【技术实现步骤摘要】
本专利技术涉及计算机网络安全,尤其涉及一种安全告警驱动的攻击场景重构方法、系统、设备及介质。
技术介绍
1、近年来,以关键信息系统为目标的网络威胁或攻击迅速增加。而针对这些关键信息系统(如电网和工业控制网络等)的任何威胁措施都可能对国家安全和经济造成严重后果。系统或网络中发生某些恶意行为时,系统的入侵检测系统(intrusion detectionsystem,ids)通过检测网络数据流或主机内部信息,可以产生一些消息来告知网络管理员发现的异常,这些消息就称之为警报,是网络处于异常状态的一种表现形式。告警分析是安全操作中心(security opeartions center,soc)最重要的任务之一。告警管理也可以用于派生主动网络威胁情报(cyber threat intelligence,cti),例如,通过推断攻击者针对观察到的网络的策略。实现这一目标的最大障碍是soc每天收到的大量警报:警报疲劳是soc环境中工作的分析师面临的最普遍的问题之一(hassan w u,guo s,li d,et al.nodoze:combatting threat alert fatigue with automated provenance triage[c]//networkand distributed systems security symposium.2019.)。2018年rsa会议期间进行的一项调查显示,安全分析师每天会收到超过100万条警报,其中许多他们甚至无法在同一天处理(casey t.survey:27percen
2、通过使用关联分析方法对ids生成的低级警报进行二次分析,可以有效地减少大量无用的警报对系统的干扰。这种方法有助于重新构建攻击者的攻击意图和攻击流程,从而极大地提高了警报的准确性,使网络管理员能够更及时有效地应对攻击行为。目前常用的告警相关性分析方法通过对来自相同攻击阶段的告警进行分组,以减少告警数量。然而,这种方法未能提供更广泛的攻击全貌,而且后续的分析仍然需要人工且工作量大,以获取对攻击者策略的建设性意见或可操作见解。另一种非常流行的还原攻击者攻击场景的方法是用攻击图(attack graphs,ag)来表示攻击者的攻击流程。现有的ag生成方法,例如拓扑脆弱性分析(topological vulnerability analysis,tva),需要大量的专家知识和已发布的漏洞威胁情报。因此,专家驱动的ag生成需要相当多的时间,而持续依赖漏洞扫描的威胁情报则存在较大滞后性,这将给组织信息系统的安全带来潜在的风险。此外,共享的威胁情报报告通常与待保护的网络没有直接相关性,这可能在实际应用中引发适配性问题。
3、在缺乏专家知识的情况下,构建与攻击者策略直接相关的攻击场景仍然是一个待解决的问题。其中一个特殊挑战是,严重的警报相对不常见——大多数警报都与网络扫描相关,这使得分析师通常对这些普遍的警报不感兴趣。因此,使用频繁模式挖掘和最长公共子序列等频率分析方法会忽略那些不太频繁出现的行为,这在本质上并不适合解决这个问题。为了分析安全告警序列的时序相关性,过程挖掘这类适合序列学习的方法被用于分析攻击者的行为。虽然过程挖掘模型很适合对并发事件进行建模,但它无法区分具有不同上下文但相同签名的警报。
技术实现思路
1、本专利技术的目的是提供一种安全告警驱动的攻击场景重构方法、系统、设备及介质,借助强化学习方法挖掘告警之间的因果结构,将不频繁的严重警报引入到安全分析师的视线中,从而形成具有因果关系拓扑的攻击图,以此来描述攻击者的攻击场景,从而极大地提高了警报的准确性。
2、本专利技术的目的是通过以下技术方案实现的:
3、一种安全告警驱动的攻击场景重构方法,包括:
4、将属于同一攻击场景的告警日志汇聚成攻击行为序列,并转化成攻击动作序列,再对其中的攻击动作进行关联,形成蕴含攻击前后因果关系的因果知识网络;
5、利用强化学习的方式从因果知识网络中提取出进入攻击阶段的攻击路径,攻击路径为因果知识网络中的一个攻击子图;
6、将针对同一受害者与同一攻击目标的攻击子图聚合,重构出对应的攻击场景。
7、一种安全告警驱动的攻击场景重构系统,包括:
8、告警聚类与因果知识网络生成单元,用于将属于同一攻击场景的告警日志汇聚成攻击行为序列,并转化成攻击动作序列,再对其中的攻击动作进行关联,形成蕴含攻击前后因果关系的因果知识网络;
9、因果关系提取单元,用于利用强化学习的方式从因果知识网络中提取出进入攻击阶段的攻击路径,攻击路径为因果知识网络中的一个攻击子图;
10、攻击场景重构单元,用于将针对同一受害者与同一攻击目标的攻击子图聚合,重构出对应的攻击场景。
11、一种处理设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序;
12、其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现前述的方法。
13、一种可读存储介质,存储有计算机程序,当计算机程序被处理器执行时实现前述的方法。
14、由上述本专利技术提供的技术方案可以看出,不需要利用外部描述攻击行为的先验知识,也没有采用启发式算法尝试求解局部最优,而是将告警日志通过映射和聚类构成蕴含攻击行为前后因果关系的知识网络,然后采用强化学习算法筛选出具有强关联属性的攻击路径,最后将属于同一攻击目标的攻击路径聚集在一起构成攻击场景。本专利技术可以直接增强现有的入侵检测系统,对大量警报进行分流,只生成少量攻击图(攻击场景),这些警报驱动的攻击图使安全分析师无需调查数千个入侵警报就可以获取关于攻击者策略的情报。
本文档来自技高网...【技术保护点】
1.一种安全告警驱动的攻击场景重构方法,其特征在于,包括:
2.根据权利要求1所述的一种安全告警驱动的攻击场景重构方法,其特征在于,将属于同一攻击场景的告警日志汇聚成攻击行为序列之前还包括对原始告警日志进行映射与过滤的处理,处理步骤包括:
3.根据权利要求1或2所述的一种安全告警驱动的攻击场景重构方法,其特征在于,所述将属于同一攻击场景的告警日志汇聚成攻击行为序列,并转化成攻击动作序列包括:
4.根据权利要求3所述的一种安全告警驱动的攻击场景重构方法,其特征在于,对其中的攻击动作进行关联,形成蕴含攻击前后因果关系的因果知识网络包括:
5.根据权利要求1所述的一种安全告警驱动的攻击场景重构方法,其特征在于,所述利用强化学习的方式从因果知识网络中提取出进入攻击阶段的攻击路径包括:
6.根据权利要求5所述的一种安全告警驱动的攻击场景重构方法,其特征在于,将重构攻击场景建模为一个马尔可夫决策过程强化学习过程定义为:
7.根据权利要求6所述的一种安全告警驱动的攻击场景重构方法,其特征在于,通过策略网络决策出第k步的行动
8.一种安全告警驱动的攻击场景重构系统,其特征在于,包括:
9.一种处理设备,其特征在于,包括:一个或多个处理器;存储器,用于存储一个或多个程序;
10.一种可读存储介质,存储有计算机程序,其特征在于,当计算机程序被处理器执行时实现如权利要求1~7任一项所述的方法。
...【技术特征摘要】
1.一种安全告警驱动的攻击场景重构方法,其特征在于,包括:
2.根据权利要求1所述的一种安全告警驱动的攻击场景重构方法,其特征在于,将属于同一攻击场景的告警日志汇聚成攻击行为序列之前还包括对原始告警日志进行映射与过滤的处理,处理步骤包括:
3.根据权利要求1或2所述的一种安全告警驱动的攻击场景重构方法,其特征在于,所述将属于同一攻击场景的告警日志汇聚成攻击行为序列,并转化成攻击动作序列包括:
4.根据权利要求3所述的一种安全告警驱动的攻击场景重构方法,其特征在于,对其中的攻击动作进行关联,形成蕴含攻击前后因果关系的因果知识网络包括:
5.根据权利要求1所述的一种安全告警驱动的攻击场景重构方法,其特...
【专利技术属性】
技术研发人员:肖锋锐,陈双武,杨坚,程思雨,陈思洋,吴枫,
申请(专利权)人:中国科学技术大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。