Wlan多步攻擊意圖預先識別方法
【技術領域】
[0001] 本發(fā)明涉及預先識別方法，更具體說，它涉及一種WLAN多步攻擊意圖預先識別方 法。
【背景技術】
[0002] 入侵檢測和防御作為一種重要的網(wǎng)絡安全技術，一直以來受到學者的廣泛關注， 各種智能技術如數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡、專家系統(tǒng)、人工免疫技術等逐漸被應用到了入侵檢測 和防御系統(tǒng)中。近年來，規(guī)劃識別（PlanRecognition)作為人工智能領域的重要研究內容， 由于其與入侵檢測和防御有著很大的關聯(lián)性，能夠根據(jù)攻擊者的行為推斷出多步攻擊中的 下一步動作，挖掘網(wǎng)絡攻擊者的真正攻擊意圖，已在入侵檢測和防御中有了初步的應用，并 取得了一定的研究成果。
[0003] 2001年，Geib和Goldman第一次將規(guī)劃識別方法引入到入侵檢測領域，詳細闡述 了規(guī)劃識別在入侵檢測系統(tǒng)中的要求和特性，奠定了規(guī)劃識別方法在入侵檢測領域應用的 基礎。Geib和Goldman采用了基于規(guī)劃執(zhí)行的規(guī)劃識別方法，主要解決了敵對環(huán)境中的規(guī) 劃識別問題，并對敵對智能體和部分可觀察規(guī)劃進行了識別。2002年，美國北卡羅萊納州大 學的PengNing及其工作組提出了一種利用攻擊前后邏輯關系進行關聯(lián)分析的方法，通過 定義關聯(lián)規(guī)則描述攻擊步驟之間的前提條件和后續(xù)結果，并構造多步攻擊場景，從而實現(xiàn) 攻擊規(guī)劃的識別。2004年，PengNing等人將告警關聯(lián)方法和分析工具進行了集成，專門提 供了分析告警之間關聯(lián)關系的開發(fā)包TIAA(AToolkitforIntrusionAlertAnalysis)。 Cuppens等人也提出了相似的關聯(lián)分析方法，利用Prolog謂詞邏輯描述攻擊行為，并根據(jù) 這些攻擊的前提條件和后果自動產(chǎn)生關聯(lián)規(guī)則。2004年，XinzhouQin和WenkeLee提出 了網(wǎng)絡安全領域對規(guī)劃識別的新要求，并采用一種因果網(wǎng)絡的方法對網(wǎng)絡攻擊進行識別， 該方法首先構建攻擊樹，并定義攻擊規(guī)劃庫對警報集進行關聯(lián)，然后將攻擊樹轉換為因果 網(wǎng)絡，從而實現(xiàn)預測攻擊規(guī)劃和下一步的攻擊行為。2010年，LiWang和AliGhorbani等 人提出了一種定量的警報關聯(lián)度計算方法，該方法結合警報的IP地址信息分析攻擊行為 步驟間存在的關聯(lián)關系，自動挖掘多步攻擊模式。
[0004] 在國內，2004年李家春和李芝棠首先將規(guī)劃識別理論引入到入侵檢測的研究中， 并建立了一種采用因果告警關聯(lián)分析和貝葉斯網(wǎng)推理模型的入侵規(guī)劃識別模型。2006年， 諸葛建偉和韓心慧等人提出了一種基于擴展目標規(guī)劃圖（ExtendedGoalGraph，EGG)模型 的網(wǎng)絡攻擊規(guī)劃識別算法，通過擴展JunHong提出的目標圖，引入觀察節(jié)點區(qū)分規(guī)劃者動 作，能有效地從大量入侵報警信息中識別攻擊者意圖及規(guī)劃。2007年，張衛(wèi)華和范植華基 于Kautz規(guī)劃識別算法，利用彩色Petri網(wǎng)（ColoredPetriNet，CPN)作為新的規(guī)劃表示 和識別方法，將低階報警事件關聯(lián)為多步驟攻擊，以恢復出攻擊全貌。同年，王莉提出了一 種新的基于關聯(lián)分析的網(wǎng)絡多步攻擊識別方法，利用RCI安全事件聚合方法、多步攻擊行 為模式挖掘方法和在線的多步攻擊關聯(lián)方法，分析多步攻擊行為之間的關聯(lián)關系。2011年， 梅海彬和龔儉等人提出了一種基于警報序列聚類的多步攻擊模式識別方法，該方法采用動 態(tài)規(guī)劃思想和序列比對技術，通過抽取最長公共子序列的算法自動發(fā)現(xiàn)警報數(shù)據(jù)中的多步 攻擊模式。
[0005] 專利201010561551. 7 "一種網(wǎng)絡多步攻擊識別和預測方法"提出了一種網(wǎng)絡多步 攻擊識別和預測方法，該方法將入侵檢測系統(tǒng)、防火墻和殺毒軟件等多種安全設備的報警 存入數(shù)據(jù)庫，并將數(shù)據(jù)庫中的報警按照攻擊類型轉化為多步攻擊序列，然后轉化為多個長 度不同的子攻擊序列，再通過統(tǒng)計各個子攻擊序列中的攻擊相互轉化的頻數(shù)，生成攻擊轉 化頻率矩陣，結合攻擊轉化頻率矩陣，生成歷史多步攻擊序列，最后通過分析網(wǎng)絡中新的報 警，依據(jù)歷史多步攻擊序列進行匹配，識別和預測多步攻擊。專利201410535425.2 "多步 攻擊警報關聯(lián)網(wǎng)絡服務接口開發(fā)方法"提出了一種多步攻擊警報關聯(lián)網(wǎng)絡服務接口開發(fā)方 法，該方法包括數(shù)據(jù)處理、警報關聯(lián)以及網(wǎng)絡服務接口開發(fā)三個模塊，通過模糊積分計算模 糊測度值，根據(jù)測度值進行警報合并入超警報，根據(jù)警報合并情況更新積分值代表的閾值， 根據(jù)積分值進行超警報隊列中超警報的生成、淘汰、刪除，采用模糊積分的方式實現(xiàn)警報關 聯(lián)，并通過網(wǎng)絡服務接口的方式進行發(fā)布并提供調用，能夠有針對性的進行復雜網(wǎng)絡攻擊 行為的防護。
[0006] 通過對這些研究方法的分析發(fā)現(xiàn)，現(xiàn)有多步攻擊的識別方法主要都是針對有線網(wǎng) 絡，而無線局域網(wǎng)的應用和發(fā)展較晚，由于WLAN具有的特殊性和WLAN攻擊行為的差異性， 對識別WLAN的多步攻擊意圖并不十分有效。例如，有線網(wǎng)絡攻擊規(guī)劃識別的研究主要針 對網(wǎng)絡層及以上層次的協(xié)議數(shù)據(jù)包信息，重點考慮IP地址、端口號和應用層協(xié)議等關鍵字 段，而WLAN數(shù)據(jù)包主要涉及物理層和數(shù)據(jù)鏈路層協(xié)議，側重于MAC地址、Channel信道和 Beacon信標幀等網(wǎng)絡層以下的內容，所以無法直接將有線網(wǎng)絡入侵檢測領域的多步攻擊識 別方法應用到無線網(wǎng)絡環(huán)境中。
[0007] 因此，迫切需要研究WLAN網(wǎng)絡這一新環(huán)境中面臨的多步攻擊識別難點，準確識別 WLAN多步攻擊的真正意圖，從而實現(xiàn)智能的WLAN入侵防御。

【發(fā)明內容】

[0008] 本發(fā)明的目的是克服現(xiàn)有技術中的不足，提供一種WLAN多步攻擊意圖預先識別 方法。
[0009] 這種WLAN多步攻擊意圖預先識別方法，包括三個步驟：構造層次攻擊樹、生成最 短預測序列和預先識別攻擊意圖。
[0010] (1)構造層次攻擊樹：構造一種包含特征節(jié)點的層次攻擊樹，存儲無線多步攻擊 模式，可以描述多步攻擊步驟之間的層次關系，并提高預先識別攻擊意圖的效率。
[0011] (2)生成最短預測序列：利用構造的層次攻擊樹，為每個無線多步攻擊模式生成 最短預測序列，并定義預先度來衡量預先識別的程度。
[0012] (3)預先識別攻擊意圖：設計基于最短預測序列的多步攻擊預先識別算法，最終 實現(xiàn)在線的無線多步攻擊意圖預先識別
[0013] 該方法的總體結構如圖1所示，具體實現(xiàn)步驟如下：
[0014] 步驟一、構造層次攻擊樹
[0015] 本發(fā)明提出了一種包含特征節(jié)點的層次攻擊樹（HierarchicalAttackTree， HAT)的概念，將無線多步攻擊模式以層次攻擊樹的形式進行存儲，不僅可以描述多步攻擊 步驟之間的層次關系，還能夠將多步攻擊中的相同攻擊行為進行合并，從而提高預先識別 最終攻擊意圖的精確性和效率。
[0016] 定義1層次攻擊樹（HierarchicalAttackTree)。將無線多步攻擊模式以樹的方 式進行存儲，每個節(jié)點為代表攻擊行為的以數(shù)字表示的攻擊名稱ID(sig_id)，根節(jié)點為所 有無線多步攻擊模式的第一步攻擊名稱ID，并將具有相同前續(xù)攻擊行為的節(jié)點進行合并， 這樣構建起來的攻擊樹稱為層次攻擊樹。
[0017] 定義2特征節(jié)點（FeatureNodes)。在層次攻擊樹中，如果多步攻擊模式中的某一 個攻擊與其前后關聯(lián)的父節(jié)點及子節(jié)點的相關度均不小于事先定義的閾值，并且它是該多 步攻擊模式的最深層葉子節(jié)點，則將該節(jié)點稱為多步攻擊模式的特征節(jié)點，特征節(jié)點代表 了多步攻擊模式的顯著攻擊行為。
[0018] 步驟二、生成最短預測序列
[0019] 利用構造的包含