基于告警語義分析的物聯(lián)網(wǎng)攻擊行為研究方法

馬超

【摘 ?要】

針對(duì)物聯(lián)網(wǎng)原始告警數(shù)量龐大、告警語義級(jí)別低、數(shù)據(jù)孤立、關(guān)聯(lián)分析薄弱所導(dǎo)致的誤報(bào)率過高的問題，提出一種基于告警語義分析的物聯(lián)網(wǎng)攻擊行為研究方法。通過告警信息以及具體的網(wǎng)絡(luò)環(huán)境生成蘊(yùn)含脆弱連接關(guān)系、網(wǎng)絡(luò)連接關(guān)系的網(wǎng)絡(luò)行為攻擊圖，以圖形化模擬物聯(lián)網(wǎng)系統(tǒng)可能受到的所有攻擊路徑并識(shí)別系統(tǒng)的脆弱性;在采用聚類分析的方法對(duì)各種告警類型進(jìn)行分類的基礎(chǔ)上，采用深淺層關(guān)聯(lián)分析的方法，實(shí)現(xiàn)攻擊圖知識(shí)庫的構(gòu)建;最后，通過在線檢測(cè)告警行為，利用在線關(guān)聯(lián)實(shí)時(shí)告警模型，實(shí)現(xiàn)過濾告警冗余、告警實(shí)時(shí)分析以及提供語義級(jí)別更高的攻擊場(chǎng)景展現(xiàn)。提出的方法結(jié)合具體的網(wǎng)絡(luò)環(huán)境構(gòu)建攻擊圖知識(shí)庫，所以在一定程度上提升了告警過濾效果和告警準(zhǔn)確率，降低了管理者對(duì)攻擊者攻擊行為的檢測(cè)和告警分析的難度。

【關(guān)鍵詞】告警語義;攻擊圖知識(shí)庫;概率后綴樹

0 ? 引言

自從1999年，寶潔公司Kevin Ashton首次提出Internet of things后，物聯(lián)網(wǎng)便成為連接物理世界和數(shù)字虛擬世界的主要信息網(wǎng)絡(luò)。目前，物聯(lián)網(wǎng)在各領(lǐng)域隨處可見，包括智慧城市、工業(yè)制造、交通、醫(yī)療、農(nóng)業(yè)等領(lǐng)域。隨著物聯(lián)網(wǎng)的廣泛應(yīng)用，物聯(lián)網(wǎng)面臨著兩個(gè)最要的問題[1-3]：（1）海量的數(shù)據(jù)包含著個(gè)人隱私和其他重要信息，對(duì)網(wǎng)絡(luò)的安全性提出了更高的要求;（2）物聯(lián)網(wǎng)感知節(jié)點(diǎn)數(shù)量龐大且自我保護(hù)能力極為脆弱，極其容易受到暴力破解、偽造身份、路由攻擊、節(jié)點(diǎn)隱私泄露等手段的破壞，對(duì)物聯(lián)網(wǎng)的安全傳輸問題造成極大的影響。現(xiàn)有的物聯(lián)網(wǎng)分析技術(shù)主要采用數(shù)據(jù)融合以及各種數(shù)據(jù)統(tǒng)計(jì)技術(shù)和機(jī)器學(xué)習(xí)的方法。比如：采用概率或神經(jīng)網(wǎng)絡(luò)的方法實(shí)現(xiàn)物聯(lián)網(wǎng)攻擊行為的預(yù)測(cè)，這些方法都是利用告警之間的相似性來進(jìn)行告警分類和攻擊行為分析。雖然其在告警分類和告警過濾方面有較好的效果，能減少誤警數(shù)量、降低告警冗余度，但是不能有效地還原攻擊場(chǎng)景，更不能有效預(yù)測(cè)攻擊者的意圖。

為了解決物聯(lián)網(wǎng)由于攻擊所導(dǎo)致網(wǎng)絡(luò)安全的問題，本文提出了提出一種基于告警語義分析的物聯(lián)網(wǎng)攻擊行為研究方法。該方法結(jié)合具體的網(wǎng)絡(luò)環(huán)境實(shí)現(xiàn)攻擊路徑的圖形化和高語義級(jí)別攻擊場(chǎng)景告警信息的展現(xiàn)，實(shí)現(xiàn)了攻擊者意圖的預(yù)測(cè)，降低了攻擊行為的檢測(cè)和告警分析的難度。

1 ? 基于告警語義分析的物聯(lián)網(wǎng)攻擊行為方法

1.1 ?構(gòu)建網(wǎng)絡(luò)環(huán)境的攻擊圖

物聯(lián)網(wǎng)產(chǎn)生數(shù)量龐大、語義級(jí)別較低的告警信息，現(xiàn)有的網(wǎng)絡(luò)攻擊分析技術(shù)大多數(shù)是基于專家經(jīng)驗(yàn)和統(tǒng)計(jì)關(guān)聯(lián)規(guī)則來實(shí)現(xiàn)的，這種做法不僅導(dǎo)致網(wǎng)絡(luò)誤報(bào)頻發(fā)，還導(dǎo)致攻擊行為分析脫離網(wǎng)絡(luò)環(huán)境實(shí)際情況[4-5]。因此，本文在對(duì)告警行為進(jìn)行關(guān)聯(lián)時(shí)，充分考慮網(wǎng)絡(luò)告警信息、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、端口開放性、漏洞信息、節(jié)點(diǎn)重要性、脆弱性信息等網(wǎng)絡(luò)環(huán)境因素，將低語義級(jí)別的告警信息轉(zhuǎn)化成高級(jí)別的攻擊場(chǎng)景，生成蘊(yùn)含脆弱連接關(guān)系、網(wǎng)絡(luò)連接關(guān)系的網(wǎng)絡(luò)行為攻擊圖，能夠更有效地對(duì)告警信息進(jìn)行語義關(guān)聯(lián)分析。攻擊圖的自動(dòng)生成模型如圖1所示。

漏洞信息結(jié)合網(wǎng)絡(luò)拓?fù)淠軌蛲茢嗦┒达L(fēng)險(xiǎn)級(jí)聯(lián)傳播路徑，能夠?qū)ο到y(tǒng)整體的攻擊路徑進(jìn)行初級(jí)地模擬，實(shí)現(xiàn)漏洞風(fēng)險(xiǎn)量化。

告警信息是由于網(wǎng)絡(luò)入侵者的違規(guī)操作所導(dǎo)致的監(jiān)測(cè)模塊出現(xiàn)冗余的告警信息，本文在對(duì)語義級(jí)別較低的告警信息提取的基礎(chǔ)上，對(duì)引起告警信息的指標(biāo)和端口開放性的關(guān)聯(lián)關(guān)系構(gòu)建貝葉斯網(wǎng)絡(luò)，通過大量的告警數(shù)據(jù)獲取告警指標(biāo)在該網(wǎng)絡(luò)環(huán)境下的條件概率，初始識(shí)別木馬攻擊、病毒、Dos控制、誤操作等相關(guān)威脅。

在識(shí)別網(wǎng)絡(luò)環(huán)境初始威脅的基礎(chǔ)上，結(jié)合網(wǎng)絡(luò)脆弱性信息和系統(tǒng)中節(jié)點(diǎn)的重要性信息，構(gòu)建蘊(yùn)含脆弱連接關(guān)系、網(wǎng)絡(luò)連接關(guān)系的網(wǎng)絡(luò)行為攻擊圖[6-7]。

1.2 ?構(gòu)建攻擊圖知識(shí)庫

攻擊圖中的攻擊行為執(zhí)行，僅僅是一種從淺層語義的攻擊行為關(guān)聯(lián)。不同的在線檢測(cè)系統(tǒng)設(shè)置的攻擊行為的規(guī)則以及檢測(cè)重點(diǎn)不一致，因此會(huì)出現(xiàn)網(wǎng)絡(luò)攻擊行為的多米諾效應(yīng)，也就存在網(wǎng)絡(luò)攻擊行為A引發(fā)網(wǎng)絡(luò)攻擊行為B，網(wǎng)絡(luò)攻擊行為B也引發(fā)網(wǎng)絡(luò)攻擊行為A。這種網(wǎng)絡(luò)行為的多米諾效應(yīng)在很多程度增加了對(duì)告警分析處理的難度，因此，本文提出了基于深淺層關(guān)聯(lián)分析的攻擊圖知識(shí)庫構(gòu)建的方法，具體的構(gòu)建框架如圖2所示：

攻擊圖知識(shí)庫構(gòu)建的步驟包括：

首先，告警預(yù)處理。告警信息具有很大的冗余性，需要采用告警規(guī)范或者告警過濾方法對(duì)告警進(jìn)行預(yù)處理，減低告警信息的數(shù)量。

其次，采用一種聚類或者分類算法根據(jù)告警信息或者告警特征進(jìn)行數(shù)據(jù)融合，并基于每個(gè)攻擊行為階段性特征的不同，采用淺層關(guān)聯(lián)分析的方法實(shí)現(xiàn)攻擊行為階段性分類。基于海量告警信息進(jìn)行聚類分析依賴于聚類中心計(jì)算的迭代次數(shù)和聚類個(gè)數(shù)，本文基于特定攻擊場(chǎng)景淺層關(guān)聯(lián)方法對(duì)攻擊行為的階段性進(jìn)行分類，為攻擊圖知識(shí)庫的構(gòu)建提供基礎(chǔ)信息。

再次，提取攻擊行為的特征，并結(jié)合攻擊行為的序列進(jìn)行攻擊行為階段的淺關(guān)聯(lián)。

最后，利用概率后綴樹，采用相似性分析和攻擊行為映射的方法實(shí)現(xiàn)攻擊行為的強(qiáng)關(guān)聯(lián)。

1.3 ?基于攻擊圖知識(shí)庫的在線關(guān)聯(lián)實(shí)時(shí)告警

由于物聯(lián)網(wǎng)會(huì)在短時(shí)間發(fā)生高速、龐大的告警信息流，因此，采用傳統(tǒng)的對(duì)存儲(chǔ)的告警信息進(jìn)行離線分析的方法顯然存在問題，因此，基于攻擊圖知識(shí)庫的在線關(guān)聯(lián)實(shí)時(shí)告警模型能夠?qū)Ａ康母婢畔⑦M(jìn)行有效處理并有效過濾冗余警告，將警告進(jìn)行基于攻擊圖知識(shí)庫的攻擊行為分析后，最后實(shí)現(xiàn)攻擊場(chǎng)景的展現(xiàn)?；诠魣D知識(shí)庫的在線關(guān)聯(lián)實(shí)時(shí)告警模型如圖3所示：

首先，基于在線檢測(cè)模塊實(shí)現(xiàn)告警采集。通過網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和主機(jī)入侵檢測(cè)系統(tǒng)，對(duì)主機(jī)和網(wǎng)絡(luò)流量信息進(jìn)行動(dòng)態(tài)監(jiān)控，一旦發(fā)現(xiàn)異常，立即告警。

其次，基于告警信息的分析。告警分析模塊對(duì)在線檢測(cè)到的告警信息進(jìn)行預(yù)處理后，結(jié)合告警信息的時(shí)間序列進(jìn)行關(guān)聯(lián)分析，并將告警數(shù)據(jù)庫輸入到在線關(guān)聯(lián)實(shí)時(shí)告警模型中。

再次，在線關(guān)聯(lián)實(shí)時(shí)告警模型實(shí)現(xiàn)過濾冗余警告、告警分析結(jié)果、系統(tǒng)數(shù)據(jù)監(jiān)控。在利用在線關(guān)聯(lián)模塊對(duì)告警信息進(jìn)行處理之前，利用歷史告警信息、網(wǎng)絡(luò)脆弱性信息和網(wǎng)絡(luò)拓?fù)湫畔⑸删W(wǎng)絡(luò)攻擊圖。在此基礎(chǔ)上，考慮到告警信息冗余性以及其他噪音的影響到引發(fā)的攻擊行為多米諾式的效應(yīng)，因此在構(gòu)建攻擊圖知識(shí)庫的過程先利用基于K-means的告警融合及攻擊行為階段性分類，然后基于概率后綴樹攻擊行為深關(guān)聯(lián)，最終實(shí)現(xiàn)網(wǎng)絡(luò)行為攻擊知識(shí)庫的構(gòu)建。

最后，攻擊場(chǎng)景展現(xiàn)。攻擊場(chǎng)景展現(xiàn)包括兩個(gè)應(yīng)用，第一是基于攻擊路徑預(yù)測(cè)告警序列;第二是將當(dāng)前告警映射到攻擊圖中的攻擊路徑，進(jìn)而提供語義級(jí)別更高告警信息。

2 ? 實(shí)驗(yàn)分析

本文搭建一個(gè)實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境驗(yàn)證本文算法的有效性和正確性。按照現(xiàn)有的網(wǎng)絡(luò)環(huán)境、攻擊圖知識(shí)庫和在線關(guān)聯(lián)實(shí)時(shí)告警模型進(jìn)行實(shí)驗(yàn)系統(tǒng)的搭建，并以蜜網(wǎng)的相關(guān)網(wǎng)段進(jìn)行了多次攻擊實(shí)驗(yàn)，驗(yàn)證本文算法的可行性和告警關(guān)聯(lián)的準(zhǔn)確性。

物聯(lián)網(wǎng)攻擊分析模塊運(yùn)行在一個(gè)蜜網(wǎng)的后端，它以蜜網(wǎng)中主機(jī)上部署的多個(gè)的告警作為分析的數(shù)據(jù)源，由于蜜網(wǎng)實(shí)際上是一個(gè)非安全網(wǎng)絡(luò)，該實(shí)驗(yàn)蜜網(wǎng)實(shí)際上是被攻擊和被利用的資源集合。實(shí)驗(yàn)配置具體包含3個(gè)主機(jī)和2個(gè)服務(wù)器，以及2個(gè)防火墻和2個(gè)IDS。主機(jī)的配置為IntelCorei5-8400CPU@2.8GHz，雙核，2 T硬盤，操作系統(tǒng)為Windows10的主機(jī);選用MySql數(shù)據(jù)庫作為攻擊行為的存儲(chǔ)和處理;以開發(fā)工具PyCharm實(shí)現(xiàn)對(duì)數(shù)據(jù)的處理和算法的實(shí)現(xiàn)。

在攻擊檢測(cè)分析階段，本文對(duì)蜜網(wǎng)的相關(guān)網(wǎng)段進(jìn)行了多次不同類型的攻擊，產(chǎn)生了大量的告警信息，并通過特定的數(shù)據(jù)采集設(shè)備采集實(shí)驗(yàn)數(shù)據(jù)。

結(jié)合漏洞信息、端口信息、蜜網(wǎng)相關(guān)網(wǎng)段的網(wǎng)絡(luò)拓?fù)湫畔?、告警信息、系統(tǒng)脆弱信息以及網(wǎng)絡(luò)集群節(jié)點(diǎn)重要性信息，利用攻擊圖生成工具，生成蘊(yùn)含脆弱連接關(guān)系、網(wǎng)絡(luò)連接關(guān)系的網(wǎng)絡(luò)行為攻擊圖。

在生成攻擊圖的基礎(chǔ)上，通過將告警信息進(jìn)行一系列的預(yù)處理、告警聚類、以攻擊場(chǎng)景淺關(guān)聯(lián)后，采用概率后綴樹對(duì)攻擊行為進(jìn)行語義映射，形成具有深層語義的攻擊行為的攻擊知識(shí)庫。

在線關(guān)聯(lián)實(shí)時(shí)分析階段，基于在線檢測(cè)模型實(shí)現(xiàn)告警采集，利用攻擊圖知識(shí)庫的在線關(guān)聯(lián)實(shí)時(shí)告警模型實(shí)現(xiàn)告警信息的結(jié)果分析和系統(tǒng)數(shù)據(jù)的實(shí)時(shí)監(jiān)控。

在攻擊行為的展現(xiàn)與預(yù)測(cè)階段，實(shí)現(xiàn)基于攻擊路徑預(yù)測(cè)告警序列以及將當(dāng)前告警映射到攻擊圖中的攻擊路徑，進(jìn)而提供語義級(jí)別更高告警信息的展現(xiàn)。

根據(jù)本文的實(shí)驗(yàn)攻擊場(chǎng)景，對(duì)蜜網(wǎng)相關(guān)網(wǎng)段進(jìn)行多次攻擊，并適用傳統(tǒng)的告警分析程序和本文提出的基于攻擊知識(shí)庫的攻擊行為分析模型進(jìn)行對(duì)比，得到的一系列對(duì)比結(jié)果如表1所示。

對(duì)表1中的5個(gè)攻擊場(chǎng)景分別進(jìn)行了傳統(tǒng)告警分析和基于攻擊知識(shí)庫的攻擊行為分析，在相同的攻擊行為條件下，傳統(tǒng)告警分析和本文提出的基于攻擊知識(shí)庫的攻擊行為分析得到的過濾告警數(shù)量、告警關(guān)聯(lián)準(zhǔn)確率以及告警準(zhǔn)確率如表1所示。本文方法在過濾后告警占比相比于傳統(tǒng)方法高出約5%，這歸因于本文的兩個(gè)處理步驟：第一，本文采用網(wǎng)絡(luò)拓?fù)湫畔?、告警信息、系統(tǒng)脆弱信息以及網(wǎng)絡(luò)集群節(jié)點(diǎn)重要性信息，生成蘊(yùn)含脆弱連接關(guān)系、網(wǎng)絡(luò)連接關(guān)系的網(wǎng)絡(luò)行為攻擊圖，這種基于具體的網(wǎng)絡(luò)環(huán)境構(gòu)建攻擊圖知識(shí)庫，能夠在一定程度上反映攻擊者的真正意圖;第二，本文在構(gòu)建攻擊圖知識(shí)庫的過程中，采用基于K-means的告警融合及攻擊行為階段性分類，降低了由于告警信息冗余性以及其他噪音的影響到引發(fā)的攻擊行為多米諾式的效應(yīng)對(duì)告警信息產(chǎn)生的影響，從而提升了過濾冗余警告的能力。

除此之外，本文的告警關(guān)聯(lián)準(zhǔn)確率和告警準(zhǔn)確率均高于傳統(tǒng)的算法，這是因?yàn)楸疚脑趯?duì)告警分析時(shí)，采用了深淺層結(jié)合的方法，結(jié)合具體的網(wǎng)絡(luò)環(huán)境實(shí)現(xiàn)攻擊路徑的圖形化和高語義級(jí)別攻擊場(chǎng)景告警信息的展現(xiàn)，實(shí)現(xiàn)了攻擊者意圖的預(yù)測(cè)。通過淺層關(guān)聯(lián)，結(jié)合攻擊行為序列定義攻擊行為的階段;通過深層關(guān)聯(lián)，利用攻擊行為映射技術(shù)，實(shí)現(xiàn)攻擊行為強(qiáng)關(guān)聯(lián)，獲取攻擊行為的真正路徑。因此，本文提出的方法能更好地對(duì)告警進(jìn)行關(guān)聯(lián)分析，準(zhǔn)確率更高。

3 ? 結(jié)束語

本文提出了一種基于告警語義分析的物聯(lián)網(wǎng)攻擊行為研究方法，該方法解決的難點(diǎn)是如何對(duì)高速、海量的告警信息進(jìn)行實(shí)時(shí)的關(guān)聯(lián)分析。本文結(jié)合具體的網(wǎng)絡(luò)環(huán)境構(gòu)建網(wǎng)絡(luò)行為攻擊圖及深淺層關(guān)聯(lián)分析相結(jié)合的攻擊行為知識(shí)庫，并實(shí)現(xiàn)在線關(guān)聯(lián)實(shí)時(shí)告警。該方法在實(shí)驗(yàn)系統(tǒng)中取得了良好的告警過濾效果和告警準(zhǔn)確率，從實(shí)驗(yàn)效果可知，本文提出的模型能夠較為快速、準(zhǔn)確識(shí)別物聯(lián)網(wǎng)的各種攻擊行為，具有一定的擴(kuò)展性。

參考文獻(xiàn)：

[1] ? ? 江澤鑫. 電力物聯(lián)網(wǎng)信息安全防護(hù)技術(shù)研究[J]. 信息技術(shù)與網(wǎng)絡(luò)安全， 2020（1）： 31-37.

[2] ? ? 鈕鑫，楊小來. 物聯(lián)網(wǎng)系統(tǒng)安全威脅分析與研究[J]. 科技通報(bào)， 2019，35（5）： 132-137.

[3] ? ?楊陽，王利斌，馮磊，等. 以泛在電力物聯(lián)終端行為分析為核心的物聯(lián)網(wǎng)應(yīng)用安全管控思路及實(shí)現(xiàn)[J]. 電子世界， 2019（22）： 133-135.

[4] ? ? 胡雙雙. 基于蜜網(wǎng)的攻擊行為分析[D]. 北京： 北京郵電大學(xué)， 2015.

[5] ? ?胡文龍. 蜜網(wǎng)的數(shù)據(jù)融合與關(guān)聯(lián)分析的研究與實(shí)現(xiàn)[D]. 北京： 北京郵電大學(xué)， 2015.

[6] ? ?楊改貞. 基于置信度的網(wǎng)絡(luò)攻擊圖節(jié)點(diǎn)回流建模仿真[J]. 計(jì)算機(jī)仿真， 2019，36（9）： 338-341.

[7] ? 楊英杰，冷強(qiáng)，潘瑞萱，等. 基于屬性攻擊圖的動(dòng)態(tài)威脅跟蹤與量化分析技術(shù)研究[J]. 電子與信息學(xué)報(bào)， 2019，41（9）： 2172-2179.

[8] ? 方芳，王亞，王石，等. 基于語義分類和描述框架的網(wǎng)絡(luò)攻擊知識(shí)抽取研究及其應(yīng)用[J]. 中文信息學(xué)報(bào)， 2019，33（4）： 53-64.

[9] ? ?李可一. 基于報(bào)警關(guān)聯(lián)的多步攻擊場(chǎng)景挖掘方法的研究與實(shí)現(xiàn)[D]. 北京： 北京郵電大學(xué)， 2019.

[10] ?郭韜. 基于關(guān)聯(lián)分析的攻擊場(chǎng)景重構(gòu)算法研究[D]. 北京： 北京郵電大學(xué)， 2018.