一種面向wlan的無線多步攻擊模式挖掘方法
【專利摘要】本發(fā)明公開了一種面向WLAN的無線多步攻擊模式挖掘方法，包括如下步驟：步驟一、構(gòu)造全局攻擊庫：依據(jù)WLAN環(huán)境中的不同AP信息，將無線告警按照AP的BSSID信息進行分類，并按發(fā)生時間屬性構(gòu)造基于AP的全局攻擊庫；步驟二、建立候選攻擊鏈：步驟三、篩選候選攻擊鏈：步驟四、關(guān)聯(lián)多步攻擊行為：步驟五、識別多步攻擊模式：計算攻擊鏈中相鄰攻擊之間的相關(guān)度，將低于預先定義的相關(guān)度閾值的攻擊鏈進行刪除，最終識別出無線多步攻擊模式。本發(fā)明的有益效果是：該方法能夠適用于WLAN的真實攻擊場景，能有效挖掘出無線多步攻擊模式，可以為多步攻擊意圖預先識別提供基礎(chǔ)。
【專利說明】—種面向WLAN的無線多步攻擊模式挖掘方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及無線多步攻擊模式挖掘方法，更具體說，它涉及一種面向WLAN的無線多步攻擊模式挖掘方法。
【背景技術(shù)】
[0002]隨著計算機網(wǎng)絡(luò)的飛速發(fā)展，使用WLAN的用戶也日益增多，面向WLAN的網(wǎng)絡(luò)安全研究也受到越來越多的重視。入侵檢測和防御技術(shù)作為網(wǎng)絡(luò)安全防護的重要手段，在傳統(tǒng)有線網(wǎng)絡(luò)環(huán)境中已有較為成熟的應用，針對網(wǎng)絡(luò)多步攻擊模式的識別方法，也在有線網(wǎng)絡(luò)中有了一定的研究。但現(xiàn)有的多步攻擊識別方法主要利用網(wǎng)絡(luò)層以上的數(shù)據(jù)包信息作為識別特征，而WLAN無線網(wǎng)絡(luò)包含了更多網(wǎng)絡(luò)層以下的數(shù)據(jù)包特征。正是由于無線網(wǎng)絡(luò)具有的特殊性，將現(xiàn)有的多步攻擊模式挖掘方法運用到WLAN面臨許多的困難，目前仍很少看到WLAN領(lǐng)域無線多步攻擊模式挖掘的研究。
[0003]國外針對WLAN的入侵檢測和防御技術(shù)研究開展較早，業(yè)界也紛紛推出相關(guān)的無線網(wǎng)絡(luò)入侵檢測系統(tǒng)，如ISS公司的Wireless Scanner、AirMagnet公司的AirMagnetDistributecUAirDefense 公司的 AirDefense GuarcUCisco 公司的 Adaptive WIPS 以及開源的Snort-Wireless等產(chǎn)品。但是，這些系統(tǒng)都具有各自的不足和缺陷，例如都存在一定程度的誤報和漏報問題，尤其對于網(wǎng)絡(luò)多步攻擊模式的檢測能力有限，往往只能識別簡單的單步攻擊，無法準確識別多步攻擊中的最終攻擊意圖，導致不能提前進行預警等。
[0004]在國內(nèi)，無線安全尤其是無線局域網(wǎng)的安全市場還剛起步，由于網(wǎng)絡(luò)安全的重要性，不能純粹依靠國外的安全產(chǎn)品。無線局域網(wǎng)在國內(nèi)的快速發(fā)展應用也只是近些年的事，目前國內(nèi)針對無線局域網(wǎng)的入侵防御產(chǎn)品并不多，主要有冠群金辰公司的WLAN入侵檢測系統(tǒng)和啟明星辰公司的無線網(wǎng)絡(luò)安全防護產(chǎn)品等。冠群金辰公司在2004年研發(fā)了基于分布式結(jié)構(gòu)的WLAN入侵檢測系統(tǒng)，該系統(tǒng)綜合利用協(xié)議分析、特征比對和異常檢測三種技術(shù)，能較好地對WLAN網(wǎng)絡(luò)流量進行分析，但其研究方式和對象仍側(cè)重于有線網(wǎng)絡(luò)，在無線網(wǎng)絡(luò)環(huán)境應用存在一定的局限性，也無法對非法無線連接進行自動防御。啟明星辰公司于2012年6月發(fā)布了國內(nèi)首款針對無線網(wǎng)絡(luò)安全的防護產(chǎn)品，可以檢測包括非法AP、無線探測、地址欺騙、DoS拒絕服務(wù)、密鑰破解等多種無線攻擊方式，是一款融合了無線入侵檢測和防御的無線網(wǎng)絡(luò)安全防護產(chǎn)品。但是，這些商業(yè)化產(chǎn)品部署復雜、價格昂貴，同樣只能識別針對WLAN的單步攻擊，難以發(fā)現(xiàn)多步攻擊行為的最終意圖并提前預警。
[0005]專利200810046913.1 “網(wǎng)絡(luò)多步攻擊意圖在線識別方法”提供了一種網(wǎng)絡(luò)多步攻擊意圖在線識別方法，該方法提取收到的安全事件告警信息的特征，根據(jù)該特征和攻擊行為發(fā)生序列模式集進行模式匹配，若匹配成功，計算符合模式匹配的前后安全事件告警信息的關(guān)聯(lián)度，根據(jù)關(guān)聯(lián)度與關(guān)聯(lián)度閾值的比較結(jié)果記錄安全事件告警信息之間的網(wǎng)絡(luò)多步攻擊關(guān)系。專利201010561551.7 “一種網(wǎng)絡(luò)多步攻擊識別和預測方法”提供了一種網(wǎng)絡(luò)多步攻擊識別和預測方法，該方法將數(shù)據(jù)庫中的報警按照攻擊類型轉(zhuǎn)化為多步攻擊序列，并根據(jù)攻擊時間滑動窗口轉(zhuǎn)化為多個長度不同的子攻擊序列，生成攻擊轉(zhuǎn)化頻率矩陣，對多攻擊序列進行挖掘，再生成歷史多步攻擊序列，依據(jù)歷史多步攻擊序列進行匹配，識別和預測多步攻擊。這兩種方法主要利用網(wǎng)絡(luò)層以上的數(shù)據(jù)包信息(例如IP地址、端口號)作為識別特征，可以識別有線網(wǎng)絡(luò)的多步攻擊意圖，但是針對WLAN的攻擊往往在未獲取IP地址的時候進行，因此對于WLAN無線網(wǎng)絡(luò)環(huán)境并不有效，無法準確識別出WLAN的無線多步攻擊模式。
[0006]所以，迫切需要在WLAN領(lǐng)域進行深入研究，分析面向WLAN的多步攻擊意圖識別難點，研究WLAN中多步攻擊行為模式和多步攻擊識別方法，以實現(xiàn)WLAN多步攻擊模式的自動挖掘，從而提高WLAN入侵的自動防御和預先決策性能。

【發(fā)明內(nèi)容】

[0007]本發(fā)明的目的是克服現(xiàn)有技術(shù)中的不足，提供一種面向WLAN的無線多步攻擊模式挖掘方法。
[0008]這種面向WLAN的無線多步攻擊模式挖掘方法，包括如下步驟:[0009]步驟一、構(gòu)造全局攻擊庫:依據(jù)WLAN環(huán)境中的不同AP信息，將無線告警按照AP的BSSID信息(即MAC地址)進行分類，并按發(fā)生時間屬性構(gòu)造基于AP的全局攻擊庫；
[0010]步驟二、建立候選攻擊鏈:利用告警時間窗口，結(jié)合告警的源MAC地址和目標MAC地址之間的關(guān)系，在不同AP的全局攻擊庫中建立滿足一定條件的候選攻擊鏈；
[0011]步驟三、篩選候選攻擊鏈:對建立的候選攻擊鏈進行篩選，去除候選攻擊子鏈或重復的候選攻擊鏈，提高后續(xù)攻擊模式挖掘的效率；
[0012]步驟四、關(guān)聯(lián)多步攻擊行為:定義無線多步攻擊的無線告警相關(guān)度，定量描述兩個告警之間的關(guān)聯(lián)關(guān)系，為后續(xù)的多步攻擊模式識別提供依據(jù)；
[0013]步驟五、識別多步攻擊模式:計算攻擊鏈中相鄰攻擊之間的相關(guān)度，將低于預先定義的相關(guān)度閾值的攻擊鏈進行刪除，最終識別出無線多步攻擊模式。
[0014]該方法的總體結(jié)構(gòu)如圖1所示，具體實現(xiàn)步驟如下:
[0015]步驟一、構(gòu)造全局攻擊庫
[0016]考慮到WLAN環(huán)境中的多步攻擊主要都是針對AP接入點進行，該步驟首先利用事先存儲的所有AP信息，按照不同AP的BSSID信息和告警發(fā)生時間，將無線告警轉(zhuǎn)換成包含所有AP攻擊鏈的全局攻擊庫。
[0017]定義IAP攻擊鏈(AP Attack Chain)。AP攻擊鏈是和同一 AP相關(guān)的一系列有序的攻擊行為序列，表示為APn (ac) =〈at^.^ati〉，其中，ah e AT攻擊集合，并且每一個at^的源MAC地址集合或者目標MAC地址集合中都包含了該AP的MAC地址，即:(APn.MAC e Bt1.SMAC) U (APn.MAC e Bt1.DMAC)，同時，APn(ac)中的每一個攻擊行為Bti都按時間順序依次發(fā)生，即當 i〈 = j 時，at1.timestamp< = at」.timestamp。
[0018]定義2全局攻擊庫(Global Attack Database)。全局攻擊庫是包含了當前WLAN中所有AP接入點的攻擊鏈集合，表示為D = {ΑΡ?，...，ΑΡ?}，其中，APn(ac)以AP的MAC地址進行排序。
[0019]將所有源MAC地址集合或目標MAC地址集合中包含該MAC地址的告警按照時間順序進行排序，就可以得到該AP的攻擊鏈，為了簡化起見，采用攻擊行為的Signature ID值來代表某一攻擊行為at，其中，Signature ID用整數(shù)進行表示。如果WLAN中包含了 η個AP路由器，將所有的AP攻擊鏈按照AP的MAC地址進行排序，則可以得到全局攻擊庫。
[0020] 步驟二、建立候選攻擊鏈
[0021]該步驟利用告警時間窗口 WA對全局攻擊庫中的所有AP攻擊鏈進行劃分，分別建立候選攻擊鏈。
[0022]定義3候選攻擊鏈(Candidate Attack Chain)。對于全局攻擊庫D中的任一AP攻擊鏈APn(ac)，如果該AP攻擊鏈的告警時間窗口為WAP.MAC，則將符合如下公式I的攻擊行為序列定義為候選攻擊鏈，表示為APn.ACi0
【權(quán)利要求】
1.一種面向WLAN的無線多步攻擊模式挖掘方法，其特征在于:包括如下步驟: 步驟一、構(gòu)造全局攻擊庫:依據(jù)WLAN環(huán)境中的不同AP信息，將無線告警按照AP的BSSID信息(即MAC地址)進行分類，并按發(fā)生時間屬性構(gòu)造基于AP的全局攻擊庫； 步驟二、建立候選攻擊鏈:利用告警時間窗口，結(jié)合告警的源MAC地址和目標MAC地址之間的關(guān)系，在不同AP的全局攻擊庫中建立滿足一定條件的候選攻擊鏈； 步驟三、篩選候選攻擊鏈:對建立的候選攻擊鏈進行篩選，去除候選攻擊子鏈或重復的候選攻擊鏈，提高后續(xù)攻擊模式挖掘的效率； 步驟四、關(guān)聯(lián)多步攻擊行為:定義無線多步攻擊的無線告警相關(guān)度，定量描述兩個告警之間的關(guān)聯(lián)關(guān)系，為后續(xù)的多步攻擊模式識別提供依據(jù)； 步驟五、識別多步攻擊模式:計算攻擊鏈中相鄰攻擊之間的相關(guān)度，將低于預先定義的相關(guān)度閾值的攻擊鏈進行刪除，最終識別出無線多步攻擊模式。
2.根據(jù)權(quán)利要求1所述的面向WLAN的無線多步攻擊模式挖掘方法，其特征在于:所述步驟一還包含具體步驟為: 定義IAP攻擊鏈(AP Attack Chain) ;AP攻擊鏈是和同一 AP相關(guān)的一系列有序的攻擊行為序列，表示為APn(ac) = <at1,...，atp，其中，Bti e AT攻擊集合，并且每一個Bti的源MAC地址集合或者目標MAC地址集合中都包含了該AP的MAC地址，即:(APn.MAC e Bt1.SMAC) U (APn.MAC e Bt1.DMAC)，同時，APn(ac)中的每一個攻擊行為Bti都按時間順序依次發(fā)生，即當 i〈 = j 時，at1.timestamp< = at」.timestamp ； 定義2全局攻擊庫(Global Attack Database);全局攻擊庫是包含了當前WLAN中所有AP接入點的攻擊鏈集合，表示為D = (AP1 (ac)，…，APn(ac) }，其中，APn(ac)以AP的MAC地址進行排序； 將所有源MAC地址集合或目標MAC地址集合中包含該MAC地址的告警按照時間順序進行排序，就可以得到該AP的攻擊鏈，為了簡化起見，采用攻擊行為的Signature ID值來代表某一攻擊行為at，其中，Signature ID用整數(shù)進行表示；如果WLAN中包含了 η個AP路由器，將所有的AP攻擊鏈按照AP的MAC地址進行排序，則可以得到全局攻擊庫。
3.根據(jù)權(quán)利要求2所述的面向WLAN的無線多步攻擊模式挖掘方法，其特征在于:所述步驟二還包含具體步驟為: 定義3候選攻擊鏈(Candidate Attack Chain);對于全局攻擊庫D中的任一 AP攻擊鏈APn(ac)，如果該AP攻擊鏈的告警時間窗口為WAP.MAC，則將符合如下公式I的攻擊行為序列定義為候選攻擊鏈，表示為APn.ACi ；

4.根據(jù)權(quán)利要求3所述的面向WLAN的無線多步攻擊模式挖掘方法，其特征在于:所述步驟三還包含具體步驟為: 定義4候選攻擊子鏈(Candidate Attack Subchain);對于給定的兩個候選攻擊鏈ACi和 AC2, AC1 = <a1；..., an>, AC2 =〈b”..., bm>,如果 AC2 存在下標 I1Ci2〈…〈in，使得 a」=bin(l^j^n<m)，則稱AC1是AC2的候選攻擊子鏈； 定義5最長候選攻擊鏈(Longest Candidate Attack Subchain);如果某一個候選攻擊鏈ACi,它不是任何其它候選攻擊鏈的子鏈，則稱該候選攻擊鏈ACi為最長候選攻擊鏈； 定義6偽攻擊鏈集合(Pseudo Attack Chain Set);如果候選攻擊鏈集合APn.AC中的每一個元素都是最長候選攻擊鏈，且互不相同，則稱該候選攻擊鏈集合為偽攻擊鏈集合，記為 APn.PAC ； 篩選候選攻擊鏈的具體步驟如下: (1)首先將候選攻擊鏈集合APn.AC重新排序，計算其中每個候選攻擊鏈的長度，按長度從大到小的降序排列得到SORT (APn.AC)； (2)依次篩選SORT(APn.AC)中的每一個元素，如果當前候選攻擊鏈屬于其前面任何候選攻擊鏈的子鏈或與之相同，則將該候選攻擊鏈從SORT (APn.AC)中刪除； (3)重復該過程，最后得到的APn.PAC即為偽攻擊鏈集合。
5.根據(jù)權(quán)利要求4所述的面向WLAN的無線多步攻擊模式挖掘方法，其特征在于:所述步驟四還包含具體步驟為: 定義7無線告警相關(guān)度(Wireless Alert Correlativity);無線告警相關(guān)度是衡量兩個無線告警之間關(guān)聯(lián)關(guān)系的一個重要指標，對于兩個先后產(chǎn)生的告警Iiai和hap ha,和ha]分別包含了 η個無線屬性(Wa1,...，wan)和(Wb1,...，wbn),則定義它們之間的無線告警相關(guān)度WC Qiai, ha」)如公式2:

6.根據(jù)權(quán)利要求5所述的面向WLAN的無線多步攻擊模式挖掘方法，其特征在于:所述步驟五還包含具體步驟為: 對偽攻擊鏈集合APn.PAC的每一個偽攻擊鏈進行多步攻擊模式的具體識別過程如下: (1)計算偽攻擊鏈中每一對相鄰告警之間的無線告警相關(guān)度，并與事先設(shè)置的相關(guān)度閾值進行對比； (2)如果計算得到的相關(guān)度小于該閾值，則刪除偽攻擊鏈中這兩個告警的攻擊鏈，說明這兩個告警不屬于真正發(fā)生的無線多步攻擊模式； (3)如果計算得到的相關(guān)度不小于該閾值，則保留這兩個告警的攻擊鏈，因為它們很有可能屬于某一個關(guān)聯(lián)的無線多步攻擊模式； (4)對偽攻擊鏈中的所有相鄰告警進行以上步驟的計算之后，最后保留下來的就是識別出的無線多步攻 擊鏈，該攻擊鏈中的每一對相鄰告警都具有較高的相關(guān)度。
【文檔編號】H04L29/06GK103944919SQ201410188633
【公開日】2014年7月23日 申請日期:2014年5月6日 優(yōu)先權(quán)日:2014年5月6日
【發(fā)明者】陳觀林 申請人:浙江大學城市學院