一种基于粗糙集的攻击挖掘和检测方法
【技术领域】
[0001] 本发明属于计算机网络安全技术领域,特别是网络攻击挖掘和检测领域。
【背景技术】
[0002] 网络目前几乎覆盖了世界上所有重要领域。随着网络规模不断扩大,网络攻击和 破坏行为日益频繁、严重。网络攻击的手段也呈现出多元化、复杂化、隐蔽化、破坏性强的特 点。这使得网络安全形势日趋严峻。为了保护网络的安全运行或者减少攻击产生的损失, 需要及时发现攻击,提高对攻击的辨识度。
[0003] 关于攻击检测的研究方法包括关联分析检测、序列分析检测、聚类分析检测、分类 分析检测等。目前的研究仍然还存在着以下一些不足:
[0004] 1、攻击规则精确度不足。目前有很多研究攻击规则的方法,如序列化模式、关联分 析等。这些方法由于是从大量不确定的数据中获取到的规则,在准确度和精确度上存在一 定的不足。
[0005] 2、有效攻击规则数量不足。目前大部分的规则属于简单攻击规则,也即单级规则。 而实际上目前发现很多攻击都不是通过一步攻击就达到目的。很多的攻击都是通过组合的 方式经过多次隐藏达到攻击的目的。而目前这种组合的攻击规则数量严重不足。
[0006] 3、攻击检测辨识度不足。缺少基于多级多链路规则的攻击检测手段,对组合攻击 的检测不够及时。目前主要还是基于单级的简单攻击规则检测。
[0007] 在阐述本发明前,先介绍发明中用到粗糙集中的相关概念和定义:
[0008] 粗糙集将客观世界抽象为一个信息系统。信息系统由四元组S表示,S = <U, A, V,f>。U是对象或者事例的有限集合,称作论域,记为U = (X1, X2,…xn},A是属性 的有限集合,记为A = M1, A2,…AJ,属性集A又常常分为两个集合C和D,即A = C U D, , C表示条件属性集,D表示决策属性集,将带有条件属性集和决策属性集的系统 成为决策系统,记为S = <U,C U D,V,f>,V是属性值的值域,记为V = IV1, V2,…VJ,f是 信息函数,即 f:UXA -V,?·(Χι,Α) e Vjc3
[0009] 定义I :对于任意P e A,Xl,Xj e U,称U/IND⑵对属性P的不可区分关系:
[0010] U/INDO3) = {(Xl,Xje UXU) I e p,p(Xi) = p(Xj)};
[0011] 定义2 :粗糙集是以上近似和下近似来近似定义粗糙集,其中对于集合2c G X,X 的下近似表示SR_(X)
[0013] 定义3 :等价关系R的子集C和D,定义D的C正域为POSc (D):
[0014] POSc(D)=UCjX);
[0015] 定义4 :对任意的C1 e C,如果删除属性C i使得POS c "⑶=POSc (D)
[0016] 则称C1属性为无效因子。
【发明内容】
[0017] 本发明公开了一种基于粗糙集的攻击挖掘和检测方法,用于解决上述现有技术的 问题。
[0018] 本发明一种基于粗糙集的攻击挖掘和检测方法,其中,包括:步骤1 :在获取的攻 击样本数据中选出条件属性和决策属性,构建合理的攻击决策表;步骤2 :对决策表中的攻 击属性进行约简,即消除掉对决策结果不产生影响或者对决策结果产生很小影响的攻击属 性,形成约简的攻击决策表;步骤3 :对该约简的攻击决策表中各个攻击属性按照排列组合 的方式进行组合遍历,并计算每个组合攻击规则的可信度和准确度;步骤4 :将步骤3中计 算出的组合规则可信度与预设阀值进行比较,如果大于预设可信度阀值,则对组合的属性 提取出攻击规则,如果小于预设可信度阀值,则认为规则不成立,做丢弃处理;步骤5 :将步 骤4中获取到的攻击规则与已有的攻击检测集合进行合并,形成同一攻击检测集合,并判 断约简表中的攻击属性组合是否遍历完成,如果还有攻击属性组合未遍历,则转到步骤3 ; 步骤6 :按照攻击规则检测集合中的形式对网络中的安全数据流进行动态分析匹配,以对 攻击进行检测。
[0019] 根据本发明的基于粗糙集的攻击挖掘和检测方法的一实施例,其中,步骤1具体 包括:获取到所需的攻击样本数据,通过相关攻击测试实验获取到样本数据,每一组样本数 据中应包含攻击的类型或者名称以及攻击产生的影响,对获取到的攻击样本数据构建攻击 决策表,将每一组攻击样本数据中的攻击类型作为条件属性,将攻击产生的结果作为决策 属性,构建攻击决策表:条件属性的值域用于表示是否存在攻击;决策属性则为攻击产生 的影响结果,按照一定的标准对连续值进行经离散处理。
[0020] 根据本发明的基于粗糙集的攻击挖掘和检测方法的一实施例,其中,步骤2具体 包括:从原始攻击决策表中删除任意某列;如果在删除某列后,存在条件属性值完全相同 的行,则合并表中重复的行,形成新的决策表;计算原始决策表的正域;计算新决策表的正 域;比较原始决策表的正域与新决策表的正域的值是否一样,如果值为一样,则表明删除的 该某列为无效因子,否则为有效因子;将为无效银子的列进行合并,约简形成新的决策表。
[0021] 4、如权利要求1所述的基于粗糙集的攻击挖掘和检测方法,步骤3进一步包括:
[0022] 从约简后的攻击决策表中按照排列组合的方式,即遍历所有是组合,包括两两组 合,以及至多个组合等,对攻击属性组合,计算每一个组合攻击规则的可信度k :
[0024] 其中,m为原始决策表的正域的模,η是样本的集合的模。
[0025] 根据本发明的基于粗糙集的攻击挖掘和检测方法的一实施例,其中,可信度阀值 为 0· 5〇
[0026] 根据本发明的基于粗糙集的攻击挖掘和检测方法的一实施例,其中,步骤5还包 括:将提取出的具有相同起始攻击的攻击规则合并为同一攻击检测集合,并形成树状的攻 击链路。
[0027] 根据本发明的基于粗糙集的攻击挖掘和检测方法的一实施例,其中,进一步包括: 将步骤5中生成的攻击检测集合,做成XML文件,将XML文件传给处理装置,处理装置解析 XML文件中的上述的攻击检测集合的信息,对网络安全设备产生的日志信息与攻击检测集 合的信息进行比较,如果日志信息与检测集合中某一信息一致,则该日志信息为攻击信息, 则表示检测到攻击。
[0028] 根据本发明的基于粗糙集的攻击挖掘和检测方法的一实施例,其中,还包括:计算 共计的威胁度,包括
[0030] asset为资产信息,值越大则重要性越高,success为攻击成功度,越靠近组合攻 击链路末端的攻击其成功度越高,importance为该攻击在所有对系统攻击中的重要性,N 表示组合攻击规则链路的长度,r表示组合攻击链路当前的长度。
[0031] 综上,本发明采用相关理论方法和技术相结合的方式实现对攻击的挖掘和检测。 首先对攻击样本数据进行分析,利用粗糙集方法和理论提取出可靠的组合攻击规则,然后 按照这些获取到的组合攻击规则,利用事件流处理技术对动态流经的安全数据流进行上下 文关联分析。解决了现有技术的攻击规则精确度不足,有效攻击规则数量不足以及攻击检 测辨识度不足的问题。
【附图说明】
[0032] 图1如所示为本发明基于粗糙集的攻击挖掘和检测方法的流程图。
【具体实施方式】
[0033] 为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的
【具体实施方式】作进一步详细描述。
[0034] 本发明旨在解决上述的一些问题。提出了一种基于粗糙集的攻击规则检测方法。 对攻击样本数据中的攻击属性进行分析处理,提取出具有多级攻击关系特征的组合攻击规 贝1J,然后再利用事件处理流技术按照组合攻击规则对网络安全数据流进行检测分析,实现 对组合攻击的实时在线检测,提高对攻击的辨识度以及实时性。
[0035] 图1如所示为本发明基于粗糙集的攻击挖掘和检测方法的流程图,如图1所示,本 发明基于粗糙集的攻击挖掘和检测方法包括步骤如下:
[0036] 步骤1 :在获取的攻击样本数据中选出条件属性(各攻击名称)和决策属性(攻 击结果),构建合理的攻击决策表。
[0037] 步骤2 :对决策表中的攻击属性进行相应的约简,也即消除掉对决策结果不产生 影响或者对决策结果产生很小影响的攻击属性,形成约简的攻击决策表。
[0038] 步骤3 :对约简后的攻击决策表中各个攻击属性按照排列组合的方式进行组合遍 历,并计算每个组合攻击规则的可信度和准确度。
[0039] 步骤4 :将步骤3中计算出的组合规则可信度与预设阀值进行比较,如果大于预设 可信度阀值,则对组合的属性提取出攻击规则,如果小于预设可信度阀值,则认为该规则不 成立,做丢弃处理。
[0040] 步骤5 :将步骤4中获取到的攻击规则按照一定的原则和次序与已有的攻击检测 集合进行合并,更新已有的攻击检测集合。并判断约简表中的攻击属性组合是否遍历完成, 如果还有攻击属性组合未遍历,则转到步骤3。
[0041] 步骤6 :按照攻击规则检测集合中的形式对网络中的安全数据流进行动态分析匹 配,将过去的数据流和当前的数据流通过攻击规则进行上下文的关联分析,达到对多级多 路攻击的检测。
[0042] 本发明基于粗糙集的攻击挖掘和检测方法具体包括:
[0043] 步骤1 :获取到所需的攻击样本数据,通过相关攻击测试实验获取到样本数据。 每一组样本数据中应包含攻击的类型或者名称以及攻击产生的影响。对获取到的攻击样 本数据构建攻击决策表。将每一组攻击样本数据中的攻击类型作为条件属性C,记为C = IC1, C2,…CV-Cn, },将攻