一种基于模糊ECA规则的网络攻击知识表达与推理方法

摘要

本发明涉及一种基于模糊ECA规则的网络攻击知识表达与推理方法，属于 计算机网络安全技术领域。本发明在管理攻击事件、描述攻击知识的基础上建 立模糊ECA规则表示攻击知识，采用模糊推理技术对攻击发生的可能性进行检 测。使用本发明方法表达攻击知识并进行推理，可提高入侵检测的检测效率和 检测能力。

主权项

1.一种基于模糊ECA规则的网络攻击知识表达与推理方法，其特征在于：在管理攻击事件、描述攻击知识的基础上建立模糊ECA规则表示攻击知识，采用模糊推理技术对攻击发生的可能性进行检测；具体实现步骤如下：步骤一、管理攻击事件，形成攻击事件集对网络攻击事件进行管理；攻击事件既可以是原子事件，也可以是复合事件；原子事件，即具有某种攻击特征的不可再分割的操作；复合事件，则首先要对已知的原子事件根据其攻击过程将其划分为主机勘察、漏洞发掘、目标渗透、权限提升、潜伏隐藏、攫取信息和跳板攻击7个子类，然后针对各子类事件按照复合事件的表示方法进行复合，形成用于提取网络攻击知识的复合事件；攻击事件集由原子事件和复合事件组成；步骤二、对攻击知识进行描述在步骤一的基础上，对攻击知识进行描述；采用<事件，系统状态，时间>三元组对攻击知识进行描述，其中，事件是指攻击事件集中的原子事件或者复合事件；系统状态是指与事件相关的系统状态；时间是指行为发生的绝对时间；用ECA规则表达攻击知识；用E来描述事件，C来描述系统状态以及相关的时间和统计关系，A为当E、C都匹配成功后，系统所要执行的动作；网络安全环境的复杂性，导致网络入侵行为具有不确定性，因此采用模糊方法描述事件的不确定性，采用隶属函数处理模糊事件；基于模糊ECA规则的攻击知识表达形式为：其中，F_RuleName为规则名称，F_Event为模糊事件，λ为规则触发阈值，当模糊事件的隶属度μ(e)大于λ时，则触发该规则；F_Condition_i、F_Action_i分别为模糊条件和模糊结论；模糊事件F_Event、模糊条件F_Condition_i和模糊结论F_Action_i中参数的取值为模糊集合，设模糊事件F_Event中的参数为e，模糊条件F_Condition_i中的参数为c_j，模糊结论F_Action_i中的参数为a，各参数对应的论域分别为X、Y_j、Z，则各模糊集合的隶属函数为μ(e)、μ(c_j)、μ(a)；步骤三、使用ECA规则进行模糊推理在步骤二的基础上，针对模糊事件F_Event，使用ECA规则进行模糊推理；具体步骤如下：第1步：计算模糊事件的隶属度当模糊事件F_Event发生时，则可检测到对应参数e的精确值e₀，因此可得到F_Event的隶属度μ(e₀)第2步：判断模糊事件的隶属度是否达到触发阈值如果μ_e大于触发阈值，则触发该模糊ECA规则，进入第3步；否则过程终止；第3步：进行规则模糊推理(1)采集模糊条件当模糊事件F_Event发生时，系统的状态随之改变，对此时模糊条件F_Condition_i中对应的参数c_j值进行检测，设为c_j0;然后对c_j0进行模糊化得到对应于模糊集合μ(c_j)的隶属度μ(c_j0)，该隶属度就是我们要采集的模糊条件；(2)建立模糊蕴含关系R的隶属函数ECA规则中的CA部分确定了参数为c_j与a之间的一个模糊蕴含关系R；模糊关系R的隶属函数由式(1)求出；其中运算∧和∨分别是逻辑“与”和逻辑“或”运算；(3)模糊推理根据步骤(1)中采集的模糊条件μ(c_j0)进行模糊推理，得到模糊结论F_Action_i中模糊参数a的模糊集合，其隶属函数计算如下：(4)去模糊化针对步骤(3)得到的a的模糊集合μ′(a)，取其隶属函数曲线与横坐标轴围成面积的重心作为模糊结论的具体值，计算方法如下：