一種網(wǎng)絡(luò)攻擊場景的因果知識挖掘方法、裝置及服務(wù)器的制造方法
【專利摘要】本發(fā)明實施例提供一種網(wǎng)絡(luò)攻擊場景的因果知識挖掘方法、裝置及服務(wù)器，其中方法包括：接收網(wǎng)絡(luò)中的安全設(shè)備在經(jīng)網(wǎng)絡(luò)攻擊后所上傳的告警信息；按照告警信息所屬的攻擊場景對各告警信息進行聚類，形成多個類簇，一個類簇對應(yīng)一個攻擊場景；對各個類簇進行分析，挖掘出各個類簇對應(yīng)的攻擊場景的因果知識。本發(fā)明實施例在進行因果知識挖掘時具有較高的自動化程度，能夠?qū)θ娴木W(wǎng)絡(luò)攻擊場景進行有效的因果知識挖掘。
【專利說明】一種網(wǎng)絡(luò)攻擊場景的因果知識挖掘方法、裝置及服務(wù)器
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】，更具體地說，涉及一種網(wǎng)絡(luò)攻擊場景的因果知識挖掘方法、裝置及服務(wù)器。
【背景技術(shù)】
[0002]因果知識是指網(wǎng)絡(luò)空間中多步網(wǎng)絡(luò)攻擊活動的模式抽象，每一個因果知識都代表著一種可能的攻擊模式，它是網(wǎng)絡(luò)攻擊場景重構(gòu)或網(wǎng)絡(luò)攻擊活動還原的模板、依據(jù)。因此對網(wǎng)絡(luò)攻擊場景的因果知識進行準確高效的挖掘，對于網(wǎng)絡(luò)攻擊場景的重構(gòu)，和網(wǎng)絡(luò)攻擊活動的還原具有重要的意義。
[0003]目前主要是基于預(yù)定義的謂詞進行因果知識的挖掘，其主要步驟如下:首先依據(jù)專家經(jīng)驗為每種已知的攻擊類型AttackType」定義一個對應(yīng)的因果謂詞<Pre_i,AttackType_i, Post_i>,其中Pre_i表示對應(yīng)類型的攻擊成功發(fā)生所需的前提條件集合，包括網(wǎng)絡(luò)或系統(tǒng)需要符合的一些條件以及攻擊者所具備的能力，Post」表示攻擊成功發(fā)生后可能會產(chǎn)生的結(jié)果集合，包括攻擊者對某些事實的發(fā)現(xiàn)或某種能力的獲取等；在定義好各個因果謂詞，形成因果謂詞集以后，基于下述假設(shè)采用循環(huán)遍歷的方法，對謂詞集中的謂詞進行相互匹配，挖掘不同的因果知識，構(gòu)建因果知識庫。假設(shè)為:如果攻擊類型AttackType」和AttackType_j之間具有邏輯上的前后步驟關(guān)系，即如果攻擊類型AttackType_j是AttackType」的直接后續(xù)步驟,那么當且僅當AttackType」結(jié)果集合中的元素能夠完全或部分匹配AttackTypeJ的前提條件集合中的元素。
[0004]本發(fā)明的發(fā)明人在實現(xiàn)本發(fā)明的過程中發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在如下問題:現(xiàn)有技術(shù)進行因果知識挖掘的對象是依據(jù)專家經(jīng)驗定義的謂詞集，謂詞集的人工定義限制了因果知識挖掘的自動化程度，同時也增加了管理員的人工負擔(dān)；并且預(yù)定義的謂詞集并不全面，不能包括所有的網(wǎng)絡(luò)攻擊場景，因此對于涉及謂詞集以外攻擊類型的場景知識，現(xiàn)有技術(shù)將無能為力，不能進行因果知識的有效挖掘?？梢姡壳凹毙杼峁┮环N新的網(wǎng)絡(luò)攻擊場景的因果知識挖掘方法，以提升因果知識挖掘的自動化程度，且能對全面的網(wǎng)絡(luò)攻擊場景進行有效的因果知識挖掘。

【發(fā)明內(nèi)容】

[0005]有鑒于此，本發(fā)明實施例提供一種網(wǎng)絡(luò)攻擊場景的因果知識挖掘方法、裝置及服務(wù)器，以解決現(xiàn)有因果知識挖掘方式所存在的自動化程度較低，無法對全面的網(wǎng)絡(luò)攻擊場景進行有效的因果知識挖掘的問題。
[0006]為實現(xiàn)上述目的，本發(fā)明實施例提供如下技術(shù)方案:
[0007]一種網(wǎng)絡(luò)攻擊場景的因果知識挖掘方法，包括:
[0008]接收網(wǎng)絡(luò)中的安全設(shè)備在經(jīng)網(wǎng)絡(luò)攻擊后所上傳的告警信息；
[0009]按照告警信息所屬的攻擊場景對各告警信息進行聚類，形成多個類簇，一個類簇對應(yīng)一個攻擊場景；[0010]對各個類簇進行分析，挖掘出各個類簇對應(yīng)的攻擊場景的因果知識。
[0011]其中，所述按照告警所屬的攻擊場景對各告警信息進行聚類，形成多個類簇，一個類簇對應(yīng)一個攻擊場景的過程包括:
[0012]將IP地址具有相關(guān)性的告警信息所屬的攻擊場景確定為同一攻擊場景，將屬于同一攻擊場景的告警信息聚成一個類簇，形成多個類簇。
[0013]其中，所述將IP地址具有相關(guān)性的告警信息所屬的攻擊場景確定為同一攻擊場景，將屬于同一攻擊場景的告警信息聚成一個類簇，形成多個類簇包括:
[0014]判斷當前告警信息的源IP地址或目的IP地址是否與，已有類簇的告警信息的源IP地址或目的IP地址對應(yīng)；
[0015]若是，將所述當前告警信息加入到所述已有類簇中，所述已有類簇中的各告警信息具有時序關(guān)系；
[0016]若否，為所述當前告警信息建立一個新的類簇。
[0017]其中，所述對各個類簇進行分析，挖掘出各個類簇對應(yīng)的攻擊場景的因果知識包括:
[0018]通過馬爾可夫性質(zhì)算法對各個類簇進行分析，對于各個類簇，按照類簇中的告警信息的時序關(guān)系，確定與各個類簇所屬的攻擊場景相對應(yīng)的一步轉(zhuǎn)移概率矩陣；
[0019]將各個類簇對應(yīng)的一步轉(zhuǎn)移概率矩陣轉(zhuǎn)換成對應(yīng)的圖形化的馬爾可夫鏈，一個馬爾可夫鏈對應(yīng)一個類簇所對應(yīng)的攻擊場景的因果知識。
[0020]其中，所述對于各個類簇，按照類簇中的告警信息的時序關(guān)系，確定與各個類簇所屬的攻擊場景相對應(yīng)的一步轉(zhuǎn)移概率矩陣包括:
[0021]對于各個類簇，為各類簇構(gòu)建一個為空的轉(zhuǎn)移概率矩陣，按照類簇中的告警信息的時序關(guān)系，遍歷各個類簇中的各個告警信息；
[0022]若某個類簇的相鄰的兩告警信息的時序存在接續(xù)關(guān)系，且該兩告警信息對應(yīng)的攻擊場景在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中，則在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中將該兩告警信息對應(yīng)的攻擊場景間的計數(shù)器加I ;
[0023]若某個類簇的相鄰的兩告警信息的時序存在接續(xù)關(guān)系，且該兩告警信息對應(yīng)的攻擊場景不在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中，則在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中增加該兩告警信息對應(yīng)的攻擊場景所對應(yīng)的行和列，將該兩告警信息對應(yīng)的攻擊場景間的計數(shù)器加I ;
[0024]將各類簇所對應(yīng)的轉(zhuǎn)移概率矩陣進行歸一化處理，得到各類簇所屬的攻擊場景相對應(yīng)的一步轉(zhuǎn)移概率矩陣。
[0025]本發(fā)明實施例還提供一種網(wǎng)絡(luò)攻擊場景的因果知識挖掘裝置，包括:
[0026]接收模塊，用于接收網(wǎng)絡(luò)中的安全設(shè)備在經(jīng)網(wǎng)絡(luò)攻擊后所上傳的告警信息；
[0027]聚類模塊，用于按照告警信息所屬的攻擊場景對各告警信息進行聚類，形成多個類簇，一個類簇對應(yīng)一個攻擊場景；
[0028]分析挖掘模塊，用于對各個類簇進行分析，挖掘出各個類簇對應(yīng)的攻擊場景的因果知識。
[0029]其中，所述聚類模塊包括:
[0030]類簇形成單元，用于將IP地址具有相關(guān)性的告警信息所屬的攻擊場景確定為同一攻擊場景，將屬于同一攻擊場景的告警信息聚成一個類簇，形成多個類簇；
[0031]所述類簇形成單元包括:
[0032]判斷子單元，用于判斷當前告警信息的源IP地址或目的IP地址是否與，已有類簇的告警信息的源IP地址或目的IP地址對應(yīng)；
[0033]加入子單元，用于在所述判斷子單元的判斷結(jié)果為是時，將所述當前告警信息加入到所述已有類簇中，所述已有類簇中的各告警信息具有時序關(guān)系；
[0034]新建子單元，用于在所述判斷子單元的判斷結(jié)果為否時，為所述當前告警信息建立一個新的類簇。
[0035]其中，所述分析挖掘模塊包括:
[0036]一步轉(zhuǎn)移概率矩陣確定單元，用于通過馬爾可夫性質(zhì)算法對各個類簇進行分析，對于各個類簇，按照類簇中的告警信息的時序關(guān)系，確定與各個類簇所屬的攻擊場景相對應(yīng)的一步轉(zhuǎn)移概率矩陣；
[0037]馬爾可夫鏈生成單元，用于將各個類簇對應(yīng)的一步轉(zhuǎn)移概率矩陣轉(zhuǎn)換成對應(yīng)的圖形化的馬爾可夫鏈，一個馬爾可夫鏈對應(yīng)一個類簇所對應(yīng)的攻擊場景的因果知識。
[0038]其中，所述一步轉(zhuǎn)移概率矩陣確定單元包括:
[0039]矩陣構(gòu)建子單元，用于對于各個類簇，為各類簇構(gòu)建一個為空的轉(zhuǎn)移概率矩陣，按照類簇中的告警信息的時序關(guān)系，遍歷各個類簇中的各個告警信息；
[0040]第一加值子單元，用于在某個類簇的相鄰的兩告警信息的時序存在接續(xù)關(guān)系，且該兩告警信息對應(yīng)的攻擊場景在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中時，在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中將該兩告警信息對應(yīng)的攻擊場景間的計數(shù)器加I;
[0041]第二加值子單元，用于在某個類簇的相鄰的兩告警信息的時序存在接續(xù)關(guān)系，且該兩告警信息對應(yīng)的攻擊場景不在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中時，在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中增加該兩告警信息對應(yīng)的攻擊場景所對應(yīng)的行和列，將該兩告警信息對應(yīng)的攻擊場景間的計數(shù)器加I;
[0042]歸一處理子單元，用于將各類簇所對應(yīng)的轉(zhuǎn)移概率矩陣進行歸一化處理，得到各類簇所屬的攻擊場景相對應(yīng)的一步轉(zhuǎn)移概率矩陣。
[0043]本發(fā)明實施例還提供一種服務(wù)器，包括上述所述的網(wǎng)絡(luò)攻擊場景的因果知識挖掘
>J-U ρ?α裝直。
[0044]基于上述技術(shù)方案，本發(fā)明實施例提供的網(wǎng)絡(luò)攻擊場景的因果知識挖掘方法，將安全設(shè)備所上傳的告警信息按照告警信息所屬的攻擊場景進行聚類，形成多個類簇，一個類簇對應(yīng)一個攻擊場景；從而對各個類簇進行分析，挖掘出各個類簇對應(yīng)的攻擊場景的因果知識。相比現(xiàn)有基于謂詞的因果知識挖掘方法，本發(fā)明實施例將安全設(shè)備所產(chǎn)生的告警信息作為因果知識挖掘的數(shù)據(jù)源，整個挖掘過程無需任何人工輔助，其自動化程度明顯高于現(xiàn)有技術(shù)；并且本發(fā)明實施例直接面向安全設(shè)備的告警信息進行因果知識的挖掘，除受安全設(shè)備漏報率的影響外，其可以挖掘出任何隱藏在告警信息中的潛在攻擊模式的因果知識，能夠?qū)θ娴木W(wǎng)絡(luò)攻擊場景進行有效的因果知識挖掘。
【專利附圖】

【附圖說明】
[0045]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0046]圖1為本發(fā)明實施例提供的一種網(wǎng)絡(luò)攻擊場景的因果知識挖掘方法的流程圖；
[0047]圖2為本發(fā)明實施例提供的類簇形成方法的流程圖；
[0048]圖3為本發(fā)明實施例提供的挖掘出各個類簇對應(yīng)的攻擊場景的因果知識的方法流程圖；
[0049]圖4為本發(fā)明實施例提供的馬爾可夫鏈的示意圖；
[0050]圖5為本發(fā)明實施例提供的一步轉(zhuǎn)移概率矩陣的示意圖；
[0051]圖6為本發(fā)明實施例提供的生成一步轉(zhuǎn)移概率矩陣的方法流程圖；
[0052]圖7為本發(fā)明實施例提供的告警信息的示意圖；
[0053]圖8為本發(fā)明實施例提供的兩個類簇的示意圖；
[0054]圖9為本發(fā)明實施例提供的兩個一步轉(zhuǎn)移概率矩陣的示意圖；
[0055]圖10為本發(fā)明實施例提供的兩個圖形化的馬爾可夫鏈的示意圖；
[0056]圖11為本發(fā)明實施例提供的一種網(wǎng)絡(luò)攻擊場景的因果知識挖掘裝置的結(jié)構(gòu)框圖；
[0057]圖12為本發(fā)明實施例提供的聚類模塊的結(jié)構(gòu)框圖；
[0058]圖13為本發(fā)明實施例提供的類簇形成單元的結(jié)構(gòu)框圖；
[0059]圖14為本發(fā)明實施例提供的分析挖掘模塊的結(jié)構(gòu)框圖；
[0060]圖15為本發(fā)明實施例提供的一步轉(zhuǎn)移概率矩陣確定單元的結(jié)構(gòu)框圖。
【具體實施方式】
[0061]為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。
[0062]圖1為本發(fā)明實施例提供的一種網(wǎng)絡(luò)攻擊場景的因果知識挖掘方法的流程圖，該方法可應(yīng)用于部署在網(wǎng)絡(luò)中的服務(wù)器中，參照圖1，該方法可以包括:
[0063]步驟S100、接收網(wǎng)絡(luò)中的安全設(shè)備在經(jīng)網(wǎng)絡(luò)攻擊后所上傳的告警信息；
[0064]在網(wǎng)絡(luò)攻擊者對目標網(wǎng)絡(luò)進行攻擊時，攻擊者的攻擊動作將會觸發(fā)目標網(wǎng)絡(luò)中的安全設(shè)備，如IDS (入侵檢測系統(tǒng))、防火墻等生成告警信息(如日志告警)；安全設(shè)備在生成告警信息后，將向服務(wù)器上傳所生成的告警信息，所上傳的告警信息即是本發(fā)明實施例進行因果知識挖掘的數(shù)據(jù)源；
[0065]可選的，告警ai可以簡單描述為一個形如ai= (timestamp, pluginID, pluginSID,srcIP, srcPort, desIP, desPort, priority)的 8 兀組,其中 timestamp 為安全設(shè)備檢測到惡意特征的時間，pluginID為生成該告警信息的安全設(shè)備ID，pluginSID為告警信息在對應(yīng)安全設(shè)備中的分類信息，srcIP和srcPort分別是攻擊源IP地址和源端口，desIP和desPort分別是目的IP地址和目的端口，priority為告警的優(yōu)先級。pluginID和pluginSID 一起作為鍵值決定了告警的攻擊類型。[0066]步驟S110、按照告警信息所屬的攻擊場景對各告警信息進行聚類，形成多個類簇，一個類簇對應(yīng)一個攻擊場景；
[0067]可選的,本發(fā)明實施例可基于IP (Internet Protocol,網(wǎng)協(xié))地址的相關(guān)性,按照各告警信息所屬的攻擊場景對各告警信息進行聚類，形成類簇，一個類簇對應(yīng)一個攻擊場
[0068]可選的，本發(fā)明實施例的告警信息聚類規(guī)則可以如下:如果告警ai和告警aj是地址相關(guān)可聚類的，那么ai的IP地址，不論是源IP地址或目的IP地址，總有一個和aj的源IP地址或目的IP地址相同(即具有IP地址相關(guān)性的任意兩個告警信息，一個告警信息的源IP地址或目的IP地址中總有一個，與另一告警信息的源IP地址或目的IP地址相同)。由同一攻擊活動觸發(fā)的告警信息，彼此在IP地址分布上總是具有相關(guān)性，如多步攻擊中，前一攻擊步驟的目標節(jié)點可能就是下一攻擊步驟的源節(jié)點，因此上述聚類規(guī)則的本質(zhì)就是依據(jù)這種IP地址相關(guān)性，盡可能的將同一攻擊活動的告警信息聚類在一起，為后續(xù)的因果知識挖掘提供客觀準確的輸入。具體的，可將IP地址具有相關(guān)性的告警信息所屬的攻擊場景確定為同一攻擊場景，將屬于同一攻擊場景的告警信息聚成一個類簇，形成多個類簇。
[0069]步驟S120、對各個類簇進行分析，挖掘出各個類簇對應(yīng)的攻擊場景的因果知識。
[0070]本發(fā)明實施例提供的網(wǎng)絡(luò)攻擊場景的因果知識挖掘方法，將安全設(shè)備所上傳的告警信息按照告警信息所屬的攻擊場景進行聚類，形成多個類簇，一個類簇對應(yīng)一個攻擊場景；從而對各個類簇進行分析，挖掘出各個類簇對應(yīng)的攻擊場景的因果知識。相比現(xiàn)有基于謂詞的因果知識挖掘方法，本發(fā)明實施例將安全設(shè)備所產(chǎn)生的告警信息作為因果知識挖掘的數(shù)據(jù)源，整個挖掘過程無需任何人工輔助，其自動化程度明顯高于現(xiàn)有技術(shù)；并且本發(fā)明實施例直接面向安全設(shè)備的告警信息進行因果知識的挖掘，除受安全設(shè)備漏報率的影響外，其可以挖掘出任何隱藏在告警信息中的潛在攻擊模式的因果知識，能夠?qū)θ娴木W(wǎng)絡(luò)攻擊場景進行有效的因果知識挖掘。
[0071]可選的，本發(fā)明實施例將IP地址具有相關(guān)性的告警信息所屬的攻擊場景確定為同一攻擊場景，將屬于同一攻擊場景的告警信息聚成一個類簇，形成多個類簇的實現(xiàn)方式可以如圖2所示，圖2為本發(fā)明實施例提供的類簇形成方法的流程圖，參照圖2，該方法可以包括:
[0072]步驟S200、判斷當前告警信息的源IP地址或目的IP地址是否與，已有類簇的告警信息的源IP地址或目的IP地址對應(yīng)，若是，執(zhí)行步驟S210，若否，執(zhí)行步驟S220 ；
[0073]已有類簇中所具有的告警信息的源IP地址或目的IP地址是對應(yīng)相關(guān)的。
[0074]步驟S210、將所述當前告警信息加入到所述已有類簇中，所述已有類簇中的各告警信息具有時序關(guān)系；
[0075]若當前告警信息的源IP地址或目的IP地址，與已有類簇中的某一類簇的告警信息的源IP地址或目的IP地址相對應(yīng)，則說明當前告警信息所屬的攻擊場景與該類簇對應(yīng)的攻擊場景一致，可將當前告警信息加入了該類簇中；
[0076]可選的，已有類簇中所具有的各告警信息具有時序關(guān)系，即各告警信息在類簇中按照原有的時序關(guān)系進行存儲。
[0077]步驟S220、為所述當前告警信息建立一個新的類簇。
[0078]若當前告警信息的源IP地址或目的IP地址，與已有類簇中的某一類簇的告警信息的源IP地址或目的IP地址不對應(yīng)，則說明已有類簇中沒有任何一個類簇所對應(yīng)的攻擊場景，與當前告警信息所屬的攻擊場景一致，可為當前告警信息新建一個類簇，通過該新建的類簇來對應(yīng)當前告警信息所屬的攻擊場景。
[0079]值得注意的是，對于下一個進行處理的告警信息，步驟S220新建的類簇將作為已有類簇；可通過循環(huán)執(zhí)行圖2所示方法，以使所有告警信息均進行聚類處理，得到最終的類簇。
[0080]為便于理解圖2所示方法，可將圖2所示方法中表達的聚類算法描述如下:當有告警信息上報時，如果該告警信息是第一條告警a0，那么此時沒有任何類簇，構(gòu)建第一個類簇A0，將a0添加到類簇AO中，并將a0的源IP地址和目的IP地址添加到AO對應(yīng)的地址集IPsetO中。可設(shè)集合IPseti存儲的是類簇Ai中所有告警信息的IP地址,判斷一條新產(chǎn)生的告警信息是否屬于Ai，不需用該告警信息和Ai中的所有告警信息兩兩匹配，只需判斷該告警信息的源IP地址或目的IP地址是否已存在集合IPseti中即可；如果上報的告警信息不是第一條告警信息，那么通過IP地址比對的方式，判斷其屬于哪個類簇，并更新對應(yīng)類簇的地址集，如果上報的告警信息不屬于任何一個已形成的類簇，那么類似a0為其新建立一個類簇。每次為類簇添加所屬告警信息時，可保持告警信息間原有的時序關(guān)系。
[0081]在對各個類簇進行分析，挖掘出各個類簇對應(yīng)的攻擊場景的因果知識的具體實現(xiàn)上，本發(fā)明實施例可采用不同的挖掘算法實現(xiàn)因果知識的挖掘，對于具體地因果知識挖掘算法本發(fā)明實施例并不作限制；作為一種優(yōu)選方式，下面對基于馬爾可夫性質(zhì)的因果知識挖掘算法進行介紹，值得注意的是，下述介紹僅為優(yōu)選方式，其不應(yīng)成為本發(fā)明保護范圍的限制。
[0082]可選的，在形成多個類簇后，可通過馬爾可夫性質(zhì)的因果知識挖掘算法對各個類簇進行分析，挖掘出各個類簇對應(yīng)的攻擊場景的因果知識；對應(yīng)的，圖3示出了挖掘出各個類簇對應(yīng)的攻擊場景的因果知識的方法流程，參照圖3，該方法可以包括:
[0083]步驟S300、通過馬爾可夫性質(zhì)算法對各個類簇進行分析，對于各個類簇，按照類簇中的告警信息的時序關(guān)系，確定與各個類簇所屬的攻擊場景相對應(yīng)的一步轉(zhuǎn)移概率矩陣；
[0084]步驟S310、將各個類簇對應(yīng)的一步轉(zhuǎn)移概率矩陣轉(zhuǎn)換成對應(yīng)的圖形化的馬爾可夫鏈，一個馬爾可夫鏈對應(yīng)一個類簇所對應(yīng)的攻擊場景的因果知識。
[0085]馬爾可夫鏈通常用于對離散事件的隨機取值過程進行建模，圖4是一個馬爾可夫鏈的示例，也是本發(fā)明實施例最終挖掘出的因果知識示例。圖中的每一個狀態(tài)(節(jié)點)代表一種攻擊類型，狀態(tài)之間的轉(zhuǎn)移概率表示攻擊者從當前攻擊類型轉(zhuǎn)移到下一攻擊類型的條件概率。馬爾可夫鏈模型要求給定狀態(tài)的所有轉(zhuǎn)移概率之和必須等于I。
[0086]一階馬爾可夫性質(zhì)也稱馬爾可夫性質(zhì)，是指馬爾可夫鏈下一時刻的狀態(tài)取值只與當前狀態(tài)有關(guān)，而與之前的狀態(tài)序列無關(guān)。例如，如果當前狀態(tài)為AttackType_k，那么下一時刻的狀態(tài)為AttackType_x還是AttackType_y,僅與AttackType_x有關(guān),而與之前的AttackType」和AttackType_j無關(guān)。滿足一階馬爾可夫性質(zhì)的馬爾可夫鏈稱為一階馬爾可夫鏈，一階馬爾可夫鏈也可用一步轉(zhuǎn)移概率矩陣表示，一步轉(zhuǎn)移概率矩陣可如圖5所示。本發(fā)明實施例基于馬爾可夫性質(zhì)的因果知識挖掘算法的核心內(nèi)容就是從各個獨立類簇中，挖掘出隱藏的一步轉(zhuǎn)移概率矩陣。
[0087]可選的，步驟S300所示的生成一步轉(zhuǎn)移概率矩陣的實現(xiàn)方式可以如圖6所示，包括:
[0088]步驟S400、對于各個類簇，為各類簇構(gòu)建一個為空的轉(zhuǎn)移概率矩陣，按照類簇中的告警信息的時序關(guān)系，遍歷各個類簇中的各個告警信息；
[0089]步驟S410、若某個類簇的相鄰的兩告警信息的時序存在接續(xù)關(guān)系，且該兩告警信息對應(yīng)的攻擊場景在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中，則在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中將該兩告警信息對應(yīng)的攻擊場景間的計數(shù)器加I ;
[0090]步驟S420、若某個類簇的相鄰的兩告警信息的時序存在接續(xù)關(guān)系，且該兩告警信息對應(yīng)的攻擊場景不在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中，則在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中增加該兩告警信息對應(yīng)的攻擊場景所對應(yīng)的行和列，將該兩告警信息對應(yīng)的攻擊場景間的計數(shù)器加I ;
[0091]步驟S430、將各類簇所對應(yīng)的轉(zhuǎn)移概率矩陣進行歸一化處理，得到各類簇所屬的攻擊場景相對應(yīng)的一步轉(zhuǎn)移概率矩陣。
[0092]值得注意的是，步驟S410和步驟S420為步驟S400下的兩個不同的處理分支，兩者沒有嚴格先后順序。
[0093]可結(jié)合下述描述對圖6所示方法進行理解:針對類簇Ai，首先為其構(gòu)建一個為空的轉(zhuǎn)移概率矩陣T ;然后按告警信息的時序，從頭依次遍歷類簇中的各個告警信息。如果告警信息ai和ai+Ι的時序依次出現(xiàn)，那么基于一階馬爾可夫性質(zhì)，攻擊類型ai+1.AttackType的出現(xiàn)僅與a1.AttackType有關(guān)，那么在矩陣T中將a1.AttackType到ai+1.AttackType間的計數(shù)器加I。如果告警對應(yīng)的攻擊類型不在矩陣中，那么先在T中新增加對應(yīng)的行和列，然后再將新增行、列所對應(yīng)的a1.AttackType到ai+1.AttackType間的計數(shù)器加I ;依上述過程，處理完所有類簇后，為滿足馬爾可夫鏈要求，可對矩陣再進行歸一化處理，將轉(zhuǎn)移頻率轉(zhuǎn)換到轉(zhuǎn)移概率；最終得到了對應(yīng)攻擊場景的一步轉(zhuǎn)移概率矩陣。將一步轉(zhuǎn)移概率矩陣轉(zhuǎn)換成圖形化的馬爾可夫鏈因果知識，完成因果知識的挖掘。
[0094]本發(fā)明實施例最終給出的因果知識是馬爾可夫鏈的形式，有效的解決了強關(guān)聯(lián)因果知識靈活性不高的問題。通過將概率引入到因果知識中，利用轉(zhuǎn)移概率描述不同攻擊類型之間的潛在因果關(guān)系，提高了因果知識的客觀性和準確性。同時概率的引入也有助于后續(xù)的基于概率知識的攻擊意圖推理、預(yù)測等工作。
[0095]可選的，本發(fā)明實施例可采用基于告警信息的IP地址相關(guān)性的告警聚類算法，和基于馬爾可夫性質(zhì)的因果知識挖掘算法，完成因果知識的挖掘；告警聚類算法和基于馬爾可夫性質(zhì)的因果知識挖掘算法的時間復(fù)雜度均為0(n)級，因此整個因果知識挖掘的過程是可伸縮的。同時，本技術(shù)方案也采用了并行處理技術(shù)(對各個類簇的挖掘可以并行進行)，因此相比于現(xiàn)有技術(shù)，本發(fā)明實施例提供的網(wǎng)絡(luò)攻擊場景的因果知識挖掘方法的可擴展性更強。
[0096]現(xiàn)以示例方式對本發(fā)明實施例提供的網(wǎng)絡(luò)攻擊場景的因果知識挖掘方法進行介紹:
[0097]1、假設(shè)網(wǎng)絡(luò)空間中發(fā)生了兩種多步攻擊活動，“消耗FTP (File TransferProtocol，文件傳輸協(xié)議)服務(wù)器磁盤空間的攻擊”和“遠程木馬植入攻擊”。兩種攻擊活動發(fā)生后，入侵檢測(可選的，本實施例中的入侵檢測設(shè)備為Snort，相應(yīng)的后續(xù)因果知識中的攻擊類型名稱也是Snort定義的)等安全設(shè)備生成如圖7所示的部分告警信息并上報。告警信息中的第2列和第3列分別是pluginID和pluginSID，二者一起決定了告警的攻擊類型；
[0098]2、基于IP地址相關(guān)性的告警聚類算法對圖7所示的告警信息進行聚類，產(chǎn)生如圖8所示的兩個類簇。其中第一個為“消耗FTP服務(wù)器磁盤空間”攻擊場景的對應(yīng)類簇，第二個為“遠程木馬植入”攻擊場景的對應(yīng)類簇；
[0099]3、基于馬爾可夫性質(zhì)的因果知識挖掘算法并行處理如圖8所示的兩個類簇，處理結(jié)束后對應(yīng)的生成兩個一步轉(zhuǎn)移概率矩陣，如圖9所示；
[0100]4、查找矩陣每一行和每一列對應(yīng)的攻擊類型名稱，繪制圖形化的馬爾可夫鏈因果知識，結(jié)果如圖10所示。其中圖10中的左圖為“消耗FTP服務(wù)器磁盤空間”攻擊場景的模板知識，從中可以看出此類攻擊場景一般都經(jīng)過了端口掃描、口令猜測(導(dǎo)致FTP認證失敗)、口令暴力破解以及大流量傳輸(導(dǎo)致Netflow異常)等幾個步驟。圖10中的右圖為“遠程木馬植入”攻擊場景的模板知識，此類攻擊場景一般都經(jīng)過了端口掃描、Telnet登陸嘗試、緩沖區(qū)溢出攻擊、木馬程序遠程安裝(告警類型為RSERVICES Rsh root)、木馬程序交互(告警類型為MstreanuZombie)等幾個步驟。將生成的兩個因果知識存入到因果知識庫中，供后續(xù)的告警實時關(guān)聯(lián)分析使用，以支撐攻擊場景的實時重構(gòu)等。
[0101]下面對本發(fā)明實施例提供的網(wǎng)絡(luò)攻擊場景的因果知識挖掘裝置進行介紹，下文描述的網(wǎng)絡(luò)攻擊場景的因果知識挖掘裝置與上文描述的網(wǎng)絡(luò)攻擊場景的因果知識挖掘方法可相互對應(yīng)參照。
[0102]圖11為本發(fā)明實施例提供的一種網(wǎng)絡(luò)攻擊場景的因果知識挖掘裝置的結(jié)構(gòu)框圖，該裝置可應(yīng)用于部署在網(wǎng)絡(luò)中的服務(wù)器中，參照圖11，該裝置可以包括:
[0103]接收模塊100，用于接收網(wǎng)絡(luò)中的安全設(shè)備在經(jīng)網(wǎng)絡(luò)攻擊后所上傳的告警信息；
[0104]聚類模塊200，用于按照告警信息所屬的攻擊場景對各告警信息進行聚類，形成多個類簇，一個類簇對應(yīng)一個攻擊場景；
[0105]分析挖掘模塊300，用于對各個類簇進行分析，挖掘出各個類簇對應(yīng)的攻擊場景的因果知識。
[0106]本發(fā)明實施例提供的網(wǎng)絡(luò)攻擊場景的因果知識挖掘裝置，具有較高的自動化程度，能夠?qū)θ娴木W(wǎng)絡(luò)攻擊場景進行有效的因果知識挖掘。
[0107]可選的，聚類模塊200的結(jié)構(gòu)可如圖12所示，包括:
[0108]類簇形成單元210，用于將IP地址具有相關(guān)性的告警信息所屬的攻擊場景確定為同一攻擊場景，將屬于同一攻擊場景的告警信息聚成一個類簇，形成多個類簇。
[0109]圖13示出了類簇形成單元210的一種可選結(jié)構(gòu)，參照圖13，類簇形成單元210可以包括:
[0110]判斷子單元211，用于判斷當前告警信息的源IP地址或目的IP地址是否與，已有類簇的告警信息的源IP地址或目的IP地址對應(yīng)；
[0111]加入子單元212，用于在判斷子單元211的判斷結(jié)果為是時，將所述當前告警信息加入到所述已有類簇中，所述已有類簇中的各告警信息具有時序關(guān)系；
[0112]新建子單元213，用于在判斷子單元211的判斷結(jié)果為否時，為所述當前告警信息建立一個新的類簇。
[0113]圖14示出了分析挖掘模塊300的一種可選結(jié)構(gòu)，參照圖14，分析挖掘模塊300可以包括:
[0114]一步轉(zhuǎn)移概率矩陣確定單元310，用于通過馬爾可夫性質(zhì)算法對各個類簇進行分析，對于各個類簇，按照類簇中的告警信息的時序關(guān)系，確定與各個類簇所屬的攻擊場景相對應(yīng)的一步轉(zhuǎn)移概率矩陣；
[0115]馬爾可夫鏈生成單元320，用于將各個類簇對應(yīng)的一步轉(zhuǎn)移概率矩陣轉(zhuǎn)換成對應(yīng)的圖形化的馬爾可夫鏈，一個馬爾可夫鏈對應(yīng)一個類簇所對應(yīng)的攻擊場景的因果知識。
[0116]圖15示出了一步轉(zhuǎn)移概率矩陣確定單元310的一種可選結(jié)構(gòu)，參照圖15，一步轉(zhuǎn)移概率矩陣確定單元310可以包括:
[0117]矩陣構(gòu)建子單元311，用于對于各個類簇，為各類簇構(gòu)建一個為空的轉(zhuǎn)移概率矩陣，按照類簇中的告警信息的時序關(guān)系，遍歷各個類簇中的各個告警信息；
[0118]第一加值子單元312，用于在某個類簇的相鄰的兩告警信息的時序存在接續(xù)關(guān)系，且該兩告警信息對應(yīng)的攻擊場景在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中時，在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中將該兩告警信息對應(yīng)的攻擊場景間的計數(shù)器加I ;
[0119]第二加值子單元313，用于在某個類簇的相鄰的兩告警信息的時序存在接續(xù)關(guān)系，且該兩告警信息對應(yīng)的攻擊場景不在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中時，在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中增加該兩告警信息對應(yīng)的攻擊場景所對應(yīng)的行和列，將該兩告警信息對應(yīng)的攻擊場景間的計數(shù)器加I ;
[0120]歸一處理子單元314，用于將各類簇所對應(yīng)的轉(zhuǎn)移概率矩陣進行歸一化處理，得到各類簇所屬的攻擊場景相對應(yīng)的一步轉(zhuǎn)移概率矩陣。
[0121 ] 本發(fā)明實施例還提供一種服務(wù)器，該服務(wù)器可以包括上述所述的網(wǎng)絡(luò)攻擊場景的因果知識挖掘裝置，對于該裝置的描述可參照上文圖11?圖15部分的描述，此處不再贅述。
[0122]本說明書中各個實施例采用遞進的方式描述，每個實施例重點說明的都是與其他實施例的不同之處，各個實施例之間相同相似部分互相參見即可。對于實施例公開的裝置而言，由于其與實施例公開的方法相對應(yīng)，所以描述的比較簡單，相關(guān)之處參見方法部分說明即可。
[0123]專業(yè)人員還可以進一步意識到，結(jié)合本文中所公開的實施例描述的各示例的單元及算法步驟，能夠以電子硬件、計算機軟件或者二者的結(jié)合來實現(xiàn)，為了清楚地說明硬件和軟件的可互換性，在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來執(zhí)行，取決于技術(shù)方案的特定應(yīng)用和設(shè)計約束條件。專業(yè)技術(shù)人員可以對每個特定的應(yīng)用來使用不同方法來實現(xiàn)所描述的功能，但是這種實現(xiàn)不應(yīng)認為超出本發(fā)明的范圍。
[0124]結(jié)合本文中所公開的實施例描述的方法或算法的步驟可以直接用硬件、處理器執(zhí)行的軟件模塊，或者二者的結(jié)合來實施。軟件模塊可以置于隨機存儲器(RAM)、內(nèi)存、只讀存儲器(ROM)、電可編程ROM、電可擦除可編程ROM、寄存器、硬盤、可移動磁盤、CD-ROM、或【技術(shù)領(lǐng)域】內(nèi)所公知的任意其它形式的存儲介質(zhì)中。
[0125]對所公開的實施例的上述說明，使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對這些實施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實施例中實現(xiàn)。因此，本發(fā)明將不會被限制于本文所示的這些實施例，而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)攻擊場景的因果知識挖掘方法，其特征在于，包括: 接收網(wǎng)絡(luò)中的安全設(shè)備在經(jīng)網(wǎng)絡(luò)攻擊后所上傳的告警信息； 按照告警信息所屬的攻擊場景對各告警信息進行聚類，形成多個類簇，一個類簇對應(yīng)一個攻擊場景； 對各個類簇進行分析，挖掘出各個類簇對應(yīng)的攻擊場景的因果知識。
2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述按照告警所屬的攻擊場景對各告警信息進行聚類，形成多個類簇，一個類簇對應(yīng)一個攻擊場景的過程包括: 將IP地址具有相關(guān)性的告警信息所屬的攻擊場景確定為同一攻擊場景，將屬于同一攻擊場景的告警信息聚成一個類簇，形成多個類簇。
3.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述將IP地址具有相關(guān)性的告警信息所屬的攻擊場景確定為同一攻擊場景，將屬于同一攻擊場景的告警信息聚成一個類簇，形成多個類簇包括: 判斷當前告警信息的源IP地址或目的IP地址是否與，已有類簇的告警信息的源IP地址或目的IP地址對應(yīng)； 若是，將所述當前告警 信息加入到所述已有類簇中，所述已有類簇中的各告警信息具有時序關(guān)系； 若否，為所述當前告警信息建立一個新的類簇。
4.根據(jù)權(quán)利要求2或3所述的方法，其特征在于，所述對各個類簇進行分析，挖掘出各個類簇對應(yīng)的攻擊場景的因果知識包括: 通過馬爾可夫性質(zhì)算法對各個類簇進行分析，對于各個類簇，按照類簇中的告警信息的時序關(guān)系，確定與各個類簇所屬的攻擊場景相對應(yīng)的一步轉(zhuǎn)移概率矩陣； 將各個類簇對應(yīng)的一步轉(zhuǎn)移概率矩陣轉(zhuǎn)換成對應(yīng)的圖形化的馬爾可夫鏈，一個馬爾可夫鏈對應(yīng)一個類簇所對應(yīng)的攻擊場景的因果知識。
5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述對于各個類簇，按照類簇中的告警信息的時序關(guān)系，確定與各個類簇所屬的攻擊場景相對應(yīng)的一步轉(zhuǎn)移概率矩陣包括: 對于各個類簇，為各類簇構(gòu)建一個為空的轉(zhuǎn)移概率矩陣，按照類簇中的告警信息的時序關(guān)系，遍歷各個類簇中的各個告警信息； 若某個類簇的相鄰的兩告警信息的時序存在接續(xù)關(guān)系，且該兩告警信息對應(yīng)的攻擊場景在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中，則在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中將該兩告警信息對應(yīng)的攻擊場景間的計數(shù)器加I ; 若某個類簇的相鄰的兩告警信息的時序存在接續(xù)關(guān)系，且該兩告警信息對應(yīng)的攻擊場景不在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中，則在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中增加該兩告警信息對應(yīng)的攻擊場景所對應(yīng)的行和列，將該兩告警信息對應(yīng)的攻擊場景間的計數(shù)器加I ; 將各類簇所對應(yīng)的轉(zhuǎn)移概率矩陣進行歸一化處理，得到各類簇所屬的攻擊場景相對應(yīng)的一步轉(zhuǎn)移概率矩陣。
6.一種網(wǎng)絡(luò)攻擊場景的因果知識挖掘裝置，其特征在于，包括: 接收模塊，用于接收網(wǎng)絡(luò)中的安全設(shè)備在經(jīng)網(wǎng)絡(luò)攻擊后所上傳的告警信息； 聚類模塊，用于按照告警信息所屬的攻擊場景對各告警信息進行聚類，形成多個類簇，一個類簇對應(yīng)一個攻擊場景；分析挖掘模塊，用于對各個類簇進行分析，挖掘出各個類簇對應(yīng)的攻擊場景的因果知識。
7.根據(jù)權(quán)利要求6所述的裝置，其特征在于，所述聚類模塊包括: 類簇形成單元，用于將IP地址具有相關(guān)性的告警信息所屬的攻擊場景確定為同一攻擊場景，將屬于同一攻擊場景的告警信息聚成一個類簇，形成多個類簇； 所述類簇形成單元包括: 判斷子單元，用于判斷當前告警信息的源IP地址或目的IP地址是否與，已有類簇的告警信息的源IP地址或目的IP地址對應(yīng)； 加入子單元，用于在所述判斷子單元的判斷結(jié)果為是時，將所述當前告警信息加入到所述已有類簇中，所述已有類簇中的各告警信息具有時序關(guān)系； 新建子單元，用于在所述判斷子單元的判斷結(jié)果為否時，為所述當前告警信息建立一個新的類簇。
8.根據(jù)權(quán)利要求6或7所述的裝置，其特征在于，所述分析挖掘模塊包括: 一步轉(zhuǎn)移概率矩陣確定單元，用于通過馬爾可夫性質(zhì)算法對各個類簇進行分析，對于各個類簇，按照類簇中的告警信息的時序關(guān)系，確定與各個類簇所屬的攻擊場景相對應(yīng)的一 步轉(zhuǎn)移概率矩陣； 馬爾可夫鏈生成單元，用于將各個類簇對應(yīng)的一步轉(zhuǎn)移概率矩陣轉(zhuǎn)換成對應(yīng)的圖形化的馬爾可夫鏈，一個馬爾可夫鏈對應(yīng)一個類簇所對應(yīng)的攻擊場景的因果知識。
9.根據(jù)權(quán)利要求8所述的裝置，其特征在于，所述一步轉(zhuǎn)移概率矩陣確定單元包括: 矩陣構(gòu)建子單元，用于對于各個類簇，為各類簇構(gòu)建一個為空的轉(zhuǎn)移概率矩陣，按照類簇中的告警信息的時序關(guān)系，遍歷各個類簇中的各個告警信息； 第一加值子單元，用于在某個類簇的相鄰的兩告警信息的時序存在接續(xù)關(guān)系，且該兩告警信息對應(yīng)的攻擊場景在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中時，在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中將該兩告警信息對應(yīng)的攻擊場景間的計數(shù)器加I ; 第二加值子單元，用于在某個類簇的相鄰的兩告警信息的時序存在接續(xù)關(guān)系，且該兩告警信息對應(yīng)的攻擊場景不在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中時，在該類簇對應(yīng)的轉(zhuǎn)移概率矩陣中增加該兩告警信息對應(yīng)的攻擊場景所對應(yīng)的行和列，將該兩告警信息對應(yīng)的攻擊場景間的計數(shù)器加I ; 歸一處理子單元，用于將各類簇所對應(yīng)的轉(zhuǎn)移概率矩陣進行歸一化處理，得到各類簇所屬的攻擊場景相對應(yīng)的一步轉(zhuǎn)移概率矩陣。
10.一種服務(wù)器，其特征在于，包括權(quán)利要求6-9任一項所述的網(wǎng)絡(luò)攻擊場景的因果知識挖掘裝置。
【文檔編號】H04L29/06GK103746961SQ201310681330
【公開日】2014年4月23日 申請日期:2013年12月12日 優(yōu)先權(quán)日:2013年12月12日
【發(fā)明者】馮學(xué)偉, 王東霞, 劉杰, 李津, 苗青, 龐玲 申請人:中國人民解放軍63928部隊