CN101599855A - 基于攻击模式建模的复合攻击关联及攻击场景构建方法 - Google Patents

Abstract

基于攻击模式建模的复合攻击关联及攻击场景构建方法，包括如下步骤：1)攻击路径图构建阶段：11)对报警信息进行初始化处理；12)对预处理后的报警信息构建出相应的攻击路径图；13)计算攻击目标危险度，若超出预设阈值，发出报警信息；14)结束；2)攻击场景图关联阶段：21)攻击场景图初始化过程；22)对攻击路径图集合中的每个映射，将其添加入攻击场景图的集合；23)关联出复合攻击场景图；24)结束；本发明的基于攻击模式建模的复合攻击关联及攻击场景构建方法在保持计算简单的前提下，提高了报警时间关联分析的准确率，从而提高了入侵检测系统的关联分析及预测性能。

Description

基于攻击模式建模的复合攻击关联及攻击场景构建方法

技术领域

本发明涉及一种入侵报警事件关联方法，尤其涉及一种基于攻击模式建模的复合攻击关联及攻击场景构建方法。

背景技术

现实的网络世界中，攻击者对目标系统实施的攻击大多不是采用单一的工具和方法，而是结合多种工具和方法，并且在进行攻击的时候，往往有一定的时间和空间跨度。这些看似分散的单个攻击其实都是同一次攻击的组成部分，其组合而成的完整攻击过程称为复合攻击。传统的IDS大多针对单个攻击进行检测，并不能发现多个攻击间的逻辑联系，从而不能完整的观测到入侵过程的全貌。因此，要想更好的保护计算机系统的安全，对复合攻击的检测和关联的研究是其中所面临的一个重要问题。

复合攻击检测和攻击场景构建的研究为解决入侵检测系统的上述问题提供了一种较好的途径。攻击场景构建是通过对入侵检测报警信息的关联分析，将属于同一次入侵的多个攻击动作关联在一起以重构攻击的流程。

现有的报警关联算法大都关注于入侵报警信息之间的相似形和关联性，很少考虑到攻击者的攻击步骤、攻击模式。因此对攻击场景的构建过于简单，不够完整，效果并不理想。同时我们发现虽然攻击技术多种多样，但攻击者在进行攻击时往往会遵循一定的模式、计划.因此我们在对攻击模式进行建模的基础上，对每条报警信息映射到对应的攻击模式，然后将报警信息按照攻击步骤的先后次序链接而成攻击路径图，在此过程中动态记录目标地址的威胁度，从而达到对复合攻击的检测，进而通过对攻击路径图进行关联还可以构建出最终、完整的复合攻击场景。

发明内容

本发明目的是：提供一种基于攻击模式建模的复合攻击关联及攻击场景构建方法，以提高入侵检测系统的关联分析及预测性能。

本发明的技术方案是：基于攻击模式建模的复合攻击关联及攻击场景构建方法方法包括如下步骤：

1)攻击路径图构建阶段：

11)对报警信息进行初始化处理；

12)对预处理后的报警信息构建出相应的攻击路径图；

13)计算攻击目标危险度，若超出预设阈值，发出报警信息；

14)结束；

2)攻击场景图关联阶段：

21)攻击场景图初始化过程；

22)对攻击路径图集合中的每个映射，将其添加入攻击场景图的集合；

23)关联出复合攻击场景图；

24)结束；

其中：

步骤11)的具体过程如下：

111)由报警信息的攻击源地址a.Sip创建表示攻击源的顶点ns，若 $\mathrm{ns}\∉\mathrm{Ns}$ (Ns表示攻击源地址的集合)，则将ns添加到Ns；

112)由报警信息的攻击目标地址a.Tip创建表示攻击目标的顶点nt，若 $\mathrm{nt}\∉\mathrm{Nt},$ 则将nt添加到 $\mathrm{nt}\∉\mathrm{Nt}$ (Nt表示攻击目的地址的集合)，置nt的危险度C(nt)＝a.weight，(C(nt)表示攻击目标nt的危险程度，a.weight表示报警信息a所对应的权值，刻画攻击事件a的危险程度。)并将nt的危险度C(nt)添加到C；

113)由报警信息a创建对应攻击模式的边e；

114)结束

步骤12)的具体过程如下：

121)若攻击路径图 $\mathrm{APG}(\mathrm{ns},\mathrm{nt})\∉\mathrm{APG}$ (APG即Attack path graph，表示攻击路径图，APG(Ns，Nt)表示从攻击源地址ns到攻击目的地址nt的攻击路径)，则将APG(ns，nt)添加到APG中去；

122)将边e加入到攻击路径图APG(ns，nt)所对应的边集E(ns，nt)(E(ns，nt)表示结点ns，nt之间相关联的边的集合)中.

123)置攻击路径图APG(ns，nt)的权值w(ns，nt)＝a.weight，并置C(nt)＝MAX(w(ns，nt)，C(nt))(C(nt)表示攻击目标nt的危险程度，每次均更新为当前ns，nt之间权值的最大值)；

124)若攻击路径图APG(ns，nt)∈APG，则做如下处理：

125)若e∈E(ns，nt)，则边e舍弃，处理下一报警信息；

126)若 $e\∉E(\mathrm{ns},\mathrm{nt}),$ 则通过寻找e的前件和后件攻击将e关联到图中.并按下列情况更新攻击路径图APG(ns，nt)的权值w(ns，nt)(w(ns，nt)为两个结点ns，nt间的权值，定义为结点ns，nt之间边集合中权值的最大值)：

127)若e不是关键边(关键边即为使得当前攻击路径图危险度取值最大的边)，则w(ns，nt)不变；

128)若e是关键边，则按公式(1)更新w(ns，nt).；

w(ns，nt)＝w(e)+w(precondition(e))+w(relative(e))                    (1)

其中w(ns，nt)为两个结点ns，nt间的权值，w(e)表示边的权值，precondition(e)表示边e所对应的攻击事件的前提攻击事件，w(precondition(e))为其权值，relative(e)表示和边e所对应的攻击事件存在相关关系的攻击事件，w(relative(e))表示其权值。

步骤13的具体过程更新攻击目标nt的危险度C(nt)：C(nt)＝MAX(w(ns，nt)，C(nt))。若攻击目标nt的危险度C(nt)超出预设的报警阈值，则将nt添加入集合V中，并发出复合入侵报警信息。

步骤21的具体过程如下：

211)置集合Q，MAS为空，整型变量i为1；

212)对每一个攻击目标v∈V，将v添加到Q中，并从V中删除；

213)若Q不为空，取Q中的一个元素q，从Q中删除并执行22；

步骤22的具体过程如下：

221)对攻击路径图集合APG中的每一个映射对(ns，nt)，若q＝ns，则将对应的攻击目标nt添加入集合Q中，将映射对(q，nt)添加到MAS_i中，且如果nt∈V，从V中删除nt；

222)若q＝nt，则将对应的攻击源ns添加入集合Q中，将映射对(ns，q))添加到MAS_i中.且如果ns∈V，从V中删除ns；

223)若Q不为空，返回213)继续执行，若Q为空，则完成第i个攻击场景MAS_i的构建，i＝i+1，返回211续执行。

步骤23得到的集合MAS中存放的即为所求复合攻击场景。

本发明的有益效果是：本发明的基于攻击模式建模的复合攻击关联及攻击场景构建方法在保持计算简单的前提下，提高了报警时间关联分析的准确率，从而提高了入侵检测系统的关联分析及预测性能。

附图说明：

图1为入侵检测系统工作流程图

图2为本发明的基于攻击模式建模的复合攻击关联及攻击场景构建方法的流程图

图3为生成攻击路径图的流程图

图4为利用攻击路径图关联出复合攻击场景的流程图

具体实施方式：

下面结合附图对本发明进行详细说明。

如图1所示，入侵检测系统通过网络会话事件采集设备获取网络报文数据，经报文数据格式化、特征提取等预处理，然后入侵识别，并进行报警关联、入侵跟踪等后续处理。

报警关联是提高网络入侵检测系统预测准确度的主要方法，本发明的思路就是通过提高报警信息的关联精度，从而提高整个网络入侵检测系统的性能。报警关联过程即本发明的基于攻击模式建模的复合攻击关联及攻击场景构建方法的流程图如图2所示。

步骤0为本发明的网络入侵分类方法的起始状态；

在攻击路径图构建阶段(步骤1-3)，步骤1对报警信息进行初始化处理，置相应的集合N_s，N_t，APG，K，E，C，V为空，并按攻击源ns和攻击目标nt初始化相应的Ns和Nt，置每个nt的初始危险度C(nt)然后对处理后的报警信息进行下一步处理；

步骤2对预处理后的报警信息构建出相应的攻击路径图；

步骤3更新攻击目标危险度，若超出预设阈值，发出报警信息。

在攻击场景关联阶段(4-6)，步骤4对攻击场景集合进行预处理；

步骤5对构建阶段中生成的攻击路径图集合进行处理，对其中的每一个映射对，按照关联方法加入到攻击场景集合中，

步骤6得到的集合即为所求复合攻击场景集合

步骤7是本发明的基于攻击模式建模的复合攻击关联及攻击场景构建方法的结束步骤。

图3是对图2中步骤2的详细描述。

步骤30为起始步骤

步骤31对于攻击路径图APG(ns，nt)，若 $\mathrm{APG}(\mathrm{ns},\mathrm{nt})\∉\mathrm{APG},$ 执行步骤32，若攻击路径图

APG(ns，nt)∈APG，则执行步骤33；

步骤32将APG(ns，nt)添加到APG中，边e加入到攻击路径图APG(ns，nt)所对应的边集E(ns，nt)中；置攻击路径图APG(ns，nt)的权值w(ns，nt)＝a.weight，并置C(nt)＝MAX(w(ns，nt)，C(nt))，转步骤40；

步骤33若e∈E(ns，nt)，则舍弃边e，处理下一报警信息转步骤30；若 $e\∉E(\mathrm{ns},\mathrm{nt}),$ 则执行步骤34

步骤34通过寻找e的前件和后件攻击将e关联到图中；

步骤35若e是关键边则执行步骤36；

步骤36按公式(1)更新w(ns，nt)

步骤37按公式(2)更新攻击目标nt的危险度：C(nt)＝MAX(w(ns，nt)，C(nt))。

其中w(ns，nt)为攻击路径图APG(ns，nt)的权值。

步骤38若攻击目标nt的危险度超出了预设的报警阈值，则执行步骤39

步骤39将nt添加入集合V中，发出复合入侵报警信息。

步骤40若存在报警信息重复上述过程；否则退出

图4详述了图2中的步骤4-5

步骤50为起始步骤。

步骤51置集合Q，MAS为空，整型变量i为1；

步骤52若V为空，则攻击场景构建结束，若V不为空，执行步骤53；

步骤53对每一个攻击目标v∈V，将v添加到Q中，并从V中删除；

步骤54若Q为空，则结束，否则执行步骤55；

步骤55取Q中一个元素q，对它在攻击路径图APG中相应的映射对(ns，nt)，执行步骤56；

步骤56若q＝＝ns执行步骤57；若q≠ns，执行步骤59；

步骤57将对应的攻击目标nt添加到集合Q中，将映射对(q，nt)添加到MASi中，若nt∈V，执行

步骤58，否则转步骤61；

步骤58从V中删除nt；

步骤59将对应的攻击源ns添加到集合Q中，将映射对(ns，q)添加到MASi中，若ns∈V，执行步骤60，否则转步骤61；

步骤60从V中删除ns；

步骤61若Q不为空，返回步骤55；若Q为空，执行步骤62；

步骤62完成了第i个攻击场景的构建，i＝i+1，执行步骤52；

步骤63集合MAS中得到的即为复合攻击场景；

步骤64为图4的结束状态。

Claims (5)

1.一种基于攻击模式建模的复合攻击关联及攻击场景构建方法，其特征在于该方法包括如下步骤：

1)攻击路径图构建阶段：

11)对报警信息进行初始化处理；

12)对预处理后的报警信息构建出相应的攻击路径图；

13)计算攻击目标危险度，若超出预设阈值，发出报警信息；

14)结束；

2)攻击场景图关联阶段：

21)攻击场景图初始化过程；

22)对攻击路径图集合中的每个映射，将其添加入攻击场景图的集合；

23)关联出复合攻击场景图；

24)结束；

其中：步骤11)的具体过程如下：

111)由报警信息的攻击源地址a.Sip创建表示攻击源的顶点ns，若 $\mathrm{ns}\∉\mathrm{Ns}$ (Ns表示攻击源地址的集合)，则将ns添加到Ns；

112)由报警信息的攻击目标地址a.Tip创建表示攻击目标的顶点nt，若 $\mathrm{nt}\∉\mathrm{Nt},$ 则将nt添加到 $\mathrm{nt}\∉\mathrm{Nt}$ (Nt表示攻击目的地址的集合)，置nt的危险度C(nt)＝a.weight，(C(nt)表示攻击目标nt的危险程度，a.weight表示报警信息a所对应的权值，刻画攻击事件a的危险程度。)并将nt的危险度C(nt)添加到C；

113)由报警信息a创建对应攻击模式的边e；

114)结束

2.根据权利要求1所述的基于攻击模式建模的复合攻击关联及攻击场景构建方法，其特征在于步骤12所述的构建出基于攻击模式的攻击路径图的步骤是：步骤12)的具体过程如下：

121)若攻击路径图 $\mathrm{APG}(\mathrm{ns},\mathrm{nt})\∉\mathrm{APG}$ (APG即Attack path graph，表示攻击路径图，APG(Ns，Nt)表示从攻击源地址ns到攻击目的地址nt的攻击路径)，则将APG(ns，nt)添加到APG中去；

122)将边e加入到攻击路径图APG(ns，nt)所对应的边集E(ns，nt)(E(ns，nt)表示结点ns，nt之间相关联的边的集合)中.

123)置攻击路径图APG(ns，nt)的权值w(ns，nt)＝a.weight，并置C(nt)＝MAX(w(ns，nt)，C(nt))(C(nt)表示攻击目标nt的危险程度，每次均更新为当前ns，nt之间权值的最大值)；

124)若攻击路径图APG(ns，nt)∈APG，则做如下处理：

125)若e∈E(ns，nt)，则边e舍弃，处理下一报警信息；

126)若 $e\∉E(\mathrm{ns},\mathrm{nt}),$ 则通过寻找e的前件和后件攻击将e关联到图中.并按下列情况更新攻击路径图APG(ns，nt)的权值w(ns，nt)(w(ns，nt)为两个结点ns，nt间的权值，定义为结点ns，nt之间边集合中权值的最大值)：

127)若e不是关键边(关键边即为使得当前攻击路径图危险度取值最大的边)，则w(ns，nt)不变；

128)若e是关键边，则按公式(1)更新w(ns，nt).

w(ns，nt)＝w(e)+w(precondition(e))+w(relative(e))(1)

其中w(ns，nt)为两个结点ns，nt间的权值，w(e)表示边的权值，precondition(e)表示边e所对应的攻击事件的前提攻击事件，w(precondition(e))为其权值，relative(e)表示和边e所对应的攻击事件存在相关关系的攻击事件，w(relative(e))表示其权值。

步骤13的具体过程更新攻击目标nt的危险度C(nt)：C(nt)＝MAX(w(ns，nt)，C(nt))。若攻击目标nt的危险度C(nt)超出预设的报警阈值，则将nt添加入集合V中，并发出复合入侵报警信息。

3.根据权利要求1所述的基于攻击模式建模的复合攻击关联及攻击场景构建方法，其特征在于13的具体过程更新攻击目标nt的危险度C(nt)：C(nt)＝MAX(w(ns，nt)，C(nt))。若攻击目标nt的危险度C(nt)超出预设的报警阈值，则将nt添加入集合V中，并发出复合入侵报警信息。

4.根据权利要求1所述的基于攻击模式建模的复合攻击关联及攻击场景构建分类方法，其特征在于步骤21的具体过程如下：

211)置集合Q，MAS为空，整型变量i为1；

212)对每一个攻击目标v∈V，将v添加到Q中，并从V中删除；

213)若Q不为空，取Q中的一个元素q，从Q中删除并执行22；

步骤22的具体过程如下：

221)对攻击路径图集合APG中的每一个映射对(ns，nt)，若q＝ns，则将对应的攻击目标nt添加入集合Q中，将映射对(q，nt)添加到MAS_i中，且如果nt∈V，从V中删除nt；

222)若q＝nt，则将对应的攻击源ns添加入集合Q中，将映射对(ns，q))添加到MAS_i中.且如果ns∈V，从V中删除ns；

223)若Q不为空，返回213)继续执行，若Q为空，则完成第i个攻击场景MAS_i的构建，i＝i+1，返回211续执行。

5.根据权利要求1所述的基于攻击模式建模的复合攻击关联及攻击场景构建分类方法，其特征在于步骤23得到的集合MAS中存放的即为所求复合攻击场景。

Images