基于上下文特征的IDS告警日志攻击场景重建方法
发布时间:2021-08-10 02:41
入侵检测系统(IDS)是网络安全防御策略中的关键组成部分,但在现阶段庞大且复杂的网络环境以及网络攻击规模逐年增长的背景下,IDS中存在的告警数量庞大导致的可读性差等问题,使得IDS的易用性极大降低。文章提出一种面向IDS真实告警数据流的攻击场景重建方法,从攻击者的角度将完整的多步攻击行为定义为攻击事件,以动态时间窗辅以告警上下文特征相似度判定的机制分离告警流中并行的事件,并通过提取事件在IP层面表现出的攻击路径的方式,分解事件中攻击者对不同目标的攻击行为,进一步获取攻击者在各条路径上的攻击类型转换序列进行因果知识挖掘,从而直观地展示攻击者的多步攻击场景。实验结果显示,该方法能够完整地捕获告警数据流中的攻击事件,多层次准确直观地展示多步攻击行为,有效提升了IDS的实际应用体验。
【文章来源】:信息网络安全. 2020,20(07)北大核心CSCD
【文章页数】:10 页
【部分图文】:
攻击事件提取流程
本文使用有向图来可视化攻击事件,典型的攻击事件如图2所示。图2中,各顶点代表事件告警集中的源IP或者目标IP地址,边以及边上的标签展现了两个IP地址之间关联的告警相关信息。例如,图2中顶点A与E在两个方向都存在边,即表示源地址为A、目标地址为B的多条告警的发生时间分布最早为1.3,最晚为3.0(为了方便展示,使用小数表示告警的发生时间)。由图2可知,攻击者A首先对C、D、E、F进行无差别攻击,成功控制目标E后,通过操纵E访问G、H、B,G至A之间也存在告警。在此过程中,G在时间点1.3访问K,E在时间段1.1~1.3内访问B。图2中存在的攻击路径有A→C、A→D、A→F,由于攻击行为中恶意攻击IP与部分目标IP之间存在数据交换,部分目标IP至攻击IP的流量数据被标记为告警信息,从而导致攻击图中存在环,即路径A→E→H、A→E→G→E、A→E→G→A中存在同一节点出现两次的情况;剩下的路径有EB、GK,值得注意的是,这里的路径并没有连接为A→E→G→K、A→E→B,这是由于G到K的发生时间早于前半段路径E至G的发生时间,不存在因果关系,因此不属于同一条攻击路径;E到B同理。
值得注意的是,由于在DDo S攻击阶段中,所有数据包的源IP地址是随机伪造的,导致DDo S攻击流量中的IP地址与第1阶段~第4阶段的IP地址之间无任何关联,因此整个多步攻击行为被算法提取为两个事件。事件2中的DDo S攻击流量产生的告警由于特征值相似而被聚合为同一事件。可以看到,事件的提取效果较为理想,能够在IP地址层面直观地反映出攻击事件的全部过程。接着对提取得到的攻击事件进行攻击路径提取,每条攻击路径分别计算其攻击类型序列,对事件中序列进行因果知识挖掘,得到的结果如图4所示。
本文编号:3333288
【文章来源】:信息网络安全. 2020,20(07)北大核心CSCD
【文章页数】:10 页
【部分图文】:
攻击事件提取流程
本文使用有向图来可视化攻击事件,典型的攻击事件如图2所示。图2中,各顶点代表事件告警集中的源IP或者目标IP地址,边以及边上的标签展现了两个IP地址之间关联的告警相关信息。例如,图2中顶点A与E在两个方向都存在边,即表示源地址为A、目标地址为B的多条告警的发生时间分布最早为1.3,最晚为3.0(为了方便展示,使用小数表示告警的发生时间)。由图2可知,攻击者A首先对C、D、E、F进行无差别攻击,成功控制目标E后,通过操纵E访问G、H、B,G至A之间也存在告警。在此过程中,G在时间点1.3访问K,E在时间段1.1~1.3内访问B。图2中存在的攻击路径有A→C、A→D、A→F,由于攻击行为中恶意攻击IP与部分目标IP之间存在数据交换,部分目标IP至攻击IP的流量数据被标记为告警信息,从而导致攻击图中存在环,即路径A→E→H、A→E→G→E、A→E→G→A中存在同一节点出现两次的情况;剩下的路径有EB、GK,值得注意的是,这里的路径并没有连接为A→E→G→K、A→E→B,这是由于G到K的发生时间早于前半段路径E至G的发生时间,不存在因果关系,因此不属于同一条攻击路径;E到B同理。
值得注意的是,由于在DDo S攻击阶段中,所有数据包的源IP地址是随机伪造的,导致DDo S攻击流量中的IP地址与第1阶段~第4阶段的IP地址之间无任何关联,因此整个多步攻击行为被算法提取为两个事件。事件2中的DDo S攻击流量产生的告警由于特征值相似而被聚合为同一事件。可以看到,事件的提取效果较为理想,能够在IP地址层面直观地反映出攻击事件的全部过程。接着对提取得到的攻击事件进行攻击路径提取,每条攻击路径分别计算其攻击类型序列,对事件中序列进行因果知识挖掘,得到的结果如图4所示。
本文编号:3333288
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3333288.html
