一种基于多源报警日志的网络攻击场景生成方法
【技术领域】
[0001] 本发明涉及一种基于多源报警日志的网络攻击场景生成方法。
【背景技术】
[0002] 随着互联网技术的发展和社会信息化程度的不断提高,网络逐渐成为人们生产、 生活中不可或缺的一部分,网络安全受到了越来越多的关注。各种各样的安全产品被用于 检测网络中的攻击威胁,维护网络的安全运行。但这些安全手段一般只能在一定范围内发 挥特定的作用,互相之间缺乏有效的数据融合和协同管理机制。面对众多分散的信息,网络 安全管理人员无法及时的应对这些网络攻击威胁。出于从整体上把握网络攻击威胁、维护 网络安全运行目的,侧重于攻击事件分析的网络威胁态势感知技术应运而生,并成为网络 安全研究中的新热点。
[0003] 随着安全技术的不断发展,IDS、IPS以及各种安全防护的软硬件设备近乎实时地 对网络中可能存在的安全事件产生大量的报警日志。当系统遭受攻击时,通过分析日志能 够发现当前系统存在的漏洞,确定网络中的脆弱环节,分析发生的攻击事件。因此,从大量 的各种类型的日志中提取出网络安全威胁态势相关的安全事件显得至关重要。同时,网络 中存在的多种不同类型的安全设备共同组成了网络防御体系,一次网络攻击可能会在不同 的安全设备上留下痕迹,异构的安全设备从不同的方面反映同一个攻击带来的影响,并以 报警日志的形式储存。因此,对多源报警日志进行进一步的融合处理,利用来自多个安全设 备报警日志之间的互补性,能够有效地提高报警信息的完整性和可靠性,更加清晰的反映 攻击行为,从而提高网络安全威胁态势感知的精确度。
[0004] 目前,入侵检测系统(包括其他的网络安全设备)从本质上来说都是基于单个数 据包或单个现象的简单分析,无法从整体和全局的角度识别入侵者的攻击行为,这种现象 会导致无法把报警日志和攻击事件进行有效的关联,不能为网络管理员提供直接的决策信 肩、。
[0005] 为了解决上述现象,网络安全设备的报警日志分析技术逐渐成为网络安全领域的 热点方向。在对报警日志进行数据挖掘和分析的过程中,一部分科研人员致力于利用系统 产生的原始报警日志构造便于挖掘和分析的报警数据集合以及入侵场景的重建工作,也就 是建立日志关联分析框架;另一部分则致力于改进传统的数据挖掘算法使之适用于入侵检 测的日志分析。
[0006] 这些研究取得了一定成果,但是也存在很多的不足之处。一方面,现有方法侧重于 从单一数据源出发,分析网络攻击事件在单一数据源上的行为特征;另一方面,有部分方法 虽然面向多源报警日志,但侧重于对日志数据的集中管理,并没有给出从多源日志数据到 网络攻击事件的深层安全分析模型。
【发明内容】
[0007] 本发明的目的是提供一种基于多源报警日志的网络攻击场景生成方法,用以解决 现有方法构建的攻击场景不完整的问题。
[0008] 为实现上述目的,本发明的方案包括:
[0009] -种基于多源报警日志的网络攻击场景生成方法,步骤如下:
[0010] 步骤1),收集网络安全防护设备产生的报警日志;
[0011] 步骤2),针对单个设备得到的有效报警日志,通过单源日志聚合与映射,屏蔽不同 设备日志格式差异,提取攻击事件信息;
[0012] 步骤3),对从不同源提取的攻击事件信息,进行融合分析,生成具有设定可信度的 网络攻击事件信息;
[0013] 步骤4),通过攻击事件关联分析,生成网络攻击场景图,分析出一次攻击行为的整 个攻击过程。
[0014] 步骤1)还包括预处理过程,通过预处理提取有效报警日志数据,去除噪声、冗余 或无效日志。
[0015] 步骤2)包括报警日志聚合的步骤:按照报警日志生成的时间顺序,通过计算报警 日志之间的相似度,对报警日志进行聚类和合并操作,将一个攻击事件相关的报警聚合到 一个簇中。
[0016] 步骤2)包括基于聚合日志映射攻击事件的步骤:对聚合后的每个报警日志簇,合 并簇内的各日志属性,生成聚合日志;依据聚合日志中日志属性的描述信息,查找预先定 义的该设备的事件类型与聚合日志的对应关系表,将该聚合日志映射为相应类型的攻击事 件。
[0017] 步骤3)包括基于D-S证据理论融合多源攻击事件的步骤:利用D-S证据理论对来 自多个数据源提取生成的攻击事件进行融合,得到设定可信度更高的攻击事件信息;具体 过程包括:建立攻击事件融合的识别框架;将来自各种网络安全设备的印证了攻击事件发 生的报警日志,作为识别证据;确定基本信度分配函数和权值;根据基本信度分配函数,利 用D-S证据理论的组合规则,求多个证据联合作用下的攻击事件信任度。
[0018] 步骤4)包括基于推理模型的攻击场景生成的步骤,即对网络攻击事件进行语义 转换、推理和关联,得到网络攻击场景,具体过程包括:利用预定义或基于谓词自动生成的 语义规则集,把融合后得到的攻击事件转换到它们对应的攻击语义;根据推理模型,以攻击 步骤发生的时序关系、递进关系、转换关系为指导,对所有攻击语义中存在的语义联系进行 推理,得到以攻击语义表示的各攻击事件之间的关系;将所有来自推理引擎的攻击转换向 量构建成可能的攻击场景。
[0019] 本发明的方法是一种基于多源报警日志的网络攻击场景生成方法,其基本思想 是:对于单一来源的报警日志,通过日志聚合、事件映射和跨多源攻击事件融合,得到更为 可靠的攻击事件信息;在此基础上,通过对时间上相关的攻击事件进行关联分析,可生成一 次攻击行为的完整攻击场景。由于融合了多源日志,所以分析出的攻击事件信息可以更完 整、更可靠地刻画网络遭受的攻击,而且通过攻击事件的关联分析得到攻击场景能够更清 晰地展现攻击者意图、反映网络面临的安全威胁状态。
【附图说明】
[0020] 图1是基于多源报警日志的攻击事件分析模型;
[0021] 图2是基于推理模型的攻击场景生成方法的基本流程图;
[0022] 图3是LLDoSl. 0场景的实验环境网络拓扑示意图;
[0023] 图4是实验结果分析出的LLDoSl. 0攻击场景与攻击模式。
【具体实施方式】
[0024] 下面结合附图对本发明做进一步详细的说明。
[0025] 本发明的基本方案是:
[0026] 步骤1),收集网络安全防护设备产生的报警日志;
[0027] 步骤2),针对单个设备得到的有效报警日志,通过单源日志聚合与映射,屏蔽不同 设备日志格式差异,提取攻击事件信息;
[0028] 步骤3),对从不同源提取的攻击事件信息,进行融合分析,生成具有设定可信度的 网络攻击事件信息;
[0029] 步骤4),通过攻击事件