[发明专利]网络多步攻击意图在线识别方法

说明书

技术领域

本发明涉及网络通信安全领域，特别是涉及网络多步攻击意图在线识别方法。

背景技术

随着信息技术的不断发展和信息化建设的高速推进，信息安全产业的发展近几年呈现出越来越活跃的趋势。连接到Internet的组织和机构大多都使用了入侵检测系统IDS(Intrusion Detection Systems)、防火墙、虚拟专用网络VPN(Virtual Private Network)之类的安全产品，它们已构成网络体系结构中的一部分。这些安全产品或系统在应用中产生了大量的告警和日志等安全事件数据，用户希望这些安全事件数据能成为网络攻击检测、防御和响应的重要依据，但实际中，它们庞大冗余、分散独立、错漏混杂，命中率低、反应滞后，很难直接作为正确安全反应的触发性事件。因此，需要对这些安全数据进行综合分析和处理，从中挖掘出真正的安全威胁事件，揭示出隐藏的相关逻辑，发现攻击者的真正意图，从而对网络攻击进行预防和响应，实现对整个网络安全态势的有效监控。

大部分攻击尤其是危害巨大的攻击几乎都是多步攻击，而由入侵检测系统等分布在网络上各处的实时安全检测点所产生的安全事件告警通常报告的是一个单独的攻击行为(步骤)。如何从众多的安全事件告警中找到多步攻击对应的多个攻击步骤，并将它们关联起来就成为安全事件集中管理和关联分析研究领域的一个重要研究内容。

多步攻击关联以实现攻击场景重建和发掘攻击意图为目的，是非常重要的研究点。然而目前已有的多步攻击关联研究存在着一些尚未解决的问题，如：过多依赖于先验知识，需要定义复杂的关联规则，只能挖掘出场景片断、难以发现新型攻击、无法有效保证实时性等等。

发明内容

本发明的目的是提供一种网络多步攻击意图在线识别方法，该方法降低了还原攻击步骤的复杂性，实现了网络多步攻击的在线识别。

一种网络多步攻击意图在线识别方法，包括以下步骤：

(1)根据历史安全事件告警信息建立反映攻击行为特征间多步攻击关系的特征序列，这些特征序列构成攻击行为发生序列模式集；

(2)当收到新的安全事件告警信息A，提取安全事件告警信息A的攻击行为特征S；

(3)当特征S与攻击行为发生序列模式集中的一种序列的第一个特征相同，将安全事件告警信息A单独构成一个新多步攻击告警序列{A}；

(4)将特征S作为最后一个特征分别加入各个原多步攻击告警序列对应的特征序列构成新特征序列，再将各新特征序列分别与攻击行为发生序列模式集进行模式匹配，若匹配成功，进入步骤(5)，否则转入步骤(2)；

(5)在匹配成功的新特征序列中，计算最后两个特征对应的安全事件告警信息之间的告警关联度；

(6)若告警关联度大于或等于关联度阈值，根据该告警关联度对应的新特征序列得到对应的新多步攻击告警序列，并将该新多步攻击告警序列和步骤(3)得到的新多步攻击告警序列{A}补充作为原多步攻击告警序列，转入步骤(2)，若告警关联度小于关联度阈值，转入步骤(2)。

本发明在线的对每一条新收到的安全事件告警进行模式匹配，同时计算符合模式匹配的前后安全事件的关联度，通过关联度的计算过滤掉模式匹配但不存在关联关系的安全事件，通过实时上报匹配过程和结果能够实现实时的在线检测。

附图说明

图1-网络多步攻击意图在线识别系统框图；

图2-利用攻击场景时间窗口对全局攻击序列进行划分，得到候选攻击序列的示意图；

图3-用于存放攻击行为序列模式的APT树结构图；

图4-本发明步骤流程图；

图5-模式匹配示例图；

图6-树形的属性分类及类间关联度树状图。

具体实施方式

首先需要从历史安全事件告警数据库中挖掘出多步攻击行为发生序列模式集。攻击行为发生序列模式集包括多个特征序列，每个特征序列反映了特征间的多步攻击关系，为攻击识别提供了模式匹配基础，其具体如下：

1、提取每一条历史安全事件告警中的攻击行为特征SID，按照发生时间排序，构造全局攻击序列。

2、利用攻击场景时间窗口W_T把全局攻击行为序列划分为多个候选攻击序列。