击产生的结果作为决策属性D。利用条件属性以及决策属性构建如 表1所示的攻击决策表:
[0046] 表1中U表示样本集合,NUM表示每条样本数据的数量,条件属性C的值域为{1, 〇},1表示存在该攻击,〇表示不存在该攻击。决策属性D则为攻击产生的影响结果。对影 响结果需要进行离散化处理,如将结果的连续值按照一定的标准经离散处理后D的值域变 为{1,2, 3, 4, 5}或者{:高,中,低}等,D的具体值域可以灵活进行选择。
[0047] 步骤2 :约简攻击决策表中的属性。攻击决策表中存在很多攻击属性,但是并不是 所有的攻击属性都对攻击结果产生了影响或者效果。因此,需要消除这些无效的攻击属性, 使攻击决策表变的简洁高效,简化后续提取攻击规则的计算量。具体简化方法如下:
[0048] (1)从原始攻击决策表ST中删除任意某列C1;
[0049] (2)如果在删除某列(^后,存在条件属性值完全相同的行,则合并表中重复的行, 形成新的决策表,例如第1行和第2行相同,则可以选择将两行合并形成新的ST 1;
[0050] (3)计算原始决策表ST的正域POSc (D);
[0051] (4)计算新决策表ST1的正域POS c Cl (D);
[0052] (5)比较(3)中正域POSc (D)与(4)中正域POScci⑶的值是否一样,如果值为一 样,则表明C1为无效因子,否则为有效因子,也即必要属性;
[0053] 经过如上方法的约简,可以提取出有效的攻击属性。将无效的攻击属性从表1中 删除,并对删除无效属性后的决策表进行合并、整理,形成约简的攻击决策表。
[0054] 步骤3 :攻击属性组合。从约简后的攻击决策表中按照排列组合的方式,即遍历所 有是组合,包括两两组合,以及至多个组合等,对攻击属性组合,计算每一个组合攻击规则 的可信度k。其中可信度k由公式(1)计算:
[0056] 其中,m为pose(D)的模,η是U的模,U是样本的集合;
[0057] 通过对约简后的攻击决策表进行攻击属性组合,可以计算出所有组合攻击规则的 可信度k,计算出组合攻击规则的正域及可信度如表2所示:
[0061] 步骤4 :提取攻击规则。将步骤3中计算得到的攻击组合可信度Ic1与预设可信度 阀值TR比较。一般TR的值设置为0. 5。如若提取出的组合攻击规则的可信度小于给定的 阀值TR,则认为该组合攻击规则不成立,做丢弃处理。如果可信度大于或者等于TR,则认为 该组合攻击规则是可信的,可以作为攻击检测的依据,并提取出组合攻击规则,提取出的 规则形如C 1CjCni^ D,一条组合攻击规则也称之为一条组合攻击链。
[0062] 步骤5 :将提取出的具有相同起始攻击的攻击规则合并为同一攻击检测集合。如 将C1-Cj别分为η种攻击状态集合,将分别具有C肩C "状态的攻击行为分别归入上述η 种攻击状态集合,作为Cglj C η的子攻击状态。以C i为例,将分别具有C iC2到C iCn的η-1种 攻击状态的作为(^的子攻击状态,C AC3到C AC3的攻击行为分别归入C A到C &的η-1 种攻击状态子集合,形成树状的攻击链路,树状的根节点为C1,子节点为C1CjIj C it;,C1C2的 子节点为C1C2C 3到C ^2Cn,以此类推,形成多条链路。
[0063] 步骤6 :将步骤5中生成的攻击检测集合,做成XML文件,将XML文件传给处理装 置,处理装置解析XML文件中的上述的攻击检测集合的信息,对网络安全设备产生的日志 信息与攻击检测集合的信息进行比较,如果日志信息与检测集合中某一信息一致,则该日 志信息为攻击信息,则表示检测到攻击。同时结合实际环境对检测到的攻击做攻击重计算, 使得攻击的威胁度更加客观、实际。攻击重计算如公式(2)所示:
[0065] asset为资产信息,资产信息的值反映了主机系统在网络中的重要性,取值范围为 1~5,值越大则重要性越高,success为攻击成功度,越靠近组合攻击链路末端的攻击其 成功度越高,importance为该攻击在所有对系统攻击中的重要性,取值范围为1~5。以 规则链路1的为例,N表示组合攻击规则链路的长度,即从树状结构的根节点到最末端的最 长长度的节点束,r表示组合攻击链路当前的长度,即从树状结构的根节点到当前节的节点 点数。
[0066] 通过以上的六个步骤可以完成对网络组合攻击的实时检测功能,提高组合攻击检 测的效率和准确性。
[0067] 综上,本发明采用相关理论方法和技术相结合的方式实现对攻击的挖掘和检测。 首先对攻击样本数据进行分析,利用粗糙集方法和理论提取出可靠的组合攻击规则,然后 按照这些获取到的组合攻击规则,利用事件流处理技术对动态流经的安全数据流进行上下 文关联分析。解决了现有技术的攻击规则精确度不足,有效攻击规则数量不足以及攻击检 测辨识度不足的问题。
[0068] 以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人 员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形 也应视为本发明的保护范围。
【主权项】
1. 一种基于粗糖集的攻击挖掘和检测方法,其特征在于,包括: 步骤1 :在获取的攻击样本数据中选出条件属性和决策属性,构建合理的攻击决策表; 步骤2 :对决策表中的攻击属性进行约简,消除掉对决策结果不产生影响或者对决策 结果产生很小影响的攻击属性,形成约简的攻击决策表; 步骤3 :对该约简的攻击决策表中各个攻击属性按照排列组合的方式进行组合遍历, 并计算每个组合攻击规则的可信度和准确度; 步骤4 :将步骤3中计算出的组合规则可信度与预设阀值进行比较,如果大于预设可信 度阀值,则对组合的属性提取出攻击规则,如果小于预设可信度阀值,则认为规则不成立, 做丢弃处理; 步骤5 :将步骤4中获取到的攻击规则与已有的攻击检测集合进行合并,形成同一攻击 检测集合,并判断约简表中的攻击属性组合是否遍历完成,如果还有攻击属性组合未遍历, 则转到步骤3 ; 步骤6 :按照攻击规则检测集合中的形式对网络中的安全数据流进行动态分析匹配,W对攻击进行检测。2. 如权利要求1所述的基于粗糖集的攻击挖掘和检测方法,其特征在于,步骤1具体包 括: 获取到所需的攻击样本数据,通过相关攻击测试实验获取到样本数据,每一组样本数 据中应包含攻击的类型或者名称W及攻击产生的影响,对获取到的攻击样本数据构建攻击 决策表,将每一组攻击样本数据中的攻击类型作为条件属性,将攻击产生的结果作为决策 属性,构建攻击决策表: 条件属性的值域用于表示是否存在攻击;决策属性则为攻击产生的影响结果,按照一 定的标准对连续值进行经离散处理。3. 如权利要求1所述的基于粗糖集的攻击挖掘和检测方法,其特征在于,步骤2具体包 括: 从原始攻击决策表中删除任意某列; 如果在删除某列后,存在条件属性值完全相同的行,则合并表中重复的行,形成新的决 策表; 计算原始决策表的正域; 计算新决策表的正域; 比较原始决策表的正域与新决策表的正域的值是否一样,如果值为一样,则表明删除 的该某列为无效因子,否则为有效因子; 将为无效银子的列进行合并,约简形成新的决策表。4. 如权利要求1所述的基于粗糖集的攻击挖掘和检测方法,步骤3进一步包括: 从约简后的攻击决策表中按照排列组合的方式,即遍历所有是组合,包括两两组合,W 及至多个组合等,对攻击属性组合,计算每一个组合攻击规则的可信度k:幻) 其中,m为原始决策表的正域的模,η是样本的集合的模。5. 如权利要求4所述的基于粗糖集的攻击挖掘和检测方法,其特征在于,可信度阀值 为 0. 5。6. 如权利要求1所述的基于粗糖集的攻击挖掘和检测方法,其特征在于,步骤5还包 括:将提取出的具有相同起始攻击的攻击规则合并为同一攻击检测集合,并形成树状的攻 击链路。7. 如权利要求6所述的基于粗糖集的攻击挖掘和检测方法,步骤6进一步包括:将步 骤5中生成的攻击检测集合,做成XML文件,将XML文件传给处理装置,处理装置解析XML 文件中的上述的攻击检测集合的信息,对网络安全设备产生的日志信息与攻击检测集合的 信息进行比较,如果日志信息与检测集合中某一信息一致,则该日志信息为攻击信息,则表 示检测到攻击。8. 如权利要求7所述的基于粗糖集的攻击挖掘和检测方法,步骤6还包括:计算共计 的威胁度,包括asset为资产信息,值越大则重要性越高,success为攻击成功度,越靠近组合攻击链 路末端的攻击其成功度越高,importance为该攻击在所有对系统攻击中的重要性,N表示 组合攻击规则链路的长度,r表示组合攻击链路当前的长度。
【专利摘要】本发明一种基于粗糙集的攻击挖掘和检测方法,其中,包括:构建合理的攻击决策表;对决策表中的攻击属性进行约简;对约简的攻击决策表中各个攻击属性按照排列组合的方式进行组合遍历,并计算每个组合攻击规则的可信度和准确度;计算出的组合规则可信度与预设阀值进行比较,如果大于预设可信度阀值,则对组合的属性提取出攻击规则,如果小于预设可信度阀值,则认为规则不成立,做丢弃处理;获取到的攻击规则与已有的攻击检测集合进行合并,形成同一攻击检测集合,并判断约简表中的攻击属性组合是否遍历完成;按照攻击规则检测集合中的形式对网络中的安全数据流进行动态分析匹配,以对攻击进行检测。
【IPC分类】H04L29/06
【公开号】CN105245498
【申请号】CN201510542787
【发明人】吴朝雄, 石波, 王红艳, 沈德峰, 胡佳, 郭江
【申请人】中国航天科工集团第二研究院七〇六所
【公开日】2016年1月13日
【申请日】2015年8月28日