[发明专利]一种多步攻击检测方法及装置

说明书

本发明提供了一种多步攻击检测方法及装置，应用于信息安全技术领域，该方法在在获取网络攻击报警序列之后，确定多个多步攻击场景的隐马尔可夫模型，基于多个多步攻击场景的隐马尔可夫模型，预测网络攻击报警序列对应的多步攻击场景，基于网络攻击报警序列以及网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型，预测网络攻击报警序列对应的攻击意图序列，对网络攻击报警序列背后隐藏的攻击意图进行了更深入挖掘，根据网络攻击报警序列对应的攻击意图序列以及网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型，预测攻击者下一步可能的攻击意图。对多步攻击进行了准确的判别，对攻击路径进行了定性的显示，对攻击意图进行了定量的分析，具有较高准确率，在一定程度上可以快速有效地预测和抵御多步攻击。

技术领域

本发明属于信息安全技术领域，尤其涉及一种多步攻击检测方法及装置。

背景技术

在智能信息化发展道路上，由于网络系统中安全漏洞和黑客工具的大量存在，导致进行网络攻击难度的降低，网络攻击带来丰厚利益的驱动，使得网络上的攻击入侵行为越来越多。多步攻击已经成为网络攻击入侵的主要形式之一。

现有技术中，检测多步攻击的方法主要偏向于规则匹配的方式，多步攻击场景的预测大都需要提前知晓攻击行为，进而基于已经重建好的多步攻击场景来选择相应的算法对多步攻击进行检测。

但这种方法在大数据量时往往运行缓慢，并且维护成本高昂，因此，如何对多步攻击进行快速有效的检测，成为本领域技术人员亟待解决的技术问题。

发明内容

鉴于上述问题，本申请提出了一种多步攻击检测方法及装置，对多步攻击进行了准确的判别，对攻击路径进行了定性的显示，对攻击意图进行了定量的分析，具有较高准确率，在一定程度上可以快速有效地预测和抵御多步攻击。具体方案如下：

一种多步攻击检测方法，包括：

获取网络攻击报警序列；

确定多个多步攻击场景的隐马尔可夫模型；

基于所述多个多步攻击场景的隐马尔可夫模型，预测所述网络攻击报警序列对应的多步攻击场景；

基于所述网络攻击报警序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型，预测所述网络攻击报警序列对应的攻击意图序列；

根据所述网络攻击报警序列对应的攻击意图序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型，预测攻击者下一步可能的攻击意图。

可选的，所述确定多个攻击场景的隐马尔可夫模型，包括：

获取多个多步攻击场景的多步攻击事件；

针对每个多步攻击场景的多步攻击事件，确定所述多步攻击场景的多步攻击事件的状态数是否已知；

如果所述多步攻击场景的多步攻击事件的状态数已知，则基于所述多步攻击场景的多步攻击事件的状态数构建所述多步攻击场景的隐马尔可夫模型；

如果所述多步攻击场景的多步攻击事件的状态数未知，则先确定所述多步攻击场景的多步攻击事件的状态数，再基于确定的所述多步攻击场景的多步攻击事件的状态数构建所述多步攻击场景的隐马尔可夫模型。

可选的，所述基于所述多个多步攻击场景的隐马尔可夫模型，预测所述网络攻击报警序列对应的多步攻击场景，包括：

计算各个多步攻击场景的隐马尔可夫模型产生所述网络报警序列的概率；

将概率最高的多步攻击场景的隐马尔可夫模型对应的多步攻击场景，确定为所述网络攻击报警序列对应的多步攻击场景。

可选的，所述基于所述网络攻击报警序列以及所述网络攻击报警序列对应的多步攻击场景的隐马尔可夫模型，预测所述网络攻击报警序列对应的攻击意图序列，包括：