一種新的多步攻擊場(chǎng)景構(gòu)建技術(shù)研究

王澤芳　袁　平　黃曉芳

(西南科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院　四川綿陽(yáng)　621010)

?

一種新的多步攻擊場(chǎng)景構(gòu)建技術(shù)研究

王澤芳袁平黃曉芳

(西南科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院四川綿陽(yáng)621010)

摘要：將無候選序列的最大序列模式挖掘思想應(yīng)用到多步攻擊場(chǎng)景的構(gòu)建中，改變了以往利用序列模式挖掘思想產(chǎn)生較多攻擊序列模式、耗費(fèi)大量?jī)?nèi)存和時(shí)間、不利于實(shí)時(shí)在線攻擊意圖識(shí)別、挖掘結(jié)果難以理解的現(xiàn)狀，并根據(jù)算法的特點(diǎn)提出3種可以提高算法性能的策略。為驗(yàn)證算法的有效性，使用DARPA 2000數(shù)據(jù)集進(jìn)行測(cè)試，結(jié)果表明該方法可以有效構(gòu)建攻擊者的多步攻擊場(chǎng)景，在時(shí)間、內(nèi)存消耗以及挖掘結(jié)果上比BIDE算法更優(yōu)。

關(guān)鍵詞：攻擊行為序列攻擊場(chǎng)景最大序列模式

目前，網(wǎng)絡(luò)上投入了大量的安全設(shè)施，由于實(shí)時(shí)性的要求，這些安全設(shè)施難以進(jìn)行復(fù)雜的計(jì)算，管理者在龐大冗余、分散獨(dú)立的告警日志和數(shù)據(jù)面前束手無策，因此，如何對(duì)這些安全事件進(jìn)行關(guān)聯(lián)分析成為安全領(lǐng)域的一個(gè)重要研究?jī)?nèi)容。

現(xiàn)有的安全事件關(guān)聯(lián)分析研究方法主要有以下幾種：第一，基于專家知識(shí)來構(gòu)造攻擊過程知識(shí)庫(kù)，然后將攻擊事件與已存入知識(shí)庫(kù)中的攻擊模板對(duì)比來進(jìn)行實(shí)時(shí)的關(guān)聯(lián)[1]。這種方法過度依賴專家知識(shí)以及攻擊過程的完整性，需要手工制定復(fù)雜的攻擊模板，工作量大且不靈活，并且不能夠發(fā)現(xiàn)新型攻擊。第二，通過事件的前因和后果來進(jìn)行關(guān)聯(lián)。大多數(shù)攻擊的成功實(shí)施都需要前提條件，成功的攻擊也都會(huì)造成一定的后果，例如PENG NING等[2]通過這一思想將具有因果關(guān)系的攻擊關(guān)聯(lián)在一起，從而還原整個(gè)攻擊場(chǎng)景；ZEINAB ZALI等人[3]基于因果思想，通過建立告警概率關(guān)聯(lián)隊(duì)列樹(Queue trees related to alerts’ probabale correlations)來提高告警關(guān)聯(lián)的實(shí)時(shí)性。雖然該類方法不需要制定出完整的攻擊過程，但仍需大量的專家先驗(yàn)知識(shí)，并且由于其思想本身的特點(diǎn)，如果因果關(guān)系知識(shí)庫(kù)不完整，并且一些高明的攻擊者為躲避檢測(cè)有意漏掉常規(guī)攻擊步驟中的某個(gè)環(huán)節(jié)，就會(huì)影響到關(guān)聯(lián)的效果，導(dǎo)致無法構(gòu)建完整的攻擊場(chǎng)景，同時(shí)，該方法也不能處理前因與后果不明確的攻擊。XINZHOU QIN等[4]提出了基于統(tǒng)計(jì)的因果分析關(guān)聯(lián)方法，由于多步攻擊所產(chǎn)生的警報(bào)屬性之間具有統(tǒng)計(jì)的相似性，并且攻擊步驟之間存在因果關(guān)系，因此通過計(jì)算安全警報(bào)事件之間的Granger因果指數(shù)來進(jìn)行關(guān)聯(lián)，袁晨等[5]也采用了此方法，其在計(jì)算關(guān)聯(lián)關(guān)系時(shí)先根據(jù)攻擊意圖對(duì)警報(bào)進(jìn)行分類，該類方法彌補(bǔ)了前兩種方法的不足，不需要過多的先驗(yàn)知識(shí)，并且可以發(fā)現(xiàn)新的多步攻擊模式，但需要為每對(duì)警報(bào)計(jì)算Granger因果指數(shù)，以確定其是否具有因果關(guān)系，計(jì)算量大且需要配置的參數(shù)較多。在此基礎(chǔ)上，李之堂等人[6]提出了一種基于數(shù)據(jù)挖掘中序列模式挖掘的告警關(guān)聯(lián)分析方法MASP(Mining Attack Sequential Patterns)，該方法不需要制定復(fù)雜的關(guān)聯(lián)規(guī)則，并且不需要先驗(yàn)知識(shí)就可以有效挖掘出攻擊者的攻擊模式，F(xiàn)ATMAH A.BAHARETH等人[7]也將序列模式挖掘應(yīng)用到告警數(shù)據(jù)關(guān)聯(lián)分析中，但他們所用到的方法均是基于R.AGRAWAL和R.SRIKANT在文獻(xiàn)[8]中所提出的AprioriAll算法，所以繼承了AprioriAll算法固有的缺陷，比如產(chǎn)生大量候選項(xiàng)集并且需要多次掃描序列數(shù)據(jù)庫(kù)等。

本文在以上工作的啟發(fā)下，結(jié)合對(duì)序列模式挖掘、告警數(shù)據(jù)以及攻擊行為模式的研究，提出一種無候選序列的最大序列模式挖掘方法來發(fā)現(xiàn)多步攻擊行為模式，即最大攻擊序列模式挖掘算法，并提出了3種可以有效提高算法性能的策略，為方便起見，本文將此方法簡(jiǎn)稱為MaxASP(Mining Maximal Attack Sequence Patterns)。通過DARPA 2000數(shù)據(jù)集測(cè)試進(jìn)行了驗(yàn)證。

1一種新的多步攻擊場(chǎng)景構(gòu)建技術(shù)

1.1相關(guān)概念與定義

入侵者一般都具有明確的攻擊目的，為了達(dá)到目的需要實(shí)施不同的攻擊步驟，這些攻擊步驟雖然屬于不同的攻擊類型，但彼此之間存在因果關(guān)系，并且發(fā)生的順序也具有邏輯性。如針對(duì)Sadmind漏洞的DDOS(拒絕服務(wù))攻擊，攻擊步驟如圖1。

本文在進(jìn)行多步攻擊場(chǎng)景構(gòu)建過程中所用到的安全事件告警數(shù)據(jù)庫(kù)DB包括下列屬性：signature_id(攻擊事件名稱所對(duì)應(yīng)的id)，timestamp(IDS檢測(cè)

圖1　利用Sadmind漏洞進(jìn)行DDOS攻擊的5個(gè)步驟

到攻擊的時(shí)間)，src_ip(攻擊者的源IP地址)，dest_ip(攻擊者的目的IP地址)，src_port(攻擊者所使用的源端口)，dest_port(攻擊者攻擊的目的主機(jī)端口)，protocol(所使用的協(xié)議)。根據(jù)大多數(shù)文章以及我們對(duì)告警關(guān)聯(lián)的理解，給出如下概念定義：

定義1超告警。超告警是由IDS或其它安全設(shè)備所產(chǎn)生的原始告警經(jīng)過一定的規(guī)則聚合產(chǎn)生，目的是消除一次攻擊所產(chǎn)生的大量性質(zhì)相同或相近的原始告警，使聚合的結(jié)果盡可能地接近攻擊者的某一攻擊行為。

定義2攻擊序列。攻擊序列是攻擊行為的有序排列。攻擊序列as表示為，其中ai(1≤i≤n)是L中的一個(gè)元素。

定義3最大攻擊序列。如果一個(gè)攻擊序列不被其它任何攻擊序列所包含，并且其支持度大于用戶指定的最小支持度閾值，則該序列為最大攻擊序列。

定義4全局攻擊序列。全局攻擊序列是將聚合后的超告警按照時(shí)間順序進(jìn)行排序所得到的攻擊序列。

定義5攻擊序列數(shù)據(jù)庫(kù)。攻擊序列數(shù)據(jù)庫(kù)是利用時(shí)間窗口把全局攻擊序列劃分成候選攻擊序列，這些候選攻擊序列的集合就是攻擊序列數(shù)據(jù)庫(kù)，也是我們要進(jìn)行挖掘的對(duì)象。

1.2多步攻擊場(chǎng)景構(gòu)建

本文所提出的多步攻擊場(chǎng)景構(gòu)建分為3個(gè)階段，第1階段是構(gòu)造全局攻擊序列，第2階段是產(chǎn)生攻擊序列數(shù)據(jù)庫(kù)，第3階段是挖掘最大攻擊序列階段。

1.2.1全局攻擊序列生成

該階段將安全事件告警數(shù)據(jù)庫(kù)DB中的原始告警經(jīng)過聚合算法聚合成超告警，然后利用發(fā)生的時(shí)間屬性對(duì)數(shù)據(jù)庫(kù)中的超告警進(jìn)行排序，順序取其SigID字段以得到全局攻擊序列，這樣表1所得到的全局攻擊序列為<1, 2, 3, 4, 5, 4, 5, 5, 2, 4, 5, 6, 7, 8, …>。

表1　聚合告警數(shù)據(jù)庫(kù)

1.2.2攻擊序列數(shù)據(jù)庫(kù)生成

得到全局攻擊行為序列后利用時(shí)間窗口Wt把全局攻擊序列劃分為候選攻擊序列，其中落在同一時(shí)間窗口中的攻擊序列滿足如下公式：

(Ai+j.StartTime-Ai.StartTime≤δ)∨

(Ai+j+1.StartTime-Ai.StartTime>δ)

(1)

A為全局攻擊序列，包含n個(gè)元素，δ為時(shí)間窗口Wt的大小，利用時(shí)間窗口把A劃分成多個(gè)候選攻擊序列Si(1≤i≤n)。每個(gè)Si均滿足公式(1)。由公式可得，構(gòu)成候選攻擊序列Si的所有元素均在同一時(shí)間窗口內(nèi)，并且因?yàn)槊恳粚?duì)告警之間的時(shí)間間隔是不確定的，所以由時(shí)間窗口所劃分的候選攻擊序列Si所包含的元素個(gè)數(shù)也是不確定的。

圖2為將全局攻擊序列劃分為候選攻擊序列的示意圖，其中時(shí)間窗口大小為Wt，滑動(dòng)步長(zhǎng)為1。

候選攻擊序列集合就是攻擊序列數(shù)據(jù)庫(kù)，從攻擊序列數(shù)據(jù)庫(kù)中找到滿足最小支持度閾值的最大攻擊行為序列模式，時(shí)間窗口的有效確立對(duì)后續(xù)的挖掘算法影響很大，但是本文的關(guān)注點(diǎn)在于最大序列模式挖掘算法的應(yīng)用，因此，經(jīng)過專家建議以及反復(fù)實(shí)驗(yàn)，將攻擊場(chǎng)景時(shí)間窗口確立為1 000 s，表2給出了當(dāng)Wt=1 000 s 時(shí)表1所生成的攻擊序列數(shù)據(jù)庫(kù)。

1.2.3最大攻擊序列模式的產(chǎn)生

最大攻擊序列模式挖掘算法MaxASP(Mining Maximal Attack Sequence Patterns)是基于文獻(xiàn)[9]中

圖2　候選攻擊序列生成

SequenceIDAttackSequence1<1,2,3,4,5>2<2,3,4,5,4,5,5,2>3<3,4,5,4,5,5,2>4<4,5,4,5,5,2,4,5>5<5,4,5,5,2,4,5>6<4,5,5,2,4,5,6,7,8>7<5,5,2,4,5,6,7,8>

提出的MaxSP算法，并針對(duì)告警數(shù)據(jù)的特殊性對(duì)算法進(jìn)行了相應(yīng)的改變，本算法基本結(jié)構(gòu)是首先掃描攻擊序列數(shù)據(jù)庫(kù)，得出頻繁1-序列，然后對(duì)每個(gè)頻繁1-序列分別產(chǎn)生對(duì)應(yīng)的投影數(shù)據(jù)庫(kù)，之后再遞歸尋找頻繁1-序列所對(duì)應(yīng)的投影數(shù)據(jù)庫(kù)中的頻繁序列，直至在相應(yīng)的投影數(shù)據(jù)庫(kù)中不能產(chǎn)生長(zhǎng)度為1的序列為止。在檢測(cè)攻擊序列是否為最大攻擊序列上，利用BIDE算法[10]中的最大向前擴(kuò)展檢測(cè)機(jī)制和最大向后擴(kuò)展檢測(cè)機(jī)制來確定所得到的攻擊模式是否是最大的，最大向前擴(kuò)展檢測(cè)和最大向后擴(kuò)展檢測(cè)的機(jī)制詳見文獻(xiàn)[10]，這里不再贅述。

MaxASP算法偽代碼如下：

MaxASP(s，Ds，min-sup，MSP)輸入：攻擊序列數(shù)據(jù)庫(kù)SDB和最小支持度閾值min-sup，Ds是序列s的投影數(shù)據(jù)庫(kù)，s的初始值為空

輸出：最大序列模式MSP

(1) PSupport=0.//PSupport用以記錄最大模式的支持度

(2) 掃描攻擊序列數(shù)據(jù)庫(kù)，找到所有支持度大于min-sup的項(xiàng)i.

(3) FOR each i

(4) 得到s’=Concatenate(s,i).

(5) SDBi=DatabaseProjection(SDB，i)(6) IF所得到的攻擊序列s’沒有最大向后擴(kuò)展項(xiàng) THEN

(7) tSupport=MaxASP(s’，SDBi，min-sup，MSP) //tSupport為最大模式的臨時(shí)支持度，如果其支持度小于min-sup則被更新。(8) IF tSupportPSupport Then PSupport=support(p’)

(10) RETURN PSupport

為進(jìn)一步提高算法效率，提出以下3種策略：第一，采取PrefixSpan[11]所建議的偽投影技術(shù)，因?yàn)橥队皵?shù)據(jù)庫(kù)只是原始數(shù)據(jù)庫(kù)的一個(gè)子集，如果在內(nèi)存中重新生成投影數(shù)據(jù)庫(kù)就需占用大量的內(nèi)存以及時(shí)間；第二，在掃描攻擊序列數(shù)據(jù)庫(kù)時(shí)根據(jù)Apriori性質(zhì)將非頻繁項(xiàng)從攻擊序列數(shù)據(jù)庫(kù)中移除，從而減少了數(shù)據(jù)庫(kù)的大小以及掃描非頻繁項(xiàng)所用的時(shí)間；第三，根據(jù)支持度定義，在掃描數(shù)據(jù)庫(kù)前先計(jì)算投影數(shù)據(jù)庫(kù)的序列個(gè)數(shù)，若生成的投影數(shù)據(jù)庫(kù)序列個(gè)數(shù)小于最小支持?jǐn)?shù)就停止掃描，因?yàn)槿魯?shù)據(jù)庫(kù)的序列個(gè)數(shù)小于最小支持?jǐn)?shù)，則根據(jù)最小支持度的定義，i/|ASDB|必小于最小支持度，因此對(duì)小于最小支持?jǐn)?shù)的投影數(shù)據(jù)庫(kù)的掃描對(duì)算法結(jié)果沒有影響。

2實(shí)驗(yàn)結(jié)果與分析

本實(shí)驗(yàn)采用MIT林肯實(shí)驗(yàn)室給出的DARPA 2000入侵檢測(cè)攻擊場(chǎng)景數(shù)據(jù)集，該數(shù)據(jù)集包括LLDOS1.0和LLDOS2.0.2。本實(shí)驗(yàn)采用LLDOS1.0作為測(cè)試數(shù)據(jù)，其包含的5個(gè)攻擊階段見圖1。

實(shí)驗(yàn)環(huán)境采用windows7系統(tǒng)，Core i3處理器，2GB的內(nèi)存，實(shí)驗(yàn)中所用到的MaxASP以及BIDE算法均用Java實(shí)現(xiàn)，內(nèi)存以及時(shí)間的度量均使用Java API完成。

通過重放LLDOS1.0，利用snort工具收集到467條原始告警，通過對(duì)原始告警進(jìn)行聚合，共形成了81條高級(jí)行為告警事件，利用滑動(dòng)時(shí)間窗口(Wt=1 000 s)將全局高級(jí)行為告警事件序列轉(zhuǎn)換為攻擊序列數(shù)據(jù)庫(kù)(ASDB)，所生成的攻擊序列數(shù)據(jù)庫(kù)一共有78條攻擊序列，最后分別用MaxASP算法與BIDE算法對(duì)攻擊序列數(shù)據(jù)庫(kù)進(jìn)行挖掘，當(dāng)設(shè)置不同的支持度閾值時(shí)所挖掘到的最大攻擊序列模式數(shù)量以及所耗時(shí)間內(nèi)存分別如圖3、圖4、圖5所示。

由圖3看出，隨著支持度閾值的減小(從右到左)，兩種算法所挖掘到的模式數(shù)量都在增加，但是MaxASP所挖掘到的最大攻擊序列模式遠(yuǎn)遠(yuǎn)小于閉序列模式，當(dāng)minsup=0.026時(shí)，最大攻擊序列模式數(shù)量?jī)H為閉序列模式數(shù)量的7.5%，使得所挖掘到的結(jié)果更加精簡(jiǎn)，從而減少了管理人員的負(fù)擔(dān)，增強(qiáng)了模式規(guī)則的可理解性，同時(shí)從側(cè)面表現(xiàn)出MaxASP算法的空間效率要比BIDE算法高，因?yàn)槠洚a(chǎn)生的模式數(shù)量更少，自然所需的存儲(chǔ)空間也越少，實(shí)驗(yàn)結(jié)果也證明了這一點(diǎn)，空間效率對(duì)比如圖4。

圖3　最大攻擊模式數(shù)對(duì)比

圖4　MaxASP與BIDE所耗內(nèi)存對(duì)比

圖5　時(shí)間效率對(duì)比

由圖5可以看出，從執(zhí)行時(shí)間上來說，MaxASP總是比BIDE算法要快，這是因?yàn)镸axASP在擴(kuò)展攻擊序列的時(shí)候，只要不小于其所指定的最小支持度就可以擴(kuò)展，而BIDE算法則需要檢測(cè)擴(kuò)展后的攻擊序列的支持度是否與未擴(kuò)展的攻擊序列的支持度相同。由于BIDE算法需要滿足的條件更加苛刻，因此BIDE算法需要分析更多的攻擊序列來進(jìn)行擴(kuò)展檢測(cè)，這增加了BIDE算法的時(shí)空開銷。另外一個(gè)原因就是為了存儲(chǔ)更多的攻擊模式，BIDE算法需要執(zhí)行較多的寫操作。

對(duì)于內(nèi)存的使用情況，MaxASP占用的內(nèi)存要少于BIDE算法，這是因?yàn)镸axASP需要掃描的攻擊序列比較少并且產(chǎn)生的攻擊序列模式也較少。

由于攻擊者攻擊模式的不確定性以及不同的聚合算法和時(shí)間窗口的確定都對(duì)挖掘結(jié)果有很大影響，并且有些攻擊模式雖然支持度閾值較低，但對(duì)整體的攻擊場(chǎng)景構(gòu)建來說很重要。因此需要設(shè)置不同的支持度閾值來對(duì)所挖掘到的結(jié)果進(jìn)行人工分析，本文通過設(shè)置不同的支持度閾值對(duì)所挖掘的結(jié)果進(jìn)行篩選分析，繪制的多步攻擊模式如圖6。

圖6　多步攻擊場(chǎng)景重構(gòu)

由圖6可以看出，第1階段，攻擊者首先利用ICMP PING來探測(cè)網(wǎng)絡(luò)中存活的主機(jī)，這產(chǎn)生了大量的Echo請(qǐng)求和回顯告警，第2階段，攻擊者利用Sadmind的“ping”選項(xiàng)發(fā)送一個(gè)RPC請(qǐng)求給第一階段所發(fā)現(xiàn)的存活主機(jī)，以驗(yàn)證主機(jī)是否運(yùn)行Sadmind服務(wù)，第3階段，利用Sadmind服務(wù)漏洞進(jìn)行緩沖區(qū)溢出攻擊，以獲取主機(jī)權(quán)限，第4階段，利用rsh在已獲取權(quán)限的主機(jī)上安裝DDOS軟件，在實(shí)驗(yàn)過程中，我們并沒有提取出攻擊階段的第5步，這是因?yàn)閟nort沒有捕獲相關(guān)的告警。

在分析所挖掘的多步攻擊模式過程中，出現(xiàn)了很多類似的不完整的攻擊序列子模式，這是LLDOS1.0的前兩步，由于攻擊者在攻擊過程中不可能一次就成功，所以在挖掘攻擊模式的過程中會(huì)展現(xiàn)出很多在中間步驟就終止的不成功的攻擊。

3結(jié)束語(yǔ)

本文將最大序列模式挖掘的思想應(yīng)用于多步攻擊場(chǎng)景的構(gòu)建，并根據(jù)算法的特點(diǎn)，利用偽投影技術(shù)、Apriori性質(zhì)以及支持度的定義提出了3種可以提高算法性能的策略，實(shí)驗(yàn)表明，本方法在時(shí)空效率方面以及結(jié)果的表示上都比經(jīng)典的BIDE算法更優(yōu)。由于本實(shí)驗(yàn)中滑動(dòng)時(shí)間窗口的確立是依據(jù)經(jīng)驗(yàn)值來確定的，而事實(shí)上每一種攻擊行為模式所用的時(shí)間都是不確定的，所以下一步工作是擬采用統(tǒng)計(jì)學(xué)方法先統(tǒng)計(jì)出歷史數(shù)據(jù)庫(kù)中每一種攻擊模式所需要的時(shí)間均值，以此為標(biāo)準(zhǔn)來動(dòng)態(tài)調(diào)整滑動(dòng)時(shí)間窗口的大小，盡量使得落在時(shí)間窗口內(nèi)的超告警屬于同一攻擊場(chǎng)景，以提高后續(xù)挖掘的準(zhǔn)確率。并且由于告警是源源不斷產(chǎn)生的，如何對(duì)這些告警數(shù)據(jù)進(jìn)行增量式挖掘也是今后要研究的方向之一。

參考文獻(xiàn)

[1]CUPPENS F, MIEGE A. Alert Correlation in a Cooperative Intrusion Detection Framework[C]. Proceedings of the 2002 IEEE Symposium on Security and Privacy, 2002. 202-215.

[2]NING P, CUI Y, REEVES D S, et al. Techniques and tools for analyzing intrusion alerts [J]. ACM Transactions on Information and System Security, 2004,(7):274-317.

[3]ZALI Z, HASHEMI M R, SAIDI H. Real-time intrusion detection alert correlation and attack scenario extraction based on the prerequisite-consequence approach[J]. The ISC International Journal of Information Security, 2012,4(2):125-136.

[4]QIN Xin-zhou, LEE Wenke. Statistical causality of INFOSEC Alert Data[C]. Proceedings of Recent Advances in Intrusion Detection, RAID 2003, Lecture Notes in Computer Science, 2003,2820: 73-94.

[5]袁晨. 基于GCT的多步攻擊檢測(cè)方法研究[D].吉林長(zhǎng)春:吉林大學(xué),2010.

[6]李之棠, 王莉, 李東. 一種新的在線攻擊意圖識(shí)別方法研究[J]. 小型微型計(jì)算機(jī)系統(tǒng)2008,29(7):1347-1352.

[7]BAHARETH F A, BAMASAK O O. Constructing attack scenario using sequential pattern mining with correlated candidate sequences[J]. The Research Bulletin of Jordan ACM, 2013,2(3):102-108.

[8]AGRAWAL R, SRIKANT R. Mining Sequential Pattern[C]. Proceedings of the Int. Conference on Data Engineering, ICDE95, 1995,(1): 3-14.

[9]FOURNIER-VIGER P, WU C-W, TSENG V S. Mining Maximal Sequential Patterns without Candidate Maintenance[C]. Proceedings of the 9th International Conference on Advanced Data Mining and Applications, Springer, LNAI 8346, 2013.169-180.

[10] WANG Jian-yong, HAN Jia-wei, LI Chun. Frequent Closed Sequence Mining without Candidate Maintenance[J]. IEEE Transactions on Knowledge and Data Engineering, 2007,19(8): 1042-1056.

[11] PEI Jian, HAN Jia-wei. Mining sequentail patterns by pattern-growth: the prefixspan approach[J]. IEEE Transactions on Knowledge and Data Engineering, 2004,6(10):1-17.

Research of a Novel Attack Scenario Constructing Method

WANG Ze-fang, YUAN Ping, HUANG Xiao-fang

(SchoolofComputerScienceandTechnology,SouthwestUniversityofScienceandTechnology,Mianyang621010,Sichuan,China)

Abstract:The algorithm of the maximal sequential pattern mining without candidates is used to reduce the attack sequential pattern count and improve the time and memory efficiency, which overcomes the weaknesses of the traditional sequential pattern mining, making it easy to implement the real-time online attack purpose recognition and understand the mining results. The paper also proposes three strategies to improve the efficiency of the algorithm. The experiment based on the DARPA 2000 dataset shows that the method can effectively construct the multi-step attack scenario, and outperforms the BIDE algorithm in time, memory consumption and the presentation of the mining results.

Key words:Attack behavior sequences; Attack scenario; Maximal sequential pattern

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1671-8755(2016)01-0055-06

作者簡(jiǎn)介:王澤芳(1990—)，女，碩士研究生，研究方向?yàn)閿?shù)據(jù)挖掘與網(wǎng)絡(luò)安全方向的研究。E-mail:429140019@qq.com

基金項(xiàng)目:國(guó)家自然科學(xué)基金項(xiàng)目(61303230)；西南科技大學(xué)研究生創(chuàng)新基金項(xiàng)目(15ycx054)。

收稿日期：2015-06-04