基于因果知識網絡的攻擊場景構建方法

王 碩 湯光明 王建華 孫怡峰 寇 廣

(解放軍信息工程大學 鄭州 450001)

在當今這個全球化的時代，網絡技術就像整個社會的神經，深刻影響著國際政治、經濟、文化、社會、軍事等領域的發展.隨著網絡結構日趨復雜、規模日漸龐大，入侵過程也向復雜性、多樣性和分布性的趨勢發展.根據國家計算機網絡應急技術處理協調中心的年度網絡安全工作報告[1]，近幾年來大部分攻擊尤其是危害大的攻擊幾乎都是復雜的多步攻擊.對于復雜的多步攻擊，攻擊者對網絡目標設施的滲透破壞過程往往是漸進的，通過執行多個攻擊步驟實現最終目的，使得傳統的面向單個安全事件檢測的網絡安全設備失效.多步攻擊成為目前網絡攻擊主要手段之一，嚴重危害著網絡信息安全.攻擊場景構建技術將龐雜、無序的告警流轉換為易于理解的攻擊場景，大大提高了告警信息的可用性，能夠為發現攻擊者的攻擊策略和預測下一步可能的攻擊行為提供依據，便于管理員做出及時有效的應急響應.因此，研究如何掌握攻擊活動的全貌、重建攻擊場景是應對多步攻擊威脅的重要手段，并逐漸成為網絡安全防御領域的研究熱點.

攻擊場景構建是對告警事件的實際分析和應用，實現攻擊場景重建的方法為告警關聯.告警關聯是將經過告警聚合和告警確認后的超告警與網絡的實際背景知識相結合，挖掘出其中存在的真正網絡威脅和安全事件，進而揭示出各個安全事件背后的邏輯關聯，發掘攻擊者的真正攻擊意圖.目前，基于告警關聯的攻擊場景構建方法主要分為3類：1)基于機器學習的方法[2-3].構建的攻擊場景雖然對專家知識依賴較少，但存在準確度低、結果難以理解、計算量大和實時性差等缺陷.2)基于已知攻擊場景的方法[4-5].雖然準確度相對較高，但是事先獲得攻擊過程和關聯規則比較困難，此外這種方法無法檢測出未知攻擊場景的多步攻擊行為.3)通過原子攻擊前因后果關系進行關聯的方法[6-8].只需獲取原子攻擊的前因后果關系，不必事先知道整個攻擊過程，更加靈活，同時這種方法可以識別和檢測不同原子攻擊組合形成的新攻擊過程，因此成為目前攻擊場景構建技術的研究趨勢.

目前，通過原子攻擊前因后果關系進行關聯的方法的難點主要體現在2方面：前因后果關系的獲取和關系強度的設定.對于定性的前因后果關系的研究相對已經成熟，受到認可的模型有攻擊圖[7]、攻擊樹[9]、Markov鏈[10]、Petri網[11]等，尤其以攻擊圖模型最為流行.而針對定量關系強度的設定，目前的研究還不充分，主要思路有2種：1)利用安全脆弱點評估系統(common vulnerability scoring system, CVSS)中的相關指標設定[12]；2)利用數據挖掘從告警數據中提取概率.前者僅僅是利用專家知識給出的所有網絡的共性度量，主觀性較強.鑒于此，王碩等人[13]提出了依據攻擊者能力動態調整攻擊圖中邊概率的方法，但其概率設定的原始依據仍是CVSS，并不一定適合具體的網絡攻防環境.隨著大數據技術的崛起，針對后者的研究相對較多.具體來講，李之堂等人[14]將告警用它對應的攻擊類型屬性進行替換，進而利用概率統計挖掘攻擊場景，然而由于不同的單步攻擊可能有著同樣的攻擊類型，因此其挖掘出來的概率準確度有待進一步提高.吳慶濤等人[15]提出了一種改進的基于因果關聯的攻擊場景重構方法，該方法根據告警相關度確定可組合的關聯圖，利用網絡弱點和攻擊關系推出漏告警，使得分裂的關聯圖能夠組合起來，進而重建完整的攻擊場景；然而，文中并沒有考慮誤告警的情況.馬琳茹等人[16]提出一種基于屬性層次樹的相似度隸屬函數定義方法，用模糊聚類的方法實現攻擊場景重構；然而只是將關聯圖簡單地組合起來，而沒有對漏掉的攻擊進行假設和推理.劉敬等人[17]針對傳統網絡安全事件分析方法較多依賴人工干預的問題提出了利用神經網絡和遺傳算法相結合的網絡安全事件分析方法，具有較高的自適應能力和自動化程度；然而文中所定義的攻擊模式和攻擊場景相對簡單，不便于網絡管理員理解.劉威歆等人[18]綜合利用圖關系和閾值限制進行聯動推斷和預測，達到更為全面解決攻擊圖中的告警漏報和減少誤報的目的，然而由于攻擊圖節點之間的關聯強度僅僅依靠相鄰節點的消息強度和消息方向累積獲取，只能定性分析最大可能攻擊路徑而不能定量分析其攻擊成功的概率.胡亮等人[19]將智能規劃的方法應用于多步攻擊識別的領域，并以此為基礎實現相應的識別算法，但算法沒有考慮到漏報誤報情況下的求解問題.

綜上分析得出，如何從漏報誤報的告警流中構建完整的攻擊場景仍然是一個極具挑戰性的問題.針對此問題，本文提出了基于因果知識網絡的攻擊場景構建方法.一方面利用有向無環圖定義原子攻擊中的因果關系；另一方面利用真實告警數據挖掘出能夠定量刻畫因果關系的因果知識，進而將攻擊場景的構建分為初建與重構2步，定性與定量相結合，利用最大后驗估計原理重構完整的攻擊場景.

1 因果知識網絡模型

基于因果知識網絡的攻擊場景構建方法的核心思想是通過構建因果知識網絡，并從告警數據中挖掘出合理的因果知識，進而利用因果知識網絡進行攻擊場景的推理與構建.模型總體框架如圖1所示：

Fig. 1 The overall framework of attack scenario construction method based on causal knowledge network圖1 基于因果知識網絡的攻擊場景構建方法總體框架

該方法整體分為4個過程：

1) 告警映射及聚類.告警映射將告警轉換為因果知識網絡的節點，用于描述因果知識網絡中攻擊行為發生的狀況；告警聚類將屬于同一攻擊場景的告警聚為一類，防止告警數據的混亂.通過告警映射及聚類將告警數據轉化為按時間排列的節點序列，為因果知識挖掘和攻擊場景構建作準備.

2) 因果知識挖掘.基于Markov鏈模型，對節點序列間的一步轉移概率進行挖掘，得到初步的因果知識.

3) 因果知識的顯著性檢驗.利用基于成對數據的t檢驗方法對挖掘得到的初步因果知識進行假設檢驗.若通過檢驗，則認為因果知識合理；若沒有通過檢驗，則認為因果知識不合理，需要利用擴大告警數據集等方法進行重新挖掘，直到通過顯著性檢驗.

4) 攻擊場景構建.基于因果知識網絡，利用最大后驗估計原理，進行攻擊場景的構建.

為了方便表述，首先給出一些關鍵定義.

定義1. 因果知識網絡Gk=(G,K).其中G=(Node,E)為有向無環圖，用于表示因果關系，Node是因果知識網絡中所有節點的集合；E是連接節點的邊的集合，代表節點間即單步攻擊之間的關聯關系；K是概率知識的集合，表示由當前節點狀態轉移到下一節點狀態的概率，用于量化攻擊節點之間的關聯關系.

定義2. 節點集Node={si|i=1,2,…}∪{vi|i=1,2,…}.節點集是因果知識網絡中狀態型節點s和攻擊行為節點v的集合.節點序列指節點集中的若干節點按時間順序排列而成的序列，用Nodeseq表示.

定義3. 告警ai=(timestamp,srcIP,srcPort,desIP,desPort,Alarmtype,Class)表示為七元組.其中，timestamp為告警產生的時間，不同網絡安全設備的時間要進行統一校對以保證timestamp的準確性；srcIP和srcPort分別為告警的源IP地址和源端口；desIP和desPort分別為告警的目的IP地址和目的端口；Alarmtype為告警的類型，分為狀態型告警和事件型告警2種.狀態型告警主要反映攻擊者擁有的攻擊資源及權限能力，由當前網絡安全配置及防火墻等網絡安全設備獲取，狀態型告警映射為因果知識網絡中的狀態節點；事件型告警主要反映攻擊者實施的攻擊行為，由入侵檢測系統等網絡安全設備獲取，事件型告警映射為因果知識網絡中的攻擊行為節點.本文設定Alarmtype=1表示狀態型告警，而Alarmtype=0表示事件型告警.Class為告警的具體種類，如狀態型告警可分為擁有非法權限、非法網絡連接等；事件型告警可分為漏洞掃描、緩沖區攻擊、DOS攻擊等.

定義4. 告警集Alarm={ai|i=1,2,…}.告警集是由入侵檢測系統等網絡安全設備產生的告警集合，則時間窗T內獲取的告警集表示為AlarmT.

2 基于因果知識網絡的攻擊場景構建方法

2.1 告警映射及聚類

告警映射是將告警映射到因果知識網絡中的節點，即將告警集Alarm轉化為節點集Node的過程.由于timestamp反映了攻擊發生的時間；源和目的IP地址反映了攻擊發生的位置；Class反映了攻擊所用的方法，它們共同決定了一次單步攻擊行為.因此，本文利用告警的源IP、目的IP、告警類型及種類作為告警映射的條件，具體的告警映射方法為

(1)

為了區分不同時間發生的攻擊行為，將告警的timestamp作為告警映射后節點v或s的時間標簽，用于標識其發生時間.此外，當告警映射為空時，一方面可能是誤告警;另一方面可能是因果知識網絡的結構不夠完整，即缺少相應的節點.針對這種情況要結合專家知識進一步分析，如果確認是誤告警則直接去除并加入知識庫便于以后的告警處理；如果確認是因果知識網絡結構不夠完整，則將其更新，這種利用專家知識解決告警異常的方法一定程度上能夠識別新的攻擊行為，是有效且必要的輔助手段.

通過告警映射，將告警轉換為因果知識網絡的節點，更利于因果知識的獲取和攻擊場景的構建.然而，由于大量的告警事件中反映的不止1個攻擊場景，如果對告警事件不加處理而直接進行關聯，必將導致構建的攻擊場景混亂.為了解決此問題，首先對告警進行聚類，使得同一攻擊場景的告警聚為1類，不同攻擊場景的告警彼此分開，然后再進行因果知識的挖掘和攻擊場景的構建.

針對海量的告警事件，告警聚類依據屬于同一攻擊場景的告警的性質將告警事件聚為若干類，一方面利于因果知識的挖掘和攻擊場景的構建；另一方面有利于告警關聯的并行處理，提高效率.針對此問題，梅海彬等人[20]通過定義告警相似度(考慮到時間、IP相似性)進行聚類;馮學偉等人[21]則認為由同一攻擊活動觸發的因果告警事件，彼此在地址分布上總是具有關聯性，故他通過地址相關性進行告警聚類.本文借助因果知識網絡，設計了告警聚類的3個原則：

1)考慮到攻擊行為的連貫性，規定了相鄰攻擊步驟或狀態轉移產生的告警間隔必須在一定的時間窗內；

2)考慮到因果知識網絡中父節點早于子節點發生，規定告警間時序關系與其映射到因果知識網絡中的節點之間邏輯因果關系一致；

3)考慮到攻擊行為的關聯性，規定告警映射后的節點符合圖距離限制.

其中，原則3中因果知識網絡中節點的圖距離定義如圖2所示.圖2中d用于表示節點之間的圖距離，如d(v2,v1)=2表示節點v2到節點v1的圖距離為2.

Fig. 2 Definition of distance between nodes in a causal knowledge network圖2 因果知識網絡上的節點之間距離的定義

具體地，告警聚類的3個原則形式化表示為：

1) |timestamp(ai)-timestamp(aj)|

2) (timestamp(ai)-timestamp(aj))×d(map(ai),map(aj))<0;

3) |d(map(ai),map(aj))|

其中，ai和aj表示2個不同的告警，Win為時間限制，L為圖距離限制，當它們同時滿足這3個原則時，可將這2個告警聚為1類，據此，可將大量的告警事件聚為若干類.通過聚類將告警映射形成的節點集Node轉化為節點序列集，即Node→{Nodeseqi|i=1,2,…}，進而為因果知識挖掘和攻擊場景構建作準備.

2.2 因果知識挖掘

在物理學中，很多確定性現象遵從演變原則：由時刻t0系統或過程所處的狀態，可以決定系統或過程在時刻t>t0所處的狀態，而無需借助于以前系統所處狀態的歷史信息.這種性質稱為Markov性或無后效性:

p(xi+1|xi,xi-1,…,x1)=p(xi+1|xi).

(2)

其中，p表示概率；xi表示系統當前所處的狀態，而xi+1表示系統下一時刻所處的狀態.

在攻擊建模的研究中，Ammann等人[22]首先提出攻擊者不會為了獲取已有權限而發動攻擊的觀點，得到相關學者的認可.由于攻擊過程中攻擊者獲得的攻擊資源為增量增長的，則依據Ammann等人[22]的觀點，攻擊者下一步的攻擊行為只與當前擁有的攻擊資源有關，而無需借助于攻擊者以前的攻擊行為.因此，本文將攻擊者實施的多步攻擊行為視為符合Markov鏈性質的離散隨機過程，進而利用Markov鏈模型進行因果知識挖掘.結合本文的因果知識網絡模型，利用節點之間的一步轉移概率矩陣來表示Markov鏈模型，即因果知識.

定義6. 因果知識K={K1，K2，K3，K4}.由于本文提出的因果知識網絡由2種不同性質的節點組成，則共有4個不同的一步轉移矩陣，分別用K1，K2，K3，K4表示.設因果知識網絡中的狀態節點s的個數為m個，攻擊行為節點v的個數為n個，則K1為m×n的矩陣，其每一個元素表示從狀態節點到攻擊行為節點(s→v)的一步轉移概率；則K2為n×m的矩陣，其每一個元素表示從攻擊行為節點到狀態節點(v→s)的一步轉移概率；則K3為m×m的矩陣，其每一個元素表示從狀態節點到狀態節點(s→s)的一步轉移概率；則K4為n×n的矩陣，其每一個元素表示從攻擊行為節點到攻擊行為節點(v→v)的一步轉移概率.K1，K2，K3，K4共同構成了因果知識網絡的因果知識.

設由告警映射及聚類得到的節點序列集為{Nodeseqi|i=1,2,…}，則基于Markov鏈模型的因果知識挖掘方法通過對{Nodeseqi|i=1,2,…}中各個節點序列中的一步轉移節點關系提取并計數，再依據Markov鏈所有轉移概率之和為1的要求進行標準化，進而得到一步轉移概率矩陣.以節點序列s1→s2→v1→s3→v2→v3→s4→v4→s5為例，則滿足s→v一步轉移節點關系的是s2→v1，s3→v2，s3→v3，s4→v4；滿足v→s一步轉移節點關系的是v1→s3，v3→s4，v4→s5；滿足s→s一步轉移節點關系的是s1→s2，s2→s3，s3→s4，s4→s5；滿足v→v一步轉移節點關系的是v1→v2，v2→v3，v3→v4.對{Nodeseqi|i=1,2,…}中各個節點序列進行同樣的節點關系提取并計數，進而根據所有轉移概率之和為1的要求進行標準化，從而得到一步轉移概率矩陣K1，K2，K3，K4：

滿足：

又由因果知識網絡結構得出2個修改原則：

1) 對于沒有父節點的節點，其他所有節點到此節點的一步轉移概率為0；

2) 對于沒有子節點的節點，此節點到其他所有節點的一步轉移概率為0.

根據以上2個修正原則，對K1，K2，K3，K4中的相關節點概率進行置0操作，即得到初步的因果知識.

2.3 因果知識的顯著性檢驗

因果知識是利用因果知識網絡進行定量推理的依據，因此因果知識的合理度直接影響了攻擊場景構建的準確度.為保證挖掘得到的因果知識準確合理，本文提出了基于成對數據t檢驗的方法對2.2節得到的初步的因果知識進行顯著性檢驗，只有通過顯著性檢驗的因果知識才能作為后續攻擊場景構建的依據.

2.3.1 顯著性檢驗理論依據

(3)

(4)

K3和K4是由告警挖掘得到的滿足s→v和v→

證畢.

如圖3所示因果知識網絡，則與其節點序列完全匹配的告警產生的節點序列集為s1→v1→s2→v2→s3→v3→s4和s1→v4→s4.

Fig. 3 An example of causal knowledge network圖3 因果知識網絡1

則由告警產生的節點序列集挖掘計算得到的因果知識轉移矩陣為

則:

2.3.2 顯著性檢驗具體方法

具體的顯著性檢驗過程如下：

H0:μD=0,
H1:μD≠0.

(5)

2.4 攻擊場景構建

本文提出的基于因果知識網絡的攻擊場景構建方法，依據因果知識網絡，將實時的攻擊場景構建分為初建和重構2步.

2.4.1 攻擊場景初建

2.4.2 攻擊場景重構

Step2. 結合因果知識網絡和貝葉斯推理方法，賦予每一下備選攻擊序列的先驗概率P(h)；

特別地，步驟2和步驟3中的攻擊序列的先驗概率以及攻擊序列與節點序列的似然度計算方法如下：

1) 攻擊序列的先驗概率計算方法

(6)

其中一步轉移概率由2.2節和2.3節挖掘得到的因果知識K提供.

2) 攻擊序列與節點序列間的似然度計算方法

攻擊序列與節點序列間的似然度本質是指特定攻擊場景下產生此告警的可能性，借助本文的因果知識網絡，攻擊場景可用因果知識網絡中的攻擊序列表示，而告警則可轉化為節點序列，于是兩者間的似然度可用序列間差異來表示.為了進一步量化似然度，本文引出序列長度和序列間距2個定義.

定義7. 序列長度L.用于表征因果知識網絡中的攻擊序列的長度，用攻擊序列中節點的總數量度量.如圖4所示的因果知識網絡中，攻擊序列s1→v2→s3→v6→s6→v10→s9的序列長度L=7.

Fig. 4 Another example of causal knowledge network圖4 因果知識網絡示例2

不妨設P(Nodeseq|Attackseq)為攻擊序列Attackseq與節點序列Nodeseq的似然，則得出以下定理.

定理2. 假設P(Nodeseq|Attackseq)與D(Nodeseq,Attackseq)成反比，即攻擊序列與節點序列間距越大，二者似然度越小，反之越大.則能夠得出：

(7)

證明. 由網絡攻擊實際知，當Nodeseq=?時，實際意義為當發生多步攻擊活動Attackseq時，獲取的告警集為空，由目前的網絡安全設備效率來講，這種情況的可能性很小，即P(?|Attackseq)=0；當Nodeseq=Attackseq時，實際意義為當發生多步攻擊活動Attackseq時，獲取了每一步攻擊活動的告警，發生這種情況的可能性很大，即P(Nodeseq|Attackseq)=1.由此可知，當Nodeseq=?時，D(Nodeseq,Attackseq)=L(Attackseq)，P(?|Attackseq)=0；當Nodeseq=Attackseq，D(Nodeseq,Attackseq)=0，P(Attackseq|Attackseq)=1.又由于P(Nodeseq|Attackseq)與D(Nodeseq,Attackseq)成反比，由2點式直線方程可知：

(8)

化簡得：

(9)

證畢.

P(Nodeseq|Attackseq)與D(Nodeseq,Attackseq)的關系如圖5所示：

Fig. 5 The relationship between P(Nodeseq|Attackseq) and D(Nodeseq,Attackseq)圖5 P(Nodeseq|Attackseq)與D(Nodeseq,Attackseq)的關系

由定理2，依據候選攻擊序列與節點序列的序列間距以及攻擊序列的長度即可計算出攻擊序列與節點序列的似然度.

3 實驗與分析

3.1 基于公開數據集的實驗分析

目前，能夠用于攻擊場景構建的公開數據集較少.1998年美國國防部為了加強網絡安全技術，實施了DARPA項目，此項目生成的數據集成為目前公認的可用于攻擊場景構建的數據集.DARPA實施了2個攻擊過程:LLDOS1.0和LLDOS2.0.由于LLDOS1.0和LLDOS2.0這2個攻擊場景的攻擊目標一致，都是對目標主機131.84.1.31實施DDOS攻擊，且它們的攻擊過程基本相似，均是利用Sadmind漏洞實施的DDOS攻擊過程.而區別在于LLDOS2.0比LLDOS1.0更難被檢測，其中的一些攻擊過程與正常的網絡行為相似，檢測系統并沒有產生相應的告警，相當于“漏報”的情況.而由于官方公布的數據集中沒有明確指出目標網絡的漏洞知識，鑒于此，依據大量學者[23-24]的研究，再加上對LLDOS1.0攻擊過程中產生告警的分析，構建此網絡的因果知識網絡，在此基礎上利用因果知識網絡對LLDOS2.0的攻擊場景進行構建.深入分析知，網絡中的漏洞信息、攻擊方法和告警類型對應關系如表1所示.構建的LLDOS因果關系網絡如圖6所示.

Table 1 Corresponding Relation of Vulnerability Information, Attack Method and Alarm Type in the Network表1 網絡中的漏洞信息、攻擊方法和告警類型的對應關系

由于LLDOS每一步利用的原子攻擊均比較簡單，其前提條件和后果均可由所利用的攻擊手段得出，例如IPSweep攻擊的前提條件為源主機能夠訪問目標主機，且目標主機存在ICMP Incorrectly Configured漏洞，攻擊的后果則為探測到目標主機的信息；Sadmind Exploit攻擊的前提條件為具有目標主機的普通權限，且目標主機存在Sadmind Buffer Overflow漏洞，攻擊的后果則為獲得目標主機的ROOT權限.因此，為了便于描述，不再具體給出每一個原子攻擊的前提后果條件.具體地，因果關系網絡中原子攻擊行為節點對應的攻擊手段如表2所示；因果關系網絡中狀態節點對應的IP地址如表3所示.LLDOS1.0的攻擊場景如圖7所示，深色節點表現了整個攻擊過程.

Table2TheAttackMeansCorrespondingAtomicAttackBehaviorNode

表2 原子攻擊行為節點對應的攻擊手段

Fig. 6 Causal relationship network of LLDOS圖6 LLDOS因果關系網絡

Table 3 The IP Address Corresponding to the Status Node

通過分析LLDOS2.0中告警，推理的LLDOS2.0的攻擊場景如圖8所示.圖8中黑色實心小圓表示此節點檢測到了告警，由于LLDOS2.0的攻擊手段比LLDOS1.0隱蔽，使得攻擊過程中存在告警漏報現象.結合因果關系網絡，可知對應v5，s5，v16，s14的告警出現漏報，整個攻擊過程如圖8中深色節點所展現.攻擊者先采用正常的DNS Query，查詢到DNS服務器172.16.115.20，并利用該主機中Sadmind漏洞獲得ROOT權限，再以該主機為跳板控制主機172.16.112.50，最后通過172.16.115.20和172.16.112.50對目標主機實施DDOS攻擊.

由上述實驗可知，盡管官方公布的數據中不含歷史告警庫，無法從中挖掘出因果知識，但是依據本文方法構建出因果關系網絡，并在此基礎上利用定性的告警映射關聯，能夠構建出LLDOS2.0的攻擊場景.

3.2 真實網絡環境中的實驗分析

為了進一步驗證本文方法的有效性，搭建了一個實際網絡環境來進行測試.實驗環境拓撲如圖9所示.

Fig. 7 Attack Scenario of LLDOS1.0圖7 LLDOS1.0的攻擊場景

Fig. 8 Attack Scenario of LLDOS2.0圖8 LLDOS2.0的攻擊場景

外網用戶可通過Internet訪問本網絡.實驗網絡分為4個區域，分別是DMZ區、子網1、子網2和子網3.DMZ區包含Web服務器和Email服務器.子網1由3臺主機構成.子網2由1臺工作站和1臺文件服務器組成.子網3包括1臺工作站和數據庫服務器.各區域的IDS負責檢測各區域中的異常行為并產生告警.網絡可達性設為：DMZ區由防火墻1保護并連接Internet，且只能訪問子網1中的主機1、子網2中的文件服務器和子網3中的數據庫服務器.子網1中的主機1能夠訪問子網2和子網3中的所有機器，主機3只能訪問主機1和數據庫服務器，主機2只能訪問主機3.子網2中的工作站1和子網3中的工作站2能訪問數據服務器和文件服務器.通過Nessus脆弱點掃描器對網絡各網絡段進行掃描，得到各主機中漏洞信息如表4所示.依據漏洞信息和CVSS分析得出的攻擊行為信息如表5所示.

根據圖9和表5，確定因果知識網絡基本結構如圖10所示，從初始狀態s1到目標狀態s9共有6條不同的攻擊路徑,分別是path1：s1→v1→s2→v5→s8→v13→s9；path2：s1→v1→s2→v3→s4→v6→s6→v11→s8→v13→s9；path3：s1→v1→s2→v4→s5→v7→s6→v11→s8→v13→s9；path4：s1→v1→s2→v4→s5→v8→s7→v12→s8→v13→s9；path5：s1→v1→s2→v4→s5→v10→s8→v13→s9；path6：s1→v2→s3→v1→s2→v4→s5→v9→s9.

Fig. 9 Experimental network topology圖9 實驗網絡拓撲圖

Table 4 The Information of Hosts and Vulnerabilities 表4 各主機信息及其所含漏洞信息

Table 5 The Information of Attack Behaviors表5 攻擊行為信息

Fig. 10 The causal knowledge network structure of experiment圖10 實驗得出的因果知識網絡結構

依據此網絡產生的告警集，利用本文提出的因果知識挖掘方法得到的通過顯著性檢驗(取顯著性水平α=0.05)的因果知識為K={K1，K2，K3，K4}，具體地：

實驗模擬了3個不同的攻擊場景，用于驗證告警冗余及缺失時攻擊場景構建的準確性.具體實驗結果如表6所示.

實驗1對于告警缺失的情況進行了模擬，模擬的攻擊序列為s1→v1→s2→v3→s4→v6→s6→v11→s8→v13→s9，而由告警映射形成的節點序列為s1→v1→v3→s4→v6→v11→v13→s9，即缺失了狀態節點s2，s6，s8.結合因果知識網絡選取了2個候選的攻擊序列：s1→v1→s2→v3→s4→v6→s6→v11→s8→v13→s9和s1→v1→s2→v4→s5→v7→s6→v11→s8→v13→s9.依據本文提出的基于最大后驗假設估計的攻擊場景定量重構方法，計算得出前者的概率為0.845×0.572×(11-3)11=0.351 52，后者的概率為0.845×0.144×0.238×(11-5)11=0.015 796，取二者概率最大的攻擊序列，即可得出重構后的攻擊序列為s1→v1→s2→v3→s4→v6→s6→v11→s8→v13→s9，與模擬的攻擊序列一致，故攻擊場景構建成功.實驗2模擬了告警冗余的情況，模擬的攻擊序列為s1→v1→s2→v5→s8→v13→s9，而由告警映射形成的節點序列為s1→v2→s2→v5→v3→s8→v13→s9，即v3為冗余的告警.結合因果知識網絡選取了2個候選的攻擊序列：s5→v8→s7→v12→s8→v13→s9和s1→v1→s2→v3→s4→v6→s6→v11→s8→v13→s9.同樣方法計算得出前者的概率為0.845×0.284×(7-1)7=0.205 7，后者的概率為0.845×0.572×(11-7)11=0.175 76，取二者概率最大的攻擊序列，即可得出重構后的攻擊序列為s5→v8→s7→v12→s8→v13→s9，與模擬的攻擊序列一致，故攻擊場景構建成功.實驗3模擬了告警冗余和告警缺失這種混合情況，模擬的攻擊序列為s1→v1→s2→v4→s5→v8→s7→v12→s8→v13→s9，而由告警映射形成的節點序列為s1→v1→s2→s5→v9→v8→s8→v13→s9，即缺失了告警v4、s7和v12，而v9為冗余的告警，依據因果知識網絡，選取了3個候選的攻擊序列：s1→v1→s2→v4→s5→v8→s7→v12→s8→v13→s9，s1→v1→s2→v4→s5→v7→s6→v11→s8→v13→s9，s1→v1→s2→v4→s5→v2→s3→v9→s9.計算得出三者的概率分別為：0.845×0.144×0.301×(11-4)11=0.205 7=0.023 3，0.845×0.144×0.238×(11-7)11=0.010 5，0.845×0144×0.155×0.175×(9-4)9=0.001 8，取3者概率最大的攻擊序列，即可得出重構后的攻擊序列為s1→v1→s2→v4→s5→v8→s7→v12→s8→v13→s9，與模擬的攻擊序列一致，故攻擊場景構建成功.

Table 6 Experimental Results of Three Different Simulated Attackseq表6 不同模擬攻擊序列下的實驗結果

此外，與陳小軍等人[12]的結果相比，在他們的第2個實驗中，由于觀測事件o6的置信度為1，而觀測事件o7和o9的置信度小于1，因此應用本文的方法可將文中求最可能的攻擊路徑的問題轉化為已知節點序列v7→v9的條件下求最有可能的攻擊場景.由于攻擊目標狀態節點為s5，則候選的攻擊序列為s0→v6→s6→v7→s7→v8→s8→v9→s4→v5→s5和s0→v10→s7→v8→s8→v9→s4→v5→s5.計算可得前者的概率為0.8×1×0.8×1×0.5×1×0.9×1×(11-8)11=0.0785，后者的概率為0.8×1×0.8×1×0.5×1×0.9×1×(9-8)9=0.032，取二者概率最大的攻擊序列，故應用本文方法構建的攻擊場景為s0→v6→s6→v7→s7→v8→s8→v9→s4→v5→s5，與原文中結果保持一致，而由于陳小軍的方法計算的是累積概率，導致其概率計算結果相對較大.

綜上，本實驗驗證了本文提出的基于因果知識網絡的攻擊場景構建方法適用于解決告警缺失及冗余條件下攻擊場景的構建問題.

4 結束語

目前，以高級持續性威脅(advanced persistent threat, APT)攻擊為代表的多步攻擊行為給網絡安全造成了極大的威脅.攻擊場景構建能夠通過告警數據重現攻擊者的攻擊過程，為攻擊行為分析及預測提供了重要依據，是應對多步攻擊威脅和實施網絡安全主動防御的重要手段.然而，在當前有關攻擊場景構建的研究中，普遍缺乏對告警缺失及冗余的考慮，導致攻擊場景構建不完整、不準確.針對此問題，本文提出了基于因果知識網絡的攻擊場景構建方法.首先選給出了因果知識網絡的相關定義，并設計了獲取因果知識網絡的方法；然后在因果知識網絡的基礎上，利用概率推理分2步重構攻擊場景.實驗結果表明，該方法能利用專家知識和數據挖掘相結合的優勢，能夠提高攻擊場景構建的準確度，為網絡管理員理解當前攻擊行為態勢提供了重要依據.未來的工作包括考慮目標網絡存在零日漏洞條件下攻擊場景的重構問題.