专利名称:基于攻击模式建模的复合攻击关联及攻击场景构建方法
技术领域:
本发明涉及一种入侵报警事件关联方法,尤其涉及一种基于攻击模式建模的复合攻击关联及攻击场景构建方法。
背景技术:
现实的网络世界中,攻击者对目标系统实施的攻击大多不是采用单一的工具和方法,而是结合多种工具和方法,并且在进行攻击的时候,往往有一定的时间和空间跨度。这些看似分散的单个攻击其实都是同一次攻击的组成部分,其组合而成的完整攻击过程称为复合攻击。传统的IDS大多针对单个攻击进行检测,并不能发现多个攻击间的逻辑联系,从而不能完整的观测到入侵过程的全貌。因此,要想更好的保护计算机系统的安全,对复合攻击的检测和关联的研究是其中所面临的一个重要问题。
复合攻击检测和攻击场景构建的研究为解决入侵检测系统的上述问题提供了一种较好的途径。攻击场景构建是通过对入侵检测报警信息的关联分析,将属于同一次入侵的多个攻击动作关联在一起以重构攻击的流程。
现有的报警关联算法大都关注于入侵报警信息之间的相似形和关联性,很少考虑到攻击者的攻击步骤、攻击模式。因此对攻击场景的构建过于简单,不够完整,效果并不理想。同时我们发现虽然攻击技术多种多样,但攻击者在进行攻击时往往会遵循一定的模式、计划.因此我们在对攻击模式进行建模的基础上,对每条报警信息映射到对应的攻击模式,然后将报警信息按照攻击步骤的先后次序链接而成攻击路径图,在此过程中动态记录目标地址的威胁度,从而达到对复合攻击的检测,进而通过对攻击路径图进行关联还可以构建出最终、完整的复合攻击场景。
发明内容
本发明目的是提供一种基于攻击模式建模的复合攻击关联及攻击场景构建方法,以提高入侵检测系统的关联分析及预测性能。
本发明的技术方案是基于攻击模式建模的复合攻击关联及攻击场景构建方法包括如下步
骤
1) 攻击路径图构建阶段
11) 对报警信息进行初始化处理;
12) 对预处理后的报警信息构建出相应的攻击路径13) 计算攻击目标危险度,若超出预设阈值,发出报警信息;
14) 结束;
2) 攻击场景图关联阶段21)攻击场景图初始化过程;22) 对攻击路径图集合中的每个映射,将其添加入攻击场景图的集合;
23) 关联出复合攻击场景24) 结束;其中
步骤ll)的具体过程如下
111) 由报警信息的攻击源地址仏&》创建表示攻击源的顶点115,若"seWs (Ws表示攻击源地址的集合),则将ns添加到A^;
112) 由报警信息的攻击目标地址。J^创建表示攻击目标的顶点w ,若weM ,则将"z添加到"^M(iW表示攻击目的地址的集合),置w的危险度C(w^仏v^g/w, ( C("O表示攻击目标nt的危险程度,
。.M^/g似表示报警信息a所对应的权值,刻画攻击事件a的危险程度。)并将w的危险度C(w)添加到C;
113) 由报警信息n创建对应攻击模式的边e;
114) 结束
步骤12)的具体过程如下
121) 若攻击路径图^PG(叫w)g ^尸G (APG即Attack path graph,表示攻击路径图,^PG(船,M)表示从攻击源地址ns到攻击目的地址nt的攻击路径),则将添加到4PG中去;
122) 将边e加入到攻击路径图力尸G(叫w)所对应的边集fi(附,w) ( 表示结点ns, nt之间相关联的边的集合)中.
123) 置攻击路径图JPG(叫W)的权值w("s,W)-。.weZgto ,并置C(W卜M"O(似,",),C(",)) ( C("O表示攻击目标nt的危险程度,每次均更新为当前ns, nt之间权值的最大值);
124) 若攻击路径图WG(似,OeWG,则做如下处理
125) 若eei (似,w),则边e舍弃,处理下一报警信息;
126) 若"£(叫"0,则通过寻找e的前件和后件攻击将e关联到图中.并按下列情况更新攻击路径图WG(眠w)的权值w(M,w) ( w(似,w)为两个结点ns,nt间的权值,定义为结点ns, nt之间边集合中权值的最大值)
127) 若e不是关键边(关键边即为使得当前攻击路径图危险度取值最大的边),则w(叫w)不变;
128) 若e是关键边,则按公式(1)更新w(m,w).:
w(叫"0二w(e)+w(/^ecow舰ow(e))+w(reto/ve(e)) ("
其中w(w,"/)为两个结点ns,nt间的权值,w (e)表示边的权值,precondition(e)表示边e所对应的攻击事件的前提攻击事件,w (precondition(e))为其权值,relative (e)表示和边e所对应的攻击事件存在相关关系的攻击事件,w (relative (e))表示其权值。
步骤13的具体过程更新攻击目标"f的危险度C("0:C("^M4X(w(叫"ac("0)。若攻击目标w的危险
度QW)超出预设的报警阈值,则将w添加入集合「中,并发出复合入侵报警信息。步骤21的具体过程如下211) 置集合e, M4S为空,整型变量,为l;
212) 对每一个攻击目标vs^ ,将v添加到2中,并从K中删除;
213) 若Q不为空,取2中的一个元素《,从2中删除并执行22;步骤22的具体过程如下
221) 对攻击路径图集合WG中的每一个映射对(叫w),若9 =似,则将对应的攻击目标w添加入集合Q中,将映射对(9,W)添加到M4&中,且如果WeF,从K中删除"/;
222) 若g =",,则将对应的攻击源ra添加入集合e中,将映射对(似,q))添加到中.且如果W e K ,从K中删除似;
223) 若e不为空,返回213)继续执行,若e为空,则完成第!个攻击场景M4S,的构建,1 = 1 + 1,返回211续执行。
步骤23得到的集合M^中存放的即为所求复合攻击场景。
本发明的有益效果是本发明的基于攻击模式建模的复合攻击关联及攻击场景构建方法在保持计算简单的前提下,提高了报警时间关联分析的准确率,从而提高了入侵检测系统的关联分析及预测性能。
图l为入侵检测系统工作流程图
图2为本发明的基于攻击模式建模的复合攻击关联及攻击场景构建方法的流程3为生成攻击路径图的流程4为利用攻击路径图关联出复合攻击场景的流程图具体实施方式
-
下面结合附图对本发明进行详细说明。
如图1所示,入侵检测系统通过网络会话事件采集设备获取网络报文数据,经报文数据格式化、
特征提取等预处理,然后入侵识别,并进行报警关联、入侵跟踪等后续处理。报警关联是提高网络入侵检测系统预测准确度的主要方法,本发明的思路就是通过提高报警信息的关联精度,从而提高整个网络入侵检测系统的性能。报警关联过程即本发明的基于攻击模式建模的复合攻击关联及攻击场景构建方法的流程图如图2所示。步骤O为本发明的网络入侵分类方法的起始状态;
在攻击路径图构建阶段(步骤l-3),步骤l对报警信息进行初始化处理,置相应的集合M, M, d尸G,
尺,£, C, r为空,并按攻击源ns和攻击目标nt初始化相应的Ns和Nt,置每个nt的初始危险度C (nt)
然后对处理后的报警信息进行下一步处理;
步骤2对预处理后的报警信息构建出相应的攻击路径步骤3更新攻击目标危险度,若超出预设阈值,发出报警信息。
在攻击场景关联阶段(4-6),步骤4对攻击场景集合进行预处理;
步骤5对构建阶段中生成的攻击路径图集合进行处理,对其中的每一个映射对,按照关联方法加入到攻击场景集合中,
步骤6得到的集合即为所求复合攻击场景集合
步骤7是本发明的基于攻击模式建模的复合攻击关联及攻击场景构建方法的结束步骤。6图3是对图2中步骤2的详细描述。步骤30为起始步骤
步骤31对于攻击路径图JPG(叫w),若v^G(叫w)s^PG,执行步骤32,若攻击路径图爿PG(ra,"f)e^尸G ,则执行步骤33;
步骤32将WG(附,W)添加到/1PG中,边e加入到攻击路径图WG(w,W)所对应的边集E(附,"f)中;置攻击路径图^K7("s,"0的权值w(w,"f)-a.w〖gto ,并置C(W卜At4X(w(ra,"f),C("0),转步骤40;步骤33若esE(叫",),则舍弃边e,处理下一报警信息转步骤30;若"£(叫《,),则执行步骤34步骤34通过寻找e的前件和后件攻击将e关联到图中;步骤35若e是关键边则执行步骤36;步骤36按公式(1)更新w(叫",)
步骤37按公式(2)更新攻击目标nt的危险度C("f卜M4X(w(ns,W),C(W))。其中为攻击路径图力尸G(ra,"O的权值。
步骤38若攻击目标nt的危险度超出了预设的报警阚值,则执行步骤39步骤39将nt添加入集合V中,发出复合入侵报警信息。步骤40若存在报警信息重复上述过程;否则退出
图4详述了图2中的步骤4-5
步骤50为起始步骤。
步骤51置集合Q, MAS为空,整型变量i为l;
步骤52若V为空,则攻击场景构建结束,若V不为空,执行步骤53;步骤53对每一个攻击目标vEV,将v添加到Q中,并从V中删除;步骤54若Q为空,则结束,否则执行步骤55;
步骤55取Q中一个元素q,对它在攻击路径图APG中相应的映射对(ns, nt),执行步骤56;步骤56若q-^s执行步骤57;若q^ns,执行步骤59;
步骤57将对应的攻击目标nt添加到集合Q中,将映射对(q, nt)添加到MASi中,若ntEV,执行步骤58,否则转步骤61;步骤58从V中删除nt;
步骤59将对应的攻击源ns添加到集合Q中,将映射对(ns, q)添加到MASi中,若nsEV,执行步骤60,否则转步骤61;步骤60从V中删除ns;
步骤61若Q不为空,返回步骤55;若Q为空,执行步骤62;步骤62完成了第i个攻击场景的构建,i=i+l,执行步骤52;步骤63集合MAS中得到的即为复合攻击场景;步骤64为图4的结束状态。
权利要求
1.一种基于攻击模式建模的复合攻击关联及攻击场景构建方法,其特征在于该方法包括如下步骤1)攻击路径图构建阶段11)对报警信息进行初始化处理;12)对预处理后的报警信息构建出相应的攻击路径图;13)计算攻击目标危险度,若超出预设阈值,发出报警信息;14)结束;2)攻击场景图关联阶段21)攻击场景图初始化过程;22)对攻击路径图集合中的每个映射,将其添加入攻击场景图的集合;23)关联出复合攻击场景图;24)结束;其中步骤11)的具体过程如下111)由报警信息的攻击源地址a.Sip创建表示攻击源的顶点ns,若<maths id="math0001" num="0001" ><math><![CDATA[ <mrow><mi>ns</mi><mo>∉</mo><mi>Ns</mi> </mrow>]]></math> id="icf0001" file="A2008101948690002C1.tif" wi="10" he="2" top= "103" left = "129" img-content="drawing" img-format="tif" orientation="portrait" inline="yes"/></maths>(Ns表示攻击源地址的集合),则将ns添加到Ns;112)由报警信息的攻击目标地址a.Tip创建表示攻击目标的顶点nt,若<maths id="math0002" num="0002" ><math><![CDATA[ <mrow><mi>nt</mi><mo>∉</mo><mi>Nt</mi><mo>,</mo> </mrow>]]></math> id="icf0002" file="A2008101948690002C2.tif" wi="11" he="2" top= "114" left = "134" img-content="drawing" img-format="tif" orientation="portrait" inline="yes"/></maths>则将nt添加到<maths id="math0003" num="0003" ><math><![CDATA[ <mrow><mi>nt</mi><mo>∉</mo><mi>Nt</mi> </mrow>]]></math> id="icf0003" file="A2008101948690002C3.tif" wi="9" he="2" top= "114" left = "170" img-content="drawing" img-format="tif" orientation="portrait" inline="yes"/></maths>(Nt表示攻击目的地址的集合),置nt的危险度C(nt)=a.weight,(C(nt)表示攻击目标nt的危险程度,a.weight表示报警信息a所对应的权值,刻画攻击事件a的危险程度。)并将nt的危险度C(nt)添加到C;113)由报警信息a创建对应攻击模式的边e;114)结束
2.根据权利要求l所述的基于攻击模式建模的复合攻击关联及攻击场景构建方法,其特征在于步骤 12所述的构建出基于攻击模式的攻击路径图的步骤是步骤12)的具体过程如下121) 若攻击路径图WG("s,"f)e廿G (APG即AUack path graph,表示攻击路径图,廿G(船,M)表 示从攻击源地址ns到攻击目的地址nt的攻击路径),则将WG(似,w)添加到J尸G中去;122) 将边e加入到攻击路径图WG(叫w)所对应的边集E(叫w) ( E(m,"O表示结点ns, nt之间相关联的边的集合)中.123)置攻击路径图^PG("s,"f)的权值= a.we!'g/ ,并置C(W) = jWAY(w("s,"0,C("/)) ( C(W)表示攻 击目标nt的危险程度,每次均更新为当前ns, nt之间权值的最大值);124) 若攻击路径图WG(似,"f)e〃G,则做如下处理125) 若eefi(似,",),则边e舍弃,处理下一报警信息;126) 若eeA似,O,则通过寻找e的前件和后件攻击将e关联到图中.并按下列情况更新攻击路径 图WG(似,"f)的权值vK叫O (w(叫w)为两个结点ns,nt间的权值,定义为结点ns, nt之间边集合中 权值的最大值)127) 若e不是关键边(关键边即为使得当前攻击路径图危险度取值最大的边),则w(叫W)不变;128) 若e是关键边,则按公式(1)更新w(叫"O.其中w(叫"/)为两个结点ns,nt间的权值,w (e)表示边的权值,precondition(e)表示边e所对应的攻 击事件的前提攻击事件,w (precondition^))为其权值,relative (e)表示和边e所对应的攻击事件 存在相关关系的攻击事件,w (relative (e))表示其权值。步骤13的具体过程更新攻击目标"f的危险度G(w):C("^M4^M^,"aC("o;)。若攻击目标w的危险度e("O超出预设的报警阈值,则将w添加入集合K中,并发出复合入侵报警信息。
3. 根据权利要求l所述的基于攻击模式建模的复合攻击关联及攻击场景构建方法,其特征在于13的 具体过程更新攻击目标w的危险度: ^"" = M"(w(m'"《),Q"0)。若攻击目标w的危险度超 出预设的报警阈值,则将"'添加入集合「中,并发出复合入侵报警信息。
4. 根据权利要求l所述的基于攻击模式建模的复合攻击关联及攻击场景构建分类方法,其特征在于 步骤21的具体过程如下211) 置集合0, M4S为空,整型变量,为l;212) 对每一个攻击目标ve^ ,将v添加到e中,并从K中删除;213) 若g不为空,取e中的一个元素9,从2中删除并执行22;步骤22的具体过程如下221) 对攻击路径图集合^"G中的每一个映射对(叫w),若9 = ^,则将对应的攻击目标w添加入集 合e中,将映射对(《,"0添加到A"&中,且如果WeK,从F中删除W;222) 若《=w ,则将对应的攻击源w添加入集合e中,将映射对)添加到雄&中.且如果^ e F , 从r中删除^;223) 若e不为空,返回213)继续执行,若e为空,则完成第,'个攻击场景M4&的构建,(='+ 1,返 回211续执行。
5. 根据权利要求l所述的基于攻击模式建模的复合攻击关联及攻击场景构建分类方法,其特征在于 步骤23得到的集合M4S中存放的即为所求复合攻击场景。
全文摘要
基于攻击模式建模的复合攻击关联及攻击场景构建方法,包括如下步骤1)攻击路径图构建阶段11)对报警信息进行初始化处理;12)对预处理后的报警信息构建出相应的攻击路径图;13)计算攻击目标危险度,若超出预设阈值,发出报警信息;14)结束;2)攻击场景图关联阶段21)攻击场景图初始化过程;22)对攻击路径图集合中的每个映射,将其添加入攻击场景图的集合;23)关联出复合攻击场景图;24)结束;本发明的基于攻击模式建模的复合攻击关联及攻击场景构建方法在保持计算简单的前提下,提高了报警时间关联分析的准确率,从而提高了入侵检测系统的关联分析及预测性能。
文档编号H04L12/24GK101599855SQ200810194869
公开日2009年12月9日 申请日期2008年11月10日 优先权日2008年11月10日
发明者刘志杰, 王崇骏, 赵志宏, 斌 骆 申请人:南京大学