专利名称:一种网络安全预警方法
技术领域:
本发明涉及信息安全领域,尤其涉及入侵预测技术和安全预警方法。
背景技术:
在网络安全领域,预防、检测和响应入侵的技术已经得到人们的广泛关注,防火墙、入侵检测系统、蜜罐、源回溯技术被部署到重要的应用系统中。但是,这些技术和系统都是要等待攻击发生之后,才能有所反应。网络安全的入侵预测/安全预警技术是在攻击发生之前,对其攻击发生的数量及时空特性进行预测,达到“防患于未然”,把对入侵的响应从检测阶段提前到预警阶段,从而为系统的安全防范争取时间,以便对入侵和攻击作出有效响应。其中,预警方法是入侵预警技术的关键内容。
Jim Y.提出了一种通过构造attack profile(包括攻击历史活动、攻击工具、操作步骤、动机、目标、审记标识等内容)的方法来预测攻击(参见Jim Y,ShyhtsunFelix W,Fengmin G,Ming-Yuh H.Intrusion Detection for an On-Going Attack.http//www.mnlab.cs.depaul.edu/seminar/fall2002/IDSongoing.pdf.1999.),但是构造attack profile本身就是很难或是开销巨大。Ming-Yuh H.提出了一种概念模型,利用攻击树对攻击意图建模,预测攻击者可能的后续攻击(参见Ming-Yuh H,Robert J.Jasper,Thomas M.Wicks.A Large-scale Distributed Intrusion DetectionFramework Based on Attack Strategy Analysis.Computer Networks(Amsterdam,Netherlands).Vol.31.No.23-24.p.2465-2475.1999),但是这种方法对短期趋势预测有效,对于长期的安全趋势预测无能为力,且需要针对各种攻击建立攻击树模型。
现有的网络安全预警方法不能对未来的网络安全趋势特别是中长期的安全趋势作出预测,而且预测特定的入侵和攻击之前,需要预先作大量工作去分析该攻击的特点,以建立攻击模型。对适应各种各样的入侵行为缺乏灵活性且无法对中长期安全趋势作出预测。
发明内容
本发明的目的就是克服现有技术中预测方法要依赖于网络攻击模型且不能长期安全趋势预测的问题,提出一种基于入侵事件预测的网络安全预警方法。
本发明的核心思想是根据入侵事件发生的历史规律性预测将来一段时间的安全趋势,进行中短期预警和长期的安全形势预测。首先对获取的入侵事件进行聚类分析。得到特定攻击类型发生的历史数据。再按其历史规律的周期性和非周期性分别预测未来的发生趋势。
一种网络安全预警方法,其特征在于包括下列步骤第一步、读数据库,取出足量入侵事件数据;第二步、对取出的入侵时间数据进行聚类分析,取得攻击频度值序列;第三步、判断频度值序列是否有周期性,如果有则继续,否则执行第六步;第四步、确定周期大小;第五步、计算预测点在周期内的相对位置;执行第八步;第六步、根据入侵事件的频度值序列选择预测方法;第七步、根据选择的预测方法确定预测模型;第八步、预测未来时间段的攻击频次,结束。
本发明提出的方法依据入侵事件和攻击发生的历史分布特点,利用统计预测方法对将来的攻击发生情况进行预测,从而得到未来的安全趋势信息。优点是(1)预测方法不依赖于具体的攻击类型,只要取得攻击分布的历史信息就能依据该方法对未来安全趋势进行预测。(2)既可进行短期安全趋势预测,也可进行中长期安全趋势预测。(3)为入侵预测和安全预警提供实现机制。可以使传统的入侵检测系统实现入侵预测的功能,为入侵报警信息的再利用提供了技术支持。(4)基于统计预测的预警方法特别适合于具有周期性特点的DoS/DDoS攻击。
图1是本发明提出的方法的流程图;图2是预测点在周期内的相对位置示意图。
具体实施例方式
下面结合附图和实施例进一步详细说明本发明的实施过程。
本发明是基于入侵事件统计规律的安全预警方法,包括聚类分析、周期分析、趋势预测。依据某一攻击发生的历史分布特点,通过聚类分析,取得入侵频数序列;周期分析确定入侵事件发生的周期性;预测未来时间入侵发生趋势。
可用多种方法表示入侵事件,例如采用以下五元组表示E={D,S,R,C,T},每个入侵事件具有五个属性。其中,D为目标地址集合,S为源地址集合,R为请求服务类型集合,C为攻击类型集合(文中以Snort定义的攻击类型为例),T为时间标记集合;视图V是一组聚类条件,V=orExpr|andExpr|groupExpr,其中,orExpr=OR((D|S|R|C|T)=val),andExpr=AND((D|S|R|C|T)=val)。条件表达式由项属性、属性值表达式和关系符OR、AND的组合构成。视图可以产生具有相同属性值的一组入侵事件集。
如图1所示,预测某种类型的入侵事件的未来趋势,首先要取得该种事件的历史规律。为了计算特定视图下的入侵事件的发生频次,可采用各种聚类分析方法,聚类结果是将相似的记录分成若干组,得到相关目标聚类的入侵事件频次集。例如,基于统计信息网格(STINGSTatistical INformation Grid)的多分辨率聚类方法。入侵事件的属性(目标地址,源地址,请求服务类型,攻击类型,时间)看作n维空间S的维,分别有一个有界定义域。输入的入侵事件为n维空间中的点集。具体方法如下
利用单调性引理(基于关联规则挖掘的先验性质apriory property)频繁项集的所有非空子集也是频繁的。设k=1,遍历报警数据库,找出所有的一维密集单元格(攻击)1)频次大于minf(事件发生的最小频次),其组成的集合记为E1;2)若k<n则由k维的密集单元格集合Ek生成k+1维的候选密集单元格,否则转4);3)若Ek+1不为空则,过滤掉非密集的单元格,k=k+1,转2);4)得到最高维的密集单元格构成的子空间。
回答查询的方式(提取入侵事件历史规律,攻击频度信息)1)确定与查询相关的聚类子空间的维数k2)从k维聚类子空间集合中选择与查询最相关的聚类子空间;3)只考虑第k层中满足查询条件的单元,k+1层的处理仅对这些单元进行;4)重复3)直到满足查询要求;5)对最终结果的处理,过滤掉非密集单元格。
本发明提出的预警方法的第一步中,设定要预测未来第N时段攻击频次,则取出5N个时段的历史数据(这里设定预取5倍的历史数据量),对数据编号,0到5N-1。一般可以取4-10倍的历史数据量进行预测分析。
在本发明提出的预警方法的第三步中,需要对频次数据的周期性进行分析,以确定下步的周期预测分支或非周期预测分支。周期分析的方法如下首先默认该数据的周期cycle=3,至少从cycle=3开始向后试探;历史数据中至少要有5组周期的数据,才认为该组数据可判周期。具体如下1).从第四组数据(i=cycle)开始,依次往后求其它各组与第一组数据的差的绝对值,直到该差的绝对值小于等于ε(周期推测误差限),记下当前数据序号i(3≤i≤N);2).尝试以i为周期,从0~i中随机选取3组数据,然后分别与下面四个周期中的对应点相减取绝对值。
3).如果相减取绝对值<=ε的数据的个数小于等于3,则认为周期判断成功,输出i作为周期,并退出所有循环,跳至程序出口处;
4).如果相减取绝对值>ε的数据的个数大于3,即有3个以上的奇异点,则尝试以i为周期失败,令i=i+1,重做2),3),4)步,共重做2次;5).如果i的上述候选值均不符合条件,则再从当前数据起,依次求各数据与第一个数据的差的绝对值,直到该差值小于等于ε,记下当前数据序号i;6).重复第2),3),4),5)步,直到i>N;7).如果i>N,输出0,表示不存在周期。
在本发明提出的预警方法的第六步中,可选择各种预测方法进行趋势预测,以回归预测为例,操作如下根据历史样本值选取拟合曲线,进行回归分析。数据库中记录着的过去每一时间粒度xi内该攻击所发生的频度值yi,这对应于一组数据(xi,yi),根据该组数据样本,选择合适的回归方程。所用的回归分析的方法包括(1)线性模型。线性模型是曲线模型中最简单的一种,其数学公式为y=a+bx.(2)指数模型。也叫复比增长模型,其数学公式为y=k+abx。(3)修正指数曲线模型。其数学公式为y=k+axb。(4)逻辑斯谛曲线模型(皮尔曲线模型),呈S形,是生长曲线的一种,其数学公式为y=1/(k+abx)。(5)非线性模型。是多项式回归模型中最常用的一种,其数学公式为y=a+bx+cx2+dx3...
在给定一个实际观察时序列yt(t=0,1,2,...,n)的条件下,能建立的预测模型可以不同,但预测模型选择的正确与否直接关系到预测的准确程度。多项式曲线模型的选择(1)若一阶差分Δyt=yt-yt-1=c(t=0,1,2,...,n),则可用线性模型进行预测;(2)若k阶差分Δkyt=Δk-1yt-Δk-1yt-1=c(t=k,k+1,...,n),其中c为不等于零的常数,则可用k阶多项式曲线趋势模拟进行预测。增长型曲线模型的选择(1)若yt/yt-1=b(t=1,2,..n),其中b是不为零的常数。则用指数曲线模型yt=abt(t=0,1,2,...,n)进行预测。(2)若Δyt/Δyt-1=b(t=2,3,...,n),其中b是不为零的常数。则用修正指数曲线模型yt=k+abt(t=0,1,2,...,n)进行预测。(3)若(1/yt-1/yt-1)/(1/yt-1-1/yt-2)=b(t=2,3,...,n),其中b是不为零的常数,则可用逻辑斯谛曲线模型y=1/(k+abx)(t=1,2,...,n)进行预测。
确定预测模型之后,为了通过回归分析求出个曲线模型的系数,需要将一些曲线方程变为线性形式y=k+abx→ln(y-k)=ln a+(ln b)*x;y=1/(k+abx)→ln(1/y-k)=ln a+(ln b)*x。设共取m组数据(所取数据量与所预测的未来时间有关,设取5倍时间段的历史数据量)。然后根据选定的曲线方程,建立函数关系y=f(x,a1,...,an),确定其中n个参数a1,...,an通过最小二乘法确定,使得Σk=1m[f(xk,a1,L,an)-yk]2]]>最小。根据确定的该模型和参数,计算未来t,可能发生的该种攻击的次数。这里,预警方法的算法效率可根据需要灵活配置。算法的复杂度取决于选择回归曲线的复杂度。设给定的实际观察时序列为yt(t=0,1,2,...,n)。若为线性模型,计算复杂度为O(n);若为指数模型,也即复比增长模型O(n);若为修正指数曲线模型,计算复杂度为O(n2);若为逻辑斯谛曲线模型,计算复杂度为O(n);若为非线性(m阶多项式)模型,计算复杂度为O(nm)。
在本发明提出的预警方法的第五步中,确定预测点在周期中相对位置的方法如图2所示。对所取的历史数据,以长度T顺序分组,统计各个周期内相对位置的平均值,得到预测向量[y1,y2,...,yT]。所求的预测点在周期内对应于坐标X=6N mod T,(注这里设定预取5倍的历史数据量,也即,m=5),则返回预测值y[x]。
权利要求
1.一种网络安全预警方法,其特征在于包括下列步骤第一步、读数据库,取出足量入侵事件数据;第二步、对取出的入侵时间数据进行聚类分析,取得攻击频度值序列;第三步、判断频度值序列是否有周期性,如果有则继续,否则执行第六步;第四步、确定周期大小;第五步、计算预测点在周期内的相对位置;执行第八步;第六步、根据入侵事件的频度值序列选择预测方法;第七步、根据选择的预测方法确定预测模型;第八步、预测未来时间段的攻击频次,结束。
2.根据权利要求1所述的方法,其特征在于所述第一步中入侵事件数据的内容包括目标地址,源地址,请求服务类型,攻击类型和时间。
3.根据权利要求1所述的方法,其特征在于所述第一步中取出的入侵历史数据的时段是所要预测时段的N倍。
4.根据权利要求3所述的方法,其特征在于所述N一般取4-10。
5.根据权利要求1所述的方法,其特征在于所述第二步中的聚类分析采用基于统计信息网格的多分辨率聚类方法。
6.根据权利要求1所述的方法,其特征在于所述第三步中判断频度值序列是否有周期性的方法为首先默认该数据的周期为3,至少从周期为3开始向后试探;历史数据中至少要有5组周期的数据,才认为该组数据具有周期性。
7.根据权利要求6所述的方法,其特征在于具体包括如下步骤1).从第四组数据开始,依次往后求其它各组与第一组数据的差的绝对值,直到该差的绝对值小于等于周期推测误差限ε,记下当前数据序号i,其中3≤i≤N,N为与所要预测时段相等的历史时段的数据个数;2).尝试以i为周期,从0-i中随机选取3组数据,然后分别与下面四个周期中的对应点相减取绝对值;3).如果相减取绝对值小于等于ε的数据的个数小于等于3,则认为周期判断成功,输出i作为周期;4).如果相减取绝对值大于ε的数据的个数大于3,即有3个以上的奇异点,则尝试以i为周期失败,令i=i+1,重新执行2),3),4)步2次;5).如果i的上述候选值均不符合条件,则再从当前数据起,依次求各数据与第一个数据的差的绝对值,直到该差值小于等于ε,记下当前数据序号i;6).重复第2),3),4),5)步,直到i>N;7).如果i>N,输出周期不存在。
8.根据权利要求1所述的方法,其特征在于所述第五步中计算预测点在周期内的相对位置的方法为对所取的历史数据,以长度T顺序分组,统计各个周期内相对位置的平均值,得到预测向量[y1,y2,...,yT],设预取数据量为m倍历史数据,则所求的预测点在周期内对应于坐标X=(m+1)N mod T,则返回预测值y[x],其中T为周期。
9.根据权利要求1所述的方法,其特征在于所述第六步中选择的预测方法为回归预测法。
10.根据权利要求9所述的方法,其特征在于所述预测模型包括多项式回归模型,线性模型,指数模型,修正指数曲线模型和逻辑斯谛曲线模型。
全文摘要
本发明公开了一种网络安全预警方法包括1.读数据库,取出足量入侵事件数据;2.对取出的入侵时间数据进行聚类分析,取得攻击频度值序列;3.判断频度值序列是否有周期性,如果有则继续,否则执行第6步;4.确定周期大小;5.计算预测点在周期内的相对位置;执行第8步;6.根据入侵事件的频度值序列选择预测方法;7.根据选择的预测方法确定预测模型;8.预测未来时间段的攻击频次,结束。本发明提出的方法利用统计预测方法对将来的攻击发生情况进行预测,预测方法不依赖于具体的攻击类型,只要取得攻击分布的历史信息就能依据该方法对未来安全趋势进行预测;既可进行短期安全趋势预测,也可进行中长期安全趋势预测。
文档编号G06F17/00GK1770699SQ200410088720
公开日2006年5月10日 申请日期2004年11月1日 优先权日2004年11月1日
发明者张峰, 芦东昕, 陈剑勇 申请人:中兴通讯股份有限公司