[发明专利]一种网络攻击模式图的生成方法

说明书

本发明涉及一种网络攻击模式图的生成方法，从原始入侵检测系统日志文件数据中使用过程挖掘工具获得攻击图，检查攻击图的复杂度，对攻击图进行分割，分割攻击图中的独立子图部分，分割攻击图的长距离环，检查分割子图的复杂度，补全子图的结构信息。本发明可在保留攻击土结构的基础上有效的减少攻击图复杂度，使得攻击图信息更便于网络管理员对入侵检测系统数据分析和进一步研究。

技术领域

本发明涉及网络安全技术领域，特别是一种网络攻击模式图的生成方法。

背景技术

为保护信息安全，一些公司或政府组织往往选择部署IDS(Intrusion DetectionSystems，入侵检测系统)来监控系统和网络，收集可疑行为的警报。然而，IDS产生的巨量警报以及其信息等级过低导致对其的分析非常困难。因此，从IDS产生的警报日志中生产入侵攻击的攻击模式图对于理论与实际有着十分重要的作用。通过攻击模式图，可以极大提高网络安全管理员的管理效率，同时对入侵攻击的进一步分析有着十分重要的作用。

现有的网络攻击模式图的生产方法主要是通过网络攻击的先后顺序直接将攻击的步骤简单地连接在一起，生成一个巨大的攻击图后再进行分割处理。如Sean Alvarenga的等人的从巨大共计图中打散再从新连接的方式。这样的方式在处理攻击图时会耗费大量的时间用于将警报记录重新生成攻击图，同时，在打散重组的过程中会丢失大量的攻击信息，使得一些攻击模式在攻击图的构建过程中被丢失或破坏。

综上，现有的攻击模式图的生成方法在质量上和时间效率上有着很大的提升空间。对目前的网络安全情况，现有的方法需要得到有效的改进。

发明内容

有鉴于此，本发明的目的是提出一种网络攻击模式图的生成方法，可在保留攻击土结构的基础上有效地减少攻击图的复杂度，使得攻击图信息更便于网络管理员对入侵检测系统的数据分析和进一步研究。

本发明采用以下方案实现：一种网络攻击模式图的生成方法，包括以下步骤：

步骤S1：获取一段时间的网络入侵检测系统的日志数据，作为生成攻击图的输入数据；

步骤S2：对步骤S1获得的日志数据进行过程挖掘，得到一个包含所有攻击链的攻击图G；

步骤S3：计算攻击图G的复杂度，若攻击图G的复杂度大于指定阈值，则输出G；否则将G放入队列Q_s中，执行步骤S4；其中队列Q_s用于存放待分割的有向图，初始为空队列；

步骤S4：遍历队列Q_s，对队列中的每个有向图G，自顶向下寻找分支点V_split；

步骤S5：以分支点V_split作为分割的起始点，去除有向图G中的独立子图，然后将剩余以V_split为起始点的有向边加入到队列Q_e中，其中队列Q_e用于存放待遍历的以V_split为起始点的有向边，初始为空队列；

步骤S6：遍历队列Q_e，对遍历到的有向边e使用广度优先算法遍历并生成e的后继子图，对每个后继子图G_e，计算G_e复杂度，如果G_e不是复杂子图，将G_e加入输出队列Q_output中；否则将G_e加入队列Q_s；

步骤S7：判断队列Q_s是否为空，如果Q_s为空，转到步骤S8；否者转到步骤S4；

步骤S8：将Q_output中的有向图G，使用分支信息补全算法处理得到有向图G'，输出G'，即为攻击模式图。