[发明专利]一种基于时序关联性分析的多步攻击表征方法

说明书

本发明公开了一种基于时序关联性分析的多步攻击表征方法，将攻击过程中的同一类异常报警事件看作一个图节点；将一类报警事件到另一类报警事件的转换关系看作有向边；将每条边按照时间阈值进行切割，先将超出时间范围内的边去掉；对同一设备同一类异常报警事件的一组无自环有向图使用频繁子图挖掘算法进一步提取表征了核心攻击特征的子图，并计算子图的支持度；将网络攻击阶段化特征库中的攻击特征用上述图结构进行形式化表征，并按照支持度和类别排序，再存入图数据库以提高检索效率。解决了现有技术中存在的记录形式的特征表示方法不够直观、处理查询速度缓慢的问题。

技术领域

本发明属于信息处理技术领域，具体涉及一种基于时序关联性分析的多步攻击表征方法。

背景技术

随着网络应用的层出不穷以及各种新兴技术的蓬勃发展，区块链、物联网、云计算等不断涌现的新技术在推动社会快速发展的同时，正逐渐渗透到人们的生活中，并以一种新的姿态在改变着人们的生活习惯和生活方式。然而随着网络技术的发展，尤其近年来网络攻击行为逐渐呈现出多阶段、大规模等特点，网络安全问题愈加严重，愈加多元化。网络空间逐渐被视为继陆、海、空、天之后的“第五空间”，网络空间安全已经被提升到国家安全的高度，成为公共安全最重要的组成部分。

根据国家计算机网络应急技术处理协调中心(CNCERT/CC)的年度网络安全工作报告中把攻击按类型进行统计的结果，大部分危害巨大的攻击几乎都是多步攻击。多步攻击一般来说指的是在网络中想达到对攻击目标的成功攻击，由至少一个攻击者发起攻击的多个攻击步骤的集合。因此，由入侵检测系统等分布在网络上各处的实时安全检测点所产生的安全事件告警通常报告的是一个单独的攻击步骤。如何从众多的安全事件告警中找到多步攻击对应的多个攻击步骤，并将它们关联起来就成为安全事件集中管理和关联分析研究领域的一个重要研究内容。

攻击特征表征、脆弱点威胁的一致性评估以及攻击多步骤之间的关联性分析等网络安全研究面临着新的挑战，网络攻击特征的多样性又使得对于网络攻击的特征和规律难以给出形式化和统一化的描述。

发明内容

本发明的目的是提供一种基于时序关联性分析的多步攻击表征方法，解决了现有技术中存在的记录形式的特征表示方法不够直观、处理查询速度缓慢的问题。

本发明所采用的技术方案是一种基于时序关联性分析的多步攻击表征方法，具体按照以下步骤实施：

步骤1，将攻击过程中的同一类异常报警事件看作一个图节点；

步骤2，将一类报警事件到另一类报警事件的转换关系看作有向边；

步骤3，将每条有向边按照时间阈值进行切割，先将超出预定时间范围内的有向边去掉；

步骤4，对同一设备同一类异常报警事件的一组无自环有向图使用频繁子图挖掘算法进一步提取表征了核心攻击特征的子图，并计算子图的支持度；

步骤5，将网络攻击阶段化特征库中的攻击特征用所述子图进行形式化表征，并按照支持度和类别排序，再存入图数据库以提高检索效率。

本发明的特点还在于，

步骤1具体如下：

步骤1.1，假设某设备存在A,B,C,D,E五类异常报警事件，其中每一类异常报警事件都属于攻击路径上的同一个设备的异常报警数据；

步骤1.2，将每一个同一个设备上的异常报警事件记作一个脆弱点，这个脆弱点不仅包含设备上的系统安全漏洞还包含了漏洞之间的相邻关系，对于任一脆弱点v∈V，V表示七元组(Vul_ID,Vul_Type,Vul_Time,Vul_Imp,Vul_Dev_Type，Vul_Pro，Vul_Detail)；