[发明专利]一种面向无线入侵检测系统的复杂攻击识别方法

摘要

本发明涉及面向无线入侵检测系统的复杂攻击识别技术，包括如下步骤：步骤一、数据采集；步骤二、单步攻击识别；步骤三、复杂攻击识别；步骤四、信息展示界面；本发明的有益效果是：1)对单步攻击的识别采用hybird架构，增强了单步攻击识别准确率，减少误报漏报；2)对复杂攻击识别采用评估机制，而非单纯的是或否来判断单步攻击行为，进而生成攻击序列，有效减少模块间信息失真造成最终结果失真；3)设计了一种识别复杂攻击并预测攻击者最终意图的算法，对于存在明显特征行为的复杂攻击意图具有较好的预测结果。

主权项

1.一种面向无线入侵检测系统的复杂攻击识别方法，其特征在于：包括如下步骤：步骤一、数据采集系统数据采集来源为线上线下两种，线上采用kismet分布式采集或libpcap，接口为monitor mode的USB网卡，或者是kismet写入的tun/tap虚拟接口；采集到的数据包根据数据链路层类型又分为三种格式，正确解析可得到各个层各字段信息，其中radiotap和PPI包含接收信号强度指示器物理层特征；步骤二、单步攻击识别由两个部分组成，一个是一种通用的无需训练的检测方法，对于各个攻击行为，只需设定所需度量metric即可；另外针对特定攻击行为，使用误用检测技术，通过配置攻击签名库来判断的方法；本单步攻击识别模块将结合两种识别方法来判断单步攻击是否发生，以及攻击者影响到的帧；步骤三、复杂攻击识别步骤二产生一系列的单步攻击信息SAI存入到攻击数据库中，供复杂攻击识别模块进行分析；复杂攻击识别对应入侵检测系统IDS的告警关联阶段，而攻击图用于告警关联；复杂攻击识别就使用了逻辑攻击图和虚拟拓扑图搭配去挖掘攻击路径；复杂攻击识别模块包含告警精简、虚拟拓扑图VTG生成器、逻辑攻击图LAG生成器、签名数据库、攻击路径解析器、复杂攻击评估子模块；步骤二得到的单步攻击的告警，在复杂攻击识别模块中，将有两个主要步骤；首先需要预处理，去除无关告警和重复告警，精简告警数量；第二步需要通过整理得到的超告警去识别攻击者易采取的攻击序列，并预测攻击者后续动作和最终意图；识别攻击序列时，从逻辑上将告警分为三类；一类是已检测到的告警，这类告警明确属于某种单步攻击；一类是未检测到的告警，即可能丢失的告警；一类是未来将发生的告警，即预测结果；第一类告警还分为属于真实意图的告警以及扰乱告警；步骤四、信息展示界面信息展示界面包含VTG可视化图、排序攻击链以及攻击目标预测；无线入侵检测系统实时显示当前VTG，通过VTG让用户观察出当前网络是否有攻击行为发生，以及通过对虚拟节点间流量的统计来突出攻击者和受害者重要节点的位置；排序攻击链则实时显示当前估计的所有可能的攻击链，其中排在前面的1个或几个攻击链对应的攻击意图则为当前预测攻击者意图。