入侵檢測系統(tǒng)（IDS）是網(wǎng)絡(luò)安全防御策略中的關(guān)鍵組成部分,但在現(xiàn)階段龐大且復(fù)雜的網(wǎng)絡(luò)環(huán)境以及網(wǎng)絡(luò)攻擊規(guī)模逐年增長的背景下,IDS中存在的告警數(shù)量龐大導(dǎo)致的可讀性差等問題,使得IDS的易用性極大降低。文章提出一種面向IDS真實(shí)告警數(shù)據(jù)流的攻擊場景重建方法,從攻擊者的角度將完整的多步攻擊行為定義為攻擊事件,以動態(tài)時(shí)間窗輔以告警上下文特征相似度判定的機(jī)制分離告警流中并行的事件,并通過提取事件在IP層面表現(xiàn)出的攻擊路徑的方式,分解事件中攻擊者對不同目標(biāo)的攻擊行為,進(jìn)一步獲取攻擊者在各條路徑上的攻擊類型轉(zhuǎn)換序列進(jìn)行因果知識挖掘,從而直觀地展示攻擊者的多步攻擊場景。實(shí)驗(yàn)結(jié)果顯示,該方法能夠完整地捕獲告警數(shù)據(jù)流中的攻擊事件,多層次準(zhǔn)確直觀地展示多步攻擊行為,有效提升了IDS的實(shí)際應(yīng)用體驗(yàn)。 

【文章來源】：信息網(wǎng)絡(luò)安全. 2020,20(07)北大核心CSCD

【文章頁數(shù)】：10 頁

【部分圖文】：

攻擊事件提取流程

本文使用有向圖來可視化攻擊事件，典型的攻擊事件如圖2所示。圖2中，各頂點(diǎn)代表事件告警集中的源IP或者目標(biāo)IP地址，邊以及邊上的標(biāo)簽展現(xiàn)了兩個(gè)IP地址之間關(guān)聯(lián)的告警相關(guān)信息。例如，圖2中頂點(diǎn)A與E在兩個(gè)方向都存在邊，即表示源地址為A、目標(biāo)地址為B的多條告警的發(fā)生時(shí)間分布最早為1.3，最晚為3.0（為了方便展示，使用小數(shù)表示告警的發(fā)生時(shí)間）。由圖2可知，攻擊者A首先對C、D、E、F進(jìn)行無差別攻擊，成功控制目標(biāo)E后，通過操縱E訪問G、H、B,G至A之間也存在告警。在此過程中，G在時(shí)間點(diǎn)1.3訪問K,E在時(shí)間段1.1～1.3內(nèi)訪問B。圖2中存在的攻擊路徑有A→C、A→D、A→F，由于攻擊行為中惡意攻擊IP與部分目標(biāo)IP之間存在數(shù)據(jù)交換，部分目標(biāo)IP至攻擊IP的流量數(shù)據(jù)被標(biāo)記為告警信息，從而導(dǎo)致攻擊圖中存在環(huán)，即路徑A→E→H、A→E→G→E、A→E→G→A中存在同一節(jié)點(diǎn)出現(xiàn)兩次的情況；剩下的路徑有EB、GK，值得注意的是，這里的路徑并沒有連接為A→E→G→K、A→E→B，這是由于G到K的發(fā)生時(shí)間早于前半段路徑E至G的發(fā)生時(shí)間，不存在因果關(guān)系，因此不屬于同一條攻擊路徑；E到B同理。

值得注意的是，由于在DDo S攻擊階段中，所有數(shù)據(jù)包的源IP地址是隨機(jī)偽造的，導(dǎo)致DDo S攻擊流量中的IP地址與第1階段～第4階段的IP地址之間無任何關(guān)聯(lián)，因此整個(gè)多步攻擊行為被算法提取為兩個(gè)事件。事件2中的DDo S攻擊流量產(chǎn)生的告警由于特征值相似而被聚合為同一事件。可以看到，事件的提取效果較為理想，能夠在IP地址層面直觀地反映出攻擊事件的全部過程。接著對提取得到的攻擊事件進(jìn)行攻擊路徑提取，每條攻擊路徑分別計(jì)算其攻擊類型序列，對事件中序列進(jìn)行因果知識挖掘，得到的結(jié)果如圖4所示。


本文編號：3333288