CN101505304A - 一种基于概率推理的网络入侵意图识别方法 - Google Patents
一种基于概率推理的网络入侵意图识别方法 Download PDFInfo
- Publication number
- CN101505304A CN101505304A CNA200910080853XA CN200910080853A CN101505304A CN 101505304 A CN101505304 A CN 101505304A CN A200910080853X A CNA200910080853X A CN A200910080853XA CN 200910080853 A CN200910080853 A CN 200910080853A CN 101505304 A CN101505304 A CN 101505304A
- Authority
- CN
- China
- Prior art keywords
- target
- goal
- collection
- object chain
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于概率推理的网络入侵意图识别方法,包括以下步骤:1.创建目标库,包括目标知识表、事件目标映射表、统计表和目标链表;2.通过报警信息找到对应攻击目标,更新目标链;3.依次取出目标链表中的各个目标链,分别进行目标预测和入侵意图的识别。本发明将入侵检测系统的报警抽象成攻击目标,在目标层次上进行因果关联来理解攻击行为和预测后续攻击目标,识别其真实意图,忽略了攻击细节,提高了计算效率,也便于处理出现并发意图的情况。
Description
技术领域
本发明涉及一种网络入侵意图识别方法,特别是一种基于概率推理的网络入侵意图识别方法,属于计算机网络安全技术领域。
背景技术
随着计算机网络的不断发展和普及,网络安全问题也日益突出。网络用户主要通过入侵检测系统、防火墙、杀毒软件等安全产品提供安全保障。但在实际应用中,这些安全设备的报警和日志存在报警层次低、漏警虚警多、缺少关联分析、反应滞后等缺点,难以直接用于网络安全的监控和管理。因此,需要从大量的底层安全数据中逐层抽象,在较高层次上进行关联分析,识别攻击者的真正意图,为网络安全的态势感知提供支持。
对入侵检测系统的报警进行关联分析来构建攻击场景是解释和预测攻击行为的一条重要途径。Cuppens等在2002年第二届混合智能系统国际会议上发表了题为《Recognizing MaliciOus Intention in an Intrusion DetectionProcess》的文章,提出了对攻击行为的前提、后果进行建模,根据后续行为的前提与先前行为的后果是否匹配来对两个行为直接关联。该方法存在一些不足:需要定义复杂的关联规则,关联的层次低,搜索空间大,计算效率低,不能用于在线处理。
专利200810046913.1“网络多步攻击意图在线识别方法”采用数据挖掘和模式匹配的方法提出了一种识别多步攻击意图的方法。该方法从历史的安全事件中挖掘出多步攻击行为序列模式集,实时接收的报警信息与攻击行为模式进行匹配,如果匹配成功则生成一个模式匹配记录。后到来的安全事件如果与前一个安全事件的关联度大于阈值则更新模式匹配记录。该方法还是属于攻击场景构造的范畴,不能预测攻击者的终极目标,另外难以构建有效的攻击行为模式集,关联度的计算复杂,确定合适的阈值困难。
发明内容
本发明的目的是提供一种简单有效的入侵意图识别方法,在意图层次解释攻击行为,并采用概率推理的方法来描述和处理并发意图。
本发明基于以下定义:
事件是攻击者的行为描述。通过对入侵检测系统提供的报警进行分析可以获取攻击者触发的安全事件。事件的属性包括名称、时间、源IP地址和目的IP地址等。
目标是攻击者愿望的描述,体现为给网络系统造成什么样的后果或自身达到什么样的目的。在多步攻击中的各个阶段,攻击者可以采取不同的攻击行为而达到相同的目的。因此,目标可以看成各阶段达到相同攻击目的的攻击行为的集合。目标的属性包括名称、时间、源IP地址、目的IP地址、前提集和后果集等。
目标名称是该阶段攻击目的的描述。前提集是实现该目标需要满足的前提条件集合,后果集是该目标实现后造成的后果集合。
如果目标Ga和目标Gb满足:Ga与Gb的源IP地址、目标IP地址分别相同,且Ga的后果集与Gb的前提集相同,同时Ga的发生时间早于Gb的发生时间,则Ga与Gb可以因果关联,构成目标链。
本发明整体框架设计流程如图1所示,具体实现步骤如下:
步骤一、创建目标库
目标库包括目标知识表、事件目标映射表、统计表和目标链表。
目标知识表中存放目标名称、前提集和后果集。
事件目标映射表包括事件名称和目标名称,用于描述事件和目标之间的对应关系。
统计表用于存放历史数据,包括某目标发生的次数、该目标与其它目标构成目标链的次数。
目标链表用于存放实时更新的目标链。
步骤二、通过报警信息找到对应攻击目标,更新目标链
从入侵检测系统提供的报警信息中提炼报警数据获取事件类型,通过目标库中的事件目标映射表找到对应攻击目标,从而忽略具体的攻击手段,提高关联层次,简化关联规则。具体步骤为:
第(1)步:当收到入侵检测系统的报警信息A1,从中提取报警名称、时间、源IP地址、目标IP地址等信息,构成一个安全事件E1;
第(2)步:查询目标库中的事件目标映射表,根据事件与目标的映射关系,找到该事件E1对应的目标G1,并从目标知识表中提取该目标的前提集和后果集,同时将事件E1的时间、源IP地址、目标IP地址等信息赋给目标G1;
第(3)步:依次取出目标链表中各个目标链的最后一个目标Ge,如果目标G1与Ge满足:
I.G1与Ge除了时间以外其它属性相同,则属于重复报警或攻击者重复攻击动作,则将目标G1舍去;
II.G1与Ge构成目标链,则将G1存入该目标链的最后,并在统计表中累计G1发生的次数和Ge与G1构成目标链的次数;
III.G1与目标链表中的所有目标链均不满足I、II的关系,则将G1作为一条新的目标链,单独存放在目标链表中,并在统计表中累计G1发生的次数。
如果目标链为空,直接将G1作为目标链存在目标链表中,并统计表中累计目标G1发生的次数。
步骤三、预测目标,识别入侵意图
在已经发生的目标的基础上,继续在目标库中搜索满足因果关系的目标作为预测目标,直到搜索完毕,最终的目标即为攻击者的入侵意图,而目标的预测存在不确定性,采用概率来描述未来目标的发生几率,而对于后续多级目标的概率计算采用概率推理的方法。
依次取出目标链表中的各个目标链,均按如下操作分别进行目标预测和入侵意图的识别:
第(1)步:取出目标链的最后一个目标的后果集作为匹配条件,在目标库中搜索前提集与之相同的G2、G3等所有目标作为预测目标,并根据下式分别计算这些目标发生的概率;
P(Goali,Goali+1)=αP0(Goali,Goali+1)+(1-α)Q(Goali,Goali+1)/Q(Goali)
式中:
P0(Goali,Goali+1)为初始概率,取值范围为[0,1];
Q(Goali,Goali+1)为统计表中目标Goali后目标Goali+1出现的次数;
Q(Goali)为统计表中目标Goali出现的次数。
α为调节因子,0<α<1,决定了统计数据所占的比例。在系统初始运行阶段可将α设大一点,让初始概率发挥的作用大一些,随着数据的增多,将α调小,增大统计数据所占比重。
第(2)步:分别取出预测目标G2、G3等的后果集作为匹配条件继续搜索后续目标,直到完毕,作为攻击者的入侵意图,其概率为各级预测目标概率的乘积。
本发明将入侵检测系统的报警抽象成攻击目标,在目标层次上进行因果关联来理解攻击行为和预测后续攻击目标,识别其真实意图。这样,忽略了攻击细节,提高了计算效率。而基于概率的推理方法很好地描述了网络环境的不确定性,也便于处理出现并发意图的情况。
附图说明
图1—意图识别系统流程图;
图2—目标链;
图3—目标链的预测。
具体实施方式
下面结合附图和实施例,具体说明本发明的实施方式:
本发明的实施包括以下步骤:
步骤一、创建目标库
目标库包括目标知识表、事件目标映射表、统计表和目标链表。
目标知识表包括目标名称、前提集和后果集。在本实施例中,目标知识表中的目标名称、前提集和后果集分别为:
G1:发现存活主机、无、目标主机存活;
G2:Http服务扫描、目标主机存活、Http服务运行且存在漏洞;
G3:DoS攻击、Http服务运行,DoS攻击;
G4:获取user权限、Http服务漏洞、获取user权限
G5:获取root权限、获取user权限、获取root权限
事件目标映射表中存放事件与目标的映射关系。如事件ICMP_PING对应目标G1,事件Http_service_scan对应于目标。
初始时,统计表和目标链表为空
步骤二、通过报警信息找到对应攻击目标,更新目标链
1、接收入侵检测系统的报警A1,本实施例中报警A1的内容包括:
名称:ICMP PING,时间:03/07-22∶51∶36.142272,源IP:202.77.162.213,目的IP:172.16.115.5。
从报警A1生成安全事件E1={03/07-22∶51∶36202.77.162.213172.16.115.5ICMP_PING},属性依次为事件发生时间、源IP地址、目的IP地址、名称。
2、根据事件目标映射表找到对应的目标G1,并在目标知识表中取出该目标的前提集和后果集,G1{Host_probe03/07-22∶51∶36202.77.162.213172.16.115.5None Know_target_is_alive}。
3、目标链表为空,故将目标G1直接存入目标链表中。
4、接收到一条新的报警信息A2,同上操作,得到对应的目标G2={Http_service_scan 03/07-22∶57∶23 202.77.162.213 172.16.115.5Know_target_is_alive Http_service_is_running}。
5、依次取出目标链表中各个目标链的最后一个目标,查看是否与目标G2构成因果链。本实例中,目标G2与原目标链的最后一个目标G1构成目标链,则将G2放在原目标链的最后,构成新的目标链,完成目标链的更新,如图2所示。
步骤三、预测目标,识别入侵意图
1、取出目标链的最后一个目标G2,在目标库中搜索出前提条件集与G2的后果集匹配的目标G3、G4,作为预测目标,并计算预测目标对应的概率。
预测目标的概率计算如下式所示:
P(Goali,Goali+1)=αP0(Goali,Goali+1)+(1-α)Q(Goali,Goali+1)/Q(Goali) (1)
式中:
α=0.8,P0(Goal2,Goal3)=0.6,P0(Goal2,Goal4)=0.4。
Q(Goali,Goali+1)为历史数据中目标Goali后目标Goali+1出现的次数,实例中Q(Goal2,Goal3)=6,Q(Goal2,Goal4)=4;
Q(Goali)为历史数据中目标Goali出现的次数,实例中Q(Goal2)=10。
所以由(1)式计算得:
P(Goal2,Goal3)=0.8*0.6+0.2*6/10=0.6;
P(Goal2,Goal4)=0.8*0.4+0.2*4/10=0.4;
2、分别取出预测目标G3、G4的后果集,在目标库中继续搜索后续目标,直到完毕,最后一个目标即为攻击者的意图,其概率为各级预测目标概率的乘积,如图3所示。
实例中P0(Goal4,Goal5)=0.5,Q(Goal4,Goal5)=3,Q(Goal4)=5。
由(1)式,P(Goal4,Goal5)=0.8*0.5+0.2*3/5=0.52。
意图1:G3,DoS攻击,P(G3)=0.6;
意图2:G5,获取root权限,P(G5)=P(G2,G4)*P(G4,G5)=0.4*0.52=0.208。
本发明在目标层次上来解释和预测攻击行为,计算简单方便,能实时处理报警信息,同时引入了概率推理方法来处理并发意图的情况,解决了识别过程中的不确定性。
Claims (2)
1、一种基于概率推理的网络入侵意图识别方法,包括以下步骤:
设事件是攻击者的行为描述,事件的属性包括名称、时间、源IP地址和目的IP地址;
目标是攻击者愿望的描述,目标的属性包括名称、时间、源IP地址、目的IP地址、前提集和后果集;目标名称是该阶段攻击目的的描述,前提集是实现该目标需要满足的前提条件集合,后果集是该目标实现后造成的后果集合;
如果目标Ga和目标Gb满足:Ga与Gb的源IP地址、目标IP地址分别相同,且Ga的后果集与Gb的前提集相同,同时Ga的发生时间早于Gb的发生时间,则Ga与Gb可以因果关联,构成目标链;
步骤一、创建目标库:
目标库包括目标知识表、事件目标映射表、统计表和目标链表;
目标知识表中存放目标名称、前提集和后果集;
事件目标映射表包括事件名称和目标名称,用于描述事件和目标之间的对应关系;
统计表用于存放历史数据,包括某目标发生的次数、该目标与其它目标构成目标链的次数;
目标链表用于存放实时更新的目标链;
步骤二、通过报警信息找到对应攻击目标,更新目标链,具体步骤为:
第(1)步:当收到入侵检测系统的报警信息A1,从中提取报警名称、时间、源IP地址、目标IP地址信息,构成一个安全事件E1;
第(2)步:查询目标库中的事件目标映射表,根据事件与目标的映射关系,找到该事件E1对应的目标G1,并从目标知识表中提取该目标的前提集和后果集,同时将事件E1的时间、源IP地址、目标IP地址信息赋给目标G1;
第(3)步:依次取出目标链表中各个目标链的最后一个目标Ge,如果目标G1与Ge满足:
I.G1与Ge除了时间以外其它属性相同,则属于重复报警或攻击者重复攻击动作,则将目标G1舍去;
II.G1与Ge构成目标链,则将G1存入该目标链的最后,并在统计表中累计G1发生的次数和Ge与G1构成目标链的次数;
III.G1与目标链表中的所有目标链均不满足I、II的关系,则将G1作为一条新的目标链,单独存放在目标链表中,并在统计表中累计G1发生的次数;
如果目标链为空,直接将G1作为目标链存在目标链表中,并在统计表中累计目标G1发生的次数;
步骤三、预测目标,识别入侵意图:
依次取出目标链表中的各个目标链,均按如下操作分别进行目标预测和入侵意图的识别:
第(1)步:取出目标链的最后一个目标的后果集作为匹配条件,在目标库中搜索前提集与之相同的所有目标作为预测目标,并根据下式分别计算这些目标发生的概率;
P(Goali,Goali+1)=αP0(Goali,Goali+1)+(1-α)Q(Goali,Goali+1)/Q(Goali)
式中:
P0(Goali,Goali+1)为初始概率,取值范围为[0,1];
Q(Goali,Goali+1)为统计表中目标Goali后目标Goali+1出现的次数;
Q(Goali)为统计表中目标Goali出现的次数;
α为调节因子,0<α<1,决定了统计数据所占的比例;
第(2)步:分别取出各个预测目标的后果集作为匹配条件继续搜索后续目标,直到完毕,作为攻击者的入侵意图,其概率为各级预测目标概率的乘积。
2、根据权利要求1所述的一种基于概率推理的网络入侵意图识别方法,其特征在于在步骤三中,随着数据的增多,减小α的数值以增大统计数据所占比重。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910080853XA CN101505304B (zh) | 2009-03-24 | 2009-03-24 | 一种基于概率推理的网络入侵意图识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910080853XA CN101505304B (zh) | 2009-03-24 | 2009-03-24 | 一种基于概率推理的网络入侵意图识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101505304A true CN101505304A (zh) | 2009-08-12 |
| CN101505304B CN101505304B (zh) | 2011-04-06 |
Family
ID=40977371
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910080853XA Expired - Fee Related CN101505304B (zh) | 2009-03-24 | 2009-03-24 | 一种基于概率推理的网络入侵意图识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101505304B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105191257A (zh) * | 2013-03-29 | 2015-12-23 | 英国电讯有限公司 | 用于检测多阶段事件的方法和装置 |
| CN106453417A (zh) * | 2016-12-05 | 2017-02-22 | 国网浙江省电力公司电力科学研究院 | 一种基于近邻相似性的网络攻击目标预测方法 |
| CN106682502A (zh) * | 2016-12-13 | 2017-05-17 | 重庆邮电大学 | 基于隐马尔可夫和概率推断的入侵意图识别系统及方法 |
| CN109660515A (zh) * | 2018-11-15 | 2019-04-19 | 中国科学院信息工程研究所 | 攻击链检测方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1223941C (zh) * | 2003-06-18 | 2005-10-19 | 北京首信股份有限公司 | 一种基于相关特征聚类的层次入侵检测系统 |
| CN101242278A (zh) * | 2008-02-18 | 2008-08-13 | 华中科技大学 | 网络多步攻击意图在线识别方法 |
| CN101262373B (zh) * | 2008-04-18 | 2010-12-08 | 北京启明星辰信息技术股份有限公司 | 一种计算机网络入侵定位系统和方法 |
| CN101286872A (zh) * | 2008-05-29 | 2008-10-15 | 上海交通大学 | 无线传感器网络中分布式入侵检测方法 |
-
2009
- 2009-03-24 CN CN200910080853XA patent/CN101505304B/zh not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105191257A (zh) * | 2013-03-29 | 2015-12-23 | 英国电讯有限公司 | 用于检测多阶段事件的方法和装置 |
| CN105191257B (zh) * | 2013-03-29 | 2018-12-14 | 英国电讯有限公司 | 用于检测多阶段事件的方法和装置 |
| CN106453417A (zh) * | 2016-12-05 | 2017-02-22 | 国网浙江省电力公司电力科学研究院 | 一种基于近邻相似性的网络攻击目标预测方法 |
| CN106453417B (zh) * | 2016-12-05 | 2019-01-22 | 国网浙江省电力有限公司电力科学研究院 | 一种基于近邻相似性的网络攻击目标预测方法 |
| CN106682502A (zh) * | 2016-12-13 | 2017-05-17 | 重庆邮电大学 | 基于隐马尔可夫和概率推断的入侵意图识别系统及方法 |
| CN106682502B (zh) * | 2016-12-13 | 2019-07-19 | 重庆邮电大学 | 基于隐马尔可夫和概率推断的入侵意图识别系统及方法 |
| CN109660515A (zh) * | 2018-11-15 | 2019-04-19 | 中国科学院信息工程研究所 | 攻击链检测方法及装置 |
| CN109660515B (zh) * | 2018-11-15 | 2020-05-12 | 中国科学院信息工程研究所 | 攻击链检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101505304B (zh) | 2011-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Gao et al. | A distributed network intrusion detection system for distributed denial of service attacks in vehicular ad hoc network | |
| CN108718310B (zh) | 基于深度学习的多层次攻击特征提取及恶意行为识别方法 | |
| CN111475804A (zh) | 一种告警预测方法及系统 | |
| CN108512841B (zh) | 一种基于机器学习的智能防御系统及防御方法 | |
| CN105471882A (zh) | 一种基于行为特征的网络攻击检测方法及装置 | |
| CN105100122A (zh) | 一种基于大数据分析的威胁检测和预警的方法及系统 | |
| Otoum et al. | A comparative study of ai-based intrusion detection techniques in critical infrastructures | |
| CN101242278A (zh) | 网络多步攻击意图在线识别方法 | |
| CN101505304B (zh) | 一种基于概率推理的网络入侵意图识别方法 | |
| CN112333195B (zh) | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 | |
| CN110213226A (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
| CN105471623A (zh) | 一种基于模糊场景的关键ip地址安全报警关联分析方法 | |
| CN109698823A (zh) | 一种网络威胁发现方法 | |
| CN104836805A (zh) | 基于模糊免疫理论的网络入侵检测方法 | |
| CN114844679A (zh) | 一种SDN中基于MCA-KMeans算法的分布式拒绝服务攻击检测方法 | |
| CN101202744A (zh) | 一种自学习检测蠕虫的装置及其方法 | |
| CN115567325B (zh) | 一种基于图匹配的威胁狩猎方法 | |
| CN116668054A (zh) | 一种安全事件协同监测预警方法、系统、设备及介质 | |
| CN105007262B (zh) | Wlan多步攻击意图预先识别方法 | |
| CN109309586A (zh) | 一种食品加工远程控制系统入侵检测方法 | |
| Bateni et al. | Alert correlation using artificial immune recognition system | |
| CN102882893A (zh) | 基于黑板结构的警报协同系统 | |
| Greco et al. | Improving reliability of people tracking by adding semantic reasoning | |
| Bateni et al. | An ais-inspired architecture for alert correlation | |
| KR102556463B1 (ko) | 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110406 |