖2本發(fā)明的裝置原理框圖。
      具體實施例方式
      實施例一首先定義本專利中使用的名詞單一攻擊事件——使用特征匹配的方式所檢測出來的某個攻擊事件。
      單一事件序列——由單一攻擊事件所組成的一個攻擊事件序列。
      關聯(lián)分析——對單一事件序列中的各個攻擊事件的關聯(lián)進行分析。
      基礎事件——存在于單一事件序列之中,并需要進行關聯(lián)分析的的單一攻擊事件。
      會話四元組——一個TCP連接中的源IP、目的IP、源端口、目的端口四個元素所組成的組。
      本實施例所述的基于時間序列和事件序列的關聯(lián)分析攻擊檢測方法,運行原理框圖如圖1所示,是在捕獲的網(wǎng)絡數(shù)據(jù)包基礎之上的,對流量數(shù)據(jù)進行總的統(tǒng)計、分析、檢測,在檢測出單步的攻擊行為之后,再對這些攻擊行為進行兩個維度的分析,即時間維度和事件序列維度。并在此分析的基礎上得出關聯(lián)后的網(wǎng)絡中是否存在攻擊的檢測結(jié)果。
      該方法包括如下步驟(1)定義各種單一攻擊事件片段行為的表現(xiàn)形式、特征為基礎事件規(guī)則。并將各種基礎事件規(guī)則添加到基礎事件規(guī)則庫。
      (2)定義各種攻擊事件中多個單一攻擊事件片段按時間順序所形成的行為為行為序列規(guī)則的。并將各種行為序列規(guī)則添加到關聯(lián)分析規(guī)則庫。
      (3)一級檢測引擎對網(wǎng)絡中的報文進行簡單的基于模式匹配的特征檢測,并向關聯(lián)分析引擎上報關聯(lián)事件的基礎事件。
      (4)關聯(lián)分析引擎對一級檢測引擎上報的基礎事件進行時間序列的分析和事件序列的分析,并將分析結(jié)果進行判斷。
      定義單一攻擊事件片段的行為特征只有符合單一事件片段的行為特征才是關聯(lián)分析引擎所需要進一步分析的。例如,可以設置單一事件片段的行為特征是針對網(wǎng)絡內(nèi)135端口的掃描,并且協(xié)議是MSRPC,那么,只有滿足此條件的掃描事件才會送至行為關聯(lián)引擎進行進一步的分析,所以符合這種條件的所有事件都將其稱為關聯(lián)事件的基礎事件。
      關聯(lián)事件的基礎事件不僅可以對第三層和第四層的網(wǎng)絡數(shù)據(jù)包進行匹配,而且可以對網(wǎng)絡內(nèi)任何協(xié)議的數(shù)據(jù)包進行基于會話四元組和協(xié)議分析技術的高級模式匹配,這樣就提高了關聯(lián)事件的基礎事件上報的準確率。
      一級檢測引擎根據(jù)匹配的結(jié)果上報關聯(lián)事件的基礎事件,這些基礎事件的上報信息中一般包括基礎事件的事件ID及其發(fā)生時間和會話四元組信息。
      定義關聯(lián)事件的行為特征關聯(lián)分析引擎首先對上報的基礎事件進行基于會話四元組的分組,將基礎事件劃分出會話四元組內(nèi)的基礎事件和會話四元組間的基礎事件,并將各個基礎事件添加到與之相關的會話內(nèi)、會話間的關聯(lián)事件隊列之中,并更改關聯(lián)事件隊列的狀態(tài),如果關聯(lián)事件的狀態(tài)滿足了某個關聯(lián)事件所定義的攻擊狀態(tài)特征,就要上報相關的關聯(lián)分析事件。
      關聯(lián)事件特征的含義是指,事先對某種攻擊進行切分,將整個攻擊行為切分成幾個關鍵步驟,并定義這些關鍵步驟可能發(fā)生的時間序列,其中每一個關鍵步驟都針對于一個特定的基礎事件,換句話說,如果這些基礎事件已事先定義好的時間序列發(fā)生,那么就認為關聯(lián)事件所代表的攻擊行為發(fā)生關聯(lián)事件可以定義多種情況的攻擊,具體包括1)同一會話四元組內(nèi)的關聯(lián)分析。
      2)不同會話四元組間的關聯(lián)分析。
      3)基礎事件在限定時間間隔內(nèi)發(fā)生的關聯(lián)分析。
      4)基礎事件存在條件的關聯(lián)分析。
      5)基礎事件不存在的關聯(lián)分析。
      這些情況可以在一定的條件下進行組合,以此來描述更加復雜的攻擊行為,做到對復雜攻擊行為的精確檢測。
      為了以一種統(tǒng)一的方式對上述五種復雜攻擊行為進行檢測,本發(fā)明采用了關聯(lián)分析的定義語法,這樣在定義關聯(lián)分析特征的時候,只需要在規(guī)則文件中添加一條新的關聯(lián)分析規(guī)則表達式,而不必去求該程序代碼。
      關聯(lián)分析特征語法關聯(lián)分析特征定義語言形式化的語法定義如下關聯(lián)分析規(guī)則::=基礎事件規(guī)則單元[單元關系 規(guī)則單元]基礎事件規(guī)則單元::=協(xié)議變量 比較操作符 值協(xié)議變量::=表征協(xié)議特征的表達式比較操作符::=&gt;&lt;!~e
      單元關系::=&amp;或|值::=字符串或者十進制數(shù)據(jù)下面具體說明1)關聯(lián)分析基礎事件表達式使用&amp;或|分隔為多個基礎事件規(guī)則單元,每個基礎事件規(guī)則單元是一個布爾值;如果使用&amp;連接,則只有多個規(guī)則單元都是真的話關聯(lián)基礎規(guī)則才匹配成功;如果使用|連接,則多個基礎事件規(guī)則中只要有一個為真的話關聯(lián)分析基礎規(guī)則就算匹配成功;2)各個關聯(lián)分析基礎規(guī)則適用-&gt;進行連接,表示基礎事件發(fā)生的先后順序。
      3)比較符號(&lt;,&gt;)右部是一個數(shù)值。
      4)關聯(lián)分析基礎事件使用associ_base進行標記,會話內(nèi)關聯(lián)分析事件使用associ_4key進行標記,會話間關聯(lián)分析事件使用associ_2key進行標記,兩種關聯(lián)分析事件均可使用同一種關聯(lián)分析基礎事件。
      5)關聯(lián)分析基礎事件可以定義兩種存在性條件即存在某一基礎事件和不存在某一基礎事件,存在某一基礎事件是指本次關聯(lián)若想成功報警必須發(fā)生該關聯(lián)事件的基礎事件,不存在某一基礎事件是指本次關聯(lián)若想成功報警,則不能發(fā)生關聯(lián)事件的基礎事件。
      6)關聯(lián)分析事件的基礎事件是一級檢測引擎實時上報的事件片斷。
      7)這種關聯(lián)分析方法可以對關聯(lián)分析事件基礎事件之間發(fā)生的時間間隔進行定義,即可以規(guī)定兩條關聯(lián)分析基礎事件先后發(fā)生的時間間隔不能超過一定的值,否則,即使關聯(lián)分析事件的所有基礎事件都按照一定順序發(fā)生,也不能產(chǎn)生關聯(lián)事件的報警。
      基礎事件和關聯(lián)事件規(guī)則舉例定義三個關聯(lián)事件的基礎事件,第一條是MSRPC_連接請求,其事件ID為0x95635a3c;第二條是MSRPC_Printer打印函數(shù)調(diào)用,其事件ID為0x95635a3d;第三條是MSRPC_函數(shù)調(diào)用參數(shù)超長,其事件ID為0x95635a3e,則1)如果NIDS檢測到某個會話中所請求的服務是MSRPC,那么將會上報一條事件,即MSRPC連接請求,檢測該條事件的主要判斷依據(jù)是針對445端口或135端口的TCP三次握手完成。
      2)在第一條基礎事件MSRPC連接請求產(chǎn)生之后,如果發(fā)現(xiàn)此會話中的后繼報文中出現(xiàn)了針對于Printer服務的連接請求,那么就上報第二條基礎事件MSRPC_Printer打印函數(shù)調(diào)用,此條事件的檢測要點是SMB報文頭部的命令是0x25,同時MSRPC請求的UUID為8d9f4e40-a03d-11ce-8f69-08003e30051b。
      3)在檢測到了第二條基礎事件的基礎上,如果檢測到了此會話中MSRPC所攜帶的函數(shù)參數(shù)超過了256字節(jié),那么就要上報第三條基礎事件MSRPC_函數(shù)調(diào)用參數(shù)超長。
      4)定義MSRPC_Printer緩沖區(qū)溢出攻擊事件,該事件的類型為會話內(nèi)關聯(lián)分析,協(xié)議類型為MSRPC,該關聯(lián)分析的基礎事件就是上面的三條基礎事件,該關聯(lián)分析事件的定義為事件ID為0x95635a3c的事件發(fā)生=&gt;事件ID為0x95635a3d的事件發(fā)生=&gt;事件ID為0x95635a3e的事件發(fā)生。
      5)如果上面三個關聯(lián)分析的基礎事件按照順序依次發(fā)生,那么就要上報關聯(lián)事件MSRPC_Printer緩沖區(qū)溢出攻擊。
      關聯(lián)分析引擎的處理過程關聯(lián)分析引擎首先要依次讀入各個基礎事件的規(guī)則定義,并將各個基礎事件的規(guī)則初始化到基礎事件規(guī)則集中。
      在初始化基礎事件的規(guī)則集之后,需要加載關聯(lián)事件的匹配規(guī)則,關聯(lián)事件的匹配規(guī)則使用線性數(shù)據(jù)結(jié)構(gòu)來保存,線性型數(shù)據(jù)結(jié)構(gòu)中的每個節(jié)點需要保存關聯(lián)事件匹配規(guī)則中的一個基礎事件的ID,同時,該節(jié)點還需要初始化與該節(jié)點相對應的關聯(lián)分析狀態(tài)值。
      在初始化完成結(jié)束之后,將進入關聯(lián)分析的檢測階段,首先是一級事件檢測引擎對于網(wǎng)絡中的報文與基礎事件規(guī)則集中的各個規(guī)則進行逐一比對,如果某一條基礎事件的規(guī)則得以滿足,那么將沿著指針鏈查找到與之相關聯(lián)的關聯(lián)事件的連表中,并將連表中的該基礎事件的狀態(tài)置為1,即已經(jīng)發(fā)生(默認值是為發(fā)生)如果關聯(lián)分析連表中的某條基礎事件的狀態(tài)被置為已發(fā)生,那么就需要立即對該連表進行檢查,如果發(fā)現(xiàn)所有的事件都已經(jīng)被觸發(fā),那么立即上報該關聯(lián)分析事件實施例二基于時間序列和事件序列的關聯(lián)分析攻擊檢測裝置,原理框圖如圖2所示,包含有基礎事件定義單元、關聯(lián)分析規(guī)則定義單元、一級事件檢測引擎、關聯(lián)分析檢測引擎。
      基礎事件定義單元該單元主要完成關聯(lián)分析事件所需要的基礎事件,即事件片斷的定義工作,基礎事件可以定義在任何協(xié)議層次之上,并且基礎事件可以使用&amp;與|操作符進行復雜的定義。
      關聯(lián)分析規(guī)則定義單元該模塊主要完成關聯(lián)分析事件的定義工作,對基礎事件之間的關系進行定義,這種定義需要考慮到兩個因素基礎事件之間的發(fā)生時間的先后順序,碎片事件之間發(fā)生的事件序列(此時可能與時間的先后無關)。
      一級檢測引擎,該引擎所要完成的任務就是根據(jù)所定義的關聯(lián)分析基礎事件的定義對網(wǎng)絡報文逐一進行匹配,并上報檢測到的關聯(lián)分析基礎事件,該模塊同時采用了協(xié)議分析、協(xié)議自識別、流重組、碎片重組、預處理、模式匹配等關鍵技術來保證事件片斷的檢測精度。
      關聯(lián)分析檢測引擎該引擎將一級引擎所上報的關聯(lián)分析基礎事件進行進一步的整理,并判斷基礎事件集合是否滿足關聯(lián)分析定義規(guī)則,如果滿足,則上報關聯(lián)分析事件。
      權(quán)利要求
      1.基于時間序列和事件序列的關聯(lián)分析攻擊檢測方法,包括基礎事件規(guī)則庫、關聯(lián)分析規(guī)則庫、一級檢測引擎、關聯(lián)分析引擎,其特征在于所述的步驟定義基礎事件規(guī)則的步驟;定義關聯(lián)分析規(guī)則的步驟;對符合關聯(lián)分析條件的基礎事件進行檢測的步驟;對基礎事件進行時間序列和事件序列的分析的步驟;報警的步驟。
      2.根據(jù)權(quán)利要求1所述的基于時間序列和事件序列的關聯(lián)分析攻擊檢測方法,其特征在于所述的定義基礎事件規(guī)則的步驟中的子步驟定義各種單一攻擊事件片段行為的表現(xiàn)形式、特征為基礎事件規(guī)則子步驟;將各種基礎事件規(guī)則添加到基礎事件規(guī)則庫子步驟。
      3.根據(jù)權(quán)利要求1所述的基于時間序列和事件序列的關聯(lián)分析攻擊檢測方法,其特征在于所述的定義關聯(lián)分析規(guī)則的步驟中的子步驟定義各種攻擊事件中多個單一攻擊事件片段按時間順序所形成的行為為行為序列規(guī)則的子步驟;將各種行為序列規(guī)則添加到關聯(lián)分析規(guī)則庫的子步驟。
      4.根據(jù)權(quán)利要求1所述的基于時間序列和事件序列的關聯(lián)分析攻擊檢測方法,其特征在于所述的對符合關聯(lián)分析條件的基礎事件進行檢測的步驟中的子步驟對網(wǎng)絡中的報文進行簡單的基于模式匹配的特征檢測的子步驟;向關聯(lián)分析引擎上報關聯(lián)事件的基礎事件子步驟。
      5.根據(jù)權(quán)利要求1所述的基于時間序列和事件序列的關聯(lián)分析攻擊檢測方法,其特征在于所述的對基礎事件進行時間序列和事件序列的分析的步驟中的子步驟同一會話四元組內(nèi)的關聯(lián)分析的子步驟;不同會話四元組間的關聯(lián)分析的子步驟;基礎事件在限定時間間隔內(nèi)發(fā)生的關聯(lián)分析的子步驟;基礎事件存在條件的關聯(lián)分析的子步驟;基礎事件不存在的關聯(lián)分析的子步驟;判斷基礎事件集合是否滿足關聯(lián)分析定義規(guī)則。
      6.基于時間序列和事件序列的關聯(lián)分析攻擊檢測裝置,包括對各種單一攻擊事件片段行為的表現(xiàn)形式、特征定義為基礎事件規(guī)則的基礎事件定義單元;對各種攻擊事件中多個單一攻擊事件片段按時間順序所形成的行為為行為序列規(guī)則進行定義的關聯(lián)分析規(guī)則定義單元;對符合關聯(lián)分析條件的基礎事件進行檢測的一級檢測引擎;對基礎事件進行時間序列和事件序列的分析的關聯(lián)分析引擎;對滿足關聯(lián)分析定義規(guī)則的事件進行報警的關聯(lián)報警裝置。
      7.根據(jù)權(quán)利要求6所述的基于時間序列和事件序列的關聯(lián)分析攻擊檢測裝置,其特征在于所述的基礎事件定義單元包括定義各種單一攻擊事件片段行為的表現(xiàn)形式、特征為基礎事件規(guī)則的基礎事件規(guī)則定義裝置;儲存各種基礎事件規(guī)則的基礎事件規(guī)則庫。
      8.根據(jù)權(quán)利要求6所述的基于時間序列和事件序列的關聯(lián)分析攻擊檢測裝置,其特征在于所述的關聯(lián)分析規(guī)則定義單元包括定義各種攻擊事件中多個單一攻擊事件片段按時間順序所形成的行為為行為序列規(guī)則的關聯(lián)分析規(guī)則定義裝置;儲存各種行為序列規(guī)則的關聯(lián)分析規(guī)則庫。
      全文摘要
      本發(fā)明基于時間序列和事件序列的關聯(lián)分析攻擊檢測方法和裝置涉及以交換功能為特征的網(wǎng)絡,是一種防止未經(jīng)允許從數(shù)據(jù)傳輸信道取出數(shù)據(jù)的方法和裝置。所述方法提供一種基于文本的對于復雜攻擊事件的描述語言,使得用戶可以修改內(nèi)置的關聯(lián)特征,同時也可以現(xiàn)場添加新的關聯(lián)事件的特征。本發(fā)明包括基礎事件規(guī)則庫、關聯(lián)分析規(guī)則庫、一級檢測引擎、關聯(lián)分析引擎。本發(fā)明對于整個攻擊過程進行描述,描述更全面、合理,同時考慮到時間因素和事件間的順序兩個維度因素,這種描述和檢測更加符合攻擊檢測的要求,對于基礎事件進行了進一步區(qū)分,本發(fā)明還描述了未報警事件與已報警事件之間的關聯(lián)關系,這一切都大大提高檢測的準確率。
      文檔編號H04L12/26GK101034974SQ20071006493
      公開日2007年9月12日 申請日期2007年3月29日 優(yōu)先權(quán)日2007年3月29日
      發(fā)明者陳宇, 王洋, 李博, 王鴻鵬, 焦玉峰 申請人:北京啟明星辰信息技術有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1