基于告警語義分析的物聯網攻擊行為研究方法

馬超

【摘 ?要】

針對物聯網原始告警數量龐大、告警語義級別低、數據孤立、關聯分析薄弱所導致的誤報率過高的問題，提出一種基于告警語義分析的物聯網攻擊行為研究方法。通過告警信息以及具體的網絡環境生成蘊含脆弱連接關系、網絡連接關系的網絡行為攻擊圖，以圖形化模擬物聯網系統可能受到的所有攻擊路徑并識別系統的脆弱性;在采用聚類分析的方法對各種告警類型進行分類的基礎上，采用深淺層關聯分析的方法，實現攻擊圖知識庫的構建;最后，通過在線檢測告警行為，利用在線關聯實時告警模型，實現過濾告警冗余、告警實時分析以及提供語義級別更高的攻擊場景展現。提出的方法結合具體的網絡環境構建攻擊圖知識庫，所以在一定程度上提升了告警過濾效果和告警準確率，降低了管理者對攻擊者攻擊行為的檢測和告警分析的難度。

【關鍵詞】告警語義;攻擊圖知識庫;概率后綴樹

0 ? 引言

自從1999年，寶潔公司Kevin Ashton首次提出Internet of things后，物聯網便成為連接物理世界和數字虛擬世界的主要信息網絡。目前，物聯網在各領域隨處可見，包括智慧城市、工業制造、交通、醫療、農業等領域。隨著物聯網的廣泛應用，物聯網面臨著兩個最要的問題[1-3]：（1）海量的數據包含著個人隱私和其他重要信息，對網絡的安全性提出了更高的要求;（2）物聯網感知節點數量龐大且自我保護能力極為脆弱，極其容易受到暴力破解、偽造身份、路由攻擊、節點隱私泄露等手段的破壞，對物聯網的安全傳輸問題造成極大的影響。現有的物聯網分析技術主要采用數據融合以及各種數據統計技術和機器學習的方法。比如：采用概率或神經網絡的方法實現物聯網攻擊行為的預測，這些方法都是利用告警之間的相似性來進行告警分類和攻擊行為分析。雖然其在告警分類和告警過濾方面有較好的效果，能減少誤警數量、降低告警冗余度，但是不能有效地還原攻擊場景，更不能有效預測攻擊者的意圖。

為了解決物聯網由于攻擊所導致網絡安全的問題，本文提出了提出一種基于告警語義分析的物聯網攻擊行為研究方法。該方法結合具體的網絡環境實現攻擊路徑的圖形化和高語義級別攻擊場景告警信息的展現，實現了攻擊者意圖的預測，降低了攻擊行為的檢測和告警分析的難度。

1 ? 基于告警語義分析的物聯網攻擊行為方法

1.1 ?構建網絡環境的攻擊圖

物聯網產生數量龐大、語義級別較低的告警信息，現有的網絡攻擊分析技術大多數是基于專家經驗和統計關聯規則來實現的，這種做法不僅導致網絡誤報頻發，還導致攻擊行為分析脫離網絡環境實際情況[4-5]。因此，本文在對告警行為進行關聯時，充分考慮網絡告警信息、網絡拓撲結構、端口開放性、漏洞信息、節點重要性、脆弱性信息等網絡環境因素，將低語義級別的告警信息轉化成高級別的攻擊場景，生成蘊含脆弱連接關系、網絡連接關系的網絡行為攻擊圖，能夠更有效地對告警信息進行語義關聯分析。攻擊圖的自動生成模型如圖1所示。

漏洞信息結合網絡拓撲能夠推斷漏洞風險級聯傳播路徑，能夠對系統整體的攻擊路徑進行初級地模擬，實現漏洞風險量化。

告警信息是由于網絡入侵者的違規操作所導致的監測模塊出現冗余的告警信息，本文在對語義級別較低的告警信息提取的基礎上，對引起告警信息的指標和端口開放性的關聯關系構建貝葉斯網絡，通過大量的告警數據獲取告警指標在該網絡環境下的條件概率，初始識別木馬攻擊、病毒、Dos控制、誤操作等相關威脅。

在識別網絡環境初始威脅的基礎上，結合網絡脆弱性信息和系統中節點的重要性信息，構建蘊含脆弱連接關系、網絡連接關系的網絡行為攻擊圖[6-7]。

1.2 ?構建攻擊圖知識庫

攻擊圖中的攻擊行為執行，僅僅是一種從淺層語義的攻擊行為關聯。不同的在線檢測系統設置的攻擊行為的規則以及檢測重點不一致，因此會出現網絡攻擊行為的多米諾效應，也就存在網絡攻擊行為A引發網絡攻擊行為B，網絡攻擊行為B也引發網絡攻擊行為A。這種網絡行為的多米諾效應在很多程度增加了對告警分析處理的難度，因此，本文提出了基于深淺層關聯分析的攻擊圖知識庫構建的方法，具體的構建框架如圖2所示：

攻擊圖知識庫構建的步驟包括：

首先，告警預處理。告警信息具有很大的冗余性，需要采用告警規范或者告警過濾方法對告警進行預處理，減低告警信息的數量。

其次，采用一種聚類或者分類算法根據告警信息或者告警特征進行數據融合，并基于每個攻擊行為階段性特征的不同，采用淺層關聯分析的方法實現攻擊行為階段性分類。基于海量告警信息進行聚類分析依賴于聚類中心計算的迭代次數和聚類個數，本文基于特定攻擊場景淺層關聯方法對攻擊行為的階段性進行分類，為攻擊圖知識庫的構建提供基礎信息。

再次，提取攻擊行為的特征，并結合攻擊行為的序列進行攻擊行為階段的淺關聯。

最后，利用概率后綴樹，采用相似性分析和攻擊行為映射的方法實現攻擊行為的強關聯。

1.3 ?基于攻擊圖知識庫的在線關聯實時告警

由于物聯網會在短時間發生高速、龐大的告警信息流，因此，采用傳統的對存儲的告警信息進行離線分析的方法顯然存在問題，因此，基于攻擊圖知識庫的在線關聯實時告警模型能夠對海量的告警信息進行有效處理并有效過濾冗余警告，將警告進行基于攻擊圖知識庫的攻擊行為分析后，最后實現攻擊場景的展現。基于攻擊圖知識庫的在線關聯實時告警模型如圖3所示：

首先，基于在線檢測模塊實現告警采集。通過網絡入侵檢測系統和主機入侵檢測系統，對主機和網絡流量信息進行動態監控，一旦發現異常，立即告警。

其次，基于告警信息的分析。告警分析模塊對在線檢測到的告警信息進行預處理后，結合告警信息的時間序列進行關聯分析，并將告警數據庫輸入到在線關聯實時告警模型中。

再次，在線關聯實時告警模型實現過濾冗余警告、告警分析結果、系統數據監控。在利用在線關聯模塊對告警信息進行處理之前，利用歷史告警信息、網絡脆弱性信息和網絡拓撲信息生成網絡攻擊圖。在此基礎上，考慮到告警信息冗余性以及其他噪音的影響到引發的攻擊行為多米諾式的效應，因此在構建攻擊圖知識庫的過程先利用基于K-means的告警融合及攻擊行為階段性分類，然后基于概率后綴樹攻擊行為深關聯，最終實現網絡行為攻擊知識庫的構建。

最后，攻擊場景展現。攻擊場景展現包括兩個應用，第一是基于攻擊路徑預測告警序列;第二是將當前告警映射到攻擊圖中的攻擊路徑，進而提供語義級別更高告警信息。

2 ? 實驗分析

本文搭建一個實驗網絡環境驗證本文算法的有效性和正確性。按照現有的網絡環境、攻擊圖知識庫和在線關聯實時告警模型進行實驗系統的搭建，并以蜜網的相關網段進行了多次攻擊實驗，驗證本文算法的可行性和告警關聯的準確性。

物聯網攻擊分析模塊運行在一個蜜網的后端，它以蜜網中主機上部署的多個的告警作為分析的數據源，由于蜜網實際上是一個非安全網絡，該實驗蜜網實際上是被攻擊和被利用的資源集合。實驗配置具體包含3個主機和2個服務器，以及2個防火墻和2個IDS。主機的配置為IntelCorei5-8400CPU@2.8GHz，雙核，2 T硬盤，操作系統為Windows10的主機;選用MySql數據庫作為攻擊行為的存儲和處理;以開發工具PyCharm實現對數據的處理和算法的實現。

在攻擊檢測分析階段，本文對蜜網的相關網段進行了多次不同類型的攻擊，產生了大量的告警信息，并通過特定的數據采集設備采集實驗數據。

結合漏洞信息、端口信息、蜜網相關網段的網絡拓撲信息、告警信息、系統脆弱信息以及網絡集群節點重要性信息，利用攻擊圖生成工具，生成蘊含脆弱連接關系、網絡連接關系的網絡行為攻擊圖。

在生成攻擊圖的基礎上，通過將告警信息進行一系列的預處理、告警聚類、以攻擊場景淺關聯后，采用概率后綴樹對攻擊行為進行語義映射，形成具有深層語義的攻擊行為的攻擊知識庫。

在線關聯實時分析階段，基于在線檢測模型實現告警采集，利用攻擊圖知識庫的在線關聯實時告警模型實現告警信息的結果分析和系統數據的實時監控。

在攻擊行為的展現與預測階段，實現基于攻擊路徑預測告警序列以及將當前告警映射到攻擊圖中的攻擊路徑，進而提供語義級別更高告警信息的展現。

根據本文的實驗攻擊場景，對蜜網相關網段進行多次攻擊，并適用傳統的告警分析程序和本文提出的基于攻擊知識庫的攻擊行為分析模型進行對比，得到的一系列對比結果如表1所示。

對表1中的5個攻擊場景分別進行了傳統告警分析和基于攻擊知識庫的攻擊行為分析，在相同的攻擊行為條件下，傳統告警分析和本文提出的基于攻擊知識庫的攻擊行為分析得到的過濾告警數量、告警關聯準確率以及告警準確率如表1所示。本文方法在過濾后告警占比相比于傳統方法高出約5%，這歸因于本文的兩個處理步驟：第一，本文采用網絡拓撲信息、告警信息、系統脆弱信息以及網絡集群節點重要性信息，生成蘊含脆弱連接關系、網絡連接關系的網絡行為攻擊圖，這種基于具體的網絡環境構建攻擊圖知識庫，能夠在一定程度上反映攻擊者的真正意圖;第二，本文在構建攻擊圖知識庫的過程中，采用基于K-means的告警融合及攻擊行為階段性分類，降低了由于告警信息冗余性以及其他噪音的影響到引發的攻擊行為多米諾式的效應對告警信息產生的影響，從而提升了過濾冗余警告的能力。

除此之外，本文的告警關聯準確率和告警準確率均高于傳統的算法，這是因為本文在對告警分析時，采用了深淺層結合的方法，結合具體的網絡環境實現攻擊路徑的圖形化和高語義級別攻擊場景告警信息的展現，實現了攻擊者意圖的預測。通過淺層關聯，結合攻擊行為序列定義攻擊行為的階段;通過深層關聯，利用攻擊行為映射技術，實現攻擊行為強關聯，獲取攻擊行為的真正路徑。因此，本文提出的方法能更好地對告警進行關聯分析，準確率更高。

3 ? 結束語

本文提出了一種基于告警語義分析的物聯網攻擊行為研究方法，該方法解決的難點是如何對高速、海量的告警信息進行實時的關聯分析。本文結合具體的網絡環境構建網絡行為攻擊圖及深淺層關聯分析相結合的攻擊行為知識庫，并實現在線關聯實時告警。該方法在實驗系統中取得了良好的告警過濾效果和告警準確率，從實驗效果可知，本文提出的模型能夠較為快速、準確識別物聯網的各種攻擊行為，具有一定的擴展性。

參考文獻：

[1] ? ? 江澤鑫. 電力物聯網信息安全防護技術研究[J]. 信息技術與網絡安全， 2020（1）： 31-37.

[2] ? ? 鈕鑫，楊小來. 物聯網系統安全威脅分析與研究[J]. 科技通報， 2019，35（5）： 132-137.

[3] ? ?楊陽，王利斌，馮磊，等. 以泛在電力物聯終端行為分析為核心的物聯網應用安全管控思路及實現[J]. 電子世界， 2019（22）： 133-135.

[4] ? ? 胡雙雙. 基于蜜網的攻擊行為分析[D]. 北京： 北京郵電大學， 2015.

[5] ? ?胡文龍. 蜜網的數據融合與關聯分析的研究與實現[D]. 北京： 北京郵電大學， 2015.

[6] ? ?楊改貞. 基于置信度的網絡攻擊圖節點回流建模仿真[J]. 計算機仿真， 2019，36（9）： 338-341.

[7] ? 楊英杰，冷強，潘瑞萱，等. 基于屬性攻擊圖的動態威脅跟蹤與量化分析技術研究[J]. 電子與信息學報， 2019，41（9）： 2172-2179.

[8] ? 方芳，王亞，王石，等. 基于語義分類和描述框架的網絡攻擊知識抽取研究及其應用[J]. 中文信息學報， 2019，33（4）： 53-64.

[9] ? ?李可一. 基于報警關聯的多步攻擊場景挖掘方法的研究與實現[D]. 北京： 北京郵電大學， 2019.

[10] ?郭韜. 基于關聯分析的攻擊場景重構算法研究[D]. 北京： 北京郵電大學， 2018.