基於攻擊模式建模的複合攻擊關聯及攻擊場景構建方法

2023-05-09 08:04:21

專利名稱：基於攻擊模式建模的複合攻擊關聯及攻擊場景構建方法
技術領域：
本發明涉及一種入侵報警事件關聯方法，尤其涉及一種基於攻擊模式建模的複合攻擊關聯及攻擊場景構建方法。
背景技術：
現實的網絡世界中，攻擊者對目標系統實施的攻擊大多不是採用單一的工具和方法，而是結合多種工具和方法，並且在進行攻擊的時候，往往有一定的時間和空間跨度。這些看似分散的單個攻擊其實都是同一次攻擊的組成部分，其組合而成的完整攻擊過程稱為複合攻擊。傳統的IDS大多針對單個攻擊進行檢測，並不能發現多個攻擊間的邏輯聯繫，從而不能完整的觀測到入侵過程的全貌。因此，要想更好的保護計算機系統的安全，對複合攻擊的檢測和關聯的研究是其中所面臨的一個重要問題。
複合攻擊檢測和攻擊場景構建的研究為解決入侵檢測系統的上述問題提供了一種較好的途徑。攻擊場景構建是通過對入侵檢測報警信息的關聯分析，將屬於同一次入侵的多個攻擊動作關聯在一起以重構攻擊的流程。
現有的報警關聯算法大都關注於入侵報警信息之間的相似形和關聯性，很少考慮到攻擊者的攻擊步驟、攻擊模式。因此對攻擊場景的構建過於簡單，不夠完整，效果並不理想。同時我們發現雖然攻擊技術多種多樣，但攻擊者在進行攻擊時往往會遵循一定的模式、計劃.因此我們在對攻擊模式進行建模的基礎上，對每條報警信息映射到對應的攻擊模式，然後將報警信息按照攻擊步驟的先後次序連結而成攻擊路徑圖，在此過程中動態記錄目標地址的威脅度，從而達到對複合攻擊的檢測，進而通過對攻擊路徑圖進行關聯還可以構建出最終、完整的複合攻擊場景。

發明內容
本發明目的是提供一種基於攻擊模式建模的複合攻擊關聯及攻擊場景構建方法，以提高入侵檢測系統的關聯分析及預測性能。
本發明的技術方案是基於攻擊模式建模的複合攻擊關聯及攻擊場景構建方法包括如下步
驟
1) 攻擊路徑圖構建階段
11) 對報警信息進行初始化處理；
12) 對預處理後的報警信息構建出相應的攻擊路徑13) 計算攻擊目標危險度，若超出預設閾值，發出報警信息；
14) 結束；
2) 攻擊場景圖關聯階段21)攻擊場景圖初始化過程；22) 對攻擊路徑圖集合中的每個映射，將其添加入攻擊場景圖的集合；
23) 關聯出複合攻擊場景24) 結束；其中
步驟ll)的具體過程如下
111) 由報警信息的攻擊源地址仏&》創建表示攻擊源的頂點115，若"seWs (Ws表示攻擊源地址的集合)，則將ns添加到A^;
112) 由報警信息的攻擊目標地址。J^創建表示攻擊目標的頂點w ，若weM ，則將"z添加到"^M(iW表示攻擊目的地址的集合)，置w的危險度C(w^仏v^g/w, ( C("O表示攻擊目標nt的危險程度，
。.M^/g似表示報警信息a所對應的權值，刻畫攻擊事件a的危險程度。)並將w的危險度C(w)添加到C;
113) 由報警信息n創建對應攻擊模式的邊e;
114) 結束
步驟12)的具體過程如下
121) 若攻擊路徑圖^PG(叫w)g ^屍G (APG即Attack path graph,表示攻擊路徑圖，^PG(船,M)表示從攻擊源地址ns到攻擊目的地址nt的攻擊路徑)，則將添加到4PG中去；
122) 將邊e加入到攻擊路徑圖力屍G(叫w)所對應的邊集fi(附,w) ( 表示結點ns， nt之間相關聯的邊的集合)中.
123) 置攻擊路徑圖JPG(叫W)的權值w("s,W)-。.weZgto ，並置C(W卜M"O(似,",),C(",)) ( C("O表示攻擊目標nt的危險程度，每次均更新為當前ns， nt之間權值的最大值)；
124) 若攻擊路徑圖WG(似,OeWG，則做如下處理
125) 若eei (似,w)，則邊e捨棄，處理下一報警信息；
126) 若"￡(叫"0，則通過尋找e的前件和後件攻擊將e關聯到圖中.並按下列情況更新攻擊路徑圖WG(眠w)的權值w(M,w) ( w(似,w)為兩個結點ns，nt間的權值，定義為結點ns， nt之間邊集合中權值的最大值)
127) 若e不是關鍵邊(關鍵邊即為使得當前攻擊路徑圖危險度取值最大的邊)，則w(叫w)不變；
128) 若e是關鍵邊，則按公式(1)更新w(m,w).:
w(叫"0二w(e)+w(/^ecow艦ow(e))+w(reto/ve(e)) ("
其中w(w，"/)為兩個結點ns,nt間的權值，w (e)表示邊的權值，precondition(e)表示邊e所對應的攻擊事件的前提攻擊事件，w (precondition(e))為其權值，relative (e)表示和邊e所對應的攻擊事件存在相關關係的攻擊事件，w (relative (e))表示其權值。
步驟13的具體過程更新攻擊目標"f的危險度C("0:C("^M4X(w(叫"ac("0)。若攻擊目標w的危險
度QW)超出預設的報警閾值，則將w添加入集合「中，並發出複合入侵報警信息。步驟21的具體過程如下211) 置集合e， M4S為空，整型變量,為l;
212) 對每一個攻擊目標vs^ ，將v添加到2中，並從K中刪除；
213) 若Q不為空，取2中的一個元素《，從2中刪除並執行22;步驟22的具體過程如下
221) 對攻擊路徑圖集合WG中的每一個映射對(叫w)，若9 =似，則將對應的攻擊目標w添加入集合Q中，將映射對(9，W)添加到M4&中，且如果WeF，從K中刪除"/;
222) 若g =",,則將對應的攻擊源ra添加入集合e中，將映射對(似,q))添加到中.且如果W e K ,從K中刪除似；
223) 若e不為空，返回213)繼續執行，若e為空，則完成第!個攻擊場景M4S,的構建，1 = 1 + 1，返回211續執行。
步驟23得到的集合M^中存放的即為所求複合攻擊場景。
本發明的有益效果是本發明的基於攻擊模式建模的複合攻擊關聯及攻擊場景構建方法在保持計算簡單的前提下，提高了報警時間關聯分析的準確率，從而提高了入侵檢測系統的關聯分析及預測性能。


圖l為入侵檢測系統工作流程圖
圖2為本發明的基於攻擊模式建模的複合攻擊關聯及攻擊場景構建方法的流程3為生成攻擊路徑圖的流程4為利用攻擊路徑圖關聯出複合攻擊場景的流程圖具體實施方式
-
下面結合附圖對本發明進行詳細說明。
如圖1所示，入侵檢測系統通過網絡會話事件採集設備獲取網絡報文數據，經報文數據格式化、
特徵提取等預處理，然後入侵識別，並進行報警關聯、入侵跟蹤等後續處理。報警關聯是提高網絡入侵檢測系統預測準確度的主要方法，本發明的思路就是通過提高報警信息的關聯精度，從而提高整個網絡入侵檢測系統的性能。報警關聯過程即本發明的基於攻擊模式建模的複合攻擊關聯及攻擊場景構建方法的流程圖如圖2所示。步驟O為本發明的網絡入侵分類方法的起始狀態；
在攻擊路徑圖構建階段(步驟l-3)，步驟l對報警信息進行初始化處理，置相應的集合M， M, d屍G，
尺，￡, C， r為空，並按攻擊源ns和攻擊目標nt初始化相應的Ns和Nt，置每個nt的初始危險度C (nt)
然後對處理後的報警信息進行下一步處理；
步驟2對預處理後的報警信息構建出相應的攻擊路徑步驟3更新攻擊目標危險度，若超出預設閾值，發出報警信息。
在攻擊場景關聯階段(4-6),步驟4對攻擊場景集合進行預處理；
步驟5對構建階段中生成的攻擊路徑圖集合進行處理，對其中的每一個映射對，按照關聯方法加入到攻擊場景集合中，
步驟6得到的集合即為所求複合攻擊場景集合
步驟7是本發明的基於攻擊模式建模的複合攻擊關聯及攻擊場景構建方法的結束步驟。6圖3是對圖2中步驟2的詳細描述。步驟30為起始步驟
步驟31對於攻擊路徑圖JPG(叫w)，若v^G(叫w)s^PG，執行步驟32，若攻擊路徑圖爿PG(ra,"f)e^屍G ，則執行步驟33;
步驟32將WG(附,W)添加到/1PG中，邊e加入到攻擊路徑圖WG(w,W)所對應的邊集E(附,"f)中；置攻擊路徑圖^K7("s,"0的權值w(w，"f)-a.w〖gto ，並置C(W卜At4X(w(ra，"f)，C("0)，轉步驟40;步驟33若esE(叫",)，則捨棄邊e,處理下一報警信息轉步驟30;若"￡(叫《,),則執行步驟34步驟34通過尋找e的前件和後件攻擊將e關聯到圖中；步驟35若e是關鍵邊則執行步驟36;步驟36按公式(1)更新w(叫",)
步驟37按公式(2)更新攻擊目標nt的危險度C("f卜M4X(w(ns,W)，C(W))。其中為攻擊路徑圖力屍G(ra，"O的權值。
步驟38若攻擊目標nt的危險度超出了預設的報警闞值，則執行步驟39步驟39將nt添加入集合V中，發出複合入侵報警信息。步驟40若存在報警信息重複上述過程；否則退出
圖4詳述了圖2中的步驟4-5
步驟50為起始步驟。
步驟51置集合Q， MAS為空，整型變量i為l;
步驟52若V為空，則攻擊場景構建結束，若V不為空，執行步驟53;步驟53對每一個攻擊目標vEV，將v添加到Q中，並從V中刪除；步驟54若Q為空，則結束，否則執行步驟55;
步驟55取Q中一個元素q，對它在攻擊路徑圖APG中相應的映射對(ns, nt)，執行步驟56;步驟56若q-^s執行步驟57;若q^ns,執行步驟59;
步驟57將對應的攻擊目標nt添加到集合Q中，將映射對(q， nt)添加到MASi中，若ntEV，執行步驟58，否則轉步驟61;步驟58從V中刪除nt;
步驟59將對應的攻擊源ns添加到集合Q中，將映射對(ns, q)添加到MASi中，若nsEV，執行步驟60，否則轉步驟61;步驟60從V中刪除ns;
步驟61若Q不為空，返回步驟55;若Q為空，執行步驟62;步驟62完成了第i個攻擊場景的構建，i=i+l，執行步驟52;步驟63集合MAS中得到的即為複合攻擊場景；步驟64為圖4的結束狀態。
權利要求
1.一種基於攻擊模式建模的複合攻擊關聯及攻擊場景構建方法，其特徵在於該方法包括如下步驟1)攻擊路徑圖構建階段11)對報警信息進行初始化處理；12)對預處理後的報警信息構建出相應的攻擊路徑圖；13)計算攻擊目標危險度，若超出預設閾值，發出報警信息；14)結束；2)攻擊場景圖關聯階段21)攻擊場景圖初始化過程；22)對攻擊路徑圖集合中的每個映射，將其添加入攻擊場景圖的集合；23)關聯出複合攻擊場景圖；24)結束；其中步驟11)的具體過程如下111)由報警信息的攻擊源地址a.Sip創建表示攻擊源的頂點ns，若<![CDATA[ nsNs ]]> top= "103" left = "129"/>(Ns表示攻擊源地址的集合)，則將ns添加到Ns；112)由報警信息的攻擊目標地址a.Tip創建表示攻擊目標的頂點nt，若<![CDATA[ ntNt, ]]> top= "114" left = "134"/>則將nt添加到<![CDATA[ ntNt ]]> top= "114" left = "170"/>(Nt表示攻擊目的地址的集合)，置nt的危險度C(nt)＝a.weight，(C(nt)表示攻擊目標nt的危險程度，a.weight表示報警信息a所對應的權值，刻畫攻擊事件a的危險程度。)並將nt的危險度C(nt)添加到C；113)由報警信息a創建對應攻擊模式的邊e；114)結束
2.根據權利要求l所述的基於攻擊模式建模的複合攻擊關聯及攻擊場景構建方法，其特徵在於步驟 12所述的構建出基於攻擊模式的攻擊路徑圖的步驟是步驟12)的具體過程如下121) 若攻擊路徑圖WG("s,"f)e廿G (APG即AUack path graph,表示攻擊路徑圖，廿G(船，M)表 示從攻擊源地址ns到攻擊目的地址nt的攻擊路徑)，則將WG(似,w)添加到J屍G中去；122) 將邊e加入到攻擊路徑圖WG(叫w)所對應的邊集E(叫w) ( E(m，"O表示結點ns， nt之間相關聯的邊的集合)中.123)置攻擊路徑圖^PG("s，"f)的權值= a.we!'g/ ,並置C(W) = jWAY(w("s,"0,C("/)) ( C(W)表示攻 擊目標nt的危險程度，每次均更新為當前ns, nt之間權值的最大值)；124) 若攻擊路徑圖WG(似,"f)e〃G,則做如下處理125) 若eefi(似,",)，則邊e捨棄，處理下一報警信息；126) 若eeA似,O，則通過尋找e的前件和後件攻擊將e關聯到圖中.並按下列情況更新攻擊路徑 圖WG(似，"f)的權值vK叫O (w(叫w)為兩個結點ns，nt間的權值，定義為結點ns, nt之間邊集合中 權值的最大值)127) 若e不是關鍵邊(關鍵邊即為使得當前攻擊路徑圖危險度取值最大的邊)，則w(叫W)不變；128) 若e是關鍵邊，則按公式(1)更新w(叫"O.其中w(叫"/)為兩個結點ns，nt間的權值，w (e)表示邊的權值，precondition(e)表示邊e所對應的攻 擊事件的前提攻擊事件，w (precondition^))為其權值，relative (e)表示和邊e所對應的攻擊事件 存在相關關係的攻擊事件，w (relative (e))表示其權值。步驟13的具體過程更新攻擊目標"f的危險度G(w):C("^M4^M^，"aC("o;)。若攻擊目標w的危險度e("O超出預設的報警閾值，則將w添加入集合K中，並發出複合入侵報警信息。
3. 根據權利要求l所述的基於攻擊模式建模的複合攻擊關聯及攻擊場景構建方法，其特徵在於13的 具體過程更新攻擊目標w的危險度: ^"" = M"(w(m'"《)，Q"0)。若攻擊目標w的危險度超 出預設的報警閾值，則將"'添加入集合「中，並發出複合入侵報警信息。
4. 根據權利要求l所述的基於攻擊模式建模的複合攻擊關聯及攻擊場景構建分類方法，其特徵在於 步驟21的具體過程如下211) 置集合0， M4S為空，整型變量,為l;212) 對每一個攻擊目標ve^ ，將v添加到e中，並從K中刪除；213) 若g不為空，取e中的一個元素9，從2中刪除並執行22;步驟22的具體過程如下221) 對攻擊路徑圖集合^"G中的每一個映射對(叫w)，若9 = ^，則將對應的攻擊目標w添加入集 合e中，將映射對(《,"0添加到A"&中，且如果WeK，從F中刪除W;222) 若《=w ，則將對應的攻擊源w添加入集合e中，將映射對)添加到雄&中.且如果^ e F ， 從r中刪除^;223) 若e不為空，返回213)繼續執行，若e為空，則完成第,'個攻擊場景M4&的構建，(='+ 1，返 回211續執行。
5. 根據權利要求l所述的基於攻擊模式建模的複合攻擊關聯及攻擊場景構建分類方法，其特徵在於 步驟23得到的集合M4S中存放的即為所求複合攻擊場景。
全文摘要
基於攻擊模式建模的複合攻擊關聯及攻擊場景構建方法，包括如下步驟1)攻擊路徑圖構建階段11)對報警信息進行初始化處理；12)對預處理後的報警信息構建出相應的攻擊路徑圖；13)計算攻擊目標危險度，若超出預設閾值，發出報警信息；14)結束；2)攻擊場景圖關聯階段21)攻擊場景圖初始化過程；22)對攻擊路徑圖集合中的每個映射，將其添加入攻擊場景圖的集合；23)關聯出複合攻擊場景圖；24)結束；本發明的基於攻擊模式建模的複合攻擊關聯及攻擊場景構建方法在保持計算簡單的前提下，提高了報警時間關聯分析的準確率，從而提高了入侵檢測系統的關聯分析及預測性能。
文檔編號H04L12/24GK101599855SQ200810194869
公開日2009年12月9日 申請日期2008年11月10日 優先權日2008年11月10日
發明者劉志傑, 王崇駿, 趙志宏, 斌 駱 申請人:南京大學