[发明专利]一种基于时序关联性分析的多步攻击表征方法有效
| 申请号: | 202110224034.9 | 申请日: | 2021-03-01 |
| 公开(公告)号: | CN113179241B | 公开(公告)日: | 2022-06-17 |
| 发明(设计)人: | 王一川;王鹤;黑新宏;姬文江;朱磊;杜延宁;宋昕;任炬 | 申请(专利权)人: | 西安理工大学 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;G06F21/57;G06F16/901 |
| 代理公司: | 西安弘理专利事务所 61214 | 代理人: | 曾庆喜 |
| 地址: | 710048 陕*** | 国省代码: | 陕西;61 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 时序 关联性 分析 攻击 表征 方法 | ||
1.一种基于时序关联性分析的多步攻击表征方法,其特征在于,
步骤1,将攻击过程中的同一类异常报警事件看作一个图节点;
步骤1.1,假设某设备存在A,B,C,D,E五类异常报警事件,其中每一类异常报警事件都属于攻击路径上的同一个设备的异常报警数据;
步骤1.2,将每一个同一个设备上的异常报警事件记作一个脆弱点,这个脆弱点不仅包含设备上的系统安全漏洞还包含了漏洞之间的相邻关系,对于任一脆弱点v∈V,V表示七元组Vul_ID,Vul_Type,Vul_Time,Vul_Imp,Vul_Dev_Type,Vul_Pro,Vul_Detail;
其中,Vul_ID表示该漏洞的唯一标识,可使用美国国家漏洞库NVD发布的公共漏洞和暴露CVE编号来表示;Vul_Type表示该漏洞的类型,其在BugTraq、CERT/CC漏洞库中均有统计;Vul_Time表示该漏洞的发布时间;Vul_Imp表示漏洞的危害程度,一般依据NVD发布的通用漏洞评分系统CVSS评分给出,评分在0.0~10.0之间,数值越大就说明该漏洞越危险造成的后果也越严重;Vul_Dev_Type表示漏洞所在设备类型;Vul_Pro表示漏洞可能被攻击者利用的概率;Vul_Detail表示漏洞细节;
步骤2,将一类报警事件到另一类报警事件的转换关系看作有向边;
步骤2.1,将一类异常报警事件到另一类异常报警事件的转化关系作为一条有向边,E为有向边的集合,使用一个五元组hostj,hostk,port/protocol,value,interval来描述,其中hostj和hostk表示相连的主机,port/protocol表示相连主机所使用的端口号和所使用的协议,value表示这条边的权重,在CVSS中查出CVE所对应的漏洞转移概率,其就表示了漏洞发动攻击成功的概率,interval表示事件转化的时间间隔Δt;
步骤2.2,忽略每个图节点的自环情况,得到该设备对于当前类型异常事件转化的无自环的有向图;
步骤3,将每条有向边按照时间阈值进行切割,先将超出预定时间范围内的有向边去掉;
步骤4,对同一设备同一类异常报警事件的一组无自环有向图使用频繁子图挖掘算法进一步提取表征了核心攻击特征的子图,并计算子图的支持度,具体如下:
步骤4.1,设备的某类型异常事件时间序列满足偏序关系A,B,C,D,E,得到异常事件转化的有向图;
其中,A,B,C,D,E代表五类异常报警事件;
步骤4.2,遍历步骤4.1所述有向图,将其记作图的集族计算出所有的边和点的频度;
步骤4.3,设定最小支持度为一个固定值,将频度与最小支持度数做比较,移除不频繁的边和点;
步骤4.4,重新将剩下的点和边按照频度进行排序,将他们的排名号给边和点进行重新标号;
步骤4.5,再次计算每条边的频度,计算完后,然后初始化每条边,对于每条边,首先根据图编码重新恢复当前的子图,然后判断当前的编码是否为最小深度优先编码,如果是加入到结果集中,继续在此基础上尝试添加可能的边,进行继续挖掘;如果不是最小编码,则此子图的挖掘过程结束;
步骤4.6,至此得到最小频繁子图g,然后再根据图Gi的子图的支持度s(g)定义为包含它的所有图所占的百分比:
步骤5,将网络攻击阶段化特征库中的攻击特征用所述子图进行形式化表征,并按照支持度和类别排序,再存入图数据库以提高检索效率,具体如下:
步骤5.1,将网络攻击阶段特征库中的攻击特征用步骤4.6的频繁子图结构进行形式化表征,并计算出子图的支持度大小,并在每个类别中按照支持度大小进行排序;
步骤5.2,对每个节点进行形式化表征,支持度高的用红色,支持度较高的用橙色,支持度低的用绿色,由于在多步攻击过程中会存在攻击者通过不同的“跳板机”节点去达到成功攻击目标的目的,所以被多条攻击路径均所共有的节点我们要特别关注其不同时刻的状态,因此我们用红色进行表征,对大部分攻击路径所共有的节点我们用橙色去表征,对一些随着攻击路径不同所经过的不同跳板机使用绿色来表征;
步骤5.3,将已经形式化表征之后的图存入图数据库,这时,应该对于不同的环境选取不同的图数据库进行存储,当是在单机环境下时,可选择Neo4j图数据库进行存储;当是在分布式架构下的话,则应选择JanusGraph图数据库进行存储,并且此时需要结合Hadoop生态环境。
2.根据权利要求1所述的一种基于时序关联性分析的多步攻击表征方法,其特征在于,步骤3具体如下:
步骤3.1,攻击者对网络的攻击一般有一个攻击周期,这个多步攻击的时间间隔将其称为攻击时间窗口At,它是从第一步多步攻击发生到最后一条攻击事件完成;
设ts和tl分别表示合理的最短和最长时间,ti(sil)发生在ts和tl之间,[ts,tl]表示时间窗口,对任意一个多步攻击场景事件,满足公式Min(ti.happen_time-ts.happen_time)=At=Max(tl.happen_time-ts.happen_time);
步骤3.2,将每条有向边按照所设置的时间阈值进行切割,即就是将超出时间范围内的边去掉,得到一个剪枝之后的图,所述时间阈值设置为
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于西安理工大学,未经西安理工大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110224034.9/1.html,转载请声明来源钻瓜专利网。
