一种面向无线入侵检测系统的复杂攻击识别方法技术方案

技术编号:15726886 阅读:103 留言:0更新日期:2017-06-29 22:24
本发明专利技术涉及面向无线入侵检测系统的复杂攻击识别技术,包括如下步骤:步骤一、数据采集;步骤二、单步攻击识别;步骤三、复杂攻击识别;步骤四、信息展示界面;本发明专利技术的有益效果是:1)对单步攻击的识别采用hybird架构,增强了单步攻击识别准确率,减少误报漏报;2)对复杂攻击识别采用评估机制,而非单纯的是或否来判断单步攻击行为,进而生成攻击序列,有效减少模块间信息失真造成最终结果失真;3)设计了一种识别复杂攻击并预测攻击者最终意图的算法,对于存在明显特征行为的复杂攻击意图具有较好的预测结果。

【技术实现步骤摘要】
一种面向无线入侵检测系统的复杂攻击识别技术
本专利技术涉及复杂攻击识别技术,更具体说,它涉及一种识别复杂攻击并预测攻击者最终意图的识别技术。
技术介绍
近几年来无线网络越来越普及,无论是在公司内部,公共场所还是消费者家中都会部署无线局域网WLAN,而非常丰富的接入点AP也极大的方便了人们尤其是使用移动终端的用户。移动端的用户量这些年一直在增长,而很多应用如社交、游戏、影音、新闻、金融等也越来越偏向于让用户使用移动端来交互,这是移动端的天然优势。但由于无线通信协议本身的缺陷,或者这些移动端设备制造时留下的漏洞,使得用户的信息、财产甚至生命都会受到潜在的威胁。这些设备所使用的移动网络成了入侵的门路,而移动端特别是手机端就成了不法者获取非法信息的来源或实施攻击、诈骗的载体。所以如何尽量填补移动互联网中的漏洞,以及如何检测和防范针对它的各种已知和未知的入侵,是一件相当重要的事情。为此已经发展了很多相关技术,其中主要有防火墙、入侵检测和防御技术,它们已经在有线网络环境安全中有了很大的应用。而针对无线网络环境的则是无线入侵检测和防御系统WIDS\WIPS。另一事实是攻防两方都是在发展的,攻击者为了达到他们的目的,也在开发更加复杂的攻击技术。目前针对无线网络环境的攻击者往往会实施很多的攻击步骤来接近目标,这大大增加了入侵检测或防御难度,而传统的误用检测如Snortrules等只适用于单步攻击,针对复杂攻击的研究,目前主要还集中在有线入侵检测领域,而无线网络和有线网络在攻击行为上存在很大差异,比如攻击目标不同,有线网络攻击目标多为主机,而无线网络则包含AP、PC端和移动终端等;攻击层次不同,有线网络攻击多为网络层及以上,而无线网络攻击涉及物理层和逻辑链路层;攻击手段不同,有线网络攻击往往探测主机漏洞来入侵,而无线网络攻击主要是破解密钥,非法接入或伪装来对流量进行操作,由于无线攻击的这些特殊性,尚无有效的适用复杂攻击的多步无线攻击检测技术。
技术实现思路
本专利技术的目的是克服现有技术中的不足,提供一种识别复杂攻击并预测攻击者最终意图的面向无线入侵检测系统的复杂攻击识别技术。为实现上述技术目的,本专利技术采用了以下技术方案:面向无线入侵检测系统的复杂攻击识别技术,包括如下步骤:步骤一、数据采集系统数据采集来源为线上线下两种,线上采用kismet分布式采集或libpcap,接口一般为monitormode的USB网卡,或者是kismet写入的tun/tap虚拟接口;采集到的数据包根据数据链路层类型又分为三种格式,正确解析可得到各个层各字段信息,其中radiotap和PPI将包含诸如接收信号强度指示器(ReceivedSignalStrengthIndicator,RSSI)等物理层特征;步骤二、单步攻击识别由两个部分组成,一个是一种通用的无需训练的检测方法(GeneralDetector),对于各个攻击行为,只需设定所需metric即可;另外针对特定攻击行为,使用误用检测技术,通过配置攻击签名库(SignatureDatabase)来判断的方法(SpecificationDetector);本模块将结合两种识别方法来判断单步攻击是否发生,以及攻击者影响到的帧;步骤三、复杂攻击识别步骤二产生一系列的单步攻击信息SAI存入到攻击数据库(AttackDatabase)中,供复杂攻击识别模块进行分析;复杂攻击识别对应IDS的告警关联阶段,而攻击图用于告警关联;复杂攻击识别就使用了逻辑攻击图(logicattackgraph,LAG),和虚拟拓扑图(virtualtopologygraph,VTG)搭配去挖掘攻击路径(AttackPath);复杂攻击识别包含告警精简,VTG生成器,LAG生成器,签名数据库,攻击路径解析器,复杂攻击评估等子模块,其架构如图4所示;上一步得到的单步攻击的告警,在这一模块中,将有两个主要步骤;首先需要预处理,去除无关告警和重复告警,精简告警数量;第二步需要通过整理得到的超告警hyperalert去识别攻击者易采取的攻击序列,并预测攻击者后续动作和最终意图;识别攻击序列时,从逻辑上将告警(Alert)分为三类;一类是已检测到的告警(AlertDetected,ADE),这类告警明确属于某种单步攻击;一类是未检测到的告警(AlertUndetected,AUD),即可能丢失的告警;一类是未来将发生的告警(AlertPredicted,APR),即预测结果;第一类告警还分为属于真实意图的告警(AlertReal,AR)以及扰乱告警(AlertDisturbed,AD);步骤四、信息展示界面信息展示界面包含VTG可视化图,排序攻击链以及攻击目标预测;无线入侵检测系统实时显示当前VTG,通过VTG让用户观察出当前网络是否有攻击行为发生,以及通过对虚拟节点间流量的统计来突出攻击者和受害者等重要节点的位置;排序攻击链则实时显示当前估计的所有可能的攻击链,其中排在前面的1个或几个攻击链对应的攻击意图则为当前预测攻击者意图。所述步骤二具体包括:(一)识别方法对于一个帧而言,有Θ={NF,MF},其中{NF|MF}=UF(uncertainframe);对于每一个metric,维持一个滑动窗口(slidingwindow,SW),其长度为n,则有n个NF帧在其中组成profiledataset;若检测到一个帧为MF,则不会将其放入SW中,若检测为NF则更新SW;该方法对的基本概率分配(BPA)如下:BeliefMF:SW中metric重复最大次数F,均值mean,最大Euclidean距离Dmax,角度α计算方法见公式1;而对于每一个进入的帧,角度β计算方法见公式2;其中D是该帧的metric对应mean的Euclidean距离,值为BeliefNF:将SW中的数据按metric大小顺序排列后,根据进入帧的metric值所在位置分配固定值;离中位数越近取值越高,最高为0.5;BeliefUF:根据前面两种分配数值有以下四种情形:(1)MF取低值,NF取低值;(2)MF取低值,NF取高值;(3)MF取高值,NF取低值;(4)MF取高值,NF取高值;在(2)(3)种情形下,MF和NF没有冲突则分配UF一个较小值;在(1)(4)种情形下则需要分配较高值;分配方法是先按公式3计算出BeliefUF,而后按公式4和公式5重新分配各个Belief值使其和为1;m(x)=Beliefx-μ公式(5)之后合成各个metric的BPA,并设定阈值,用于判定进入帧是MF还是NF;要使得该方法有效有三个需要满足的条件;第一,正常流量占总流量大部分;第二,NF、MF的metrics值有明显差异;第三,滑动窗口长度n的设置;n取值过小,则无法包含足够信息,取值过大,则增加误入MF风险,同时延长检测过程;(二)攻击签名单步攻击检测中的误用检测,使用攻击签名模型EDL来描述攻击行为,而SpecificationDetector据此签名数据库signaturedatabase来进行检测;若检测到单步攻击,则有8元组s_attack(name,src,dst,tran,ftime,etime,bssid,rframes);其中name为攻击名,src为AN地本文档来自技高网
...
一种<a href="http://www.xjishu.com/zhuanli/62/201710092708.html" title="一种面向无线入侵检测系统的复杂攻击识别方法原文来自X技术">面向无线入侵检测系统的复杂攻击识别方法</a>

【技术保护点】
一种面向无线入侵检测系统的复杂攻击识别技术,其特征在于:包括如下步骤:步骤一、数据采集系统数据采集来源为线上线下两种,线上采用kismet分布式采集或libpcap,接口为monitor mode的USB网卡,或者是kismet写入的tun/tap虚拟接口;采集到的数据包根据数据链路层类型又分为三种格式,正确解析可得到各个层各字段信息,其中radiotap和PPI包含接收信号强度指示器物理层特征;步骤二、单步攻击识别由两个部分组成,一个是一种通用的无需训练的检测方法,对于各个攻击行为,只需设定所需metric即可;另外针对特定攻击行为,使用误用检测技术,通过配置攻击签名库来判断的方法;本模块将结合两种识别方法来判断单步攻击是否发生,以及攻击者影响到的帧;步骤三、复杂攻击识别步骤二产生一系列的单步攻击信息SAI存入到攻击数据库中,供复杂攻击识别模块进行分析;复杂攻击识别对应IDS的告警关联阶段,而攻击图用于告警关联;复杂攻击识别就使用了逻辑攻击图,和虚拟拓扑图搭配去挖掘攻击路径;复杂攻击识别包含告警精简,VTG生成器,LAG生成器,签名数据库,攻击路径解析器,复杂攻击评估等子模块,其架构如图4所示;上一步得到的单步攻击的告警,在这一模块中,将有两个主要步骤;首先需要预处理,去除无关告警和重复告警,精简告警数量;第二步需要通过整理得到的超告警去识别攻击者易采取的攻击序列,并预测攻击者后续动作和最终意图;识别攻击序列时,从逻辑上将告警分为三类;一类是已检测到的告警,这类告警明确属于某种单步攻击;一类是未检测到的告警,即可能丢失的告警;一类是未来将发生的告警,即预测结果;第一类告警还分为属于真实意图的告警以及扰乱告警;步骤四、信息展示界面信息展示界面包含VTG可视化图,排序攻击链以及攻击目标预测;无线入侵检测系统实时显示当前VTG,通过VTG让用户观察出当前网络是否有攻击行为发生,以及通过对虚拟节点间流量的统计来突出攻击者和受害者等重要节点的位置;排序攻击链则实时显示当前估计的所有可能的攻击链,其中排在前面的1个或几个攻击链对应的攻击意图则为当前预测攻击者意图。...

【技术特征摘要】
1.一种面向无线入侵检测系统的复杂攻击识别技术,其特征在于:包括如下步骤:步骤一、数据采集系统数据采集来源为线上线下两种,线上采用kismet分布式采集或libpcap,接口为monitormode的USB网卡,或者是kismet写入的tun/tap虚拟接口;采集到的数据包根据数据链路层类型又分为三种格式,正确解析可得到各个层各字段信息,其中radiotap和PPI包含接收信号强度指示器物理层特征;步骤二、单步攻击识别由两个部分组成,一个是一种通用的无需训练的检测方法,对于各个攻击行为,只需设定所需metric即可;另外针对特定攻击行为,使用误用检测技术,通过配置攻击签名库来判断的方法;本模块将结合两种识别方法来判断单步攻击是否发生,以及攻击者影响到的帧;步骤三、复杂攻击识别步骤二产生一系列的单步攻击信息SAI存入到攻击数据库中,供复杂攻击识别模块进行分析;复杂攻击识别对应IDS的告警关联阶段,而攻击图用于告警关联;复杂攻击识别就使用了逻辑攻击图,和虚拟拓扑图搭配去挖掘攻击路径;复杂攻击识别包含告警精简,VTG生成器,LAG生成器,签名数据库,攻击路径解析器,复杂攻击评估等子模块,其架构如图4所示;上一步得到的单步攻击的告警,在这一模块中,将有两个主要步骤;首先需要预处理,去除无关告警和重复告警,精简告警数量;第二步需要通过整理得到的超告警去识别攻击者易采取的攻击序列,并预测攻击者后续动作和最终意图;识别攻击序列时,从逻辑上将告警分为三类;一类是已检测到的告警,这类告警明确属于某种单步攻击;一类是未检测到的告警,即可能丢失的告警;一类是未来将发生的告警,即预测结果;第一类告警还分为属于真实意图的告警以及扰乱告警;步骤四、信息展示界面信息展示界面包含VTG可视化图,排序攻击链以及攻击目标预测;无线入侵检测系统实时显示当前VTG,通过VTG让用户观察出当前网络是否有攻击行为发生,以及通过对虚拟节点间流量的统计来突出攻击者和受害者等重要节点的位置;排序攻击链则实时显示当前估计的所有可能的攻击链,其中排在前面的1个或几个攻击链对应的攻击意图则为当前预测攻击者意图。2.根据权利要求1所述的面向无线入侵检测系统的复杂攻击识别技术,其特征在于,所述步骤二具体包括:(一)识别方法对于一个帧而言,有Θ={NF,MF},其中{NF|MF}=UF(uncertainframe);对于每一个metric,维持一个滑动窗口(slidingwindow,SW),其长度为n,则有n个NF帧在其中组成profiledataset;若检测到一个帧为MF,则不会将其放入SW中,若检测为NF则更新SW;该方法对的基本概率分配(BPA)如下:BeliefMF:SW中metric重复最大次数F,均值mean,最大Euclidean距离Dmax,角度α计算方法见公式1;而对于每一个进入的帧,角度β计算方法见公式2;其中D是该帧的metric对应mean的Euclidean距离,值为BeliefNF:将SW中的数据按metric大小顺序排列后,根据进入帧的metric值所在位置分配固定值;离中位数越近取值越高,最高为0.5;BeliefUF:根据前面两种分配数值有以下四种情形:(1)MF取低值,NF取低值;(2)MF取低值,NF取高值;(3)MF取高值,NF取低值;(4)MF取高值,NF取高值;在(2)(3)种情形下,MF和NF没有冲突则分配UF一个较小值;在(1)(4)种情形下则需要分配较高值;分配方法是先按公式3计算出BeliefUF,而后按公式4和公式5重新分配各个Belief值使其和为1;m(x)=Beliefx-μ公式(5)之后合成各个metric的BPA,并设定阈值,用于判定进入帧是MF还是NF;要使得该方法有效有三个需要满足的条件;第一,正常流量占总流量大部分;第二,NF、MF的metrics值有明显差异;第三,滑动窗口长度n的设置;n取值过小,则无法包含足够信息,取值过大,则增加误入MF风险,同时延长检测过程;(二)攻击签名单步攻击检测中的误用检测,使用攻击签名模型EDL来描述攻击行为,而SpecificationDetector据此签名数据库signaturedatabase来进行检测;若检测到单步攻击,则有8元组s_attack(name,src,dst,tran,ftime,etime,bssid,rframes);其中name为攻击名,src为AN地址,dst为VN地址,tran为SN地址,ftime为检测出时间,etime为估计攻击最早发生时间,bssid为VN所在网络BSSID,rframes为相关MF帧集合;(三)单步攻击决策根据上述两种检测方法得到的结果,综合判断攻击是否发生;两种检测方法均建立内存数据库,存储所有检测的历史数据;GeneralDetector存储每个帧的信任区间,SpecificationDetector存储每个检测到s_attack;单步攻击决策函数为s_decsion(t):int->[0,1],t为某时刻,结果为攻击发生可能性(attackpossiblility,AP);s_decsion将从内存数据库中分别根据帧的时间戳和ftime查找t附近的数据;若某种攻击行为只进行了其中一种检测方法,则以其为准;若两者均处于检测中则对某时刻t有如下情形:(1)GeneralDetector检测到,SpecificationDetector检测到;(2)GeneralDetector检测到,SpecificationDetector未检测到;(3)GeneralDetector未检测到,SpecificationDetector检测到;(4)GeneralDetector未检测到,SpecificationDetector未检测到;在(1)(4)情形下,两者结果一致则直接以此为结果,为1和0;在(2)情形下,认为有攻击A发生,对应该MF,结果为公式6所示;αBelMF(A)+βPlMF(A)公式(6)在(3)情形下,对应该攻击和帧的信任区间或拒绝证据区间较大,此时认为有攻击A发生,对应s_attack;此时,计算s_attack中r_frames的所有信任区间的均值如公式7、8所示;若均值满足GeneralDetector设定的阈值,则结果为1,否则结果按公式9计算;αBelr_frames(A)+βPlr_frames(A)公式(9)上述有参数α+β=1,α,β∈[0,1],通常取值α=β=0.5;单步攻击决策中,需要对帧的分类,单步攻击结果输出进行统一化;在(1)情形下,将GeneralDetector对应的MF加入到rframes中,在(2)情形下,根据MF构造出s_attack(A,MF.mac_src,MF.mac_dst,MF.mac_reciever,MF.timestamp,MF.bssid,{MF}),其中的name为A,src为MF数据链路层的源地址,dst为MF的目的地址,tran为接收端地址,ftime和e...

【专利技术属性】
技术研发人员:陈观林吴颖
申请(专利权)人:浙江大学城市学院
类型:发明
国别省市:浙江,33

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1