一种基于模糊贝叶斯网络的攻击模式预测方法

技术领域

本发明涉及网络安全领域，本发明设计了一种基于模糊贝叶斯网络的攻击模式预测方法。

技术背景

随着互联网和基于网络的应用的普及，网络攻击的数量和复杂性也急剧增加。因此，安全管理成为网络管理员面临的主要挑战之一。为了提高网络的安全性，已经开发了许多技术和安全机制，如防火墙、身份验证和访问控制服务以及入侵检测系统(IDSS)。部署这样的信息安全系统可以为IT基础设施提供深入的保护。然而，这些系统生成的大量低级别告警给安全管理员执行有效分析和及时响应带来了挑战。因此，开发一种先进的告警关联系统对于减少告警冗余、智能关联告警、发现攻击策略和预测即将到来的攻击具有重要意义。

到目前为止，已经提出了各种告警关联方法，可以分为基于相似度的、基于场景的、基于前置后置条件的、统计因果分析以及基于混合方法的。但是现有的大多数方法依赖于复杂的关联规则定义或其他形式的硬编码领域专家知识，这导致它们难以实现，检测新攻击策略的能力有限。为了克服这些方法的缺点，告警关联的最新研究已经转向通过对入侵告警的自动分析来提取攻击策略。在这方面出现的主要挑战是提取定义多阶段攻击的必要约束和告警关系，以便准确和快速地描述未来该攻击的情况。

贝叶斯网络是一种概率图模型，用于描述变量之间的概率依赖关系。它由节点和有向边组成，节点代表随机变量，有向边表示变量之间的概率依赖关系。贝叶斯网络可以用于建模复杂的系统，并提供概率推理和决策支持的能力。它在医学诊断、风险评估、推荐系统等领域得到了广泛的应用。

模糊集理论是由L.A.Zadeh于1965年提出的一种数学理论，用于处理模糊性和不确定性的问题。它通过引入模糊集来描述不完全信息和模糊性的特征。模糊集是指一个元素在某个属性上的隶属度，可以是介于0和1之间的一个值。模糊集理论可以用于模糊推理、模糊控制、模式识别等领域，以解决实际问题中的不确定性和模糊性。

将模糊集理论与贝叶斯网络结合，形成了模糊贝叶斯网络的方法和技术。模糊贝叶斯网络可以更好地处理不完全信息和模糊性的问题，增强了对复杂系统的建模和推理能力。它允许节点的状态不再是精确的概率值，而是模糊的概率值，以处理不确定性和模糊性。模糊贝叶斯网络在攻击模式预测方面的使用提供了将有关攻击的先验知识与从历史告警中学习的攻击行为模式相结合的机会。此外，通过根据新的观测结果更新告警贝叶斯网络，可以自动学习新的攻击策略，提供较高的攻击模式预测准确性，并降低误报率，减少虚警。

发明内容

本发明所要解决的技术问题是为了解决现有的大多数告警关联方法过于依赖于复杂的关联规则定义或其他形式的硬编码领域专家知识，检测新攻击策略的能力有限的问题，提出了一种基于模糊贝叶斯网络的攻击模式预测方法。

具体包括以下步骤：

(10)输入网络攻击告警数据集并去冗余。

(11)提取告警数据集中需要的特征属性包括告警时间戳alertTime、告警协议类型alertProto、攻击源ip地址sourceIP、攻击源端口号sourcePort、攻击目标ip地址targetIP、攻击目标端口号targetPort、数据包长度packetLen、攻击威胁等级severityLevel等，并统一格式整合。

(12)定义一个滑动时间窗口STW(SlideTimeWindow)，保持储存在时序队列中的历史聚集告警，合并在同一时序队列中重复的告警信息，去除错误信息，并将同一类型的告警属性进行聚类融合。

(20)进行告警关联性分析，从告警数据集中推断出告警类型之间的因果关系形成超结构。

(21)学习超结构：通过估计告警类型之间的关联概率来逼近告警类型图的结构约束从而加速模糊贝叶斯网络的学习过程。首先通过计算告警T

其中，M

比较P(T

●如果P(T

●如果P(T

●如果P(T

(22)然后选择具有积极影响的一阶等式约束合并为高阶的等式约束集C，并评估它们对于T

其中，Cor

其中，Feature

如果计算的最小条件关联性因子minCondCor不满与预定义的阈值q，则将该等式约束从C中移除。

(23)最后将C划分为两个子集C

然后将每个子集中拥有最大minCondCor的等式约束EC添加到ECS

(30)通过计算新告警事件和历史聚合告警事件属性相似度

其中，sim

(40)告警数据格式化转换。

(41)首先对于告警类型T

设定：

P＝{T

OrderSeq＝{a∈oberserv|a.type∈P∪{T

其中，oberserv代表历史聚合告警集。

(42)将OrderSeq拆分为子序列，并在预设的滑动时间窗口STW内观察目标告警实例的情况下，将窗口向左移动，直到它在目标告警上结束。

(43)最后将每个窗口都映射为一个布尔向量

(50)基于模糊贝叶斯网络进行攻击事件关联分析重构攻击场景。

(51)初始化一个空图作为起始的贝叶斯网络模型。

(52)前向阶段，对于每一条候选边按照“最大到最小”的启发式规则添加到图中，该启发式规则的思想是选择一条边，使得它对应的节点在保持独立的情况还能具有较强的关联性，直到关联度达到零为止，每次迭代中，都会有一条边(P，Q)被添加到图中：

函数MinAssoc(k；y|Pa

其中计算关联性的函数Assoc定义如下：

其中ε采用模糊阈值：

ε＝β×(1-MinCondCor(T

其中β是一个由具体确定的较小的正值。

计算X，Y以及条件集合

(53)后向阶段，通过测试每个告警T

后置条件成立时返回true。

(54)返回构建完成的贝叶斯网络模型。

(60)将贝叶斯网络模型以实际步骤图的形式可视化展现出来。

与传统检测攻击策略的方法相比，本发明的有益效果为：本发明提出的方法不需要先验的专家知识，可以通过基于模糊贝叶斯网络的离线攻击模式识别组件自动挖掘出多步骤攻击行为模式，形成关联知识库，基于该知识库，在线组件可以实时关联新的告警，实现攻击场景的重建，有效地学习新的攻击策略，并预测可能即将到来的攻击。

本发明通过模糊集理论结合贝叶斯网络处理不完全信息和模糊性，能够更好地应对未知攻击模式和变种攻击，贝叶斯网络的结构和参数可以根据实际情况进行学习和调整，使模型具有自适应性和灵活性，降低误报率，减少虚警。

附图说明

图1为本发明方法的流程图。

图2为本发明方法的告警关联系统架构图。

图3为告警数据格式化处理示意图。

图4为本发明方法的贝叶斯学习算法流程图。

图5为本发明方法的实例图，为DDOS攻击流程图。

图6为本发明方法的实例图，为DARPA 2000中LLDOS1.0重构攻击场景的告

警类型图。

具体实施方式

为了使本发明的目的，技术方案和优点更加清楚，下面将结合附图及具体实施例对本发明进行详细描述。

本发明是一种不依赖先验的专家知识，提供了一种基于模糊贝叶斯网络的攻击模式识别与预测方法，具体步骤如下：

(10)输入网络攻击告警数据集并去冗余。

(11)提取告警数据集中需要的特征属性包括告警时间戳alertTime、告警协议类型alertProto、攻击源ip地址sourceIP、攻击源端口号sourcePort、攻击目标ip地址targetIP、攻击目标端口号targetPort、数据包长度packetLen、攻击威胁等级severityLevel等，并统一格式整合。

(12)定义一个滑动时间窗口STW(SlideTimeWindow)，保持储存在时序队列中的历史聚集告警，合并在同一时序队列中重复的告警信息，去除错误信息，并将同一类型的告警属性进行聚类融合。

(20)进行告警关联性分析，从告警数据集中推断出告警类型之间的因果关系形成超结构。

(21)学习超结构：通过估计告警类型之间的关联概率来逼近告警类型图的结构约束从而加速模糊贝叶斯网络的学习过程。首先通过计算告警T

其中，M

比较P(T

●如果P(T

●如果P(T

●如果P(T

(22)然后选择具有积极影响的一阶等式约束合并为高阶的等式约束集C，并评估它们对于T

其中，Cor

其中，Feature

如果计算的最小条件关联性因子minCondCor不满与预定义的阈值q，则将该等式约束从C中移除。

(23)最后将C划分为两个子集C

然后将每个子集中拥有最大minCondCor的等式约束EC添加到ECS

(30)通过计算新告警事件和历史聚合告警事件属性相似度

其中，sim

(40)告警数据格式化转换。

(41)首先对于告警类型T

设定：

P＝{T

OrderSeq＝{a∈oberserv|a.type∈P∪{T

其中，oberserv代表历史聚合告警集。

(42)将OrderSeq拆分为子序列，并在预设的滑动时间窗口STW内观察目标告警实例的情况下，将窗口向左移动，直到它在目标告警上结束。

(43)最后将每个窗口都映射为一个布尔向量

(50)基于模糊贝叶斯网络进行攻击事件关联分析重构攻击场景。

(51)初始化一个空图作为起始的贝叶斯网络模型。

(52)前向阶段，对于每一条候选边按照关联度“最大到最小”的启发式规则添加到图中，该启发式规则的思想是选择一条边，使得它对应的节点在保持独立的情况还能具有较强的关联性，直到关联度达到零为止，每次迭代中，都会有一条边(P，Q)被添加到图中：

函数MinAssoc(k；y|Pa

其中计算关联性的函数Assoc定义如下：

其中ε采用模糊阈值：

ε＝β×(1-MinCondCor(T

其中β是一个由具体确定的较小的正值。

计算X，Y以及条件集合

(53)后向阶段，通过测试每个告警T

后置条件成立时返回true。

(54)返回构建完成的贝叶斯网络模型。

(60)将贝叶斯网络模型以实际步骤图的形式可视化展现出来。

实例分析：

本发明采用DARPA 2000的攻击场景测评数据集LLDOS1.0来进行告警关联和攻击预测测试，DARPA 2000是当下最具权威性的入侵检测攻击场景测评数据集，并被广泛用于验证针对各类告警事件的关联规则的有效性中，DDOS的具体攻击过程分为5个阶段，如图5所示。

使用网络入侵检测系统RealSecure IDS生成的告警日志文件进行测试，在首先完成网络环境预探测后，当攻击者试图识别易受攻击的主机时，会生成一些“SamMind_Ping”和“Admind”告警，在下一步中，攻击者运行远程缓冲区溢出攻击以侵入易受攻击的计算机。同样，Snort针对单个攻击报告了两个不同的告警：“Sadmind_Amslverify_Overflow”和“Admind”。攻击的第四步是登录受损的计算机并安装“mstream”软件，这触发了五种类型的告警：“Rsh”、“Mstream_Zombie”、“Telnet_X_Display”、“Telnet_Env_All”和“Telnet_Terminal_Type”。但是该告警类型图中未包括telnet告警。“Telnet_X_Display”和“Telnet_Env_All”告警在一个单独的图表中相关联。攻击的最后一阶段导致“Stream_DOS”告警，由于攻击者使用了欺骗性IP地址，因此没有在图表中显示。最后形成LLDOS1.0告警类型图如图6所示。

发明不局限于上述实施方式，任何人应得知在本发明的启示下做出的与本发明具有相同或相近的技术方案，均落入本发明的保护范围。