申请/专利权人:南京赛宁信息技术有限公司
申请日:2023-02-02
公开(公告)日:2023-03-14
公开(公告)号:CN115801458A
主分类号:H04L9/40
分类号:H04L9/40;H04L43/04;H04L41/0631
优先权:
专利状态码:有效-授权
法律状态:2023.05.12#授权;2023.03.31#实质审查的生效;2023.03.14#公开
摘要:本发明公开了一种针对多步攻击的实时攻击场景重构方法、系统与设备。本发明方法包括警报收集、警报预处理、相似度计算、警报聚合、新建警报簇、关联攻击场景、新建攻击场景等步骤。本发明通过对警报信息进行预处理来筛选警报和将警报与TTP进行关联,实现对警报数据的清洗和初步分析,提高聚合关联的效率;利用警报之间的相似度来将大量高度重复的警报聚合为警报簇,有效解决了入侵警报的冗余问题,同时警报的初步聚合有助于系统提高关联速度,降低系统开销;通过先验知识对警报簇进行前后因果关联,基于实时的映射匹配算法实时重构出攻击场景,实现了对攻击者的攻击链条的复现和攻击意图的展现,使得本发明可以更加高效直观地重构攻击场景。
主权项:1.一种针对多步攻击的实时攻击场景重构方法,其特征在于,包括如下步骤:基于网络入侵检测系统检测网络攻击形成原始警报信息,包括源IP地址、源端口、目的IP地址、目的端口、时间戳、触发规则和攻击类型;对原始警报信息进行分析,添加威胁程度字段,并将攻击与TTP框架关联起来在警报中添加TTP字段,标识警报的攻击阶段和攻击技术,得到待匹配的警报;计算待匹配的警报与警报簇之间的属性相似度,如果存在相似度超过设定阈值的警报簇,则更新该警报簇信息,否则新建警报簇,得到待匹配的警报簇;所述警报簇聚合了同一攻击者同一攻击阶段对同一目标主机发起的同一类型的多次攻击产生的警报;使用基于经验知识和基于因果关系的攻击场景重构技术,依据预处理挖掘出的因果知识和语义知识,通过专家知识提前构建出攻击模板,为每个待匹配的警报簇代表的攻击行为匹配到符合某攻击模板的攻击阶段;如果能够匹配到,则关联该警报簇到攻击场景中,否则根据警报簇新建攻击场景。
全文数据:
权利要求:
百度查询: 南京赛宁信息技术有限公司 一种针对多步攻击的实时攻击场景重构方法、系统与设备
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。