【摘 要】针对现有静态评估的漏洞威胁技术不能有效量化网络攻击危害的问题,提出一种基于告警关联的多步攻击意图识别方法。该方法通过告警数据的关联特点挖掘并还原攻击者的多步攻击序列,围绕攻击过程评估基础设施重要性和漏洞威胁探测攻击者意图,从而实现还原攻击场景、刻画攻击行为的目的。实验表明,与传统算法进行对比分析,在DARPA2000上验证了该算法对特定网络攻击场景的识别能力,且百分误差绝对值和均方误差绝对值均低于传统算法。由此可知,文中所述的结合漏洞威胁和基础设施重要性来关联攻击步骤能够有效解决攻击过程出现的虚假攻击问题,提升了网络多步攻击意图识别的准确性。
【关键词】告警关联;多步攻击;基础设施重要性;漏洞威胁评估
0 引言
对告警数据进行关联的手段可分为聚合关联(同类、相似的告警数据之间的关联)和多步关联(根据告警数据的序列实现不同攻击步骤之间的关联)。而多步关联能够实现攻击场景重建和发现攻击者的多步攻击意图,有利于网络管理者对网络攻击进行事前预防。所谓攻击意图识别是通过对现有的告警数据进行关联后预测攻击者的后续行动,从而为制定正确的安全防御措施提供决策支持。当前有很多研究者对告警数据关联进行了相关的研究,包括:Hata等人[1]提出了一种基于贝叶斯网络的电信网络告警关联方法,该方法通过使用基于警报生成时间、生成地点和警报类型的贝叶斯网络来关联考虑事件单元的警报,从而实现告警关联。Sato等人[2]基于参考网络拓扑提出精确报警关联和根本原因分析算法,该方法采用网络拓扑来增强基于规则的警报关联方法,从而提升告警关联的精度。Kotenko等人[3]提出一种复杂异构系统的告警事件关联方法,该方法在自动自适应关联事件过程中定义事件属性之间的各种关系,从而实