[发明专利]一种网络攻击检测方法

权利要求书

1.一种网络攻击检测方法，其步骤为：

1)将从网络安全基础设施获得的报警转化为统一格式的报警；

2)获取与报警行为相关联的主机的状态信息，根据状态信息判断报警关联行为是否生 效，当一个报警关联行为无效时，则丢弃此报警，否则将此报警标记为有效；当无 法获取与报警行为关联的主机的状态信息时，则将此报警标记为未确定；

3)聚合有效报警和未确定报警，生成安全事件；所述安全事件为行为和特征相似的报 警集合；

4)利用生成的安全事件将攻击图实例化，得到攻击场景图；

5)输出满足条件的攻击场景图，确定攻击类型。

2.如权利要求1所述的方法，其特征在于所述统一格式为IDMEF格式；所述IDMEF格 式中的属性包括：报警生成的时间、报警关联行为的源IP地址、报警关联行为的目的 IP地址、报警关联行为的源端口、报警关联行为的目的端口、报警的分类、使某类报 警关联行为生效的主机特征。

3.如权利要求2所述的方法，其特征在于所述根据状态信息判断报警关联行为是否生效 的方法为：通过从所述IDMEF格式报警中的目标地址查找关联主机，并查询该主机的 状态信息中是否有此报警中的漏洞，从而验证报警是否生效。

4.如权利要求1或3所述的方法，其特征在于所述主机的状态信息采用OVAL语言进行 描述，其包括：主机上安装的软件、主机的安全策略、软件的补丁安装情况、系统所 存在的漏洞。

5.如权利要求1所述的方法，其特征在于所述安全事件中的信息包括：报警集合AlertSet、 源IP地址的集合AbstractSourceIP、目的IP地址的集合AbstractTargetIP、源端口的集 合AbstractSourcePort、目的端口的集合AbstractTargetPort、报警分类的集合 Hyperclassification、安全事件由攻击引起的可能性描述信息Credibility。

6.如权利要求1所述的方法，其特征在于所述攻击图由一个四元组{N，E，T，C}构成，N 为节点、E为边、T为节点自身的约束条件、C为边描述的两个节点之间的约束条件； 其中：

组元N中的元素是一个二元组{PreNode，SeqNode}，PreNode是该节点前一个节 点的集合，SeqNode是该节点后一个节点的集合；

组元E中的元素是一个三元组{prenode，seqnode，value}，prenode是有向边的起始 节点，seqnode是有向边的终止节点，value是一个实数，表示这条边的重要程度；

组元T中的元素是一个三元组{Node，Hyperclassification，Critic}，Node表示T中 元素对应的节点元素，Hyperclassification表示T中元素对应安全事件的报警事件分类 属性的值，Critic为此元素的重要程度；

组元C中的元素是一个三元组{formernode，laternode，LocalRelation}，formernode 表示当前有向边的起始节点，laternode表示当前有向边的终止节点，LocalRelation表 示这两个节点之间反映在IP地址之间的关系以及两两节点之间前后攻击步骤之间的 约束关系。

7.如权利要求6所述的方法，其特征在于所述LocalRelation是两个二元组的笛卡尔积 {SourceIP，TargetIP}×{SourceIP，TargetIP}中全部元素的子集，其中{SourceIP，TargetIP} 代表formernode.SourceIP代表 formernode的源IP地址集合，laternode.TargetIP代表laternode的目的IP地址集合。

8.如权利要求6或7所述的方法，其特征在于所述攻击场景图的生成方法为：对每一个 产生的安全事件，根据攻击图节点与边的约束规则，寻找一个攻击场景图，使该安全 事件满足这个攻击场景图的某一个还未匹配的节点所必须满足的约束条件；如果没有 满足条件的攻击场景图，则创建新的攻击场景图。