基于攻擊鏈的復(fù)合攻擊檢測方法

基本信息

申請?zhí)?/td> CN201710672534.2 申請日 -
公開(公告)號(hào) CN107483425A 公開(公告)日 2017-12-15
申請公布號(hào) CN107483425A 申請公布日 2017-12-15
分類號(hào) H04L29/06(2006.01)I 分類 電通信技術(shù);
發(fā)明人 陳華 申請(專利權(quán))人 北京盛華安信息技術(shù)有限公司
代理機(jī)構(gòu) 北京思創(chuàng)大成知識(shí)產(chǎn)權(quán)代理有限公司 代理人 北京盛華安信息技術(shù)有限公司
地址 100085 北京市海淀區(qū)上地東路35號(hào)院1號(hào)樓4層3-508
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種基于攻擊鏈的復(fù)合攻擊檢測方法。該方法可以包括:構(gòu)建事件類型與攻擊鏈映射表,將事件類型映射為攻擊階段;獲取攻擊元數(shù)據(jù);建立攻擊鏈基線,根據(jù)行為偏離發(fā)現(xiàn)行為異常事件;以及計(jì)算行為異常事件的攻擊鏈匹配度,發(fā)現(xiàn)攻擊行為。本發(fā)明通過構(gòu)建事件類型和攻擊鏈映射表,將安全事件映射到攻擊階段,獲得了攻擊元數(shù)據(jù);采用HDFS分布式文件存儲(chǔ)系統(tǒng)對(duì)攻擊元數(shù)據(jù)進(jìn)行實(shí)時(shí)存儲(chǔ),大大提高了存儲(chǔ)效率;同時(shí)針對(duì)每一個(gè)異常事件從元數(shù)據(jù)數(shù)據(jù)庫進(jìn)行回溯計(jì)算,判斷該異常事件是否為攻擊行為并告警,實(shí)現(xiàn)了對(duì)多階段長周期復(fù)雜網(wǎng)絡(luò)攻擊的檢測。