CN109194693A - 一种网络攻击模式图的生成方法 - Google Patents

Abstract

本发明涉及一种网络攻击模式图的生成方法，从原始入侵检测系统日志文件数据中使用过程挖掘工具获得攻击图，检查攻击图的复杂度，对攻击图进行分割，分割攻击图中的独立子图部分，分割攻击图的长距离环，检查分割子图的复杂度，补全子图的结构信息。本发明可在保留攻击土结构的基础上有效的减少攻击图复杂度，使得攻击图信息更便于网络管理员对入侵检测系统数据分析和进一步研究。

Description

一种网络攻击模式图的生成方法

技术领域

本发明涉及网络安全技术领域，特别是一种网络攻击模式图的生成方法。

背景技术

为保护信息安全，一些公司或政府组织往往选择部署IDS(Intrusion DetectionSystems，入侵检测系统)来监控系统和网络，收集可疑行为的警报。然而，IDS产生的巨量警报以及其信息等级过低导致对其的分析非常困难。因此，从IDS产生的警报日志中生产入侵攻击的攻击模式图对于理论与实际有着十分重要的作用。通过攻击模式图，可以极大提高网络安全管理员的管理效率，同时对入侵攻击的进一步分析有着十分重要的作用。

现有的网络攻击模式图的生产方法主要是通过网络攻击的先后顺序直接将攻击的步骤简单地连接在一起，生成一个巨大的攻击图后再进行分割处理。如Sean Alvarenga的等人的从巨大共计图中打散再从新连接的方式。这样的方式在处理攻击图时会耗费大量的时间用于将警报记录重新生成攻击图，同时，在打散重组的过程中会丢失大量的攻击信息，使得一些攻击模式在攻击图的构建过程中被丢失或破坏。

综上，现有的攻击模式图的生成方法在质量上和时间效率上有着很大的提升空间。对目前的网络安全情况，现有的方法需要得到有效的改进。

发明内容

有鉴于此，本发明的目的是提出一种网络攻击模式图的生成方法，可在保留攻击土结构的基础上有效地减少攻击图的复杂度，使得攻击图信息更便于网络管理员对入侵检测系统的数据分析和进一步研究。

本发明采用以下方案实现：一种网络攻击模式图的生成方法，包括以下步骤：

步骤S1：获取一段时间的网络入侵检测系统的日志数据，作为生成攻击图的输入数据；

步骤S2：对步骤S1获得的日志数据进行过程挖掘，得到一个包含所有攻击链的攻击图G；

步骤S3：计算攻击图G的复杂度，若攻击图G的复杂度大于指定阈值，则输出G；否则将G放入队列Q_s中，执行步骤S4；其中队列Q_s用于存放待分割的有向图，初始为空队列；

步骤S4：遍历队列Q_s，对队列中的每个有向图G，自顶向下寻找分支点V_split；

步骤S5：以分支点V_split作为分割的起始点，去除有向图G中的独立子图，然后将剩余以V_split为起始点的有向边加入到队列Q_e中，其中队列Q_e用于存放待遍历的以V_split为起始点的有向边，初始为空队列；

步骤S6：遍历队列Q_e，对遍历到的有向边e使用广度优先算法遍历并生成e的后继子图，对每个后继子图G_e，计算G_e复杂度，如果G_e不是复杂子图，将G_e加入输出队列Q_output中；否则将G_e加入队列Q_s；

步骤S7：判断队列Q_s是否为空，如果Q_s为空，转到步骤S8；否者转到步骤S4；

步骤S8：将Q_output中的有向图G，使用分支信息补全算法处理得到有向图G'，输出G'，即为攻击模式图。

进一步地，过程挖掘是通过从网络安全日志中提取知识，来发现和检测实际攻击过程，从而得到攻击者的攻击模式。步骤S2具体包括以下步骤：

步骤S21：将源数据按照IP地址分组，作为输入簇，将攻击事件标记为行为活动；

步骤S22：挖掘各个活动之间的依赖关系；

步骤S23：处理活动之间的AND/XOR-split/Join和不可见关系；

步骤S24：挖掘寻找活动之间的长距离依赖和自循环关系；

步骤S25：输出挖掘结果，即包含所有攻击链的攻击图G。

进一步地，步骤S3中，计算攻击图G的复杂度,具体包括以下步骤：

步骤S31：计算图G的顶点数和边数，利用顶点数和边数的关系计算复杂度；

步骤S32：设定两个阈值V_min和V_max，若图G的顶点个数|V|＜V_min,则图G为非复杂图；若图G的顶点个数|V|＞V_max，则图G为复杂图；若图G的顶点个数满足V_min＜|V|＜V_max，则计算图G的顶点集V与边集E大小的比值|V|/|E|，若比值大于指定阈值T₁，则图G是复杂图。

进一步地，步骤S4中，所述分支点定义为出度大于1的顶点，寻找分支点V_split的方法为：自顶向下遍历有向图G中的所有顶点，对遍历到的顶点v，检查顶点v的出度，若出度大于1，则该顶点v为分支点。

进一步地，所述步骤S5具体包括以下步骤：

步骤S51：获取分支点V_split的各个后继子图；其中，分支点V_split的后继子图定义为有向图G中，从以V_split为起始点的有向边e出发能遍历到的所有顶点和边构成的子图；

步骤S52：遍历V_split的后继子图，对遍历到的每个后继子图G_succ，判断G_succ是否是独立子图，若是，将G_succ加入队列Q_s中；若不是，将G_succ中以V_split为起始点的边e加入队列Q_e；

其中，判断V_split的后继子图G_succ是否是独立子图的条件为：有向边e的端点属于后继子图G_succ或为V_split本身；

步骤S53：遍历以V_split为起始点的边，判断有向边的权值是否小于阈值T₂，若小于T₂，则从队列Q_e中删除该边；

图中有向边的权值代表两个攻击步骤之前的依赖程度或关联程度，若有向边权值小于T₂，则认为该边对应的前后步骤的关联程度低。

进一步地，步骤S6中，所述遍历队列Q_e，对遍历到的边e使用广度优先算法遍历并生成e的后继子图包括以下步骤：

步骤S61：遍历队列Q_e，对遍历到的有向边e，以有向边e为起始，使用广度优先遍历算法遍历e的后继顶点和对应的有向边；

步骤S62：对遍历到的每个顶点，判断是否存在远距离环，若存在则去除远距离环，最后由遍历到的顶点和有向边生成后继子图G_e。

进一步地，步骤S62中，判断并去除远距离环的方法是：对遍历到的顶点v，若v∈G_e，则认为遍历到的顶点v为子图的顶点；若且v≠V_split，则认为顶点v为图外的顶点，遍历退回前一次访问的顶点且不将以v为终点的有向边纳入后继子图G_e中；若v＝V_split，遍历退回前一次访问的顶点，将以v为终点的有向边e加入子图G_e。

进一步地，步骤S8具体包括以下步骤：

步骤S81：将Q_output的队首元素出队列，记为G'，获取G'的起始点v_s；

步骤S82：检查顶点v_s的前驱顶点是否存在，若存在则纳入G'；

步骤S83：以广度优先算法遍历G'，对所有顶点v∈G'，检查以v为终点的有向边e和前驱顶点v_pred，若则将v_pred和以v为终点的有向边e加入G'；

步骤S84：输出攻击模式图G'；

步骤S85：重复步骤S81至步骤S84，直到Q_output为空。

与现有技术相比，本发明有以下有益效果：在保留攻击模式基础信息不变的前提下，既能减少攻击图生成过程中耗费的资源，又能够有效减少攻击图的规模，使得对其的研究和分析难度降低。

附图说明

图1为本发明实施例的方法流程示意图。

图2为本发明实施例的步骤S2示意图。

图3为本发明实施例的步骤S3示意图。

图4为本发明实施例的步骤S5示意图。

图5为本发明实施例的步骤S6示意图。

图6为本发明实施例的步骤S8示意图。

具体实施方式

下面结合附图及实施例对本发明做进一步说明。

应该指出，以下详细说明都是示例性的，旨在对本申请提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

如图1所示，本实施例提供了一种网络攻击模式图的生成方法，包括以下步骤：

步骤S1：获取一段时间的网络入侵检测系统的日志数据，作为生成攻击图的输入数据；

步骤S2：对步骤S1获得的日志数据进行过程挖掘，得到一个包含所有攻击链的攻击图G；

步骤S3：计算攻击图G的复杂度，若攻击图G的复杂度大于指定阈值，则输出G；否则将G放入队列Q_s中，执行步骤S4；其中队列Q_s用于存放待分割的有向图，初始为空队列；

步骤S4：遍历队列Q_s，对队列中的每个有向图G，自顶向下寻找分支点V_split；

步骤S5：以分支点V_split作为分割的起始点，去除有向图G中的独立子图，然后将剩余以V_split为起始点的有向边加入到队列Q_e中，其中队列Q_e用于存放待遍历的以V_split为起始点的有向边，初始为空队列；

步骤S6：遍历队列Q_e，对遍历到的有向边e使用广度优先算法遍历并生成e的后继子图，对每个后继子图G_e，计算G_e复杂度，如果G_e不是复杂子图，将G_e加入输出队列Q_output中；否则将G_e加入队列Q_s；

步骤S7：判断队列Q_s是否为空，如果Q_s为空，转到步骤S8；否者转到步骤S4；

步骤S8：将Q_output中的有向图G，使用分支信息补全算法处理得到有向图G'，输出G'，即为攻击模式图。

在本实施例中，过程挖掘是通过从网络安全日志中提取知识，来发现和检测实际攻击过程，从而得到攻击者的攻击模式。如图2所示，步骤S2具体包括以下步骤：

步骤S21：将源数据按照IP地址分组，作为输入簇，将攻击事件标记为行为活动；

步骤S22：挖掘各个活动之间的依赖关系；

步骤S23：处理活动之间的AND/XOR-split/Join和不可见关系；

步骤S24：挖掘寻找活动之间的长距离依赖和自循环关系；

步骤S25：输出挖掘结果，即包含所有攻击链的攻击图G。

在本实施例中，如图3所示，步骤S3中，计算攻击图G的复杂度具体包括以下步骤：

步骤S31：计算图G的顶点数和边数，利用顶点数和边数的关系计算复杂度；

步骤S32：设定两个阈值V_min和V_max，若图G的顶点个数|V|＜V_min,则图G为非复杂图；若图G的顶点个数|V|＞V_max，则图G为复杂图；若图G的顶点个数满足V_min＜|V|＜V_max，则计算图G的顶点集V与边集E大小的比值|V|/E|，若比值大于指定阈值T₁，则图G是复杂图。

在本实施例中，步骤S4中，所述分支点定义为出度大于1的顶点，寻找分支点V_split的方法为：自顶向下遍历有向图G中的所有顶点，对遍历到的顶点v，检查顶点v的出度，若出度大于1，则该顶点v为分支点。

在本实施例中，如图4所示，所述步骤S5具体包括以下步骤：

步骤S51：获取分支点V_split的各个后继子图；其中，分支点V_split的后继子图定义为有向图G中，从以V_split为起始点的有向边e出发能遍历到的所有顶点和边构成的子图；

步骤S52：遍历V_split的后继子图，对遍历到的每个后继子图G_succ，判断G_succ是否是独立子图，若是，将G_succ加入队列Q_s中；若不是，将G_succ中以V_split为起始点的有向边e加入队列Q_e；

其中，判断V_split的后继子图G_succ是否是独立子图的条件为：有向边e的端点属于后继子图G_succ或为V_split本身；

步骤S53：遍历以V_split为起始点的有向边，判断有向边的权值是否小于阈值T₂，若小于T₂，则从队列Q_e中删除该边；

图中有向边的权值代表两个攻击步骤之前的依赖程度或关联程度，若边权值小于T₂，则认为该边对应的前后步骤的关联程度低。

在本实施例中，如图5所示，步骤S6中，所述遍历队列Q_e，对遍历到的有向边e使用广度优先算法遍历并生成e的后继子图包括以下步骤：

步骤S61：遍历队列Q_e，对遍历到的有向边e，以有向边e为起始，使用广度优先遍历算法遍历e的后继顶点和对应的有向边；

步骤S62：对遍历到的每个顶点，判断是否存在远距离环，若存在则去除远距离环，最后由遍历到的顶点和有向边生成后继子图G_e。

在本实施例中，步骤S62中，判断并去除远距离环的方法是：对遍历到的顶点v，若v∈G_e，则认为遍历到的顶点v为子图的顶点；若且v≠V_split，则认为顶点v为图外的顶点，遍历退回前一次访问的顶点且不将以v为终点的有向边纳入后继子图G_e中；若v＝V_split，遍历退回前一次访问的顶点，将以v为终点的边e加入子图G_e。

在本实施例中，如图6所示，步骤S8具体包括以下步骤：

步骤S81：将Q_output的队首元素出队列，记为G'，获取G'的起始点v_s；

步骤S82：检查顶点v_s的前驱顶点是否存在，若存在则纳入G'；

步骤S83：以广度优先算法遍历G'，对所有顶点v∈G'，检查以v为终点的有向边e和前驱顶点v_pred，若则将v_pred和以v为终点的有向边e加入G'；

步骤S84：输出攻击模式图G'；

步骤S85：重复步骤S81至步骤S84，直到Q_output为空。

以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本发明的涵盖范围。

Claims (8)

1.一种网络攻击模式图的生成方法，其特征在于：包括以下步骤：

步骤S1：获取一段时间的网络入侵检测系统的日志数据，作为生成攻击图的输入数据；

步骤S2：对步骤S1获得的日志数据进行过程挖掘，得到一个包含所有攻击链的攻击图G；

步骤S3：计算攻击图G的复杂度，若攻击图G的复杂度大于指定阈值，则输出G；否则将有向图G放入队列Q_s中，执行步骤S4；其中队列Q_s用于存放待分割的有向图，初始为空队列；

步骤S4：遍历队列Q_s，对队列中的每个有向图G，自顶向下寻找分支点V_split；

步骤S5：以分支点V_split作为分割的起始点，去除有向图G中的独立子图，然后将剩余以V_split为起始点的有向边加入到队列Q_e中，其中队列Q_e用于存放待遍历的以V_split为起始点的有向边，初始为空队列；

步骤S6：遍历队列Q_e，对遍历到的有向边e使用广度优先算法遍历并生成e的后继子图，对每个后继子图G_e，计算G_e复杂度，如果G_e不是复杂子图，将G_e加入输出队列Q_output中；否则将G_e加入队列Q_s；

步骤S7：判断队列Q_s是否为空，如果Q_s为空，转到步骤S8；否者转到步骤S4；

步骤S8：将Q_output中的有向图G，使用分支信息补全算法处理得到有向图G'，输出G'，即为攻击模式图。

2.根据权利要求1所述的一种网络攻击模式图的生成方法，其特征在于：步骤S2具体包括以下步骤：

步骤S21：将源数据按照IP地址分组，作为输入簇，将攻击事件标记为行为活动；

步骤S22：挖掘各个活动之间的依赖关系；

步骤S23：处理活动之间的AND/XOR-split/Join和不可见关系；

步骤S24：挖掘寻找活动之间的长距离依赖和自循环关系；

步骤S25：输出挖掘结果，即包含所有攻击链的攻击图G。

3.根据权利要求1所述的一种攻击模式图的生成方法，其特征在于：步骤S3中，计算攻击图G的复杂度具体包括以下步骤：

步骤S31：计算图G的顶点数和边数，利用顶点数和边数的关系计算复杂度；

步骤S32：设定两个阈值V_min和V_max，若图G的顶点个数|V|＜V_min,则图G为非复杂图；若图G的顶点个数|V|＞V_max，则图G为复杂图；若图G的顶点个数满足V_min＜|V|＜V_max，则计算图G的顶点集V与边集E大小的比值|V|/|E|，若比值大于指定阈值T₁，则图G是复杂图。

4.根据权利要求1所述的一种网络攻击模式图的生成方法，其特征在于：步骤S4中，所述分支点定义为出度大于1的顶点，寻找分支点V_split的方法为：自顶向下遍历有向图G中的所有顶点，对遍历到的顶点v，检查顶点v的出度，若出度大于1，则该顶点v为分支点。

5.根据权利要求1所述的一种网络攻击模式图的生成方法，其特征在于：所述步骤S5具体包括以下步骤：

步骤S51：获取分支点V_split的各个后继子图；其中，分支点V_split的后继子图定义为有向图G中，从以V_split为起始点的有向边e出发能遍历到的所有顶点和边构成的子图；

步骤S52：遍历V_split的后继子图，对遍历到的每个后继子图G_succ，判断G_succ是否是独立子图，若是，将G_succ加入队列Q_s中；若不是，将G_succ中以V_split为起始点的边e加入队列Q_e；

其中，判断V_split的后继子图G_succ是否是独立子图的条件为：有向边e的端点属于后继子图G_succ或为V_split本身；

步骤S53：遍历以V_split为起始点的有向边，判断有向边的权值是否小于阈值T₂，若小于T₂，则从队列Q_e中删除该边；

图中有向边的权值代表两个攻击步骤之前的依赖程度或关联程度，若边权值小于T₂，则认为该边对应的前后步骤的关联程度低。

6.根据权利要求1所述的一种网络攻击模式图的生成方法，其特征在于：步骤S6中，所述遍历队列Q_e，对遍历到的有向边e使用广度优先算法遍历并生成e的后继子图包括以下步骤：

步骤S61：遍历队列Q_e，对遍历到的有向边e，以有向边e为起始，使用广度优先遍历算法遍历e的后继顶点和对应的有向边；

步骤S62：对遍历到的每个顶点，判断是否存在远距离环，若存在则去除远距离环，最后由遍历到的顶点和有向边生成后继子图G_e。

7.根据权利要求6所述的一种网络攻击模式图的生成方法，其特征在于：步骤S62中，判断并去除远距离环的方法是：对遍历到的顶点v，若v∈G_e，则认为遍历到的顶点v为子图的顶点；若且v≠V_split，则认为顶点v为图外的顶点，遍历退回前一次访问的顶点且不将以v为终点的有向边纳入后继子图G_e中；若v＝V_split，遍历退回前一次访问的顶点，将以v为终点的有向边e加入后继子图G_e。

8.根据权利要求6所述的一种网络攻击模式图的生成方法，其特征在于：步骤S8具体包括以下步骤：

步骤S81：将Q_output的队首元素出队列，记为G'，获取G'的起始点v_s；

步骤S82：检查顶点v_s的前驱顶点是否存在，若存在则纳入G'；

步骤S83：以广度优先算法遍历G'，对所有顶点v∈G'，检查以v为终点的有向边e和前驱顶点v_pred，若则将v_pred和以v为终点的有向边e加入G'；

步骤S84：输出攻击模式图G'；

步骤S85：重复步骤S81至步骤S84，直到Q_output为空。