[发明专利]一种基于聚类分析的网络入侵场景图生成方法

说明书

技术领域

本发明涉及一种网络入侵场景图生成方法，特别涉及一种基于聚类分析的网络入侵场景图生成方法，属网络信息安全的技术领域。

背景技术

入侵检测系统(IDS)是依照一定的安全策略，对网络、系统的运行状况进行监视，用于保护信息系统。IDS可以分为异常检测和标识检测两类。异常检测是基于一个主体(比如用户或者系统)的正常行为，任何不同于正常行为的行为都被认为是入侵。标识检测基于已知的入侵和系统易受攻击性的特征，也称之为标签。任何和标签匹配的行为都被视为入侵。

异常检测和标识检测都有其局限性。由于正常行为很难被描述，异常检测有很高的虚假告警率。即使可以正确的描述正常行为，一个攻击人员仍然可以逐步的使IDS相信他/她的入侵行为是正常行为。至于标识检测，其基于已知攻击的特征检测攻击，并将数据包和标签匹配。如果匹配成功，将报告一个攻击，否则将不报告。因此标识检测将不能检测一些未知攻击。作为入侵防御技术(比如访问控制和鉴权)的补充，入侵检测用于网络和信息系统的二线防护。

然而，入侵检测仍然面对很多挑战，除了一些已知的局限，比如缺少检测未知攻击的能力，多数IDS遇到了越来越多的严重问题。首先，当前的IDS更多是关注低级的攻击和异常，并各自报告告警，对隐藏其后攻击的逻辑步骤不闻不问。结果安全人员只能依赖自己描述出这些告警之间的联系。其二，多数的IDS通常会生成大量的告警，包括真正的和虚假的告警。在密集入侵的情况下，真正的告警夹杂着虚假的告警，而且告警的数量变得不可管理。结果安全人员/入侵响应系统很难搞清楚告警背后的入侵行为，因此，很难及时采取合适的行动和应对策略。

针对上述问题，在现有技术中，改进了当前IDS的使用，基于低级入侵行为的内在相关性，构造高级的入侵场景。入侵场景是将所有相关的攻击行为纳入到一个安全场景中整体考虑，虽然原始的入侵场景图已经减去了安全员对对每个告警进行关联性分析的工作，但由于原始的入侵场景涉及的告警量还是很多，图结构复杂，关系冗余，不利于网络安全员对入侵步骤进行分析。

发明内容

为了克服现有技术存在的不足，本发明提供一种构图直观、容易理解，便于网络安全管理员采取及时有效的响应手段的网络入侵场景图生成方法

一种基于聚类分析的网络入侵场景图生成方法，输入经过特征类相关性分析后得到的入侵场景的原始告警关系对，其特征在于再进行如下步骤的操作：

(1)输入经过特征类相关性分析后得到入的侵场景原始关系对，计算其所有告警的入度；

(2)从0入度开始，将同一入度下具有相同的规则标识、攻击源IP地址和攻击目的IP地址告警属性的告警合并成为一个新的聚合告警；该聚合告警的标识为形成该聚合告警时被合并告警中的任一告警的ID号，产生时间和结束时间分别对应为所有被合并告警的最小产生时间和最大结束时间，该聚合告警的层次为当前的入度数加1，攻击次数为被合并告警的个数；被合并的告警的后件关系叠加在它所在的聚合告警的后件中；

(3)对0入度的告警的后件告警入度减1后，重新计算入度，循环(2)的操作，直到遍历完所有告警完成聚类合并，得到聚合告警及聚合告警关系对；

(4)依次取出每一个聚合告警，分别得到聚合告警所有后件的入度，对有多个不同入度的后件，在保持连通图连通的条件下进行去除跨层关系操作，生成网络入侵场景图。

所述的去除跨层关系操作，其步骤为：先保存当前状态和跨层关系，再采用深度优先遍历的方式判断聚合告警连通图的状态，若移除跨层关系后该聚合告警关系对仍为连通状态，则进行去除该聚合告警的跨层关系的操作；若移除跨层连线后，该聚合告警关系对为非连通状态，则返回到去除跨层关系前的状态，取出该聚合告警的下一个跨层关系重复进行判断该聚合告警连通图的状态步骤，直到所有的聚合告警都完成了去除跨层关系操作，形成网络入侵场景图。

本发明的工作原理是：入侵场景中的每个相关联的告警必然带有一定的攻击特性及步骤，如果不对这些告警及之间的关系进行整理优化，对于绘制入侵场景图工具而言，表征所有告警的多个属性如规则名称、产生时间、源目的地址和端口等带有明显的随机特性，可以通过一个随机向量表示，如：P＝(X1，X2，X3，…，Xn)，Xi(i＝1，2，3，…，n)为具体的告警属性，n表示告警压缩参考属性的维数。因此，在对相关告警可压缩进行识别的时候可以应用多元统计的原理与方法。