CN109308409A - 一种基于相似度计算的攻击路径重构方法 - Google Patents
一种基于相似度计算的攻击路径重构方法 Download PDFInfo
- Publication number
- CN109308409A CN109308409A CN201811199650.8A CN201811199650A CN109308409A CN 109308409 A CN109308409 A CN 109308409A CN 201811199650 A CN201811199650 A CN 201811199650A CN 109308409 A CN109308409 A CN 109308409A
- Authority
- CN
- China
- Prior art keywords
- attack
- log
- queue
- path
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/16—Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Mathematical Optimization (AREA)
- Computational Mathematics (AREA)
- Mathematical Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Pure & Applied Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Algebra (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于相似度计算的攻击路径重构方法,本发明通过将一个攻击事件中的多次攻击进行融合后形成一个攻击事件,然后通过将多个攻击步骤形成一个攻击路径,有效的将原本较为复杂的网络攻击过程清晰化、条理化,有助于准确的检测攻击行为,跟踪攻击源,发现网络系统的薄弱环节。
Description
技术领域
本发明涉及一种基于相似度计算的攻击路径重构方法。
背景技术
随着Web技术的飞速发展,网络攻击日益增多。网络攻击对国家安全和社会秩序构成极大威胁。网络安全态势分析通过检测来自不同安全设备的攻击警报来反映当前的态势威胁。威胁态势分析必须考虑以下两个问题。第一种情况是,多个日志设备中的一个攻击行为可能导致大量重复的攻击警报。二是网络攻击变得越来越复杂,攻击行为可以包括多个攻击步骤,每个攻击步骤可以在不同的设备上生成警报。为了准确检测攻击行为,跟踪攻击源,发现网络系统的薄弱环节,需要对攻击警报进行融合并重构攻击路径。目前,还没有公开文献涉及恶意站点的实时在线检测方法。
发明内容
为了解决目前对于复杂情况下网络攻击的分析方法较为落后导致对于网络威胁的处理实时性不足的技术问题,本发明提供一种基于相似度计算的攻击路径重构方法。
为了实现上述技术目的,本发明的技术方案是,
一种基于相似度计算的攻击路径重构方法,包括以下步骤:
步骤一,搭建包括日志采集子系统、日志融合子系统和攻击路径重构子系统在内的攻击路径重构系统;
步骤二,启动攻击路径重构系统;
步骤三,日志采集子系统采集网络日志、主机日志和应用程序日志;然后根据特征匹配来判断日志记录中是否存在攻击告警,并将攻击告警存入攻击告警队列AA中;
步骤四,日志融合子系统对攻击告警队列AA中的攻击告警进行融合,去除重复告警,建立攻击事件队列AE;
步骤五,攻击路径重构子系统采用相似度计算方法构造攻击路径队列AP。
所述的一种基于相似度计算的攻击路径重构方法,所述的日志采集子系统包括日志采集客户端和日志采集服务端。
所述的一种基于相似度计算的攻击路径重构方法,所述的步骤三中,日志采集客户端将网络日志、主机日志和应用程序日志采集至日志采集服务端;日志服务端根据特征匹配的方法,判断日志记录中是否存在攻击告警,并将攻击告警存入攻击告警队列AA中。
所述的一种基于相似度计算的攻击路径重构方法,所述的步骤三中,日志采集子系统通过syslog协议来采集网络日志、主机日志和应用程序日志。
所述的一种基于相似度计算的攻击路径重构方法,所述的步骤三中,所述的根据特征匹配来判断日志记录中是否存在攻击告警,是根据日志中所记录的关键字作为特征来判断是否存在攻击告警。
所述的一种基于相似度计算的攻击路径重构方法,所述的步骤四中,日志融合子系统采用如下步骤建立攻击事件队列:
步骤1:初始化攻击事件队列AE为空;
步骤2:取出攻击告警队列中的队头元素AAi,并由其他元素填补为队头元素,若攻击告警队列已为空,则结束建立攻击事件队列;
步骤3:比对攻击事件队列AE中是否存在与攻击告警AAi的攻击类型、攻击目的地址相同的攻击事件AEj元素,且AAi的告警发生时间和AEj的攻击发生时间差值小于预设阈值;若是,将AEj的攻击发生时间修改为AAi的告警发生时间,转到步骤2;否则转到步骤4;
步骤4:将攻击告警加入到攻击事件队列中,转到步骤2。
所述的一种基于相似度计算的攻击路径重构方法,所述的步骤五中,攻击路径重构子系统采用如下步骤构造攻击路径队列:
步骤1:初始化攻击路径队列AP为空;
步骤2:取出攻击事件队列AE中的队头元素AEi,并由其他元素填补为队头元素,若攻击事件队列已为空,则结束建立攻击路径队列;
步骤3:读取攻击路径队列中的队头元素APj,然后取出攻击路径APj中保存的最后一个攻击事件AEl,并判断与AEi的相似度Sim(AEi,AEl)是否小于阈值;若是,将AEi放入临时数组S中,进入步骤4;否则,进入步骤6,其中取出最后一个攻击事件AEl后,由原倒数第二个攻击事件填补为新的最后一个攻击事件;
步骤4:判断APj是否为空,转到步骤5;否则,转到步骤3;
步骤5:取出临时数组S中相似度AEi最小的加入到攻击路径APj中,转到步骤2;
步骤6:创建新的攻击路径,转到步骤2;
所述的一种基于相似度计算的攻击路径重构方法,所述的攻击事件相似度Sim(AEi,AEl)计算方法如下:
其中wk为权重值,
其中
Sim4(AEi,AEl)=pMN;
其中,Dst_IP为攻击事件的目的地址,Src_IP为攻击事件的源地址,Dst_Port为攻击事件的目的端口,Sq为信息系统q的地址范围,Class_C为一个C类地址段,pMN为两个攻击步骤的相似度取值,M,N为攻击步骤的序号,取值均为1-5,攻击步骤按照顺序为:扫描,入侵,提权,攻击成功和其他。
所述的一种基于相似度计算的攻击路径重构方法,所述的pMN的取值参见以下矩阵:
本发明的技术效果在于,通过将一个攻击事件中的多次攻击进行融合后形成一个攻击事件,然后通过将多个攻击步骤形成一个攻击路径,有效的将原本较为复杂的网络攻击过程清晰化、条理化,有助于准确的检测攻击行为,跟踪攻击源,发现网络系统的薄弱环节。
附图说明
图1为本发明攻击路径重构系统结构图;
图2为本发明日志采集子系统结构图;
图3为本发明日志融合子系统流程图;
图4为本发明攻击路径重构子系统流程图。
具体实施方式
参见图1-图4,本发明包括以下步骤:
步骤一,搭建包括日志采集子系统、日志融合子系统和攻击路径重构子系统在内的攻击路径重构系统;
步骤二,启动攻击路径重构系统;
步骤三,日志采集子系统采集网络日志、主机日志和应用程序日志;然后根据特征匹配来判断日志记录中是否存在攻击告警,并将攻击告警存入攻击告警队列AA中。日志采集子系统包括日志采集客户端和日志采集服务端。日志采集客户端通过syslog协议将网络日志、主机日志和应用程序日志采集至日志采集服务端;日志服务端根据特征匹配的方法,判断日志记录中是否存在攻击告警,并将攻击告警存入攻击告警队列AA中。
该步骤中,根据特征匹配来判断日志记录中是否存在攻击告警,是根据日志中所记录的关键字作为特征来判断是否存在攻击告警。由于目前网络攻击均具有相应的特征,在日志中会记录到这些特征,在检查是否存在攻击时,只要进行关键字匹配即可。
步骤四,日志融合子系统对攻击告警队列AA中的攻击告警进行融合,去除重复告警,建立攻击事件队列AE。AA和AE中均包括攻击类型、攻击目的地址、发生时间等信息。由于网络攻击在很多情况下会连续发起,故本实施例将一次攻击事件中的多轮攻击记录为一次攻击事件,即通过融合来去除重复告警。具体包括以下步骤:
所述的一种基于相似度计算的攻击路径重构方法,所述的步骤四中,日志融合子系统采用如下步骤建立攻击事件队列:
步骤1:初始化攻击事件队列AE为空;
步骤2:取出攻击告警队列中的队头元素AAi,并由其他元素填补为队头元素,若攻击告警队列已为空,则结束建立攻击事件队列;
步骤3:比对攻击事件队列AE中是否存在与攻击告警AAi的攻击类型、攻击目的地址相同的攻击事件AEj元素,且AAi的告警发生时间和AEj的攻击发生时间差值小于预设阈值;若是,将AEj的攻击发生时间修改为AAi的告警发生时间,转到步骤2;否则转到步骤4。其中预设阈值由人为进行设定,需要根据具体的攻击事件来进行设定,如设定为1分钟等。而将AEj的攻击发生时间修改为AAi的告警发生时间,目的是记录最新发生的攻击时间。
步骤4:将攻击告警加入到攻击事件队列中,转到步骤2。
步骤五,攻击路径重构子系统采用相似度计算方法构造攻击路径队列AP。AP的元素中会包括网络攻击的多个步骤。攻击路径重构子系统采用如下步骤构造攻击路径队列:
步骤1:初始化攻击路径队列AP为空;
步骤2:取出攻击事件队列AE中的队头元素AEi,并由其他元素填补为队头元素,若攻击事件队列已为空,则结束建立攻击路径队列;
步骤3:读取攻击路径队列中的队头元素APj,然后取出攻击路径APj中保存的最后一个攻击事件AEl,并判断与AEi的相似度Sim(AEi,AEl)是否小于阈值;若是,将AEi放入临时数组S中,进入步骤4;否则,进入步骤6,其中取出最后一个攻击事件AEl后,由原倒数第二个攻击事件填补为新的最后一个攻击事件;
步骤4:判断APj是否为空,转到步骤5;否则,转到步骤3;
步骤5:取出临时数组S中相似度AEi最小的加入到攻击路径APj中,转到步骤2;
步骤6:创建新的攻击路径,转到步骤2;
其中攻击事件相似度Sim(AEi,AEl)计算方法如下:
其中wk为权重值,该权重值一般根据网络攻击的不同类型来人为设定。
其中
Sim4(AEi,AEl)=pMN;
其中,Dst_IP为攻击事件的目的地址,Src_IP为攻击事件的源地址,Dst_Port为攻击事件的目的端口,Sq为信息系统q的地址范围,Class_C为一个C类地址段,pMN为两个攻击步骤的相似度取值,即连续发生两个攻击步骤的相应取值,如p12可理解为发生扫描和入侵两个攻击步骤。M,N为攻击步骤的序号,取值均为1-5,攻击步骤按照顺序为:扫描,入侵,提权,攻击成功和其他。pMN的取值参见以下矩阵:
Claims (9)
1.一种基于相似度计算的攻击路径重构方法,其特征在于,包括以下步骤:
步骤一,搭建包括日志采集子系统、日志融合子系统和攻击路径重构子系统在内的攻击路径重构系统;
步骤二,启动攻击路径重构系统;
步骤三,日志采集子系统采集网络日志、主机日志和应用程序日志;然后根据特征匹配来判断日志记录中是否存在攻击告警,并将攻击告警存入攻击告警队列AA中;
步骤四,日志融合子系统对攻击告警队列AA中的攻击告警进行融合,去除重复告警,建立攻击事件队列AE;
步骤五,攻击路径重构子系统采用相似度计算方法构造攻击路径队列AP。
2.根据权利要求1所述的一种基于相似度计算的攻击路径重构方法,其特征在于,所述的日志采集子系统包括日志采集客户端和日志采集服务端。
3.根据权利要求2所述的一种基于相似度计算的攻击路径重构方法,其特征在于,所述的步骤三中,日志采集客户端将网络日志、主机日志和应用程序日志采集至日志采集服务端;日志服务端根据特征匹配的方法,判断日志记录中是否存在攻击告警,并将攻击告警存入攻击告警队列AA中。
4.根据权利要求1所述的一种基于相似度计算的攻击路径重构方法,其特征在于,所述的步骤三中,日志采集子系统通过syslog协议来采集网络日志、主机日志和应用程序日志。
5.根据权利要求1所述的一种基于相似度计算的攻击路径重构方法,其特征在于,所述的步骤三中,所述的根据特征匹配来判断日志记录中是否存在攻击告警,是根据日志中所记录的关键字作为特征来判断是否存在攻击告警。
6.根据权利要求1所述的一种基于相似度计算的攻击路径重构方法,其特征在于,所述的步骤四中,日志融合子系统采用如下步骤建立攻击事件队列:
步骤1:初始化攻击事件队列AE为空;
步骤2:取出攻击告警队列中的队头元素AAi,并由其他元素填补为队头元素,若攻击告警队列已为空,则结束建立攻击事件队列;
步骤3:比对攻击事件队列AE中是否存在与攻击告警AAi的攻击类型、攻击目的地址相同的攻击事件AEj元素,且AAi的告警发生时间和AEj的攻击发生时间差值小于预设阈值;若是,将AEj的攻击发生时间修改为AAi的告警发生时间,转到步骤2;否则转到步骤4;
步骤4:将攻击告警加入到攻击事件队列中,转到步骤2。
7.根据权利要求1所述的一种基于相似度计算的攻击路径重构方法,其特征在于,所述的步骤五中,攻击路径重构子系统采用如下步骤构造攻击路径队列:
步骤1:初始化攻击路径队列AP为空;
步骤2:取出攻击事件队列AE中的队头元素AEi,并由其他元素填补为队头元素,若攻击事件队列已为空,则结束建立攻击路径队列;
步骤3:读取攻击路径队列中的队头元素APj,然后取出攻击路径APj中保存的最后一个攻击事件AEl,并判断与AEi的相似度Sim(AEi,AEl)是否小于阈值;若是,将AEi放入临时数组S中,进入步骤4;否则,进入步骤6,其中取出最后一个攻击事件AEl后,由原倒数第二个攻击事件填补为新的最后一个攻击事件;
步骤4:判断APj是否为空,转到步骤5;否则,转到步骤3;
步骤5:取出临时数组S中相似度AEi最小的加入到攻击路径APj中,转到步骤2;
步骤6:创建新的攻击路径,转到步骤2。
8.根据权利要求7所述的一种基于相似度计算的攻击路径重构方法,其特征在于,所述的攻击事件相似度Sim(AEi,AEl)计算方法如下:
其中wk为权重值,
其中
Sim4(AEi,AEl)=pMN;
其中,Dst_IP为攻击事件的目的地址,Src_IP为攻击事件的源地址,Dst_Port为攻击事件的目的端口,Sq为信息系统q的地址范围,Class_C为一个C类地址段,pMN为两个攻击步骤的相似度取值,M,N为攻击步骤的序号,取值均为1-5,攻击步骤按照顺序为:扫描,入侵,提权,攻击成功和其他。
9.根据权利要求8所述的一种基于相似度计算的攻击路径重构方法,其特征在于,所述的pMN的取值参见以下矩阵:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811199650.8A CN109308409A (zh) | 2018-10-16 | 2018-10-16 | 一种基于相似度计算的攻击路径重构方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811199650.8A CN109308409A (zh) | 2018-10-16 | 2018-10-16 | 一种基于相似度计算的攻击路径重构方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109308409A true CN109308409A (zh) | 2019-02-05 |
Family
ID=65224392
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811199650.8A Pending CN109308409A (zh) | 2018-10-16 | 2018-10-16 | 一种基于相似度计算的攻击路径重构方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109308409A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113422787A (zh) * | 2021-08-24 | 2021-09-21 | 广州乐盈信息科技股份有限公司 | 一种用于无源光网络系统的智能防攻击方法 |
CN114124484A (zh) * | 2021-11-09 | 2022-03-01 | 招商银行股份有限公司 | 网络攻击识别方法、系统、装置、终端设备以及存储介质 |
CN115632888A (zh) * | 2022-12-22 | 2023-01-20 | 国家工业信息安全发展研究中心 | 一种基于图算法的攻击路径还原方法及系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101931570A (zh) * | 2010-02-08 | 2010-12-29 | 中国航天科技集团公司第七一○研究所 | 一种基于频繁模式增长算法的网络攻击路径重构方法 |
CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
CN106453417A (zh) * | 2016-12-05 | 2017-02-22 | 国网浙江省电力公司电力科学研究院 | 一种基于近邻相似性的网络攻击目标预测方法 |
CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
CN106911629A (zh) * | 2015-12-22 | 2017-06-30 | 中国移动通信集团公司 | 一种报警关联方法及装置 |
CN107483425A (zh) * | 2017-08-08 | 2017-12-15 | 北京盛华安信息技术有限公司 | 基于攻击链的复合攻击检测方法 |
CN108282460A (zh) * | 2017-12-19 | 2018-07-13 | 中国科学院信息工程研究所 | 一种面向网络安全事件的证据链生成方法及装置 |
-
2018
- 2018-10-16 CN CN201811199650.8A patent/CN109308409A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101931570A (zh) * | 2010-02-08 | 2010-12-29 | 中国航天科技集团公司第七一○研究所 | 一种基于频繁模式增长算法的网络攻击路径重构方法 |
CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
CN106911629A (zh) * | 2015-12-22 | 2017-06-30 | 中国移动通信集团公司 | 一种报警关联方法及装置 |
CN106453417A (zh) * | 2016-12-05 | 2017-02-22 | 国网浙江省电力公司电力科学研究院 | 一种基于近邻相似性的网络攻击目标预测方法 |
CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
CN107483425A (zh) * | 2017-08-08 | 2017-12-15 | 北京盛华安信息技术有限公司 | 基于攻击链的复合攻击检测方法 |
CN108282460A (zh) * | 2017-12-19 | 2018-07-13 | 中国科学院信息工程研究所 | 一种面向网络安全事件的证据链生成方法及装置 |
Non-Patent Citations (1)
Title |
---|
张玉刚: "基于模糊聚类和因果关联的攻击场景构造方法的研究与实现", 《中国优秀硕士学位论文全文数据库•信息科技辑》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113422787A (zh) * | 2021-08-24 | 2021-09-21 | 广州乐盈信息科技股份有限公司 | 一种用于无源光网络系统的智能防攻击方法 |
CN113422787B (zh) * | 2021-08-24 | 2021-11-09 | 广州乐盈信息科技股份有限公司 | 一种用于无源光网络系统的智能防攻击方法 |
CN114124484A (zh) * | 2021-11-09 | 2022-03-01 | 招商银行股份有限公司 | 网络攻击识别方法、系统、装置、终端设备以及存储介质 |
CN114124484B (zh) * | 2021-11-09 | 2024-04-05 | 招商银行股份有限公司 | 网络攻击识别方法、系统、装置、终端设备以及存储介质 |
CN115632888A (zh) * | 2022-12-22 | 2023-01-20 | 国家工业信息安全发展研究中心 | 一种基于图算法的攻击路径还原方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
CN104901971B (zh) | 对网络行为进行安全分析的方法和装置 | |
US10609057B2 (en) | Digital immune system for intrusion detection on data processing systems and networks | |
CN111541661A (zh) | 基于因果知识的电力信息网络攻击场景重构方法及系统 | |
CN105553998A (zh) | 一种网络攻击异常检测方法 | |
US11444964B2 (en) | Method and arrangement for detecting anomalies in network data traffic | |
CN105471882A (zh) | 一种基于行为特征的网络攻击检测方法及装置 | |
CN109308409A (zh) | 一种基于相似度计算的攻击路径重构方法 | |
CN111049680B (zh) | 一种基于图表示学习的内网横向移动检测系统及方法 | |
Jongsuebsuk et al. | Real-time intrusion detection with fuzzy genetic algorithm | |
CN104660594A (zh) | 一种面向社交网络的虚拟恶意节点及其网络识别方法 | |
CN105933268A (zh) | 一种基于全量访问日志分析的网站后门检测方法及装置 | |
CN113094707B (zh) | 一种基于异质图网络的横向移动攻击检测方法及系统 | |
Srivastav et al. | Novel intrusion detection system integrating layered framework with neural network | |
Mukhopadhyay et al. | Back propagation neural network approach to Intrusion Detection System | |
CN105471875A (zh) | 一种计算机网络监控系统 | |
CN111131247B (zh) | 一种车载内部网络入侵检测系统 | |
CN108449218A (zh) | 下一代关键信息基础设施的网络安全态势感知系统 | |
Hattarki et al. | Real time intrusion detection system for IoT networks | |
US10681059B2 (en) | Relating to the monitoring of network security | |
Song et al. | A comprehensive approach to detect unknown attacks via intrusion detection alerts | |
CN116938505A (zh) | 一种失陷主机检测方法及相关装置 | |
EP4254241A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
Makopa et al. | Internet of Things (IoT) Network Forensic Analysis Using the Raspberry Pi 4 Model B and Open-Source Tools | |
CN113162904B (zh) | 一种基于概率图模型的电力监控系统网络安全告警评估方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190205 |