计算机网络技术不断发展,各类网络信息系统已经延伸到了众多领域,并在社会生活中发挥了巨大作用.网络信息系统的不断扩大推动了社会的发展和进步,同时也出现了较多的网络安全威胁.在网络信息社会中,信息系统的安全十分重要,近些年来,各种网络恶意行为以及网络漏洞不停出现,网络入侵也层出不穷,一些复杂的信息系统很容易成为APT攻击目标,网络安全状态变得更加严峻[1-2].
APT攻击是指对特定网络的多方位且复杂的攻击.防御APT攻击需要针对特定的关联组织和目标,通过长期监控及信息收集,有针对性地对防护穿透和对抗进行研究,并且检测不同层次的立体攻击[3-4],最终达到目标检测和情报保护等目的.网络安全问题关系到社会众多领域的稳定发展以及巨大利益,因此,对面向APT攻击的网络安全威胁隐蔽目标识别的研究成为领域内重点课题,近年来也得到一些有意义的研究成果.文献[5]提出基于One-Class SVM的APT攻击下安全威胁事件隐蔽关联识别方法,该方法利用支持向量机算法,对网络安全威胁做分类处理,对个体结构定义,利用变异和交叉的方式,优化网络安全威胁隐蔽目标规则,实现了对网络安全威胁隐蔽目标识别.文献[6]提出基于通信特征的APT攻击下安全威胁事件隐蔽关联识别方法.该方法采用APT通信特征,识别网络安全威胁隐蔽目标.为了提高识别效果,根据bloom filter对报文做筛选和匹配处理,最终完成了对网络安全威胁隐蔽目标识别.该方法的规则适应度较高,但该方法存在攻击识别耗时长、效率低的问题.
针对上述研究方法中存在的缺陷,提出一种面向APT攻击的网络安全威胁隐蔽目标识别方法.利用关联规则构建隐蔽目标识别模型,在此基础上设计APT攻击隐蔽目标识别的总体框架及流程,通过APT攻击的可信度实现网络安全威胁隐蔽目标识别.
1 网络安全威胁隐蔽目标识别
1.1 基于关联规则的隐蔽APT目标识别模型
关联规则是数据挖掘领域中的重要技术,能够分析出数据库各个领域间的关联,将其应用于APT攻击数据关联分析中,根据数据项集的支持度及置信度求出关联规则的可靠程度,根据可靠程度强关联规则生成隐蔽目标识别模型[7].
关联规则的表现形式可描述为:设I={i1,i2,i3,…,im}为m个项集,并且集合中的ik代表数据项,I中的任意子集X代表数据项集合.设X的长度为k,则X称为k项集.事务T代表全部项集I的子集[8],则有ti={i1,i2,…,ih,ii},并且X⊆I,利用t′i来表示各个事务.
不同事务组合表示事务数据库D,D={t1,t2,…,ti,tk},假设X表示数据项集,并且X⊂I,设B为D中包含的X的事务数,A为D中事务的总数量,则X的支持度为
(1)
支持度表示X的重要程度.数据项集X置信度的表达式为
(2)
置信度表示X的可靠程度.通常情况下,假设R为关联规则,表现形式为X⟹Y的蕴含式,且
(3)
X⟹Y代表数据项集X在某个事务中出现时,Y也将出现在其中.Y为结果.
利用式(1)表示R的重要程度,即
sup(R)=sup(X∪Y)
(4)
利用式(2)表示R的可靠程度,即
(5)
最小支持度是数据项被关联规则所要求最小值的支持度,用min_sup来表示.最小置信度则是关联规则与可信度相符合的最小值[9],用min_conf来表示.当同时符合两者时,称其为强关联规则.
利用关联规则构建隐蔽目标识别模型的步骤为:1)发现大于等于min_sup的所有数据项集为频繁项集;2)根据min_conf,采用频繁项集来获得强关联规则,具体步骤为:在所有频繁项集中,选取频繁项a,在a中随机选取非空子集b,若符合
≥min_conf
(6)
则可以生成隐蔽目标识别模型,即
(7)
1.2 APT攻击隐蔽目标识别方法设计
在利用关联规则构建隐蔽目标识别模型的基础上,进一步识别APT攻击下的网络安全威胁隐蔽目标.构建APT攻击隐蔽目标识别的总体框架,设计识别流程,根据关联规则提取APT目标档案数据,将不同的网络安全记录关联起来.在此基础上求出APT攻击可信度,根据绝对相容度更新APT攻击可信度,实现网络安全威胁隐蔽目标识别.APT攻击隐蔽目标识别的总体框架如图1所示.
图1 隐蔽目标识别总体框架
Fig.1 Overall framework for hidden target recognition
图1中,F1、F2、F3分别表示操作系统、网络设备和网络设备日志.识别流程为:1)采用APT目标档案根据属性相关性将采集到的日志归成上文;2)利用检测算法整理,并对隐蔽目标相关的攻击行为识别.
假设
为APT攻击识别框架中i′个来源的全部记
为Si′中j个记录,t′为被记录的时间,id为标识
为属性,记录间的关联函数表达式为
(8)
式中:
为记录
的属
为记录相同的属性.
根据关联规则对APT目标档案数据提取,可以将不同的网络安全记录关联起来,形式化为A′={Si′,R,W,C,G},其中,Si′为网络安全的记录集合;R为上文的关联规则;W为有效时间;C为攻击的可信度;G为攻击目标.
面向APT攻击的网络安全威胁隐蔽目标识别的步骤为:1)确定APT攻击目标,其中有敏感、重要的数据等,构建APT攻击目标源,G={G1,G2,G3,…}代表攻击目标;2)根据目标节点构建APT攻击的阶段模型.
对不同来源的记录做关联分析,将形成上文的关联.利用上文来匹配规则数据库,可以发现APT的攻击,不同的记录所对应不同的可信度.将所得到的不同网络设备对APT攻击的可信度做融合计算,可以获得新的可信度,融合过程为
(9)
式中,m′i′(uk)、m′j(uk)分别为网络设备i′和j对APT攻击的可信度.利用式(9)计算证据间的相容系数,可以得到网络设备i′、j对APT攻击uk的相容度di′(uk),即
di′(uk)=Ri′j′(uk) (i,j=1,2,…,n)
(10)
式中:Ri′j′(uk)为APT攻击的绝对相容度;n为设备总数.对APT攻击的可信度进行更新,即
m′i′(ui′)_new=di′(uk)ωi′(ui′)
(11)
式中,ωi′(uk)为uk的权重.通过隐蔽目标识别模型的构建以及对APT攻击的可信度计算,实现了对网络安全威胁隐蔽目标识别,其表达式为
p=ωi′(uk)+di′(uk)+Ri′j′sup(X)+conf(X)
(12)
2 实验结果与数据分析
为了验证面向APT攻击的网络安全威胁隐蔽目标识别方法的有效性,设计了仿真实验.以MATLAB软件为仿真平台,在软件中搭建APT攻击下的网络实验环境,实验设置用户终端主机为4台,通过互联网访问Web服务器,此时APT攻击端能够针对特定目标持续性攻击主机,威胁网络安全.实验环境如图2所示.
图2 实验环境
Fig.2 Experimental environment
在上述实验环境中,根据用户习惯攻击目标主机,并设置每台主机的隐蔽目标源为20个,分布在100 m×100 m空间内.
2.1 目标识别准确率测试
测试4台主机对隐蔽目标识别的准确率,识别结果将准确识别的目标与隐蔽目标重合,显示出来的是未准确识别的目标.准确率越高,越能扩展复杂隐蔽目标识别能力.采用文献[5]方法为对照组,得到对比测试结果.其中,二维空间的横纵轴分别为x、y,实验结果如图3所示.
分析图3可知,4组APT攻击下的网络安全隐蔽目标识别实验中,所提方法的隐蔽目标识别准确率远高于文献[5]方法的识别准确率,说明所提方法可以准确地完成对攻击的识别,还能够扩展复杂隐蔽目标识别能力.
图3 不同方法的隐蔽目标识别准确率对比结果
Fig.3 Comparison of accuracy for hidden target recognition with different methods
2.2 目标识别耗时情况测试
在对隐蔽目标识别准确率测试的基础上,进一步测试隐蔽目标识别耗时情况,并与文献[6]进行对比,对比结果如图4所示.
在测试网络安全威胁隐蔽目标识别耗时时,识别耗时越长,APT隐蔽目标识别的效率越低.分析图4可知,所提方法的隐蔽目标识别耗时较短,说明所提方法可以高效地完成对面向APT攻击的网络安全威胁隐蔽目标识别.
图4 不同方法的隐蔽目标识别耗时对比结果
Fig.4 Comparison of time-consumption for hidden target recognition with different methods
3 结 论
为了识别APT攻击中的网络隐蔽目标,提出面向APT攻击的网络安全威胁隐蔽目标识别方法.基于关联规则构建了隐蔽APT目标识别模型,设计隐蔽目标识别总体框架,确定APT攻击目标,求出APT攻击可信度,利用绝对相容度更新APT的攻击可信度,实现网络安全威胁隐蔽目标识别.分别对隐蔽目标识别准确率和隐蔽目标识别耗时展开测试,测试结果表明,在隐蔽目标识别攻击时,所提方法具有较高的隐蔽目标识别准确率,隐蔽目标识别耗时较短,可以准确高效地完成对面向APT攻击的网络安全威胁隐蔽目标识别.
在未来研究中,将对APT攻击的入侵方式做出更深入的分析,进一步完善所提出的面向APT攻击的网络安全威胁隐蔽目标识别方法研究.
[1]刘科科,王丹辉,郑学欣,等.基于活动行为特征的APT攻击检测方法研究 [J].中国电子科学研究院学报,2019,14(1):90-96.
(LIU Ke-ke,WANG Dan-hui,ZHENG Xue-xin,et al.Research on APT attack detection method based on activity behavior characteristics [J].Journal of China Academy of Electronics Science,2019,14(1):90-96.)
[2]李洪成,吴晓平,俞艺涵.基于多维频繁序列挖掘的攻击轨迹识别方法 [J].海军工程大学学报,2018,30(1):40-45.
(LI Hong-cheng,WU Xiao-ping,YU Yi-han.Recognizing attack paths based on multi-dimensional frequent sequences mining [J].Journal of Naval University of Engineering,2018,30(1):40-45.)
[3]杨豪璞,邱辉,王坤.面向多步攻击的网络安全态势评估方法 [J].通信学报,2017,38(1):187-198.
(YANG Hao-pu,QIU Hui,WANG Kun.Network security situation evaluation method for multi-step attack [J].Journal on Communications,2017,38(1):187-198.)
[4]张靖,李小鹏,王衡军,等.基于攻击规划图的实时报警关联方法 [J].计算机应用,2016,36(6):1538-1543.
(ZHANG Jing,LI Xiao-peng,WANG Heng-jun,et al.Real-time alert correlation approach based on attack planning graph [J].Journal of Computer Applications,2016,36(6):1538-1543.)
[5]杜栋栋,任星彰,陈坤,等.一种基于One-Class SVM和GP安全事件关联规则生成方法研究 [J].电子学报,2018,46(8):1793-1803.
(DU Dong-dong,REN Xing-zhang,CHEN Kun,et al.A security event correlation rule generation method research based on One-Class SVM and genetic programming [J].Acta Electronica Sinica,2018,46(8):1793-1803.)
[6]戴震,程光.基于通信特征的APT攻击检测方法 [J].计算机工程与应用,2017,53(18):77-83.
(DAI Zhen,CHENG Guang.Advanced persistent threat detection based on characteristics of communications [J].Computer Engineering and Applications,2017,53(18):77-83.)
[7]赵洁,薛瑞,陈旭,等.DS证据理论下融合隐式与显式特征的共谋攻击识别推理模型 [J].计算机工程,2017,43(11):114-122.
(ZHAO Jie,XUE Rui,CHEN Xu,et al.Collusion attack identification reasoning model fusing implicit and explicit features under DS evidence theory [J].Computer Engineering,2017,43(11):114-122.)
[8]滕翠,梁川,梁碧珍.基于攻击路径图的网络攻击意图识别技术研究 [J].现代电子技术,2016,39(7):93-96.
(TENG Cui,LIANG Chuan,LIANG Bi-zhen.Research on network attack intention recognition techno-logy based on attack path graph [J].Modern Electro-nic Technology,2016,39(7):93-96.)
[9]郑剑,周艳丽,刘聪.基于攻击路径和PCA算法的报警关联方法 [J].计算机工程与设计,2017,38(2):328-333.
(ZHENG Jian,ZHOU Yan-li,LIU Cong.Alert correlation method based on attack path and principal component analysis algorithm [J].Computer Engineering and Design,2017,38(2):328-333.)
[10]郭文月,刘海砚,余岸竹,等.非指定时间约束的社会安全事件关联规则挖掘 [J].地理与地理信息科学,2016,32(3):14-18.
(GUO Wen-yue,LIU Hai-yan,YU An-zhu,et al.Association rules mining on social security events with non-specified time constraints [J].Geography and Geo-Information Science,2016,32(3):14-18.)
[11]陈碧云,丁晋,陈绍南.基于关联规则挖掘的电力生产安全事故事件关键诱因筛选 [J].电力自动化设备,2018,38(4):68-74.
(CHEN Bi-yun,DING Jin,CHEN Shao-nan.Selection of key incentives for power production safety accidents based on association rule mining [J].Electric Power Automation Equipment,2018,38(4):68-74.)
[12]王亮.基于事件驱动的煤矿井下安全事件检测与预警 [J].工矿自动化,2016,42(8):33-37.
(WANG Liang.Detection and early warning of coal mine underground safety event based on event driven [J].Industry and Mine Automation,2016,42(8):33-37.)