[发明专利]一种基于频繁模式增长算法的网络攻击路径重构方法

摘要

本发明涉及一种基于频繁模式增长算法的攻击路径重构技术，属于网络信息安全技术领域，适用于入侵检测系统(IDS)和其它安全监控系统。本发明将IDS的告警事件与其他安全工具(如杀毒软件/扫描器等)的数据相关联，融合为补偿性入侵证据(complementary intrusion evidence)，使每一步攻击都有相应的系统状态作为攻击效果的客观反映；然后在此数据基础上创建基于贝叶斯网络的攻击场景；再使用频繁模式增长算法从攻击场景中挖掘出频繁攻击序列，提高挖掘效率的同时显著减少了系统开销；最后将挖掘出的频繁攻击序列进行再关联以重构出攻击路径，能够清晰判断出可能的攻击意图。

主权项

一种基于频繁模式增长算法的网络攻击路径重构方法，其特征在于：其具体操作步骤如下：步骤一、构建攻击场景AS收集告警事件Alert与系统状态System State；告警事件直接使用IDS进行收集，系统状态则使用杀毒软件或扫描器等系统安全工具对系统进行监控，将发现的系统状态或系统状态的变化以日志形式进行收集并处理，构建攻击场景AS；步骤二、挖掘频繁攻击序列FAP在步骤一中构建攻击场景AS的基础上，进行基于频繁模式增长算法的频繁攻击序列FAP的挖掘；步骤三、重构攻击路径APath在步骤二的基础上，依次对所有频繁攻击序列FAP重新进行关联以重构攻击路径APath，进而得到攻击者最可能的攻击意图；第1步：将频繁攻击序列FAP中的元素按照时间顺序进行排序；第2步：将告警事件Alert进行关联；其具体方法为：对每个告警事Alert，如果 ∃ System - State ∈ FAP , 或者 ∃ System - State ∈ APath , 并且该告警事件Alert的System State与告警事件Alert的precondition中的System State相同，则将告警事件Alert及其precondition中的所有变量v0，v1，v2，...vn作为节点添加到攻击路径APath中，合并攻击路径APath中重复出现的系统状态System State节点，然后，将剩下的系统状态System State节点与告警事件Alert节点相连；否则，说明该告警事件Alert的precondition不能被满足，放弃该Alert；然后，将告警事件Alert的postcondition中的所有元素e0，e1，e2，...en作为节点添加到攻击路径APath中，合并攻击路径APath中重复出现的系统状态System State节点，并将剩下的系统状态System State节点与告警事件Alert节点相连；循环执行第2步，直到遍历完频繁攻击序列FAP中的所有告警事件Alert；第3步：对攻击路径APath中的节点进行化简；对于从同一攻击事务数据库中挖掘出的所有频繁攻击序列，依次使用步骤三，以完成对攻击路径的重构。