【技术实现步骤摘要】
一种基于SNORT日志的隐马尔可夫攻击链预测方法及装置
[0001]本专利技术涉及计算机
,尤其涉及一种基于SNORT日志的隐马尔可夫攻击链预测方法及装置。
技术介绍
[0002]网络上的一个完整的恶意攻击往往是由多个攻击步骤形成的,这些攻击会形成一个特定的攻击链,潜伏性久,隐藏性强。然而这些攻击步骤并不是单一的,没有联系的。
[0003]目前传统的入侵检测系统(IDS)snort只能对攻击序列的单独步骤发出警告,不能识别整条攻击链。此外,利用规则去匹配出完整的攻击链也不能提前做到预警的准备。因此为了减少财产的损失,提前识别整条攻击链成为亟待解决的问题。
[0004]现有对于攻击序列的识别往往是需要具备一定的网络安全的技术人员对snort报警日志的分析,并且通过一定的知识储备编写出一定的规则,利用规则去和snort日志进行正则匹配,从而在日志中识别出整条攻击链,然后进行判断攻击类型。在snort数千万级别的日志中利用规则去搜索特点的攻击步骤,机器需要耗费大量的时间,并且具有一定的延后性。
[00...
【技术保护点】
【技术特征摘要】
1.一种基于SNORT日志的隐马尔可夫攻击链预测方法,其特征在于,包括:训练得到基于snort日志的隐马尔可夫预测攻击链模型;训练所述模型执行以下步骤:获取原始snort日志,对所述原始snort日志进行预处理,得到snort日志数据;获取所述snort日志数据中攻击链的观测状态,得到观测状态概率矩阵,并根据所述snort日志数据得到各个所述攻击链第一个攻击的初始的概率分布;根据各个所述攻击链产生的告警按照所述攻击链的步骤标注,其中,所述标注包括所述攻击链的类型和所述攻击链的步骤;获取状态转移概率矩阵;将所述模型部署在网关节点;通过所述模型进行预测执行以下步骤:利用维特比算法对待预测snort日志数据解码得到状态转移序列;根据所述状态转移矩阵预测下一个状态,再由当前状态节点的所述观测状态概率矩阵预测出当前节点的观测序列,更新所述观测序列,依次类推,预测出完整的攻击链;对所述完整的攻击链中各个攻击链分别进行预测,得到预测结果。2.根据权利要求1所述的方法,其特征在于,所述原始snort日志包括:告警消息、发生时间、源IP地址、源端口号、目的IP地址、目的端口号、TTL、确认号ACK和切片号seq;所述snort日志数据,包括:所述告警消息、所述发生时间、所述源IP地址、所述源端口号、所述目的IP地址和所述目的端口号。3.根据权利要求1所述的方法,所述得到预测结果之后,还包括:将所述预测结果进行排序,作为推荐列表进行推送。4.一种基于SNORT日志的隐马尔可夫攻击链预测装置...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。