[发明专利]基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统

摘要

本发明提供一种基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统，能够有效避免攻击场景图的分裂，完成完整的攻击场景图的重构，能够对后续攻击进行预测，实现攻击场景的融合，准确的为分析人员提供能够直接利用的警报信息。其分析处理方法，包括如下步骤：（1）构建攻击策略图，（2）攻击场景图重构，加入对漏报警报或者攻击者刻意漏掉的攻击环节的推断，并将推断结果作为推断警报加入到待关联警报集中，（3）后续攻击预测，（4）攻击场景图融合，将融合后的关联记录用图形表达后得到新攻击场景图；有效解决攻击场景图的分裂，提高分析准确性。一种入侵检测系统，用于根据分析处理方法对系统产生的警报进行安全事件的分析和处理。

主权项

基于攻击策略图的实时警报综合分析处理方法，其特征在于，包括如下步骤：（1）构建攻击策略图：1a）定义原子攻击类型、约束条件、策略图节点信息，警报是属性实例化之后的原子攻击类型；1b）根据策略图节点信息，以原子攻击类型为节点，匹配原子攻击类型的因果条件完成攻击策略图的构建；（2）攻击场景图重构：2a）确定每个原子攻击类型所维持的一个滑动窗口中的最大警报数量和时间宽度；2b）查询当前警报在策略图中的入度节点集，遍历对节点集中每个节点对应的滑动窗口，检查当前警报与滑动窗口中警报属性是否满足相应约束关系，进而找到能够关联的警报，并将能够关联的警报和当前警报作为一条关联记录保存，执行步骤2c）；当前警报未能与其他警报关联时执行步骤2d）；2c）将当前警报放入到相应原子攻击类型的滑动窗口中，超出滑动窗口警报数量或时间宽度，则将窗口末端的若干警报剔出，若未超出，则对窗口末端的若干警报进行保留；2d）根据对应攻击策略图中节点的入度节点集推断可能的漏报攻击；然后根据计算机系统信息或计算机网络信息进行过滤，最后根据当前警报属性及其余推断警报之间的约束条件推断漏报攻击的属性信息，最终得到推断警报，并将该推断警报与当前警报作为一条关联记录保存，并对所述推断警报重复步骤2b）；若无法根据攻击策略图得到推断警报，则终止推断；2e）将步骤2b）和2d）中得到的所有关联记录用图形表达后完成攻击场景图的重构；（3）后续攻击预测：搜寻当前警报对应的原子类型攻击在攻击策略图中的出度节点集，然后根据计算机系统信息或计算机网络信息对出度节点集内的节点相应攻击发生的可能性进行评估，剔除攻击发生的可能性小于设定预定阈值的节点，获得最优的出度节点集，并记录保存对应的关联记录；（4）攻击场景图融合：将步骤（2）得到的关联记录的结果集合和（3）得到的关联记录的结果集合合并得到当前所有关联警报记录，然后在所有关联警报记录中进行两两记录的信息一致性判断，反应信息一致的关联警报记录进行融合，并用一条融合警报取代原始警报记录，将融合后的关联记录用图形表达后得到新攻击场景图。