一种基于攻击图的攻击行为检测和防护方法技术

本发明专利技术涉及网络信息安全，旨在提供一种基于攻击图的攻击行为检测和防护方法。该种基于攻击图的攻击行为检测和防护方法包括步骤：收集网络环境的拓扑图；扫描器扫描出网络环境中主机的各个漏洞，获取NVD数据库中各个漏洞的Attack Complexity属性值ei；根据拓扑图和漏洞信息生成攻击图；攻击行为检测和防护。本发明专利技术提高了检测和防护的准确度，降低了网络入侵报警系统对业务的影响。本发明专利技术使用邻接表存储攻击图，方便了后续遍历，减少了存储的空间。

Attack detection and protection method based on attack graph

The invention relates to network information security, aiming at providing an attack behavior detection and protection method based on attack graph. The attack detection and protection method based on attack graph includes steps: collecting the topology map of the network environment; scanning the various vulnerabilities of the host in the network environment, obtaining the Attack Complexity attribute value of the vulnerabilities in the NVD database; generating the attack graph based on the topology and vulnerability information; attack behavior detection and Protection. The invention improves the accuracy of detection and protection, and reduces the influence of the network intrusion alarm system on the business. The invention uses adjacency list to store attack graphs, which facilitates subsequent traversal and reduces storage space.

【技术实现步骤摘要】
一种基于攻击图的攻击行为检测和防护方法
本专利技术是关于网络信息安全领域，特别涉及一种基于攻击图的攻击行为检测和防护方法。
技术介绍
目前国内入侵检测系统(IDS)检测的手段多是对网络封包进行特征串比较，如果某个网络包符合了某个特征串，则判定为攻击。然而，这种检测方式是建立在已发生入侵攻击行为网络封包的特征匹配的基础之上，对已知的攻击行为有一定的检测能力，但是误报漏报严重。攻击图是研究人员综合攻击、漏洞、目标、主机和网络连接关系等因素，为发现网络中复杂的攻击路径或者引起系统状态变迁的渗透序列而提出的一种描述网络安全状态的表示方法。攻击图可用来表示在攻击者试图入侵计算机网络时，能否从初始状态到达目的状态。攻击者可以利用已经取得权限的主机作为跳板再次发起攻击，直到达到最终的攻击目的。一个完整的攻击图可以表示所有可能达到目的的操作序列。现有一种基于攻击图的入侵响应方式：根据入侵检测和响应的参考模型即IRAG模型，先就入侵检测和响应提出三种代价：操作代价、响应代价和损失代价，并在考虑这三种代价基础上选择应对措施；任何攻击都是具有特定的目的，利用攻击者在各安全尺度上的偏好来定义攻击者的类型，并以此来描述攻击者的攻击目的；建立两个信息集：攻击者的信息集和系统的信息集；攻击者的信息集包含的信息主要来自于攻击者的踩点、嗅探、扫描以及根据系统的响应信息，而系统的信息集包含的信息则来自于系统内包括IDS、防火墙、主机等各组件的报警、日志信息；参与方的行动空间：系统在进行响应时，实际上会根据攻击类型的不同，确定一个响应集。但是该种基于攻击图的入侵响应方式，可操作性不强，需要采集的信息过多。因此，提供一种更为方便的基于攻击图的攻击行为检测方法，前景看好。
技术实现思路
本专利技术的主要目的在于克服现有技术中的不足，提供一种更为准确的基于攻击图的攻击行为检测和防护方法。为解决上述技术问题，本专利技术的解决方案是：提供一种基于攻击图的攻击行为检测和防护方法，用于防止目标网络受到来自攻击者的攻击，所述基于攻击图的攻击行为检测和防护方法具体包括下述步骤：(1)收集网络环境的拓扑图；网络环境是指目标网络的网络环境，包括目标网络中的防火墙、路由器和服务器(不包括连入目标网络的用户工作机)；(2)扫描器(Nessus脆弱点扫描器)扫描出网络环境中主机(主机即指网络环境中的服务器)的各个漏洞，获取NVD数据库中各个漏洞的AttackComplexity(攻击复杂性)属性值ei；(3)根据拓扑图和漏洞信息生成攻击图，攻击图的点表示目标网络和攻击者的状态，其中，目标网络和攻击者的初始状态为Network，后续状态是代表从哪个主机通过什么漏洞攻击到哪个主机；攻击图的有向边表示攻击者的行为，有向边的权值表示攻击者行为的危险度，有向边的权值取值如下：(4)攻击行为检测和防护：设定每个攻击者有一个危险度指标w，攻击者初始危险度指标为0，攻击者危险度阈值为W(W≥0)；网络封包进行特征串比较发现攻击行为，如果攻击者的行为是攻击图的一条有向边，则将攻击者的危险度指标的值加上这条有向边的权值，作为更新后的攻击者的危险度指标的值，否则攻击者的危险度指标的值不变；当攻击者的危险度指标的值大于设定的阈值W时，则认为该攻击者有较高的专业性和危险度，阻断该ip。与现有技术相比，本专利技术的有益效果是：本专利技术提高了检测和防护的准确度，降低了网络入侵报警系统对业务的影响。本专利技术使用邻接表存储攻击图，方便了后续遍历，减少了存储的空间。附图说明图1为本专利技术的流程图。图2为实施例示意图。图3为实施例示意图。图4为实施例示意图。图5为实施例示意图。具体实施方式首先需要说明的是计算机技术在信息安全
的一种应用。在本专利技术的实现过程中，会涉及到多个软件功能模块的应用。申请人认为，如在仔细阅读申请文件、准确理解本专利技术的实现原理和专利技术目的之后，在结合现有公知技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本专利技术。攻击图：是研究人员综合攻击、漏洞、目标、主机和网络连接关系等因素，为发现网络中复杂的攻击路径或者引起系统状态变迁的渗透序列而提出的一种描述网络安全状态的表示方法。下面结合附图与具体实施方式对本专利技术作进一步详细描述：如图1所示的一种基于攻击图的攻击行为检测和防护方法，根据网络环境的拓扑和弱点构造攻击图，利用攻击图做到了主动防御。具体包括下述步骤：(1)收集网络环境的拓扑图。如图2所示的网络环境的拓扑图：Z1是对外交流区域，有一台Apache服务器，其中Apache服务器上运行Apache对外提供Web服务，Smtpd提供邮件服务，Sshd提供远程管理控制服务，Ftpd提供文件传输服务；Z2是内部服务区，有一台SQL服务器，为Apache服务器上的Apache提供数据库SQLServer服务以及为用户工作机提供RPC、Sshd和Ftpd服务。Apache服务器可访问任意主机，也可被任意主机访问；同一区域的所有主机之间可以互相访问。(2)使用Nessus脆弱点扫描器对各网段内进行扫描，得到各主机上的脆弱点和危险度信息，具体如图3所示。(3)根据拓扑图和漏洞信息生成攻击图，如图4。图示的初始状态为Network，后面的状态代表从哪个主机通过什么漏洞攻击到哪个主机，比如Apache-SQL-C3表示在Apache服务器通过CVE-2002-1123漏洞攻击到SQL服务器。设攻击者危险度阈值为5，攻击者初始危险度指标为0。(4)攻击行为检测和防护：如图5所示，网络封包进行特征串比较发现攻击行为，当攻击者从Network状态走到Network-Apache-C1时，遍历邻接表发现存在该边，攻击者危险度指标加4；攻击者从Network-Apache-C1到Apache-SQL-C4状态时，遍历邻接表发现存在该边，攻击者危险度指标加2，系统判定危险度指标超过阈值，阻断该ip。最后，需要注意的是，以上列举的仅是本专利技术的具体实施例。显然，本专利技术不限于以上实施例，还可以有很多变形。本领域的普通技术人员能从本专利技术公开的内容中直接导出或联想到的所有变形，均应认为是本专利技术的保护范围。本文档来自技高网...

【技术保护点】
1.一种基于攻击图的攻击行为检测和防护方法，用于防止目标网络受到来自攻击者的攻击，其特征在于，所述基于攻击图的攻击行为检测和防护方法具体包括下述步骤：(1)收集网络环境的拓扑图；网络环境是指目标网络的网络环境，包括目标网络中的防火墙、路由器和服务器；(2)扫描器扫描出网络环境中主机的各个漏洞，获取NVD数据库中各个漏洞的Attack Complexity属性值ei；(3)根据拓扑图和漏洞信息生成攻击图，攻击图的点表示目标网络和攻击者的状态，其中，目标网络和攻击者的初始状态为Network，后续状态是代表从哪个主机通过什么漏洞攻击到哪个主机；攻击图的有向边表示攻击者的行为，有向边的权值表示攻击者行为的危险度，有向边的权值取值如下：

【技术特征摘要】
1.一种基于攻击图的攻击行为检测和防护方法，用于防止目标网络受到来自攻击者的攻击，其特征在于，所述基于攻击图的攻击行为检测和防护方法具体包括下述步骤：(1)收集网络环境的拓扑图；网络环境是指目标网络的网络环境，包括目标网络中的防火墙、路由器和服务器；(2)扫描器扫描出网络环境中主机的各个漏洞，获取NVD数据库中各个漏洞的AttackComplexity属性值ei；(3)根据拓扑图和漏洞信息生成攻击图，攻击图的点表示目标网络和攻击者的状态，其中，目标网络和攻击者的初始状态为Network，后续状态是代表从哪个...

【专利技术属性】
技术研发人员：陈代月，范渊，
申请(专利权)人：杭州安恒信息技术有限公司，
类型：发明
国别省市：浙江,33