[发明专利]一种基于报警关联分析的未知攻击场景检测方法

说明书

本发明公开了一种基于报警关联分析的未知攻击场景检测方法，包括：(1)预处理多源海量的入侵报警，生成报警集合；(2)聚合步骤(1)生成的报警集合，生成初始攻击序列集合；(3)关联分析步骤(2)生成的初始攻击序列集合，生成多步骤攻击规则集合；(4)将步骤(3)生成的多步骤攻击规则集合与已有攻击规则进行相似度分析，实时添加攻击规则，生成入侵检测系统中的新攻击规则库；(5)入侵检测系统根据新攻击规则库对入侵行为进行入侵检测。本发明提供的方法能有效解决现有入侵检测系统报警信息数量大、内容零碎的问题；实现IDS报警的关联场景构建；实现自动化添加规则。

技术领域

本发明涉及网络安全技术领域，特别涉及一种基于关联分析的未知攻击场景检测方法。

背景技术

随着互联网技术的飞速发展，随之而来的安全问题也层出不穷。入侵检测系统以其高效、快速、隐蔽性好等优点被广泛应用于安全防护体系中。入侵检测技术(IDS)是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵检测系统是防火墙的延续。它们可以和防火墙与路由器配合工作。IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。

但传统的入侵检测系统往往会产生数量庞大的报警信息，给管理人员分析、防御工作带来了挑战。

面对日益复杂的网络攻击形势，通过分析报警信息，提取多步骤攻击规则，能够更好地显示攻击者的意图和攻击方式，进而做出相应的防御措施。由于大量的重复报警和误报的存在，大大降低了真实报警的可见性，使得管理员难以从纷繁芜杂的事件中准确识别出真正的攻击和威胁的报警，且由于检测引擎缺乏对序列攻击的分析难以重组整个攻击场景，在遭受重大序列攻击时使我们很难对攻击者取证和防范再次类似攻击的能力，更难以及时更新保护区的系统的漏洞。由于入侵检测系统中规则库的生成过度依赖人工分析，如何利用报警之间的关系快速生成攻击场景，从而丰富规则库的内容就显得尤为重要。

现有方法中，冯学伟于2014年发表在《计算机研究与发展》的论文《一种基于马尔科夫性质的因果知识挖掘方法》中实现了识别多步攻击过程、感知网络威胁的方法。然而该方案在分析时没有考虑时间因素，可能将某一时间段内针对同一目标不同种类的攻击混为一谈。王泽芳于2016年发表在《西南科技大学学报》的论文《一种新的多步攻击场景构建技术研究中》中采用滑动窗口的方法来构建多步攻击场景，然而该方法没有考虑IP地址等网络结构相关性，不能很好地区分同一时间段不同攻击者针对不同目标的攻击行为。

因此，设计一种综合考虑时空因素，关联分析报警信息，识别未知威胁或变种攻击行为的检测方法是急需解决的问题。

发明内容

本发明提出了一种基于报警关联分析的未知攻击场景检测方法，该方法能有效解决现有入侵检测系统报警信息数量大、内容零碎的问题，通过构建多步骤攻击规则库，能够有效识别原先规则库中未知的变种攻击行为，提高入侵检测的效果。

为实现上述目的，本发明提供如下技术方案：

一种基于报警关联分析的未知攻击场景检测方法，包括以下步骤：

(1)预处理多源海量的入侵报警，生成报警集合；

(2)聚合步骤(1)生成的报警集合，生成初始攻击序列集合；

(3)关联分析步骤(2)生成的初始攻击序列集合，生成多步骤攻击规则集合；

(4)将步骤(3)生成的多步骤攻击规则集合与已有攻击规则进行相似度分析，实时添加攻击规则，生成入侵检测系统中的新攻击规则库；