[发明专利]一种网络多步攻击识别和预测方法

说明书

技术领域

本发明涉及的是一种信息安全技术，具体地说是一种根据网络中的历史报警挖掘发现多步攻击序列，进而实时识别新的多步攻击序列并预测下一步将要发生的攻击的方法。

背景技术

随着因特网的发展，越来越多的企业、政府、学校、科研院所以及家庭等用户将计算机连入到互联网。由于互联网的开放性以及各种协议设计的问题，用户就不可避免遭受到不法分子的攻击。

为了减少网络攻击给用户带来的损失，各个校内网、企业内部网等都在内部配置了入侵检测系统、防火墙、杀毒软件等安全设备，并配有专业的网络管理员对网络进行管理。但是，各种安全设备在保护网络的同时产生了海量的报警，不利于管理员对网络进行管理。所以针对安全设备产生的报警，研究人员提出了安全事件关联与分析技术。

安全事件关联与分析技术，是根据各安全设备中报警记录，分析报警事件的关系。目前，安全事件关联与分析技术主要包括两个方面：基于报警相似概率的重复报警去除和基于因果关系的多步攻击关联。

斯坦福研究院的Andersson等人在不规则实时干扰事件的监测和响应(EventMonitoring Enabling Responses to Anomalous Live Disturbances，EMERALD)项目中提出了基于告警属性相似度的安全报警关联系统，利用入侵事件间概率相似度和极小匹配规则来构建安全事件关联分析系统(A.Valdes and K.Skinner.Adaptive，Model-Based Monitoringfor Cyber AttackDetection.RAID 2000 Conf，0ct.2000：80-92P)。Cuppens等在法国国防部的入侵探测、报警、自动跟踪项目中的报警聚合部分使用了类似的聚类方法(F Cuppens，Manageing Alerts in a multi intrusion detection environment.17^th Annual ComputerSecurity Applications Conference.New-Orleans，December 2001：22-31P)。这类方法能够对同源的攻击进行聚类，减少呈递给管理员的报警。但是这类方法不能够揭示报警间的因果关系，不利于管理员对网络可能遭受攻击进行主动防御。