abstract

1
This paper proposes a new algorithm called the Similarity of Attack Intention (SAI), which uses cosine similarity as a distance-based similarity measure to estimate similar cyber crime intentions. The algorithm is based on the Attack Intention Analysis (AIA) algorithm to predict new cyber crime intentions and assigned the probability values for these intentions. A similarity metric for the new cyber crimes intentions with others is generated in order to identify the similar intentions. The evaluation of example cyber crime results shows that our proposed algorithm provides better solutions and increases the possibility value of evidences.

abstract中指出:

  • 提出一种新的算法,用来进行攻击意图的相似度的识别,该算法使用余弦相似性作为基于距离的相似性度量来估计网络攻击意图
  • 该算法基于攻击意图分析算法来预测网络攻击意图和意图的可能性
  • 为了识别相似性生成了新网络攻击意图的相似度矩阵

算法执行流程

介绍了网络攻击意图相似度识别算法的组成部分:

  • 识别:此部分会采集流量并且进行告警分析,并识别可能意图
  • 攻击意图相似性矩阵生成:使用 AIA 算法来进行攻击意图可能性计算,根据相关攻击类型生成攻击意图矩阵
  • 选择相似意图:选择新攻击最匹配的攻击意图,

算法介绍

算法定义了:

  • Ak:新的攻击,假定 Ak 属于 PA,该攻击包含的意图集合表示为 AkIx (x >= 1)
  • PA:预定义的攻击
  • AI:预定义的攻击意图

算法伪代码

该算法首先计算每次攻击中与相关意图可能性,将其求和,然后通过全部攻击意图可能性除以特定攻击意图数目,得到攻击意图 Ak 的相似度。

攻击相似度

如上图所示,新的攻击与预定义攻击 A2 最为相似。

实验结果分析

攻击相似度

上图解释:

  • A11 为新的攻击,A1 - A10 为预定义攻击
  • A11 被检测到有四种意图 {i1, i2, i4, i6}
  • A11 也就是新的攻击意图的概率来自 AIA 算法
  • {i1, i2} 为新攻击的潜在意图,二者有最大概率值 0.68

I1_I2相似度

确定潜在意图后,可以对 A11 计算意图相似性。