CN102075516A - 一种网络多步攻击识别和预测方法 - Google Patents
一种网络多步攻击识别和预测方法 Download PDFInfo
- Publication number
- CN102075516A CN102075516A CN2010105615517A CN201010561551A CN102075516A CN 102075516 A CN102075516 A CN 102075516A CN 2010105615517 A CN2010105615517 A CN 2010105615517A CN 201010561551 A CN201010561551 A CN 201010561551A CN 102075516 A CN102075516 A CN 102075516A
- Authority
- CN
- China
- Prior art keywords
- attack
- sequence
- frequency
- attacks
- warning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
本发明提供的是一种网络多步攻击识别和预测方法。将入侵检测系统、防火墙和杀毒软件等多种安全设备的报警存入数据库,并将报警按照入侵检测消息交换格式进行归一化处理;将数据库中的报警按照攻击类型转化为多步攻击序列,并根据攻击时间滑动窗口转化为多个长度不同的子攻击序列;统计各个子攻击序列中的攻击相互转化的频数,并生成攻击转化频率矩阵;对多攻击序列进行挖掘,结合攻击转化频率矩阵,生成历史多步攻击序列;通过分析网络中新的报警,依据历史多步攻击序列进行匹配,识别和预测多步攻击。本发明的实施不依赖于特定的网络安全设备,可广泛应用与信息安全、网络监控和网络安全态势分析等领域。
Description
技术领域
本发明涉及的是一种信息安全技术,具体地说是一种根据网络中的历史报警挖掘发现多步攻击序列,进而实时识别新的多步攻击序列并预测下一步将要发生的攻击的方法。
背景技术
随着因特网的发展,越来越多的企业、政府、学校、科研院所以及家庭等用户将计算机连入到互联网。由于互联网的开放性以及各种协议设计的问题,用户就不可避免遭受到不法分子的攻击。
为了减少网络攻击给用户带来的损失,各个校内网、企业内部网等都在内部配置了入侵检测系统、防火墙、杀毒软件等安全设备,并配有专业的网络管理员对网络进行管理。但是,各种安全设备在保护网络的同时产生了海量的报警,不利于管理员对网络进行管理。所以针对安全设备产生的报警,研究人员提出了安全事件关联与分析技术。
安全事件关联与分析技术,是根据各安全设备中报警记录,分析报警事件的关系。目前,安全事件关联与分析技术主要包括两个方面:基于报警相似概率的重复报警去除和基于因果关系的多步攻击关联。
斯坦福研究院的Andersson等人在不规则实时干扰事件的监测和响应(EventMonitoring Enabling Responses to Anomalous Live Disturbances,EMERALD)项目中提出了基于告警属性相似度的安全报警关联系统,利用入侵事件间概率相似度和极小匹配规则来构建安全事件关联分析系统(A.Valdes and K.Skinner.Adaptive,Model-Based Monitoringfor Cyber AttackDetection.RAID 2000 Conf,0ct.2000:80-92P)。Cuppens等在法国国防部的入侵探测、报警、自动跟踪项目中的报警聚合部分使用了类似的聚类方法(F Cuppens,Manageing Alerts in a multi intrusion detection environment.17th Annual ComputerSecurity Applications Conference.New-Orleans,December 2001:22-31P)。这类方法能够对同源的攻击进行聚类,减少呈递给管理员的报警。但是这类方法不能够揭示报警间的因果关系,不利于管理员对网络可能遭受攻击进行主动防御。
鉴于报警相似概率方法的局限性,在此基础上,科研人员又展开了基于因果关系的多步攻击关联。Templeton等提出通过分析攻击间的因果关系进行多步关联分析。他们首先对攻击建模,定义每类攻击的前提条件和结果,然后通过比较先发生的攻击的结果和后发生攻击的先决条件对两个告警进行关联(S.J.Templeton and K.Levit t.A requires/provides modelfor computer attacks.In Proceedings of the New Security Paradigms Workshop 2000,CorkIreland,2000:31-38)。P.Ning在他的用于入侵报警分析的可视化工具包(a Visual Toolkitfor Intrusion Alert Analysis,TIAA)系统中事先定义了各种攻击可能发生的前因和后果的知识库,通过对报警实例之间前因和后果的匹配,形成告警关联图(P.Ning,Y.Cui,andD.S.Reeves.Constructing attack scenarios through correlation of intrusion alerts.In Proc.Of the ACM Symposium on Computer and Communications Security.Washington,DC,United States,2002:245-254)。Cuppens等也采用相似的方法并利用Prolog谓词逻辑语言对攻击进行描述,再根据这些攻击描述的前提条件和后果自动产生关联规则,通过这些关联规则来发现告警之间的关联关系,进而实现攻击场景的构建(Fre′de′ric Cuppens.Managingalerts in multi-intrusion detection environment.In Proceedings 17th annual computersecurity applications conference.New Orleans,2001:22-31)。这类方法的能够根据报警的因果关系,对攻击场景进行构建,但是因果关系大多是根据专家经验得出的,过多地被人为因素所干扰。Wenke Lee等在2004年提出的利用葛兰杰因果关系检验(Granger CausalityTest,GCT)的统计时序算法来挖掘攻击场景片段,再把攻击片段连接成完整的攻击场景(Q.Xinzhou and L.Wenke.Discovering novel attack strategies from INFOSECalerts.Sophia Antipolis,France,ESORICS 2004:439-456)。这类方法能够较少依赖专家经验,并能够发现未知的多步攻击。
发明内容
本发明的目的是提供一种不过多依赖于专家经验的,更为准确的网络多步攻击识别和预测方法。
本发明的目的是这样实现的:
1)网络报警和整理:将入侵检测系统、防火墙和杀毒软件等多种安全设备的报警存入数据库,并将报警按照入侵检测消息交换格式(The Intrusion Detection Message ExchangeFormat,IDMEF)进行归一化处理;
2)攻击序列转化:将数据库中的报警按照攻击类型转化为多步攻击序列,并根据攻击时间滑动窗口转化为多个长度不同的子攻击序列;
3)攻击转化频率计算:统计各个子攻击序列中的攻击相互转化的频数,并生成攻击转化频率矩阵;
4)多步攻击序列挖掘:对多攻击序列进行挖掘,结合攻击转化频率矩阵,生成历史多步攻击序列;
5)新的多步攻击序列识别和预测:通过分析网络中新的报警,依据历史多步攻击序列进行匹配,识别和预测多步攻击。
所述的攻击序列转化方法,其步骤是:1)将入侵检测系统、防火墙等安全设备报警库中的报警集合按照时间属性顺序排列,形成报警序列;2)设定一个攻击类型集合,根据报警具有攻击类型将前一步中的报警序列转化为对应的攻击序列;3)从攻击序列的初始节点开始向后遍历整个攻击序列,将时间窗口内的攻击归为一个子序列,生成多个个子攻击序列;
所述的攻击频率计算方法,其步骤是:1)依次遍历所有子攻击序列,统计各个子攻击序列中,计算出攻击之间相互转化的频数,再将各个攻击序列中相对应的攻击频数相加,得出报警库中攻击转化频数;2)根据前面计算出所有的攻击之间转化的频数,并将所有的频数作为元素构成攻击频数转化矩阵;3)根据攻击频数转化矩阵,计算攻击转化的频率,具体方法是:用矩阵中的每一项除以该项所在行所有元素之和,所得的结果就是该项对应的攻击转化的频率,如果该项所在行所有元素之和为零,则该项所对应的攻击转化频率也为零;4)部分转化频率值接近于零。按照概率论的观点,这些攻击转化为不可能事件。如果攻击转化频率小于最小转化可信度,将该项置为零,得到了攻击频率转化矩阵。
所述的多步攻击序列挖掘方法,其步骤是:1)遍历整体攻击序列,将第一个攻击放入匹配队列中;2)取后续的攻击,比较该攻击与匹配队列的队尾元素,如果后续攻击和队尾元素的时间差小于时间窗口,且转化频率不为零,则将该攻击放入匹配队列尾部;3)从整体攻击序列中删除第一个攻击,如果整体攻击序列没有遍历完,继续步骤1),直至整体攻击序列遍历完,生成多个匹配序列;4)所得的多个匹配序列中可能会有某个序列是另一个序列的包含序列。根据序列最大的原则去除包含序列的算法,形成新的多步攻击序列集合。
所述的新的多步攻击序列识别和预测方法,其步骤是:1)接收入侵检测系统等安全设备的报警,将报警转化为对应的攻击,记录该攻击的攻击类型,IP地址和攻击发生时间;2)遍历多步攻击序列集合中的每一个元素,若攻击存在于某一个多步攻击序列中,则标识攻击序列及其元素;若攻击存在于多个攻击序列,则将所有的攻击序列标识;3)继续接收等安全设备的报警,并依据1)中所述转化成攻击,遍历已经标识的攻击序列,若该攻击与某个攻击序列中最后被标识的元素的时间差小于最小时间,且这两个攻击的攻击转化频率不为零,则在攻击序列中标识新的攻击;然后,该攻击遍历其余的序列,重复2)的过程;4)设第某个攻击序列中最后被标识的元素发生时间后最小时间内,没有下一个攻击加入到该攻击序列中,则说明该攻击序列不能发生,擦去该攻击序列标识;5)当某一个多步攻击序列中出现多个个连续的攻击步骤时,若这多个攻击的目的IP地址是一样的,则这多个攻击步骤是多步攻击的一部分。若共有多个多步攻击序列中出现了连续的攻击步骤,则下一步会有多个可能。计算每一个个多步攻击序列中下一步的攻击转换频率,得出多步攻击序列的下一步攻击的发生概率;特殊的,若只有一个多步攻击序列含有这几个步骤,则该攻击序列转到下一步的概率为1。
本发明的效果在于,通过本发明,可以自动搜集网络中各安全设备的报警信息,形成历史报警库,从中挖掘出针对本网络的多步攻击序列,并实时从新的报警中识别多步攻击序列,并预测将要发生的攻击,为网络管理员配置网络提供决策依据。
本发明的实施不依赖于特定的网络安全设备,可广泛配置在企业内部网,校园网,政府网等网络。本发明可广泛应用与信息安全、网络监控和网络安全态势分析等领域。
附图说明
图1是本发明的整体结构图;
图2是一种网络多步攻击识别和预测方法的详细流程图;
图3是实施发明的典型应用环境。
具体实施方式
下面结合附图实例对本发明做更详尽的说明:
相关符号说明:
AS:报警集合;
S:报警序列;
si(i=1,2,...,n):报警序列S的第i个报警;
A:攻击类型集合;
aj(j=1,2,...,m):攻击类型集合A的第j个元素;
f(si)=aj:f是映射关系,表明报警报警si具有攻击类型aj(其中si∈S,aj∈A);
SA:攻击类型序列;
sai(i=1,2,...,n):攻击类型序列SA的中间步骤;
T:攻击时间滑动窗口;
SAi(i=1,2,...,k):第i个子攻击序列;
na,b:报警库中攻击a转化为攻击b的频数;
na,b(i):第i个子攻击序列中,攻击a转化为攻击b的频数;
ARR:攻击频数转化矩阵;
fa,b:攻击a转化为攻击b的频率;
MT:最小转化可信度;
Sequence:攻击队列;
NewSequence:新的攻击队列。
图1所述的是一种多步攻击识别和预测方法整体结构图,包括:
网络报警和整理:用于将入侵检测系统,防火墙,杀毒软件等安全设备的报警存入数据库,并将报警按照IDMEF格式进行归一化处理。
攻击序列转化:用于将数据库中的报警按照攻击类型转化为多步攻击序列,并根据攻击时间滑动窗口转化为多个长度不同的子攻击序列。
攻击转化频率计算:用于统计各个子攻击序列中的攻击相互转化的频数,并生成攻击转化频率矩阵。
多步攻击序列挖掘:用于多攻击序列进行挖掘,结合攻击转化频率矩阵,生成历史多步攻击序列。
新的多步攻击序列识别和预测:用于分析网络中新的报警,依据历史多步攻击序列进行匹配,识别和预测多步攻击。
图2给出了实施一种多步攻击识别和预测方法的原理流程图,它包含以下步骤:
第一步,攻击序列的建立
现实中入侵者的攻击是多种多样的,不利于我们的分析。但是每一种攻击都有特定的类型,而攻击类型的种类是有限的。这里根据报警的类型属性将报警序列转化为对应的攻击序列。攻击序列构建的步骤如下所示:
(1)将入侵检测系统、防火墙等安全设备报警库中的报警集合AS按照时间属性顺序排列,形成报警序列S=s1,s2,...,sn,其中si(i=1,2,...,n)是序列S的中间步骤。
(2)设定一个攻击类型集合A={a1,a2,...,am},根据下面的关系f(si)=aj报警si具有攻击类型aj(其中si∈S,aj∈A),将(1)中的报警序列转化为对应的攻击类型序列SA=sa1,sa2...san,其中sai∈A。
这样,将报警序列转化为对应的攻击序列。
多步攻击是由多个单步攻击构成的,而相邻的两个单步攻击在属性上具有更强的关联性,在时间上距离也较近。而攻击类型序列SA是的时间跨度比较大,为此我们引入了攻击时间滑动窗口T的概念。
从sa1开始一直到san,将其后攻击时间滑动窗口T的攻击构成一个子序列,这样原来的攻击序列SA转化为多个子攻击序列SA1,SA2,...,SAk。在每个子攻击序列SAi={sai,1,sai,2,·sai,n}中|sai,n.time-sai,1.time|≤T。SAi=sai,1,sai,2,...,sai,n
这样我们就得到了k个子攻击序列SA1,SA2,...,SAk。
第二步,攻击转换频率计算
统计各个子攻击序列中的攻击相互转化的频数,并生成攻击转化频数矩阵,在此基础上计算攻击转化的频率,并生成攻击转化频率矩阵,其步骤是:
(1)依次遍历所有子攻击序列SA1,SA2,...,SAk,记第i个子攻击序列中,攻击a转化为攻击b的频数为na,b(i),则在报警库中攻击a转化为攻击b的频数na,b可用如下方法求出:
其中a,b为两个不同的攻击,k为总的攻击序列数,na,b为攻击a转化为攻击b的频数,na,b(i)为第i个序列中的攻击转化频数。
(2)根据(1)中的方法计算出所有的攻击之间转化的频数,我们求出攻击频数转化矩阵ARR,矩阵ARR是一个m阶的方阵,同时矩阵的主对角线的元素的值为0。这是因为在多步攻击中,同一个入侵者不会针对同一目标进行同样的攻击。而在统计的时候,由于时间窗口的选取等问题,可能使主对角线的元素不为0。为了在后面的多步攻击序列模式挖掘中降低干扰,我们在公式中显式地将主对角线元素定义为0。
(3)攻击转化的频数随着报警库中的报警的数量的不同而也有所不同,并不能很好说明彼此之间的关系。这里,我们考虑攻击转化的频率fa,b。
对于任意一种攻击a来说,它要么是一个多步攻击序列的终止,要么会转化为其它的攻击。为此,我们考虑攻击a可能转化成的攻击,对fa,b的计算如下。
上式中,na,b对应矩阵ARR的第a行第b列位置的元素。显然有,对于任意的攻击a,都有或者
当
时,表明攻击a是一个多步攻击序列的终止,不能转化为其他的攻击。当
时,表明攻击a可能会转化为其它的攻击。
(4)我们可能发现,部分fa,b值接近于0。按照概率论的观点,这些攻击转化为不可能事件。根据最小转化可信度MT,我们进一步设定:当fa,b<MT时,fa,b=0。
这样,我们就得到了攻击频率转化矩阵ARR。
第三步,多步攻击序列模式的挖掘
一个多步攻击可以发生在很长的一段时间内,但是两个攻击的发生是在一定时间之内的。因此,我们有理由认为,两个攻击事件发生在一个时间窗口内是它们可关联的必要条件。同时,一个攻击完成一个目的,所以在一个多步攻击中,同一个攻击只出现一次。
为了便于存储多步攻击序列,我们用使用数据结构队列Sequence。
针对攻击序列SA=sa1,sa2,...,san,我们进行多步攻击序列的挖掘:
(1)遍历整体攻击序列,将攻击sai放入队列Sequence[i];
(2)遍历攻击sai的后续攻击序列saj,比较攻击saj与队列Sequence[i]的队尾元素Tail[i],如果saj和Tail[i]的时间差小于时间窗口,且转化频率f(Tail[i],saj)!=0,则将saj放入队列Sequence[i]尾部。
(3)如果整体攻击序列没有遍历完,继续1),直至整体攻击序列遍历完。
(4)这n-1个多步攻击序列中可能会有某个序列是另一个序列的包含序列。根据序列最大的原则去除包含序列的算法,形成t个新的多步攻击序列NewSequence[1..t]。
第四步,多步攻击识别及预测
一个网络攻击的属性有很多,其中比较重要的是网络攻击的种类,源IP(InternetProtocol)地址,源端口,目的IP地址,目的端口,攻击发生时间等。随着网络攻击的手段多样化,攻击者可能在利用不同的源IP地址和源端口(有些可能是伪造的)进行多步攻击的不同步骤。但是,目的IP地址是不能伪造的。在此情况下,我们只考虑网络攻击的种类,目的IP地址和攻击发生时间。这样,就不会因为攻击者的不同方法漏掉多步攻击序列。
(1)接收入侵检测系统等安全设备的报警a1,将a1转化为攻击a,记录a的攻击类型Type,IP地址DesIP和攻击发生时间Time,这样攻击可以用下面三元组表示<Type,DesPort,Time>。
(2)遍历t个多步攻击序列NewSequence[t],若攻击a存在于NewSequence[i]中,则标识攻击序列NewSequence[i]及其元素a;若攻击a存在于多个攻击序列,则将所有的攻击序列标识。
(3)继续接收入侵检测系统等安全设备的报警,并依据(1)中所述转化成攻击b,遍历已经标识的攻击序列,设攻击序列NewSequence[i]中最后被标识的元素为a,若|a.time-b.time|≤T且fa,b≠0,则在攻击序列NewSequence[i]中标识b;然后,攻击b遍历其余的序列,重复(2)的过程。
(4)设第i个攻击序列NewSequence[i]中最后被标识的元素为a,若a.time+T时间内,没有下一个攻击加入到该攻击序列中,则说明该攻击序列不能发生,擦去该攻击序列标识。
(5)当第i个NewSequence[i]出现t个连续的攻击步骤时,若这t个攻击的目的IP是一样的,则这t个攻击步骤是多步攻击的一部分。若共有n个多步攻击序列中出现了t个连续的攻击步骤,则下一步会有n个可能。设在第j个多步攻击序列中下一步的攻击转换频率是fi,i+1(j),则由前面的t个步骤转化为第j个多步攻击序列的下一步的概率是
特殊的,若只有一个多步攻击序列含有这t个步骤,则该攻击序列转到下一步的概率为1。
图3是实施发明的典型应用环境。
为了验证本发明的有效性,我们搭建了典型的应用环境。图3为实施例的典型应用环境。实验采用一台曙光服务器(双CPU,1G内存),笔记本一台(奔4CPU,1G内存),笔记本装上VMware虚拟机。在局域网中部署了一台Snort入侵检测设备,笔记本运行虚拟机,并安装Windows2000和Solaris操作系统,用opentelnet和mstreamDDOS木马软件进行攻击,将报警采集并存入数据库,然后进行多步攻击序列的挖掘。之后将DARPA 2000数据集的数据重放,由Snort捕获存入入侵报警数据库,结合前面挖掘出来的多步攻击序列,识别多步攻击并进行预测。
通过比较,我们设定最小转化可信度MT为0.2。经过计算,挖掘出主要的攻击转化频率。下表是部分的攻击转化频率。
表1攻击转化频率表
| 可转化攻击 | 转化频率 |
| IP_Sweep->Port_Scan | 0.853 |
| Port_Scan->OverFlow_Attempt | 0.42 |
| Port_Scan->Remove_NTLM | 0.25 |
| OverFlow_Attmpt->Remote_Login | 0.562 |
| Remove_NTLM->Remote_Login | 0.622 |
| Remote_Login->Kill_firewall | 0.32 |
| Remote_Login->DDOS | 0.27 |
我们又根据报警的时间属性,结合我们提出的挖掘算法,挖掘出了多个攻击场景。其中表中对应了两个多步攻击:
1)IP_Sweep->Port_Scan->Remove_NTLM->Remote_Login->Kill_Firewall
2)IP_Sweep->Port_Scan->OverFlow_Attempt->Remote_Login->DDOS
其中多步攻击序列1)是通过扫描主机,利用NT-Server弱口令,打开远程主机Telnet服务,去除NTLM验证,登陆远程主机并杀死防火墙进程;多步攻击序列2)是通过扫描主机,利用漏洞进行缓冲区溢出攻击,并登陆远程主机,进行分布式拒绝服务攻击(DistributedDenial of service,DDOS)政击。
然后,我们选取2000年麻省理工学院林肯实验室的入侵检测评估数据LLDOS1.0做实验进行多步攻击挖掘及预测算法。通过对数据重放并导入到数据库。我们将时间窗口取为1小时。
(1)在2009年7月24日上午10:30:00,接收到针对主机172.16.112.10的报警ICMP_PING_SWEEP,这是一个IP_Sweep攻击,根据表中的转化频率及挖掘的多步攻击序列,攻击Port_Scan的发生概率为0.853。
(2)在2009年7月25日上午10:46:25,接收到针对主机172.16.112.10的端口扫描报警SADMIND_PORT_SCAN,这是一个Port_Scan攻击,根据表中的转化频率及挖掘的多步攻击序列,攻击Overflow_Attempt和攻击Remove_NTLM的发生概率分别为:
(3)在2009年7月25上午11:11:22,接收到针对主机172.168.112.10的报警SADMIND_OVERFLOW_ATTEMPT,这是一个Overflow_Attempt攻击,根据表中的转化频率及挖掘出的多步攻击序列,在前三个攻击步骤既定的情况下,多步攻击序列IP_Sweep->Port_Scan->OverFlow_Attempt->Remote_Login->DDOS发生的概率为1。所以预测在后续将发生攻击类型为Remote_Login和DDOS的攻击,管理员应该在此时注意查看。
(4)在2009年7月25日上午11:11:56和12:07:24,分别接收到针对主机172.168.112.10的报警RSH_LOGIN和针对主机131.84.1.31的报警DDOS,这两个报警的攻击类型分别是Remote_Login和DDOS,验证了我们在步骤(3)的预测。
我们识别并预测了针对主机172.168.112.20和主机172.16.115.20的多步攻击序列。
根据麻省理工学院林肯实验室官方的描述,在LLDOS 1.0场景中,攻击者攻占了内部主机172.16.112.10、172.16.112.50和172.16.115.20,发起了DDOS攻击,具体的攻击步骤是:探测网络存活主机、扫描端口并发现Solaris的sadmind漏洞,溢出攻击、非法登录系统,安装特洛伊mstreamDDOS木马软件并借助被控制的主机对远程服务器发动DDOS攻击。这和我们的实验结果是一致的,验证了我们提出的方法的有效性。
Claims (9)
1.一种网络多步攻击识别和预测方法,其特征是:
(1)网络报警和整理:将入侵检测系统、防火墙和杀毒软件等多种安全设备的报警存入数据库,并将报警按照入侵检测消息交换格式进行归一化处理;
(2)攻击序列转化:将数据库中的报警按照攻击类型转化为多步攻击序列,并根据攻击时间滑动窗口转化为多个长度不同的子攻击序列;
(3)攻击转化频率计算:统计各个子攻击序列中的攻击相互转化的频数,并生成攻击转化频率矩阵;
(4)多步攻击序列挖掘:对多攻击序列进行挖掘,结合攻击转化频率矩阵,生成历史多步攻击序列;
(5)新的多步攻击序列识别和预测:通过分析网络中新的报警,依据历史多步攻击序列进行匹配,识别和预测多步攻击。
2.根据权利要求1所述的一种网络多步攻击识别和预测方法,其特征是所述的攻击序列转化的步骤是:1)将入侵检测系统、防火墙等安全设备报警库中的报警集合按照时间属性顺序排列,形成报警序列;2)设定一个攻击类型集合,根据报警具有攻击类型将前一步中的报警序列转化为对应的攻击序列;3)从攻击序列的初始节点开始向后遍历整个攻击序列,将时间窗口内的攻击归为一个子序列,生成多个个子攻击序列;
3.根据权利要求1或2所述的一种网络多步攻击识别和预测方法,其特征是所述的攻击频率计算的步骤是:1)依次遍历所有子攻击序列,统计各个子攻击序列中,计算出攻击之间相互转化的频数,再将各个攻击序列中相对应的攻击频数相加,得出报警库中攻击转化频数;2)根据前面计算出所有的攻击之间转化的频数,并将所有的频数作为元素构成攻击频数转化矩阵;3)根据攻击频数转化矩阵,计算攻击转化的频率,具体方法是:用矩阵中的每一项除以该项所在行所有元素之和,所得的结果就是该项对应的攻击转化的频率,如果该项所在行所有元素之和为零,则该项所对应的攻击转化频率也为零;4)部分转化频率值接近于零。按照概率论的观点,这些攻击转化为不可能事件。如果攻击转化频率小于最小转化可信度,将该项置为零,得到了攻击频率转化矩阵。
4.根据权利要求1或2所述的一种网络多步攻击识别和预测方法,其特征是所述的多步攻击序列挖掘的步骤是:1)遍历整体攻击序列,将第一个攻击放入匹配队列中;2)取后续的攻击,比较该攻击与匹配队列的队尾元素,如果后续攻击和队尾元素的时间差小于时间窗口,且转化频率不为零,则将该攻击放入匹配队列尾部;3)从整体攻击序列中删除第一个攻击,如果整体攻击序列没有遍历完,继续步骤1),直至整体攻击序列遍历完,生成多个匹配序列;4)所得的多个匹配序列中可能会有某个序列是另一个序列的包含序列。根据序列最大的原则去除包含序列的算法,形成新的多步攻击序列集合。
5.根据权利要求3所述的一种网络多步攻击识别和预测方法,其特征是所述的多步攻击序列挖掘的步骤是:1)遍历整体攻击序列,将第一个攻击放入匹配队列中;2)取后续的攻击,比较该攻击与匹配队列的队尾元素,如果后续攻击和队尾元素的时间差小于时间窗口,且转化频率不为零,则将该攻击放入匹配队列尾部;3)从整体攻击序列中删除第一个攻击,如果整体攻击序列没有遍历完,继续步骤1),直至整体攻击序列遍历完,生成多个匹配序列;4)所得的多个匹配序列中可能会有某个序列是另一个序列的包含序列。根据序列最大的原则去除包含序列的算法,形成新的多步攻击序列集合。
6.根据权利要求1或2所述的一种网络多步攻击识别和预测方法,其特征是所述的新的多步攻击序列识别和预测的其步骤是:1)接收入侵检测系统等安全设备的报警,将报警转化为对应的攻击,记录该攻击的攻击类型,IP地址和攻击发生时间;2)遍历多步攻击序列集合中的每一个元素,若攻击存在于某一个多步攻击序列中,则标识攻击序列及其元素;若攻击存在于多个攻击序列,则将所有的攻击序列标识;3)继续接收等安全设备的报警,并依据1)中所述转化成攻击,遍历已经标识的攻击序列,若该攻击与某个攻击序列中最后被标识的元素的时间差小于最小时间,且这两个攻击的攻击转化频率不为零,则在攻击序列中标识新的攻击;然后,该攻击遍历其余的序列,重复2)的过程;4)设第某个攻击序列中最后被标识的元素发生时间后最小时间内,没有下一个攻击加入到该攻击序列中,则说明该攻击序列不能发生,擦去该攻击序列标识;5)当某一个多步攻击序列中出现多个个连续的攻击步骤时,若这多个攻击的目的IP地址是一样的,则这多个攻击步骤是多步攻击的一部分;若共有多个多步攻击序列中出现了连续的攻击步骤,则下一步会有多个可能,计算每一个个多步攻击序列中下一步的攻击转换频率,得出多步攻击序列的下一步攻击的发生概率;特殊的,若只有一个多步攻击序列含有这几个步骤,则该攻击序列转到下一步的概率为1。
7.根据权利要求3所述的一种网络多步攻击识别和预测方法,其特征是所述的新的多步攻击序列识别和预测的其步骤是:1)接收入侵检测系统等安全设备的报警,将报警转化为对应的攻击,记录该攻击的攻击类型,IP地址和攻击发生时间;2)遍历多步攻击序列集合中的每一个元素,若攻击存在于某一个多步攻击序列中,则标识攻击序列及其元素;若攻击存在于多个攻击序列,则将所有的攻击序列标识;3)继续接收等安全设备的报警,并依据1)中所述转化成攻击,遍历已经标识的攻击序列,若该攻击与某个攻击序列中最后被标识的元素的时间差小于最小时间,且这两个攻击的攻击转化频率不为零,则在攻击序列中标识新的攻击;然后,该攻击遍历其余的序列,重复2)的过程;4)设第某个攻击序列中最后被标识的元素发生时间后最小时间内,没有下一个攻击加入到该攻击序列中,则说明该攻击序列不能发生,擦去该攻击序列标识;5)当某一个多步攻击序列中出现多个个连续的攻击步骤时,若这多个攻击的目的IP地址是一样的,则这多个攻击步骤是多步攻击的一部分;若共有多个多步攻击序列中出现了连续的攻击步骤,则下一步会有多个可能,计算每一个个多步攻击序列中下一步的攻击转换频率,得出多步攻击序列的下一步攻击的发生概率;特殊的,若只有一个多步攻击序列含有这几个步骤,则该攻击序列转到下一步的概率为1。
8.根据权利要求4所述的一种网络多步攻击识别和预测方法,其特征是所述的新的多步攻击序列识别和预测的其步骤是:1)接收入侵检测系统等安全设备的报警,将报警转化为对应的攻击,记录该攻击的攻击类型,IP地址和攻击发生时间;2)遍历多步攻击序列集合中的每一个元素,若攻击存在于某一个多步攻击序列中,则标识攻击序列及其元素;若攻击存在于多个攻击序列,则将所有的攻击序列标识;3)继续接收等安全设备的报警,并依据1)中所述转化成攻击,遍历已经标识的攻击序列,若该攻击与某个攻击序列中最后被标识的元素的时间差小于最小时间,且这两个攻击的攻击转化频率不为零,则在攻击序列中标识新的攻击;然后,该攻击遍历其余的序列,重复2)的过程;4)设第某个攻击序列中最后被标识的元素发生时间后最小时间内,没有下一个攻击加入到该攻击序列中,则说明该攻击序列不能发生,擦去该攻击序列标识;5)当某一个多步攻击序列中出现多个个连续的攻击步骤时,若这多个攻击的目的IP地址是一样的,则这多个攻击步骤是多步攻击的一部分;若共有多个多步攻击序列中出现了连续的攻击步骤,则下一步会有多个可能,计算每一个个多步攻击序列中下一步的攻击转换频率,得出多步攻击序列的下一步攻击的发生概率;特殊的,若只有一个多步攻击序列含有这几个步骤,则该攻击序列转到下一步的概率为1。
9.根据权利要求5所述的一种网络多步攻击识别和预测方法,其特征是所述的新的多步攻击序列识别和预测的其步骤是:1)接收入侵检测系统等安全设备的报警,将报警转化为对应的攻击,记录该攻击的攻击类型,IP地址和攻击发生时间;2)遍历多步攻击序列集合中的每一个元素,若攻击存在于某一个多步攻击序列中,则标识攻击序列及其元素;若攻击存在于多个攻击序列,则将所有的攻击序列标识;3)继续接收等安全设备的报警,并依据1)中所述转化成攻击,遍历已经标识的攻击序列,若该攻击与某个攻击序列中最后被标识的元素的时间差小于最小时间,且这两个攻击的攻击转化频率不为零,则在攻击序列中标识新的攻击;然后,该攻击遍历其余的序列,重复2)的过程;4)设第某个攻击序列中最后被标识的元素发生时间后最小时间内,没有下一个攻击加入到该攻击序列中,则说明该攻击序列不能发生,擦去该攻击序列标识;5)当某一个多步攻击序列中出现多个个连续的攻击步骤时,若这多个攻击的目的IP地址是一样的,则这多个攻击步骤是多步攻击的一部分;若共有多个多步攻击序列中出现了连续的攻击步骤,则下一步会有多个可能,计算每一个个多步攻击序列中下一步的攻击转换频率,得出多步攻击序列的下一步攻击的发生概率;特殊的,若只有一个多步攻击序列含有这几个步骤,则该攻击序列转到下一步的概率为1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105615517A CN102075516A (zh) | 2010-11-26 | 2010-11-26 | 一种网络多步攻击识别和预测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105615517A CN102075516A (zh) | 2010-11-26 | 2010-11-26 | 一种网络多步攻击识别和预测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102075516A true CN102075516A (zh) | 2011-05-25 |
Family
ID=44033860
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105615517A Pending CN102075516A (zh) | 2010-11-26 | 2010-11-26 | 一种网络多步攻击识别和预测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102075516A (zh) |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103441982A (zh) * | 2013-06-24 | 2013-12-11 | 杭州师范大学 | 一种基于相对熵的入侵报警分析方法 |
| CN103746991A (zh) * | 2014-01-02 | 2014-04-23 | 曙光云计算技术有限公司 | 云计算网络中的安全事件分析方法及系统 |
| WO2015024315A1 (zh) * | 2013-08-19 | 2015-02-26 | 中广核工程有限公司 | 核电站网络入侵报警方法和系统 |
| CN105007262A (zh) * | 2015-06-03 | 2015-10-28 | 浙江大学城市学院 | Wlan多步攻击意图预先识别方法 |
| CN105100122A (zh) * | 2015-09-08 | 2015-11-25 | 南京联成科技发展有限公司 | 一种基于大数据分析的威胁检测和预警的方法及系统 |
| CN105191257A (zh) * | 2013-03-29 | 2015-12-23 | 英国电讯有限公司 | 用于检测多阶段事件的方法和装置 |
| CN106341414A (zh) * | 2016-09-30 | 2017-01-18 | 重庆邮电大学 | 一种基于贝叶斯网络的多步攻击安全态势评估方法 |
| CN106411921A (zh) * | 2016-10-31 | 2017-02-15 | 中国人民解放军信息工程大学 | 基于因果贝叶斯网络的多步攻击预测方法 |
| CN106576099A (zh) * | 2014-08-04 | 2017-04-19 | 微软技术许可有限责任公司 | 支持攻击检测和缓解的数据中心架构 |
| WO2017152877A1 (zh) * | 2016-03-11 | 2017-09-14 | 中兴通讯股份有限公司 | 网络威胁事件评估方法及装置 |
| CN107645493A (zh) * | 2017-08-20 | 2018-01-30 | 杭州安恒信息技术有限公司 | 一种ip组相似度计算方法 |
| CN107872449A (zh) * | 2017-09-21 | 2018-04-03 | 南京邮电大学 | 一种基于预测控制的拒绝服务攻击防御方法 |
| CN108924084A (zh) * | 2018-05-22 | 2018-11-30 | 全球能源互联网研究院有限公司 | 一种网络设备安全评估方法及装置 |
| CN109241989A (zh) * | 2018-07-17 | 2019-01-18 | 中国电力科学研究院有限公司 | 一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统 |
| CN109861995A (zh) * | 2019-01-17 | 2019-06-07 | 安徽谛听信息科技有限公司 | 一种网络空间安全大数据智能分析方法、计算机可读介质 |
| CN112583786A (zh) * | 2019-09-30 | 2021-03-30 | 英飞凌科技股份有限公司 | 用于警报的方法、发送器设备和接收器设备 |
| CN113179241A (zh) * | 2021-03-01 | 2021-07-27 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
| CN113225337A (zh) * | 2021-05-07 | 2021-08-06 | 广州大学 | 一种多步攻击警报关联方法、系统和存储介质 |
| CN113422763A (zh) * | 2021-06-04 | 2021-09-21 | 桂林电子科技大学 | 基于攻击场景构建的报警关联分析方法 |
| CN114172709A (zh) * | 2021-11-30 | 2022-03-11 | 中汽创智科技有限公司 | 一种网络多步攻击检测方法、装置、设备及存储介质 |
| CN114553551A (zh) * | 2022-02-24 | 2022-05-27 | 杭州迪普科技股份有限公司 | 对入侵防御系统进行测试的方法及装置 |
| CN114978778A (zh) * | 2022-08-01 | 2022-08-30 | 北京六方云信息技术有限公司 | 基于因果推断的多步攻击检测方法、装置及设备 |
| CN115174208A (zh) * | 2022-07-04 | 2022-10-11 | 中国银行股份有限公司 | 一种多步攻击检测方法及装置 |
| GB2616464A (en) * | 2022-03-10 | 2023-09-13 | British Telecomm | Security method for identifying kill chains |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101242278A (zh) * | 2008-02-18 | 2008-08-13 | 华中科技大学 | 网络多步攻击意图在线识别方法 |
-
2010
- 2010-11-26 CN CN2010105615517A patent/CN102075516A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101242278A (zh) * | 2008-02-18 | 2008-08-13 | 华中科技大学 | 网络多步攻击意图在线识别方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王莉: "网络多步攻击识别方法研究", 《华中科技大学博士学位论文》 * |
Cited By (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105191257A (zh) * | 2013-03-29 | 2015-12-23 | 英国电讯有限公司 | 用于检测多阶段事件的方法和装置 |
| CN105191257B (zh) * | 2013-03-29 | 2018-12-14 | 英国电讯有限公司 | 用于检测多阶段事件的方法和装置 |
| CN103441982A (zh) * | 2013-06-24 | 2013-12-11 | 杭州师范大学 | 一种基于相对熵的入侵报警分析方法 |
| WO2015024315A1 (zh) * | 2013-08-19 | 2015-02-26 | 中广核工程有限公司 | 核电站网络入侵报警方法和系统 |
| GB2532630B (en) * | 2013-08-19 | 2018-04-25 | China Nuclear Power Eng Co Ltd | Network intrusion alarm method and system for nuclear power plant |
| GB2532630A (en) * | 2013-08-19 | 2016-05-25 | China Nuclear Power Eng Co Ltd | Network intrusion alarm method and system for nuclear power station |
| CN103746991A (zh) * | 2014-01-02 | 2014-04-23 | 曙光云计算技术有限公司 | 云计算网络中的安全事件分析方法及系统 |
| CN103746991B (zh) * | 2014-01-02 | 2017-03-15 | 曙光云计算技术有限公司 | 云计算网络中的安全事件分析方法及系统 |
| CN106576099A (zh) * | 2014-08-04 | 2017-04-19 | 微软技术许可有限责任公司 | 支持攻击检测和缓解的数据中心架构 |
| CN106576099B (zh) * | 2014-08-04 | 2019-10-11 | 微软技术许可有限责任公司 | 支持攻击检测和缓解的数据中心架构 |
| CN105007262B (zh) * | 2015-06-03 | 2017-12-22 | 浙江大学城市学院 | Wlan多步攻击意图预先识别方法 |
| CN105007262A (zh) * | 2015-06-03 | 2015-10-28 | 浙江大学城市学院 | Wlan多步攻击意图预先识别方法 |
| CN105100122A (zh) * | 2015-09-08 | 2015-11-25 | 南京联成科技发展有限公司 | 一种基于大数据分析的威胁检测和预警的方法及系统 |
| WO2017152877A1 (zh) * | 2016-03-11 | 2017-09-14 | 中兴通讯股份有限公司 | 网络威胁事件评估方法及装置 |
| CN106341414A (zh) * | 2016-09-30 | 2017-01-18 | 重庆邮电大学 | 一种基于贝叶斯网络的多步攻击安全态势评估方法 |
| CN106341414B (zh) * | 2016-09-30 | 2019-04-23 | 重庆邮电大学 | 一种基于贝叶斯网络的多步攻击安全态势评估方法 |
| CN106411921B (zh) * | 2016-10-31 | 2019-05-14 | 中国人民解放军信息工程大学 | 基于因果贝叶斯网络的多步攻击预测方法 |
| CN106411921A (zh) * | 2016-10-31 | 2017-02-15 | 中国人民解放军信息工程大学 | 基于因果贝叶斯网络的多步攻击预测方法 |
| CN107645493B (zh) * | 2017-08-20 | 2020-03-06 | 杭州安恒信息技术股份有限公司 | 一种ip组相似度计算方法 |
| CN107645493A (zh) * | 2017-08-20 | 2018-01-30 | 杭州安恒信息技术有限公司 | 一种ip组相似度计算方法 |
| CN107872449B (zh) * | 2017-09-21 | 2020-04-21 | 南京邮电大学 | 一种基于预测控制的拒绝服务攻击防御方法 |
| CN107872449A (zh) * | 2017-09-21 | 2018-04-03 | 南京邮电大学 | 一种基于预测控制的拒绝服务攻击防御方法 |
| CN108924084A (zh) * | 2018-05-22 | 2018-11-30 | 全球能源互联网研究院有限公司 | 一种网络设备安全评估方法及装置 |
| CN108924084B (zh) * | 2018-05-22 | 2020-10-27 | 全球能源互联网研究院有限公司 | 一种网络设备安全评估方法及装置 |
| CN109241989A (zh) * | 2018-07-17 | 2019-01-18 | 中国电力科学研究院有限公司 | 一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统 |
| CN109241989B (zh) * | 2018-07-17 | 2023-06-20 | 中国电力科学研究院有限公司 | 一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统 |
| CN109861995A (zh) * | 2019-01-17 | 2019-06-07 | 安徽谛听信息科技有限公司 | 一种网络空间安全大数据智能分析方法、计算机可读介质 |
| CN112583786A (zh) * | 2019-09-30 | 2021-03-30 | 英飞凌科技股份有限公司 | 用于警报的方法、发送器设备和接收器设备 |
| CN112583786B (zh) * | 2019-09-30 | 2022-12-02 | 英飞凌科技股份有限公司 | 用于警报的方法、发送器设备和接收器设备 |
| CN113179241B (zh) * | 2021-03-01 | 2022-06-17 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
| CN113179241A (zh) * | 2021-03-01 | 2021-07-27 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
| CN113225337A (zh) * | 2021-05-07 | 2021-08-06 | 广州大学 | 一种多步攻击警报关联方法、系统和存储介质 |
| CN113422763A (zh) * | 2021-06-04 | 2021-09-21 | 桂林电子科技大学 | 基于攻击场景构建的报警关联分析方法 |
| CN114172709A (zh) * | 2021-11-30 | 2022-03-11 | 中汽创智科技有限公司 | 一种网络多步攻击检测方法、装置、设备及存储介质 |
| CN114172709B (zh) * | 2021-11-30 | 2024-05-24 | 中汽创智科技有限公司 | 一种网络多步攻击检测方法、装置、设备及存储介质 |
| CN114553551A (zh) * | 2022-02-24 | 2022-05-27 | 杭州迪普科技股份有限公司 | 对入侵防御系统进行测试的方法及装置 |
| CN114553551B (zh) * | 2022-02-24 | 2024-02-09 | 杭州迪普科技股份有限公司 | 对入侵防御系统进行测试的方法及装置 |
| GB2616464A (en) * | 2022-03-10 | 2023-09-13 | British Telecomm | Security method for identifying kill chains |
| CN115174208A (zh) * | 2022-07-04 | 2022-10-11 | 中国银行股份有限公司 | 一种多步攻击检测方法及装置 |
| CN114978778A (zh) * | 2022-08-01 | 2022-08-30 | 北京六方云信息技术有限公司 | 基于因果推断的多步攻击检测方法、装置及设备 |
| CN114978778B (zh) * | 2022-08-01 | 2022-10-28 | 北京六方云信息技术有限公司 | 基于因果推断的多步攻击检测方法、装置及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102075516A (zh) | 一种网络多步攻击识别和预测方法 | |
| US20220124108A1 (en) | System and method for monitoring security attack chains | |
| EP2828753B1 (en) | Anomaly detection to identify coordinated group attacks in computer networks | |
| Zhu et al. | Alert correlation for extracting attack strategies | |
| Alserhani et al. | MARS: multi-stage attack recognition system | |
| CN110213226A (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
| Chen et al. | Attack sequence detection in cloud using hidden markov model | |
| Badajena et al. | Incorporating hidden Markov model into anomaly detection technique for network intrusion detection | |
| Liang et al. | A security situation prediction algorithm based on HMM in mobile network | |
| Anbarestani et al. | An iterative alert correlation method for extracting network intrusion scenarios | |
| Mittal et al. | Detection of attacks in IoT based on ontology using SPARQL | |
| Velarde-Alvarado et al. | An unsupervised approach for traffic trace sanitization based on the entropy spaces | |
| Ebrahimi et al. | Automatic attack scenario discovering based on a new alert correlation method | |
| Mallikarjunan et al. | Real time attacker behavior pattern discovery and profiling using fuzzy rules | |
| Jaafar et al. | A systematic approach for privilege escalation prevention | |
| Elshoush | An innovative framework for collaborative intrusion alert correlation | |
| Narayana et al. | Data mining machine learning techniques–A study on abnormal anomaly detection system | |
| Ahmed et al. | Collecting and analyzing digital proof material to detect cybercrimes | |
| Hoque et al. | An alert analysis approach to DDoS attack detection | |
| CN114697087A (zh) | 一种基于报警时序的报警关联方法 | |
| Lei et al. | Using network attack graph to predict the future attacks | |
| Rajora et al. | IoT Based Smart Home with Cutting-Edge Technology for IDS/IPS | |
| Huang et al. | Event pattern discovery on IDS traces of cloud services | |
| CN117220961B (zh) | 一种基于关联规则图谱的入侵检测方法、装置及存储介质 | |
| Li et al. | A novel algorithm SF for mining attack scenarios model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110525 |