張冬芳 張茹 李斯祺

摘 要：針對(duì)當(dāng)前入侵檢測(cè)的攻擊警報(bào)誤報(bào)率高、關(guān)聯(lián)性差的問題，設(shè)計(jì)一種基于多維度的IDS警報(bào)誤報(bào)消除算法，利用粗糙集理論設(shè)計(jì)一種新型警報(bào)聚合算法，通過改進(jìn)警報(bào)因果關(guān)聯(lián)算法，提出新型警報(bào)關(guān)聯(lián)算法，簡(jiǎn)化原有關(guān)聯(lián)算法的復(fù)雜度，提高警報(bào)關(guān)聯(lián)的效率，為持續(xù)性網(wǎng)絡(luò)攻擊（如APT攻擊）分析提供數(shù)據(jù)支撐。

關(guān)鍵詞：誤報(bào)消除；關(guān)聯(lián)分析；聚合算法

中圖分類號(hào)：TP393.0 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： Aiming at the problems of high false alarm rate and poor correlation of attack alerts in intrusion detection， a multi-dimension IDS false alarm cancellation algorithm is designed， a new alarm aggregation algorithm is designed based on rough set theory， and a new alarm association algorithm is proposed based on the improving causal association algorithm， which makes the original association algorithm simpler and more effective. The new association algorithm can provide the data support for the APT attacks.

Key words： false alarm cancellation； association analysis； aggregation algorithm

1 引言

當(dāng)前的網(wǎng)絡(luò)安全防護(hù)，主要通過訪問控制、身份認(rèn)證、數(shù)據(jù)加密、邊界防護(hù)和入侵檢測(cè)技術(shù)等措施實(shí)現(xiàn)，網(wǎng)絡(luò)中部署的安全設(shè)備，如防火墻或入侵檢測(cè)系統(tǒng)（IDS）等用以檢測(cè)或防止各種網(wǎng)絡(luò)攻擊行為，但很多入侵檢測(cè)系統(tǒng)只能對(duì)攻擊過程中的單個(gè)攻擊行為產(chǎn)生報(bào)警，展示的是系統(tǒng)所檢測(cè)到的原始事件，不能展示隱藏在這些原始事件背后的關(guān)聯(lián)關(guān)系和最終意圖，因此如何在大量無(wú)用的告警之中提取出關(guān)鍵信息，并且將孤立的警報(bào)進(jìn)行關(guān)聯(lián)分析，使其更精確、更全面地反映出網(wǎng)絡(luò)的安全狀態(tài)，也是目前的研究熱點(diǎn)之一。

基于此，論文以IDS產(chǎn)生的告警日志作為研究對(duì)象，針對(duì)IDS產(chǎn)生的告警信息誤報(bào)較多，且警報(bào)間無(wú)明確關(guān)聯(lián)信息等問題，開展警報(bào)的誤報(bào)消除、警報(bào)聚合和警報(bào)關(guān)聯(lián)技術(shù)研究，對(duì)警報(bào)進(jìn)行多維度特征消除誤報(bào)，結(jié)合粗糙集理論和因果關(guān)聯(lián)算法實(shí)現(xiàn)警報(bào)聚合和關(guān)聯(lián)分析，從而為持續(xù)性網(wǎng)絡(luò)攻擊（如APT攻擊）分析提供數(shù)據(jù)基礎(chǔ)。

2 技術(shù)思路

目前，在基于IDS日志檢測(cè)持續(xù)性網(wǎng)絡(luò)攻擊方面，大部分的IDS只能對(duì)單步的攻擊進(jìn)行報(bào)警，并且IDS告警信息誤報(bào)多。基于此，針對(duì)IDS產(chǎn)生的告警信息誤報(bào)較多，且警報(bào)間無(wú)明確關(guān)聯(lián)信息等問題，通過統(tǒng)計(jì)、分析IDS告警日志，利用誤報(bào)和真實(shí)警報(bào)的特征區(qū)別，設(shè)計(jì)一種IDS警報(bào)誤報(bào)消除算法，消除警報(bào)中的大部分誤報(bào)；利用粗糙集理論，設(shè)計(jì)一種新型警報(bào)聚合算法，通過對(duì)警報(bào)從多個(gè)維度不同層次進(jìn)行聚合，提高警報(bào)聚合方法的精確度；通過改進(jìn)警報(bào)因果關(guān)聯(lián)算法，提出新型警報(bào)關(guān)聯(lián)算法，簡(jiǎn)化原有關(guān)聯(lián)算法的復(fù)雜度，提高警報(bào)關(guān)聯(lián)的效率。

3 算法實(shí)現(xiàn)

3.1 誤報(bào)消除算法研究

IDS產(chǎn)生的告警日志存在大量的重復(fù)報(bào)警，如果不加處理直接進(jìn)行關(guān)聯(lián)分析，將會(huì)浪費(fèi)大量的資源和時(shí)間，而且會(huì)影響關(guān)聯(lián)分析結(jié)果的準(zhǔn)確度。對(duì)IDS告警日志進(jìn)行安全特點(diǎn)分析后發(fā)現(xiàn)，相關(guān)或相似的警報(bào)在警報(bào)密度、周期性以及時(shí)間長(zhǎng)度上具有很強(qiáng)的關(guān)聯(lián)性。因此，論文在對(duì)大量真實(shí)警報(bào)和誤報(bào)進(jìn)行特征分析的基礎(chǔ)上，分別從三個(gè)維度對(duì)IDS警報(bào)進(jìn)行特征提取和分類分析，從而實(shí)現(xiàn)對(duì)IDS警報(bào)的誤報(bào)消除，為后續(xù)警報(bào)聚合和關(guān)聯(lián)分析做好數(shù)據(jù)基礎(chǔ)。

3.2 警報(bào)聚合算法研究

當(dāng)前聚合算法種類繁多，然而在實(shí)際運(yùn)用中發(fā)現(xiàn)，隨著IDS的不斷演變，以及攻擊類型和復(fù)雜度的不斷變化，IDS警報(bào)出現(xiàn)的屬性分類也不斷變化，因此單一的屬性相似度已經(jīng)無(wú)法滿足警報(bào)聚合的要求，論文基于粗糙集理論設(shè)計(jì)基于相似度的警報(bào)分層聚合算法，使警報(bào)聚合算法更適合APT等復(fù)雜攻擊的階段性特征。

對(duì)于APT攻擊場(chǎng)景重構(gòu)來(lái)說，聚合算法必須盡可能將一步攻擊行為的多個(gè)警報(bào)聚合在一起，但是傳統(tǒng)基于粗糙集的算法無(wú)法完成這一任務(wù)。這主要是因?yàn)樵趥鹘y(tǒng)粗糙集算法中對(duì)警報(bào)的時(shí)間屬性采用了分片的處理方式，聚合算法只會(huì)對(duì)數(shù)秒的時(shí)間切片內(nèi)的警報(bào)進(jìn)行，但是對(duì)于一般的攻擊來(lái)說單步行動(dòng)并不一定會(huì)在數(shù)秒中完成，而且一步行動(dòng)可能會(huì)跨越兩個(gè)時(shí)間切片，這就導(dǎo)致傳統(tǒng)算法只是減少了警報(bào)數(shù)量，而無(wú)法真正做到將一步攻擊行為的多個(gè)警報(bào)聚合在一起。

針對(duì)該問題，論文通過某種時(shí)間處理方式來(lái)改進(jìn)基于粗糙集的聚合算法，并以此算法為基礎(chǔ)，在實(shí)施過程中加入分層考慮特征屬性值的模塊。通過在不同的屬性上，依據(jù)不同聚合方法來(lái)對(duì)警報(bào)信息進(jìn)行聚合。在發(fā)揮基于屬性相似度警報(bào)聚合方法原有優(yōu)勢(shì)外，規(guī)避掉其聚合方法單一的問題，提高聚合準(zhǔn)確度。

通常IDS產(chǎn)生的警報(bào)具有“開始時(shí)間”和“持續(xù)時(shí)間”兩個(gè)屬性，如圖2所示。

圖2中，t1s、t2s分別表示警報(bào)1和警報(bào)2的開始時(shí)間，t1d、t2d分別表示警報(bào)1和警報(bào)2的結(jié)束時(shí)間，當(dāng)t2s-（t1s+t1d）小于閾值tth時(shí)，判定兩個(gè)警報(bào)可以進(jìn)行聚合。

其中ti為某一類警報(bào)中所有可能出現(xiàn)的間隔，ni表示ti間隔出現(xiàn)的次數(shù)。

這里為tth設(shè)定了tMAX（一般tMAX=60）的上限，主要是考慮到如果攻擊者在某一步中采用腳本攻擊的基礎(chǔ)上又對(duì)攻擊結(jié)果進(jìn)行分析時(shí)，會(huì)對(duì)警報(bào)的時(shí)間間隔造成影響，從而使得本不應(yīng)該聚合的警報(bào)發(fā)生了聚合。

論文改進(jìn)粗糙集算法，判定只有滿足時(shí)間閾值和相似度閾值兩個(gè)條件的警報(bào)之間才進(jìn)行聚合，既保證了警報(bào)之間的相似性，又能使單步行為的多個(gè)警報(bào)不會(huì)被時(shí)間切片分割，這就保證了盡可能地將一步攻擊行為的多個(gè)警報(bào)聚合在一起。

基于屬性相似度將IDS警報(bào)分為四層：

第一層，根據(jù)告警日志的源IP地址將警報(bào)數(shù)據(jù)進(jìn)行聚類，可分為五大類；

第二層，在IP地址聚類內(nèi)部根據(jù)攻擊類型進(jìn)行聚類；

第三層，在每一個(gè)類型聚類內(nèi)進(jìn)行屬性相似度計(jì)算，根據(jù)計(jì)算結(jié)果繼續(xù)聚合；

第四層，通過計(jì)算不同的警報(bào)聚類之間的攻擊距離，將小于設(shè)定閾值的警報(bào)關(guān)聯(lián)到一起，形成新的聚類，如圖3為算法步驟。

3.3 警報(bào)關(guān)聯(lián)算法研究

在APT等復(fù)雜網(wǎng)絡(luò)攻擊中，通常下一步攻擊需要上一步攻擊所獲得的權(quán)限或信息，因此多步攻擊的攻擊步驟必然在時(shí)間上有先后順序，因此“時(shí)間順序”是警報(bào)的內(nèi)在聯(lián)系之一。但是只依靠時(shí)間順序?qū)瘓?bào)進(jìn)行關(guān)聯(lián)會(huì)存在問題：警報(bào)中含有不同攻擊者對(duì)不同目標(biāo)發(fā)起的攻擊，如果只按照時(shí)間順序進(jìn)行關(guān)聯(lián)，得到的關(guān)聯(lián)結(jié)果仍然是混亂且沒有任何意義的。論文研究一種反向因果關(guān)聯(lián)算法，通過確定攻擊者和攻擊目標(biāo)的關(guān)系保證關(guān)聯(lián)結(jié)果的準(zhǔn)確性。它與因果關(guān)聯(lián)算法的區(qū)別在于，它在進(jìn)行關(guān)聯(lián)時(shí)，是首先從攻擊的最后一步開始，一步一步往前溯源，直到找到最開始的一條攻擊，這樣做的好處是提高了因果關(guān)聯(lián)的效率，優(yōu)化了因果關(guān)聯(lián)的時(shí)間復(fù)雜度和空間復(fù)雜度。

反向因果關(guān)聯(lián)算法的分為幾個(gè)步驟。

第一步：根據(jù)常見的多步攻擊可以將攻擊類型分為：掃描類攻擊、漏洞利用類攻擊、權(quán)限提升類攻擊、拒絕服務(wù)類攻擊四種，如圖4所示，這四種攻擊從時(shí)間和邏輯上是有一定先后關(guān)系的，因此可以作為關(guān)聯(lián)分析的基礎(chǔ)。

第二步：將警報(bào)中的各項(xiàng)警報(bào)按照這四類進(jìn)行歸類。如將ICMP_Ping_Sweep攻擊、IP_Sweep攻擊、Port_Sweep攻擊等歸類在掃描類攻擊里，將SQL注入、XSS注入、弱口令登錄等歸類在漏洞利用類攻擊里。

第三步：根據(jù)分類好的警報(bào)，先從最后的拒絕服務(wù)類攻擊開始，選擇Alert a，然后利用因果關(guān)聯(lián)分析的方法，在設(shè)定的時(shí)間范圍內(nèi)選擇權(quán)限提升類攻擊中的警報(bào)Alert b，Alert b滿足其攻擊結(jié)果與Alert a的攻擊前提是相匹配的。找到此Alert b后，再在設(shè)定的時(shí)間閾值范圍內(nèi)從漏洞利用類里面匹配攻擊結(jié)果與Alert b的攻擊前提相匹配的警報(bào)，以此類推，直到找到再掃描類攻擊里所匹配的警報(bào)，完成一次關(guān)聯(lián)分析。

4 結(jié)束語(yǔ)

警報(bào)分析是攻擊場(chǎng)景挖掘和安全態(tài)勢(shì)評(píng)估的基礎(chǔ)。課題綜合利用多種數(shù)學(xué)理論和深度學(xué)習(xí)算法改進(jìn)誤報(bào)消除算法、警報(bào)聚合算法和警報(bào)關(guān)聯(lián)算法，使警報(bào)分析具有層次化特點(diǎn)更適合APT階段性特征，從而提高警報(bào)分析的準(zhǔn)確性。

參考文獻(xiàn)

[1] 鄒柏賢，劉強(qiáng).基于LSSVM模型的網(wǎng)絡(luò)流量預(yù)測(cè)[J].計(jì)算機(jī)研究與發(fā)展，2010，39（012）.

[2] BLUM M. How to exchange （secret） keys [J]. ACM Transaction on Computer Systems. 2008，（1）：175-193.

[3] ZHANG Xiao-song， NIU Weina， YANG Guowu， et al. Method for APT Prediction Based on Tree Structure[J]， Journal of University of Electronic Science and Technology of China， 2016， 45（4）：582-588.

[4] CHEN P，DESMET L，HUYGENS C. A Study on Advanced Persistent Threats[C]. Communications and Multimedia Security Berlin，Heidelberg：Springer，2014：63-72.

[5] SkyEye： OceanLotus APT Report [2015-05-29]， https：//ti.360.net/static/upload/report/file/OceanLotusReport.pdf.

[6] Feng Xuewei， Wang Dongxia， et al. A Mining Approach for Causal Knowledge in Alert Correlating Based on the Markov Property[J]. Journal of Computer Research and Development， 2014，51（11）：2493-2504.

[7] FU Yu， LI Hongcheng， WU Xiao-ping， WANG Jiasheng. Detecting APT attacks： a survey from the perspective of big data analysis[J]. Journal on Communications， 2015，36（11）：1-14.

[8] S. Noel， S. Jajodia， Advanced vulnerability analysis and intrusion detection through predictive attack graphs， in： AFCEA09： Critical Issues in C4I in Armed Forces Communications and Electronics Association Solutions Series， IEEE， 2009， pp. 1–10.

[9] Choi C， Choi J， Kim P. Abnormal behavior pattern mining for unknown threat detection[J]. Computer Systems Science & Engineering， 2017， 32（2）：171-177. [090].