Page 315 - 《软件学报》2021年第5期
P. 315
马钰锡 等:面向智能攻击的行为预测研究 1539
HMM 状态数来构建这些链,HMM 模型中的 S 参数由这些状态组成.图 7 显示了分别具有 4 个、3 个和 5 个状
态的 3 种多步攻击(入侵 A、入侵 B 和入侵 N)的示例,每个入侵都有不同的 HMM 模型(λ A ,λ B ,λ C ).在该图的右侧,
Holgado 等人将所有马尔可夫链表示为攻击图,从管理员界面显示.在该示例中,Step-A 1 和 Step-B 1 、Step-B 3 和
Step-N 4 以及 Step-A 4 和 Step-N 5 处于相同状态.
HMM Merging Step-A 2 Step-A 3 Step-A 4N 5
configuration Step-A 1 Step-A 2 Step-A 3 Step-A 4
file(intrusion A) similar states
Step-A 1B 1
HMM
configuration Step-B 1 Step-B 2 Step-B 3
file(intrusion B) Step-B 2 Step-B 3N 4
HMM
configuration Step-N 1 Step-N 2 Step-N 3 Step-N 4 Step-N 5 Step-N 1 Step-N 2 Step-N 3
file(intrusion N)
Fig.7 An example of how hidden Markov model predict intelligent attack behavior [74]
图 7 隐马尔可夫模型预测智能攻击行为示例 [74]
3.1.4 基于数据挖掘的预测方法
数据挖掘的预测建模分为分类建模和预测建模两种方式,其中,分类主要用于对离散数据进行预测,对未来
数据进行分类;预测建模通过构造、使用模型来对某个样本的值进行估计,例如预测某个未知值或者缺失值,主
要用于对连续或有序的数据进行预测.
数据挖掘可挖掘攻击场景的警报信息,对先验知识进行统计和关联.Husák 等人 [75] 提出一种基于信息交换
和数据挖掘的方法预测网络入侵行为,他们收集了在 SABU 平台内共享的网络安全警报,其中,每天共享大约
220 000 个来自不同地理位置的传感器(入侵检测系统和蜜罐)的警报,然后使用顺序规则挖掘的方法来识别常
见的攻击模式,并导出用于预测攻击的规则.表 2 展示了顺序规则挖掘提取到的排名前 10 的规则,包括输入输
出、支持度、置信度、最小和平均时差等.
Table 2 Top 10 rules extracted by sequential rule mining [75]
表 2 顺序规则挖掘提取到的排名前 10 的规则 [75]
规则 输入 输出 支持度 置信度 Min.Δt Avg.Δt
Org A.tarpit:Recon.Scanning:2323, Org_A.tarpit:
1 0.004 38 0.883 86 12 1 530
Org_A.nemea.hoststats:Recon.Scanning::None Recon.Scanning:23
Org_A.tarpit:
2 Org A.nemea.bruteforce:Attempt.Login:23 0.008 24 0.534 65 121 7 539
Recon.Scanning:23
Org_A.hoststats:
3 Org_A.nemea.hoststats:Recon.Scanning::None 0.019 87 0.682 14 1 401
Recon.Scanning:None
Org_A.tarpit:
4 Org A.tarpit:Recon.Scanning:2323 0.066 55 0.700 99 901 5 882
Recon.Scanning:23
Org_A.tarpit:
5 Org A.tarpit:Recon.Scanning:2222 0.008 34 0.581 55 914 7 041
Recon.Scanning:22
Org A.tarpit:Recon.Scanning:2323, Org_A.tarpit:
6 0.004 87 0.890 71 21 2 019
Org A.hoststats:Recon.Scanning:None Recon.Scanning:23
Org_A.nemea.hoststats:Recon.Scanning::None, Org_A.hoststats:
7 0.005 44 0.800 88 4 735
Org_B.nemea.hoststats:Recon.Scanning::None Recon.Scanning:None
Org_A.hoststats:Recon.Scanning::None, Org_A.tarpit:
8 0.002 89 0.900 00 35 22 754
Org A.tarpit:Recon.Scanning:443 Recon.Scanning:80
Org_A.hoststats:Recon.Scanning::None, Org_A.nemea.hoststats:
9 0.004 11 0.602 84 1 2 698
Org_B.nemea.hoststats:Recon.Scanning::None Recon.Scanning:None
Org A.tarpit:Recon.Scanning:2323, Org_A.tarpit:
10 Org_A.hoststats:Recon.Scanning::None, Recon.Scanning:23 0.002 66 0.839 62 12 1 528
Org_A.nemea.hoststats:Recon.Scanning::None
