基于贝叶斯网络的攻击事件智能发掘模型.pdf
《基于贝叶斯网络的攻击事件智能发掘模型.pdf》由会员分享,可在线阅读,更多相关《基于贝叶斯网络的攻击事件智能发掘模型.pdf(11页珍藏版)》请在咨信网上搜索。
1、第 21 卷 第 11 期2023 年 11 月太赫兹科学与电子信息学报Journal of Terahertz Science and Electronic Information TechnologyVol.21,No.11Nov.,2023基于贝叶斯网络的攻击事件智能发掘模型李岳峰,刘丹(电子科技大学 电子科学技术研究院,四川 成都 611731)摘要:针对目前传统入侵检测系统难以得出网络攻击行为之间存在的关联关系问题,以攻击图表示模型为指引,提出一种基于贝叶斯网络的攻击事件智能发掘模型。本文以先验知识建立贝叶斯攻击行为关联图。基于属性相似度聚合网络攻击行为,针对网络攻击场景设计高效的
2、Ex-Apriori 算法发掘攻击行为间的关联规则,并建立攻击行为组集。利用贝叶斯攻击行为关联图的参数对攻击行为组集进行计算,实现对攻击事件的发掘。实验表明,本模型能有效提取网络攻击事件及发现攻击路径,为网络攻击事件的发现与应对措施提供理论支持和技术支撑。关键词:网络攻击图;贝叶斯网络;关联分析;改进Apriori算法中图分类号:TN929.5 文献标志码:Adoi:10.11805/TKYDA2021291Intelligent mining model of attack events based on Bayesian networkIntelligent mining model of
3、 attack events based on Bayesian networkLI Yuefeng,LIU Dan(Research Institute of Electronic Science and Technology,University of Electronic Science and Technology of China,Chengdu Sichuan 611731,China)AbstractAbstract:It is difficult for traditional intrusion detection systems to obtain the relation
4、ship among network attack behaviors.Taking an attack graph representation model as a guide,an intelligent mining model of attack events based on Bayesian network is proposed.A Bayesian attack association graph is established based on prior knowledge.The network attack behaviors are aggregated based
5、on attribute similarity.An efficient Ex-Apriori algorithm is designed for network attack scenarios to discover the association rules among the attack behaviors,and the attack behavior group set is established.Finally,the attack behavior group set is calculated by using the parameters of the Bayesian
6、 attack association graph to realize the discovery of attack events.Experiments show that this model can effectively extract network attack events and discover attack paths,and provide theoretical and technical support for the discovery and countermeasures of network attack events.KeywordsKeywords:n
7、etwork attack graph;Bayesian network;association analysis;improved Apriori algorithm近年来,不断演变的网络威胁环境让网络攻击情况变得更为复杂,发起网络攻击的入侵者大多不再采用单一的攻击方式,而是在一段时间内通过多种攻击行为的相互配合来达到攻击目的。在攻击事件的发掘方面,ZHANG 等1对特定的时间窗口中的告警序列进行分析,然后提取时间窗口内的多阶段攻击行为进而发掘攻击事件,但是时间窗口大小无法确定导致发掘的攻击事件不完全;冯学伟等2面向原始告警数据,提出了一种基于 Markov 性质的发掘方法,通过对因果关系进
8、行建模并利用该方法提取攻击事件,但是该方法输入原始数据会导致检测精确度不高;陆江东等3采用 Apriori 算法对攻击事件进行关联发掘并取得了良好效果;刘文彦等4总结了不同的攻击事件发掘模型并分析了不同模型的攻击成功概率。在发现攻击路径方面,Kumar 等5分析攻击者可利用的资源构建攻击树进而分析攻击路径;Gadyatskaya 等6利用 ADTool 构建攻击树便于对网络攻击进行可视化分析;Bopche 等7研究动态网络与攻击路径随时间变化的规律;胡浩等8提出基于吸收 Markov 链的攻击路径预测方法,利用节点的被攻击次数和攻击路径长度的期望值来预测攻击步骤;Katarya 等9通过对系统
9、漏洞进行评估,在提高安全性的同时也构建了存在的攻击路径,但是在真实环境中测试效果不佳。以上几种方法没有深入考虑攻击行为的关联关系,这也导致攻击路径中的一些节点文章编号:2095-4980(2023)11-1370-11收稿日期:2021-07-20;修回日期:2021-09-02第 11 期李岳峰等:基于贝叶斯网络的攻击事件智能发掘模型出现偏差。在攻击图的研究方面,Noel 等10通过关联事件计算对应的攻击图距离;Liu 等11分析告警日志并使用维特比方法构建攻击图从而实现攻击意图识别;杨豪璞等12研究面向多阶段攻击的攻击图构建与攻击场景关联方法;Yi 等13提出了自动分析网络安全风险并为潜在
10、攻击生成攻击模型的框架;王洋等14通过研究攻击图来识别网络入侵的意图。不过,上述几种方法受限于网络规模。在基于贝叶斯网络分析网络攻击方面,Poolsappasit 等15结合贝叶斯网络与攻击图提出一种适用于动态分析的风险评估模型,该方法也将资源可用性用于分析,但是其算法效率不高;Hu 等16提出了一种关于贝叶斯攻击图的自适应网络防御的算法,实现了安全风险量化;Matthews 等17提出了循环贝叶斯攻击图,能较好地评估攻击者意图,但是该方法仅限于计算单个状态转移概率,无法计算综合转移概率。以上 3 种方法证明贝叶斯网络在分析网络攻击方面能取得较好的效果。针对以上问题,本文提出一种基于贝叶斯攻击
11、行为关联图(Bayesian Attack Association Graph,BAAG)生成算法与 Ex-Apriori 算法的两阶段攻击事件智能发掘模型(Two-Stage Attack Event Intelligent Mining Model,TAEIM),主要做了如下工作:1)模型的第 1 阶段基于贝叶斯网络与攻击行为关联函数构建贝叶斯攻击行为关联图,通过攻击行为关联函数对包含攻击行为序列的 CICIDS2017 数据集进行处理,再使用 BAAG 生成算法得到攻击行为之间转移的综合概率,并进一步得到贝叶斯攻击行为关联图的详细参数分布,为后续阶段精确发现攻击路径中的各个节点提供可靠图
12、模型。2)模型的第 2 阶段针对网络攻击场景设计了高效的 Ex-Apriori 算法,使用基于属性相似度聚合攻击行为的方法与 Ex-Apriori 算法对实际环境下的网络攻击数据集进行处理,剔除非频繁项集,能有效应对大规模网络,同时将攻击行为属性作为参考,发现攻击行为间的关联规则并建立攻击行为组集。最后将贝叶斯攻击行为关联图的参数与攻击行为组集进行计算,以此将不同的攻击行为连接成为置信度更高的攻击序列,达到发掘完整攻击事件的目的,并为进一步发现攻击路径提供支撑。1攻击事件相关定义攻击事件发掘的基础是其递进式的攻击方式,相关定义如下:定义 1:网络攻击行为(Attack Behavior,Ab)
13、网络攻击行为是形如Ab=(timestamp Protocol sIP dIP sPort dPort msg)的七元组,其中timestamp表示这个攻击行为的时间戳,Protocol表示攻击行为的网络包协议类型,sIP、dIP、sPort、dPort分别表示源 IP 地址、目的 IP地址、源端口和目的端口,msg 表示攻击名称。定义 2:网络攻击阶段(Attack Stage,AS)通过对网络攻击行为的不同特征进行分类可以将 AS 分为 5 个部分,分别为:信息收集阶段、入侵提权阶段、潜伏扩展阶段、数据窃取阶段、攻击退出阶段。Abij表示 AS 中 i 阶段的第 j 个网络攻击行为。定义
14、3:网络攻击事件(Attack Event,AE)网络攻击事件是将若干个网络攻击行为根据时间顺序或者逻辑顺序构建的一个完整的网络攻击流程,可以用向量AE=Ab11Ab21Abmn表示。定义 4:攻击行为组集(Attack Group,AG)攻击行为组集由若干个包含多个网络攻击行为的集合所组成,且对于任意AE,均有AE AG。定 义 5:攻 击 行 为 全 集 合(Attack Collection,AC)攻击行为全集合由多个攻击行为组集AG组成,且对于任意AG,均有AG AC。网络攻击行为、网络攻击阶段与网络攻击事件三者对应的关系如图 1 所示,图中左侧文字表示不同的网络攻击阶段,右侧的单个圆
15、为单个网络攻击行为,例如 Ab11代表信息收集阶段的第 1 个攻击行Ab11Ab21Ab12Ab22Ab23Ab41Ab31Ab51Ab32information gatheringlatent expansionattack exitdata theftAb33Ab42invasion and privilegeescalatingFig.1 Relationship among attack behavior,attack stage and attack event图1 网络攻击行为、网络攻击阶段、网络攻击事件的关系1371太赫兹科学与电子信息学报第 21 卷为,图中所有的网络攻击行为构
16、成了攻击行为全集合,箭头代表不同的攻击行为之间存在的攻击顺序关系,多个互不相同的攻击行为顺序组合形成了攻击行为组集,图中由实线连接的向量集合Ab11Ab21Ab31Ab41Ab51表示1 个攻击事件。2TAEIM 模型本节详细介绍了 TAEIM 模型,首先说明了模型结构,包括模型 2 个阶段的处理流程,然后描述了 BAAG 算法的具体实现过程,并介绍了基于 Ex-Apriori 算法提取攻击行为组集与关联规则的方法,最后通过 TAEIM 模型实现对攻击事件的发掘。2.1 模型结构TAEIM 模型由两阶段组成。在第 1 阶段首先使用攻击行为关联函数对包含先验知识的数据集进行处理,并基于 BAAG
17、 生成算法构建贝叶斯攻击行为关联图,作为后续阶段的输入。在第 2 阶段首先收集网络攻击行为并进行预处理,采用基于属性相似度聚合的方法将收集的攻击行为进行相似度判断并删除冗余信息,得到攻击行为全集合,接着使用 Ex-Apriori 算法发现攻击行为间的关联规则,从而获取攻击行为组集。最后将已构建的贝叶斯攻击行为关联图与攻击行为组集进行匹配与计算,对于存在映射关系的攻击行为组集,发掘出完整的攻击事件,TAEIM 模型如图 2 所示。2.2 BAAG 生成算法贝叶斯网络和攻击事件同属于有向无环图,图中的边代表相连的 2 个节点存在因果关系,因此基于该特点可以将攻击事件的整个流程以贝叶斯网络的形式展示
18、,生成基于贝叶斯网络的攻击行为关联图。2.2.1 基本定义构建贝叶斯攻击行为关联图之前,首先对相关要素进行定义:定义 6:贝叶斯攻击行为关联图(BAAG)是由多个网络攻击行为组成的网络拓扑结构,表示为BAAG=(GE),具体定义如下:1)G为节点集合,每一个节点代表一个网络攻击行为,表示为G=Ab11 Ab21 Abmn。2)E为有向边集合,表示图中不同节点之间的转移概率,用E=ei|i=12k表示。定义 7:概率分布表(Conditional Probability Table,CPT)extract attack eventsNattack event extraction algorit
19、hmIDSBAAG generation algorithmattack flow in real environmentaggregate data based on attribute similarityattack groupthe second stage:Ex-Apriori layerthe first stage:Bayesian networkassociation layerdata set containing attackpreprocessed dataBayesianattackassociationgraph use attack behavior correla
20、tion function calculationpretreatmentassociation of attacks based on Ex-ApriorialgorithmFig.2 TAEIM model图2 TAEIM模型1372第 11 期李岳峰等:基于贝叶斯网络的攻击事件智能发掘模型表示了在贝叶斯攻击行为关联图中,父节点向其不同子节点转移的概率分布。定义 8:概率转移矩阵(Transition Probability Matrix,TPM)将所有概率分布表中的数据用概率转移矩阵表示,横向和纵向表示的是攻击行为,矩阵中每一个值表示从横向攻击行为到纵向攻击行为的转移概率,如图 3 所示
21、,其中 Pi代表转移概率。2.2.2 构建贝叶斯攻击行为关联图构建贝叶斯攻击行为关联图分为 3 个步骤,分别是数据集预处理、攻击行为关联度计算、BAAG 生成。第 1 步的数据集预处理需要对重复或者无用的数据进行删除,此步骤主要为了降低后续处理冗余数据所造成的资源浪费。第 2 步的攻击行为关联度计算是基于攻击行为关联函数(Attack Behavior Correlation Function,AF)来对数据集中的攻击行为对添加参数。第 3 步使用 BAAG 生成算法生成贝叶斯攻击行为关联图,此步骤是构建 TAEIM 模型第一阶段的主要部分。AF 函数主要通过计算 2 个攻击行为在不同属性上的
22、关联度来得出总的关联程度,描述如下:F(AbijAbmn)=ikkFk()AbijAbmn(1)式中:Abij,Abmn为 2 个攻击行为;k为第 k 个属性的权重;Fk(AbijAbmn)为第 k 个属性的关联度函数,攻击行为关联度的属性包括攻击行为、IP、时间戳。对于攻击行为属性关联度,首先要将攻击行为基于攻击阶段分类,然后对于 2 个攻击行为Abij,Abmn,其攻击行为关联度为:FAb_msg(AbijAbmn)=1/210 =0(2)=(AbijAbmn)(3)式中(AbijAbmn)为 2 个攻击行为所属网络攻击阶段的差值。对于 IP 的属性关联度,IP 作为网络中的地址认证,在攻
23、击行为关联度的计算中极为重要,采用式(5)来定义2 个攻击行为之间 IP 地址的关联度:FAb_IP(AbijAbmn)=maxA(sIPijsIPmn)A(dIPijdIPmn)(4)A(IPijIPmn)=ihhePB(5)式中:A(IPijIPmn)为Abij与Abmn两个攻击行为的 IP 关联程度;h为 IP 地址中按字节顺序排列的部分的相同程度;P 为 IP 地址中按字节排序的位置;B 为 IP 地址的总字节数。对于时间戳的属性关联度,在包含多阶段攻击行为的攻击事件中,若 2 个攻击行为所处的攻击阶段相同,则时间间隔T 相对较短,对于处在不同攻击阶段的 2 个攻击行为,T 可能大得多
24、。因此将时间戳属性的关联度函数定义如下:FAb_time(AbijAbmn)=e1DT+1(6)DT=|T(Abij)-T(Abmn)|(7)Fig.3 Transition probability matrix图3 转移概率矩阵1373太赫兹科学与电子信息学报第 21 卷式中:T(Abij)为Abij发生的时间;T(Abmn)为Abmn发生的时间。利用AF函数可以得出任意 2 个攻击行为的关联度,进一步可以基于贝叶斯网络构建贝叶斯攻击行为关联图,从而为 TAEIM 模型的第 2 阶段提供可靠的图模型,BAAG 生成算法如下:2.3 基于 Ex-Apriori 算法的攻击行为组集提取Ex-Ap
25、riori 算法是针对 Apriori 算法在网络攻击场景下效率低下且精确度不高的问题而设计的。通过拆分数据集提高处理效能,对攻击行为全集合设置合适的支持度来不断提取频繁项集,同时利用置信度进一步筛选得到攻击行为间的关联规则,其后使用提升度得到具有不同的相关性的各类频繁项集,最后通过对项集进行剪枝获取攻击行为组集。2.3.1 要素定义关于 Ex-Apriori 算法的要素定义如下:定义 9:支持度(Support)支持度表示关联的数据集合在 AC 中出现的次数 N 在 AC 中所占的比例,对于关联的集合AbijAbmn,其对应的支持度如式(8)所示。Support(AbijAbmn)=N(Ab
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 贝叶斯 网络 攻击 事件 智能 发掘 模型
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。