专利名称::一种基于状态机的安全监控关联分析方法
技术领域:
:本发明涉及网络安全
技术领域:
,特别涉及一种基于状态机的安全监控关联分析方法。
背景技术:
:传统的解决多步攻击的攻击场景重构的方法中,主要使用时序关联的方法。传统的攻击场景重构主要的实现过程如下(1)自定义攻击场景,把需要检查的攻击过程用规则的进行表示。(2)对检查到得安全事件与规则进行匹配,如果符合规则则产生告警。现有技术一的缺点(1)需要准确的定义的攻击场景。(2)当定义过多的安全攻击场景时,需对安全事件进行各个攻击场景匹配,导致系统的检查效率明显下降。(3)当攻击者进行协同攻击时,需保持过多的安全状态,导致系统的检查效率降低。
发明内容(—)发明目的本发明的目的是提供一种基于状态机的安全监控关联分析方法,解决由多步骤组成事件的检查、利用多源数据来判断系统的状态和网络协同攻击的问题。
发明内容—种基于状态机的安全监控关联分析方法,包括以下步骤SI:确定目标系统的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集;S2:对目标系统的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表;S3:根据所述对照表检查并记录目标系统的安全状态。其中,所述步骤S3包括S31:当目标系统收到监视程序的告警时,查看所述目标系统的对照表中的安全状态是否为满足所述告警中安全事件对应安全状态的前一状态,若满足则执行S32,否则执行S33;S32:将所述目标系统的安全状态改为告警中安全事件对应的安全状态;S33:查找目标系统前一阶段是否有对应的安全事件,如果找到则执行步骤S32,否则执行S34;S34:将目标系统的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。其中,所述安全状态集中的安全状态主要包括目标系统信息被收集、权限被获取、被置入后门和日志被清理。—种基于状态机的安全监控关联分析系统,包括攻击场景确定模块,用于确定目标系统的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集;对照表建立模块,用于对目标系统的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表;安全状态记录模块,用于根据所述对照表检查并记录资产所在目标系统的安全状态。其中,所述安全状态记录模块包括前一状态判断模块,用于当目标系统收到监视程序的告警时,查看所述目标系统的对照表中的安全状态是否为满足所述告警中安全事件对应安全状态的前一状态,若满足执行当前安全状态设置模块,否则执行前一阶段查找模块;当前安全状态设置模块,用于将所述目标系统的安全状态改为告警中安全事件对应的安全状态;前一阶段查找模块,用于查找目标系统前一阶段是否有对应的安全事件,如果找到执行当前安全状态设置模块,否则执行不确定安全状态设置模块;不确定安全状态设置模块,用于将目标系统的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。(三)有益效果本发明的基于状态机的安全监控关联分析方法具有如下有益效果(1)可以在保障系统运行速度一定的情况下,对资产的安全状态存储较长时间;(2)可以检查分布式的系统攻击;(3)在没有定义精确攻击场景的情况下,可以确定系统的安全状态;(4)可以分析出系统受到攻击的轨迹,为调查取证提供依据。图1是根据本发明的基于状态机的安全监控关联分析方法的流程图。具体实施例方式本发明提出的基于状态机的安全监控关联分析方法,结合附图和实施例说明如下。如图1所示,步骤S1确定目标系统的攻击场景的各攻击阶段对应的安全状态,其中攻击场景是指相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集,通过规则构建攻击场景可以识别真正的攻击事件、预测攻击的下一步动作,安全状态通常包括目标系统信息被收集、权限被获取、被置入后门和日志被清理等。步骤S2中对各监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立安全状态与安全事件的对照表,即各攻击阶段与安全事件的对照表,如表1所示表1各攻击阶段与安全事件的对照表<table>tableseeoriginaldocumentpage5</column></row><table>表中的攻击各阶段对应于各个安全状态,安全事件为导致达到某个安全状态时所发生的事件。步骤S3根据上述对照表检查并记录资产所在目标系统的安全状态。具体地,当系统收到监视程序的一个告警Alert—new时,步骤S31中查看目标系统的对照表中的安全状态是否为满足所述告警Alert—new中安全事件对应安全状态的前一状态,若满足,则将目标系统的安全状态改为对应状态,即步骤S32,例如收到一个告警Alert—new,该警告中安全事件(如溢出攻击)对应的安全状态为"获取权限",则检查对应系统对照表的安全状态是否已经被标为"系统信息被收集"状态,如果是则把该系统的安全状态改为"权限被获取"的状态;若不满足,则在步骤S33中查找目标系统前一阶段是否有对应的安全事件,若找到,则将目标系统的安全状态改为告警Alert—new中安全事件对应的安全状态;否则将该系统的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。—种基于状态机的安全监控关联分析系统,包括攻击场景确定模块,用于确定目标系统的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集;对照表建立模块,用于对目标系统的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表;安全状态记录模块,用于根据所述对照表检查并记录资产所在目标系统的安全状态。其中,所述安全状态记录模块包括前一状态判断模块,用于当目标系统收到监视程序的告警时,查看所述目标系统的对照表中的安全状态是否为满足所述告警中安全事件对应安全状态的前一状态,若满足执行当前安全状态设置模块,否则执行前一阶段查找模块;当前安全状态设置模块,用于将所述目标系统的安全状态改为告警中安全事件对应的安全状态;前一阶段查找模块,用于查找目标系统前一阶段是否有对应的安全事件,如果找到执行当前安全状态设置模块,否则执行不确定安全状态设置模块;不确定安全状态设置模块,用于将目标系统的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。以上实施方式仅用于说明本发明,而并非对本发明的限制,有关
技术领域:
的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。权利要求一种基于状态机的安全监控关联分析方法,其特征在于,包括以下步骤S1确定目标系统的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集;S2对目标系统的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表;S3根据所述对照表检查并记录目标系统的安全状态。2.如权利要求1所述的基于状态机的安全监控关联分析方法,其特征在于,所述步骤S3包括531:当目标系统收到监视程序的告警时,查看所述目标系统的对照表中的安全状态是否为满足所述告警中安全事件对应安全状态的前一状态,若满足则执行S32,否则执行S33;532:将所述目标系统的安全状态改为告警中安全事件对应的安全状态;533:查找目标系统前一阶段是否有对应的安全事件,如果找到则执行步骤S32,否则执行S34;534:将目标系统的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。3.如权利要求1或2所述的所述的基于状态机的安全监控关联分析方法,其特征在于,所述安全状态集中的安全状态主要包括目标系统信息被收集、权限被获取、被置入后门和日志被清理。4.一种基于状态机的安全监控关联分析系统,其特征在于,包括攻击场景确定模块,用于确定目标系统的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集;对照表建立模块,用于对目标系统的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表;安全状态记录模块,用于根据所述对照表检查并记录资产所在目标系统的安全状态。5.如权利要求4所述的基于状态机的安全监控关联分析系统,其特征在于,所述安全状态记录模块包括前一状态判断模块,用于当目标系统收到监视程序的告警时,查看所述目标系统的对照表中的安全状态是否为满足所述告警中安全事件对应安全状态的前一状态,若满足执行当前安全状态设置模块,否则执行前一阶段查找模块;当前安全状态设置模块,用于将所述目标系统的安全状态改为告警中安全事件对应的安全状态;前一阶段查找模块,用于查找目标系统前一阶段是否有对应的安全事件,如果找到执行当前安全状态设置模块,否则执行不确定安全状态设置模块;不确定安全状态设置模块,用于将目标系统的安全状态改为告警中安全事件对应的安全状态,并标记该安全状态为不确定状态。全文摘要本发明公开了一种基于状态机的安全监控关联分析方法,包括以下步骤确定目标系统的攻击场景的各攻击阶段对应的安全状态,所述攻击场景为相互依赖的、具有时间顺序的相互行为发生时,产生的安全事件集;对目标系统的监视程序检查到的、与所述攻击场景相关的安全事件进行分类,建立所述安全状态与安全事件的对照表;根据所述对照表检查并记录目标系统的安全状态。本发明可以在保障系统运行速度一定的情况下,对资产的安全状态存储较长时间;可以检查分布式的系统攻击;在没有定义精确攻击场景的情况下,可以确定系统的安全状态;可以分析出系统受到攻击的轨迹,为调查取证提供依据。文档编号H04L29/06GK101771582SQ20091024357公开日2010年7月7日申请日期2009年12月28日优先权日2009年12月28日发明者依鹏涛,张志雄,方腾飞,王雪飞,苏砫,郭唤斌,黄理申请人:北京神州泰岳软件股份有限公司