CN103748983B - 一种基于模糊eca规则的网络攻击知识表达与推理方法 - Google Patents
一种基于模糊eca规则的网络攻击知识表达与推理方法Info
- Publication number
- CN103748983B CN103748983B CN200910121652.XA CN200910121652A CN103748983B CN 103748983 B CN103748983 B CN 103748983B CN 200910121652 A CN200910121652 A CN 200910121652A CN 103748983 B CN103748983 B CN 103748983B
- Authority
- CN
- China
- Prior art keywords
- fuzzy
- event
- attack
- knowledge
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明涉及一种基于模糊ECA规则的网络攻击知识表达与推理方法,属于 计算机网络安全技术领域。本发明在管理攻击事件、描述攻击知识的基础上建 立模糊ECA规则表示攻击知识,采用模糊推理技术对攻击发生的可能性进行检 测。使用本发明方法表达攻击知识并进行推理,可提高入侵检测的检测效率和 检测能力。
Description
技术领域
本发明涉及一种基于模糊ECA规则的网络攻击知识表达与推理方法,属于计算机网络安全技术领域。
背景技术
入侵检测系统通过检查操作系统的审计数据或网络数据包信息来检测系统中违背安全策略或危及系统安全的行为或活动,并能够根据响应策略进行响应。
根据检测方法可以将入侵检测技术划分为两类:基于行为的入侵检测(Behavior-Based ID)和基于知识的入侵检测(Knowledge-Based ID)。
基于知识的入侵检测,也称为误用检测(Misuse Detection),主要是将已知攻击的相关知识(特征、模式等)存储于数据库,形成攻击知识库,并利用这些已知攻击的相关知识来检查系统中是否出现了这些攻击的特征或模式,判断系统是否遭受到攻击。
误用检测系统攻击知识的表示可采用多种方式,比如一阶谓词逻辑表示法、产生式表示法、框架表示法、语义网络表示法、脚本表示法等,其中由于产生式表示法具有直观、符合人类的思维方式而被目前大多数入侵检测系统采用。产生式规则表示攻击知识的形式如下:
IF P THEN Q
其中,P是攻击规则的前提,用于指出该规则是否为可用的条件;Q是一组结论或操作,用于指出当前提P所指示的条件满足时,应得出的结论或应执行的操作。
整个攻击知识的含义是:如果前提P满足,则可推出结论Q或执行Q所规定的操作。产生式规则表示方法的前提和结论的表达式中有“与”和“或”两种连接方式,由此构成多种不同的规则类型。但是,产生式规则表达方法存在以下不足:
(1)检测效率不高
基于产生式规则的知识表达方法,检测入侵时都是一个特征匹配的过程,当所获取的信息量较大,知识库中的规则数较多时,存在推理效率较低的问题,
因此造成检测效率不高。
(2)检测能力有限
基于产生式规则的知识表达方法,其条件部分各元素之间没有时间上的先后顺序,因此无法表达时间上具有相关性的攻击知识。
本发明中使用到的另外一项重要的已有知识是复合事件的表示。
首先给出原子事件的定义:原子事件是指具有某种入侵特征的不可再分割的操作,可组成入侵过程。
复合事件的表示就是用规定的操作符将原子事件连接起来,作为单个事件处理,称为复合事件。操作符如下:
(1)与发生运算(AND,∧);
(2)或发生运算(OR,∨);
(3)选择发生运算(SELECTION,|);
(4)序列发生运算(SEQUENCE,·)。
设E={e1,e2,…,en}为入侵事件集合,e1,e2,…,en分别表示不同的原子或复合事件。利用上述事件操作符可以对事件间的存在、序列、部分有序进行准确的描述。
(1)e1∧e2,表示在同一时间段内e1、e2须同时存在;
(2)e1∨e2,表示在同一时间段内e1、e2只有一个存在即可;
(3)e1|e2,表示在同一时间段内e1、e2有一个且仅有一个发生;
(4)e1·e2,表示在某一时间段内e1、e2相继发生,且e2发生在e1之后。
发明内容
本发明的目的是提出一种基于模糊ECA规则的网络攻击知识表达与推理方法。本发明在管理攻击事件、描述攻击知识的基础上建立模糊ECA规则表示攻击知识,采用模糊推理技术对攻击发生的可能性进行检测。使用本发明方法表达攻击知识并进行推理,可提高入侵检测的检测效率和检测能力。
本发明的一种基于模糊ECA规则的网络攻击知识表达与推理方法整体框架设计流程如图1所示。
步骤一、管理攻击事件,形成攻击事件集
网络攻击事件是网络攻击知识表达的基础。网络攻击手段多样,使得攻击
事件也是多种多样。在形成网络攻击知识时,需对网络攻击事件进行管理。本发明中涉及的攻击事件既可以是原子事件,也可以是复合事件。原子事件,即具有某种攻击特征的不可再分割的操作;复合事件,则首先要对已知的原子事件根据其攻击过程将其划分为主机勘察、漏洞发掘、目标渗透、权限提升、潜伏隐藏、攫取信息和跳板攻击7个子类,然后针对各子类事件按照背景技术中介绍的复合方法进行复合,形成用于提取网络攻击知识的复合事件。攻击事件集由原子事件和复合事件组成。
步骤二、对攻击知识进行描述
在步骤一的基础上,对攻击知识进行描述。
不同的用户行为会产生不同的事件序列,事件发生时,同时会引起系统状态的变化。描述攻击知识时,需对事件及系统状态同时进行刻画。本发明用<事件,系统状态,时间>三元组对攻击知识进行描述,其中,事件是指攻击事件集中的原子事件或者复合事件;系统状态是指与事件相关的系统状态;时间是指行为发生的绝对时间。
用ECA规则表达攻击知识。用E来描述事件(原子事件或复合事件),C来描述系统状态以及相关的时间和统计关系,A为当E、C都匹配成功后,系统所要执行的动作。
网络安全环境的复杂性,导致网络入侵行为具有不确定性,本发明采用模糊方法描述事件不确定性,采用隶属函数处理模糊事件。
基于模糊ECA规则的攻击知识表达形式为:
其中,F_RuleName为规则名称,F_Event为模糊事件,λ为规则触发阈值,当模糊事件的隶属度μ(e)大于λ时,则触发该规则。F_Conditioni、F_Actioni分别为模糊条件和模糊结论。
模糊事件F_Event、模糊条件F_Conditioni和模糊结论F_Actioni中参数的取
值为模糊集合,设模糊事件F_Event中的参数为e,模糊条件F_Conditioni中的参数为cj,模糊结论F_Actioni中的参数为a,各参数对应的论域分别为X、Yj、Z,则各模糊集合的隶属函数为μ(e)、μ(cj)、μ(a)。
步骤三、使用ECA规则进行模糊推理
在步骤二的基础上,针对模糊事件F_Event,使用ECA规则进行模糊推理。具体步骤如下:
第1步:计算模糊事件的隶属度
当模糊事件F_Event发生时,则可检测到对应参数e的精确值e0,因此可得到F_Event的隶属度μ(e0)
第2步:判断模糊事件的隶属度是否达到触发阈值
如果μe大于触发阈值,则触发该模糊ECA规则,进入第3步;否则过程终止。
第3步:进行规则模糊推理
(1)采集模糊条件
当模糊事件F_Event发生时,系统的状态随之改变,对此时模糊条件F_Conditioni中对应的参数cj值进行检测,设为cj0。然后对cj0进行模糊化得到对应于模糊集合μ(cj)的隶属度μ(cj0),该隶属度就是我们要采集的模糊条件。
(2)建立模糊蕴含关系R的隶属函数
ECA规则中的CA部分确定了参数为cj与a之间的一个模糊蕴含关系R。模糊关系R的隶属函数由式(1)求出。
其中运算∧和∨分别是逻辑“与”和逻辑“或”运算。
(3)模糊推理
根据步骤(1)中采集的模糊条件μ(cj0)进行模糊推理,得到模糊结论F_Actioni中模糊参数a的模糊集合,其隶属函数计算如下:
(4)去模糊化
针对步骤(3)得到的a的模糊集合μ′(a),取其隶属函数曲线与横坐标轴围成面积的重心作为模糊结论的具体值,计算方法如下:
有益效果
本发明建立了基于模糊ECA规则的网络攻击知识表达方法,相对目前常用的产生式攻击知识的表示,具有如下有益效果:
(1)模糊ECA规则表达攻击知识,系统只有检测到某些特定的、和入侵有关的事件发生后,才触发相应规则,如果没有检测到有关的事件,则不触发规则,相对于常用的产生式攻击知识表示的全匹配,在分析之前就抛弃了大量与入侵无关的信息和事件,因此提高了系统的分析效率。
(2)通过原子事件的复合,能够表达条件部分各元素之间时间上的先后顺序,因此可以表达时间上具有相关性的攻击知识。
附图说明
图1为本发明的一种基于模糊ECA规则的网络攻击知识表达方法整体框架设计流程图。
图2为本发明实施例中Connection_attempt(FIN=1)取值e的模糊集合High的隶属函数图;
图3为本发明实施例中Δt取值的模糊集合的隶属函数图;
图4为本发明实施例中攻击发生可能性P取值的模糊集合的隶属函数图。
具体实施方式
下面结合实施例对本发明进行详细描述。
本例中针对一种具体的DoS攻击——SYN Flooding攻击,给出其模糊ECA规则的表达及推理过程,以进一步对本发明的技术方案进行说明。
步骤一、管理攻击事件,形成攻击事件集
网络攻击事件是网络攻击知识表达的基础。网络攻击手段多样,使得攻击事件也是多种多样。在形成网络攻击知识时,需对网络攻击事件进行管理。本
发明中涉及的攻击事件既可以是原子事件,也可以是复合事件。原子事件,即具有某种攻击特征的不可再分割的操作;复合事件,则首先要对已知的原子事件根据其攻击过程将其划分为主机勘察、漏洞发掘、目标渗透、权限提升、潜伏隐藏、攫取信息和跳板攻击7个子类,然后针对各子类事件按照背景技术中介绍的复合方法进行复合,形成用于提取网络攻击知识的复合事件。攻击事件集合由原子事件和复合事件组成。
步骤二、对攻击知识进行描述
在步骤一的基础上,对攻击知识进行描述。
不同的用户行为会产生不同的事件序列,事件发生时,同时会引起系统状态的变化。描述攻击知识时,需对事件及系统状态同时进行刻画。本发明用<事件,系统状态,时间>三元组对攻击知识进行描述,其中,事件是指攻击事件集中的原子事件或者复合事件;系统状态是指与事件相关的系统状态;时间是指行为发生的绝对时间。
用模糊ECA规则表达攻击知识,SYN Flooding攻击过程如下:
主机A向主机B发送一个带有SYN和FIN标志位置位的TCP包;主机B首先处理SYN标志,生成一个带有相应ACK标志位置位的包,并使状态转移到SYN-RCVD,然后处理FIN标志,使状态转移到CLOSE-WAIT,并向A回送ACK包;此时,主机A并不响应主机B回送的ACK包。主机B将固定在CLOSE-WAIT状态等待A的响应,直到定时器超时将状态重置为CLOSED状态。主机B维持这样的CLOSE-WAIT状态需要占有一定的内存资源,因此维持这样的CLOSE-WAIT状态的数量有限。入侵者向主机B发送大量上述具有SYN和FIN标志位置位的TCP包,造成主机B资源耗尽而不能响应正常的连接请求,长时间反复发送,造成某个网络端口长时间阻塞,从而产生拒绝服务攻击。
针对上述入侵行为,当主机B每收到一SYN标志的TCP包,则生成一个Connection_attempt事件,此TCP包的FIN为1,因此,原子事件可表示为:
Connection_attempt(FIN=1)
SYN Flooding攻击是在短时间内产生大量的Connection_attempt(FIN=1)事件。对该入侵行为描述时,需对事件进行统计,可描述为:
#(Connection_attempt(FIN=1),T0)=e
上式表示在T0时间内,Connection_attempt(FIN=1)发生的次数为e。
设T0=10秒,Δt表示两个相邻Connection_attempt(FIN=1)事件发生的平均时间间隔,P表示SYN Flooding攻击发生的可能性,则攻击知识表达如下:
RULE SYN-DOS
When#(connection_attempt(FIN=1),T0)=High(λ=0.5)
IFΔt=Short Then P=High;
IF△t=Medium Then P=Medium;
IF△t=Long Then P=Low;
END-RULE
Connection_attempt(FIN=1)取值e的模糊集合High的隶属函数如式(4)所示,其图形如图2所示。
Δt取值的模糊集合的隶属函数如式(5)、(6)、(7)所示,其图形如图3所示。
P取值的模糊集合的隶属函数如式(8)、(9)、(10)所示,其图形如图4所示。
步骤三、使用ECA规则进行模糊推理
在步骤二的基础上,针对模糊事件Connection_attempt(FIN=1),具体步骤如下:
第1步:计算模糊事件的隶属度
设T0=10秒时间内Connection_attempt(FIN=1)发生的次数e1=200、e2=270,可得到μ(e1)=0.3333、μ(e2)=0.8。
第2步:判断模糊事件的隶属度是否达到触发阈值
触发阈值λ=0.5,对于e1=200,μ(e1)<λ,则不触发该规则,继续检测参数e的精确值。
对于e2=270,μ(e2)>λ,则触发该规则,进行模糊推理。
第3步:进行规则模糊推理
(1)采集模糊条件
针对e2=270,平均时间间隔Δt0=37ms,对Δt0=37ms进行模糊化,得到μShort(Δt0)=0.075,μMedium(Δt0)=0.86,μLong(Δt0)=0。
(2)建立模糊蕴含关系R的隶属函数
ECA规则中的CA部分确定了参数Δt与p之间的一个模糊蕴含关系R。模糊关系R的隶属函数由下式求得:
R(Δt,p)=(μShort(Δt)∧μHigh(p))∨(μMedium(Δt)∧μMedium(p))∨(μLong(Δt)∧μLow(p))
其中运算∧和∨分别是逻辑“与”和逻辑“或”运算。
(3)模糊推理
根据μShort(Δt0)=0.075,μMedium(Δt0)=0.86,μLong(Δt0)=0进行模糊推理,得到攻击发生可能性P取值的模糊集合的隶属函数μ′(p),其隶属函数为:
(4)去模糊化
针对步骤(3)得到模糊集合μ′(p),取其隶属函数曲线与横坐标轴围成面积的重心作为模糊结论的具体值,计算方法如下:
通过计算得到u=0.5014。
当在T0=10秒时间内检测到Connection_attempt(FIN=1)发生的次数为270时,SYN Flooding攻击发生的可能性为50.14%。
为了说明基于模糊ECA规则的网络攻击知识表达与推理方法能够克服基于产生式规则的知识表达方法的无法表达时间上具有相关性攻击知识的不足,通过下例进行说明。
假设产生式规则表达的攻击知识为:
R:If a&b&c then alert
其中a、b、c为攻击特征。该攻击知识的含义是当条件a、b、c都满足时触发该条规则。该条规则无法表达a、b、c发生的时间先后,但是在很多情况下,a、b、c如果按不同的次序发生,有可能不是攻击行为。
采样模糊ECA规则可以表示为:
RULE Event
When ea·eb·ec
IfC Then alert;
END RULE
上述ECA规则中的复合事件为“ea·eb·ec”,表达了事件a在事件b之间发生,事件b在事件c之间发生,从而表达了时间上的先后。
需要特别说明的是,对于本领域技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进,这些也应视为属于本发明的保护范围。
Claims (1)
1.
一种基于模糊ECA规则的网络攻击知识表达与推理方法,其特征在于:在管理攻击事件、描述攻击知识的基础上建立模糊ECA规则表示攻击知识,采用模糊推理技术对攻击发生的可能性进行检测;具体实现步骤如下:
步骤一、管理攻击事件,形成攻击事件集
对网络攻击事件进行管理;攻击事件既可以是原子事件,也可以是复合事件;原子事件,即具有某种攻击特征的不可再分割的操作;复合事件,则首先要对已知的原子事件根据其攻击过程将其划分为主机勘察、漏洞发掘、目标渗透、权限提升、潜伏隐藏、攫取信息和跳板攻击7个子类,然后针对各子类事件按照复合事件的表示方法进行复合,形成用于提取网络攻击知识的复合事件;攻击事件集由原子事件和复合事件组成;
步骤二、对攻击知识进行描述
在步骤一的基础上,对攻击知识进行描述;
采用<事件,系统状态,时间>三元组对攻击知识进行描述,其中,事件是指攻击事件集中的原子事件或者复合事件;系统状态是指与事件相关的系统状态;时间是指行为发生的绝对时间;
用ECA规则表达攻击知识;用E来描述事件,C来描述系统状态以及相关的时间和统计关系,A为当E、C都匹配成功后,系统所要执行的动作;
网络安全环境的复杂性,导致网络入侵行为具有不确定性,因此采用模糊方法描述事件的不确定性,采用隶属函数处理模糊事件;
基于模糊ECA规则的攻击知识表达形式为:
其中,F_RuleName为规则名称,F_Event为模糊事件,λ为规则触发阈值,当模糊事件的隶属度μ(e)大于λ时,则触发该规则;F_Conditioni、F_Actioni分别为模糊条件和模糊结论;
模糊事件F_Event、模糊条件F_Conditioni和模糊结论F_Actioni中参数的取
值为模糊集合,设模糊事件F_Event中的参数为e,模糊条件F_Conditioni中的参数为cj,模糊结论F_Actioni中的参数为a,各参数对应的论域分别为X、Yj、Z,则各模糊集合的隶属函数为μ(e)、μ(cj)、μ(a);
步骤三、使用ECA规则进行模糊推理
在步骤二的基础上,针对模糊事件F_Event,使用ECA规则进行模糊推理;具体步骤如下:
第1步:计算模糊事件的隶属度
当模糊事件F_Event发生时,则可检测到对应参数e的精确值e0,因此可得到F_Event的隶属度μ(e0)
第2步:判断模糊事件的隶属度是否达到触发阈值
如果μe大于触发阈值,则触发该模糊ECA规则,进入第3步;否则过程终止;
第3步:进行规则模糊推理
(1)采集模糊条件
当模糊事件F_Event发生时,系统的状态随之改变,对此时模糊条件F_Conditioni中对应的参数cj值进行检测,设为cj0;然后对cj0进行模糊化得到对应于模糊集合μ(cj)的隶属度μ(cj0),该隶属度就是我们要采集的模糊条件;
(2)建立模糊蕴含关系R的隶属函数
ECA规则中的CA部分确定了参数为cj与a之间的一个模糊蕴含关系R;模糊关系R的隶属函数由式(1)求出;
其中运算∧和∨分别是逻辑“与”和逻辑“或”运算;
(3)模糊推理
根据步骤(1)中采集的模糊条件μ(cj0)进行模糊推理,得到模糊结论F_Actioni中模糊参数a的模糊集合,其隶属函数计算如下:
(4)去模糊化
针对步骤(3)得到的a的模糊集合μ′(a),取其隶属函数曲线与横坐标轴围成面积的重心作为模糊结论的具体值,计算方法如下:
Publications (1)
Publication Number | Publication Date |
---|---|
CN103748983B true CN103748983B (zh) | 2011-04-27 |
Family
ID=
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105758403B (zh) * | 2016-01-06 | 2018-12-14 | 东南大学 | 一种基于Vague集模糊推理的地磁图适配性的综合评价方法 |
CN109598128A (zh) * | 2018-12-11 | 2019-04-09 | 郑州云海信息技术有限公司 | 一种扫描检查的方法及装置 |
CN110505247A (zh) * | 2019-09-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
CN111736492A (zh) * | 2020-06-05 | 2020-10-02 | 中国农业大学 | 基于复杂事件处理的温室自动控制方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1477811A (zh) * | 2003-07-11 | 2004-02-25 | 北京邮电大学 | 一种网络入侵行为和正常行为的形式化描述方法 |
CN101399672A (zh) * | 2008-10-17 | 2009-04-01 | 章毅 | 一种多神经网络融合的入侵检测方法 |
CN101408917A (zh) * | 2008-10-22 | 2009-04-15 | 厦门市美亚柏科资讯科技有限公司 | 应用程序行为合法性检测方法及系统 |
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1477811A (zh) * | 2003-07-11 | 2004-02-25 | 北京邮电大学 | 一种网络入侵行为和正常行为的形式化描述方法 |
CN101399672A (zh) * | 2008-10-17 | 2009-04-01 | 章毅 | 一种多神经网络融合的入侵检测方法 |
CN101408917A (zh) * | 2008-10-22 | 2009-04-15 | 厦门市美亚柏科资讯科技有限公司 | 应用程序行为合法性检测方法及系统 |
Non-Patent Citations (2)
Title |
---|
柳强.基于ECA的模糊CCC神经网络控制及其在锅炉中的应用.硕士学位论文. 2007,全文. * |
魏延.主动模糊数据库中的事件与规则.重庆师范学院学报(自然科学版). 2002, 19(4)全文. * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105758403B (zh) * | 2016-01-06 | 2018-12-14 | 东南大学 | 一种基于Vague集模糊推理的地磁图适配性的综合评价方法 |
CN109598128A (zh) * | 2018-12-11 | 2019-04-09 | 郑州云海信息技术有限公司 | 一种扫描检查的方法及装置 |
CN110505247A (zh) * | 2019-09-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
CN111736492A (zh) * | 2020-06-05 | 2020-10-02 | 中国农业大学 | 基于复杂事件处理的温室自动控制方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ge et al. | Resilient and secure remote monitoring for a class of cyber-physical systems against attacks | |
Shin et al. | Advanced probabilistic approach for network intrusion forecasting and detection | |
Erez et al. | Control variable classification, modeling and anomaly detection in Modbus/TCP SCADA systems | |
CN103746961B (zh) | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 | |
CN100463461C (zh) | 主动式网络安全漏洞检测器 | |
Xu et al. | Alert correlation through triggering events and common resources | |
CN101626322B (zh) | 网络行为异常检测方法及系统 | |
CN110213226B (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
CN101635658B (zh) | 网络失窃密行为的异常检测方法及系统 | |
CN102333307A (zh) | 一种基于主观信念的无线传感器网络信任评估方法 | |
CN104899513A (zh) | 一种工业控制系统恶意数据攻击的数据图检测方法 | |
EP3480998B1 (en) | Operation method and security chip | |
CN114357459A (zh) | 一种面向区块链系统的信息安全检测方法 | |
CN103036743B (zh) | 一种窃密木马的tcp心跳行为的检测方法 | |
Hendry et al. | Intrusion signature creation via clustering anomalies | |
CN102158372A (zh) | 一种分布式系统异常检测方法 | |
CN103748983B (zh) | 一种基于模糊eca规则的网络攻击知识表达与推理方法 | |
CN107277070A (zh) | 一种计算机网络入侵防御系统及入侵防御方法 | |
CN108924129A (zh) | 一种基于计算机网络入侵防御系统及入侵防御方法 | |
Zhao et al. | Compound attack prediction method based on improved algorithm of hidden Markov model | |
Barsha et al. | Anomaly Detection in SCADA Systems: A State Transition Modeling | |
CN105554041A (zh) | 一种检测基于流表超时机制的分布式拒绝服务攻击的方法 | |
Lee et al. | Rail system anomaly detection via machine learning approaches | |
CN118432943B (zh) | 一种电力物联网信息安全风险评估方法及系统 | |
CN104933357A (zh) | 一种基于数据挖掘的洪泛攻击检测系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GR03 | Grant of secret patent right | ||
DC01 | Secret patent status has been lifted |