基于告警事件特征的網絡攻擊行為實時預警研究

高澤芳，王岱輝，王昀，文成江

（中國移動通信集團終端有限公司，北京 100053）

4G到5G的過渡，移動通信技術的快速發展，運營商的移動應用系統和網絡規模不斷擴大，其網絡安全的安全防護受到前所未有的重視。目前，隨著IP全網業務的開展，來自網絡的威脅將會變得更加不可控，這些威脅將使得運營商的業務層面的網絡受到更大范圍的攻擊；除此之外，智能終端與運營商業務系統的智能互聯，一旦智能終端存在攻擊行為，將會對運營商的業務平臺造成致命的威脅，將會引起運營商服務的終端；最后，目前運營商的安全威脅評估方法——網絡入侵檢測技術，對網絡攻擊行為的檢測具有較高的誤報率的特點。本文針對運營商網絡安全面臨的問題，提出基于告警事件特征的網絡攻擊行為預測方法。以傳統的入侵檢測系統、防火墻以及網絡掃描器的告警事件數據為基礎，通過頻繁規則和序列規則對告警事件的數據進行建模，挖掘網絡攻擊行為的事件組合規則，實現網絡攻擊行為的有效預警。

1 基于告警事件特征的網絡攻擊行為預警構建思路

基于告警事件特征的網絡攻擊行為預測思路如圖1所示，先從網絡安全監控設備的告警事件獲取事件的屬性項信息；然后根據事件的重復關系以及冗余關系對事件進行精簡；再次，采用FP_tree算法挖掘告警事件屬性間的強關聯規則，將得到的頻繁項與正常網絡訪問時間的頻繁項進行比對，實現虛假告警事件的過濾；最后，采用序列規則對真實告警事件進行關聯，推導網絡攻擊行為的事件組合規則，實現網絡攻擊行為的實時預警。

1.1 告警事件數據提取

告警事件數據是從各種安全監控設備（入侵檢測系統、防火墻以及網絡掃描器）產生的，一般由入侵行為引發告警事件或者監控信息超過一定的閾值而產生的告警數據。告警數據的事件屬性值如表1所示。

圖1 模型構建思路

1.2 告警事件精簡

運營商的大規模網絡可能會產生海量、瑣碎的告警事件，這些告警事件復雜多樣且關系復雜，如果把一次長時間的DoS攻擊產生的多個告警事件進行分析，不僅增加了模型構建的復雜度，還會降低模型的精準度。因此，本文對告警事件進行事件的精簡處理。處理的規則為：在獲取告警事件數據相關信息的基礎上，需要對告警事件的重復關系以及并發關系進行分析，按照事件的關系將事件進行合并，降低事件的數量。對于任意的兩個告警事件a1和a2，如果eventType、srcIP、desIP以及protocol等屬性的值均相等，且事件發生的時間|detectTime1- detectTime2|＜t（t為設定的時間閾值），則把告警事件a1和a2合并。

1.3 基于頻繁模式的告警事件規律規則挖掘

頻繁模式用于挖掘告警事件屬性間的關聯關系，目的是找出攻擊行為的告警事件屬性間的規律，以期將事件屬性加入關聯動作后轉化成真實告警事件的過濾規則。眾所周知，由于虛假告警事件的存在，導致管理員無法有效識別攻擊行為，如果將攻擊行為attack行為 的 eventType、srcIP、desIP、srcPort、desPort以及protocol等屬性進行關聯，構建告警事件間屬性的強關聯規則b1，同時將正常行為的eventType、srcIP、desIP、srcPort 、desPort以及protocol等屬性構建強關聯規則b2，如果b1與b2之間存在較強的相關性（規則之間的相關性大于設定相關性的閾值），那么則認為當前的告警事件為虛假告警事件，并把規則b1轉化為告警事件的過濾規則。

1.4 基于序列模式的攻擊行為挖掘

序列模式用于挖掘告警事件之間的先后序列關系，目的是發現攻擊行為與告警事件的因果關系，進而組成攻擊行為與告警事件之間的組合規則。如果攻擊行為的eventType間存在先后發生的關系，則構成了某種攻擊行為的事件組合規則c1；而對某個時間段的告警事件進行序列模式挖掘，形成事件組合規則c2，如果規則c1與規則c2之間存在強相關（規則之間的相關性大于相關性閾值），則認為當前存在新的安全攻擊事件。最后，將該規則轉化成形式化的編碼模式，加入在線關聯知識庫，形成實時的網絡攻擊行為預警系統。

2 基于告警事件特征的網絡攻擊行為預警

由于篇幅的關系，本文對告警事件數據的提取和事件的精簡不作具體介紹，將重點介紹頻繁模式的相關算法和序列模式的相關算法來實現告警事件的過濾以及攻擊行為的事件組合規則挖掘。

2.1 基于FP-Growth的頻繁模式挖掘

頻繁模式挖掘算法——FP-tree算法的最大特點就是避免了對數據庫的反復掃描，只需對數據庫進行一次掃描便能夠將數據庫進行壓縮并形成一個緊湊的梳樹狀結構，本文將對FP-tree算法中的FP-Growth的頻繁模式算法進行介紹，并針對安全告警事件庫，如果通過設置最小的閾值Smin挖掘事件屬性間的強規則。

通過對告警事件數據進行預處理之后，得到按照時間依次排序的事件屬性集合，形成告警事件的一個事件多元組表示 ： ei={detectTimei，eventTypei，attacki，sr cIPi，desIPi，srcPorti，desPorti，protocoli}。

表1 告警事件數據的字段名稱以及解釋

考慮到每一個屬性之間對告警事件影響的程度不一樣，本文采用加權FP-Growth挖掘具有告警事件屬性頻繁項集，以專家設定的權重作為項目初始權重（srcIPi，desIPi， srcPorti， desPorti， protocoli的 權 重 分 別 為w1i，w2i，w3i，w4i，w5i，同一屬性如果取值不同采用不同的權重衡量其對告警事件的影響程度），以各項目count值降序依次為頭節點和其它節點，然后結合歸一化的權重構造對應的加權條件FP樹，最后利用預先設定加權支持度閾值判斷告警事件對應的頻繁模式。

在此基礎上，構造加權FP樹。通過統計發現告警事件中某些屬性具有一定的代表性，那么本文優先統計具有代表性的屬性與其它屬性的關聯性，如目標地址desIP為172.16.102.0的比例具有一定的代表性，那么需要針對該目標地址的其它屬性值構建FP樹。那么desIP為172.16.102.0條件模式如下所示。

DesIP(172.16.102.0：0.32)→ DesPORT（1136：0.41）→ SrcPORT（113：0.43）→ IP（202.77.162.2：0.65），通過觀察目標IP、源IP、關鍵路由端口的信息傳輸路徑，就能發現告警事件的路徑頻繁項集。

將所有的字段屬性按照上述的方式構建條件模式后，結合最小支持度Wminsup，選取滿足要求的頻繁項集。

2.2 基于Apriori的事件組合規則挖掘

Apriori算法是關聯規則挖掘的典型算法，它利用逐層搜索的迭代方法找出數據庫中項集的關系，以形成規則，其過程由連接(類矩陣運算)與剪枝(去掉那些沒必要的中間結果)組成。該算法中項集(Itemset)的概念即為項的集合。包含K個項的集合為K項集。項集出現的頻率是包含項集的事務數稱為項集的頻率。如果某項集滿足最小支持度，則稱它為頻繁項集。通過Apriori算法將大量的告警事件記錄庫中找到給定一定條件的最小支持度Minsup和最小置信度Minconf的頻繁模式，通過對一系列頻繁模式的融合，形成攻擊事件的組合規則，最終形成攻擊行為在線關聯的知識庫?；贏priori的事件組合規則挖掘需要設定3個參數：支持度定義為全體事務集T中有s%同時支持事務集X和Y，稱s%為關聯規則X→Y的支持度。支持度S（X→Y）表示規則的頻繁程度，一般用Minsup表示最小支持度；置信度定義為全體實務集T中支持事務集X的事務中，有c%的事務同時也支持事務集Y，稱c%為關聯規則X→Y的置信度。置信度C（X→Y）表示規則的強度，一般用Minconf表示最小置信度；頻繁項集定義為滿足一定最小支持度和最小置信度的事務集。

在一定時間范圍內，告警事件之間發生的先后順序的事件間隔小于δ，只有滿足這樣的條件，才能夠有效挖掘網絡攻擊行為的告警事件組合規則。對相關的事件和事件類型進行整理，得到的告警事件相關字段如表2所示。

表2 告警事件記錄表

采用Apriori掃描一次數據庫，統計數據庫中單個告警事件的計數，將滿足最小支持度要求的單個告警事件提取成1-頻繁項集L1，并將頻繁告警事件L1作為下一次掃描的基礎告警事件。然后重復掃描告警事件數據庫，第K-1次掃描生成(K-1)-項頻繁集L后，第K次掃描時，首先通過連接操作將Lk-1中的項集生成K-項候選集Ck，再通過剪枝操作刪除Ck中不滿足最小支持度計數的項集，從而得到頻繁項集Lk，重復掃描數據庫，從該集合里產生下一級候選項集，直到不產生新的候選項集為止。通過設置min_sup和min_conf，得到的組合規則將是滿足min_sup和min_conf的閾值。采用Apriori得到的攻擊事件的組合規則示意如表3所示。

表3 攻擊事件與組合規則示意表

3 實驗分析

在實際應用場景中，黑客可能利用拒絕服務攻擊、lib漏洞進行攻擊，口令攻擊、假消息攻擊，獲取私密信息。利用獲取到的用戶訪問Token，向服務器提交大量的非法數據，造成系統癱瘓，導致運營商的服務不可用。本文基于電信政企專線開通透明化系統，利用FP_Growth和Apriori算法對告警事件進行分析，以期實現網絡攻擊行為的預警。本文總共提取告警事件10 256條，并對相關的攻擊行為進行標記。實驗包括1種正常的網絡行為和5種常用的網絡攻擊行為：拒絕服務攻擊、利用型攻擊行為、信息收集型攻擊行為、假消息攻擊行為、口令攻擊行為。通過對告警事件數據進行預處理后，采用逐漸增加訓練數據來測試模型的準確率，以防止出現模型的過擬合。本文采用傳統的神經網絡與本文提出的算法對攻擊行為的預測結果如表4所示。

表4 傳統算法和本文算法的準確率和耗費時間對比

通過實驗對比，本文提出的算法較傳統的神經網絡在很大層度上提升了網絡攻擊行為的識別能力，由于采用FP_Growth對告警事件的屬性進行關聯，形成對虛假告警事件的過濾規則，大大算法降低了計算復雜度，降低虛假告警事件的干擾在一定程度上保證了算法的精度；而Apriori算法采用攻擊事件的組合規則來發現新的攻擊行為，能夠在一定程度上保證了算法的擴展性，避免傳統神經網絡的過擬合現象，提升精度。

在運行速度方面，采用FP_Growth挖掘事件屬性間的屬性能夠發現正確告警事件的規律，通過剔除大量的虛假告警事件，提升了后續網絡攻擊行為預警速度。

4 結束語

本文提出的基于網絡告警事件特征的網絡攻擊行為預警方法，通過與傳統分類方法進行對比發現，由于其虛假告警事件過濾以及新型攻擊行為攻擊預警方面表現出優異的性能，因此其在模型的識別準確率和速度上相比傳統方法具有巨大的優勢。本文提出的一種結合FP_Growth和Apriori算法的網絡攻擊行為預警模型作為一種新型的攻擊行為監測模型，能夠有效識別正常網絡行為和虛假的告警事件的特征，然后在利用告警事件的序列關系形成攻擊行為的組合規則，能夠有效識別新的網絡攻擊行為。因此，該模型極大提高了網絡安全與攻擊行為預警的速度，是一種有效的、可靠的網絡攻擊行為預警模型，為網絡安全態勢的構建提供了一種新的思路。