[发明专利]基于事件滑动窗口的攻击模式检测方法

摘要

本发明涉及基于事件滑动窗口的攻击模式检测方法，包括：S1.将各告警信息归一化和整合压缩和预处理，对属性相似度接近的告警信息聚合为超告警；S2.根据因果关联矩阵对频繁项规约为频繁关联序列模式；S3.每一次新的频繁关联序列模式，以及有不同属性的频繁关序列联模式的告警对，将参与的属性按权重加权平均；S4.生成符合入侵特征的攻击模式图。本发明能够更加高效、准确的挖掘告警日志中存在的攻击模式，并快速实现识别或者拦截新的入侵访问行为，在海量且看似无意义的告警日志中挖掘攻击模式的准确率和速率均有大幅度的提升。

主权项

1.基于事件滑动窗口的攻击模式检测方法，其特征包括：S1.告警聚合：监听各告警源的告警信息，并将各告警信息归一化，使各告警信息都有相同的属性，将各告警信息按照属性进行整合压缩和预处理，将属性相似度接近的告警信息聚合为超告警；S2.对指定时间范围内超告警的频繁项根据因果关联矩阵规约为频繁关联序列模式；S3.对每一次新的频繁关联序列模式，以及有不同属性的频繁关序列联模式的告警对，根据其属性之间的特性计算新的关联系数，然后将各参与计算关联系数的属性按权重进行加权平均，计算后的结果放入因果关联矩阵对应的单元格中；S4.将新得到的频繁关联序列模式生成符合入侵特征的攻击模式图；步骤S2具体包括：S21、将指定日期范围的告警信息按照小时进行分块，每个分块内按照指定的窗口大小Δ＝L切分为若干个窗口，并记录每个窗口号的大小；S22、设定最小支持度min_sup和告警的重要系数计算函数I(a)，对每个窗口内的告警信息进行频繁项的提取，同时对于不同的告警，根据告警的属性设定相对应的重要因子，将重要因子代入重要系数计算函数I(a)，则为：Ι:ID→(0,∞)，其中ID为重要因子，输入为告警类型，返回一个重要因子，重要因子数值越高，重要性越大，则对应的最小支持度阈值越低，告警类型a的最小支持度为：S23、设定回溯系数ρ，相邻ρ个窗口内，进行跨窗口频繁项提取，回溯系数决定了搜索窗口的数量，以便发现更长的关联模式；S24、提取出的频繁项根据因果关联矩阵进行规约，规约后的频繁项称之为频繁关联序列模式；S25、对每个分块都执行S22、S23和S24三个步骤，将相邻分块的输出再进行跨窗口关联，调用S23、S24步骤，将新生成的频繁关联序列模式存入攻击模式库中；步骤S3具体包括：S31、对每一次新的频繁关联模式，根据属性之间的特性计算新的关联系数:对IP地址属性可以采用公式IP(ips₁,ips₂)计算关联系数：IPSim函数ipsim(IP_i,IP_j)＝k/32用来计算两个IP之间的相似度，其中k表示两个IP地址之间相同的比特位数；端口相似系数计算函数，如下公式，函数Portmatching用于计算两组端口之间的相似度，如果两个端口号相同，则函数值为1，否则为0；两组超告警信息a₁和a₂之间的相似系数如下公式：sim(a₁,a₂)＝w₁IPSim(ips_i,ips_j)+w₂PortMatching(ports_i,ports_j)其中IP的相似度w₁和端口w₂表示对应的权重，w₁＞w₂；S32、如果提取的频繁关序列联模式的告警对，存在时间上的间隔的变化，或者窗口号间隔的变化，则重新计算这两种告警信息之间的关联系数；S33、将每一种参与计算关联系数的属性按照权重进行加权平均，计算后的结果放入到因果关联矩阵对应的单元格中。