[发明专利]一种基于相似度计算的攻击路径重构方法

说明书

本发明公开了一种基于相似度计算的攻击路径重构方法，本发明通过将一个攻击事件中的多次攻击进行融合后形成一个攻击事件，然后通过将多个攻击步骤形成一个攻击路径，有效的将原本较为复杂的网络攻击过程清晰化、条理化，有助于准确的检测攻击行为，跟踪攻击源，发现网络系统的薄弱环节。

技术领域

本发明涉及一种基于相似度计算的攻击路径重构方法。

背景技术

随着Web技术的飞速发展，网络攻击日益增多。网络攻击对国家安全和社会秩序构成极大威胁。网络安全态势分析通过检测来自不同安全设备的攻击警报来反映当前的态势威胁。威胁态势分析必须考虑以下两个问题。第一种情况是，多个日志设备中的一个攻击行为可能导致大量重复的攻击警报。二是网络攻击变得越来越复杂，攻击行为可以包括多个攻击步骤，每个攻击步骤可以在不同的设备上生成警报。为了准确检测攻击行为，跟踪攻击源，发现网络系统的薄弱环节，需要对攻击警报进行融合并重构攻击路径。目前，还没有公开文献涉及恶意站点的实时在线检测方法。

发明内容

为了解决目前对于复杂情况下网络攻击的分析方法较为落后导致对于网络威胁的处理实时性不足的技术问题，本发明提供一种基于相似度计算的攻击路径重构方法。

为了实现上述技术目的，本发明的技术方案是，

一种基于相似度计算的攻击路径重构方法，包括以下步骤：

步骤一，搭建包括日志采集子系统、日志融合子系统和攻击路径重构子系统在内的攻击路径重构系统；

步骤二，启动攻击路径重构系统；

步骤三，日志采集子系统采集网络日志、主机日志和应用程序日志；然后根据特征匹配来判断日志记录中是否存在攻击告警，并将攻击告警存入攻击告警队列AA中；

步骤四，日志融合子系统对攻击告警队列AA中的攻击告警进行融合，去除重复告警，建立攻击事件队列AE；

步骤五，攻击路径重构子系统采用相似度计算方法构造攻击路径队列AP。

所述的一种基于相似度计算的攻击路径重构方法，所述的日志采集子系统包括日志采集客户端和日志采集服务端。

所述的一种基于相似度计算的攻击路径重构方法，所述的步骤三中，日志采集客户端将网络日志、主机日志和应用程序日志采集至日志采集服务端；日志服务端根据特征匹配的方法，判断日志记录中是否存在攻击告警，并将攻击告警存入攻击告警队列AA中。

所述的一种基于相似度计算的攻击路径重构方法，所述的步骤三中，日志采集子系统通过syslog协议来采集网络日志、主机日志和应用程序日志。

所述的一种基于相似度计算的攻击路径重构方法，所述的步骤三中，所述的根据特征匹配来判断日志记录中是否存在攻击告警，是根据日志中所记录的关键字作为特征来判断是否存在攻击告警。

所述的一种基于相似度计算的攻击路径重构方法，所述的步骤四中，日志融合子系统采用如下步骤建立攻击事件队列：

步骤1：初始化攻击事件队列AE为空；

步骤2：取出攻击告警队列中的队头元素AA_i，并由其他元素填补为队头元素，若攻击告警队列已为空，则结束建立攻击事件队列；

步骤3：比对攻击事件队列AE中是否存在与攻击告警AA_i的攻击类型、攻击目的地址相同的攻击事件AE_j元素，且AA_i的告警发生时间和AE_j的攻击发生时间差值小于预设阈值；若是，将AE_j的攻击发生时间修改为AA_i的告警发生时间，转到步骤2；否则转到步骤4；

步骤4：将攻击告警加入到攻击事件队列中，转到步骤2。