一种基于时序关联性分析的多步攻击表征方法技术

本发明专利技术公开了一种基于时序关联性分析的多步攻击表征方法，将攻击过程中的同一类异常报警事件看作一个图节点；将一类报警事件到另一类报警事件的转换关系看作有向边；将每条边按照时间阈值进行切割，先将超出时间范围内的边去掉；对同一设备同一类异常报警事件的一组无自环有向图使用频繁子图挖掘算法进一步提取表征了核心攻击特征的子图，并计算子图的支持度；将网络攻击阶段化特征库中的攻击特征用上述图结构进行形式化表征，并按照支持度和类别排序，再存入图数据库以提高检索效率。解决了现有技术中存在的记录形式的特征表示方法不够直观、处理查询速度缓慢的问题。

【技术实现步骤摘要】
一种基于时序关联性分析的多步攻击表征方法
本专利技术属于信息处理
，具体涉及一种基于时序关联性分析的多步攻击表征方法。
技术介绍
随着网络应用的层出不穷以及各种新兴技术的蓬勃发展，区块链、物联网、云计算等不断涌现的新技术在推动社会快速发展的同时，正逐渐渗透到人们的生活中，并以一种新的姿态在改变着人们的生活习惯和生活方式。然而随着网络技术的发展，尤其近年来网络攻击行为逐渐呈现出多阶段、大规模等特点，网络安全问题愈加严重，愈加多元化。网络空间逐渐被视为继陆、海、空、天之后的“第五空间”，网络空间安全已经被提升到国家安全的高度，成为公共安全最重要的组成部分。根据国家计算机网络应急技术处理协调中心(CNCERT/CC)的年度网络安全工作报告中把攻击按类型进行统计的结果，大部分危害巨大的攻击几乎都是多步攻击。多步攻击一般来说指的是在网络中想达到对攻击目标的成功攻击，由至少一个攻击者发起攻击的多个攻击步骤的集合。因此，由入侵检测系统等分布在网络上各处的实时安全检测点所产生的安全事件告警通常报告的是一个单独的攻击步骤。如何从众多的安全事件告警中找到多步攻击对应的多个攻击步骤，并将它们关联起来就成为安全事件集中管理和关联分析研究领域的一个重要研究内容。攻击特征表征、脆弱点威胁的一致性评估以及攻击多步骤之间的关联性分析等网络安全研究面临着新的挑战，网络攻击特征的多样性又使得对于网络攻击的特征和规律难以给出形式化和统一化的描述。
技术实现思路
本专利技术的目的是提供一种基于时序关联性分析的多步攻击表征方法，解决了现有技术中存在的记录形式的特征表示方法不够直观、处理查询速度缓慢的问题。本专利技术所采用的技术方案是一种基于时序关联性分析的多步攻击表征方法，具体按照以下步骤实施：步骤1，将攻击过程中的同一类异常报警事件看作一个图节点；步骤2，将一类报警事件到另一类报警事件的转换关系看作有向边；步骤3，将每条有向边按照时间阈值进行切割，先将超出预定时间范围内的有向边去掉；步骤4，对同一设备同一类异常报警事件的一组无自环有向图使用频繁子图挖掘算法进一步提取表征了核心攻击特征的子图，并计算子图的支持度；步骤5，将网络攻击阶段化特征库中的攻击特征用所述子图进行形式化表征，并按照支持度和类别排序，再存入图数据库以提高检索效率。本专利技术的特点还在于，步骤1具体如下：步骤1.1，假设某设备存在A,B,C,D,E五类异常报警事件，其中每一类异常报警事件都属于攻击路径上的同一个设备的异常报警数据；步骤1.2，将每一个同一个设备上的异常报警事件记作一个脆弱点，这个脆弱点不仅包含设备上的系统安全漏洞还包含了漏洞之间的相邻关系，对于任一脆弱点v∈V，V表示七元组(Vul_ID,Vul_Type,Vul_Time,Vul_Imp,Vul_Dev_Type，Vul_Pro，Vul_Detail)；其中，Vul_ID表示该漏洞的唯一标识，可使用美国国家漏洞库NVD发布的公共漏洞和暴露CVE编号来表示；Vul_Type表示该漏洞的类型，其在BugTraq、CERT/CC等漏洞库中均有统计；Vul_Time表示该漏洞的发布时间；Vul_Net表示漏洞的危害程度，一般可以依据NVD发布的通用漏洞评分系统CVSS评分给出，评分在0.0～10.0之间，数值越大就说明该漏洞越危险造成的后果也越严重；Vul_Dev_Type表示漏洞所在设备类型；Vul_Pro表示漏洞可能被攻击者利用的概率；Vul_Detail表示漏洞细节。步骤2具体如下：步骤2.1，将一类异常报警事件到另一类异常报警事件的转化关系作为一条有向边，E为有向边的集合，使用一个五元组(hostj，hostk，port/protocol，value，interval)来描述，其中hostj和hostk表示相连的主机，port/protocol表示相连主机所使用的端口号和所使用的协议，value表示这条边的权重，在CVSS中可以查出CVE所对应的漏洞转移概率，其就表示了漏洞发动攻击成功的概率，interval表示事件转化的时间间隔Δt；步骤2.2，忽略每个图节点的自环情况，得到该设备对于当前类型异常事件转化的无自环的有向图。步骤3具体如下：步骤3.1，攻击者对网络的攻击一般有一个攻击周期，这个多步攻击的时间间隔将其称为攻击时间窗口At，它是从第一步多步攻击发生到最后一条攻击事件完成；设ts和tl分别表示合理的最短和最长时间，ti(1<i<l)发生在ts和tl之间，[ts,tl]表示时间窗口，对任意一个多步攻击场景事件，满足公式Min(ti.happen_time-ts.happen_time)<＝At<＝Max(tl.happen_time-ts.happen_time)；步骤3.2，将每条有向边按照所设置的时间阈值进行切割，即就是将超出时间范围内的边去掉，得到一个剪枝之后的图。步骤4具体如下：步骤4.1，某设备的某类型异常事件时间序列满足偏序关系<A,B,C,D,E>，得到异常事件转化的有向图；步骤4.2，遍历步骤1所述有向图，将其记作图的集族计算出所有的边和点的频度；步骤4.3，设定最小支持度为一个固定值，将频度与最小支持度数作比较，移除不频繁的边和点；步骤4.4，重新将剩下的点和边按照频度进行排序，将他们的排名号给边和点进行重新标号；步骤4.5，再次计算每条边的频度，计算完后，然后初始化每条边，对于每条边，首先根据图编码重新恢复当前的子图，然后判断当前的编码是否为最小深度优先编码，如果是加入到结果集中，继续在此基础上尝试添加可能的边，进行继续挖掘。如果不是最小编码，则此子图的挖掘过程结束；步骤4.6，至此得到最小频繁子图g，然后再根据图Gi的子图的支持度s(g)定义为包含它的所有图所占的百分比：步骤5具体如下：步骤5.1，将网络攻击阶段特征库中的攻击特征用步骤4.6的频繁子图结构进行形式化表征，并计算出子图的支持度大小，并在每个类别中按照支持度大小进行排序；步骤5.2，对每个节点进行形式化表征，支持度高的用红色，支持度较高的用橙色，支持度低的用绿色，由于在多步攻击过程中会存在攻击者通过不同的“跳板机”节点去达到成功攻击目标的目的，所以被多条攻击路径均所共有的节点我们要特别关注其不同时刻的状态，因此我们用红色进行表征，对大部分攻击路径所共有的节点我们可以用橙色去表征，对一些随着攻击路径不同所经过的不同跳板机使用绿色来表征；步骤5.3，将已经形式化表征之后的图存入图数据库，这时，应该对于不同的环境选取不同的图数据库进行存储，当是在单机环境下时，可选择Neo4j图数据库进行存储；当是在分布式架构下的话，则应选择JanusGraph图数据库进行存储，并且此时需要结合Hadoop生态环境。本专利技术一种基于时序关联性分析的多步攻击表征方法，为了研究多步网络攻击的特征提本文档来自技高网...

【技术保护点】
1.一种基于时序关联性分析的多步攻击表征方法，其特征在于，/n步骤1，将攻击过程中的同一类异常报警事件看作一个图节点；/n步骤2，将一类报警事件到另一类报警事件的转换关系看作有向边；/n步骤3，将每条有向边按照时间阈值进行切割，先将超出预定时间范围内的有向边去掉；/n步骤4，对同一设备同一类异常报警事件的一组无自环有向图使用频繁子图挖掘算法进一步提取表征了核心攻击特征的子图，并计算子图的支持度；/n步骤5，将网络攻击阶段化特征库中的攻击特征用所述子图进行形式化表征，并按照支持度和类别排序，再存入图数据库以提高检索效率。/n

【技术特征摘要】
1.一种基于时序关联性分析的多步攻击表征方法，其特征在于，
步骤1，将攻击过程中的同一类异常报警事件看作一个图节点；
步骤2，将一类报警事件到另一类报警事件的转换关系看作有向边；
步骤3，将每条有向边按照时间阈值进行切割，先将超出预定时间范围内的有向边去掉；
步骤4，对同一设备同一类异常报警事件的一组无自环有向图使用频繁子图挖掘算法进一步提取表征了核心攻击特征的子图，并计算子图的支持度；
步骤5，将网络攻击阶段化特征库中的攻击特征用所述子图进行形式化表征，并按照支持度和类别排序，再存入图数据库以提高检索效率。


2.根据权利要求1所述的一种基于时序关联性分析的多步攻击表征方法，其特征在于，步骤1具体如下：
步骤1.1，假设某设备存在A,B,C,D,E五类异常报警事件，其中每一类异常报警事件都属于攻击路径上的同一个设备的异常报警数据；
步骤1.2，将每一个同一个设备上的异常报警事件记作一个脆弱点，这个脆弱点不仅包含设备上的系统安全漏洞还包含了漏洞之间的相邻关系，对于任一脆弱点v∈V，V表示七元组Vul_ID,Vul_Type,Vul_Time,Vul_Imp,Vul_Dev_Type，Vul_Pro，Vul_Detail；
其中，Vul_ID表示该漏洞的唯一标识，可使用美国国家漏洞库NVD发布的公共漏洞和暴露CVE编号来表示；Vul_Type表示该漏洞的类型，其在BugTraq、CERT/CC等漏洞库中均有统计；Vul_Time表示该漏洞的发布时间；Vul_Net表示漏洞的危害程度，一般可以依据NVD发布的通用漏洞评分系统CVSS评分给出，评分在0.0～10.0之间，数值越大就说明该漏洞越危险造成的后果也越严重；Vul_Dev_Type表示漏洞所在设备类型；Vul_Pro表示漏洞可能被攻击者利用的概率；Vul_Detail表示漏洞细节。


3.根据权利要求2所述的一种基于时序关联性分析的多步攻击表征方法，其特征在于，步骤2具体如下：
步骤2.1，将一类异常报警事件到另一类异常报警事件的转化关系作为一条有向边，E为有向边的集合，使用一个五元组hostj，hostk，port/protocol，value，interval来描述，其中hostj和hostk表示相连的主机，port/protocol表示相连主机所使用的端口号和所使用的协议，value表示这条边的权重，在CVSS中可以查出CVE所对应的漏洞转移概率，其就表示了漏洞发动攻击成功的概率，interval表示事件转化的时间间隔Δt；
步骤2.2，忽略每个图节点的自环情况，得到该设备对于当前类型异常事件转化的无自环的有向图。


4.根据权利要求3所述的一种基于时序关联性分析的多步攻击表征方法，其特征在于，步骤3具体如下：
...

【专利技术属性】
技术研发人员：王一川，王鹤，黑新宏，姬文江，朱磊，杜延宁，宋昕，任炬，
申请(专利权)人：西安理工大学，
类型：发明
国别省市：陕西;61