CN110012037B

CN110012037B - 基于不确定性感知攻击图的网络攻击预测模型构建方法

Info

Publication number: CN110012037B
Application number: CN201910425827.XA
Authority: CN
Inventors: 胡昌振; 单纯; 高洁; 刘臻; 熊玲
Original assignee: Beijing Institute of Technology BIT
Current assignee: Beijing Institute of Technology BIT
Priority date: 2019-05-21
Filing date: 2019-05-21
Publication date: 2020-08-18
Anticipated expiration: 2039-05-21
Also published as: CN110012037A

Abstract

本发明公开了基于不确定性感知攻击图的网络攻击预测模型构建方法，一、在攻击图上添加漏洞被攻击的不确定性概率，获得不确定性感知攻击图；二、对网络系统中的服务受到攻击时入侵检测系统生成的警报信息进行关联，生成警报关联图，并利用警报信息所对应的响应决策生成入侵响应图；三、根据警报的源主机地址、警报的目的主机地址、警报的源端口号、警报的目的端口号、警报传输所使用的协议和产生警报所对应的漏洞编号，对不确定性概率进行改进；四、通过入侵响应图中响应决策之间的关联关系以及响应的代价对不确定性概率进行改进；五、根据不确定性概率获得服务被攻击的概率，从而得到预测攻击模型；本发明能够实现准确全面的预测网络攻击。

Description

基于不确定性感知攻击图的网络攻击预测模型构建方法

技术领域

本发明属于网络安全的技术领域，具体涉及一种基于不确定性感知攻击图的网络攻击预测模型构建方法。

背景技术

在现实生活中网络攻击的形式千变万化，在攻击发生并造成严重后果以后采取措施成本高且会造成不可估计的损失，所以攻击预测这项研究也就应运而生。在发明中将攻击的不确定性分析定义为攻击预测，大多的研究是通过攻击图来进行攻击预测，但是攻击图上记录的主要是一些网络脆弱信息，脆弱性之间的关联关系等一些静态信息，对网络中动态的因素考虑的相对较少。其一就是像入侵检测系统检测到入侵警报以及网络中的服务依赖关系和网络入侵响应信息这样可以动态反应网络安全状态的因素并没有考虑进去，其二就是没有攻击概率的不确定性，使得攻击预测模型不能够更为准确的预测网络攻击。

发明内容

有鉴于此，本发明提供了一种基于不确定性感知攻击图的网络攻击预测模型构建方法，能够实现准确全面的预测网络攻击，具有较高的准确性。

实现本发明的技术方案如下：

基于不确定性感知攻击图的网络攻击预测模型构建方法，包括以下步骤：

步骤一、在攻击图上添加漏洞被攻击的不确定性概率，获得不确定性感知攻击图；

步骤二、对网络系统中的服务受到攻击时入侵检测系统生成的警报信息进行关联，生成警报关联图，并利用警报信息所对应的响应决策生成入侵响应图；警报信息的关联原则为：若某一漏洞被攻击者利用产生一次原子攻击造成网络系统的安全状态发生变化，同时此安全状态的变化又是另外一个漏洞被攻击者利用进行原子攻击的前提条件，那么就对这两个原子攻击产生的警报信息进行关联；

步骤三、根据警报关联图中警报的源主机地址、警报的目的主机地址、警报的源端口号、警报的目的端口号、警报传输所使用的协议和产生警报所对应的漏洞编号，对不确定性感知攻击图上的不确定性概率进行改进；

步骤四、通过入侵响应图中响应决策之间的关联关系以及响应的代价对不确定性感知攻击图上的不确定性概率进行改进；

步骤五、根据改进后的不确定性概率获得服务被攻击的概率，从而得到预测攻击模型。

进一步地，步骤一中，所述不确定性概率通过专家经验得到。

进一步地，步骤二中，根据生成的警报信息查找攻击图上所对应的漏洞，对于无警报信息的漏洞设置虚拟警报信息，并将该虚拟警报信息与所述警报信息进行关联。

进一步地，步骤二中，当生成的警报信息在攻击图中找不到对应的漏洞时，则根据该警报信息获得缺失漏洞信息，并添加到攻击图上。

有益效果：

1、本发明提出了一种网络攻击预测模型构建方法，将警报信息，入侵响应信息以及网络系统中的服务及服务关联关系对不确定性感知攻击图进行改进，使预测模型能够更准确地预测网络系统中的攻击。

2、本发明对现有的警报关联方法进行改进，使警报管理按更准确。

3、本发明对缺失警报的处理和对缺失漏洞的处理，首次考虑漏洞扫描工具存在缺陷的情况，使得预测模型更加完善。

附图说明

图1为本发明方法流程图。

具体实施方式

下面结合附图并举实施例，对本发明进行详细描述。

本发明提供了一种基于不确定性感知攻击图的网络攻击预测模型构建方法，如图1所示，包括以下步骤：

步骤一、在攻击图上添加漏洞被攻击的不确定性概率，获得不确定性感知攻击图，所述不确定性概率通过专家经验得到。

通过以下两个公式对不确定性感知攻击图中的不确定性概率进行计算，其中P^(n_i)是通过专家经验得到，本发明是通过CVSS评分系统得出的；n_i就表示攻击图上的节点；P ^(old)(n_i)表示初始不确定性概率的最小值；P^-(old)(n_i)表示初始不确定性概率的最大值。

攻击图：在这里我们定义攻击图为G(E_g∪C_g,R_r∪R_i)的形式，其中E_g＝{e₁,e₂,…,e_n}表示存在的漏洞，C_g＝{c₁,c₂,…,c_m}攻击图中所对应的一组安全属性的信息，

表示安全属性发生改变会出现的漏洞之间的关系，

表示漏洞一旦被利用会导致怎样的属性变化之间的关系。例如：从安全属性c_i到漏洞e_j的边表示c_i是e_j的前置条件，那么从e_j到c_i的边界表明，c_i是e_j的后置条件。

其中，上述攻击图是通过扩展的队列图实现，扩展的队列图：本发明改进了之前研究中的队列图数据结构，在其中加入前向指针和后向指针，使存在于内存中的警报信息存取速度更为迅速。扩展的队列图中包括以下组件：

①Q＝{q₁,q₂,…,q_n}，表示长度为1的n个队列的集合；

②V＝{v₁,v₂,…,v_m},表示m个变量的集合。

③对于每一个k＝1,2,…,n，Bq_k＝{<q_k,v_i>|(c_i,e_k)∈R_r}代表q_k的后向指针集合，Fq_k＝{<q_k,v_i>|(e_k,c_i)∈R_i}表示q_k的前向指针集合；

④对于每一个k＝1,2,…,n，Bv_k＝{<v_k,q_i>|(e_i,c_k)∈R_i}代表v_k的后向指针集合，Fv_k＝{<v_k,q_i>|(c_k,e_i)∈R_r}表示v_k的前向指针集合；

不确定感知攻击图：用来处理网络系统中攻击概率的不确定性的数据结构，这种不确定性来自于对网络系统中的脆弱性或者是漏洞利用概率的度量。

不确定性感知攻击图的形式化表示：为了方便后续的攻击预测模型生成算法，我们用一个六元组对不确定性感知攻击图进行形式化描述，该六元组为IAG＝(N，E_N，D，Pr，C，G)，其中

①N＝{n₁，n₂，…,n_k}表示的是不确定性感知攻击图中节点的集合，每个节点表示网络系统中存在的漏洞。

②E_N表示的是不确定性感知攻击图中节点之间的边集，用来显示两个漏洞节点之间存在关联关系。

③D表示的是类似于<n_i,d_i>的节点对的集合，其中d_i表示的是节点n_i的节点类型。d_i的取值集合是d_i∈{LEAF，AND，OR}

④Pr＝{P^(n₁),P^(n₂),…,P^(n_k)}表示的是攻击不确定性概率的集合，P^(n_i)＝<_- P(n_i),P^-(n_i)>,其中P(n_i)＝sup{P(n_i):P∈ρ}表示的是不确定性感知攻击图中不确定性概率集合中最小的概率值；P^-(n_i)＝inf{P(n_i):P∈ρ}表示的是不确定性感知攻击图中不确定性概率集合中最大的概率值；ρ表示的是概率分布的集合，在经典概率论中概率的上下边界取值相同。

⑤C表示的是有关节点概率约束条件的集合，其中有些约束条件可以直接从攻击图模型中提取，但是有些需要靠专家经验来定义。所以每个节点有以下的约束条件：

如果<n_i,d_i>∈D且d_i＝{LEAF}那么P^(n_i)＝<1,1>。

如果<n_i,d_i>∈D且d_i＝{AND}那么P^(n_i)≤∏P^(Pre(n_i))。

如果<n_i,d_i>∈D且d_i＝{OR}那么P^(n_i)≤1-∏P^(1-Pre(n_i))。

⑥G表示的是攻击者要攻击的最终目标集合，

步骤二、当网络系统中的服务受到攻击时，入侵检测系统生成警报信息，对警报信息进行关联，生成警报关联图，并根据警报信息进行相应的响应决策，然后根据响应决策生成入侵响应图；警报信息的关联原则为：若某一漏洞被攻击者利用产生一次原子攻击造成网络系统的安全状态发生变化，同时此安全状态的变化又是另外一个漏洞被攻击者利用进行原子攻击的前提条件，那么就对这两个原子攻击产生的警报信息进行关联；

本发明在警报关联阶段提出一种改进的警报关联算法，不仅可以准确有效的关联警报还能在一段时间内进行警报增强。具体内容包括在数据结构的选取上进行优化，使用队列图的结构将攻击图中的组成元素进行形式化，从而降低了生成的警报关联图的复杂度；

警报信息：lert＝(aID，Pro，Sip，Dip，Sp，Dp，vulID)aID：表示是唯一能够标识警报的编号，Pro：表示该条警报所使用的协议，常见的协议类型有tcp，udp等，Sip：表示该条警报的源主机地址，Dip：表示该条警报的目的主机地址，Sp：表示该条警报的源端口号，Dp：表示该条警报的目的端口号，vulID：表示该条警报利用的漏洞编号。

警报关联图：结果图定义为G(V_r,E_r)，是一个有向图，其中V_r是真实警报，假设警报和安全属性的一个组合，

表示警报之间相关性的一组边，例如存在a_i到c_k之间的边也存在c_k到a_j之间的边，就表示警报a_i和a_j之间存在关联关系。

缺失警报假设算法：根据生成的警报信息查找攻击图上所对应的漏洞，对于无警报信息的漏洞设置虚拟警报信息，并将该虚拟警报信息与所述警报信息进行关联。缺失警报假设算法能够确保警报更好地关联，使警报关联图能够更好的记录网络系统中攻击者的攻击路径，动态的反映出网络安全的状态变化。同时缺失警报假设算法也完善了警报关联算法的输入条件。

缺失漏洞算法：当生成的警报信息在攻击图中找不到对应的漏洞时，则根据该警报信息获得缺失漏洞信息，并添加到攻击图上。本发明首次提出了攻击图中漏洞关系缺失的问题，造成该问题的原因有可能是漏洞扫描工具存在缺陷，没有将网络系统中对所有脆弱点或者漏洞都进行识别并反馈。因此提出根据入侵检测系统产生的警报完善攻击图中的漏洞信息，且该警报是未能在攻击图中找到编码的先验知识的警报。通过本算法能够对攻击图进行补充，完善攻击图中的信息，也为后来的警报能够通过攻击图中的知识进行关联提供更为完善的先验知识库。

入侵响应：是指入侵响应系统在入侵检测系统发现入侵行为后会及时作出响应，从而降低网络系统因为入侵行为造成的损失。入侵响应分为主动响应和被动响应两种类型。

多级入侵响应图的形式化表示：为了方便后续模型中不确定性概率值的分析，本发明将入侵响应信息建模为一个多级响应图，并用一个四元组对其进行形式化描述。该四元组为R＝(R,E_R,C,A),其中：

①R＝{r₁,r₂,…,r_n}是一系列节点的集合，其中每个节点代表一个入侵响应新信息。

②E_R是节点之间的边的集合，其中每条边代表的是入侵响应信息之间的关联关系。

③C是类似于<r_i,c_i>的节点对的集合。其中i∈{1,n},c_i∈{0,1},代表节点r_i的响应代价。

④A是类似于<ri,ai>的节点对的集合。其中i∈{1,n},ai∈{Yes,No},代表节点对应的入侵响应是否被激活。

步骤三、根据警报关联图中警报的源主机地址、警报的目的主机地址、警报的源端口号、警报的目的端口号、警报传输所使用的协议和产生警报所对应的漏洞编号，对不确定性感知攻击图上的攻击不确定性概率进行改进；

对于每一条警报信息，通过以下公式计算，得到通过警报信息改进的不确定性概率。其中θ表示的是不确定性感知攻击图中节点与每一条警报信息的相似度；P ^(H)(n_i)表示的是通过警报信息改进后的不确定性概率的最小值；P^-(H)(n_i)表示的是通过警报信息改进后的不确定性概率的最大值；P^^(H)(n_i)表示的是通过警报信息改进后的不确定性概率的最大值和最小值的集合。

P ^(H)(n_i)＝[1-P ^(old)(n_i)]×θ+P ^(old)(n_i)

P^-(H)(n_i)＝[1-P^-(old)(n_i)]×θ+P^-(old)(n_i)

P^^(H)(n_i)＝<P ^(old)(n_i),P^-(old)(n_i)>

对于每一条入侵响应信息，通过以下公式计算，最终得到更新的不确定性感知攻击图中节点的概率。其中ω表示的是确定性感知攻击图中节点与每一条入侵响应信息的相似度；P ^(R)(n_i)表示的是通过入侵响应图上的入侵响应信息改进后的不确定性概率的最小值；P^-(R)(n_i)表示的是通过入侵响应图上的入侵响应信息改进后的不确定性概率的最大值；P^^(R)(n_i)表示的是通过入侵响应图上的入侵响应信息改进后的不确定性概率的最大值和最小值的集合；P^^(new)(n_i)表示的是最终改进得到的新的攻击不确定性概率。

P ^(R)(n_i)＝-P ^(H)(n_i)×ω+P ^(H)(n_i)

P^-(R)(n_i)＝-P^-(H)(n_i)×ω+P^-(H)(n_i)

P^^(R)(n_i)＝<P ^(R)(n_i),P^-(R)(n_i)>

P^^(new)(n_i)＝P^^(R)(n_i)

步骤五、根据不确定性概率获得服务被攻击的概率，从而得到预测攻击模型。

对于预测攻击图中的每一个节点，如果服务依赖图中的节点也存在于不确定性感知攻击图中，则服务被攻击的概率就是P^^(new)(n_i)，否则就是0，也就是说此服务不存在于本系统中。

服务依赖图：即存储网络系统中的服务信息以及服务之间关联关系的信息。在本发明中将服务依赖关系图形式化描述为一个四元组,该四元组为DG＝(SP,E_SP,U,Q),其中：

①SP＝{sp1,sp2,…,spt}是一系列节点的集合。其中每个节点代表网络系统中的一个活动进程或者是一个服务信息。

②E_SP是节点之间边的集合。其中每条边代表的是网络系统中进程或者服务之间存在的依赖关系。

③U是类似于<u_i,sp_j>的节点对的集合。其中i＝1,…,n_u，j＝1,…,t,表示的是用户u_i使用的是进程或者服务sp_j。

④Q是一个三元组的集合，该三元组表示为<ui,spj,qk>,其中i＝1,…,nu，j＝1,…,t，k＝1,…,n_q，qk表示的是用户ui对进程或者服务spj的需要程度。

预测攻击图(预测攻击模型)：本发明提出的预测攻击图是通过使用不确定性感知攻击图、警报关联图、服务依赖图和入侵响应图进行构建的。预测攻击图的形式化表示。

在建立预测攻击图的第一步中要解决的问题是找到不确定感知攻击图中节点初始的不确定性概率；在第二步中将警报关联图和入侵响应图的信息转换为不确定性感知攻击图中的信息，通过警报关联图和入侵相应图中的信息可以帮助提高未来攻击预测的准确性；在最后一步中，需要计算预测攻击图中每个服务或者是进程被攻击的概率。在本发明中将预测攻击图形式化为一个四元组：FAG＝<SP,E_SP,H,P_A>,其中：

①SP＝{sp1,sp2,…,spt}是一系列节点的集合。其中每个节点代表服务或者进程。

②E_SP是节点之间边的集合。其中每条边代表的是网络系统中服务进程存在关系。

③H是类似于<sp_j,h_l>的节点对的集合。其中j＝1,…,t，l＝1,…,n_u，表示的是服务sp_j存在于主机h_l上。

④P_A是一个三元组的集合，该三元组表示为<sp_j,h_l，P^(Att_g ^(jl))>，其中l＝1,…,n_h，j＝1,…,t，g＝1,…,n_Att，P^(Att_g ^(jl))＝[P(Att_g ^(jl)),P^-(Att_g ^(jl))]表示的是攻击行为对主机h_i上的服务sp_j的攻击概率的最大值和最小值。

利用上面生成的警报关联图，以及入侵响应信息，网络系统中的服务以及服务依赖信息生成网络攻击预测模型，考虑了网络攻击的不确定性概率。

综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.基于不确定性感知攻击图的网络攻击预测模型构建方法，其特征在于，包括以下步骤：

步骤一、在攻击图上添加漏洞被攻击的不确定性概率，获得不确定性感知攻击图，所述不确定性概率通过专家经验得到；

对于每一条警报信息，通过以下公式得到通过警报信息改进的不确定性概率；其中θ表示的是不确定性感知攻击图中节点与每一条警报信息的相似度；P ^(H)(n_i)表示的是通过警报信息改进后的不确定性概率的最小值；P^-(H)(n_i)表示的是通过警报信息改进后的不确定性概率的最大值；P^^(H)(n_i)表示的是通过警报信息改进后的不确定性概率的最大值和最小值的集合，n_i表示攻击图上的节点；P ^(old)(n_i)表示初始不确定性概率的最小值；P^-(old)(n_i)表示初始不确定性概率的最大值；