基于杀伤链和模糊聚类的APT攻击场景生成方法的研究与设计
发布时间:2020-06-04 10:13
【摘要】:当前,网络中出现了很多新的复杂的攻击行为,其中APT攻击成为被关注的重点。在基于安全日志检测APT攻击方面,一般会事先建立攻击模型然后将日志与模型进行关联,但往往依赖于模型的完整度,不完整的模型会导致一些警报无法匹配而被漏掉,然而构建全面完整的APT攻击模型也是比较困难的。针对这一问题,本文研究了如何从安全日志中挖掘出攻击场景模型,提出了一种基于杀伤链和模糊聚类的APT攻击场景生成方法,能够从安全日志中挖掘出场景。本文分析了杀伤链每个阶段的目的性,对攻击事件进行划分,然后在模糊聚类中增加了对事件阶段性的判断,使形成的类簇内警报之间关联度更大。然后根据APT攻击警报的特点筛选攻击序列,通过概率转移矩阵转换为攻击场景模型,为APT的检测提供依据。本文的具体工作内容如下:1.提出了一种基于杀伤链和模糊聚类的APT攻击场景生成方法。本文分析了入侵检测系统警报日志各个属性的特点,阐述了基于杀伤链模型从攻击后果和IP地址两个角度对攻击事件进行分类的方法;详细介绍了使用攻击事件、IP、时间戳属性进行模糊聚类的算法以及进一步筛选攻击序列转换为攻击场景的方法。2.对基于杀伤链和模糊聚类的APT攻击场景生成方法做了详细设计与实现,并阐述了各个模块的实现流程,给出了各模块的流程图。3.采集数据进行实验,分析实验结果,结果表明本文所提出的方法能够挖掘出警报日志隐藏的APT攻击场景,并将不同攻击者的攻击过程分离,验证了本文所提方法的有效性。以此为基础,对本文所述方法的实验结果和存在的问题进行了分析和总结,分析了可进一步优化的方向。
【图文】:
始的警报数据进行预处理,如何对攻击事件进行分类。在攻击事件的分类中,对逡逑APT攻击进行阶段化,对每个阶段攻击者的目的所采用的攻击技术进行分析总逡逑结,给出分类框架,介绍了攻击事件的分类方法。本章主要是APT攻击场景生逡逑成方法中模糊聚类之前的数据准备阶段,为后续模糊聚类提供计算隶属度的依逡逑据。逡逑3.LIDS报警日志分析逡逑网络中的高级复杂攻击是由一个个单步攻击步骤构成的,攻击者制定攻击策逡逑略,通过实施一系列的网络攻击来达到攻击目的,前一步攻击产生的结果可以为逡逑后续攻击做准备。在入侵检测系统的监测下,攻击者开展的攻击过程会引发了一逡逑系列的报警日志信息,报警日志信息是对入侵行为每个步骤的间接反映,攻击步逡逑骤之间的相关性也体现在了警报日志中,攻击者的攻击步骤之间行为的相关性与逡逑警报日志之间的相关性互为呼应,在警报日志不同属性上也能发现每条日志之间逡逑的关联关系。逡逑*
IDS能够依据端口的不同发出多条报警,所以我们发现在一定的逡逑时间窗口内会存在很多攻击事件、源IP、目的IP都相同,IP对应的端口号不同逡逑的警报,如下图3-2所示。这些警报是攻击者使用攻击脚本或自动化攻击对一个逡逑目标发起攻击时产生,而这些警报表示的是一次攻击行为,所以在后续分析中不逡逑必逐条进行关联分析,可以用一条报警事件来表示这次攻击行为,所以本文在预逡逑处理中将这些警报进行了合并。逡逑序号:栻■触发时间逦脑事件逦疆1?地址1逦1苦1邋:IP地址2逦:毒苦2.协议.|逡逑」79_ids邋iMm5/i逦姐啦u概gl赖邋^^175邋57115邋H||12.邋.邋8qhttp邋ZI逡逑685_IDS+:邋201^/5/1邋12:llEJ2S_fatalshell¥^±#30696邋HI1280邋Q婂澹撸慑义贤迹常捕丝诓煌木ㄈ罩惧义贤煎澹常插逯械腻澹冲逄醣ň梢杂茫ǎ叮罚梗玻埃保罚担卞澹保玻海保埃海埃埃螅桑校洌椋穑澹保奔福浚吣惧义下砗竺牛撸鳎澹猓螅瑁澹欤欤撸校龋校撸妫幔簦幔欤樱瑁澹欤炷韭砩洗├幢硎荆奔浯廖嗵蹙ㄖ凶钤绲腻义鲜奔浯痢1ň诤闲枰柚靡桓鍪奔浯翱冢谝欢ㄊ奔浯翱谀诼闵鲜鎏跫木义媳ń泻喜ⅲ奔浯廖闾跫木ㄖ凶钤绲氖奔浯粒椋湮闾跫木ㄖ绣义献钤缡奔浯恋木ǘ杂Φ男蚝牛缓蠼泄橐换恚娲⒃谑菘庵小e义瞎橐换硎前凑斩ㄒ澹敝芯ㄈ罩酒咴榈母袷窖∪⌒枰氖粜源娲⒃阱义鲜菘庵小e义显ご淼木咛宀街枞缦滤
本文编号:2696231
【图文】:
始的警报数据进行预处理,如何对攻击事件进行分类。在攻击事件的分类中,对逡逑APT攻击进行阶段化,对每个阶段攻击者的目的所采用的攻击技术进行分析总逡逑结,给出分类框架,介绍了攻击事件的分类方法。本章主要是APT攻击场景生逡逑成方法中模糊聚类之前的数据准备阶段,为后续模糊聚类提供计算隶属度的依逡逑据。逡逑3.LIDS报警日志分析逡逑网络中的高级复杂攻击是由一个个单步攻击步骤构成的,攻击者制定攻击策逡逑略,通过实施一系列的网络攻击来达到攻击目的,前一步攻击产生的结果可以为逡逑后续攻击做准备。在入侵检测系统的监测下,攻击者开展的攻击过程会引发了一逡逑系列的报警日志信息,报警日志信息是对入侵行为每个步骤的间接反映,攻击步逡逑骤之间的相关性也体现在了警报日志中,攻击者的攻击步骤之间行为的相关性与逡逑警报日志之间的相关性互为呼应,在警报日志不同属性上也能发现每条日志之间逡逑的关联关系。逡逑*
IDS能够依据端口的不同发出多条报警,所以我们发现在一定的逡逑时间窗口内会存在很多攻击事件、源IP、目的IP都相同,IP对应的端口号不同逡逑的警报,如下图3-2所示。这些警报是攻击者使用攻击脚本或自动化攻击对一个逡逑目标发起攻击时产生,而这些警报表示的是一次攻击行为,所以在后续分析中不逡逑必逐条进行关联分析,可以用一条报警事件来表示这次攻击行为,所以本文在预逡逑处理中将这些警报进行了合并。逡逑序号:栻■触发时间逦脑事件逦疆1?地址1逦1苦1邋:IP地址2逦:毒苦2.协议.|逡逑」79_ids邋iMm5/i逦姐啦u概gl赖邋^^175邋57115邋H||12.邋.邋8qhttp邋ZI逡逑685_IDS+:邋201^/5/1邋12:llEJ2S_fatalshell¥^±#30696邋HI1280邋Q婂澹撸慑义贤迹常捕丝诓煌木ㄈ罩惧义贤煎澹常插逯械腻澹冲逄醣ň梢杂茫ǎ叮罚梗玻埃保罚担卞澹保玻海保埃海埃埃螅桑校洌椋穑澹保奔福浚吣惧义下砗竺牛撸鳎澹猓螅瑁澹欤欤撸校龋校撸妫幔簦幔欤樱瑁澹欤炷韭砩洗├幢硎荆奔浯廖嗵蹙ㄖ凶钤绲腻义鲜奔浯痢1ň诤闲枰柚靡桓鍪奔浯翱冢谝欢ㄊ奔浯翱谀诼闵鲜鎏跫木义媳ń泻喜ⅲ奔浯廖闾跫木ㄖ凶钤绲氖奔浯粒椋湮闾跫木ㄖ绣义献钤缡奔浯恋木ǘ杂Φ男蚝牛缓蠼泄橐换恚娲⒃谑菘庵小e义瞎橐换硎前凑斩ㄒ澹敝芯ㄈ罩酒咴榈母袷窖∪⌒枰氖粜源娲⒃阱义鲜菘庵小e义显ご淼木咛宀街枞缦滤
本文编号:2696231
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2696231.html
