基于告警语义分析的物联网攻击行为研究方法.docxVIP

?

?

基于告警语义分析的物联网攻击行为研究方法

?

?

马超

【摘?要】

针对物联网原始告警数量庞大、告警语义级别低、数据孤立、关联分析薄弱所导致的误报率过高的问题，提出一种基于告警语义分析的物联网攻击行为研究方法。通过告警信息以及具体的网络环境生成蕴含脆弱连接关系、网络连接关系的网络行为攻击图，以图形化模拟物联网系统可能受到的所有攻击路径并识别系统的脆弱性;在采用聚类分析的方法对各种告警类型进行分类的基础上，采用深浅层关联分析的方法，实现攻击图知识库的构建;最后，通过在线检测告警行为，利用在线关联实时告警模型，实现过滤告警冗余、告警实时分析以及提供语义级别更高的攻击场景展现。提出的方法结合具体的网络环境构建攻击图知识库，所以在一定程度上提升了告警过滤效果和告警准确率，降低了管理者对攻击者攻击行为的检测和告警分析的难度。

【关键词】告警语义;攻击图知识库;概率后缀树

0?引言

自从1999年，宝洁公司KevinAshton首次提出Internetofthings后，物联网便成为连接物理世界和数字虚拟世界的主要信息网络。目前，物联网在各领域随处可见，包括智慧城市、工业制造、交通、医疗、农业等领域。随着物联网的广泛应用，物联网面临着两个最要的问题[1-3]：（1）海量的数据包含着个人隐私和其他重要信息，对网络的安全性提出了更高的要求;（2）物联网感知节点数量庞大且自我保护能力极为脆弱，极其容易受到暴力破解、伪造身份、路由攻击、节点隐私泄露等手段的破坏，对物联网的安全传输问题造成极大的影响。现有的物联网分析技术主要采用数据融合以及各种数据统计技术和机器学习的方法。比如：采用概率或神经网络的方法实现物联网攻击行为的预测，这些方法都是利用告警之间的相似性来进行告警分类和攻击行为分析。虽然其在告警分类和告警过滤方面有较好的效果，能减少误警数量、降低告警冗余度，但是不能有效地还原攻击场景，更不能有效预测攻击者的意图。

为了解决物联网由于攻击所导致网络安全的问题，本文提出了提出一种基于告警语义分析的物联网攻击行为研究方法。该方法结合具体的网络环境实现攻击路径的图形化和高语义级别攻击场景告警信息的展现，实现了攻击者意图的预测，降低了攻击行为的检测和告警分析的难度。

1?基于告警语义分析的物联网攻击行为方法

1.1?构建网络环境的攻击图

物联网产生数量庞大、语义级别较低的告警信息，现有的网络攻击分析技术大多数是基于专家经验和统计关联规则来实现的，这种做法不仅导致网络误报频发，还导致攻击行为分析脱离网络环境实际情况[4-5]。因此，本文在对告警行为进行关联时，充分考虑网络告警信息、网络拓扑结构、端口开放性、漏洞信息、节点重要性、脆弱性信息等网络环境因素，将低语义级别的告警信息转化成高级别的攻击场景，生成蕴含脆弱连接关系、网络连接关系的网络行为攻击图，能够更有效地对告警信息进行语义关联分析。攻击图的自动生成模型如图1所示。

漏洞信息结合网络拓扑能够推断漏洞风险级联传播路径，能够对系统整体的攻击路径进行初级地模拟，实现漏洞风险量化。

告警信息是由于网络入侵者的违规操作所导致的监测模块出现冗余的告警信息，本文在对语义级别较低的告警信息提取的基础上，对引起告警信息的指标和端口开放性的关联关系构建贝叶斯网络，通过大量的告警数据获取告警指标在该网络环境下的条件概率，初始识别木马攻击、病毒、Dos控制、误操作等相关威胁。

在识别网络环境初始威胁的基础上，结合网络脆弱性信息和系统中节点的重要性信息，构建蕴含脆弱连接关系、网络连接关系的网络行为攻击图[6-7]。

1.2?构建攻击图知识库

攻击图中的攻击行为执行，仅仅是一种从浅层语义的攻击行为关联。不同的在线检测系统设置的攻击行为的规则以及检测重点不一致，因此会出现网络攻击行为的多米诺效应，也就存在网络攻击行为A引发网络攻击行为B，网络攻击行为B也引发网络攻击行为A。这种网络行为的多米诺效应在很多程度增加了对告警分析处理的难度，因此，本文提出了基于深浅层关联分析的攻击图知识库构建的方法，具体的构建框架如图2所示：

攻击图知识库构建的步骤包括：

首先，告警预处理。告警信息具有很大的冗余性，需要采用告警规范或者告警过滤方法對告警进行预处理，减低告警信息的数量。

其次，采用一种聚类或者分类算法根据告警信息或者告警特征进行数据融合，并基于每个攻击行为阶段性特征的不同，采用浅层关联分析的方法实现攻击行为阶段性分类。基于海量告警信息进行聚类分析依赖于聚类中心计算的迭代次数和聚类个数，本文基于特定攻击场景浅层关联方法对攻击行为的阶段性进行分类，为攻击图知识库的构建提供基础信息。

再次，提取攻击行为的特征，并结合攻击行为的序列进行攻击行为阶段的浅关联。

最后，利用概率后缀树，采用相似性分析和攻击行为映射