【摘要】：當前,網(wǎng)絡(luò)中出現(xiàn)了很多新的復(fù)雜的攻擊行為,其中APT攻擊成為被關(guān)注的重點。在基于安全日志檢測APT攻擊方面,一般會事先建立攻擊模型然后將日志與模型進行關(guān)聯(lián),但往往依賴于模型的完整度,不完整的模型會導(dǎo)致一些警報無法匹配而被漏掉,然而構(gòu)建全面完整的APT攻擊模型也是比較困難的。針對這一問題,本文研究了如何從安全日志中挖掘出攻擊場景模型,提出了一種基于殺傷鏈和模糊聚類的APT攻擊場景生成方法,能夠從安全日志中挖掘出場景。本文分析了殺傷鏈每個階段的目的性,對攻擊事件進行劃分,然后在模糊聚類中增加了對事件階段性的判斷,使形成的類簇內(nèi)警報之間關(guān)聯(lián)度更大。然后根據(jù)APT攻擊警報的特點篩選攻擊序列,通過概率轉(zhuǎn)移矩陣轉(zhuǎn)換為攻擊場景模型,為APT的檢測提供依據(jù)。本文的具體工作內(nèi)容如下:1.提出了一種基于殺傷鏈和模糊聚類的APT攻擊場景生成方法。本文分析了入侵檢測系統(tǒng)警報日志各個屬性的特點,闡述了基于殺傷鏈模型從攻擊后果和IP地址兩個角度對攻擊事件進行分類的方法;詳細介紹了使用攻擊事件、IP、時間戳屬性進行模糊聚類的算法以及進一步篩選攻擊序列轉(zhuǎn)換為攻擊場景的方法。2.對基于殺傷鏈和模糊聚類的APT攻擊場景生成方法做了詳細設(shè)計與實現(xiàn),并闡述了各個模塊的實現(xiàn)流程,給出了各模塊的流程圖。3.采集數(shù)據(jù)進行實驗,分析實驗結(jié)果,結(jié)果表明本文所提出的方法能夠挖掘出警報日志隱藏的APT攻擊場景,并將不同攻擊者的攻擊過程分離,驗證了本文所提方法的有效性。以此為基礎(chǔ),對本文所述方法的實驗結(jié)果和存在的問題進行了分析和總結(jié),分析了可進一步優(yōu)化的方向。
【圖文】：

始的警報數(shù)據(jù)進行預(yù)處理，如何對攻擊事件進行分類。在攻擊事件的分類中，對逡逑ＡＰＴ攻擊進行階段化，對每個階段攻擊者的目的所采用的攻擊技術(shù)進行分析總逡逑結(jié)，給出分類框架，介紹了攻擊事件的分類方法。本章主要是ＡＰＴ攻擊場景生逡逑成方法中模糊聚類之前的數(shù)據(jù)準備階段，為后續(xù)模糊聚類提供計算隸屬度的依逡逑據(jù)。逡逑３．ＬＩＤＳ報警日志分析逡逑網(wǎng)絡(luò)中的高級復(fù)雜攻擊是由一個個單步攻擊步驟構(gòu)成的，攻擊者制定攻擊策逡逑略，通過實施一系列的網(wǎng)絡(luò)攻擊來達到攻擊目的，前一步攻擊產(chǎn)生的結(jié)果可以為逡逑后續(xù)攻擊做準備。在入侵檢測系統(tǒng)的監(jiān)測下，攻擊者開展的攻擊過程會引發(fā)了一逡逑系列的報警日志信息，報警日志信息是對入侵行為每個步驟的間接反映，攻擊步逡逑驟之間的相關(guān)性也體現(xiàn)在了警報日志中，攻擊者的攻擊步驟之間行為的相關(guān)性與逡逑警報日志之間的相關(guān)性互為呼應(yīng)，在警報日志不同屬性上也能發(fā)現(xiàn)每條日志之間逡逑的關(guān)聯(lián)關(guān)系。逡逑＊

ＩＤＳ能夠依據(jù)端口的不同發(fā)出多條報警，所以我們發(fā)現(xiàn)在一定的逡逑時間窗口內(nèi)會存在很多攻擊事件、源ＩＰ、目的ＩＰ都相同，ＩＰ對應(yīng)的端口號不同逡逑的警報，如下圖３－２所示。這些警報是攻擊者使用攻擊腳本或自動化攻擊對一個逡逑目標發(fā)起攻擊時產(chǎn)生，而這些警報表示的是一次攻擊行為，所以在后續(xù)分析中不逡逑必逐條進行關(guān)聯(lián)分析，可以用一條報警事件來表示這次攻擊行為，所以本文在預(yù)逡逑處理中將這些警報進行了合并。逡逑序號：栻■觸發(fā)時間邐腦事件邐疆１？地址１邐１苦１邋：ＩＰ地址２邐：毒苦２．協(xié)議．｜逡逑」７９＿ｉｄｓ邋ｉＭｍ５／ｉ邐姐啦ｕ概ｇｌ賴邋＾＾１７５邋５７１１５邋Ｈ｜｜１２．邋．邋８ｑｈｔｔｐ邋ＺＩ逡逑６８５＿ＩＤＳ＋：邋２０１＾／５／１邋１２：ｌｌＥＪ２Ｓ＿ｆａｔａｌｓｈｅｌｌ￥＾±＃３０６９６邋ＨＩ１２８０邋Q婂澹擼懾義賢跡常捕絲誆煌木ㄈ罩懼義賢煎澹常插逯械膩澹沖逄醣ň梢雜茫ǎ叮罰�，２０１ＡP擔(dān)卞澹保玻海保埃海埃埃螅桑�，ｄｉ７w澹保奔�？＿膽至x下硨竺牛擼鰨澹猓螅瑁澹歟歟擼校齲校擼媯幔簦幔歟櫻瑁澹歟炷韭砩洗├幢硎荊�，时间戳为多条警报謨粹j緄膩義鮮奔浯痢１ň諍閑枰柚靡桓鍪奔浯翱�，哉洑gㄊ奔浯翱諛諑閔鮮鎏跫木義媳ń瀉喜ⅲ奔浯廖閭跫木ㄖ兇鈐緄氖奔浯�，ｉｄ为满组傰件的警报掷C義獻鈐縭奔浯戀木ǘ雜Φ男蠔牛緩蠼泄橐換�，磱z⒃謔菘庵�。辶x瞎橐換硎前湊斬ㄒ澹敝芯ㄈ罩酒咴櫚母袷窖∪⌒枰氖糶源媧⒃阱義鮮菘庵小ｅ義顯ご淼木嚀宀街樅縵濾

本文編號：2696231