CN107770168A - 基于攻击链马尔科夫决策过程的低误报率ids/ips - Google Patents
基于攻击链马尔科夫决策过程的低误报率ids/ips Download PDFInfo
- Publication number
- CN107770168A CN107770168A CN201710968878.8A CN201710968878A CN107770168A CN 107770168 A CN107770168 A CN 107770168A CN 201710968878 A CN201710968878 A CN 201710968878A CN 107770168 A CN107770168 A CN 107770168A
- Authority
- CN
- China
- Prior art keywords
- attack
- chain
- stage
- ips
- false alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/18—Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- General Engineering & Computer Science (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- Computational Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Operations Research (AREA)
- Probability & Statistics with Applications (AREA)
- Evolutionary Biology (AREA)
- Algebra (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明给出了一种基于攻击链马尔科夫决策过程的低误报率DS/IPS,针对攻击链中各个阶段的攻击行为分析,根据分析结果做出攻击概率的决策判断,其特征是:以攻击链中各个阶段的攻击行为作为基础建立马尔科夫模型;对攻击中各个阶段的攻击行为赋予关联值;基于马尔科夫模型和关联概率计算攻击概率;攻击概率通过指定的边界值做出相关决策判断。
Description
技术领域
本发明涉及一种网络安全方法,尤其是一种基于攻击链马尔科夫决策过程的低误报率IDS/IPS。
背景技术
网络是现在社会的重要构成部分,但是网络安全面临着诸多的安全威胁,如:漏洞探测、黑客入侵、蠕虫、木马等危险行为;越权数据库访问和相关操作,导致敏感信息泄露或关键数据被恶意篡改;网站易遭受SQL注入、XSS脚本针对性攻击行为等。而这些网络安全攻击的自动检测与防护大量依赖于IDS/IPS等自动检测工具。
但是,现有的IPS/IDS主要通过分析引擎的特征库判断收集到的网络数据是否是网络攻击,但是这种判断会有误报,而误报率高的IDS/IPS会降低用户对产品的信心或者加入人工的验证,从而增加用户的运维成本,并限制这些工具在实际应用的作用。
在杂志《电信工程技术与标准化》(第28卷总第219期)的中国移动网络与信息安全专题中公开的一种基于APT攻击链的网络安全态势感知一文中,公开了现有技术中的针对网络攻击的相关预测方法一般都是如灰色理论、时间序列分析、神经网络和支持向量机等。
发明内容
本发明要解决的技术问题是提供一种基于攻击链马尔科夫决策过程的低误报率IDS/IPS。
为解决上述技术问题,本发明提供一种基于攻击链马尔科夫决策过程的低误报率IDS/IPS,针对攻击链中各个阶段的攻击行为分析,根据分析结果做出攻击概率的决策判断,其特征是:以攻击链中各个阶段的攻击行为作为基础建立马尔科夫模型;对攻击中各个阶段的攻击行为赋予关联值;基于马尔科夫模型和关联概率计算攻击概率;攻击概率通过指定的边界值做出相关决策判断。
作为对本发明所述的基于攻击链马尔科夫决策过程的低误报率IDS/IPS的进一步改进:所述马尔科夫模型深度为六层,每一层的节点代表一个属于对应的攻击阶段的一种具体攻击,每个节点包含两种有向边,每个有向边具有一个关联值。
作为对本发明所述的基于攻击链马尔科夫决策过程的低误报率IDS/IPS的进一步改进:所述马尔科夫模型中,第一层为根结点;第二到六层分别代表不同攻击阶段。
作为对本发明所述的基于攻击链马尔科夫决策过程的低误报率IDS/IPS的进一步改进:所述有向边为同层边和下层边;所述同层边代表同一阶段的两种攻击的关联性;所述下层边代表两阶段攻击的关联性。
作为对本发明所述的基于攻击链马尔科夫决策过程的低误报率IDS/IPS的进一步改进:所述同层边中,开始节点是代表先进行的攻击;终点节点代表后续的攻击。
作为对本发明所述的基于攻击链马尔科夫决策过程的低误报率IDS/IPS的进一步改进:所述下层边中,开始节点代表攻击链先期阶段的攻击;终结节点代表攻击链后期阶段的攻击。
作为对本发明所述的基于攻击链马尔科夫决策过程的低误报率IDS/IPS的进一步改进:所述第一层根节点只有下层边连接每一个二层节点。
作为对本发明所述的基于攻击链马尔科夫决策过程的低误报率IDS/IPS的进一步改进:所述关联概率的计算方法如下:第一层根节点的每个下层边的关联值都是1;第二到六层的节点的关联值由贝叶斯模型对现有攻击数据进行机器学习取得。
作为对本发明所述的基于攻击链马尔科夫决策过程的低误报率IDS/IPS的进一步改进:所述关联值代表先期攻击与后期攻击的关联程度。
作为对本发明所述的基于攻击链马尔科夫决策过程的低误报率IDS/IPS的进一步改进:所述攻击概率的计算方法如下:检测到的攻击链事件数量;p1…pn:每一个攻击链事件的关联值;p:攻击发生的概率;所述攻击的概率小于指定边界值时,发出报警;所述攻击链中各个阶段包括探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段和恶意行为阶段。
本发明给出一种新型的攻击概率计算方法,该攻击概率计算方法是在行为识别的基础上,利用构成攻击链的攻击类型进行马尔科夫决策过程(Markov DecisionProcesses,MDPs)模型而完成的;
通过本发明的这种计算方法,可以明显的提高判断攻击的准确率,从而降低误报率。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细说明。
图1是本发明的步骤示意图。
具体实施方式
实施例1、图1给出一种基于攻击链的基于攻击链马尔科夫决策过程的低误报率IDS/IPS。
本文中的新型规则攻击分类为探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段和恶意行为阶段五个攻击阶段。该五个攻击阶段即为本文中所述的攻击链。而本发明所述的相关基于攻击链马尔科夫决策过程的低误报率IDS/IPS也是基于该攻击链实现的。
针对以上所述的攻击链,本发明的实现方法如下:
S01针对网络攻击类型进行攻击行为数据收集,并通过该行为数据为基础建立马尔科夫模型;该模型如下:
马尔科夫模型深度为六层,其中,第一层为根结点;第二到六层分别代表不同攻击阶段,如探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段和恶意行为阶段。
每一层的节点代表一个属于对应的攻击阶段的一种具体攻击,每个节点包含两种有向边,分别为同层边和下层边;
其中,同层边代表同一阶段的两种攻击的关联性;且在该同层边中,开始节点是代表先进行的攻击,终点节点代表后续的攻击。
下层边代表两阶段攻击的关联性;且在该下层边中,开始节点代表攻击链先期阶段的攻击;终结节点代表攻击链后期阶段的攻击。
第一层根节点只有下层边连接每一个二层节点。
每个有向边具有一个关联值,该关联值(关联概率)代表先期攻击与后期攻击的关联程度。
S02对攻击中各个阶段的攻击行为赋予关联概率。
其中,第一层根节点的每个下层边的关联值都是1;第二到六层的节点的关联值由贝叶斯模型对现有攻击数据进行机器学习取得。
S03基于马尔科夫模型和关联概率计算攻击概率;攻击概率的计算方法如下:
其中,n为检测到的攻击链事件数量;p1…pn为每一个攻击链事件的关联值;p为攻击发生的概率。
S04攻击概率通过指定的边界值做出相关决策判断。
S05攻击的概率小于指定边界值时,发出报警。
攻击链中每一个阶段具有不同的攻击方法,但是不同阶段的攻击方法是关联的,例如对网站的探测扫描成功之后,随之而来的是Web应用的渗透攻击,而对网络端口扫描成功之后,后续的攻击通常是基于网络层的。本发明将各个阶段的攻击行为进行关联,赋予关联概率。在此概率的基础上,形成检测攻击的马尔科夫决策过程模型,并以此模型计算攻击的概率进行决策判断,从而提高IDS/IPS的检测成功率,进而降低误报率。
最后,还需要注意的是,以上列举的仅是本发明的一个具体实施例。显然,本发明不限于以上实施例,还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (10)
1.一种基于攻击链马尔科夫决策过程的低误报率IDS/IPS,针对攻击链中各个阶段的攻击行为分析,根据分析结果做出攻击概率的决策判断,其特征是:以攻击链中各个阶段的攻击行为作为基础建立马尔科夫模型;
对攻击中各个阶段的攻击行为赋予关联值;
基于马尔科夫模型和关联概率计算攻击概率;
攻击概率通过指定的边界值做出相关决策判断。
2.根据权利要求1所述的基于攻击链马尔科夫决策过程的低误报率IDS/IPS,其特征是:所述马尔科夫模型深度为六层,每一层的节点代表一个属于对应的攻击阶段的一种具体攻击,每个节点包含两种有向边,每个有向边具有一个关联值。
3.根据权利要求2所述的基于攻击链马尔科夫决策过程的低误报率IDS/IPS,其特征是:所述马尔科夫模型中,第一层为根结点;
第二到六层分别代表不同攻击阶段。
4.根据权利要求2所述的基于攻击链的基于攻击链马尔科夫决策过程的低误报率IDS/IPS,其特征是:所述有向边为同层边和下层边;
所述同层边代表同一阶段的两种攻击的关联性;
所述下层边代表两阶段攻击的关联性。
5.根据权利要求4所述的基于攻击链的基于攻击链马尔科夫决策过程的低误报率IDS/IPS,其特征是:所述同层边中,开始节点是代表先进行的攻击;
终点节点代表后续的攻击。
6.根据权利要求4所述的基于攻击链的基于攻击链马尔科夫决策过程的低误报率IDS/IPS,其特征是:所述下层边中,开始节点代表攻击链先期阶段的攻击;
终结节点代表攻击链后期阶段的攻击。
7.根据权利要求2所述的基于攻击链的基于攻击链马尔科夫决策过程的低误报率IDS/IPS,其特征是:所述第一层根节点只有下层边连接每一个二层节点。
8.根据权利要求1所述的基于攻击链的基于攻击链马尔科夫决策过程的低误报率IDS/IPS,其特征是:所述关联概率的计算方法如下:
第一层根节点的每个下层边的关联值都是1;
第二到六层的节点的关联值由贝叶斯模型对现有攻击数据进行机器学习取得。
9.根据权利要求8所述的基于攻击链的基于攻击链马尔科夫决策过程的低误报率IDS/IPS,其特征是:所述关联值代表先期攻击与后期攻击的关联程度。
10.根据权利要求1所述的基于攻击链的基于攻击链马尔科夫决策过程的低误报率IDS/IPS,其特征是:所述攻击概率的计算方法如下:
<mrow>
<mi>p</mi>
<mo>=</mo>
<mfrac>
<mn>1</mn>
<mrow>
<mo>(</mo>
<mi>p</mi>
<mn>1</mn>
<mo>*</mo>
<mi>p</mi>
<mn>2</mn>
<mo>...</mo>
<mo>*</mo>
<mi>p</mi>
<mi>n</mi>
<mo>)</mo>
<mo>(</mo>
<mi>n</mi>
<mo>-</mo>
<mn>1</mn>
<mo>)</mo>
</mrow>
</mfrac>
</mrow>
n:检测到的攻击链事件数量;p1…pn:每一个攻击链事件的关联值;p:攻击发生的概率;
所述攻击的概率小于指定边界值时,发出报警;
所述攻击链中各个阶段包括探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段和恶意行为阶段。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710968878.8A CN107770168A (zh) | 2017-10-18 | 2017-10-18 | 基于攻击链马尔科夫决策过程的低误报率ids/ips |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710968878.8A CN107770168A (zh) | 2017-10-18 | 2017-10-18 | 基于攻击链马尔科夫决策过程的低误报率ids/ips |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107770168A true CN107770168A (zh) | 2018-03-06 |
Family
ID=61269645
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710968878.8A Pending CN107770168A (zh) | 2017-10-18 | 2017-10-18 | 基于攻击链马尔科夫决策过程的低误报率ids/ips |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107770168A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108418843A (zh) * | 2018-06-11 | 2018-08-17 | 中国人民解放军战略支援部队信息工程大学 | 基于攻击图的网络攻击目标识别方法及系统 |
| CN108536776A (zh) * | 2018-03-28 | 2018-09-14 | 广州厚云信息科技有限公司 | 一种社交网络中的统一用户恶意行为检测方法和系统 |
| CN109617885A (zh) * | 2018-12-20 | 2019-04-12 | 北京神州绿盟信息安全科技股份有限公司 | 攻陷主机自动判定方法、装置、电子设备及存储介质 |
| CN110120836A (zh) * | 2019-03-26 | 2019-08-13 | 中国人民武装警察部队工程大学 | 一种多域光网络串扰攻击检测节点确定及定位方法 |
| CN110602042A (zh) * | 2019-08-07 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 基于级联攻击链模型的apt攻击行为分析检测方法及装置 |
| CN112422573A (zh) * | 2020-11-19 | 2021-02-26 | 北京天融信网络安全技术有限公司 | 攻击路径还原方法、装置、设备及存储介质 |
| CN113315742A (zh) * | 2020-02-27 | 2021-08-27 | 华为技术有限公司 | 攻击行为检测方法、装置及攻击检测设备 |
| US11418533B2 (en) | 2020-04-20 | 2022-08-16 | Prince Mohammad Bin Fahd University | Multi-tiered security analysis method and system |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516073A (zh) * | 2014-10-20 | 2016-04-20 | 中国银联股份有限公司 | 网络入侵防御方法 |
| CN105939319A (zh) * | 2015-11-25 | 2016-09-14 | 北京匡恩网络科技有限责任公司 | 一种基于马尔科夫链模拟的网络安全分析方法 |
-
2017
- 2017-10-18 CN CN201710968878.8A patent/CN107770168A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516073A (zh) * | 2014-10-20 | 2016-04-20 | 中国银联股份有限公司 | 网络入侵防御方法 |
| CN105939319A (zh) * | 2015-11-25 | 2016-09-14 | 北京匡恩网络科技有限责任公司 | 一种基于马尔科夫链模拟的网络安全分析方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108536776A (zh) * | 2018-03-28 | 2018-09-14 | 广州厚云信息科技有限公司 | 一种社交网络中的统一用户恶意行为检测方法和系统 |
| CN108418843A (zh) * | 2018-06-11 | 2018-08-17 | 中国人民解放军战略支援部队信息工程大学 | 基于攻击图的网络攻击目标识别方法及系统 |
| CN108418843B (zh) * | 2018-06-11 | 2021-06-18 | 中国人民解放军战略支援部队信息工程大学 | 基于攻击图的网络攻击目标识别方法及系统 |
| CN109617885B (zh) * | 2018-12-20 | 2021-04-16 | 北京神州绿盟信息安全科技股份有限公司 | 攻陷主机自动判定方法、装置、电子设备及存储介质 |
| CN109617885A (zh) * | 2018-12-20 | 2019-04-12 | 北京神州绿盟信息安全科技股份有限公司 | 攻陷主机自动判定方法、装置、电子设备及存储介质 |
| CN110120836A (zh) * | 2019-03-26 | 2019-08-13 | 中国人民武装警察部队工程大学 | 一种多域光网络串扰攻击检测节点确定及定位方法 |
| CN110602042A (zh) * | 2019-08-07 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 基于级联攻击链模型的apt攻击行为分析检测方法及装置 |
| CN110602042B (zh) * | 2019-08-07 | 2022-04-29 | 中国人民解放军战略支援部队信息工程大学 | 基于级联攻击链模型的apt攻击行为分析检测方法及装置 |
| CN113315742A (zh) * | 2020-02-27 | 2021-08-27 | 华为技术有限公司 | 攻击行为检测方法、装置及攻击检测设备 |
| WO2021169293A1 (zh) * | 2020-02-27 | 2021-09-02 | 华为技术有限公司 | 攻击行为检测方法、装置及攻击检测设备 |
| CN113315742B (zh) * | 2020-02-27 | 2022-08-09 | 华为技术有限公司 | 攻击行为检测方法、装置及攻击检测设备 |
| US11418533B2 (en) | 2020-04-20 | 2022-08-16 | Prince Mohammad Bin Fahd University | Multi-tiered security analysis method and system |
| CN112422573A (zh) * | 2020-11-19 | 2021-02-26 | 北京天融信网络安全技术有限公司 | 攻击路径还原方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107770168A (zh) | 基于攻击链马尔科夫决策过程的低误报率ids/ips | |
| CN108718310B (zh) | 基于深度学习的多层次攻击特征提取及恶意行为识别方法 | |
| CN107241352B (zh) | 一种网络安全事件分类与预测方法及系统 | |
| CN114172701B (zh) | 基于知识图谱的apt攻击检测方法及装置 | |
| US20180288084A1 (en) | Method and device for automatically establishing intrusion detection model based on industrial control network | |
| CN109922065B (zh) | 恶意网站快速识别方法 | |
| CN105072089A (zh) | 一种web恶意扫描行为异常检测方法与系统 | |
| CN105871882A (zh) | 基于网络节点脆弱性和攻击信息的网络安全风险分析方法 | |
| Garg et al. | Profiling users in GUI based systems for masquerade detection | |
| CN102790700A (zh) | 一种识别网页爬虫的方法和装置 | |
| CN107392016A (zh) | 一种基于代理的Web数据库攻击行为检测系统 | |
| CN102567546B (zh) | 一种sql注入检测方法及装置 | |
| CN106549959B (zh) | 一种代理网际协议ip地址的识别方法及装置 | |
| CN102045358A (zh) | 一种基于整合相关性分析与分级聚类的入侵检测方法 | |
| Aghaei et al. | Threatzoom: neural network for automated vulnerability mitigation | |
| CN111614616A (zh) | 一种xss攻击自动检测方法 | |
| CN105989287A (zh) | 一种海量恶意样本同源性判定方法及系统 | |
| CN116405246A (zh) | 一种基于攻防结合的漏洞利用链构建技术 | |
| CN110138758A (zh) | 基于域名词汇的误植域名检测方法 | |
| TW202112110A (zh) | 攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體 | |
| CN106169050A (zh) | 一种基于网页知识发现的PoC程序提取方法 | |
| CN114745205A (zh) | 恶意代码对抗样本检测方法、系统及存储介质 | |
| Bai et al. | Dynamic k-gram based software birthmark | |
| CN101436210B (zh) | 一种识别假冒网页的方法及系统 | |
| CN107493259A (zh) | 一种网络安全控制系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180306 |