【技术实现步骤摘要】
一种基于时序关联性分析的多步攻击表征方法
本专利技术属于信息处理
,具体涉及一种基于时序关联性分析的多步攻击表征方法。
技术介绍
随着网络应用的层出不穷以及各种新兴技术的蓬勃发展,区块链、物联网、云计算等不断涌现的新技术在推动社会快速发展的同时,正逐渐渗透到人们的生活中,并以一种新的姿态在改变着人们的生活习惯和生活方式。然而随着网络技术的发展,尤其近年来网络攻击行为逐渐呈现出多阶段、大规模等特点,网络安全问题愈加严重,愈加多元化。网络空间逐渐被视为继陆、海、空、天之后的“第五空间”,网络空间安全已经被提升到国家安全的高度,成为公共安全最重要的组成部分。根据国家计算机网络应急技术处理协调中心(CNCERT/CC)的年度网络安全工作报告中把攻击按类型进行统计的结果,大部分危害巨大的攻击几乎都是多步攻击。多步攻击一般来说指的是在网络中想达到对攻击目标的成功攻击,由至少一个攻击者发起攻击的多个攻击步骤的集合。因此,由入侵检测系统等分布在网络上各处的实时安全检测点所产生的安全事件告警通常报告的是一个单独的攻击步骤。如何从众多的安全事件告警中找到多步攻击对应的多个攻击步骤,并将它们关联起来就成为安全事件集中管理和关联分析研究领域的一个重要研究内容。攻击特征表征、脆弱点威胁的一致性评估以及攻击多步骤之间的关联性分析等网络安全研究面临着新的挑战,网络攻击特征的多样性又使得对于网络攻击的特征和规律难以给出形式化和统一化的描述。
技术实现思路
本专利技术的目的是提供一种基于时序关联性分析的多步攻 ...
【技术保护点】
1.一种基于时序关联性分析的多步攻击表征方法,其特征在于,/n步骤1,将攻击过程中的同一类异常报警事件看作一个图节点;/n步骤2,将一类报警事件到另一类报警事件的转换关系看作有向边;/n步骤3,将每条有向边按照时间阈值进行切割,先将超出预定时间范围内的有向边去掉;/n步骤4,对同一设备同一类异常报警事件的一组无自环有向图使用频繁子图挖掘算法进一步提取表征了核心攻击特征的子图,并计算子图的支持度;/n步骤5,将网络攻击阶段化特征库中的攻击特征用所述子图进行形式化表征,并按照支持度和类别排序,再存入图数据库以提高检索效率。/n
【技术特征摘要】
1.一种基于时序关联性分析的多步攻击表征方法,其特征在于,
步骤1,将攻击过程中的同一类异常报警事件看作一个图节点;
步骤2,将一类报警事件到另一类报警事件的转换关系看作有向边;
步骤3,将每条有向边按照时间阈值进行切割,先将超出预定时间范围内的有向边去掉;
步骤4,对同一设备同一类异常报警事件的一组无自环有向图使用频繁子图挖掘算法进一步提取表征了核心攻击特征的子图,并计算子图的支持度;
步骤5,将网络攻击阶段化特征库中的攻击特征用所述子图进行形式化表征,并按照支持度和类别排序,再存入图数据库以提高检索效率。
2.根据权利要求1所述的一种基于时序关联性分析的多步攻击表征方法,其特征在于,步骤1具体如下:
步骤1.1,假设某设备存在A,B,C,D,E五类异常报警事件,其中每一类异常报警事件都属于攻击路径上的同一个设备的异常报警数据;
步骤1.2,将每一个同一个设备上的异常报警事件记作一个脆弱点,这个脆弱点不仅包含设备上的系统安全漏洞还包含了漏洞之间的相邻关系,对于任一脆弱点v∈V,V表示七元组Vul_ID,Vul_Type,Vul_Time,Vul_Imp,Vul_Dev_Type,Vul_Pro,Vul_Detail;
其中,Vul_ID表示该漏洞的唯一标识,可使用美国国家漏洞库NVD发布的公共漏洞和暴露CVE编号来表示;Vul_Type表示该漏洞的类型,其在BugTraq、CERT/CC等漏洞库中均有统计;Vul_Time表示该漏洞的发布时间;Vul_Net表示漏洞的危害程度,一般可以依据NVD发布的通用漏洞评分系统CVSS评分给出,评分在0.0~10.0之间,数值越大就说明该漏洞越危险造成的后果也越严重;Vul_Dev_Type表示漏洞所在设备类型;Vul_Pro表示漏洞可能被攻击者利用的概率;Vul_Detail表示漏洞细节。
3.根据权利要求2所述的一种基于时序关联性分析的多步攻击表征方法,其特征在于,步骤2具体如下:
步骤2.1,将一类异常报警事件到另一类异常报警事件的转化关系作为一条有向边,E为有向边的集合,使用一个五元组hostj,hostk,port/protocol,value,interval来描述,其中hostj和hostk表示相连的主机,port/protocol表示相连主机所使用的端口号和所使用的协议,value表示这条边的权重,在CVSS中可以查出CVE所对应的漏洞转移概率,其就表示了漏洞发动攻击成功的概率,interval表示事件转化的时间间隔Δt;
步骤2.2,忽略每个图节点的自环情况,得到该设备对于当前类型异常事件转化的无自环的有向图。
4.根据权利要求3所述的一种基于时序关联性分析的多步攻击表征方法,其特征在于,步骤3具体如下:
...
【专利技术属性】
技术研发人员:王一川,王鹤,黑新宏,姬文江,朱磊,杜延宁,宋昕,任炬,
申请(专利权)人:西安理工大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。