CN106453417A - 一种基于近邻相似性的网络攻击目标预测方法 - Google Patents

Abstract

本发明公开了一种基于近邻相似性的网络攻击目标预测方法。目前的威胁预测方法都是针对攻击行为进行预测和分析，没有对进一步的攻击目标进行预测。本发明采用的技术方案为：首先，进行安全事件预处理，进行归一化处理，去除冗余及误报；然后，将预处理后的安全事件，通过与事先定义好的规则库匹配，进行关联分析，重构攻击场景；最后，通过对攻击目标的主机地址、开放端口以及操作系统与近邻主机的这些属性相似性进行计算，实现对下一步网络攻击目标的预测。本发明为管理员准备应对策略提供根据，实现对网络攻击的预测功能，提升了网络整体安全性。

Description

一种基于近邻相似性的网络攻击目标预测方法

技术领域

本发明属于网络安全领域，具体地说是一种基于近邻相似性的网络攻击目标预测方法。

背景技术

现有网络环境中部署的安全产品，如防火墙、入侵检测系统等从不同角度帮助管理员识别网络攻击、理解网络安全状态。但当这些产品被部署到网络中后，也引入了一系列新的问题，例如：多源安全产品日志语义和表达方式各异；大量安全报警使管理员无法识别出真正的攻击等等。很多研究者通过构建攻击模型的方式进行报警关联分析，通过事先定义好的规则库对报警进行关联，从而挖掘潜在的威胁情报，把控整体安全态势。然而这种方法只能掌握当前网络安全状况，却不能实现对下一步攻击目标的预测，网络管理员把握不了攻击的发展趋势，无法提前准备好应对策略。因此，如何通过已掌握的当前网络安全状况，结合威胁情报的发生规律，对接下来的威胁进行准确预测，使得管理员及时作出应对策略是目前亟待解决的问题。

经对现有文献的检索发现，哈尔滨工程大学的赖积保等人2006年发表在《计算机研究与发展》上的文章《网络安全态势感知模型研究》，提出了基于灰色理论的简单加权网络安全态势感知模型，以预测未来态势和未来有可能受到的威胁程度；韩伟红、隋品波、贾焰在2012年《第27次全国计算机安全学术交流会》的文章《大规模网络安全态势分析与预测系统YHSAS》中，提出了关于规则的多维交叉关联技术，用树形规则来描述攻击步骤之间的关系，并引入多维交叉关联进行报警聚合、确认，并与基于数据流和在线分析技术进行大规模网络安全态势分析与预测；管磊等人2016年发表在《保密科学技术》的文章《基于大数据技术的网络安全态势感知平台研究》中，引入对网络态势感知数据分析，建立关键的攻击树推理模型的方法实现对网络安全数据采集、处理、分析、报警和预判等。然而这些文献中提到的威胁预测方法都是针对攻击行为进行预测和分析，没有对进一步的攻击目标进行预测，因此得到的预测结果不够完善，限制了管理员更好地做出应对策略。

发明内容

本发明所要解决的技术问题是克服上述现有技术存在的缺陷，提供一种基于近邻相似性的网络攻击目标预测方法，其目的在于预测网络攻击目标，利用已有的关联分析技术重构攻击场景后，通过近邻相似性即结合网络拓扑、开放端口等属性相似度的计算，对接下来的攻击目标进行预测，为管理员准备应对策略提供依据，提升网络整体安全性。

为实现上述目的，本发明采用如下的技术方案：一种基于近邻相似性的网络攻击目标预测方法，首先，进行安全事件预处理，进行归一化处理，去除冗余及误报；然后，将预处理后的安全事件，通过与事先定义好的规则库匹配，进行关联分析，重构攻击场景；最后，通过对攻击目标的主机地址、开放端口以及操作系统与近邻主机的这些属性相似性进行计算，实现对下一步网络攻击目标的预测。

进一步地，本发明包括以下具体步骤：

1)网络安全事件采集与预处理

采集海量异构网络安全事件，并对其进行规范化处理，按照安全事件的事件源编号(plugin_id)，事件类型(plugin_sid)，事件时间戳(timestamp)，源地址(src_ip)，目的地址(dest_ip)，源端口(src_port)，目的端口(dest_port)和协议(protocol)进行规范化；

对于实时采集的网络安全事件，在滑动时间窗口T内，计算两两安全事件相关属性(plugin_id，plugin_sid，src_ip，dest_ip，src_port，dest_port)的相似度，并将各属性相似度求和，若这些安全事件的相似度大于预先设定的阈值A，则对其进行归并与聚合；

2)入侵攻击场景的重构与建立

通过对预处理后的安全事件进行融合与分析，根据关联分析技术，基于规则库，将这些孤立的、低级的安全事件关联起来，利用各攻击产生的前提与造成的结果间隐含的因果关系，采用攻击图模型，重构出入侵者当前的攻击步骤及步骤间时序关系，建立已发生的多步骤攻击场景G＝{V，E}，其中结点集合为V，边的集合为E，E为攻击场景中安全事件的集合，V为攻击场景中安全事件对应的攻击目标的集合；

3)网络攻击目标的预测与分析

根据规则库，将入侵攻击场景的构建是否完整，按照不完备的攻击场景、完备的攻击场景两种情况实现对攻击目标的预测与分析。

更进一步地，不完备的攻击场景实现对攻击目标的预测与分析的内容如下：

若已发生的多步骤攻击场景不完备，基于已发生的攻击场景的最后一步安全事件e，预测下一步可能的网络攻击目标；基于规则库，得到该安全事件e可能的后果事件集合E_con＝{e₁，e₂，e₃，...e_i...}及与这些事件相关联的漏洞信息VE＝{ve₁，ve₂，ve₃，...ve_i...}，其中漏洞信息ve_i对应于事件e_i；基于网络拓扑结构，找出与该安全事件e对应的dest_ip具有信任关系的主机集合H＝{h₁，h₂，h₃，...h_j...}及每个主机的漏洞信息VH＝{vh₁，vh₂，vh₃，...vh_j...}，

对于h_j∈H的每个主机，计算其漏洞信息vh_j与的ve_i相似度S(ve_i，vh_j)：

计算主机集合H中的漏洞信息与后果事件集合E_con相关联的漏洞信息是否相似，若S(ve_i，vh_j)大于等于1，则下一步的攻击目标为该漏洞信息对应的主机h_j，安全事件为ve_k对应的事件e_k；若没有，则跳过。

更进一步地，完备的攻击场景实现对攻击目标的预测与分析的内容如下：

若已发生攻击场景完备，即该多步骤攻击场景已经完成，基于该攻击场景的安全事件e，预测下一步可能的网络攻击目标；

计算与该攻击场景的安全事件e对应的目的主机dest_ip具有近邻相似性的目标主机，寻找相同网段内其他主机集合H＝{h₁，h₂，h₃，...h_i，...}，对于h_i∈H的每个主机，计算其与该dest_ip在IP地址、开放端口和操作系统上的相似性，其中S代表相似度值，ip_t、port_t、os_t分别代表目的主机IP、开放端口、操作系统，ip_i、port_i、os_i代表H＝{h₁，h₂，h₃，...h_i，...}集合中主机h_i的这些属性。

再进一步地，IP地址相似度的计算公式如下：

再进一步地，开放端口相似度的计算公式如下：

再进一步地，操作系统相似度的计算公式如下：

主机h_i与主机h_t总相似度为：其δ_k为各个属性相似度的权值，若总相似度S大于阈值，S为攻击目标为h_i的可能性。

本发明具有的有益效果在于：通过利用已有的关联分析技术重构攻击场景后，通过近邻相似性即结合主机地址、开放端口等属性相似度的计算，对接下来的攻击目标进行预测，为管理员准备应对策略提供根据，实现对网络攻击的预测功能，提升了网络整体安全性。

附图说明

图1为本发明的流程图。

图2为本发明各主机的关系图。

具体实施方式

以下结合实施例对本发明的技术方案作进一步详细说明。以下实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和过程，但本发明的保护范围不限于下述的实施例。

为了更好的理解本实施例提出的方法，选取一个安装了入侵检测设备的网络下的五台主机H1、H2、H3、H4、H5、H6。其中H1与H3、H5、H6具有信任关系，H2与H1、H3、H6具有信任关系，见下表。H4、H2、H1是一次完整攻击中涉及到的三个主机，其连接关系图如主机关系图(图2)所示。

攻击路径	H4->H2->H1
		信任关系	H2->H1,H3,H6
信任关系	H1->H3,H5,H6

如本发明的流程图(图1)所示，本实施例的具体实施步骤如下：

1.安全事件预处理

采集网络中的海量异构网络安全事件e1、e2、e3，并对其进行规范化处理，按照安全事件的事件源编号(plugin_id)，事件类型(plugin_sid)，事件时间戳(timestamp)，源地址(src_ip)，目的地址(dest_ip)，源端口(src_port)，目的端口(dest_port)，协议(protocol)等属性进行规范化；

在滑动时间窗口T内，计算两两安全事件上述相关属性的相似度，并将各属性相似度求和，若这些安全事件的相似度大于预先设定的阈值A，则对其进行归并与聚合。

2.攻击场景的重构

通过对预处理后的安全事件进行融合与分析，根据关联分析技术，基于规则库，将这些孤立的、低级的安全事件关联起来，利用各攻击产生的前提与造成的结果间隐含的因果关系，采用攻击图模型，重构出入侵者当前的攻击步骤及步骤间时序关系为H4->H2->H1，建立已发生的多步骤攻击场景G＝{V，E}。其中V表示攻击场景边的集合，E表示攻击场景中事件的集合。

3.攻击目标的预测

根据规则库，将入侵攻击场景的构建是否完整，按照不完备的攻击场景，完备的攻击场景两种情况实现对攻击目标的预测与分析。

3.1不完备的攻击场景

若已发生的多步骤攻击场景不完备，基于已发生的攻击场景H4->H2的最后一步安全事件e，预测下一步可能的网络攻击目标H1；基于规则库，推测出该安全事件可能的后果事件集合为E_con＝{e₁，e₂，e₃}，每个事件相关联的漏洞信息,即存在漏洞的服务为VE＝{ve₁，ve₂，ve₃}；基于网络拓扑结构，找出与安全事件为e的主机H2具有信任关系的主机集合H＝{H₁，H₃，H₆}及两个主机的漏洞信息，即存在漏洞的服务VH＝{vh₁，vh₃，vh₆}。

漏洞信息相似度计算结果如下：

S(ve₁，vh₁)＝1，S(ve₁，vh₃)＝0，S(ve₁，vh₆)＝0

S(ve₂，vh₁)＝1，S(ve₂，vh₃)＝0，S(ve₂，vh₆)＝0

S(ve₃，vh₁)＝0，S(ve₃，vh₃)＝1，S(ve₃，vh₆)＝0

通过计算发现，信任主机集合中的漏洞信息V与后果事件集合相关联的漏洞信息U有相匹配的，由于S(ve₁，vh₁)＝1、S(ve₂，vh₁)＝1、S(ve₃，vh₃)＝1，即预测到H1、H3匹配，因此判定下一步的攻击目标为H1或H3；由于S(ve₁，vh₆)＝0、S(ve₂，vh₆)＝0、S(ve₃，vh₆)＝0，即预测到H6不匹配，于是跳过。

3.2完备的攻击场景

若已发生的攻击场景完备，该多步骤攻击场景已经结束为H4->H2->H1，基于该攻击场景的安全事件e，预测下一步可能的网络攻击目标；计算该攻击场景的安全事件e的目的H1具有近邻相似性的目标主机H，寻找相同网段内其他主机与其配置，漏洞等具备相似性的目标主机集合H＝{H3、H5、H6}；计算H3、H5、H6的IP、开放端口、操作系统的属性与H1的这些属性的相似性，其中S代表两个属性的相似度，ip₁、port₁、os₁代表H1的IP、开放端口、操作系统，ip₃、port₃、os₃，ip₅、port₅、os₅，ip₆、port₆、os₆代表H3、H5、H6的这些属性。

(1)IP地址相似度计算结果：

S(ip₃，ip₁)＝0.95，

S(ip₅，ip₁)＝0.73，

S(ip₆，ip₁)＝0.88，

(2)开放端口相似度计算：

S(port₃，port₁)＝0.94，

S(port₅，port₁)＝0.8，

S(port₆，port₁)＝0.86，

(3)操作系统相似度计算：

S(c₃，c₁)＝1，

S(c₅，c₁)＝1，

S(c₆，c₁)＝1，

另外，ip地址、端口、操作系统3各属性的权值分别为：

δ_k＝{0.4，0.3，0.3}

那么主机H3、H5、H6与主机H1总的相似度之和分别为：

S(H3，H1)＝0.962

S(H5，H1)＝0.832

S(H6，H1)＝0.91

设定阈值为0.9，则计算结果显示，主机H3、H6符合要求，因此判定H3、H6为预测的攻击目标，且可能性概率分别为：96.2％、91％。

Claims (7)

1.一种基于近邻相似性的网络攻击目标预测方法，其特征在于，首先，进行安全事件预处理，进行归一化处理，去除冗余及误报；然后，将预处理后的安全事件，通过与事先定义好的规则库匹配，进行关联分析，重构攻击场景；最后，通过对攻击目标的主机地址、开放端口以及操作系统与近邻主机的这些属性相似性进行计算，实现对下一步网络攻击目标的预测。

2.根据权利要求1所述的网络攻击目标预测方法，其特征在于，其包括以下具体步骤：

1)网络安全事件采集与预处理

采集海量异构网络安全事件，并对其进行规范化处理，按照安全事件的事件源编号，事件类型，事件时间戳，源地址，目的地址，源端口，目的端口和协议进行规范化；

对于实时采集的网络安全事件，在滑动时间窗口T内，计算两两安全事件相关属性的相似度，并将各属性相似度求和，若这些安全事件的相似度大于预先设定的阈值A，则对其进行归并与聚合；

2)入侵攻击场景的重构与建立

通过对预处理后的安全事件进行融合与分析，根据关联分析技术，基于规则库，将这些孤立的、低级的安全事件关联起来，利用各攻击产生的前提与造成的结果间隐含的因果关系，采用攻击图模型，重构出入侵者当前的攻击步骤及步骤间时序关系，建立已发生的多步骤攻击场景G＝{V，E}，其中结点集合为V，边的集合为E，E为攻击场景中安全事件的集合，V为攻击场景中安全事件对应的攻击目标的集合；

3)网络攻击目标的预测与分析

根据规则库，将入侵攻击场景的构建是否完整，按照不完备的攻击场景、完备的攻击场景两种情况实现对攻击目标的预测与分析。

3.根据权利要求2所述的网络攻击目标预测方法，其特征在于，不完备的攻击场景实现对攻击目标的预测与分析的内容如下：

若已发生的多步骤攻击场景不完备，基于已发生的攻击场景的最后一步安全事件e，预测下一步可能的网络攻击目标；基于规则库，得到该安全事件e可能的后果事件集合E_con＝{e₁，e₂，e₃，...e_i...}及与这些事件相关联的漏洞信息VE＝{ve₁，ve₂，ve₃，...ve_i...}，其中漏洞信息ve_i对应于事件e_i；基于网络拓扑结构，找出与该安全事件e对应的dest_ip具有信任关系的主机集合H＝{h₁，h₂，h₃，...h_j...}及每个主机的漏洞信息VH＝{vh₁，vh₂，vh₃，...vh_j...}，

对于h_j∈H的每个主机，计算其漏洞信息vh_j与的ve_i相似度S(ve_i，vh_j)：

$S({\mathrm{ve}}_i,{\mathrm{vh}}_j)=\left\{\begin{array}{c}1,{\mathrm{ve}}_i={\mathrm{vh}}_j\\ 0,{\mathrm{ve}}_i\≠{\mathrm{vh}}_j\end{array}\right.,{\mathrm{ve}}_i\∈VE,{\mathrm{vh}}_j\∈VH$

计算主机集合H中的漏洞信息与后果事件集合E_con相关联的漏洞信息是否相似，若S(ve_i，vh_j)大于等于1，则下一步的攻击目标为该漏洞信息对应的主机h_j，安全事件为ve_k对应的事件e_k；若没有，则跳过。

4.根据权利要求2所述的网络攻击目标预测方法，其特征在于，完备的攻击场景实现对攻击目标的预测与分析的内容如下：

若已发生攻击场景完备，即该多步骤攻击场景已经完成，基于该攻击场景的安全事件e，预测下一步可能的网络攻击目标；

计算与该攻击场景的安全事件e对应的目的主机dest_ip具有近邻相似性的目标主机，寻找相同网段内其他主机集合H＝{h₁，h₂，h₃，...h_i，...}，对于h_i∈H的每个主机，计算其与该dest_ip在IP地址、开放端口和操作系统上的相似性，其中S代表相似度值，ip_t、port_t、os_t分别代表目的主机IP、开放端口、操作系统，ip_i、port_i、os_i代表H＝{h₁，h₂，h₃，...h_i，...}集合中主机h_i的这些属性。

5.根据权利要求4所述的网络攻击目标预测方法，其特征在于，所述IP地址相似度的计算公式如下：

$S({\mathrm{ip}}_i,{\mathrm{ip}}_t)=\left\{\begin{array}{c}1,{\mathrm{ip}}_i={\mathrm{ip}}_t\\ 1-\frac{|{\mathrm{ip}}_i-{\mathrm{ip}}_t|}{4294967295},{\mathrm{ip}}_i\≠{\mathrm{ip}}_t\end{array}\right.,{\mathrm{ip}}_i,{\mathrm{ip}}_t\∈\[0,4294967295\].$

6.根据权利要求4所述的网络攻击目标预测方法，其特征在于，所述开放端口相似度的计算公式如下：

$S\left({\mathrm{port}}_i,{\mathrm{port}}_t\right)=\left\{\begin{array}{c}1,{\mathrm{port}}_i={\mathrm{port}}_t\\ 1-\frac{|{\mathrm{port}}_i-{\mathrm{port}}_t|}{65535},{\mathrm{port}}_i\≠{\mathrm{port}}_t\end{array}\right.,{\mathrm{port}}_i,{\mathrm{port}}_t\∈\[0,65535\].$

7.根据权利要求4所述的网络攻击目标预测方法，其特征在于，所述操作系统相似度的计算公式如下：

$S({\mathrm{os}}_i,{\mathrm{os}}_t)=\left\{\begin{array}{c}1,{\mathrm{os}}_i={\mathrm{os}}_t\\ 0,{\mathrm{os}}_i\≠{\mathrm{os}}_t\end{array}\right.,$

主机h_i与主机h_t总相似度为：其中为各个属性相似度的权值，若总相似度S大于阈值，S为攻击目标为h_i的可能性。