關(guān)聯(lián)分析�,生成網(wǎng)絡(luò)攻擊場景圖,分析出一次攻擊行為的整 個(gè)攻擊過程�。
[0030] 具體的,下面給出一種【具體實(shí)施方式】�。
[0031 ] 對于步驟1),針對特定的網(wǎng)絡(luò)環(huán)境�����,通過FTP下載或Syslog協(xié)議采集等方式����,從該 網(wǎng)絡(luò)的各種網(wǎng)絡(luò)安全防護(hù)設(shè)備(主要是IDS、防護(hù)墻)中收集事件報(bào)警日志����。不同設(shè)備產(chǎn)生 的日志格式不同。
[0032] 對于原始日志���,一般還需要進(jìn)行預(yù)處理���,通過對采集到的日志數(shù)據(jù)進(jìn)行數(shù)據(jù)清理、 屬性選取和數(shù)據(jù)過濾����,提取出可用于攻擊事件映射和分析的有效日志記錄�。
[0033] 譬如下面的預(yù)處理過程���,包括數(shù)據(jù)清理���、屬性選取和數(shù)據(jù)過濾。
[0034] 1. 1數(shù)據(jù)清理:采用空缺值填充法�����,即使用現(xiàn)存數(shù)據(jù)的多數(shù)信息來推測空缺值�����,對 收集到的報(bào)警日志中的空缺值進(jìn)行處理�;基于近鄰排序算法�,去除重復(fù)報(bào)警記錄。通過以上 處理�,對收集的日志數(shù)據(jù)進(jìn)行清理,可愿意提高日志數(shù)據(jù)分析的可靠性和有效性���。
[0035] 1. 2屬性選?����。焊鶕?jù)不同安全設(shè)備的報(bào)警日志的特點(diǎn)�����,對相應(yīng)的報(bào)警日志屬性進(jìn) 行精簡��,去掉無關(guān)屬性�����,保留與日志聚合�、攻擊事件分析相關(guān)的屬性。其中���,屬性主要包括: 產(chǎn)生報(bào)警的日期和時(shí)間����、報(bào)警的編號(hào)與描述信息��、報(bào)警的等級���、事件的源IP地址和源端口 等���。
[0036] 1. 3數(shù)據(jù)過濾:分析各類報(bào)警日志數(shù)據(jù)源中記錄的事件及其影響網(wǎng)絡(luò)安全狀態(tài)的 嚴(yán)重程度����,來設(shè)置各類報(bào)警日志的過濾條件����。入侵檢測類的報(bào)警日志主要根據(jù)報(bào)警編號(hào)、描 述信息和協(xié)議等字段判斷事件的嚴(yán)重程度��,然后過濾掉正常和一般級別的報(bào)警日志���;對于 防火墻的報(bào)警日志�,直接根據(jù)報(bào)警日志中的嚴(yán)重程度屬性來判斷事件的嚴(yán)重程度���,過濾掉 "warning"以下級別的日志記錄。
[0037] 對于步驟2)�,需要按照報(bào)警日志生成的時(shí)間順序,通過計(jì)算報(bào)警日志之間的相似 度���,對報(bào)警日志進(jìn)行聚類和合并操作�����,將一個(gè)攻擊事件相關(guān)的報(bào)警聚合到一個(gè)簇中�。一種報(bào) 警日志聚合算法為:
[0038] 2. 1、初始化各個(gè)參數(shù)��,時(shí)間���、相似度閾值�、簇?cái)?shù)目�,并把第一條報(bào)警作為初始簇。
[0039] 2. 2����、新來的報(bào)警計(jì)算與各個(gè)簇中心點(diǎn)的相似度,確定最大相似度�。
[0040] 2. 3、最大相似度與閾值比較���,如果大于閾值�,報(bào)警加入該簇��;否則�,新建一個(gè)簇,更 新簇?cái)?shù)目��。
[0041] 2. 4、判斷超時(shí)�。如果已經(jīng)超時(shí),終止聚類��,合并各簇����;否則,重復(fù)2. 1到2. 4���。
[0042] 其中�����,報(bào)警日志的相似度采用設(shè)定的定義和計(jì)算方式��,比如可以采用如下的計(jì)算 方式���。
[0043] IP地址相似度計(jì)算方法:定義一個(gè)因子x表示兩個(gè)IP地址異IP或后高位取0的 位數(shù)。顯然��,x= 32表示地址相同����,x= 0表示完全不同。0〈b〈32時(shí)二者的相似度計(jì)算方 法如下��。
[0044] simip(x) = x/32
[0045] 源IP地址的相似度計(jì)算表示為:
[0046]
【主權(quán)項(xiàng)】
1. 一種基于多源報(bào)警日志的網(wǎng)絡(luò)攻擊場景生成方法����,其特征在于,步驟如下: 步驟1)�����,收集網(wǎng)絡(luò)安全防護(hù)設(shè)備產(chǎn)生的報(bào)警日志����; 步驟2),針對單個(gè)設(shè)備得到的有效報(bào)警日志�,通過單源日志聚合與映射,屏蔽不同設(shè)備 日志格式差異�����,提取攻擊事件信息����; 步驟3),對從不同源提取的攻擊事件信息,進(jìn)行融合分析���,生成具有設(shè)定可信度的網(wǎng)絡(luò) 攻擊事件信息��; 步驟4)����,通過攻擊事件關(guān)聯(lián)分析�,生成網(wǎng)絡(luò)攻擊場景圖,分析出一次攻擊行為的整個(gè)攻 擊過程�。
2. 根據(jù)權(quán)利要求1所述的一種基于多源報(bào)警日志的網(wǎng)絡(luò)攻擊場景生成方法,其特征在 于���,步驟1)還包括預(yù)處理過程���,通過預(yù)處理提取有效報(bào)警日志數(shù)據(jù),去除噪聲���、兀余或無效 日J(rèn)志��。
3. 根據(jù)權(quán)利要求1所述的一種基于多源報(bào)警日志的網(wǎng)絡(luò)攻擊場景生成方法�����,其特征在 于�,步驟2)包括報(bào)警日志聚合的步驟�����;按照報(bào)警日志生成的時(shí)間順序���,通過計(jì)算報(bào)警日志 之間的相似度��,對報(bào)警日志進(jìn)行聚類和合并操作�����,將一個(gè)攻擊事件相關(guān)的報(bào)警聚合到一個(gè) 簇中�����。
4. 根據(jù)權(quán)利要求3所述的一種基于多源報(bào)警日志的網(wǎng)絡(luò)攻擊場景生成方法�,其特征在 于�����,步驟2)包括基于聚合日志映射攻擊事件的步驟�����;對聚合后的每個(gè)報(bào)警日志簇,合并簇 內(nèi)的各日志屬性�����,生成聚合日志����;依據(jù)聚合日志中日志屬性的描述信息,查找預(yù)先定義的該 設(shè)備的事件類型與聚合日志的對應(yīng)關(guān)系表����,將該聚合日志映射為相應(yīng)類型的攻擊事件。
5. 根據(jù)權(quán)利要求1所述的一種基于多源報(bào)警日志的網(wǎng)絡(luò)攻擊場景生成方法�����,其特征 在于���,步驟3)包括基于D-S證據(jù)理論融合多源攻擊事件的步驟:利用D-S證據(jù)理論對來自 多個(gè)數(shù)據(jù)源提取生成的攻擊事件進(jìn)行融合����,得到設(shè)定可信度更高的攻擊事件信息�����;具體過 程包括:建立攻擊事件融合的識(shí)別框架;將來自各種網(wǎng)絡(luò)安全設(shè)備的印證了攻擊事件發(fā)生 的報(bào)警日志�,作為識(shí)別證據(jù);確定基本信度分配函數(shù)和權(quán)值��;根據(jù)基本信度分配函數(shù)�,利用 D-S證據(jù)理論的組合規(guī)則�����,求多個(gè)證據(jù)聯(lián)合作用下的攻擊事件信任度�����。
6. 根據(jù)權(quán)利要求1所述的一種基于多源報(bào)警日志的網(wǎng)絡(luò)攻擊場景生成方法����,其特征在 于,步驟4)包括基于推理模型的攻擊場景生成的步驟���,即對網(wǎng)絡(luò)攻擊事件進(jìn)行語義轉(zhuǎn)換�����、 推理和關(guān)聯(lián)�����,得到網(wǎng)絡(luò)攻擊場景�,具體過程包括;利用預(yù)定義或基于謂詞自動(dòng)生成的語義規(guī) 則集�,把融合后得到的攻擊事件轉(zhuǎn)換到它們對應(yīng)的攻擊語義;根據(jù)推理模型���,W攻擊步驟發(fā) 生的時(shí)序關(guān)系���、遞進(jìn)關(guān)系、轉(zhuǎn)換關(guān)系為指導(dǎo)����,對所有攻擊語義中存在的語義聯(lián)系進(jìn)行推理, 得到W攻擊語義表示的各攻擊事件之間的關(guān)系����;將所有來自推理引擎的攻擊轉(zhuǎn)換向量構(gòu)建 成可能的攻擊場景。
【專利摘要】本發(fā)明涉及一種基于多源報(bào)警日志的網(wǎng)絡(luò)攻擊場景生成方法���,首先收集多種網(wǎng)絡(luò)安全防護(hù)設(shè)備產(chǎn)生的報(bào)警日志�,通過預(yù)處理提取有效報(bào)警日志數(shù)據(jù),去除噪聲�、冗余或無效日志;針對單個(gè)設(shè)備得到的有效報(bào)警日志�,通過單源日志聚合與映射,屏蔽不同設(shè)備日志格式差異���,分析提取攻擊事件信息����;對從不同源提取的攻擊事件����,進(jìn)行融合分析��,生成具有較高可信度的網(wǎng)絡(luò)攻擊事件����;進(jìn)而通過攻擊事件關(guān)聯(lián)分析,生成網(wǎng)絡(luò)攻擊場景圖�����,分析出一次攻擊行動(dòng)的整個(gè)攻擊過程��。由于融合了多源日志,所以分析出的攻擊事件信息可以更完整����、更可靠地刻畫網(wǎng)絡(luò)遭受的攻擊,而且通過攻擊事件的關(guān)聯(lián)分析得到攻擊場景能夠更清晰地展現(xiàn)攻擊者意圖�����、反映網(wǎng)絡(luò)面臨的安全威脅狀態(tài)�。
【IPC分類】H04L12-24, H04L29-06
【公開號(hào)】CN104539626
【申請?zhí)枴緾N201510018050
【發(fā)明人】尹美娟, 劉曉楠, 羅軍勇, 駱凱, 劉琰, 胡倩
【申請人】中國人民解放軍信息工程大學(xué)
【公開日】2015年4月22日
【申請日】2015年1月14日