Wlan多步攻击意图预先识别方法
【技术领域】
[0001] 本发明涉及预先识别方法,更具体说,它涉及一种WLAN多步攻击意图预先识别方 法。
【背景技术】
[0002] 入侵检测和防御作为一种重要的网络安全技术,一直以来受到学者的广泛关注, 各种智能技术如数据挖掘、神经网络、专家系统、人工免疫技术等逐渐被应用到了入侵检测 和防御系统中。近年来,规划识别(PlanRecognition)作为人工智能领域的重要研究内容, 由于其与入侵检测和防御有着很大的关联性,能够根据攻击者的行为推断出多步攻击中的 下一步动作,挖掘网络攻击者的真正攻击意图,已在入侵检测和防御中有了初步的应用,并 取得了一定的研究成果。
[0003] 2001年,Geib和Goldman第一次将规划识别方法引入到入侵检测领域,详细阐述 了规划识别在入侵检测系统中的要求和特性,奠定了规划识别方法在入侵检测领域应用的 基础。Geib和Goldman采用了基于规划执行的规划识别方法,主要解决了敌对环境中的规 划识别问题,并对敌对智能体和部分可观察规划进行了识别。2002年,美国北卡罗莱纳州大 学的PengNing及其工作组提出了一种利用攻击前后逻辑关系进行关联分析的方法,通过 定义关联规则描述攻击步骤之间的前提条件和后续结果,并构造多步攻击场景,从而实现 攻击规划的识别。2004年,PengNing等人将告警关联方法和分析工具进行了集成,专门提 供了分析告警之间关联关系的开发包TIAA(AToolkitforIntrusionAlertAnalysis)。 Cuppens等人也提出了相似的关联分析方法,利用Prolog谓词逻辑描述攻击行为,并根据 这些攻击的前提条件和后果自动产生关联规则。2004年,XinzhouQin和WenkeLee提出 了网络安全领域对规划识别的新要求,并采用一种因果网络的方法对网络攻击进行识别, 该方法首先构建攻击树,并定义攻击规划库对警报集进行关联,然后将攻击树转换为因果 网络,从而实现预测攻击规划和下一步的攻击行为。2010年,LiWang和AliGhorbani等 人提出了一种定量的警报关联度计算方法,该方法结合警报的IP地址信息分析攻击行为 步骤间存在的关联关系,自动挖掘多步攻击模式。
[0004] 在国内,2004年李家春和李芝棠首先将规划识别理论引入到入侵检测的研究中, 并建立了一种采用因果告警关联分析和贝叶斯网推理模型的入侵规划识别模型。2006年, 诸葛建伟和韩心慧等人提出了一种基于扩展目标规划图(ExtendedGoalGraph,EGG)模型 的网络攻击规划识别算法,通过扩展JunHong提出的目标图,引入观察节点区分规划者动 作,能有效地从大量入侵报警信息中识别攻击者意图及规划。2007年,张卫华和范植华基 于Kautz规划识别算法,利用彩色Petri网(ColoredPetriNet,CPN)作为新的规划表示 和识别方法,将低阶报警事件关联为多步骤攻击,以恢复出攻击全貌。同年,王莉提出了一 种新的基于关联分析的网络多步攻击识别方法,利用RCI安全事件聚合方法、多步攻击行 为模式挖掘方法和在线的多步攻击关联方法,分析多步攻击行为之间的关联关系。2011年, 梅海彬和龚俭等人提出了一种基于警报序列聚类的多步攻击模式识别方法,该方法采用动 态规划思想和序列比对技术,通过抽取最长公共子序列的算法自动发现警报数据中的多步 攻击模式。
[0005] 专利201010561551. 7 "一种网络多步攻击识别和预测方法"提出了一种网络多步 攻击识别和预测方法,该方法将入侵检测系统、防火墙和杀毒软件等多种安全设备的报警 存入数据库,并将数据库中的报警按照攻击类型转化为多步攻击序列,然后转化为多个长 度不同的子攻击序列,再通过统计各个子攻击序列中的攻击相互转化的频数,生成攻击转 化频率矩阵,结合攻击转化频率矩阵,生成历史多步攻击序列,最后通过分析网络中新的报 警,依据历史多步攻击序列进行匹配,识别和预测多步攻击。专利201410535425.2 "多步 攻击警报关联网络服务接口开发方法"提出了一种多步攻击警报关联网络服务接口开发方 法,该方法包括数据处理、警报关联以及网络服务接口开发三个模块,通过模糊积分计算模 糊测度值,根据测度值进行警报合并入超警报,根据警报合并情况更新积分值代表的阈值, 根据积分值进行超警报队列中超警报的生成、淘汰、删除,采用模糊积分的方式实现警报关 联,并通过网络服务接口的方式进行发布并提供调用,能够有针对性的进行复杂网络攻击 行为的防护。
[0006] 通过对这些研究方法的分析发现,现有多步攻击的识别方法主要都是针对有线网 络,而无线局域网的应用和发展较晚,由于WLAN具有的特殊性和WLAN攻击行为的差异性, 对识别WLAN的多步攻击意图并不十分有效。例如,有线网络攻击规划识别的研究主要针 对网络层及以上层次的协议数据包信息,重点考虑IP地址、端口号和应用层协议等关键字 段,而WLAN数据包主要涉及物理层和数据链路层协议,侧重于MAC地址、Channel信道和 Beacon信标帧等网络层以下的内容,所以无法直接将有线网络入侵检测领域的多步攻击识 别方法应用到无线网络环境中。
[0007] 因此,迫切需要研究WLAN网络这一新环境中面临的多步攻击识别难点,准确识别 WLAN多步攻击的真正意图,从而实现智能的WLAN入侵防御。
【发明内容】
[0008] 本发明的目的是克服现有技术中的不足,提供一种WLAN多步攻击意图预先识别 方法。
[0009] 这种WLAN多步攻击意图预先识别方法,包括三个步骤:构造层次攻击树、生成最 短预测序列和预先识别攻击意图。
[0010] (1)构造层次攻击树:构造一种包含特征节点的层次攻击树,存储无线多步攻击 模式,可以描述多步攻击步骤之间的层次关系,并提高预先识别攻击意图的效率。
[0011] (2)生成最短预测序列:利用构造的层次攻击树,为每个无线多步攻击模式生成 最短预测序列,并定义预先度来衡量预先识别的程度。
[0012] (3)预先识别攻击意图:设计基于最短预测序列的多步攻击预先识别算法,最终 实现在线的无线多步攻击意图预先识别
[0013] 该方法的总体结构如图1所示,具体实现步骤如下:
[0014] 步骤一、构造层次攻击树
[0015] 本发明提出了一种包含特征节点的层次攻击树(HierarchicalAttackTree, HAT)的概念,将无线多步攻击模式以层次攻击树的形式进行存储,不仅可以描述多步攻击 步骤之间的层次关系,还能够将多步攻击中的相同攻击行为进行合并,从而提高预先识别 最终攻击意图的精确性和效率。
[0016] 定义1层次攻击树(HierarchicalAttackTree)。将无线多步攻击模式以树的方 式进行存储,每个节点为代表攻击行为的以数字表示的攻击名称ID(sig_id),根节点为所 有无线多步攻击模式的第一步攻击名称ID,并将具有相同前续攻击行为的节点进行合并, 这样构建起来的攻击树称为层次攻击树。
[0017] 定义2特征节点(FeatureNodes)。在层次攻击树中,如果多步攻击模式中的某一 个攻击与其前后关联的父节点及子节点的相关度均不小于事先定义的阈值,并且它是该多 步攻击模式的最深层叶子节点,则将该节点称为多步攻击模式的特征节点,特征节点代表 了多步攻击模式的显著攻击行为。
[0018] 步骤二、生成最短预测序列
[0019] 利用构造的包含