CN111931168A - 一种基于警报关联的僵尸机检测方法 - Google Patents
一种基于警报关联的僵尸机检测方法 Download PDFInfo
- Publication number
- CN111931168A CN111931168A CN202010564369.0A CN202010564369A CN111931168A CN 111931168 A CN111931168 A CN 111931168A CN 202010564369 A CN202010564369 A CN 202010564369A CN 111931168 A CN111931168 A CN 111931168A
- Authority
- CN
- China
- Prior art keywords
- alarm
- value
- detection module
- vulnerability
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2413—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
- G06F18/24147—Distances to closest patterns, e.g. nearest neighbour classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种云环境中基于警报关联的分布式入侵检测方法,包括如下步骤:入侵证据收集;分布式行为图模板建立;异常检测;行为图模板更新。本发明通过分簇的方式实现云环境中的分布式检测,基于警报关联的思想实现进一步入侵检测判断,有利于降低误报率。通过本方法,可以有效检测云环境中的僵尸机,从而保护云计算资源不被恶意利用。
Description
技术领域
本发明涉及物联网领域,具体涉及一种基于警报关联的僵尸机检测方法。
背景技术
僵尸网络是最严重的网络威胁之一,指感染僵尸程序病毒,从而被黑客程序控制的计算机设备被称为僵尸机。黑客利用僵尸机可以达到不同的目的,例如发起分布式网络攻击、分布式拒绝服务攻击等。
入侵检测系统(IDS)是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。许多为僵尸网络构建的现有IDSs是基于规则的,其性能取决于专家、定义的规则集。基于规则的僵尸网络ID通过检查网络流量并将其与已知的或以前见过的僵尸网络签名(通常由安全专家进行编码)进行比较来识别僵尸网络。然而,由于网络流量的大量增加,更新这些规则变得越来越困难、乏味和耗时。这种依赖使得它对新型僵尸网络的效率很低。
发明内容
本发明提供了一种基于警报关联的僵尸机检测方法,包括:
一种基于警报关联的僵尸机检测方法,所述方法包括在线入侵检测模块,离线入侵检测模块和入侵警报关联模块,其中:
所述在线入侵检测模块进行实时的网络流量检测;
所述离线入侵检测模块利用攻击图技术,进行虚拟机安全状态评估;
所述入侵检测警报关联模块包括警报聚合和警报验证,用于关联在线入侵检测模块的警报和离线入侵检测模块的结果,最终判断是否发生入侵,并输出警报信息。
上述在线入侵检测模块,使用现有技术方案进行实时的网络流量检测;在线入侵检测模块包括恶意IP地址检测模块,恶意SSL证书检测模块,域通量检测模块和Tor连接检测模块,通过这4个在线检测模块可以有效识别出符合僵尸机与攻击者通信特征的网络流量。
上述离线入侵检测模块,利用改进的攻击图技术,进行虚拟机安全状态的评估,具体步骤如下:
(2.1)使用漏洞扫描工具Nessus识别系统漏洞,根据漏洞和网络拓扑构建攻击图;
(2.2)根据通用漏洞评分系统和历史数据计算漏洞的可利用分数;
(2.3)建立条件概率分布表;
(2.4)计算虚拟机的脆弱分数。
上述步骤(2.1)中构建的攻击图是一个有向无环图,表示为:
BAG=(V,E,P) (1)
其中V表示节点,V=Vc∪Vd∪Vr,Vr表示根节点,Vc表示漏洞节点,Vd表示利用漏洞可以得到的结果节点,E表示边,P表示概率集合,P=P(Vc)表示成功利用漏洞的概率。
上述步骤(2.2)计算漏洞的可利用分数,公式如下:
上述步骤(2.3)建立条件概率分布表是由漏洞可利用分数得到的,条件概率表完成之后合并所有边缘概率得到无条件概率,即主机的脆弱性分数,将主机脆弱性分数作为离线入侵检测模块的警报值。
上述警报聚合的具体步骤如下:
(3.1.1)利用MapReduce方法处理在线警报,形成键值对:<key,value>,key表示警报中的sourceIP,value为时间窗内的警报数量;
(3.1.2)触发离线入侵检测模块,得到虚拟机的脆弱分数score;
(3.1.3)用警报向量表示时间窗内的警报结果:
其中,Alertn表示时间窗内的警报向量,n表示时间窗编号。
上述警报验证采用基于时间序列的二次指数平滑方法拟合出一个近似的模型对未来进行预测,将这个预测值与实际值进行比较,如果差距超过阈值,就判定发生异常,发出最终入侵警报,具体步骤如下:
(3.2.1)为当前AlertT构造时间序列,向前取固定时长作为时间序列窗口N,
(3.2.2)对进行二次指数平滑的方法为对valuei和scorei分别进行二次指数平滑,得到平滑值pvalueT和pscoreT,即当前valueT和scoreT的预测值,valuei的二次指数平滑公式如下:
pvalueT=at+bt (5)
其中,
(3.2.3)将pAlertt和AlertT进行比较,做差得到dAlertT,使用KNN算法对dAlertT进行处理,从历史数据库中找到k个与dAlertT距离最小的邻居样本,根据这k个邻居样本所属的类别决定dAlertT的类别,实现入侵检测。
本发明的有益效果:
本发明结合在线入侵检测和离线入侵检测,有利于降低误报率。通过本方法,可以有效检测网络中的僵尸机,从而减轻僵尸网络带来的恶劣后果。
附图说明
图1是本发明的装置模块结构图;
图2是本发明的攻击图;
图3是本发明的时间序列图。
具体实施方式
如图1所示,一种基于警报关联的僵尸机检测方法,包括以下几个模块:在线入侵检测模块,离线入侵检测模块和入侵警报关联模块,其中:
在线入侵检测模块使用现有技术方案进行实时的网络流量检测;
离线入侵检测模块利用改进的攻击图技术,进行虚拟机安全状态评估;
入侵检测警报关联模块包括警报聚合和警报验证,用于关联在线入侵检测模块的警报和离线入侵检测模块的结果,最终判断是否发生入侵,并输出警报信息。
上述在线入侵检测模块,使用现有技术方案进行实时的网络流量检测;在线入侵检测模块具体包括恶意IP地址检测模块(MIPD),恶意SSL证书检测模块(MSSLD),域通量检测模块(DFD)和Tor连接检测模块(TorD),通过这4个在线检测模块可以有效识别出符合僵尸机与攻击者通信特征的网络流量。
上述离线入侵检测模块,利用改进的攻击图技术,进行虚拟机安全状态的评估,具体步骤如下:
(2.1)使用漏洞扫描工具Nessus识别系统漏洞,根据漏洞和网络拓扑构建攻击图;
(2.2)根据通用漏洞评分系统(CVSS)和历史数据计算漏洞的可利用分数;
(2.3)建立条件概率分布表;
(2.4)计算虚拟机的脆弱分数。
上述步骤(2.1)中构建的攻击图是一个有向无环图,如图2所示,表示为:
BAG=(V,E,P) (1)
其中V表示节点,V=Vc∪Vd∪Vr,Vr表示根节点,Vc表示漏洞节点,Vd表示利用漏洞可以得到的结果节点,E表示边,P表示概率集合,P=P(Vc)表示成功利用漏洞的概率。
上述步骤(2.2)计算漏洞的可利用分数,公式如下:
其中CVSSSCORE表示由CVSS提供的漏洞评分,包括脆弱性得分和影响性得分,influence score表示漏洞被利用的频率,通过历史数据计算,和β为系数,用于平衡两个参数,这里取0.8和0.2。
上述步骤(2.3)建立条件概率分布表是由漏洞可利用分数得到的,条件概率表完成之后可以合并所有边缘概率得到无条件概率,即主机的脆弱性分数,将主机脆弱性分数作为离线入侵检测模块的警报值。
上述入侵检测警报关联模块包括警报聚合和警报验证,以5min作为取固定时长作为一个时间窗TW,警报聚合的具体步骤如下:
(3.1.1)利用MapReduce方法处理在线警报,形成键值对:<key,value>,key表示警报中的sourceIP,value为时间窗内的警报数量;
(3.1.2)触发离线入侵检测模块,得到虚拟机的脆弱分数score;
(3.1.3)用警报向量表示时间窗内的警报结果:
其中,Alertn表示时间窗内的警报向量,n表示时间窗编号。
警报验证采用基于时间序列的二次指数平滑方法拟合出一个近似的模型对未来进行预测,将这个预测值与实际值进行比较,如果差距超过阈值,就判定发生异常,发出最终入侵警报,具体步骤如下:
(3.2.2)对进行二次指数平滑的方法为对valuei和scorei分别进行二次指数平滑,得到平滑值pvalueT和pscoreT,即当前valueT和scoreT的预测值,valuei的二次指数平滑公式如下:
pvalueT的计算公式为
pvalueT=at+bt (5)
其中,
其中,所述步骤α可以通过随机梯度下降法确定;
(3.2.3)将pAlertt和AlertT进行比较,做差得到dAlertT,使用KNN算法对dAlertT进行处理,从历史数据库中找到k个与dAlertT距离最小的邻居样本,根据这k个邻居样本所属的类别决定dAlertT的类别,实现入侵检测。
Claims (9)
1.一种基于警报关联的僵尸机检测方法,其特征在于,所述装置包括在线入侵检测模块,离线入侵检测模块和入侵警报关联模块,其中:
所述在线入侵检测模块进行实时的网络流量检测;
所述离线入侵检测模块利用攻击图技术,进行虚拟机安全状态评估;
所述入侵检测警报关联模块包括警报聚合和警报验证,用于关联在线入侵检测模块的警报和离线入侵检测模块的结果,最终判断是否发生入侵,并输出警报信息。
2.根据权利要求1所述的一种基于警报关联的僵尸机检测方法,其特征在于,所述在线入侵检测模块,使用现有技术方案进行实时的网络流量检测;在线入侵检测模块包括恶意IP地址检测模块,恶意SSL证书检测模块,域通量检测模块和Tor连接检测模块,通过这4个在线检测模块可以有效识别出符合僵尸机与攻击者通信特征的网络流量。
3.根据权利要求1所述的一种基于警报关联的僵尸机检测方法,其特征在于,所述离线入侵检测模块,利用改进的攻击图技术,进行虚拟机安全状态的评估,具体步骤如下:
(2.1)使用漏洞扫描工具Nessus识别系统漏洞,根据漏洞和网络拓扑构建攻击图;
(2.2)根据通用漏洞评分系统和历史数据计算漏洞的可利用分数;
(2.3)建立条件概率分布表;
(2.4)计算虚拟机的脆弱分数。
4.根据权利要求3所述的一种基于警报关联的僵尸机检测方法,其特征在于,所述步骤(2.1)中构建的攻击图是一个有向无环图,表示为:
BAG=(V,E,P) (1)
其中V表示节点,V=Vc∪Vd∪Vr,Vr表示根节点,Vc表示漏洞节点,Vd表示利用漏洞可以得到的结果节点,E表示边,P表示概率集合,P=P(Vc)表示成功利用漏洞的概率。
6.根据权利要求3所述的一种基于警报关联的僵尸机检测方法,其特征在于,所述步骤(2.3)建立条件概率分布表是由漏洞可利用分数得到的,条件概率表完成之后合并所有边缘概率得到无条件概率,即主机的脆弱性分数,将主机脆弱性分数作为离线入侵检测模块的警报值。
8.根据权利要求1所述的一种基于警报关联的僵尸机检测方法,其特征在于,所述警报验证采用基于时间序列的二次指数平滑方法拟合出一个近似的模型对未来进行预测,将这个预测值与实际值进行比较,如果差距超过阈值,就判定发生异常,发出最终入侵警报,具体步骤如下:
(3.2.2)对进行二次指数平滑的方法为对valuei和scorei分别进行二次指数平滑,得到平滑值pvalueT和pscoreT,即当前valueT和scoreT的预测值,valuei的二次指数平滑公式如下:
pvalueT的计算公式为
pvalueT=at+bt (5)
其中,
(3.2.3)将pAlertt和AlertT进行比较,做差得到dAlertT,使用KNN算法对dAlertT进行处理,从历史数据库中找到k个与dAlertT距离最小的邻居样本,根据这k个邻居样本所属的类别决定dAlertT的类别,实现入侵检测。
9.根据权利要求8所述的一种基于警报关联的僵尸机检测方法,其特征在于,所述步骤(3.2.2)中的α通过随机梯度下降法确定。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010564369.0A CN111931168B (zh) | 2020-06-19 | 2020-06-19 | 一种基于警报关联的僵尸机检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010564369.0A CN111931168B (zh) | 2020-06-19 | 2020-06-19 | 一种基于警报关联的僵尸机检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111931168A true CN111931168A (zh) | 2020-11-13 |
CN111931168B CN111931168B (zh) | 2022-09-09 |
Family
ID=73317744
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010564369.0A Active CN111931168B (zh) | 2020-06-19 | 2020-06-19 | 一种基于警报关联的僵尸机检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111931168B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101803337A (zh) * | 2007-09-19 | 2010-08-11 | 阿尔卡特朗讯公司 | 入侵检测方法和系统 |
CN101980506A (zh) * | 2010-10-29 | 2011-02-23 | 北京航空航天大学 | 一种基于流量特征分析的分布式入侵检测方法 |
CN108769051A (zh) * | 2018-06-11 | 2018-11-06 | 中国人民解放军战略支援部队信息工程大学 | 一种基于告警融合的网络入侵态势意图评估方法 |
CN108965248A (zh) * | 2018-06-04 | 2018-12-07 | 上海交通大学 | 一种基于流量分析的p2p僵尸网络检测系统及方法 |
CN110012037A (zh) * | 2019-05-21 | 2019-07-12 | 北京理工大学 | 基于不确定性感知攻击图的网络攻击预测模型构建方法 |
-
2020
- 2020-06-19 CN CN202010564369.0A patent/CN111931168B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101803337A (zh) * | 2007-09-19 | 2010-08-11 | 阿尔卡特朗讯公司 | 入侵检测方法和系统 |
CN101980506A (zh) * | 2010-10-29 | 2011-02-23 | 北京航空航天大学 | 一种基于流量特征分析的分布式入侵检测方法 |
CN108965248A (zh) * | 2018-06-04 | 2018-12-07 | 上海交通大学 | 一种基于流量分析的p2p僵尸网络检测系统及方法 |
CN108769051A (zh) * | 2018-06-11 | 2018-11-06 | 中国人民解放军战略支援部队信息工程大学 | 一种基于告警融合的网络入侵态势意图评估方法 |
CN110012037A (zh) * | 2019-05-21 | 2019-07-12 | 北京理工大学 | 基于不确定性感知攻击图的网络攻击预测模型构建方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111931168B (zh) | 2022-09-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11201882B2 (en) | Detection of malicious network activity | |
CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
CN109962891B (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
Cepheli et al. | Hybrid intrusion detection system for ddos attacks | |
Nezhad et al. | A novel DoS and DDoS attacks detection algorithm using ARIMA time series model and chaotic system in computer networks | |
CN107040517B (zh) | 一种面向云计算环境的认知入侵检测方法 | |
WO2016082284A1 (zh) | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 | |
CN106027559A (zh) | 基于网络会话统计特征的大规模网络扫描检测方法 | |
US10931706B2 (en) | System and method for detecting and identifying a cyber-attack on a network | |
Kushwah et al. | Distributed denial of service attacks detection in cloud computing using extreme learning machine | |
Nafea et al. | Efficient non-linear covert channel detection in TCP data streams | |
Gharvirian et al. | Neural network based protection of software defined network controller against distributed denial of service attacks | |
US10681059B2 (en) | Relating to the monitoring of network security | |
CN115706671A (zh) | 网络安全防御方法、装置以及存储介质 | |
Igbe et al. | Detecting denial of service attacks using a combination of dendritic cell algorithm and the negative selection algorithm | |
Dehkordi et al. | Retracted: A Novel Distributed Denial of Service (DDoS) Detection Method in Software Defined Networks | |
CN111931168B (zh) | 一种基于警报关联的僵尸机检测方法 | |
Ahmed et al. | Enhancing intrusion detection using statistical functions | |
Alhaidari et al. | Detecting distributed Denial of service attacks using hidden Markov models | |
Bharati et al. | A survey on hidden Markov model (HMM) based intention prediction techniques | |
Murthy et al. | Hybrid intelligent intrusion detection system using bayesian and genetic algorithm (baga): comparitive study | |
Dixit et al. | Naive Bayes and SVM based NIDS | |
Ramprasath et al. | Virtual Guard Against DDoS Attack for IoT Network Using Supervised Learning Method | |
Mohan et al. | A Perspicacious Multi-level Defense System Against DDoS Attacks in Cloud Using Information Metric & Game Theoretical Approach | |
Chaudhari et al. | A Systematic Review of DoS Attack Prevention Techniques on Delay Tolerant Network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |