【摘要】：當(dāng)前,網(wǎng)絡(luò)中出現(xiàn)了很多新的復(fù)雜的攻擊行為,其中APT攻擊成為被關(guān)注的重點(diǎn)。在基于安全日志檢測APT攻擊方面,一般會事先建立攻擊模型然后將日志與模型進(jìn)行關(guān)聯(lián),但往往依賴于模型的完整度,不完整的模型會導(dǎo)致一些警報(bào)無法匹配而被漏掉,然而構(gòu)建全面完整的APT攻擊模型也是比較困難的。針對這一問題,本文研究了如何從安全日志中挖掘出攻擊場景模型,提出了一種基于殺傷鏈和模糊聚類的APT攻擊場景生成方法,能夠從安全日志中挖掘出場景。本文分析了殺傷鏈每個(gè)階段的目的性,對攻擊事件進(jìn)行劃分,然后在模糊聚類中增加了對事件階段性的判斷,使形成的類簇內(nèi)警報(bào)之間關(guān)聯(lián)度更大。然后根據(jù)APT攻擊警報(bào)的特點(diǎn)篩選攻擊序列,通過概率轉(zhuǎn)移矩陣轉(zhuǎn)換為攻擊場景模型,為APT的檢測提供依據(jù)。本文的具體工作內(nèi)容如下:1.提出了一種基于殺傷鏈和模糊聚類的APT攻擊場景生成方法。本文分析了入侵檢測系統(tǒng)警報(bào)日志各個(gè)屬性的特點(diǎn),闡述了基于殺傷鏈模型從攻擊后果和IP地址兩個(gè)角度對攻擊事件進(jìn)行分類的方法;詳細(xì)介紹了使用攻擊事件、IP、時(shí)間戳屬性進(jìn)行模糊聚類的算法以及進(jìn)一步篩選攻擊序列轉(zhuǎn)換為攻擊場景的方法。2.對基于殺傷鏈和模糊聚類的APT攻擊場景生成方法做了詳細(xì)設(shè)計(jì)與實(shí)現(xiàn),并闡述了各個(gè)模塊的實(shí)現(xiàn)流程,給出了各模塊的流程圖。3.采集數(shù)據(jù)進(jìn)行實(shí)驗(yàn),分析實(shí)驗(yàn)結(jié)果,結(jié)果表明本文所提出的方法能夠挖掘出警報(bào)日志隱藏的APT攻擊場景,并將不同攻擊者的攻擊過程分離,驗(yàn)證了本文所提方法的有效性。以此為基礎(chǔ),對本文所述方法的實(shí)驗(yàn)結(jié)果和存在的問題進(jìn)行了分析和總結(jié),分析了可進(jìn)一步優(yōu)化的方向。
【圖文】：

始的警報(bào)數(shù)據(jù)進(jìn)行預(yù)處理，如何對攻擊事件進(jìn)行分類。在攻擊事件的分類中，對逡逑ＡＰＴ攻擊進(jìn)行階段化，對每個(gè)階段攻擊者的目的所采用的攻擊技術(shù)進(jìn)行分析總逡逑結(jié)，給出分類框架，介紹了攻擊事件的分類方法。本章主要是ＡＰＴ攻擊場景生逡逑成方法中模糊聚類之前的數(shù)據(jù)準(zhǔn)備階段，為后續(xù)模糊聚類提供計(jì)算隸屬度的依逡逑據(jù)。逡逑３．ＬＩＤＳ報(bào)警日志分析逡逑網(wǎng)絡(luò)中的高級復(fù)雜攻擊是由一個(gè)個(gè)單步攻擊步驟構(gòu)成的，攻擊者制定攻擊策逡逑略，通過實(shí)施一系列的網(wǎng)絡(luò)攻擊來達(dá)到攻擊目的，前一步攻擊產(chǎn)生的結(jié)果可以為逡逑后續(xù)攻擊做準(zhǔn)備。在入侵檢測系統(tǒng)的監(jiān)測下，攻擊者開展的攻擊過程會引發(fā)了一逡逑系列的報(bào)警日志信息，報(bào)警日志信息是對入侵行為每個(gè)步驟的間接反映，攻擊步逡逑驟之間的相關(guān)性也體現(xiàn)在了警報(bào)日志中，攻擊者的攻擊步驟之間行為的相關(guān)性與逡逑警報(bào)日志之間的相關(guān)性互為呼應(yīng)，在警報(bào)日志不同屬性上也能發(fā)現(xiàn)每條日志之間逡逑的關(guān)聯(lián)關(guān)系。逡逑＊

ＩＤＳ能夠依據(jù)端口的不同發(fā)出多條報(bào)警，所以我們發(fā)現(xiàn)在一定的逡逑時(shí)間窗口內(nèi)會存在很多攻擊事件、源ＩＰ、目的ＩＰ都相同，ＩＰ對應(yīng)的端口號不同逡逑的警報(bào)，如下圖３－２所示。這些警報(bào)是攻擊者使用攻擊腳本或自動化攻擊對一個(gè)逡逑目標(biāo)發(fā)起攻擊時(shí)產(chǎn)生，而這些警報(bào)表示的是一次攻擊行為，所以在后續(xù)分析中不逡逑必逐條進(jìn)行關(guān)聯(lián)分析，可以用一條報(bào)警事件來表示這次攻擊行為，所以本文在預(yù)逡逑處理中將這些警報(bào)進(jìn)行了合并。逡逑序號：栻■觸發(fā)時(shí)間邐腦事件邐疆１？地址１邐１苦１邋：ＩＰ地址２邐：毒苦２．協(xié)議．｜逡逑」７９＿ｉｄｓ邋ｉＭｍ５／ｉ邐姐啦ｕ概ｇｌ賴邋＾＾１７５邋５７１１５邋Ｈ｜｜１２．邋．邋８ｑｈｔｔｐ邋ＺＩ逡逑６８５＿ＩＤＳ＋：邋２０１＾／５／１邋１２：ｌｌＥＪ２Ｓ＿ｆａｔａｌｓｈｅｌｌ￥＾±＃３０６９６邋ＨＩ１２８０邋Q婂澹擼懾義賢跡常捕絲誆煌木ㄈ罩懼義賢煎澹常插逯械膩澹沖逄醣ň梢雜茫ǎ叮罰�，２０１ＡP擔(dān)卞澹保玻海保埃海埃�，ｓＩＰ，ｄｉ７w澹保奔福浚吣懼義下硨竺牛擼鰨澹猓螅瑁澹歟歟擼校齲校擼媯幔簦幔歟櫻瑁澹歟炷韭砩洗├幢硎荊�，时间戳为多条警报謨粹j緄膩義鮮奔浯痢１ň諍閑枰柚靡桓鍪奔浯翱�，哉洑gㄊ奔浯翱諛諑閔鮮鎏跫木義媳ń瀉喜ⅲ奔浯廖閭跫木ㄖ兇鈐緄氖奔浯�，ｉｄ为满组傰件的警报掷C義獻(xiàn)鈐縭奔浯戀木ǘ雜Φ男蠔牛緩蠼泄橐換�，磱z⒃謔菘庵�。辶x瞎橐換硎前湊斬ㄒ澹敝芯ㄈ罩酒咴櫚母袷窖∪⌒枰氖糶源媧⒃阱義鮮菘庵�。辶x顯ご淼木嚀宀街樅縵濾

本文編號：2696231