一种基于概率转移的Cyber攻击场景感知推理技术

  • 格式:pdf
  • 大小:719.29 KB
  • 文档页数:6

第1卷第1期 2015年3月 指挥与控制学报 JOURNAL OF C0MMAND AND CONTROL Vo1.1,No.1 

March,2015 

一种基于概率转移的Cyber攻击场景感知推理技术 冯学伟1,2 况晓辉 ,。 孙晓霞 ,。 摘要态势感知是实现网络空间指挥与控制的重要基础之一,它强调的是如何从局部、琐碎、分散的信息中,分析、识别网 络空间中当前正在发生的攻击行为及其属性,形成高层态势知识,以辅助指挥员决策.针对Cyber态势感知中攻击场景感知 推理这一难题,本文提出了一种基于概率转移的Cyber攻击场景感知推理技术.该技术基于滑动窗口对传感器生成的原始告 警流进行聚类分析,通过挖掘各个相关性类簇推理生成当前网络空间中正在发生的攻击场景,利用马尔科夫链对攻击场景进 行形式化表示形成网络空间中的安全态势.基于Zeus僵尸网络的实验,验证了该技术的可行性和先进性. 关键词 网络空间,攻击场景,态势感知,概率转移 引用格式冯学伟,况晓辉,孙晓霞.一种基于概率转移的Cyber攻击场景感知推理技术[J].指挥与控制学报,2015,1(1): 62—67 ID JCC.CN.2015.00062 

Cyber Attack Scenario Awareness and Inference Based on Probability Transition FENG Xue-Wei ,0 KUANG Xiao.Hui1, SUN Xiao-Xia1,2 Abstract Cyber situation awareness is one of the foundations to achieve command and control in cyberspace,which aims to identify the attack behaviors appearing in cyberspace from partial,trivial and distributed information.It can provide high level situation knowledge for commanders and assist them to make reasonable decisions.In order to solve the problem of attack scenario awareness and inference,a cyber-attack scenario awareness and inference technology based on probability transition is proposed in this paper.Firstly,the alert stream is clustered based on the sliding window. Then after analyzing the cluster sets,various attack scenarios appearing in cyberspace are inferred and generated.W_e use the Markov chain model to represent attack scenarios,the cyber.attack situation carl be presented to commanders directly in this way.Finally,we test and assess the approaches proposed in this paper based on the botnet of Zeus,and the experimental results show that the approaches are feasible and advanced. 

Key words Cyber space,attack scenario,situation awareness,probability transition Citation Feng Xue-Wlei,Kuang Xiao-Hui.Sun Xiao-Xia. Cyber attack scenario awareness and inference based on probability transition fJ1.Journal of Command and Control,2015,1(11:62—67 

在一个典型的指挥控制fCommand and con- trol,C2)系统中,负责采集数据的各个传感器,将侦 测到的电磁波、红外、热能等数据信号,传送给控制 中心,再由控制中心对接收到的数据进行融合处理, 从中识别出导弹等关键目标,并对目标的速度、大小 等属性进行判别追踪,进而辅助指挥员做出决策. 与传统作战域的指挥控制相比,网络空间指挥 控制(Cyber command and control,CC2)的观测 环境发生显著变化,随之而来的识别目标也发生了 变化.在网络空间中,Cyber攻击是首要识别的目 标对象,其属性包括了源头、目标、频率、类型、可 能的后果等.Cyber态势感知通过分析局部、琐碎 的分布式输入信息流,识别出网络空间中当前正在 收稿日期2014-08-28 Manuscript received August 28,2014 1.信息系统安全技术重点实验室,北京100101 2.北京系统工程研 究所,北京100101 1.Nation Key Laboratory of Science and Technology on In— formation System Security,Beijing 100101,China 2.Beijing Institute of System Engineering,Beijing 100101,China 发生的攻击行为及其属性,为管理员提供直接的高 层态势知识,是CC2的重要基础之一.Cyber态 势感知的输入包括了传感器数据,如入侵检测系统 (Intrusion Detection System,IDS)的告警、系统 日志消息、流量数据等,还可能包括一些辅助知识, 如专家经验等.它的输出则是对Cyber威胁的估计, 包括威胁的来源、威胁针对的目标、威胁类型、威胁 可能造成的后果以及威胁未来的发展变化等. Cyber态势感知是网络空间指控领域的研究热 点之一.在Endsley提出的态势感知概念[ ]的基础 上,Bass于1999年提出了Cyber态势感知(Cyber situation awareness)的概念,并基于JDL(Joint directorate of laboratories)的数据融合模型给出了 Cyber态势感知4层过程模型【 31.这一模型在随 后的Cyber态势感知研究中,逐渐成为一个事实标 准.在Bass给出的Cyber态势感知模型中,数据源 自下而上经历了数据、信息、知识3个层次的逻辑 抽象,随着抽象层次的不断提高,数据的数量不断减 1期 冯学伟等:一种基于概率转移的Cyber攻击场景感知推理技术 少,但质量却在不断提升,Cyber攻击逐渐被完整、 准确地分析识别出,形成了认知域的安全态势.与态 势感知相关的关键技术包括了告警关联分析技术、 态势评估技术、安全可视化技术、信息融合技术等. 当前,在Cyber态势感知研究中,对Cyber攻 击场景的感知与推理这一难题亟待解决[4].Cyber 攻击场景是攻击者为实现自己的特定意图,在对攻 击目标实施渗透攻击时,所采取的具有因果关系的 攻击序列集合.Cyber攻击场景完整呈现了一次攻 击活动的全貌,它在给出逻辑化攻击步骤的同时,也 反映出了攻击者的攻击意图,因此对Cyber攻击场 景的准确感知与推理,是掌握网络空间安全态势的 关键,同时也是指挥员实现对Cyber域的指挥与控 制、尽早将损失降到最低的重要基础.针对这一重 要需求,本文在分析了现有相关研究之后,提出了一 种基于概率转移的Cyber攻击场景感知推理技术, 对态势感知中的核心内容即态势觉察与理解进行了 阐述分析,并通过实验验证了技术方法的有效性. 1相关研究 网络空间中,攻击者对目标设施的渗透破坏过 程往往是渐进的,为实现最终目的,通常要执行多个 攻击步骤,因此,一次攻击活动的每一步之间,往往 都存在着因果关系.攻击场景的本质就是要反映出 这种因果关系,或者说攻击场景是多个攻击步骤间 因果关系的一种表现形式. 当前,攻击场景的感知推理技术研究,主要集 中在基于规则的告警关联分析方面,基于规则的 告警关联分析,其核心是通过专家定义的方式或数 据挖掘的方式,生成一系列代表攻击场景的规则知 识,然后再依据这些规则知识,对传感器生成的告 警进行逻辑关联,识别当前网络空间中可能发生的 攻击场景.Benjamin和Herve提出了一种基于时 序模式识别的攻击场景识别技术 将告警按照预 定义的时序模型进行关联.Steven等【6】提出了一 种基于专家系统的攻击场景推理识别技术,其主要 思想是将攻击场景描述为一系列的规则模块,每个 规则模块代表着一个攻击场景,告警上报之后与规 则模块进行匹配.在基于规则的攻击场景感知推 理研究方面,具有里程碑意义的无疑是Ning所领 导的TIAA项目[7-s】,项目的基本思想是,为每种 攻击类型attack2ype 都定义一个关联三元组知识 (Pre_i,attack ̄ypet,Post—i),其中Pre 表示对应 攻击成功发生所需要的前提条件集合,Post_i表示 攻击发生后可能产生的结果集合. 、B两个告警 (A发生在B之前)能够关联, 当且仅当 的结果 集合中的元素能够完全或部分匹配B的前提条件集 合中的元素.通过这种条件匹配的方式,将传感器产 生的告警事件关联组合,形成攻击场景图. 其他的一些攻击场景推理技术研究还包括,美 国乔治亚州理工大学的Qin和Lee[9]提出的基于贝 叶斯网络概率推论的关联和基于Granger causality test(GCT)统计时序分析的关联,Nurbol[10】提出 的基于隐马尔科夫模型的告警滤除关联等,Feng等 在文献【11】中提出的基于状态机的攻击场景建模与 识别,以及文献f12—131中提出的面向原子谓词的 攻击场景自动识别算法等. 虽然专家系统、贝叶斯网络等理论工具已经被 用于攻击场景的建模推理,但是现有相关研究的主 要缺陷在于都或多或少地需要人工辅助,需要人工 来预定义一些辅助知识.人工辅助的方式主要存在 两个问题:一是不能识别、发现未知类型的攻击模式 或场景;二是会给管理员带来相当大的工作量.如何 通过数据挖掘方法自动推理识别攻击场景是网络空 间态势感知的难点和重点.