本發明公開了一種網絡安全狀態評估和攻擊預測方法，其步驟包括：1)從設定觀測周期內入侵檢測系統IDS產生的警報中選擇具有代表性的IDS警報，并將所選每一代表性IDS警報作為一攻擊步驟；將屬于同一類攻擊的代表性IDS警報按照時間順序排列，得到該類攻擊的攻擊步驟序列；2)分別從每類攻擊的攻擊步驟序列中提取攻擊事件；3)利用從第m類攻擊的攻擊步驟序列中所提取的攻擊事件生成訓練序列訓練馬爾可夫模型HMM，保存每一訓練后的HMM及對應的訓練序列S；4)對于一觀察序列，將該觀察序列與各HMM對應的訓練序列S進行匹配，選擇最匹配的HMM；然后將該觀察序列輸入該最匹配的HMM，評估該觀察序列對應的網絡安全狀態。

技術領域

本發明涉及一種基于半馬爾科夫條件隨機場的網絡安全狀態評估和攻擊預測方法，屬于計算機網絡安全技術領域。

背景技術

多步攻擊是一種目前常見的網絡攻擊形式，它由同一攻擊者為達到特定目標而執行的一組相關惡意活動組成。由于攻擊者攻擊計算機系統和網絡所使用的技術極其復雜，已經開發了許多技術，例如入侵檢測系統(IDS)來檢測攻擊。隨著網絡的復雜性和規模的增長，IDS產生了大量的警報數據。一般而言，一個攻擊階段包括幾個相關聯的攻擊事件。本發明可以分析這些海量的IDS警報數據，識別并提取有關攻擊事件的信息，這樣的信息可用于安全狀態評估和攻擊預測。這類技術使得管理員能夠在網絡受到威脅之前執行主動響應來做出反應。

這類技術都基于對歷史數據進行學習。但是IDS生成的警報中存在大量無關信息和誤報，這會影響安全狀態評估和攻擊預測的準確性。同時，細粒度的原始警報并不能完全反映攻擊的步驟和階段。在這種情況下，有必要預處理數據，提取代表性警報并關聯屬于同一“攻擊事件”的警報。這樣，可以提高警報的有效性，并且可以降低模型訓練的成本。[HaoHu,Yuling?Liu,Hongqi?Zhang,and?Yuchen?Zhang.“Security?Metric?Methods?forNetwork?Multistep?Attacks?Using?AMC?and?Big?Data?Correlation?Analysis.”Security?and?Communication?Networks,2018.]基于IP地址的相關性實現了警報相關性分析。[P.Holgado,V.A.Villagráand?L.Vázquez,“Real-Time?Multistep?AttackPrediction?Based?on?Hidden?Markov?Models.”IEEE?Transactions?on?Dependable?andSecure?Computing,vol.17,no.1,pp.134-147,1Jan.-Feb.2020.]將IDS警報信息與基于CVE漏洞信息構建的數據庫相匹配，從而關聯IDS警報

除警報提取外，還需要模型來評估安全狀態并預測攻擊。[Y.Zhang,D.Zhao,andJ.Liu,“The?Application?of?Baum-Welch?Algorithm?in?Multistep?Attack.”TheScientific?World?Journal,2014.]提出了一種基于隱馬爾可夫模型的方法來預測攻擊階段。[Udaya?Sampath?K.Perera?Miriya?Thanthrige,Jagath?Samarabandu,and?XianbinWang.“Intrusion?Alert?Prediction?Using?a?Hidden?Markov?Model.”arxiv:1610.07276,2016.]使用隱馬爾可夫模型(HMM)來預測下一個警報類型和類別。

基于IP地址的相關性或基于CVE信息均不能充分利用原始警報的信息，也沒有考慮多步驟攻擊情形中警報之間的上下文信息，從而導致提取的警報質量較差，導致后續安全評估及攻擊預測不夠準確、全面。