本发明是关于网络信息安全领域,特别涉及一种基于攻击图的攻击行为检测和防护 方法。
背景技术:
目前国内入侵检测系统(IDS)检测的手段多是对网络封包进行特征串比较,如果某 个网络包符合了某个特征串,则判定为攻击。然而,这种检测方式是建立在已发生入 侵攻击行为网络封包的特征匹配的基础之上,对已知的攻击行为有一定的检测能力, 但是误报漏报严重。
攻击图是研究人员综合攻击、漏洞、目标、主机和网络连接关系等因素,为发现网 络中复杂的攻击路径或者引起系统状态变迁的渗透序列而提出的一种描述网络安全状 态的表示方法。攻击图可用来表示在攻击者试图入侵计算机网络时,能否从初始状态到 达目的状态。攻击者可以利用已经取得权限的主机作为跳板再次发起攻击,直到达到最 终的攻击目的。一个完整的攻击图可以表示所有可能达到目的的操作序列。
现有一种基于攻击图的入侵响应方式:根据入侵检测和响应的参考模型即IRAG模 型,先就入侵检测和响应提出三种代价:操作代价、响应代价和损失代价,并在考虑这三种 代价基础上选择应对措施;任何攻击都是具有特定的目的,利用攻击者在各安全尺度上 的偏好来定义攻击者的类型,并以此来描述攻击者的攻击目的;建立两个信息集:攻击者 的信息集和系统的信息集;攻击者的信息集包含的信息主要来自于攻击者的踩点、嗅 探、扫描以及根据系统的响应信息,而系统的信息集包含的信息则来自于系统内包括 IDS、防火墙、主机等各组件的报警、日志信息;参与方的行动空间:系统在进行响应 时,实际上会根据攻击类型的不同,确定一个响应集。但是该种基于攻击图的入侵响应方 式,可操作性不强,需要采集的信息过多。
因此,提供一种更为方便的基于攻击图的攻击行为检测方法,前景看好。
技术实现要素:
本发明的主要目的在于克服现有技术中的不足,提供一种更为准确的基于攻击图的 攻击行为检测和防护方法。为解决上述技术问题,本发明的解决方案是:
提供一种基于攻击图的攻击行为检测和防护方法,用于防止目标网络受到来自攻击 者的攻击,所述基于攻击图的攻击行为检测和防护方法具体包括下述步骤:
(1)收集网络环境的拓扑图;网络环境是指目标网络的网络环境,包括目标网络 中的防火墙、路由器和服务器(不包括连入目标网络的用户工作机);
(2)扫描器(Nessus脆弱点扫描器)扫描出网络环境中主机(主机即指网络环境 中的服务器)的各个漏洞,获取NVD数据库中各个漏洞的Attack Complexity(攻击复 杂性)属性值ei;
(3)根据拓扑图和漏洞信息生成攻击图,攻击图的点表示目标网络和攻击者的状 态,其中,目标网络和攻击者的初始状态为Network,后续状态是代表从哪个主机通过 什么漏洞攻击到哪个主机;攻击图的有向边表示攻击者的行为,有向边的权值表示攻击 者行为的危险度,有向边的权值取值如下:
(4)攻击行为检测和防护:
设定每个攻击者有一个危险度指标w,攻击者初始危险度指标为0,攻击者危险度 阈值为W(W≥0);网络封包进行特征串比较发现攻击行为,如果攻击者的行为是攻 击图的一条有向边,则将攻击者的危险度指标的值加上这条有向边的权值,作为更新 后的攻击者的危险度指标的值,否则攻击者的危险度指标的值不变;当攻击者的危险度 指标的值大于设定的阈值W时,则认为该攻击者有较高的专业性和危险度,阻断该ip。
与现有技术相比,本发明的有益效果是:
本发明提高了检测和防护的准确度,降低了网络入侵报警系统对业务的影响。本发 明使用邻接表存储攻击图,方便了后续遍历,减少了存储的空间。
附图说明
图1为本发明的流程图。
图2为实施例示意图。
图3为实施例示意图。
图4为实施例示意图。
图5为实施例示意图。
具体实施方式
首先需要说明的是计算机技术在信息安全技术领域的一种应用。在本发明的实现 过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、 准确理解本发明的实现原理和发明目的之后,在结合现有公知技术的情况下,本领域 技术人员完全可以运用其掌握的软件编程技能实现本发明。
攻击图:是研究人员综合攻击、漏洞、目标、主机和网络连接关系等因素,为发现 网络中复杂的攻击路径或者引起系统状态变迁的渗透序列而提出的一种描述网络安全 状态的表示方法。
下面结合附图与具体实施方式对本发明作进一步详细描述:
如图1所示的一种基于攻击图的攻击行为检测和防护方法,根据网络环境的拓扑和 弱点构造攻击图,利用攻击图做到了主动防御。具体包括下述步骤:
(1)收集网络环境的拓扑图。
如图2所示的网络环境的拓扑图:Z1是对外交流区域,有一台Apache服务器,其 中Apache服务器上运行Apache对外提供Web服务,Smtpd提供邮件服务,Sshd提供远 程管理控制服务,Ftpd提供文件传输服务;Z2是内部服务区,有一台SQL服务器,为 Apache服务器上的Apache提供数据库SQL Server服务以及为用户工作机提供RPC、 Sshd和Ftpd服务。Apache服务器可访问任意主机,也可被任意主机访问;同一区域的 所有主机之间可以互相访问。
(2)使用Nessus脆弱点扫描器对各网段内进行扫描,得到各主机上的脆弱点和危 险度信息,具体如图3所示。
(3)根据拓扑图和漏洞信息生成攻击图,如图4。图示的初始状态为Network,后 面的状态代表从哪个主机通过什么漏洞攻击到哪个主机,比如Apache-SQL-C3表示在 Apache服务器通过CVE-2002-1123漏洞攻击到SQL服务器。设攻击者危险度阈值为5, 攻击者初始危险度指标为0。
(4)攻击行为检测和防护:
如图5所示,网络封包进行特征串比较发现攻击行为,当攻击者从Network状态走 到Network-Apache-C1时,遍历邻接表发现存在该边,攻击者危险度指标加4;攻击者 从Network-Apache-C1到Apache-SQL-C4状态时,遍历邻接表发现存在该边,攻击者危 险度指标加2,系统判定危险度指标超过阈值,阻断该ip。
最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限 于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中 直接导出或联想到的所有变形,均应认为是本发明的保护范围。