欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

一種基于頻繁模式增長算法的網(wǎng)絡(luò)攻擊路徑重構(gòu)方法

文檔序號:7720070閱讀:207來源:國知局
專利名稱:一種基于頻繁模式增長算法的網(wǎng)絡(luò)攻擊路徑重構(gòu)方法
技術(shù)領(lǐng)域
本發(fā)明涉及一種基于頻繁模式增長算法的攻擊路徑重構(gòu)技術(shù),屬于網(wǎng)絡(luò)信息安全 技術(shù)領(lǐng)域,適用于入侵檢測系統(tǒng)(IDS)和其它安全監(jiān)控系統(tǒng)。
背景技術(shù)
入侵檢測系統(tǒng)(IDS)通過檢查操作系統(tǒng)的審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包信息來檢測系 統(tǒng)中違背安全策略或危及系統(tǒng)安全的行為或活動(dòng),并根據(jù)預(yù)先設(shè)定的策略進(jìn)行響應(yīng)。由于 IDS提供的是大量獨(dú)立的、原始的告警事件并且其中存在著漏警與虛警,導(dǎo)致這些數(shù)據(jù)無 法直接利用。目前通常采用的方法是對低級別的告警事件進(jìn)行聚集和關(guān)聯(lián),建立高級別的 攻擊場景,即從大量IDS告警事件中分析出入侵者為達(dá)到入侵目的所采取的一系列攻擊步 驟,使系統(tǒng)管理者和安全響應(yīng)系統(tǒng)能更好地了解真實(shí)的攻擊行為,從而采取有效的應(yīng)對策 略。這個(gè)過程也被稱為構(gòu)建攻擊場景。但是,現(xiàn)有攻擊場景構(gòu)造方法的一個(gè)普遍特點(diǎn)是它 們都嚴(yán)重依賴于IDS的告警事件,即關(guān)聯(lián)結(jié)果的準(zhǔn)確性受到IDS能力的限制。當(dāng)IDS出現(xiàn) 漏報(bào)或誤報(bào)現(xiàn)象時(shí),關(guān)聯(lián)告警事件將不能反映真實(shí)的攻擊場景,因而會對用戶產(chǎn)生誤導(dǎo);并 且由此建立的攻擊場景結(jié)構(gòu)異常復(fù)雜,用戶無法直接從中提取出特定的攻擊路徑。本發(fā)明涉及到的一項(xiàng)重要已有技術(shù)是攻擊路徑重構(gòu)技術(shù)。攻擊路徑是對引起系統(tǒng) 狀態(tài)變遷的攻擊序列的一種描述,體現(xiàn)了系統(tǒng)狀態(tài)和攻擊動(dòng)作之間的依賴關(guān)系。由于重構(gòu) 網(wǎng)絡(luò)攻擊路徑能夠幫助管理人員有針對性地提高網(wǎng)絡(luò)安全性,因此其已成為網(wǎng)絡(luò)安全評估 系統(tǒng)中的一項(xiàng)重要環(huán)節(jié)。目前,在攻擊場景的基礎(chǔ)上重構(gòu)攻擊路徑的方法有“安全告警與威脅分 析”(security alerts and Threats analysis, SATA)系統(tǒng)中使用的基于 Apriori 算法的 攻擊路徑重構(gòu)方法。該方法通過對預(yù)先劃分的時(shí)間窗口內(nèi)的告警事件集進(jìn)行挖掘,發(fā)現(xiàn)頻 繁攻擊序列,然后依照時(shí)間順序重構(gòu)攻擊路徑,從而判斷攻擊者的策略和意圖。其核心處理 流程為1.對告警事件進(jìn)行排序首先對數(shù)據(jù)庫中的各類告警事件按照在攻擊中發(fā)生的時(shí)間先后順序進(jìn)行排序;然 后將告警事件在數(shù)據(jù)庫中排序前獲得的序列號作為主碼,再將排序后的所有告警事件映射 到它們對應(yīng)的攻擊類型,以獲得一個(gè)簽名(signature-id),即獲得一個(gè)代表該攻擊類型的 整型編碼;在后續(xù)的挖掘處理中用該簽名代替告警事件的字符串名稱,以節(jié)省字符串匹配 的時(shí)間。經(jīng)過上述操作,將原始告警事件數(shù)據(jù)庫中的數(shù)據(jù)轉(zhuǎn)化為全局攻擊序列。2.劃分時(shí)間片段在對告警事件進(jìn)行排序以后,定義攻擊時(shí)間窗口的時(shí)間長度,并用該時(shí)間長度將 全局攻擊序列化分為若干局部攻擊序列。某一時(shí)間窗口內(nèi)包含該時(shí)間范圍內(nèi)所有告警事 件。攻擊時(shí)間窗口的長度根據(jù)實(shí)際情況人為確定,通常是根據(jù)專家意見所認(rèn)定的完成一次 完整攻擊所需要的時(shí)間。3.挖掘攻擊序列
4
在得到局部攻擊序列之后,將每個(gè)局部攻擊序列視為一個(gè)“事務(wù)”(transaction), 并由這些局部攻擊序列構(gòu)成一個(gè)攻擊事務(wù)數(shù)據(jù)庫;然后對該數(shù)據(jù)庫應(yīng)用Apriori算法,從 攻擊事務(wù)數(shù)據(jù)庫中挖掘出頻繁攻擊序列。設(shè)I = (I1,... , U是m個(gè)不同布爾型項(xiàng)目的集合,T= U1,... ,tj是一個(gè)事務(wù) 數(shù)據(jù)庫,其中、表示事務(wù)數(shù)據(jù)庫T的第j個(gè)事務(wù),它是I中一組布爾型項(xiàng)目的集合A £ I。 每一個(gè)事務(wù)都有一個(gè)唯一的標(biāo)示符TID。如果對于I中的一個(gè)子集X,有Z G ^,就說一個(gè)事 務(wù)包含X。一條布爾型關(guān)聯(lián)規(guī)則就是一個(gè)形如“X Y"的蘊(yùn)含式,其中Z G /,ΓG /,并且
= 0 O定義1 對于項(xiàng)目集X,X的支持度Support (X)表示數(shù)據(jù)庫中包含X的事務(wù)數(shù);定義2 布爾型關(guān)聯(lián)規(guī)則“ v ’的支持率定義為Sup,Sup = SupP°rt(XuY),其
X=^Yη
中η是數(shù)據(jù)庫中的事務(wù)總數(shù)。布爾型關(guān)聯(lián)規(guī)則的挖掘問題就是要生成所有滿足用戶給定的最小支持度(min Support)的布爾型規(guī)則,滿足最小支持度的布爾型關(guān)聯(lián)規(guī)則稱為有意義的關(guān)聯(lián)規(guī)則,其中 最小支持度 min Support = min SupXn0上述問題可以進(jìn)一步引申為找出事務(wù)數(shù)據(jù)庫中所有滿足用戶給定最小支持度的 項(xiàng)目集(I的非空子集),其中滿足最小支持度的項(xiàng)目集稱為頻繁項(xiàng)目集。SATA系統(tǒng)中用到的搜索頻繁項(xiàng)目集的算法,即Apriori數(shù)據(jù)挖掘算法具體為Apriori算法的原理基于下面兩個(gè)定理定理1 如果項(xiàng)目集X是頻繁項(xiàng)目集,那么它的所有非空子集都是頻繁項(xiàng)目集。定理2 如果項(xiàng)目集X是最非頻繁項(xiàng)目集,那么它的所有超集都是非頻繁項(xiàng)目集。在這兩個(gè)定理的基礎(chǔ)上,Apriori算法采用一種廣度優(yōu)先且逐層搜索的迭代方法, 通過對數(shù)據(jù)庫的多次掃描以發(fā)現(xiàn)所有的頻繁項(xiàng)目集,每一次掃描中只考慮具有同一長度的 所有項(xiàng)目集。該方法可以從歷史數(shù)據(jù)中挖掘出頻繁攻擊序列。該頻繁攻擊序列在一定程度 上反映了攻擊行為發(fā)生的規(guī)律,專家可以通過研究頻繁攻擊序列,對攻擊者的意圖和策略 進(jìn)行判斷。但是,該方法存在以下缺點(diǎn)1. Apriori算法會在挖掘的過程中產(chǎn)生大量候選集,嚴(yán)重消耗資源;2. Apriori算法需要反復(fù)掃描數(shù)據(jù)庫以挖掘每一個(gè)長度級別的頻繁序列,時(shí)間復(fù) 雜度高;3.由于Apriori算法不適合挖掘長的頻繁序列,所以SATA系統(tǒng)只能挖掘不大于 10步的攻擊序列,而對于較長的攻擊序列無能為力。4.由于SATA系統(tǒng)在進(jìn)行挖掘之前,只是依照時(shí)間順序?qū)Ω婢录蛄羞M(jìn)行了簡 單的排序,其挖掘?qū)ο笕匀皇菦]有經(jīng)過關(guān)聯(lián)的離散告警事件,導(dǎo)致最終挖掘結(jié)果只是所有 滿足最小支持度的告警事件的簡單聚集,無法直接構(gòu)成攻擊路徑,管理員需要根據(jù)經(jīng)驗(yàn)對 數(shù)據(jù)進(jìn)行再處理,由此難以保證其結(jié)果的準(zhǔn)確性。本發(fā)明還使用到頻繁模式增長算法(FP-Growth算法)。該算法可分為兩部分(1) 構(gòu)建FP-樹;(2)基于FP-樹的頻繁模式挖掘算法(FP-Growth)。首先,頻繁模式樹(FP-樹)的結(jié)構(gòu)定義如下
a. FP-樹由樹根(標(biāo)記為null)、作為樹葉的一組項(xiàng)目前綴子樹以及一個(gè)頻繁項(xiàng)目
頭結(jié)點(diǎn)鏈表組成。b.項(xiàng)目前綴子樹中的每個(gè)節(jié)點(diǎn)包含以下域項(xiàng)目名、計(jì)數(shù)值以及節(jié)點(diǎn)鏈表。其中 項(xiàng)目名表示該節(jié)點(diǎn)指代哪個(gè)項(xiàng)目;計(jì)數(shù)值表示經(jīng)過該節(jié)點(diǎn)的通路的數(shù)量,即通路所代表的 事務(wù)數(shù)量;節(jié)點(diǎn)鏈表將FP-樹中擁有相同項(xiàng)目名的節(jié)點(diǎn)進(jìn)行鏈接,如果鏈表為null則說明 樹中沒有該項(xiàng)目。c.頻繁項(xiàng)目頭結(jié)點(diǎn)鏈表中的每個(gè)結(jié)點(diǎn)包含兩個(gè)域項(xiàng)目名與頭指針,后者為指向 FP-樹中擁有項(xiàng)目名的第一個(gè)節(jié)點(diǎn)的指針。算法1(FP_樹構(gòu)建)輸入一個(gè)事務(wù)數(shù)據(jù)庫DB以及最小支持度閥值(用ξ表示)輸出FP_樹,既DB的頻繁模式樹處理FP_樹的構(gòu)建過程如下1.對DB進(jìn)行第一次掃描,收集所有的頻繁項(xiàng)目組成的集合F,其中包含這些項(xiàng)目 的支持度。按照支持度的降序?qū)中的元素進(jìn)行排序并存入頻繁項(xiàng)目表FList。2.創(chuàng)建FP-樹的根節(jié)點(diǎn)T,并標(biāo)記為null,對DB中的每個(gè)事務(wù)Trans,循環(huán)執(zhí)行下 面的步驟3。3.對DB中的事務(wù)Trans進(jìn)行第二次掃描,選擇Trans中的頻繁項(xiàng)目,并按照FList 中的順序進(jìn)行排序。將Trans中排序后的頻繁項(xiàng)目組成表[ρ |P],其中ρ是表中的第一個(gè)元 素,P剩余的元素組成的子表。執(zhí)行步驟4調(diào)用函數(shù)insertjree ([ρ I P],Τ)。4.函數(shù)insertjree ([ρ | P], Τ)的執(zhí)行步驟如下所示如果T有子節(jié)點(diǎn)N,且 N. item_name = p. item_name,則將N的計(jì)數(shù)值加1 ;否則創(chuàng)建一個(gè)新節(jié)點(diǎn)N,將其計(jì)數(shù)值初 始化為1,并將其父節(jié)點(diǎn)指向T,同時(shí)根據(jù)項(xiàng)目名將其與頻繁項(xiàng)目頭結(jié)點(diǎn)鏈表中相應(yīng)的結(jié)點(diǎn) 進(jìn)行鏈接。如果P非空,則以遞歸形式調(diào)用insertjree (P,N)。在構(gòu)建完FP-樹之后,對其進(jìn)行挖掘。此過程可用算法2描述如下算法2 (FP-Growth 頻繁模式生成算法,在FP樹中挖掘頻繁模式)輸入數(shù)據(jù)庫DB,由算法1所產(chǎn)生的FP-樹;最小支持度閥值ξ。輸出完整的頻繁模式集(頻繁項(xiàng)目集)處理調(diào)用函數(shù)EP-growth(Tree, null)EP-growth (Tree, α)如果Tree中包含一條單前綴通路,則令P表示Tree的單前綴通路;令Q表示Tree的剩余部分,且將此部分的頂點(diǎn)設(shè)為null ;對P中所有節(jié)點(diǎn)的組合β:生成模式β U α,其支持度設(shè)為β中節(jié)點(diǎn)的最小支持度;令freq_pattern_Set (P)為按照上面方法生成的頻繁模式的集合;否則,令Q 表示 Tree;對Q中的每個(gè)節(jié)點(diǎn)ai:生成模式β = ai U α,其支持度為 的支持度;構(gòu)建β的條件模式庫和β的條件FP-樹Tree0 ;
如果斤儀存類⑦,則調(diào)用FP-Growth(Tree0,β );令freq_pattern_Set (Q)為按照上面方法生成的頻繁模式的集合;輸出freq_pattern_set (P) U freq_pattern_set (Q) U (freq_pattern_ set (P)Xfreq_pattern_set(Q));其中(1)單前綴通路FP-樹是一棵只由單前綴通路組成的FP-樹,該通路從樹根延伸至 樹的第一個(gè)分支節(jié)點(diǎn),其中分支節(jié)點(diǎn)是包含至少一條子分支的節(jié)點(diǎn)。(2)令α為DB中的一個(gè)頻繁項(xiàng)目集,B為α的條件模式庫,β為B中的一個(gè)項(xiàng) 目集。認(rèn)為α U β在DB中的支持度等于β在B中的支持度,且α U β在DB中是頻繁 的當(dāng)且僅當(dāng)β在B中是頻繁的。(3)對任意頻繁項(xiàng)目 ,在FP-樹的頭指針表中搜索頭結(jié)點(diǎn)為 的鏈表可以獲得 所有只包含%的所有可能的頻繁模式。在計(jì)算以%為后綴的頻繁模式時(shí),只需積累FP-樹 中標(biāo)記為%的節(jié)點(diǎn)的前綴子樹,且前綴通路中的每個(gè)節(jié)點(diǎn)頻繁度計(jì)數(shù)值應(yīng)與的相同。基于上述結(jié)論,通過將前綴子樹中的每個(gè)節(jié)點(diǎn)的頻繁度的計(jì)數(shù)值調(diào)整為與節(jié)點(diǎn)^ 相同的計(jì)數(shù)值,節(jié)點(diǎn)%在通路P中的前綴子樹可以被復(fù)制并轉(zhuǎn)換為一個(gè)調(diào)整計(jì)數(shù)值的前綴 子樹。由被轉(zhuǎn)換的 的前綴通路的集合構(gòu)成與 一同出現(xiàn)的子模式庫。這種與 一同 出現(xiàn)的子數(shù)據(jù)庫叫做 的條件模式庫,用"patterrubasela/'表示。之后可以通過創(chuàng)建一棵 子FP-樹來計(jì)算%的條件模式庫中與%關(guān)聯(lián)的所有頻繁模式,該樹稱作%的條件FP-樹, 用“FP-tree | a/’表示。后續(xù)的挖掘過程將在這棵條件FP-樹中進(jìn)行。

發(fā)明內(nèi)容
本發(fā)明的目的是針對已有技術(shù)存在的不足,提出一種基于頻繁模式增長算法的攻 擊路徑重構(gòu)技術(shù)。本發(fā)明將IDS的告警事件與其他安全工具(如殺毒軟件/掃描器等)的 數(shù)據(jù)相關(guān)聯(lián),融合為補(bǔ)償性入侵證據(jù)(complementary intrusionevidence),并在此數(shù)據(jù)基 礎(chǔ)上創(chuàng)建基于貝葉斯網(wǎng)絡(luò)的攻擊場景;然后使用頻繁模式增長算法從攻擊場景中挖掘出頻 繁攻擊序列;最后將挖掘出的頻繁攻擊序列進(jìn)行再關(guān)聯(lián)以重構(gòu)出攻擊路徑。本發(fā)明的目的是通過以下技術(shù)方案實(shí)現(xiàn)的。本發(fā)明的一種基于頻繁模式增長算法的網(wǎng)絡(luò)攻擊路徑重構(gòu)方法的整體框架設(shè)計(jì) 流程如圖1所示。其具體操作流程如下步驟一、構(gòu)建攻擊場景構(gòu)建攻擊場景(用AS表示)的具體步驟如下第1步收集告警事件(用Alert表示)與系統(tǒng)狀態(tài)(用System-State表示)。 告警事件直接使用IDS進(jìn)行收集,系統(tǒng)狀態(tài)則使用殺毒軟件或掃描器等系統(tǒng)安全工具對系 統(tǒng)進(jìn)行監(jiān)控,將發(fā)現(xiàn)的系統(tǒng)狀態(tài)(或系統(tǒng)狀態(tài)的變化)以日志形式進(jìn)行收集并處理,構(gòu)建攻 擊場景AS。步驟二、挖掘頻繁攻擊序列集
在步驟一中構(gòu)建攻擊場景AS的基礎(chǔ)上,進(jìn)行基于頻繁模式增長算法的頻繁攻擊 序列(用FAP表示)集合的挖掘。步驟三、重構(gòu)攻擊路徑在步驟二的基礎(chǔ)上,依次對所有頻繁攻擊序列FAP重新進(jìn)行關(guān)聯(lián)以重構(gòu)攻擊路徑 (用APath表示),進(jìn)而得到攻擊者最可能的攻擊意圖。其具體操作步驟如下第1步將頻繁攻擊序列FAP中的元素按照時(shí)間順序進(jìn)行排序;其中,F(xiàn)AP中的元素由系統(tǒng)狀態(tài)變量System-State和告警事件變量Alert組成, 且System-State和Alert都具有時(shí)間戳time stamp屬性。第2步將告警事件Alert進(jìn)行關(guān)聯(lián);其具體化簡方法為對每個(gè)告警事 Alert,如果 Bi^yfew - State e FAP,或者彐Sjwfem - State e APath, 并且該告警事件Alert的System-State與告警事件Alert的precondition中的 System-State相同,則將告警事件Alert及其precondition中的所有變量vQ,V1, v2, . . . vn作為節(jié)點(diǎn)添加到攻擊路徑APath中,合并攻擊路徑APath中重復(fù)出現(xiàn)的系統(tǒng)狀態(tài) System-State節(jié)點(diǎn),然后,將剩下的系統(tǒng)狀態(tài)System-State節(jié)點(diǎn)與告警事件Alert節(jié)點(diǎn)相 連;否則,說明該告警事件Alert的precondition不能被滿足,放棄該Alert。然后,將告警事件Alert的postcondition中的所有元素eQ,e1 e2,. . . en作為節(jié) 點(diǎn)添加到攻擊路徑APath中,合并攻擊路徑APath中重復(fù)出現(xiàn)的系統(tǒng)狀態(tài)System-State節(jié) 點(diǎn),并將剩下的系統(tǒng)狀態(tài)System-State節(jié)點(diǎn)與告警事件Alert節(jié)點(diǎn)相連。循環(huán)執(zhí)行第2步,直到遍歷完頻繁攻擊序列FAP中的所有告警事件Alert。其中,頻繁攻擊序列FAP中的System-State以元素形式出現(xiàn),APath中的 System-State以節(jié)點(diǎn)形式出現(xiàn);Alert的precondition中的System-State以布爾型變 量形式出現(xiàn),此處用變量用Vi表示,即precondition = ν0 Λ V1 Λ . . . Λ νη(0 ^ i ^ η); Alert的postcondition中的System-State以元素形式出現(xiàn),此處用元素Gi表示,即 postcondition = { Gq J θ J ... J θη } (0 < i < η)。第3步對攻擊路徑APath中的節(jié)點(diǎn)進(jìn)行化簡。對于從同一攻擊事務(wù)數(shù)據(jù)庫中挖掘出的所有頻繁攻擊序列,依次使用步驟三,以 完成對攻擊路徑的重構(gòu)。由于結(jié)合兩類補(bǔ)償性入侵證據(jù)進(jìn)行數(shù)據(jù)挖掘,且在其后進(jìn)行了再 關(guān)聯(lián),所以能夠保證攻擊路徑的可靠性與信息的完整性,并據(jù)此準(zhǔn)確推斷出攻擊意圖。有益效果1.本發(fā)明在構(gòu)造攻擊場景的過程中將IDS的告警事件與其他安全工具 如殺毒軟件/掃描器等的數(shù)據(jù)相關(guān)聯(lián),融合為互補(bǔ)性入侵證據(jù)(complementary intrusionevidence),使每一步攻擊都有相應(yīng)的系統(tǒng)狀態(tài)作為攻擊效果的客觀反映。確保 在后續(xù)分析中,可以準(zhǔn)確判斷攻擊者每一步攻擊行為的目的及其整體意圖;2.本發(fā)明在構(gòu)造攻擊場景的基礎(chǔ)上,提出一種新的重構(gòu)攻擊路徑的方法,即利用 數(shù)據(jù)是由互補(bǔ)性入侵證據(jù)組成以及在挖掘前具有特殊屬性這兩個(gè)優(yōu)勢,對挖掘后的頻繁攻 擊序列進(jìn)行再關(guān)聯(lián),由此準(zhǔn)確重構(gòu)攻擊路徑,進(jìn)而清晰判斷出可能的攻擊意圖;3.本發(fā)明在頻繁攻擊序列的挖掘過程中采用頻繁模式增長算法,在提高了挖掘效 率的同時(shí)顯著減少了系統(tǒng)開銷。
8


圖1為本發(fā)明方法的整體框架設(shè)計(jì)流程圖;圖2為本發(fā)明具體實(shí)施方式
中的本發(fā)明方法與SATA系統(tǒng)性能比較可視圖。
具體實(shí)施例方式下面結(jié)合附圖及具體實(shí)施方式
對本發(fā)明方法進(jìn)行詳細(xì)說明。為了檢驗(yàn)本發(fā)明提出方法的有效性,使用基于該方法原理設(shè)計(jì)的一套應(yīng)用系統(tǒng)進(jìn) 行實(shí)驗(yàn)。實(shí)驗(yàn)硬件環(huán)境為一個(gè)預(yù)先搭建的局域網(wǎng),在其中配置三臺主機(jī),主機(jī)間由集線器相 連;軟件環(huán)境為=IDS使用snort,掃描器使用x-scan,殺毒軟件使用Kaspersky。隨機(jī)選擇 一臺主機(jī)作為攻擊者,控制其對另一臺作為被攻擊者的主機(jī)實(shí)施攻擊,殺毒軟件和掃描器 安裝在被攻擊主機(jī)上,IDS安裝在第三臺主機(jī)上。為了更加有效地模擬真實(shí)的攻擊場景,使用DAPRA2000數(shù)據(jù)集模擬攻擊場景中的 背景數(shù)據(jù)流量。實(shí)驗(yàn)開始后,系統(tǒng)從中收集到了 267個(gè)告警事件以及相應(yīng)的代表系統(tǒng)狀態(tài) 改變的數(shù)據(jù)。將這些數(shù)據(jù)作為干擾項(xiàng),以檢測系統(tǒng)的健壯性和穩(wěn)定性。將DARPA2000數(shù)據(jù)集導(dǎo)入局域網(wǎng)的背景數(shù)據(jù)流中,攻擊者隨機(jī)選擇時(shí)間對被攻擊 主機(jī)進(jìn)行真實(shí)的入侵行為,該入侵行為可以分為探測系統(tǒng)漏洞,針對該漏洞實(shí)施攻擊,關(guān) 閉防御軟件,獲得系統(tǒng)控制權(quán),安裝后門程序等4個(gè)步驟。不斷重復(fù)上述操作,并讓該過程 持續(xù)48個(gè)小時(shí)?;谏鲜霰尘懊枋觯瑢?shí)驗(yàn)流程可以分為以下3個(gè)步驟步驟一、構(gòu)建攻擊場景系統(tǒng)從被攻擊主機(jī)和IDS中收集所有補(bǔ)償性入侵證據(jù),使用編譯好的程序和知識 庫(用于保存告警事件的precondition、postcondition信息)構(gòu)建攻擊場景。步驟二、挖掘頻繁攻擊序列集在步驟一中構(gòu)建攻擊場景AS的基礎(chǔ)上,進(jìn)行基于頻繁模式增長算法的頻繁攻擊 序列集合的挖掘,其具體方法為將基于FP-樹的頻繁模式挖掘算法編譯后導(dǎo)入系統(tǒng)。使用 該算法對攻擊場景進(jìn)行挖掘,以找出所有的頻繁攻擊序列FAP。為了體現(xiàn)FP-Growth算法的 性能優(yōu)勢,同時(shí)使用Apriori算法對攻擊場景進(jìn)行挖掘。這個(gè)過程反復(fù)進(jìn)行6次,其中攻擊 時(shí)間窗口開放間隔分別設(shè)為2、4、6、8、10、12小時(shí)。其對比結(jié)果如圖2所示。圖中,橫坐標(biāo) 為攻擊時(shí)間窗口大小,單位為小時(shí);縱坐標(biāo)為系統(tǒng)運(yùn)行時(shí)間,單位為秒;圖中顯示,在攻擊 時(shí)間窗口分別設(shè)置為2、4、6、8、10、12小時(shí),使用本發(fā)明方法的系統(tǒng)運(yùn)行時(shí)間明顯小于SATA 系統(tǒng)運(yùn)行的時(shí)間。步驟三、重構(gòu)攻擊路徑在步驟二的基礎(chǔ)上,依次對所有頻繁攻擊序列FAP重新進(jìn)行關(guān)聯(lián)以重構(gòu)攻擊路徑 (用APath表示),進(jìn)而判斷攻擊者最可能的攻擊意圖。其具體操作步驟如下第1步排序?qū)AP中的元素按照時(shí)間順序進(jìn)行排序;其中,F(xiàn)AP中的元素由系統(tǒng)狀態(tài)變量System-State和告警事件變量Alert組成, 且System-State和Alert都具有時(shí)間戳time_stamp屬性。第2步關(guān)聯(lián)依次遍歷FAP中的所有Alert。對每個(gè) Alert,如果彐-State € FAP,或者彐- State e APath,與 Alert
9白勺 precondition ψ 白勺 System-State 才百胃,PJ Alert ^ ^ precondition Φ W Iif W ^ 量(用Vq,V1, v2, ...vn表示)作為節(jié)點(diǎn)添加到APath中,之后,合并APath中重復(fù)出現(xiàn)的 System-State節(jié)點(diǎn),之后,將剩下的System-State節(jié)點(diǎn)與Alert節(jié)點(diǎn)相連;否則,說明該 Alert的precondition不能被滿足,放棄此APath ;然后,將Alert的postcondition中的所有元素(用eQ,e1 e2,. · · en表示)作為 節(jié)點(diǎn)添加到APath中,之后,合并APath中重復(fù)出現(xiàn)的System-State節(jié)點(diǎn),之后,將剩下的 System-State節(jié)點(diǎn)與Alert節(jié)點(diǎn)相連。循環(huán)執(zhí)行第2步,直到遍歷完FAP中的所有Alert。其中,頻繁攻擊序列FAP中的System-State以元素形式出現(xiàn),APath中的 System-State以節(jié)點(diǎn)形式出現(xiàn);Alert的precondition中的System-State以布爾型變 量形式出現(xiàn),此處用變量用Vi表示,即precondition = ν0 Λ V1 Λ . . . Λ νη(0 ^ i ^ η); Alert的postcondition中的System-State以元素形式出現(xiàn),此處用元素Gi表示,即 postcondition = { Gq J θ J ... J θη } (0 < i < η)。第3步化簡依次遍歷APath中的所有Alert節(jié)點(diǎn)。對每個(gè)Alert,如果3e,+ e Alert.postcondition,且ei在APath中有對應(yīng)的節(jié)點(diǎn),但是 對于APath中所有其他告警事件節(jié)點(diǎn)(用Alert'表示),如果Alert'在時(shí)間戳上晚于該 Alert,艮 口 Alert' . time_stamp > Alert. time_stamp,且 Vvi e Alert'.precondition, y. Φ θ , 則從APath中刪除ei對應(yīng)的節(jié)點(diǎn)。其中,APath 中的 System—State 以節(jié)點(diǎn)形式出現(xiàn);Alert 的 precondition 中 的System-State以布爾型變量形式出現(xiàn),此處用變量用Vi表示,即precondition = ν0 Λ V1 Λ . . . Λ νη(0 ^ i ^ η) ;Alert 白勺 postcondition 巾白勺 System-State UjtMM^i 出現(xiàn),此處用兀素ej表不,艮口 postcondition = { Gq J θ"^ J ... J θη } (0 彡 i 彡 η)。循環(huán)執(zhí)行第3步,直到遍歷完FAP中的所有Alert節(jié)點(diǎn)。對于從同一攻擊事務(wù)數(shù)據(jù)庫中挖掘出的所有頻繁攻擊序列,依次使用步驟三,以 完成對攻擊路徑的重構(gòu)。由于結(jié)合兩類補(bǔ)償性入侵證據(jù)進(jìn)行數(shù)據(jù)挖掘,且在其后進(jìn)行了再 關(guān)聯(lián),所以能夠保證攻擊路徑的可靠性與信息的完整性,并據(jù)此準(zhǔn)確推斷出攻擊意圖。
10
權(quán)利要求
一種基于頻繁模式增長算法的網(wǎng)絡(luò)攻擊路徑重構(gòu)方法,其特征在于其具體操作步驟如下步驟一、構(gòu)建攻擊場景AS收集告警事件Alert與系統(tǒng)狀態(tài)System State;告警事件直接使用IDS進(jìn)行收集,系統(tǒng)狀態(tài)則使用殺毒軟件或掃描器等系統(tǒng)安全工具對系統(tǒng)進(jìn)行監(jiān)控,將發(fā)現(xiàn)的系統(tǒng)狀態(tài)或系統(tǒng)狀態(tài)的變化以日志形式進(jìn)行收集并處理,構(gòu)建攻擊場景AS;步驟二、挖掘頻繁攻擊序列FAP在步驟一中構(gòu)建攻擊場景AS的基礎(chǔ)上,進(jìn)行基于頻繁模式增長算法的頻繁攻擊序列FAP的挖掘;步驟三、重構(gòu)攻擊路徑APath在步驟二的基礎(chǔ)上,依次對所有頻繁攻擊序列FAP重新進(jìn)行關(guān)聯(lián)以重構(gòu)攻擊路徑APath,進(jìn)而得到攻擊者最可能的攻擊意圖;第1步將頻繁攻擊序列FAP中的元素按照時(shí)間順序進(jìn)行排序;第2步將告警事件Alert進(jìn)行關(guān)聯(lián);其具體方法為對每個(gè)告警事Alert,如果 <mrow><mo>&Exists;</mo><mi>System</mi><mo>-</mo><mi>State</mi><mo>&Element;</mo><mi>FAP</mi><mo>,</mo> </mrow>或者 <mrow><mo>&Exists;</mo><mi>System</mi><mo>-</mo><mi>State</mi><mo>&Element;</mo><mi>APath</mi><mo>,</mo> </mrow>并且該告警事件Alert的System State與告警事件Alert的precondition中的System State相同,則將告警事件Alert及其precondition中的所有變量v0,v1,v2,...vn作為節(jié)點(diǎn)添加到攻擊路徑APath中,合并攻擊路徑APath中重復(fù)出現(xiàn)的系統(tǒng)狀態(tài)System State節(jié)點(diǎn),然后,將剩下的系統(tǒng)狀態(tài)System State節(jié)點(diǎn)與告警事件Alert節(jié)點(diǎn)相連;否則,說明該告警事件Alert的precondition不能被滿足,放棄該Alert;然后,將告警事件Alert的postcondition中的所有元素e0,e1,e2,...en作為節(jié)點(diǎn)添加到攻擊路徑APath中,合并攻擊路徑APath中重復(fù)出現(xiàn)的系統(tǒng)狀態(tài)System State節(jié)點(diǎn),并將剩下的系統(tǒng)狀態(tài)System State節(jié)點(diǎn)與告警事件Alert節(jié)點(diǎn)相連;循環(huán)執(zhí)行第2步,直到遍歷完頻繁攻擊序列FAP中的所有告警事件Alert;第3步對攻擊路徑APath中的節(jié)點(diǎn)進(jìn)行化簡;對于從同一攻擊事務(wù)數(shù)據(jù)庫中挖掘出的所有頻繁攻擊序列,依次使用步驟三,以完成對攻擊路徑的重構(gòu)。
2.如權(quán)力要求1所述的一種基于頻繁模式增長算法的網(wǎng)絡(luò)攻擊路徑重構(gòu)方法,其特征 在于步驟二挖掘頻繁攻擊序列集的具體步驟如下第1步根據(jù)實(shí)際環(huán)境需要,定義攻擊時(shí)間窗口 T的時(shí)間長度; 第2步根據(jù)系統(tǒng)狀態(tài)變量System-State的host屬性,對整個(gè)攻擊場景AS進(jìn)行遍歷, 按照攻擊目標(biāo)將AS劃分為多個(gè)子場景空間child-AS,每個(gè)子場景空間child-AS針對同一 個(gè)被攻擊主機(jī);第3步使用攻擊時(shí)間窗口 T將一個(gè)child-AS劃分為多組局部攻擊序列l(wèi)ocal-ΑΡ ;遍 歷每個(gè)T中的local-AP,以同一組local-ΑΡ作為輸入數(shù)據(jù),構(gòu)建攻擊事務(wù)數(shù)據(jù)庫ATD,ATD 中的每個(gè)事務(wù)對應(yīng)一個(gè)攻擊序列AP ;第4步使用FP-Growth算法對攻擊事務(wù)數(shù)據(jù)庫ATD進(jìn)行挖掘,輸出所有頻繁攻擊序列FAP。
3.如權(quán)力要求1所述的一種基于頻繁模式增長算法的網(wǎng)絡(luò)攻擊路徑重構(gòu)方法,其特征在于步驟三第3步對攻擊路徑APath中的節(jié)點(diǎn)進(jìn)行化簡的方法為對每個(gè)告警事件Alert,如果% € Alert.postcondition,且ei在攻擊路徑APath中有對 應(yīng)的節(jié)點(diǎn),則對于該攻擊路徑APath中所有其他告警事件節(jié)點(diǎn)Alert',如果其他告警事件 節(jié)點(diǎn) Alert'在時(shí)間戳上晚于該 Alert,即 Alert' · time_stamp > Alert. time_stamp,且 Vvi e Alert'.precondition, Vi Φ ei,則從攻擊路徑APath中刪除ei對應(yīng)的節(jié)點(diǎn)。
全文摘要
本發(fā)明涉及一種基于頻繁模式增長算法的攻擊路徑重構(gòu)技術(shù),屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域,適用于入侵檢測系統(tǒng)(IDS)和其它安全監(jiān)控系統(tǒng)。本發(fā)明將IDS的告警事件與其他安全工具(如殺毒軟件/掃描器等)的數(shù)據(jù)相關(guān)聯(lián),融合為補(bǔ)償性入侵證據(jù)(complementary intrusion evidence),使每一步攻擊都有相應(yīng)的系統(tǒng)狀態(tài)作為攻擊效果的客觀反映;然后在此數(shù)據(jù)基礎(chǔ)上創(chuàng)建基于貝葉斯網(wǎng)絡(luò)的攻擊場景;再使用頻繁模式增長算法從攻擊場景中挖掘出頻繁攻擊序列,提高挖掘效率的同時(shí)顯著減少了系統(tǒng)開銷;最后將挖掘出的頻繁攻擊序列進(jìn)行再關(guān)聯(lián)以重構(gòu)出攻擊路徑,能夠清晰判斷出可能的攻擊意圖。
文檔編號H04L12/26GK101931570SQ20091023763
公開日2010年12月29日 申請日期2010年2月8日 優(yōu)先權(quán)日2010年2月8日
發(fā)明者王崑聲, 白昊, 胡昌振 申請人:中國航天科技集團(tuán)公司第七一○研究所;北京理工大學(xué)
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1
上杭县| 凯里市| 根河市| 银川市| 苏尼特右旗| 昭苏县| 炎陵县| 民丰县| 岱山县| 江达县| 楚雄市| 东丰县| 安陆市| 绥芬河市| 连平县| 韩城市| 河北区| 阿瓦提县| 伊吾县| 织金县| 祥云县| 和田市| 淮阳县| 秦皇岛市| 抚宁县| 饶平县| 兰西县| 米易县| 苍南县| 镇雄县| 梨树县| 开原市| 宜良县| 台北县| 年辖:市辖区| 清新县| 桐庐县| 黎川县| 九龙坡区| 行唐县| 蒙自县|