本发明专利技术提供一种基于聚类分析的APT攻击溯源图分析方法,通过监控目标主机内的系统日志,并以数据溯源图格式进行记录;将获取的数据溯源图输入数据,得到原始数据溯源图;根据溯源图,识别APT攻击行为;对数据溯源图中可疑的节点和边进行标记,标定攻击事件在所述数据溯源图中的位置,得到已定位数据溯源图;根据定位的数据溯源图确定出不同目标的攻击主体;根据不同目标的攻击主体的分类,统计不同目标的各个攻击主体的攻击时间线,预测不同目标的各个攻击主体的下一次攻击时间,并发出警报,使得分析人员对APT攻击的全貌有清晰的认识,系统可快速的对ATP作出反应,并发出警报。并发出警报。并发出警报。
【技术实现步骤摘要】
一种基于聚类分析的APT攻击溯源图分析方法及装置
[0001]本专利技术涉及网络安全
,具体涉及一种基于聚类分析的APT攻击溯源图分析方法及装置。
技术介绍
[0002]目前,国家机构或者大公司都经常遇到APT攻击,这种攻击目的是为了窃取高价值的保密信息或者一些产品信息内部资料等,它的攻击源有时候甚至不只来源于一种攻击主体,因为对重要机构的破坏,具有很高的利益需求,会有多个机构都具备APT攻击的动机。例如,国际上公开的攻击机构就有13个之多,每个攻击源,都有自己的目标,因此如何区别多个攻击源,并且根据不同的攻击源,针对性保护对应的内部文件内容的安全,成为一个重要的研究方向。
[0003]现有技术中,目前针对APT攻击,现有方法多停留在APT检测层面,并不能提供完整的攻击传递过程,这使得分析人员无法对APT攻击的全貌有清晰的认识,无法及时的对ATP作出反应。
技术实现思路
[0004]本专利技术的目的在于提供一种基于聚类分析的APT攻击溯源图分析方法,以解决分析人员无法对APT攻击的全貌有清晰的认识,无法及时的对ATP作出反应。
[0005]本专利技术提供的一种基于聚类分析的APT攻击溯源图分析方法,包括:
[0006]监控目标主机内的系统日志,并以数据溯源图格式进行记录;
[0007]将获取的数据溯源图输入数据,得到原始数据溯源图;
[0008]根据溯源图,识别APT攻击行为;
[0009]对数据溯源图中可疑的节点和边进行标记,标定攻击事件在所述数据溯源图中的位置,得到已定位数据溯源图;
[0010]根据定位的数据溯源图确定出不同目标的攻击主体;
[0011]根据不同目标的攻击主体的分类,统计不同目标的各个攻击主体的攻击时间线,预测不同目标的各个攻击主体的下一次攻击时间,并发出警报。
[0012]进一步的,监控目标主机内的系统日志,并以数据溯源图格式进行记录,包括:
[0013]使用转换脚本将系统日志的输入数据转换为数据溯源图格式,得到原始数据溯源图;
[0014]使用跨平台数据溯源图记录工具进行数据溯源图记录。
[0015]进一步的,将获取的数据溯源图输入数据,得到原始数据溯源图,包括:
[0016]对所述原始数据溯源图进行转换。
[0017]进一步的,根据溯源图,识别APT攻击行为,包括:
[0018]基于DBSCAN聚类算法对数据溯源图分析,找出异常操作的日志,识别为APT攻击行为;
[0019]进一步的,对数据溯源图中可疑的节点和边进行标记,标定攻击事件在所述数据溯源图中的位置,得到已定位数据溯源图,包括:
[0020]对网络及系统日志进行DBSCAN算法聚类,得到一组领域为的类,并将第次得到的领域为的类标记为;
[0021]对提取出的所有离群点进行DBSCAN算法聚类;
[0022]将特殊的离群点作为具有攻击行为的异常日志;
[0023]对异常日志进行定位。
[0024]进一步的,根据定位的数据溯源图确定出不同目标的攻击主体,包括:
[0025]根据DBSCAN算法聚类可将不同目标的攻击主体分为:窃取口令攻击、社会工程伪装攻击、认证攻击、协议攻击、信息泄露攻击和拒绝服务攻击。
[0026]进一步的,根据不同目标的攻击主体的分类,统计不同目标的各个攻击主体的攻击时间线,预测不同目标的各个攻击主体的下一次攻击时间,并发出警报,包括:
[0027]将不同目标的攻击主体的特征数据的采样,并将采样的数据发送至卷积层,卷积层进行训练;
[0028]根据不同目标的各个攻击主体的攻击时间线预测其下一次攻击时间。
[0029]将预测的数据发送至用户,并发出警报。
[0030]本专利技术的有益效果如下:本专利技术提供的一种一种基于聚类分析的APT攻击溯源图分析方法,通过监控目标主机内的系统日志,并以数据溯源图格式进行记录;将获取的数据溯源图输入数据,得到原始数据溯源图;根据溯源图,识别APT攻击行为;对数据溯源图中可疑的节点和边进行标记,标定攻击事件在所述数据溯源图中的位置,得到已定位数据溯源图;根据定位的数据溯源图确定出不同目标的攻击主体;根据不同目标的攻击主体的分类,统计不同目标的各个攻击主体的攻击时间线,预测不同目标的各个攻击主体的下一次攻击时间,并发出警报,使得分析人员对APT攻击的全貌有清晰的认识,系统可快速的对ATP作出反应,并发出警报。
附图说明
[0031]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0032]图1为本专利技术提供的一种一种基于聚类分析的APT攻击溯源图分析方法的流程图;
[0033]图2为本专利技术提供的一种一种基于聚类分析的APT攻击溯源图分析的装置图。
具体实施方式
[0034]为使本专利技术的目的、技术方案和优点更加清楚,下面将结合本专利技术具体实施例及相应的附图对本专利技术技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。以下结合附图,详细说明本专利技术各实施例提供的技术方案。
[0035]请参阅图1,本专利技术实施一种基于聚类分析的APT攻击溯源图分析方法,包括:
[0036]S101:监控目标主机内的系统日志,并以数据溯源图格式进行记录;
[0037]使用转换脚本将系统日志的输入数据转换为数据溯源图格式,得到原始数据溯源图;
[0038]使用跨平台数据溯源图记录工具进行数据溯源图记录。
[0039]S102:将获取的数据溯源图输入数据,得到原始数据溯源图;
[0040]对所述原始数据溯源图进行转换。
[0041]S103:根据溯源图,识别APT攻击行为;
[0042]基于DBSCAN聚类算法对数据溯源图分析,找出异常操作的日志,识别为APT攻击行为;
[0043]1.DBSCAN以一个从未访问过的任意起始数据点开始。这个点的邻域是用距离(所有在距离的点都是邻点)来提取的。
[0044]2.如果在这个邻域中有足够数量的点(根据minPoints),那么聚类过程就开始了,并且当前的数据点成为新聚类中的第一个点。否则,该点将被标记为噪声(稍后这个噪声点可能会成为聚类的一部分)。在这两种情况下,这一点都被标记为“访问(visited)”。
[0045]3.对于新聚类中的第一个点,其距离附近的点也会成为同一聚类的一部分。这一过程使在邻近的所有点都属于同一个聚类,然后重复所有刚刚添加到聚类组的新点。
[0046]4.步骤2和步骤3的过程将重复,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于聚类分析的APT攻击溯源图分析方法,其特征在于,包括:监控目标主机内的系统日志,并以数据溯源图格式进行记录;将获取的数据溯源图输入数据,得到原始数据溯源图;根据溯源图,识别APT攻击行为;对数据溯源图中可疑的节点和边进行标记,标定攻击事件在所述数据溯源图中的位置,得到已定位数据溯源图;根据定位的数据溯源图确定出不同目标的攻击主体;根据不同目标的攻击主体的分类,统计不同目标的各个攻击主体的攻击时间线,预测不同目标的各个攻击主体的下一次攻击时间,并发出警报。2.根据权利要求1所述的一种基于聚类分析的APT攻击溯源图分析方法,其特征在于,监控目标主机内的系统日志,并以数据溯源图格式进行记录,包括:使用转换脚本将系统日志的输入数据转换为数据溯源图格式,得到原始数据溯源图;使用跨平台数据溯源图记录工具进行数据溯源图记录。3.根据权利要求1所述的一种基于聚类分析的APT攻击溯源图分析方法,其特征在于,将获取的数据溯源图输入数据,得到原始数据溯源图,包括:对所述原始数据溯源图进行转换。4.根据权利要求1所述的一种基于聚类分析的APT攻击溯源图分析方法,其特征在于,根据溯源图,识别APT攻击行为,包括:基于DBSCAN聚类算法对数据溯源图分析,找出异常操作的日志,识别为APT攻击行为。5.根据权利要求1所述的一种基于聚类分析的APT攻击溯源图分析方法,其特征在于,对数据溯源图中可疑的节点和边进行标记,标定攻击事件在所述数据溯源图中的位置,得到已定位数据溯源图,包括:对网络及系统日志进行DBSCAN算法聚类,得到一组领域为的类,并...
【专利技术属性】
技术研发人员:谢经纬,
申请(专利权)人:湖南三湘银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。