[发明专利]WLAN多步攻击意图预先识别方法

说明书

技术领域

本发明涉及预先识别方法，更具体说，它涉及一种WLAN多步攻击意图预先识别方法。

背景技术

入侵检测和防御作为一种重要的网络安全技术，一直以来受到学者的广泛关注，各种智能技术如数据挖掘、神经网络、专家系统、人工免疫技术等逐渐被应用到了入侵检测和防御系统中。近年来，规划识别(Plan Recognition)作为人工智能领域的重要研究内容，由于其与入侵检测和防御有着很大的关联性，能够根据攻击者的行为推断出多步攻击中的下一步动作，挖掘网络攻击者的真正攻击意图，已在入侵检测和防御中有了初步的应用，并取得了一定的研究成果。

2001年，Geib和Goldman第一次将规划识别方法引入到入侵检测领域，详细阐述了规划识别在入侵检测系统中的要求和特性，奠定了规划识别方法在入侵检测领域应用的基础。Geib和Goldman采用了基于规划执行的规划识别方法，主要解决了敌对环境中的规划识别问题，并对敌对智能体和部分可观察规划进行了识别。2002年，美国北卡罗莱纳州大学的Peng Ning及其工作组提出了一种利用攻击前后逻辑关系进行关联分析的方法，通过定义关联规则描述攻击步骤之间的前提条件和后续结果，并构造多步攻击场景，从而实现攻击规划的识别。2004年，Peng Ning等人将告警关联方法和分析工具进行了集成，专门提供了分析告警之间关联关系的开发包TIAA(A Toolkit for Intrusion Alert Analysis)。Cuppens等人也提出了相似的关联分析方法，利用Prolog谓词逻辑描述攻击行为，并根据这些攻击的前提条件和后果自动产生关联规则。2004年，Xinzhou Qin和Wenke Lee提出了网络安全领域对规划识别的新要求，并采用一种因果网络的方法对网络攻击进行识别，该方法首先构建攻击树，并定义攻击规划库对警报集进行关联，然后将攻击树转换为因果网络，从而实现预测攻击规划和下一步的攻击行为。2010年，Li Wang和Ali Ghorbani等人提出了一种定量的警报关联度计算方法，该方法结合警报的IP地址信息分析攻击行为步骤间存在的关联关系，自动挖掘多步攻击模式。

在国内，2004年李家春和李芝棠首先将规划识别理论引入到入侵检测的研究中，并建立了一种采用因果告警关联分析和贝叶斯网推理模型的入侵规划识别模型。2006年，诸葛建伟和韩心慧等人提出了一种基于扩展目标规划图(Extended Goal Graph，EGG)模型的网络攻击规划识别算法，通过扩展Jun Hong提出的目标图，引入观察节点区分规划者动作，能有效地从大量入侵报警信息中识别攻击者意图及规划。2007年，张卫华和范植华基于Kautz规划识别算法，利用彩色Petri网(Colored Petri Net，CPN)作为新的规划表示和识别方法，将低阶报警事件关联为多步骤攻击，以恢复出攻击全貌。同年，王莉提出了一种新的基于关联分析的网络多步攻击识别方法，利用RCI安全事件聚合方法、多步攻击行为模式挖掘方法和在线的多步攻击关联方法，分析多步攻击行为之间的关联关系。2011年，梅海彬和龚俭等人提出了一种基于警报序列聚类的多步攻击模式识别方法，该方法采用动态规划思想和序列比对技术，通过抽取最长公共子序列的算法自动发现警报数据中的多步攻击模式。

专利201010561551.7“一种网络多步攻击识别和预测方法”提出了一种网络多步攻击识别和预测方法，该方法将入侵检测系统、防火墙和杀毒软件等多种安全设备的报警存入数据库，并将数据库中的报警按照攻击类型转化为多步攻击序列，然后转化为多个长度不同的子攻击序列，再通过统计各个子攻击序列中的攻击相互转化的频数，生成攻击转化频率矩阵，结合攻击转化频率矩阵，生成历史多步攻击序列，最后通过分析网络中新的报警，依据历史多步攻击序列进行匹配，识别和预测多步攻击。专利201410535425.2“多步攻击警报关联网络服务接口开发方法”提出了一种多步攻击警报关联网络服务接口开发方法，该方法包括数据处理、警报关联以及网络服务接口开发三个模块，通过模糊积分计算模糊测度值，根据测度值进行警报合并入超警报，根据警报合并情况更新积分值代表的阈值，根据积分值进行超警报队列中超警报的生成、淘汰、删除，采用模糊积分的方式实现警报关联，并通过网络服务接口的方式进行发布并提供调用，能够有针对性的进行复杂网络攻击行为的防护。