【技术实现步骤摘要】
一种利用蜜罐告警日志挖掘多步攻击场景的方法
本专利技术涉及大数据分析和网络安全领域,特别涉及一种利用蜜罐告警日志挖掘多步攻击场景的方法。
技术介绍
随着互联网的迅猛发展以及网络全球化的日益紧密,网络安全问题也日益凸显。近年来出现的各种网络攻击无不呈现出更强的持续性和隐蔽性,以及多步攻击也更具有复杂性。因此如何应对层出不穷的网络安全问题并且及时采取应对措施是当下必须关注的问题。目前的告警日志数据都是通过部署在网络环境中的IDS得到的,由于其本身的局限性,带来了很多不可避免的缺点。IDS普遍具有报警冗余、价值密度低、报警孤立的问题。因为IDS部署在整个网络中,所以会收集整个网络的告警信息,使得真实告警密度低,无法高效的挖掘出隐藏其中的真实攻击。大量的报警冗余使得安全管理员无法快速的聚焦到关键的报警,延误防御时机,同时IDS并不能宏观完整的展示多步攻击的全貌。所以需要对告警日志进行关联分析,挖掘出有价值完整的多步攻击场景。通过重构攻击场景,可以使安全管理员迅速的识别攻击全貌,并更好的应对网络攻击。现有的基于报警关联...
【技术保护点】
1.一种利用蜜罐报警日志挖掘多步攻击场景的方法,其特征在于,所述方法包括:/nA.告警日志产生和预处理:利用搭建的蜜罐将针对网络的大部分攻击吸引过来,产生真实攻击密度高的告警日志,并提取需要的属性进行格式归一化,然后对报警日志去除冗余;/nB.攻击场景挖掘:通过属性相似度进行聚类,将聚类的攻击利用攻击图表示,生成候选攻击图;/nC.攻击优先级评估:利用局部离群因子算法对生成的攻击图进行优先级判定,给出图的优先级排序列表。/n
【技术特征摘要】
1.一种利用蜜罐报警日志挖掘多步攻击场景的方法,其特征在于,所述方法包括:
A.告警日志产生和预处理:利用搭建的蜜罐将针对网络的大部分攻击吸引过来,产生真实攻击密度高的告警日志,并提取需要的属性进行格式归一化,然后对报警日志去除冗余;
B.攻击场景挖掘:通过属性相似度进行聚类,将聚类的攻击利用攻击图表示,生成候选攻击图;
C.攻击优先级评估:利用局部离群因子算法对生成的攻击图进行优先级判定,给出图的优先级排序列表。
2.根据权利要求1所述的利用蜜罐报警日志的攻击场景挖掘方法,其特征在于,步骤A进一步包括以下步骤:
A1.本专利使用的多蜜罐协同模式,通过在网络中搭建多个蜜罐,协同工作,迷惑并能够收集到更多攻击者的信息;协同方式是以诸多真实环境的功能主机为基本单元,通过服务、蜜罐等任务的动态伪随机切换而形成的动态陷阱系统,从而迷惑和干扰敌手。通过协同方式,为攻击者提供一系列攻击流程,能够收集到更多攻击者和攻击过程的信息,并以告警日志的形式呈现;同时不易被攻击者发现蜜罐系统的存在。
A2.报警日志格式归一化,虽然蜜罐系统的IDS产生的告警具有标准格式,但不同的标准产生的格式会有差别,而且有些属性也不会用到,为了将数据格式统一并有利于分析和处理,将报警日志的格式定义为11元组
Alert=<Id,time,srcIp,srcPort,dstlp,dstPort,type,priority,gld,groupld,fatherld>
其中,前8个属性是alert的原始属性,后3个是为了在关联过程中便于攻击图的关联定义的。每个属性对应含义如表1-1所示;接下来对报警去除冗余,将一段较短时间阈值内除了time属性不同,其他属性均相同的报警合为一条。
3.根据权利要求1所述的利用蜜罐报警日志的攻击场景挖掘方法,其特征在于,步骤B进一步包括以下步骤:
B1.定义属性相似度函数,(1)时间维度(2)IP维度(3)端口维度最终的相似读是三个维度的加权平均
B2.攻击图生成,将告警日志集合ASet={a1,a2,...an}作为输入,并初始化AGS=φ;将a1作为图g1的第一个顶点得到初始的攻击图集合AGS={g1};依次取出Aset中未分析的报警ai,计算ai与AGS={g1,g2,...gn}中每一个图的隶属度,隶属度的计算方法为,依次计算ai与图gk中n个报警顶点的相似度C(ai,aj),其中aj∈gk,记录下相似度最大值作为ai隶属于图gk的隶属度;依次扫描AGS中每一个图,计算ai与每一个图的隶属度,记录与ai隶属度最大的图gk,如果其隶属度大于等于预设的阈值θ,将ai加入到图...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。