一种反馈式多步网络攻击智能检测方法及装置

摘要

一种反馈式多步网络攻击智能检测方法及装置涉及网络信息安全领域。多步网络攻击检测规则实际发挥效用的信息、网络异常信息和非预警策略调整信息各自反馈给多步网络攻击检测规则评估器；该评估器根据网络异常信息判断网络是否遭受攻击，根据非预警策略调整信息判断预警的全面性，并结合多步网络攻击检测规则发挥效用的信息对规则的有效性进行评估，以确定已有的多步攻击识别规则在实际网络中的可用性，以及当前多步攻击识别规则的全面性，即是否足以识别和预测所有攻击。本发明可广泛应用于各种普通局域网、涉密局域网、行业内部网络等；任何方式生成的网络多步攻击检测规则在特定网络环境下，都能越来越精准和全面。

主权项

一种反馈式多步网络攻击智能检测方法，其特征在于：利用具有多步网络攻击检测功能的产品识别和预测网络攻击，并记录多步网络攻击检测规则在实际网络中发挥效用的信息；利用具有网络异常探测功能的产品探测网络异常信息；利用具有网络安全策略监测功能的产品监测网络安全策略的调整情况，并追溯这些调整是否依据多步网络攻击检测工具给出的预警；多步网络攻击检测规则实际发挥效用的信息、网络异常信息和并非依据预警进行的网络策略调整信息即非预警策略调整信息各自反馈给多步网络攻击检测规则评估器；该评估器根据网络异常信息判断网络是否遭受攻击，根据非预警策略调整信息判断预警的全面性，并结合多步网络攻击检测规则发挥效用的信息对规则的有效性进行评估，以确定已有的多步攻击识别规则在实际网络中的可用性，以及当前多步攻击识别规则的全面性；具体如下：先定义以下几个名词：启用时长T_MS：评估规则有效性时的时间与规则投入使用的时间相差的毫秒数；使用次数N_USED：多步网络攻击检测工具根据某条规则产生攻击告警与预警的次数，称为该规则的使用次数；有效告警次数N_AVL：多步网络攻击检测工具根据某条规则产生攻击告警，且告警被认为有效的次数；有效预警次数N_POLICY：多步网络攻击检测工具根据某条规则产生攻击预警，且预警被认为有效的次数；预警有效即用户根据预警对网络中的策略进行了调整；规则优先级L_PRIORITY：规则优先级定义了多步网络攻击检测规则被使用的次序；L_PRIORITY值越大，规则的优先级越高，被用到的可能性也越大；依据预警进行的网络策略调整称为预警策略调整，不是依据预警进行的网络策略调整信息称为非预警策略调整信息；所述有效性评估算法和全面性评估方法如下：有效性评估模块的输入是规则启用时长T_MS、使用次数N_USED、有效告警次数N_AVL和有效预警次数N_POLICY，输出是多步网络攻击检测规则优先级L_PRIORITY；计算公式如下：$L_{\mathrm{PRIORITY}}=\frac{2{10}^4\sqrt{N_{\mathrm{USED}}}}{\sqrt{1+T_{\mathrm{MS}}}}·\frac{1+N_{\mathrm{POLICY}}+N_{\mathrm{AVL}}}{1+N_{\mathrm{USED}}}$有效性评估模块周期性地对所有多步攻击检测规则进行评估，每一次计算优先级时，当优先级L_PRIORITY小于指定阀值时，规则将不被使用；全面性评估模块的输入是网络异常信息和非预警策略调整信息；当有这两类信息产生时，表明网络中可能存在未被识别或预测到的攻击，即当前多步网络攻击检测规则不够全面；此时全面性评估模块会启动多步网络攻击检测工具中的规则生成模块，补充生成新的规则。