專利名稱:一種網(wǎng)絡(luò)多步攻擊識別和預(yù)測方法
技術(shù)領(lǐng)域:
本發(fā)明涉及的是一種信息安全技術(shù),具體地說是一種根據(jù)網(wǎng)絡(luò)中的歷史報警挖掘 發(fā)現(xiàn)多步攻擊序列��,進(jìn)而實時識別新的多步攻擊序列并預(yù)測下一步將要發(fā)生的攻擊的方 法��。
背景技術(shù):
隨著因特網(wǎng)的發(fā)展�����,越來越多的企業(yè)�����、政府����、學(xué)校、科研院所以及家庭等用戶將計 算機連入到互聯(lián)網(wǎng)���。由于互聯(lián)網(wǎng)的開放性以及各種協(xié)議設(shè)計的問題�,用戶就不可避免遭受 到不法分子的攻擊���。為了減少網(wǎng)絡(luò)攻擊給用戶帶來的損失���,各個校內(nèi)網(wǎng)��、企業(yè)內(nèi)部網(wǎng)等都在內(nèi)部配置 了入侵檢測系統(tǒng)����、防火墻����、殺毒軟件等安全設(shè)備����,并配有專業(yè)的網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)進(jìn)行管 理。但是�,各種安全設(shè)備在保護(hù)網(wǎng)絡(luò)的同時產(chǎn)生了海量的報警,不利于管理員對網(wǎng)絡(luò)進(jìn)行管 理�。所以針對安全設(shè)備產(chǎn)生的報警,研究人員提出了安全事件關(guān)聯(lián)與分析技術(shù)�。安全事件關(guān)聯(lián)與分析技術(shù),是根據(jù)各安全設(shè)備中報警記錄�����,分析報警事件的關(guān)系����。 目前�,安全事件關(guān)聯(lián)與分析技術(shù)主要包括兩個方面基于報警相似概率的重復(fù)報警去除和 基于因果關(guān)系的多步攻擊關(guān)聯(lián)�����。斯坦福研究院的Andersson等人在不規(guī)則實時干擾事件的監(jiān)測和響應(yīng) (EventMonitoring Enabling Responses to Anomalous Live Disturbances, EMERALD) 項目中提出了基于告警屬性相似度的安全報警關(guān)聯(lián)系統(tǒng)�,利用入侵事件間概率相似度 和極小匹配規(guī)則來構(gòu)建安全事件關(guān)聯(lián)分析系統(tǒng)(A. Valdes and K. Skinner. Adaptive, Model-Based Monitoringfor Cyber AttackDetection. RAID 2000 Conf,Oct. 2000 : 80-92P)���。Cuppens等在法國國防部的入侵探測����、報警��、自動跟蹤項目中的報警聚合部分使 用了類似的聚類方法(F Cuppens, Manageing Alerts in a multi intrusion detection environment. 17th Annual ComputerSecurity Applications Conference. New-Orleans����, December 2001 :22_31P)。這類方法能夠?qū)ν吹墓暨M(jìn)行聚類����,減少呈遞給管理員的報 警。但是這類方法不能夠揭示報警間的因果關(guān)系����,不利于管理員對網(wǎng)絡(luò)可能遭受攻擊進(jìn)行 主動防御���。鑒于報警相似概率方法的局限性,在此基礎(chǔ)上����,科研人員又展開了基于因果關(guān)系 的多步攻擊關(guān)聯(lián)�。Templeton等提出通過分析攻擊間的因果關(guān)系進(jìn)行多步關(guān)聯(lián)分析。他們 首先對攻擊建模�����,定義每類攻擊的前提條件和結(jié)果�,然后通過比較先發(fā)生的攻擊的結(jié)果和 后發(fā)生攻擊的先決條件對兩個告警進(jìn)行關(guān)聯(lián)(S. J. Templeton and K. Levit t. A requires/ provides modelfor computer attacks. In Proceedings of the New Security Paradigms Workshop 2000,Corklreland�,2000 :31-38)。P. Ning在他的用于入侵報警分析的可視化 工具包(a Visual Toolkitfor Intrusion Alert Analysis, TIAA)系統(tǒng)中事先定義了 各種攻擊可能發(fā)生的前因和后果的知識庫���,通過對報警實例之間前因和后果的匹配���,形成 告警關(guān)聯(lián)圖(P. Ning, Y. Cui, andD. S. Reeves. Constructing attack scenarios throughcorrelation of intrusion alerts. In Proc. Of the ACM Symposium on Computer and Communications Security. Washington, DC, United States, 2002 :245-254)。Cuppens 等也采用相似的方法并利用I^rolog謂詞邏輯語言對攻擊進(jìn)行描述��,再根據(jù)這些攻擊描述 的前提條件和后果自動產(chǎn)生關(guān)聯(lián)規(guī)則,通過這些關(guān)聯(lián)規(guī)則來發(fā)現(xiàn)告警之間的關(guān)聯(lián)關(guān)系�,進(jìn) 而實現(xiàn)攻擊場景的構(gòu)建(Fre' de ‘ ric Cuppens. Managingalerts in multi-intrusion detection environment. In Proceedings 17th annual computersecurity applications conference. New Orleans,2001 :22-31)��。這類方法的能夠根據(jù)報警的因果關(guān)系���,對攻 擊場景進(jìn)行構(gòu)建���,但是因果關(guān)系大多是根據(jù)專家經(jīng)驗得出的,過多地被人為因素所干擾��。 Wenke Lee等在2004年提出的利用葛蘭杰因果關(guān)系檢驗(Granger CausalityTest, GCT) 的統(tǒng)計時序算法來挖掘攻擊場景片段���,再把攻擊片段連接成完整的攻擊場景(Q. Xinzhou and L. ffenke. Discovering novel attack strategies from INFOSECalerts. Sophia Antipolis��,F(xiàn)rance��,ES0RICS 2004 :439-456)��。這類方法能夠較少依賴專家經(jīng)驗��,并能夠發(fā) 現(xiàn)未知的多步攻擊�。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種不過多依賴于專家經(jīng)驗的����,更為準(zhǔn)確的網(wǎng)絡(luò)多步攻擊識 別和預(yù)測方法�����。本發(fā)明的目的是這樣實現(xiàn)的1)網(wǎng)絡(luò)報警和整理將入侵檢測系統(tǒng)�、防火墻和殺毒軟件等多種安全設(shè)備的報警 存入數(shù)據(jù)庫�����,并將報警按照入侵檢測消息交換格式(The Intrusion Detection Message ExchangeFormat, IDMEF)進(jìn)行歸一化處理��;2)攻擊序列轉(zhuǎn)化將數(shù)據(jù)庫中的報警按照攻擊類型轉(zhuǎn)化為多步攻擊序列�����,并根據(jù) 攻擊時間滑動窗口轉(zhuǎn)化為多個長度不同的子攻擊序列��;3)攻擊轉(zhuǎn)化頻率計算統(tǒng)計各個子攻擊序列中的攻擊相互轉(zhuǎn)化的頻數(shù)��,并生成攻 擊轉(zhuǎn)化頻率矩陣�����;4)多步攻擊序列挖掘?qū)Χ喙粜蛄羞M(jìn)行挖掘����,結(jié)合攻擊轉(zhuǎn)化頻率矩陣,生成歷 史多步攻擊序列�;5)新的多步攻擊序列識別和預(yù)測通過分析網(wǎng)絡(luò)中新的報警,依據(jù)歷史多步攻擊 序列進(jìn)行匹配�����,識別和預(yù)測多步攻擊��。所述的攻擊序列轉(zhuǎn)化方法�,其步驟是1)將入侵檢測系統(tǒng)、防火墻等安全設(shè)備報 警庫中的報警集合按照時間屬性順序排列�����,形成報警序列����;幻設(shè)定一個攻擊類型集合,根 據(jù)報警具有攻擊類型將前一步中的報警序列轉(zhuǎn)化為對應(yīng)的攻擊序列���;幻從攻擊序列的初 始節(jié)點開始向后遍歷整個攻擊序列�,將時間窗口內(nèi)的攻擊歸為一個子序列,生成多個個子 攻擊序列����;所述的攻擊頻率計算方法,其步驟是1)依次遍歷所有子攻擊序列��,統(tǒng)計各個子 攻擊序列中�,計算出攻擊之間相互轉(zhuǎn)化的頻數(shù),再將各個攻擊序列中相對應(yīng)的攻擊頻數(shù)相 加�����,得出報警庫中攻擊轉(zhuǎn)化頻數(shù)��;幻根據(jù)前面計算出所有的攻擊之間轉(zhuǎn)化的頻數(shù)�����,并將所 有的頻數(shù)作為元素構(gòu)成攻擊頻數(shù)轉(zhuǎn)化矩陣��;幻根據(jù)攻擊頻數(shù)轉(zhuǎn)化矩陣�,計算攻擊轉(zhuǎn)化的頻 率���,具體方法是用矩陣中的每一項除以該項所在行所有元素之和��,所得的結(jié)果就是該項對
6應(yīng)的攻擊轉(zhuǎn)化的頻率�����,如果該項所在行所有元素之和為零�,則該項所對應(yīng)的攻擊轉(zhuǎn)化頻率 也為零;4)部分轉(zhuǎn)化頻率值接近于零�����。按照概率論的觀點��,這些攻擊轉(zhuǎn)化為不可能事件����。如 果攻擊轉(zhuǎn)化頻率小于最小轉(zhuǎn)化可信度,將該項置為零���,得到了攻擊頻率轉(zhuǎn)化矩陣���。所述的多步攻擊序列挖掘方法,其步驟是1)遍歷整體攻擊序列�����,將第一個攻擊 放入匹配隊列中;幻取后續(xù)的攻擊�,比較該攻擊與匹配隊列的隊尾元素,如果后續(xù)攻擊和 隊尾元素的時間差小于時間窗口�����,且轉(zhuǎn)化頻率不為零�����,則將該攻擊放入匹配隊列尾部���;3) 從整體攻擊序列中刪除第一個攻擊�����,如果整體攻擊序列沒有遍歷完����,繼續(xù)步驟1)�����,直至整體 攻擊序列遍歷完���,生成多個匹配序列�����;4)所得的多個匹配序列中可能會有某個序列是另一 個序列的包含序列����。根據(jù)序列最大的原則去除包含序列的算法�����,形成新的多步攻擊序列集合����。所述的新的多步攻擊序列識別和預(yù)測方法,其步驟是1)接收入侵檢測系統(tǒng)等安 全設(shè)備的報警�,將報警轉(zhuǎn)化為對應(yīng)的攻擊,記錄該攻擊的攻擊類型�����,IP地址和攻擊發(fā)生時 間����;2)遍歷多步攻擊序列集合中的每一個元素����,若攻擊存在于某一個多步攻擊序列中�,則 標(biāo)識攻擊序列及其元素;若攻擊存在于多個攻擊序列�,則將所有的攻擊序列標(biāo)識;幻繼續(xù) 接收等安全設(shè)備的報警�����,并依據(jù)1)中所述轉(zhuǎn)化成攻擊�����,遍歷已經(jīng)標(biāo)識的攻擊序列����,若該攻 擊與某個攻擊序列中最后被標(biāo)識的元素的時間差小于最小時間,且這兩個攻擊的攻擊轉(zhuǎn)化 頻率不為零�����,則在攻擊序列中標(biāo)識新的攻擊�����;然后,該攻擊遍歷其余的序列��,重復(fù)2)的過 程�����;4)設(shè)第某個攻擊序列中最后被標(biāo)識的元素發(fā)生時間后最小時間內(nèi)�,沒有下一個攻擊加 入到該攻擊序列中���,則說明該攻擊序列不能發(fā)生��,擦去該攻擊序列標(biāo)識��;5)當(dāng)某一個多步 攻擊序列中出現(xiàn)多個個連續(xù)的攻擊步驟時����,若這多個攻擊的目的IP地址是一樣的���,則這多 個攻擊步驟是多步攻擊的一部分�。若共有多個多步攻擊序列中出現(xiàn)了連續(xù)的攻擊步驟�,則 下一步會有多個可能。計算每一個個多步攻擊序列中下一步的攻擊轉(zhuǎn)換頻率�����,得出多步攻 擊序列的下一步攻擊的發(fā)生概率;特殊的���,若只有一個多步攻擊序列含有這幾個步驟�,則該 攻擊序列轉(zhuǎn)到下一步的概率為1�。本發(fā)明的效果在于,通過本發(fā)明��,可以自動搜集網(wǎng)絡(luò)中各安全設(shè)備的報警信息��,形 成歷史報警庫�����,從中挖掘出針對本網(wǎng)絡(luò)的多步攻擊序列�����,并實時從新的報警中識別多步攻 擊序列����,并預(yù)測將要發(fā)生的攻擊,為網(wǎng)絡(luò)管理員配置網(wǎng)絡(luò)提供決策依據(jù)��。本發(fā)明的實施不依賴于特定的網(wǎng)絡(luò)安全設(shè)備,可廣泛配置在企業(yè)內(nèi)部網(wǎng)��,校園網(wǎng)�, 政府網(wǎng)等網(wǎng)絡(luò)。本發(fā)明可廣泛應(yīng)用與信息安全��、網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)安全態(tài)勢分析等領(lǐng)域���。
圖1是本發(fā)明的整體結(jié)構(gòu)圖;圖2是一種網(wǎng)絡(luò)多步攻擊識別和預(yù)測方法的詳細(xì)流程圖��;圖3是實施發(fā)明的典型應(yīng)用環(huán)境�����。
具體實施例方式下面結(jié)合附圖實例對本發(fā)明做更詳盡的說明相關(guān)符號說明AS 報警集合���;
S 報警序列�;Si (i = 1��,2��,. . .�,η)報警序列S的第i個報警����;A 攻擊類型集合�����;Bj (j = l�����,2��,...�,m)攻擊類型集合A的第j個元素;f(Si) =iij:f是映射關(guān)系���,表明報警報警Si具有攻擊類型a」(其中SiGS^jG Α)�����;SA:攻擊類型序列���;Sai (i = 1,2, ... ,η)攻擊類型序列SA的中間步驟;T 攻擊時間滑動窗口;SAi (i = 1����,2,· · ·�,k)第 i 個子攻擊序列;na,b 報警庫中攻擊a轉(zhuǎn)化為攻擊b的頻數(shù)��;na,b(i)第i個子攻擊序列中��,攻擊a轉(zhuǎn)化為攻擊b的頻數(shù)�����;ARR 攻擊頻數(shù)轉(zhuǎn)化矩陣�����;fa, b 攻擊a轉(zhuǎn)化為攻擊b的頻率��;MT 最小轉(zhuǎn)化可信度��;Sequence 攻擊隊列�; NewSequence 新的攻擊隊列�。圖1所述的是一種多步攻擊識別和預(yù)測方法整體結(jié)構(gòu)圖,包括網(wǎng)絡(luò)報警和整理用于將入侵檢測系統(tǒng),防火墻�����,殺毒軟件等安全設(shè)備的報警存入 數(shù)據(jù)庫��,并將報警按照IDMEF格式進(jìn)行歸一化處理��。攻擊序列轉(zhuǎn)化用于將數(shù)據(jù)庫中的報警按照攻擊類型轉(zhuǎn)化為多步攻擊序列�����,并根 據(jù)攻擊時間滑動窗口轉(zhuǎn)化為多個長度不同的子攻擊序列��。攻擊轉(zhuǎn)化頻率計算用于統(tǒng)計各個子攻擊序列中的攻擊相互轉(zhuǎn)化的頻數(shù)���,并生成 攻擊轉(zhuǎn)化頻率矩陣�����。多步攻擊序列挖掘用于多攻擊序列進(jìn)行挖掘���,結(jié)合攻擊轉(zhuǎn)化頻率矩陣,生成歷史 多步攻擊序列�。新的多步攻擊序列識別和預(yù)測用于分析網(wǎng)絡(luò)中新的報警�,依據(jù)歷史多步攻擊序 列進(jìn)行匹配��,識別和預(yù)測多步攻擊��。圖2給出了實施一種多步攻擊識別和預(yù)測方法的原理流程圖����,它包含以下步驟第一步,攻擊序列的建立現(xiàn)實中入侵者的攻擊是多種多樣的�,不利于我們的分析。但是每一種攻擊都有特 定的類型��,而攻擊類型的種類是有限的����。這里根據(jù)報警的類型屬性將報警序列轉(zhuǎn)化為對應(yīng) 的攻擊序列����。攻擊序列構(gòu)建的步驟如下所示(1)將入侵檢測系統(tǒng)、防火墻等安全設(shè)備報警庫中的報警集合AS按照時間屬性順 序排列�����,形成報警序列S = S1, &����,. . .��,Sn����,其中Si(i = 1���,2��,. . .��,η)是序列S的中間步驟���。(2)設(shè)定一個攻擊類型集合A= Ia1, ,...����,,根據(jù)下面的關(guān)系f (Si) = 報 警Si具有攻擊類型…(其中Si e S����,Bj e A),將(1)中的報警序列轉(zhuǎn)化為對應(yīng)的攻擊類型 序列 SA = sa1 sa2. . . san����,其中 Sai ^ A0這樣�,將報警序列轉(zhuǎn)化為對應(yīng)的攻擊序列�����。多步攻擊是由多個單步攻擊構(gòu)成的�����,而相鄰的兩個單步攻擊在屬性上具有更強的關(guān)聯(lián)性�,在時間上距離也較近。而攻擊類型序列SA是的時間跨度比較大�,為此我們引入了 攻擊時間滑動窗口 T的概念。從Sa1開始一直到san��,將其后攻擊時間滑動窗口 T的攻擊構(gòu)成一個子序列��,這樣原 來的攻擊序列SA轉(zhuǎn)化為多個子攻擊序列SA1;SA2��,. . .�,SAk����。在每個子攻擊序列SAi = Isai,
Saii2, · SaiiJ 中 I Saiill. time-saia. time | ≤ Τ��。SAi = saia, sai 2, . . .�����,sai n這樣我們就得到了 k個子攻擊序列SA1, SA2, ...�,SAk����。第二步,攻擊轉(zhuǎn)換頻率計算統(tǒng)計各個子攻擊序列中的攻擊相互轉(zhuǎn)化的頻數(shù)���,并生成攻擊轉(zhuǎn)化頻數(shù)矩陣��,在此 基礎(chǔ)上計算攻擊轉(zhuǎn)化的頻率�����,并生成攻擊轉(zhuǎn)化頻率矩陣�����,其步驟是(1)依次遍歷所有子攻擊序列SA1, SA2,...���,SAk,記第i個子攻擊序列中����,攻擊a轉(zhuǎn) 化為攻擊b的頻數(shù)為na, b (i)�����,則在報警庫中攻擊a轉(zhuǎn)化為攻擊b的頻數(shù)na, b可用如下方法 求出
權(quán)利要求
1.一種網(wǎng)絡(luò)多步攻擊識別和預(yù)測方法�����,其特征是(1)網(wǎng)絡(luò)報警和整理將入侵檢測系統(tǒng)����、防火墻和殺毒軟件等多種安全設(shè)備的報警存 入數(shù)據(jù)庫,并將報警按照入侵檢測消息交換格式進(jìn)行歸一化處理����;(2)攻擊序列轉(zhuǎn)化將數(shù)據(jù)庫中的報警按照攻擊類型轉(zhuǎn)化為多步攻擊序列,并根據(jù)攻 擊時間滑動窗口轉(zhuǎn)化為多個長度不同的子攻擊序列�����;(3)攻擊轉(zhuǎn)化頻率計算統(tǒng)計各個子攻擊序列中的攻擊相互轉(zhuǎn)化的頻數(shù)���,并生成攻擊 轉(zhuǎn)化頻率矩陣�����;(4)多步攻擊序列挖掘?qū)Χ喙粜蛄羞M(jìn)行挖掘����,結(jié)合攻擊轉(zhuǎn)化頻率矩陣�,生成歷史多 步攻擊序列;(5)新的多步攻擊序列識別和預(yù)測通過分析網(wǎng)絡(luò)中新的報警�,依據(jù)歷史多步攻擊序 列進(jìn)行匹配,識別和預(yù)測多步攻擊�。
2.根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)多步攻擊識別和預(yù)測方法,其特征是所述的攻擊序 列轉(zhuǎn)化的步驟是1)將入侵檢測系統(tǒng)���、防火墻等安全設(shè)備報警庫中的報警集合按照時間屬 性順序排列��,形成報警序列��;幻設(shè)定一個攻擊類型集合���,根據(jù)報警具有攻擊類型將前一步 中的報警序列轉(zhuǎn)化為對應(yīng)的攻擊序列;幻從攻擊序列的初始節(jié)點開始向后遍歷整個攻擊 序列�����,將時間窗口內(nèi)的攻擊歸為一個子序列,生成多個個子攻擊序列�����;
3.根據(jù)權(quán)利要求1或2所述的一種網(wǎng)絡(luò)多步攻擊識別和預(yù)測方法���,其特征是所述的攻 擊頻率計算的步驟是1)依次遍歷所有子攻擊序列�,統(tǒng)計各個子攻擊序列中�,計算出攻擊 之間相互轉(zhuǎn)化的頻數(shù),再將各個攻擊序列中相對應(yīng)的攻擊頻數(shù)相加�����,得出報警庫中攻擊轉(zhuǎn) 化頻數(shù)�����;幻根據(jù)前面計算出所有的攻擊之間轉(zhuǎn)化的頻數(shù)�����,并將所有的頻數(shù)作為元素構(gòu)成攻 擊頻數(shù)轉(zhuǎn)化矩陣�;幻根據(jù)攻擊頻數(shù)轉(zhuǎn)化矩陣,計算攻擊轉(zhuǎn)化的頻率,具體方法是用矩陣中 的每一項除以該項所在行所有元素之和�,所得的結(jié)果就是該項對應(yīng)的攻擊轉(zhuǎn)化的頻率,如 果該項所在行所有元素之和為零�����,則該項所對應(yīng)的攻擊轉(zhuǎn)化頻率也為零��;4)部分轉(zhuǎn)化頻率 值接近于零���。按照概率論的觀點,這些攻擊轉(zhuǎn)化為不可能事件�����。如果攻擊轉(zhuǎn)化頻率小于最 小轉(zhuǎn)化可信度�,將該項置為零,得到了攻擊頻率轉(zhuǎn)化矩陣��。
4.根據(jù)權(quán)利要求1或2所述的一種網(wǎng)絡(luò)多步攻擊識別和預(yù)測方法�����,其特征是所述的多 步攻擊序列挖掘的步驟是1)遍歷整體攻擊序列��,將第一個攻擊放入匹配隊列中;幻取后 續(xù)的攻擊����,比較該攻擊與匹配隊列的隊尾元素,如果后續(xù)攻擊和隊尾元素的時間差小于時 間窗口�,且轉(zhuǎn)化頻率不為零,則將該攻擊放入匹配隊列尾部����;幻從整體攻擊序列中刪除第 一個攻擊,如果整體攻擊序列沒有遍歷完��,繼續(xù)步驟1)����,直至整體攻擊序列遍歷完,生成多 個匹配序列���;4)所得的多個匹配序列中可能會有某個序列是另一個序列的包含序列����。根據(jù) 序列最大的原則去除包含序列的算法��,形成新的多步攻擊序列集合��。
5.根據(jù)權(quán)利要求3所述的一種網(wǎng)絡(luò)多步攻擊識別和預(yù)測方法,其特征是所述的多步攻 擊序列挖掘的步驟是1)遍歷整體攻擊序列����,將第一個攻擊放入匹配隊列中;幻取后續(xù)的 攻擊��,比較該攻擊與匹配隊列的隊尾元素����,如果后續(xù)攻擊和隊尾元素的時間差小于時間窗 口�,且轉(zhuǎn)化頻率不為零,則將該攻擊放入匹配隊列尾部���;3)從整體攻擊序列中刪除第一個 攻擊�,如果整體攻擊序列沒有遍歷完���,繼續(xù)步驟1)�����,直至整體攻擊序列遍歷完����,生成多個匹 配序列;4)所得的多個匹配序列中可能會有某個序列是另一個序列的包含序列�����。根據(jù)序列 最大的原則去除包含序列的算法�����,形成新的多步攻擊序列集合�����。
6.根據(jù)權(quán)利要求1或2所述的一種網(wǎng)絡(luò)多步攻擊識別和預(yù)測方法����,其特征是所述的新 的多步攻擊序列識別和預(yù)測的其步驟是1)接收入侵檢測系統(tǒng)等安全設(shè)備的報警,將報警 轉(zhuǎn)化為對應(yīng)的攻擊�����,記錄該攻擊的攻擊類型�,IP地址和攻擊發(fā)生時間;幻遍歷多步攻擊序 列集合中的每一個元素���,若攻擊存在于某一個多步攻擊序列中�����,則標(biāo)識攻擊序列及其元素����; 若攻擊存在于多個攻擊序列,則將所有的攻擊序列標(biāo)識��;3)繼續(xù)接收等安全設(shè)備的報警���, 并依據(jù)1)中所述轉(zhuǎn)化成攻擊,遍歷已經(jīng)標(biāo)識的攻擊序列�,若該攻擊與某個攻擊序列中最后 被標(biāo)識的元素的時間差小于最小時間,且這兩個攻擊的攻擊轉(zhuǎn)化頻率不為零����,則在攻擊序 列中標(biāo)識新的攻擊;然后�,該攻擊遍歷其余的序列,重復(fù)幻的過程����;4)設(shè)第某個攻擊序列中 最后被標(biāo)識的元素發(fā)生時間后最小時間內(nèi),沒有下一個攻擊加入到該攻擊序列中���,則說明 該攻擊序列不能發(fā)生�,擦去該攻擊序列標(biāo)識力)當(dāng)某一個多步攻擊序列中出現(xiàn)多個個連續(xù) 的攻擊步驟時,若這多個攻擊的目的IP地址是一樣的��,則這多個攻擊步驟是多步攻擊的一 部分���;若共有多個多步攻擊序列中出現(xiàn)了連續(xù)的攻擊步驟�����,則下一步會有多個可能�,計算每 一個個多步攻擊序列中下一步的攻擊轉(zhuǎn)換頻率�,得出多步攻擊序列的下一步攻擊的發(fā)生概 率;特殊的�,若只有一個多步攻擊序列含有這幾個步驟�����,則該攻擊序列轉(zhuǎn)到下一步的概率為 1��。
7.根據(jù)權(quán)利要求3所述的一種網(wǎng)絡(luò)多步攻擊識別和預(yù)測方法����,其特征是所述的新的 多步攻擊序列識別和預(yù)測的其步驟是1)接收入侵檢測系統(tǒng)等安全設(shè)備的報警���,將報警轉(zhuǎn) 化為對應(yīng)的攻擊�,記錄該攻擊的攻擊類型,IP地址和攻擊發(fā)生時間�;幻遍歷多步攻擊序列 集合中的每一個元素,若攻擊存在于某一個多步攻擊序列中�,則標(biāo)識攻擊序列及其元素;若 攻擊存在于多個攻擊序列����,則將所有的攻擊序列標(biāo)識;3)繼續(xù)接收等安全設(shè)備的報警���,并 依據(jù)1)中所述轉(zhuǎn)化成攻擊���,遍歷已經(jīng)標(biāo)識的攻擊序列�,若該攻擊與某個攻擊序列中最后被 標(biāo)識的元素的時間差小于最小時間,且這兩個攻擊的攻擊轉(zhuǎn)化頻率不為零�,則在攻擊序列 中標(biāo)識新的攻擊;然后����,該攻擊遍歷其余的序列,重復(fù)幻的過程�����;4)設(shè)第某個攻擊序列中 最后被標(biāo)識的元素發(fā)生時間后最小時間內(nèi),沒有下一個攻擊加入到該攻擊序列中�����,則說明 該攻擊序列不能發(fā)生�����,擦去該攻擊序列標(biāo)識��;5)當(dāng)某一個多步攻擊序列中出現(xiàn)多個個連續(xù) 的攻擊步驟時����,若這多個攻擊的目的IP地址是一樣的,則這多個攻擊步驟是多步攻擊的一 部分�����;若共有多個多步攻擊序列中出現(xiàn)了連續(xù)的攻擊步驟����,則下一步會有多個可能,計算每 一個個多步攻擊序列中下一步的攻擊轉(zhuǎn)換頻率,得出多步攻擊序列的下一步攻擊的發(fā)生概 率�����;特殊的��,若只有一個多步攻擊序列含有這幾個步驟���,則該攻擊序列轉(zhuǎn)到下一步的概率為 1���。
8.根據(jù)權(quán)利要求4所述的一種網(wǎng)絡(luò)多步攻擊識別和預(yù)測方法,其特征是所述的新的 多步攻擊序列識別和預(yù)測的其步驟是1)接收入侵檢測系統(tǒng)等安全設(shè)備的報警��,將報警轉(zhuǎn) 化為對應(yīng)的攻擊�,記錄該攻擊的攻擊類型,IP地址和攻擊發(fā)生時間�����;幻遍歷多步攻擊序列 集合中的每一個元素���,若攻擊存在于某一個多步攻擊序列中,則標(biāo)識攻擊序列及其元素���;若 攻擊存在于多個攻擊序列��,則將所有的攻擊序列標(biāo)識��;3)繼續(xù)接收等安全設(shè)備的報警���,并 依據(jù)1)中所述轉(zhuǎn)化成攻擊�,遍歷已經(jīng)標(biāo)識的攻擊序列����,若該攻擊與某個攻擊序列中最后被 標(biāo)識的元素的時間差小于最小時間,且這兩個攻擊的攻擊轉(zhuǎn)化頻率不為零���,則在攻擊序列 中標(biāo)識新的攻擊�����;然后�,該攻擊遍歷其余的序列����,重復(fù)幻的過程;4)設(shè)第某個攻擊序列中 最后被標(biāo)識的元素發(fā)生時間后最小時間內(nèi)����,沒有下一個攻擊加入到該攻擊序列中����,則說明該攻擊序列不能發(fā)生���,擦去該攻擊序列標(biāo)識�����;5)當(dāng)某一個多步攻擊序列中出現(xiàn)多個個連續(xù) 的攻擊步驟時����,若這多個攻擊的目的IP地址是一樣的��,則這多個攻擊步驟是多步攻擊的一 部分��;若共有多個多步攻擊序列中出現(xiàn)了連續(xù)的攻擊步驟�����,則下一步會有多個可能�,計算每 一個個多步攻擊序列中下一步的攻擊轉(zhuǎn)換頻率,得出多步攻擊序列的下一步攻擊的發(fā)生概 率���;特殊的�����,若只有一個多步攻擊序列含有這幾個步驟�����,則該攻擊序列轉(zhuǎn)到下一步的概率為 1�。
9.根據(jù)權(quán)利要求5所述的一種網(wǎng)絡(luò)多步攻擊識別和預(yù)測方法���,其特征是所述的新的 多步攻擊序列識別和預(yù)測的其步驟是1)接收入侵檢測系統(tǒng)等安全設(shè)備的報警���,將報警轉(zhuǎn) 化為對應(yīng)的攻擊,記錄該攻擊的攻擊類型��,IP地址和攻擊發(fā)生時間����;幻遍歷多步攻擊序列 集合中的每一個元素,若攻擊存在于某一個多步攻擊序列中��,則標(biāo)識攻擊序列及其元素�;若 攻擊存在于多個攻擊序列�,則將所有的攻擊序列標(biāo)識���;3)繼續(xù)接收等安全設(shè)備的報警�,并 依據(jù)1)中所述轉(zhuǎn)化成攻擊���,遍歷已經(jīng)標(biāo)識的攻擊序列�����,若該攻擊與某個攻擊序列中最后被 標(biāo)識的元素的時間差小于最小時間�����,且這兩個攻擊的攻擊轉(zhuǎn)化頻率不為零��,則在攻擊序列 中標(biāo)識新的攻擊��;然后�,該攻擊遍歷其余的序列����,重復(fù)幻的過程;4)設(shè)第某個攻擊序列中 最后被標(biāo)識的元素發(fā)生時間后最小時間內(nèi)���,沒有下一個攻擊加入到該攻擊序列中�,則說明 該攻擊序列不能發(fā)生,擦去該攻擊序列標(biāo)識�����;5)當(dāng)某一個多步攻擊序列中出現(xiàn)多個個連續(xù) 的攻擊步驟時�,若這多個攻擊的目的IP地址是一樣的��,則這多個攻擊步驟是多步攻擊的一 部分�����;若共有多個多步攻擊序列中出現(xiàn)了連續(xù)的攻擊步驟��,則下一步會有多個可能����,計算每 一個個多步攻擊序列中下一步的攻擊轉(zhuǎn)換頻率,得出多步攻擊序列的下一步攻擊的發(fā)生概 率����;特殊的,若只有一個多步攻擊序列含有這幾個步驟���,則該攻擊序列轉(zhuǎn)到下一步的概率為 1�。
全文摘要
本發(fā)明提供的是一種網(wǎng)絡(luò)多步攻擊識別和預(yù)測方法。將入侵檢測系統(tǒng)���、防火墻和殺毒軟件等多種安全設(shè)備的報警存入數(shù)據(jù)庫�,并將報警按照入侵檢測消息交換格式進(jìn)行歸一化處理�;將數(shù)據(jù)庫中的報警按照攻擊類型轉(zhuǎn)化為多步攻擊序列,并根據(jù)攻擊時間滑動窗口轉(zhuǎn)化為多個長度不同的子攻擊序列�;統(tǒng)計各個子攻擊序列中的攻擊相互轉(zhuǎn)化的頻數(shù),并生成攻擊轉(zhuǎn)化頻率矩陣����;對多攻擊序列進(jìn)行挖掘,結(jié)合攻擊轉(zhuǎn)化頻率矩陣�����,生成歷史多步攻擊序列����;通過分析網(wǎng)絡(luò)中新的報警,依據(jù)歷史多步攻擊序列進(jìn)行匹配����,識別和預(yù)測多步攻擊����。本發(fā)明的實施不依賴于特定的網(wǎng)絡(luò)安全設(shè)備�,可廣泛應(yīng)用與信息安全、網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)安全態(tài)勢分析等領(lǐng)域���。
文檔編號H04L29/06GK102075516SQ20101056155
公開日2011年5月25日 申請日期2010年11月26日 優(yōu)先權(quán)日2010年11月26日
發(fā)明者劉珊, 李學(xué)真, 楊武, 玄世昌, 王巖, 王巍, 苘大鵬 申請人:哈爾濱工程大學(xué)