A graph based system for multi-stage attacks recognition

Building attack scenario is one of the most important aspects in network security.This paper pro-posed a system which collects intrusion alerts,clusters them as sub-attacks using alerts abstraction,ag-gregates the similar sub-attacks,and then correlates and generates correlation graphs.The scenarios wererepresented by alert classes instead of alerts themselves so as to reduce the required rules and have the a-bility of detecting new variations of attacks.The proposed system is capable of passing some of the missedattacks.To evaluate system effectiveness,it was tested with different datasets which contain multi-stepattacks.Compressed and easily understandable Correlation graphs which reflect attack scenarios were gen-erated.The proposed system can correlate related alerts,uncover the attack strategies,and detect newvariations of attacks.

警报关联图:一种网络脆弱性量化评估的新方法

作为一种基于模型的脆弱性分析技术,攻击图能够识别网络中存在的脆弱性和它们之间的相互关系,分析出可能的攻击路径和潜在威胁。论文在攻击图的基础上提出了警报关联图的概念,利用攻击图中蕴含的脆弱性先验知识,将实时IDS警报信息映射到攻击路径,动态反映攻击进程和攻击者意图。在此基础上提出了一种基于警报关联图的网络脆弱性量化评估方法,通过计算警报关联边的权值对网络脆弱性进行动态分析,这种方法结合了静态的网络脆弱性先验知识和动态变化的攻击者意图,能有效反映网络脆弱性在动态攻击情况下的变化。

基于弱点相关性的网络安全性分析方法

当前网络安全性分析不但要考虑单个弱点的利用攻击,而且还需要考虑多个弱点的组合利用攻击。其常用分析方法是攻击图方法,但是攻击图方法通常存在指数级状态爆炸问题。为此,引入了弱点相关矩阵和弱点相关图的概念,给出了弱点相关图生成算法并举例说明其在网络系统安全性分析中的应用。结果表明,弱点相关图具有网络系统弱点数的多项式状态,可以用于分析复杂网络系统,便于系统管理员使用,有助于改善网络系统的安全。

基于贝叶斯攻击图的网络入侵意图识别方法

现有入侵意图识别方法对报警证据的有效性缺乏考虑,影响了入侵意图识别的准确性。为此提出基于贝叶斯攻击图的入侵意图识别方法。首先建立贝叶斯攻击图模型,然后通过定义报警的置信度及报警间的关联强度,去除低置信水平的孤立报警;根据提取到的有效报警证据进行贝叶斯后验推理,动态更新攻击图中各状态节点遭受攻击的概率,识别网络中已发生和潜在的攻击行为。实验结果表明,该方法能有效提取报警证据,提高网络入侵预测的准确性。

基于关联性的漏洞评估方法

为了更加有效地评估漏洞威胁,在原有的基于关联性漏洞评估方法的基础上,从漏洞的可利用性出发,分析了通用漏洞评估系统(CVSS)作为漏洞可利用性评价指标的缺点。在改进CVSS评价指标的基础上,提出了更为合理的漏洞可利用性评估体系,并改进了原有的漏洞评估方法。该方法能够有效地挖掘漏洞自身特点,科学地进行漏洞评估,并通过实验验证了该方法的合理性和有效性。

基于弱点关联和安全需求的网络安全评估方法

针对传统的网络安全量化评估方法忽略了网络弱点间的关联性和目标主机的安全需求,导致评估结果不够准确的问题,提出了一种基于弱点关联和安全需求的网络安全量化评估方法。该方法利用攻击图来计算各弱点被网络攻击者成功利用的概率。在此基础上,计算各弱点对主机可用性、保密性和完整性的影响。最后,根据目标主机的安全需求评估主机和网络的安全性。实例分析表明,该评估方法克服了传统方法孤立地评估各弱点对主机的网络安全性评估的不利影响,获得的评估结果较传统方法更为准确。

基于贪心策略的多目标攻击图生成方法

为解决网络脆弱性分析中攻击图生成方法存在的状态组合爆炸问题,使生成的攻击图能用于网络中多个目标主机的脆弱性分析,本文提出了一种基于贪心策略的多目标攻击图生成方法。该方法引入节点关联关系,采用贪心策略精简漏洞集,从所有攻击路径中选取使攻击者以最大概率获取网络节点权限的攻击路径,生成由这些攻击路径所构成的攻击图。算法分析和实验结果表明,该方法的时间和空间复杂度都是网络节点数和节点关联关系数的多项式级别,较好地解决了状态组合爆炸的问题,生成的攻击图覆盖了攻击可达的所有节点,能够用于网络中多个目标主机的脆弱性分析。

基于攻击路径和PCA算法的报警关联方法

针对报警在攻击图中找不到对应原子攻击节点的关联问题,提出一种基于攻击路径和PCA(principal component analysis)算法的报警关联方法。根据先验知识定义攻击图,利用PCA算法计算报警相似度,根据两个报警的相似度和报警发生时间差,确定报警之间是否存在关联关系,实现报警关联和修复攻击图的缺陷。实验结果表明,该方法能够关联前提报警缺失和在攻击图中找不到对应原子攻击节点的报警,能够完全修复不相连的原子攻击节点缺失个数少于3的攻击图。

基于脆弱点利用关联的攻击图优化方法

现有的攻击图技术忽略了脆弱点之间的关联性,且大规模网络攻击图过于复杂。为解决上述问题,提出一种基于脆弱点利用(VE)关联的攻击图优化方法。对生成的攻击图进行预处理后,利用VE之间的关联性消除大规模网络攻击图中的冗余,并通过横向关联和纵向关联简化攻击图。仿真实验结果表明,该方法可以较好地优化攻击图的表达方式,为进行网络安全评估打下良好基础。

基于关联攻击图的入侵预测算法

针对攻击图模型无法准确反映攻击证据对入侵意图预测影响的难题,提出一种基于改进型攻击图的入侵预测算法。引入资源节点、攻击证据、单步攻击等参数,定义关联攻击图。为了计算单步攻击的发生概率,利用贝叶斯推理,设计关联关系量化算法,给出各节点可达概率的推算公式,动态预测网络中潜在的入侵意图。实验结果表明,与基于传统攻击图的入侵预测算法相比,该算法能有效消除攻击证据与单步攻击间的冗余关系,提高攻击证据节点置信度的准确性。

基于攻击图的多源告警关联分析方法

现有基于攻击图(attack graph)的告警关联分析方法难以全面处理告警关联关系,同时,漏报推断和告警预测带来大量冗余路径误报。针对以上问题提出了基于攻击图的多源告警关联分析算法,能够综合应用图关系和阈值限制进行联动推断和预测,达到更为全面解决攻击图中的告警漏报和减少误报数量的目的。同时,将告警处理算法并行化,提出了AG-PAP告警并行处理引擎。实验表明,该方法能够提升关联分析的有效性和性能表现。

攻击图技术应用研究综述

攻击图是一种预判攻击者对目标网络发动攻击的方式和过程,指导防御方对网络中的节点采取针对性防御措施,提高网络安全性的技术。首先介绍了攻击图的基本构成,列举了攻击图的几种类型及其各自的优缺点,然后介绍了攻击图技术目前在风险评估和网络加固、入侵检测和告警关联等方面的应用现状以及现有的几种攻击图生成和分析工具,最后指出了攻击图技术面临的挑战和未来可能的研究方向。

基于攻击图与报警相似性的混合报警关联模型

为了揭示入侵检测系统所生成的报警数据之间的关联关系和重构入侵攻击场景,提出了一种基于攻击图与报警数据相似性分析的混合报警关联模型。该模型结合攻击图和报警数据分析的优点,首先根据入侵攻击的先验知识定义初始攻击图,描述报警数据间的因果关联关系,再利用报警数据的相似性分析修正初始攻击图的部分缺陷,进而实现报警关联。实验结果表明,混合关联模型能够较好地恢复攻击场景,并能够完全修复攻击图中单个攻击步骤的缺失。

基于攻击症状的安全事件关联方法研究

提出一套基于攻击症状的安全事件关联方法。根据攻击和症状间因果关系构建了安全事件关联模型,提出了依据关联模型自动计算产生安全事件关联规则的思想,并用特征代码匹配法实现事件关联。

基于攻击规划图的实时报警关联方法

针对报警因果关联分析方法存在无法及时处理大规模报警且攻击场景图分裂的不足,提出一种基于攻击规划图(APG)的实时报警关联方法。该方法首先给出APG和攻击规划树(APT)的定义;其次,根据先验知识构建APG模型,并提出基于APG的实时报警关联方法,重建攻击场景;最后,结合报警推断完善攻击场景和预测攻击。实验结果表明,该方法能够有效地处理大规模报警和重建攻击场景,具有较好的实时性,可应用于分析入侵攻击意图和指导入侵响应。

基于多源异构数据融合的网络攻击路径分析方法

针对当前告警数据冗余且关联不够准确的问题,本文提出一种多源异构数据融合的网络攻击路径分析方法,该方法首先在评估网络拓扑的核心节点后结合漏洞信息构建静态攻击图;然后通过告警关联图实现网络攻击图的动态扩展,建立告警事件间的关联关系;最后,采用累积概率的方法计算每一条攻击路径可能发生的概率。网络安全管理人员通过观察最大累计概率路径,及时采取相关的防护策略,从而保障网络安全。实验表明,本文的算法能够对攻击者的攻击行为有效刻画,能够让安全人员及时了解网络安全状态和预测网络安全状态的变化趋势,具有一定的可用性。

基于攻击图的复合入侵关联及预测方法

当前的大多数漏洞扫描器和入侵检测系统只能检测汇报孤立的漏洞和攻击。但网络中真正的威胁来自那些技术精湛的黑客,他们综合利用各种攻击手段绕开安全策略,逐步获得权限。这种复合攻击能渗透进看似防御严密的网络。攻击图是一种重要的网络安全漏洞分析工具,能用来关联警报,假设漏报,预测下一步的警报,对系统管理员理解威胁的本质从而采取适当对策是关键的。本文提出一种基于攻击图来关联并预测复合网络入侵的方法,该方法在实际网络环境中有良好的表现。