[发明专利]一种网络攻击场景的因果知识挖掘方法、装置及服务器

说明书

技术领域

本发明涉及信息安全技术领域，更具体地说，涉及一种网络攻击场景的因果知识挖掘方法、装置及服务器。

背景技术

因果知识是指网络空间中多步网络攻击活动的模式抽象，每一个因果知识都代表着一种可能的攻击模式，它是网络攻击场景重构或网络攻击活动还原的模板、依据。因此对网络攻击场景的因果知识进行准确高效的挖掘，对于网络攻击场景的重构，和网络攻击活动的还原具有重要的意义。

目前主要是基于预定义的谓词进行因果知识的挖掘，其主要步骤如下：首先依据专家经验为每种已知的攻击类型AttackType_i定义一个对应的因果谓词<Pre_i，AttackType_i，Post_i>，其中Pre_i表示对应类型的攻击成功发生所需的前提条件集合，包括网络或系统需要符合的一些条件以及攻击者所具备的能力，Post_i表示攻击成功发生后可能会产生的结果集合，包括攻击者对某些事实的发现或某种能力的获取等；在定义好各个因果谓词，形成因果谓词集以后，基于下述假设采用循环遍历的方法，对谓词集中的谓词进行相互匹配，挖掘不同的因果知识，构建因果知识库。假设为：如果攻击类型AttackType_i和AttackType_j之间具有逻辑上的前后步骤关系，即如果攻击类型AttackType_j是AttackType_i的直接后续步骤，那么当且仅当AttackType_i结果集合中的元素能够完全或部分匹配AttackType_j的前提条件集合中的元素。

本发明的发明人在实现本发明的过程中发现现有技术至少存在如下问题：现有技术进行因果知识挖掘的对象是依据专家经验定义的谓词集，谓词集的人工定义限制了因果知识挖掘的自动化程度，同时也增加了管理员的人工负担；并且预定义的谓词集并不全面，不能包括所有的网络攻击场景，因此对于涉及谓词集以外攻击类型的场景知识，现有技术将无能为力，不能进行因果知识的有效挖掘。可见，目前急需提供一种新的网络攻击场景的因果知识挖掘方法，以提升因果知识挖掘的自动化程度，且能对全面的网络攻击场景进行有效的因果知识挖掘。

发明内容

有鉴于此，本发明实施例提供一种网络攻击场景的因果知识挖掘方法、装置及服务器，以解决现有因果知识挖掘方式所存在的自动化程度较低，无法对全面的网络攻击场景进行有效的因果知识挖掘的问题。

为实现上述目的，本发明实施例提供如下技术方案：

一种网络攻击场景的因果知识挖掘方法，包括：

接收网络中的安全设备在经网络攻击后所上传的告警信息；

按照告警信息所属的攻击场景对各告警信息进行聚类，形成多个类簇，一个类簇对应一个攻击场景；

对各个类簇进行分析，挖掘出各个类簇对应的攻击场景的因果知识。

其中，所述按照告警所属的攻击场景对各告警信息进行聚类，形成多个类簇，一个类簇对应一个攻击场景的过程包括：

将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景，将属于同一攻击场景的告警信息聚成一个类簇，形成多个类簇。

其中，所述将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景，将属于同一攻击场景的告警信息聚成一个类簇，形成多个类簇包括：

判断当前告警信息的源IP地址或目的IP地址是否与，已有类簇的告警信息的源IP地址或目的IP地址对应；

若是，将所述当前告警信息加入到所述已有类簇中，所述已有类簇中的各告警信息具有时序关系；

若否，为所述当前告警信息建立一个新的类簇。

其中，所述对各个类簇进行分析，挖掘出各个类簇对应的攻击场景的因果知识包括：

通过马尔可夫性质算法对各个类簇进行分析，对于各个类簇，按照类簇中的告警信息的时序关系，确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵；

将各个类簇对应的一步转移概率矩阵转换成对应的图形化的马尔可夫链，一个马尔可夫链对应一个类簇所对应的攻击场景的因果知识。

其中，所述对于各个类簇，按照类簇中的告警信息的时序关系，确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵包括：

对于各个类簇，为各类簇构建一个为空的转移概率矩阵，按照类簇中的告警信息的时序关系，遍历各个类簇中的各个告警信息；

若某个类簇的相邻的两告警信息的时序存在接续关系，且该两告警信息对应的攻击场景在该类簇对应的转移概率矩阵中，则在该类簇对应的转移概率矩阵中将该两告警信息对应的攻击场景间的计数器加1；