随着网络上网络安全软硬件设施应用的迅速增加,如防火墙、安全路由器、入侵检测系统、主机安全系统、防病毒系统和桌面安全系统等,产生了大量的告警和日志等安全事件数据,这些安全事件数据庞大冗余、分散独立、错漏混杂,命中率低、反应滞后,很难直接作为准确安全反应的触发性事件。安全事件关联分析方法通过对安全事件数据进行综合分析和处理,揭示出其中隐藏的逻辑关联,发现攻击者的真正意图,从而对网络攻击进行预防和响应,实现对整个网络安全态势的有效监控。根据安全事件关联分析方法所解决问题的不同,对安全事件关联分析方法进行重新分类,即分为:聚合关联(同类、相似事件间关联)、交叉关联(安全事件和背景知识间关联)、多步攻击关联(多步攻击不同步骤间关联),以及涉及关联结构和关联细节的其他类。其中,多步攻击关联以实现攻击场景重建和发掘攻击意图为目的,是非常重要的研究点。然而目前已有的多步攻击关联研究存在着一些尚未解决的问题,如:过多依赖于先验知识,需要定义复杂的关联规则,只能挖掘出场景片断、难以发现新型攻击、无法有效保证实时性等等。另外,这些方法多是基于原始告警和安全事件来建立多步攻击场景,因此在全局观和准确性方面也存在局限。针对这些问题和缺陷,提出了一种新的多步攻击关联方法。方法首先从历史数据库中挖掘多步攻击行为发生模式,再通过实时的模式匹配和攻击关联来实现在线攻击意图识别。方法建立在对高级安全事件进行分析和处理的基础上,从高级安全事件中发掘出高一级的攻击者的攻击意图和攻击策略。通过对安全事件告警统计规律的研究发现,告警中的相当一部分重复和冗余信息具有周期发生和趋势发生的规律,RCI聚合算法利用这一特点对告警进行去除,过滤掉趋势项和周期项告警,再根据主要属性信息对告警进行分类,对分类后的告警类别进行攻击类型识别从而产生高级安全事件。经过RCI方法处理后的告警数量明显减少,聚合率达到95.5%。攻击行为模式挖掘算法MASP的目的是从历史数据库中挖掘出多步攻击行为发生模式,这些攻击行为发生模式作为后续在线匹配算法进行在线分析的主要依据。从高级安全事件中挖掘出多步攻击行为发生模式的思想是基于构成多步攻击的攻击步骤具有一定的时间顺序和发生模式这一特点而提出的。MASP算法首先利用攻击场景时间窗口把安全事件告警数据库转化为候选攻击序列集,再利用改进的Apriori-all序列模式挖掘算法从候选攻击序列集中挖掘出多步攻击行为发生序列模式。不同的攻击行为序列模式反映了不同的多步攻击的攻击步骤行为发生模式。算法仅考虑安全事件告警中的攻击类型属性,着重研究攻击行为发生的序列模式,不需要制定复杂的关联规则,解决了目前的多步攻击关联方法需要定义复杂关联规则的问题。实验结果表明方法能有效的从安全事件告警数据库中挖掘出多步攻击行为的发生模式,挖掘算法执行时间随攻击场景时间窗口的增大缓慢增长,随支持度的减小而增长迅速,随数据库规模的增大呈线性增长速度,改进后的算法效率提高了1.7-10倍。在线的攻击意图识别方法利用一种新的在线攻击模式匹配ASM算法对每一条新收到的安全事件告警进行分析,在进行在线攻击模式匹配的同时,通过一种定量的告警关联度计算方法来分析攻击行为步骤间存在的关联关系。告警关联度反映了两条安全事件告警对应同一多步攻击前后攻击步骤的可靠性。告警关联度由告警的属性关联度定义。在进行属性关联度定义时,提出一种新的利用树形结构进行属性分类和关联度计算方法。对告警进行在线分析时,ASM算法对每一条新收到的安全事件告警进行在线的攻击模式匹配,同时利用量化的告警关联度计算来分析攻击行为步骤间存在的关联关系,进行实时的攻击场景构建,预测攻击者的下一步攻击行为,从而达到在线攻击意图识别的目的。实验采用了DARPA 2000数据集和从华中地区教育科研网采集到的真实数据对方法进行验证,结果显示系统对多步攻击的检测率达到94%,对每个多步攻击平均可以提前3.31步做出判断并将结果通知管理员。进一步分析发现,导致漏检的主要原因是出现历史数据中未曾出现的新型多步攻击。这一问题可以通过加强历史数据的完整性,和手工添加少数新型多步攻击模式来解决。