CN112202738A

CN112202738A - 一种基于机器学习的工控态势感知系统及方法

Info

Publication number: CN112202738A
Application number: CN202010992417.6A
Authority: CN
Inventors: 何云华; 肖珂; 沈加龙; 王超
Original assignee: North China University of Technology
Current assignee: North China University of Technology
Priority date: 2020-09-21
Filing date: 2020-09-21
Publication date: 2021-01-08

Abstract

本发明提供了一种基于机器学习的工控态势感知方法及系统，感知方法包括：对不同的网络安全设备的告警数据集进行收集；对收集到的告警数据集进行规范化处理，并通过采用正则表达式，以字符串匹配的方式从告警日志中提取的属性信息，构建原始告警数据库；然后采用经典的关联规则挖掘算法Apriori，来实现告警聚合，并根据窗口大小完成将全局攻击序列划分为多个候选序列集，最后，通过改进PrefixSpan算法挖掘出最大攻击模式。本发明相较于PrefixSpan算法，准确率和有效性大大提升，且减少了开销。

Description

一种基于机器学习的工控态势感知系统及方法

技术领域

本发明涉及工控安全领域，具体为解决多源告警中蕴含的复杂攻击难发现的问题，提出了一种基于机器学习的工控态势感知系统及方法。

背景技术

随着互联网的普及以及飞速发展，计算机网络在造福人类生产生活同时，也造成了网络安全问题不断升级恶化，网络信息系统安全面临严峻挑战，利用单一的安全设备来对网络进行安全防护已经远远无法满足安全需求。为了应对在企业内网和互联网中潜在的安全威胁和隐蔽攻击，越来越多的安全设备例如防火墙、入侵检测系统(IntrusionDetection Systems，IDS)、入侵诱捕系统(简称蜜罐，Honeypot)和漏洞扫描系统等得以部署，共同构建防御体系来进行网络安全防护。然而，它们也产生了大量质量低、误警率高、重复率高的异构告警信息，这导致通过分析多源告警信息来发现真正有威胁的攻击事件变得十分困难，几乎超越了人力处理的能力极限。此外，网络攻击者发起网络攻击的针对性越来越强，采用的攻击手段也越来越复杂且隐蔽，一个攻击事件中可能包含多个攻击步骤，且不同的攻击步骤可能由不同的攻击者使用不同的主机实施。

针对以上问题，在现有的解决方案中，越来越多的研究者逐渐将其应用于告警关联性研究之中。彭梦停等[9]采用Apriori算法实现关联分析进而完成提取攻击场景，李之棠等[10]、OO Bamasak等[11]则将序列模式挖掘应用于对告警信息的关联分析中，但两者所选用的方法均是基于R Agrawal[12]所提出的 AprioriAll算法。作为Apriori类算法，AprioriAll存在着候选项集庞大，且需要多次扫描数据库的固有缺陷，这在数据量级很大时对于算法效率的影响将是致命的。因此，设计出一种算法不仅能够去除冗余无效告警数据、且能够发现隐藏在原始告警中的攻击步骤，对于实现网络安全态势的深度感知，是非常有必要的。

发明内容

本发明所要解决的技术问题是提供一种基于机器学习的工控态势感知系统及方法，能够解决多源告警中蕴含的复杂攻击难发现的问题。

为了解决上述问题，本发明的实施例提供一种基于机器学习的工控态势感知方法，所述方法包括如下步骤：

S1：数据收集：在企业内网和互联网部署了预设数量的防火墙、入侵检测系统(Intrusion Detection Systems，IDS)、入侵诱捕系统(简称蜜罐，Honeypot) 和漏洞扫描系统，对不同的网络安全设备的告警数据集进行收集；

S2：构建原始告警数据库：首先需要对不同种类的安全设备所产生告警信息的格式进行规范化处理，然后，通过采用正则表达式，以字符串匹配的方式从告警日志中提取的属性信息，构建原始告警数据库；

S3：聚类同一阶段告警：首先对原始冗余告警数据进行提炼压缩，减少处理数据的规模，然后以告警类型为单位进行研究，构建告警类型与攻击阶段的映射关系，并采用关联规则挖掘算法Apriori实现告警聚合；

S4：形成候选攻击序列库：首先，引入滑动窗口的概念对全局告警序列进行划分，得到候选序列集，窗口大小即一个攻击事件中包含的最大攻击阶段数；然后，根据滑动窗口大小对攻击序列进行划分，得到的候选攻击序列集；

S5：挖掘攻击序列模式：选用基于划分的模式增长类算法PrefixSpan进行攻击序列模式挖掘，在构建投影数据库时增加剪枝的步骤，将存在非频繁项的后缀从投影数据集中删除；并扫描投影序列数大于最小支持度的投影数据集。

例如，本发明的实施例提供的一种基于机器学习的工控态势感知方法，所述S3聚类同一阶段告警具体为：

S31：将原始告警数据中重复告警、并发告警、反复告警三种冗余进行压缩提炼；

S32：在构建告警与攻击阶段映射关系的过程中，如果告警序列中两个类型的告警a₁、a₂经常在较短的时间间隔内先后出现，且正向出现＜...,a₁,...,a₂,...＞以及反向出现＜...,a₂,...,a₁,...＞的频率均大于给定阈值，则认为两个告警属于同一阶段的攻击；

S33：采用关联规则挖掘算法Apriori，来实现告警聚合，将同样包含告警信息a₁与a₂的两类项集{...,a₁,...,a₂,...}与{...,a₂,...,a₁,...}分别计数，如果两个告警a₁与a₂在给定的时间间隔内以a₁、a₂或a₂、a₁的顺序出现的频率均大于给定的阈值minsup，且两个告警a₁与a₂之间正向

发生的概率support_D(a₁,a₂)//upport_D(a₁)，与反向

发生的概率support_D(a₂,a₁)//upport_D(a₂)均大于给定的阈值minconf，则认为两告警满足强关联规则，并将其归为同一攻击阶段，并将攻击阶段与告警类型的对应关系存入数据库中。

例如，本发明的实施例提供的一种基于机器学习的工控态势感知方法，所述S4形成候选攻击序列库为：

S41：对同一攻击阶段的告警聚类，得到一个全局攻击序列；

S42：规定一个阈值，假设所有的多阶段攻击事件均在指定的最大阶段阈值内完成，并根据窗口大小完成将全局攻击序列划分为多个候选序列集。

例如，本发明的实施例提供的一种基于机器学习的工控态势感知方法，所述步骤S5挖掘攻击序列模式具体为：

S51：首先输入攻击序列数据库S和最小支持度minsup；

S52：执行PMASP挖掘最大攻击模式算法；

S53：输出最大攻击模式MASP，其中，对于候选攻击序列s与t，两者的包含关系

需满足

例如，本发明的实施例提供的一种基于机器学习的工控态势感知方法，所述步骤S52执行PMASP挖掘最大攻击模式算法具体为：

S521：当k＝1时，扫描数据库S生成序列模式L₁；当k≥2时，扫描投影数据库

生成长度为k的k-序列模式L_k；

S522：

构建与l_k对应的投影数据库

并将其赋值给S；

S523：若投影数据库

为空，或不存在支持度超过阈值minsup的投影，则将l_k加入MASP，重复步骤2)；否则，将满足支持度的各投影与前缀进行合并，得到若干长度为k+1的前缀，重复步骤S522；

S524：对于MASP中的序列模式进行子序列模式判断，若ASP₁、ASP₂∈MASP满足

则将ASP₁从MASP中删除。

为了解决上述问题，本发明还提出了基于机器学习的工控态势感知系统，包括：

数据收集模块，用于对不同的网络安全设备的告警数据集进行收集；

原始告警数据库模块，用于统一处理不同种类的安全设备所产生告警信息；

告警聚类模块，用于实现告警聚合；

候选攻击序列库模块，用于候选攻击序列的生成；

攻击序列模式挖掘模块，用于生成最大攻击模式MASP。

本发明的有益效果之处在于：所述方法相较于传统PrefixSpan算法效率和准确率更高；所述方法在不依赖专家知识的前提下，能够准确并高效地分析告警相关性，还原攻击事件中的攻击步骤。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例的附图作简单地介绍，显而易见地，下面描述中的附图仅仅涉及本发明的一些实施例，而非对本发明的限制。

图1为本发明实施例提供的工控态势感知流程图；

图2为本发明实施例提供的告警数据库中部分告警属性信息图；

图3为本发明实施例提供的全局攻击序列图；

图4为本发明实施例提供的工控态势感知系统结构示意图；

图5为本发明实施例提供的算法与PrefixSpan算法的挖掘效率对比图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例的附图，对本发明实施例的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例，基于所描述的本发明的实施例，本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的实施例提供的基于机器学习的工控态势感知方法，对不同网络设备提供的告警数据集进行压缩并构建原始告警数据库，然后采用经典的关联规则挖掘算法Apriori，来实现告警聚合，根据窗口大小完成将全局攻击序列划分为多个候选序列集，并通过改进的PrefixSpan算法挖掘出最大攻击模式。

本文中符号定义如表1所示：

表1：符号的定义表

如图1所述，本发明的实施例提供的基于机器学习的工控态势感知方法，所述方法包括以下步骤：

S1：数据收集：在企业内网和互联网部署了预设数量的防火墙、入侵检测系统(IntrusionDetectionSystems，IDS)、入侵诱捕系统(简称蜜罐，Honeypot) 和漏洞扫描系统，对不同的网络安全设备的告警数据集进行收集；

例如，在本发明实施例提供的基于机器学习的工控态势感知技术中，对构建原始数据库的处理方法具体为：S2.对构建原始数据库的处理方法步骤为：

S21.首先对它们进行格式上的规范化处理；

S22.然后采用正则表达式，通过字符串匹配来从告警日志中提取有价值的属性信息；

例如，如图2所示，每一条告警应具有以下字段：identifier、id、timestamp、alert_tpye、protocol_type、src、src_port、dst、dst_port。一条告警通过一个多元组来存储上述信息，并将多元组存入数据库来表示该告警。基于各安全设备时间同步的假设，对数据库中的告警信息按照时间升序进行排列。其中：identifier指安全设备标识；id指告警标识；timestamp指告警生成时间；alert_tpye指告警类型； protocol_type指协议类型；src指攻击源IP地址；src_port指攻击源端口；dst指被攻击目标IP地址；dst_port指被攻击目标端口。

例如，在本发明实施例提供的基于机器学习的工控态势感知方法技术中，对聚类同一阶段告警的处理方法具体为：S3.对聚类同一阶段告警的处理方法的具体步骤为：

S31：首先，将原始告警数据中存在着的大量重复告警、并发告警、反复告警三种冗余进行压缩提炼，减少处理数据的规模。

例如，以下表数据集LLDOS2.0.2告警数量的变化过程为例，当完成合并重复告警、合并并发告警与合并反复告警三个阶段后，告警的压缩率达到97.34％。而对同一攻击阶段的告警进行聚合后，又实现了告警数量的精简，总压缩率达到98.34％。

LLDOOS2.0.2告警数量变化过程

S32：其次，对从安全设备中收集得到的告警信息的类型进行直接体现，并构建告警类型与攻击阶段的映射关系。如果告警序列中两个类型的告警a₁、a₂经常在较短的时间间隔内先后出现，且正向出现＜...,a₁,...,a₂,...＞以及反向出现＜...,a₂,...,a₁,...＞的频率均大于给定阈值，则有很大可能性，认为两个告警属于同一阶段的攻击。

例如，以下表第一组结果为例，告警类型15934、15935对应攻击阶段HINFO 查询，告警类型585、41186、12626对应运行Sadmind远程进程的主机查询，在HINFO查询后，进行Sadmind查询的可能性为79.31％。

告警关联结果

S33：最后，采用经典的关联规则挖掘算法Apriori，来实现告警聚合。将同样包含告警信息a₁与a₂的两类项集{...,a₁,...,a₂,...}与{...,a₂,...,a₁,...}分别计数。如果两个告警a₁与a₂在给定的时间间隔内以a₁、a₂或a₂、a₁的顺序出现的频率均大于给定的阈值minsup，且两个告警a₁与a₂之间正向

发生的概率 support_D(a₁,a₂)/support_D(a₁)，与反向

发生的概率support_D(a₂,a₁)/support_D(a₂)均大于给定的阈值minconf，则认为两告警满足强关联规则，并将其归为同一攻击阶段。攻击阶段与告警类型的对应关系存入数据库中。

例如，以告警的属性条件(src,dst)＝(‘172.16.115.20’，‘172.16.112.50’) 对告警信息进行筛选，在给定最小阈值minsup＝0.05与minconf＝0.5的前提下，得到的同一阶段告警的聚类结果为(19535)→(19534)→ (41186,12626,585,2256,12628,1911)→(19534,43542)

例如，在本发明实施例提供的基于机器学习的工控态势感知方法技术中，对形成候选攻击序列库的处理方法具体为：步骤4.对形成候选攻击序列库的处理方法的具体步骤为：

S41：对同一攻击阶段的告警聚类，得到一个全局攻击序列；

例如，得到的全局攻击序列如图3所示，

例如，当窗口大小为5时，生成的候选攻击序列库如下表所示，

候选攻击序列库

例如，在本发明实施例提供的基于机器学习的工控态势感知方法技术中，对挖掘攻击序列模式的处理方法具体为：S5.对挖掘攻击序列模式的处理方法的具体步骤为：

S51：首先输入攻击序列数据库S和最小支持度minsup；

S52：执行PMASP挖掘最大攻击模式算法；

需满足

例如，对于不同的支持度，挖掘得到的最大攻击模式数量和模式的平均长度如下表所示。最大攻击模式的长度均随着支持度的增大而减小。

窗口大小为10时不同支持度下的最大攻击模式

其中，当支持度为0.05时挖掘得到的序列模式中包括 <{15935},{15934},{15935,15934},{585,41186,12626,2256,12628,1911},{15934},{ 43542},{718}>，可较直观地体现出进攻主线：<DNSHINFO、SadmindRequest& SadmindOverflowAttempt、DNSHINFO、TelnetPing>。

参照附图4，其示出本发明的一种基于机器学习的工控态势感知系统实施例，包括告警数据收集模块、原始告警数据库模块、告警聚类模块、候选攻击序列库模块、攻击序列模式挖掘模块。

其中，告警数据收集模块，用于对不同的网络安全设备的告警数据集进行收集；

告警聚类模块，用于实现告警聚合；

候选攻击序列库模块，用于候选攻击序列的生成；

攻击序列模式挖掘模块，用于生成最大攻击模式MASP。

下面采用本发明前述方法对未知工控态势进行感知，并与PrefixSpan算法进行对比。

例如，如图5所示，给出了基于改进的PrefixSpan算法挖掘最大攻击模式的执行时间。由于采用长度固定的候选序列，因此算法有效性大大提升。在支持度较小时，最大攻击序列集中包含更多的攻击模式，由此而产生的投影数据库也较多，算法执行时间较长。与传统PrefixSpan算法相比，改进后的算法执行效率有明显的提升，特别是在构建投影数据库的开销较大时。支持度0.01对应的挖掘效率提升了48.05％。

本发明的实施例的基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的，因此，在不偏离本发明精神的基础上所做的这些修改或改进，均属于本发明要求保护的范围。

Claims

1.一种基于机器学习的工控态势感知系统，包括：

告警聚类模块，用于实现告警聚合；

候选攻击序列库模块，用于候选攻击序列的生成；

攻击序列模式挖掘模块，用于生成最大攻击模式MASP。

2.一种基于机器学习的工控态势感知方法，包括：

S1：数据收集：在企业内网和互联网部署了预设数量的防火墙、入侵检测系统(Intrusion Detection Systems，IDS)、入侵诱捕系统(简称蜜罐，Honeypot)和漏洞扫描系统，对不同的网络安全设备的告警数据集进行收集；

3.根据权利要求2所述的基于机器学习的工控态势感知方法，其中，步骤S3中，所述聚类同一阶段告警具体为：

步骤33：采用关联规则挖掘算法Apriori，来实现告警聚合，将同样包含告警信息a₁与a₂的两类项集{...,a₁,...,a₂,...}与{...,a₂,...,a₁,...}分别计数，如果两个告警a₁与a₂在给定的时间间隔内以a₁、a₂或a₂、a₁的顺序出现的频率均大于给定的阈值minsup，且两个告警a₁与a₂之间正向