基于擴展有向圖的復合攻擊模型及檢測方法研究.pdf

1、網(wǎng)絡告警關聯(lián)是立足于“網(wǎng)絡攻擊行為間的相關性必然反映在其告警信息間的某種相關性中”這一基本認知，通過對大量告警信息的綜合分析，發(fā)現(xiàn)各種離散告警信息間的某些聯(lián)系，進而識別出真實攻擊行為或意圖的過程。目前的關聯(lián)方法絕大部分致力于提高告警質(zhì)量和離線分析告警之間關系，得到的結(jié)果缺乏統(tǒng)一的形式化描述，無法形成有效的知識，難以直接用于攻擊檢測和預測。 復合攻擊是由多個不可分解的攻擊步驟按照一定的邏輯關系組合而成的完整攻擊過程。復合攻擊的前后

2、步驟之間普遍存在著的因果或邏輯關系，通過告警反映出來，使得復合攻擊檢測成為可能。建立合適的復合攻擊形式化描述模型，并以此為基礎進行復合攻擊檢測和后續(xù)攻擊的預測，能夠有效指導安全管理員及時采取針對性防御措施，防止對受保護網(wǎng)絡造成更大的危害，這比事后的分析更有意義，更加合乎人們的期望。 針對上述目標，提出了基于擴展有向圖的復合攻擊模型和檢測方法。該方法在自動提取攻擊行為抽象模式的基礎上，選擇擴展有向圖作為表達復合攻擊行為及其約束關系

3、的模型。這樣，當某個復合攻擊的序列部分重現(xiàn)的時候，就可以根據(jù)該模型檢測出復合攻擊，從而達到在極具威脅的攻擊步驟到來之前提前預測的目的。 復合攻擊特征和攻擊行為抽象模式提取來自于對歷史數(shù)據(jù)的分析。告警屬性之間的規(guī)律性正是復合攻擊行為模式的體現(xiàn)，一旦找到便可以作為復合攻擊檢測的依據(jù)，因此如何獲得告警屬性之間的規(guī)律成為建立模型的關鍵?；陬l繁情節(jié)模式挖掘算法的改進思路建立在對告警數(shù)據(jù)特點分析之上：安全設備產(chǎn)生的告警是復雜數(shù)據(jù)類型，由多

4、個屬性組成，每個屬性都對攻擊模式具有約束意義。因此對告警進行序列分析時，重點考察類型屬性和其它屬性之間的相互關系。挖掘得到的情節(jié)模式蘊含了不同攻擊行為之間的因果關系，并預示一個攻擊發(fā)生伴隨另外一攻擊發(fā)生的可能性，而屬性約束體現(xiàn)了攻擊步驟之間的關聯(lián)邏輯。實驗結(jié)果表明，該方法能夠揭示攻擊行為之間的聯(lián)系，自動形成攻擊行為模式?；跀U展有向圖的復合攻擊模型中，節(jié)點表示告警類型，有向邊表示告警類之間可能存在的因果關系，邊上的約束條件體現(xiàn)了告警之間

5、確實存在某種因果關聯(lián)時需要滿足的條件，節(jié)點的權值表示不同類型告警的嚴重程度。該模型能夠有效表達攻擊行為之間的邏輯關系，可作為復合攻擊檢測和匹配的框架。 實時檢測以擴展有向圖為基礎，按照向后匹配和缺項匹配的方式對告警之間的關聯(lián)關系進行分析，并使用檢測度和匹配度兩個檢測指標，來衡量復合攻擊被檢測到的比率、復合攻擊進行到當前步驟時與整個攻擊場景的匹配程度。當新的告警到來時，根據(jù)圖中有向邊，確定可能存在因果關聯(lián)的告警集；分析集合中告警與

6、當前告警對之間的關聯(lián)關系，確定兩者屬于同一攻擊場景的相鄰兩步的可能性；在此基礎上計算復合攻擊的檢測度和匹配度，并根據(jù)得到的結(jié)果預測下一步可能發(fā)生的攻擊。該方法克服了通過匹配規(guī)則建立匹配鏈、而匹配鏈隨著數(shù)據(jù)增加可能指數(shù)增加的弊端，可以動態(tài)、完整地恢復攻擊流程。 系統(tǒng)采用JAVA 實現(xiàn)。實驗使用了DARPA 2000數(shù)據(jù)集和從蜜網(wǎng)和局域網(wǎng)采集到的真實數(shù)據(jù)對方法進行驗證，結(jié)果顯示系統(tǒng)對多步攻擊的檢測率達到93％，對多步攻擊平均可以提前