一種基于多源報(bào)警日志的網(wǎng)絡(luò)攻擊場(chǎng)景生成方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種基于多源報(bào)警日志的網(wǎng)絡(luò)攻擊場(chǎng)景生成方法����。
【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和社會(huì)信息化程度的不斷提高,網(wǎng)絡(luò)逐漸成為人們生產(chǎn)����、 生活中不可或缺的一部分,網(wǎng)絡(luò)安全受到了越來(lái)越多的關(guān)注�����。各種各樣的安全產(chǎn)品被用于 檢測(cè)網(wǎng)絡(luò)中的攻擊威脅,維護(hù)網(wǎng)絡(luò)的安全運(yùn)行�����。但這些安全手段一般只能在一定范圍內(nèi)發(fā) 揮特定的作用�����,互相之間缺乏有效的數(shù)據(jù)融合和協(xié)同管理機(jī)制��。面對(duì)眾多分散的信息��,網(wǎng)絡(luò) 安全管理人員無(wú)法及時(shí)的應(yīng)對(duì)這些網(wǎng)絡(luò)攻擊威脅�。出于從整體上把握網(wǎng)絡(luò)攻擊威脅�����、維護(hù) 網(wǎng)絡(luò)安全運(yùn)行目的����,側(cè)重于攻擊事件分析的網(wǎng)絡(luò)威脅態(tài)勢(shì)感知技術(shù)應(yīng)運(yùn)而生,并成為網(wǎng)絡(luò) 安全研究中的新熱點(diǎn)�����。
[0003] 隨著安全技術(shù)的不斷發(fā)展,IDS����、IPS以及各種安全防護(hù)的軟硬件設(shè)備近乎實(shí)時(shí)地 對(duì)網(wǎng)絡(luò)中可能存在的安全事件產(chǎn)生大量的報(bào)警日志。當(dāng)系統(tǒng)遭受攻擊時(shí)��,通過(guò)分析日志能 夠發(fā)現(xiàn)當(dāng)前系統(tǒng)存在的漏洞����,確定網(wǎng)絡(luò)中的脆弱環(huán)節(jié),分析發(fā)生的攻擊事件�。因此,從大量 的各種類型的日志中提取出網(wǎng)絡(luò)安全威脅態(tài)勢(shì)相關(guān)的安全事件顯得至關(guān)重要�����。同時(shí)�,網(wǎng)絡(luò) 中存在的多種不同類型的安全設(shè)備共同組成了網(wǎng)絡(luò)防御體系,一次網(wǎng)絡(luò)攻擊可能會(huì)在不同 的安全設(shè)備上留下痕跡���,異構(gòu)的安全設(shè)備從不同的方面反映同一個(gè)攻擊帶來(lái)的影響����,并以 報(bào)警日志的形式儲(chǔ)存����。因此����,對(duì)多源報(bào)警日志進(jìn)行進(jìn)一步的融合處理���,利用來(lái)自多個(gè)安全設(shè) 備報(bào)警日志之間的互補(bǔ)性�,能夠有效地提高報(bào)警信息的完整性和可靠性�����,更加清晰的反映 攻擊行為�,從而提高網(wǎng)絡(luò)安全威脅態(tài)勢(shì)感知的精確度。
[0004] 目前����,入侵檢測(cè)系統(tǒng)(包括其他的網(wǎng)絡(luò)安全設(shè)備)從本質(zhì)上來(lái)說(shuō)都是基于單個(gè)數(shù) 據(jù)包或單個(gè)現(xiàn)象的簡(jiǎn)單分析�����,無(wú)法從整體和全局的角度識(shí)別入侵者的攻擊行為��,這種現(xiàn)象 會(huì)導(dǎo)致無(wú)法把報(bào)警日志和攻擊事件進(jìn)行有效的關(guān)聯(lián)��,不能為網(wǎng)絡(luò)管理員提供直接的決策信 肩、�。
[0005] 為了解決上述現(xiàn)象,網(wǎng)絡(luò)安全設(shè)備的報(bào)警日志分析技術(shù)逐漸成為網(wǎng)絡(luò)安全領(lǐng)域的 熱點(diǎn)方向��。在對(duì)報(bào)警日志進(jìn)行數(shù)據(jù)挖掘和分析的過(guò)程中��,一部分科研人員致力于利用系統(tǒng) 產(chǎn)生的原始報(bào)警日志構(gòu)造便于挖掘和分析的報(bào)警數(shù)據(jù)集合以及入侵場(chǎng)景的重建工作���,也就 是建立日志關(guān)聯(lián)分析框架����;另一部分則致力于改進(jìn)傳統(tǒng)的數(shù)據(jù)挖掘算法使之適用于入侵檢 測(cè)的日志分析����。
[0006] 這些研究取得了一定成果,但是也存在很多的不足之處����。一方面,現(xiàn)有方法側(cè)重于 從單一數(shù)據(jù)源出發(fā)����,分析網(wǎng)絡(luò)攻擊事件在單一數(shù)據(jù)源上的行為特征;另一方面,有部分方法 雖然面向多源報(bào)警日志����,但側(cè)重于對(duì)日志數(shù)據(jù)的集中管理,并沒(méi)有給出從多源日志數(shù)據(jù)到 網(wǎng)絡(luò)攻擊事件的深層安全分析模型����。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明的目的是提供一種基于多源報(bào)警日志的網(wǎng)絡(luò)攻擊場(chǎng)景生成方法,用以解決 現(xiàn)有方法構(gòu)建的攻擊場(chǎng)景不完整的問(wèn)題��。
[0008] 為實(shí)現(xiàn)上述目的�����,本發(fā)明的方案包括:
[0009] -種基于多源報(bào)警日志的網(wǎng)絡(luò)攻擊場(chǎng)景生成方法�����,步驟如下:
[0010] 步驟1)�,收集網(wǎng)絡(luò)安全防護(hù)設(shè)備產(chǎn)生的報(bào)警日志;
[0011] 步驟2)��,針對(duì)單個(gè)設(shè)備得到的有效報(bào)警日志�����,通過(guò)單源日志聚合與映射�,屏蔽不同 設(shè)備日志格式差異,提取攻擊事件信息�;
[0012] 步驟3),對(duì)從不同源提取的攻擊事件信息�,進(jìn)行融合分析,生成具有設(shè)定可信度的 網(wǎng)絡(luò)攻擊事件信息��;
[0013] 步驟4)����,通過(guò)攻擊事件關(guān)聯(lián)分析,生成網(wǎng)絡(luò)攻擊場(chǎng)景圖���,分析出一次攻擊行為的整 個(gè)攻擊過(guò)程�。
[0014] 步驟1)還包括預(yù)處理過(guò)程�����,通過(guò)預(yù)處理提取有效報(bào)警日志數(shù)據(jù)�,去除噪聲、冗余 或無(wú)效日志�。
[0015] 步驟2)包括報(bào)警日志聚合的步驟:按照?qǐng)?bào)警日志生成的時(shí)間順序,通過(guò)計(jì)算報(bào)警 日志之間的相似度���,對(duì)報(bào)警日志進(jìn)行聚類和合并操作�����,將一個(gè)攻擊事件相關(guān)的報(bào)警聚合到 一個(gè)簇中�����。
[0016] 步驟2)包括基于聚合日志映射攻擊事件的步驟:對(duì)聚合后的每個(gè)報(bào)警日志簇���,合 并簇內(nèi)的各日志屬性����,生成聚合日志���;依據(jù)聚合日志中日志屬性的描述信息�,查找預(yù)先定 義的該設(shè)備的事件類型與聚合日志的對(duì)應(yīng)關(guān)系表���,將該聚合日志映射為相應(yīng)類型的攻擊事 件�。
[0017] 步驟3)包括基于D-S證據(jù)理論融合多源攻擊事件的步驟:利用D-S證據(jù)理論對(duì)來(lái) 自多個(gè)數(shù)據(jù)源提取生成的攻擊事件進(jìn)行融合����,得到設(shè)定可信度更高的攻擊事件信息;具體 過(guò)程包括:建立攻擊事件融合的識(shí)別框架��;將來(lái)自各種網(wǎng)絡(luò)安全設(shè)備的印證了攻擊事件發(fā) 生的報(bào)警日志��,作為識(shí)別證據(jù)����;確定基本信度分配函數(shù)和權(quán)值;根據(jù)基本信度分配函數(shù)���,利 用D-S證據(jù)理論的組合規(guī)則�,求多個(gè)證據(jù)聯(lián)合作用下的攻擊事件信任度����。
[0018] 步驟4)包括基于推理模型的攻擊場(chǎng)景生成的步驟,即對(duì)網(wǎng)絡(luò)攻擊事件進(jìn)行語(yǔ)義 轉(zhuǎn)換�����、推理和關(guān)聯(lián)����,得到網(wǎng)絡(luò)攻擊場(chǎng)景,具體過(guò)程包括:利用預(yù)定義或基于謂詞自動(dòng)生成的 語(yǔ)義規(guī)則集����,把融合后得到的攻擊事件轉(zhuǎn)換到它們對(duì)應(yīng)的攻擊語(yǔ)義����;根據(jù)推理模型�,以攻擊 步驟發(fā)生的時(shí)序關(guān)系、遞進(jìn)關(guān)系���、轉(zhuǎn)換關(guān)系為指導(dǎo)�����,對(duì)所有攻擊語(yǔ)義中存在的語(yǔ)義聯(lián)系進(jìn)行 推理�����,得到以攻擊語(yǔ)義表示的各攻擊事件之間的關(guān)系�����;將所有來(lái)自推理引擎的攻擊轉(zhuǎn)換向 量構(gòu)建成可能的攻擊場(chǎng)景���。
[0019] 本發(fā)明的方法是一種基于多源報(bào)警日志的網(wǎng)絡(luò)攻擊場(chǎng)景生成方法,其基本思想 是:對(duì)于單一來(lái)源的報(bào)警日志�,通過(guò)日志聚合�����、事件映射和跨多源攻擊事件融合,得到更為 可靠的攻擊事件信息���;在此基礎(chǔ)上�����,通過(guò)對(duì)時(shí)間上相關(guān)的攻擊事件進(jìn)行關(guān)聯(lián)分析����,可生成一 次攻擊行為的完整攻擊場(chǎng)景���。由于融合了多源日志���,所以分析出的攻擊事件信息可以更完 整、更可靠地刻畫網(wǎng)絡(luò)遭受的攻擊�����,而且通過(guò)攻擊事件的關(guān)聯(lián)分析得到攻擊場(chǎng)景能夠更清 晰地展現(xiàn)攻擊者意圖�、反映網(wǎng)絡(luò)面臨的安全威脅狀態(tài)��。
【附圖說(shuō)明】
[0020] 圖1是基于多源報(bào)警日志的攻擊事件分析模型���;
[0021] 圖2是基于推理模型的攻擊場(chǎng)景生成方法的基本流程圖;
[0022] 圖3是LLDoSl. 0場(chǎng)景的實(shí)驗(yàn)環(huán)境網(wǎng)絡(luò)拓?fù)涫疽鈭D��;
[0023] 圖4是實(shí)驗(yàn)結(jié)果分析出的LLDoSl. 0攻擊場(chǎng)景與攻擊模式��。
【具體實(shí)施方式】
[0024] 下面結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步詳細(xì)的說(shuō)明�。
[0025] 本發(fā)明的基本方案是:
[0026] 步驟1),收集網(wǎng)絡(luò)安全防護(hù)設(shè)備產(chǎn)生的報(bào)警日志��;
[0027] 步驟2)��,針對(duì)單個(gè)設(shè)備得到的有效報(bào)警日志����,通過(guò)單源日志聚合與映射,屏蔽不同 設(shè)備日志格式差異���,提取攻擊事件信息���;
[0028] 步驟3),對(duì)從不同源提取的攻擊事件信息����,進(jìn)行融合分析�����,生成具有設(shè)定可信度的 網(wǎng)絡(luò)攻擊事件信息���;
[0029] 步驟4)�,通過(guò)攻擊事件