一种可扩展的实时多步攻击场景重构方法

入侵检测系统(intrusion detection system,IDS)作为一种积极主动的安全防护技术,能够发现异常情况和及时发出警报信息或采取主动防护措施,成为网络安全系统的重要组成部分.但是近年随着网络攻击规模的快速增长,IDS在对复杂的多步攻击行为进行实时分析方面变得力不从心.设计了基于专家知识的可扩展攻击匹配模板,用以实现对多步攻击场景的还原与重构,从攻击者视角还原攻击事件,帮助安全人员定位安全威胁.以实时警报信息为输入,通过挖掘出语义知识和预先构建的攻击匹配模板,利用匹配关联算法对警报进行聚合和关联,还原攻击场景,展示攻击脉络。实验结果显示,该方法可以实现对IDS的实时警报处理和关联,形成的攻击事件和攻击场景可为安全人员对漏洞的修复和下一步攻击的预防提供极大帮助,同时,设计构建的攻击匹配模板具有可扩展性及应对未来更多攻击的能力.

基于因果知识发现的攻击场景重构研究

为了从分散的告警日志中发现攻击模式、构建攻击场景,通过分析现有攻击场景重构方法,针对现有方法因果知识复杂难懂且难以自动获取的问题,提出一种基于因果知识发现的攻击场景重构方法。所提方法首先按照知识发现的过程,通过告警日志间IP属性的相关程度,构建攻击场景的序列集合;然后,采用时间序列建模的方式去除误告警,以精简攻击场景序列;最后,利用概率统计方法发现各告警类型间的关联关系。在DARPA 2000数据集上对方法进行了实验验证,结果表明,该方法能有效识别多步攻击模式。

APT攻击场景重构方法综述

APT攻击已经成为网络安全的重要威胁之一,从大量告警日志数据中识别APT攻击并还原攻击场景已成为当前急需研究的问题。首先介绍了攻击场景重构基本概念和技术流程框架。其次,依据采用的关联分析方法,对攻击场景重构方法进行了分类,并分别综述了基于经验知识、基于因果关系、基于语义相似性和基于机器学习4类方法的基本步骤和具体案例。最后,讨论了不同方法的优势和不足,结合最新技术应用指出了未来发展趋势。

基于蜜网技术的攻击场景捕获和重构方法

形攻击场景重构能够为安全分析人员提供精简、更容易理解的安全态势描述,提高攻击检测与分析的能力。鉴于蜜网技术在捕获和了解Internet威胁方面具有独特优势,本文提出了一种基于蜜网技术的攻击场景捕获及重构方法。通过结合使用Argus,Sebek,Argos,Snort等开源工具,并对其捕获数据构建关联分析系统,本文提出的方法能较好地再现高交互式蜜罐所捕获的网络攻击。概念验证性原型实现在基于蜜场技术的大规模网络主动安全防护系统中得到了应用。

基于告警属性聚类的攻击场景关联规则挖掘方法研究

针对现有攻击场景重构方法中存在关联规则挖掘不充分、攻击场景链断裂的问题,以及安全设备的误告警影响攻击场景重构准确性的现状,提出一种基于告警属性聚类的攻击场景关联规则挖掘方法。该方法能够有效挖掘攻击场景关联规则,减少攻击链断裂,还原实际的多步攻击,更好地帮助安全管理员深入理解攻击者入侵行为并掌握攻击全貌。以真实网络中的安全设备的原始告警为数据源,首先,对原始告警数据进行预处理,实现告警数据的归一化。然后,通过构建告警时间序列,利用FFT和Pearson相关系数对误告警周期特性进行分析,生成误告警过滤规则。接着,提出一种基于动态时间阈值的告警属性聚类方法,通过告警属性相似性刻画告警间相似度,并根据告警发生的时间间隔结合动态时间阈值方法更新聚类时间,对属于同一攻击场景的告警进行聚类。最后,利用Apriori频繁项挖掘算法生成攻击场景序列模式,并对具有重复攻击步骤的攻击场景序列模式进行融合生成关联规则。在四川大学校园网真实环境中进行实验,结果表明所提方法可有效缓解攻击链断裂问题和误告警的影响,相较于对比方法可有效提升生成的攻击场景关联规则的完整性。