基于机器学习的攻击路径溯源和攻击源头检测方法技术

本发明专利技术公开了一种基于机器学习的攻击路径溯源和攻击源头检测方法，包括：构建大型网络有向攻击图，针对不同的源主机和目标主机进行统一编号，并将相邻主机之间的可达性存储为二维邻接矩阵，利用深度优先遍历算法和二维邻接矩阵找出源主机和目标主机之间所有可达路径，从所有可达路径中筛选出符合依照事件时间顺序的实际可行路径，对实际可行路径的权重进行初始化，利用路径排序算法计算攻击源头概率，选出概率值最大的作为攻击源头，对计算攻击源头概率过程中路径权重不断迭代寻优，得出最优情况下的路径权重值；本发明专利技术有效提升了攻击源头检测的效率，能够发现在整个大型网络中与该起攻击事件密切相关的多个节点，可为防御者快速找到突破口。者快速找到突破口。者快速找到突破口。

【技术实现步骤摘要】
基于机器学习的攻击路径溯源和攻击源头检测方法


[0001]本专利技术涉及机器学习和网络安全
，特别涉及一种基于机器学习的攻击路径溯源和攻击源头检测方法。

技术介绍

[0002]随着以5G技术为代表的网络技术的快速发展,互联网已经在工业、金融、教育等各个领域都广泛应用。信息网络成为社会发展的重要保证的同时，由于网络形式具有多样性,不均匀性以及开放性等特点,使得计算机在应用的过程中,很容易受到网络攻击,从而导致信息数据泄露和破坏。相关数据显示，在2015年至2025这十年间，网络攻击引发的全球潜在经济损失可能高达2940亿美元。网络风险的升级，让政府、企业和个人都对该风险愈加关注。在大型网络中，基于Windows的身份验证事件可以表示为攻击图，通过攻击图可以分析出当一个主机被攻破时，这个攻击源头最可能是哪台计算机，从而可以对攻击源头进行溯源，来帮助防御方更好的分析和决断。
[0003]目前对攻击源检测的方法有很多种，包括基于动态贝叶斯攻击图的检测算法、动态可达性模型检测、基于特征信息与异常行为的流量监测等等，然而这些方法都存在其局限性。基于贝叶斯的网络攻击检测模型结合联结树算法对攻击路径的追踪方法忽略了贝叶斯网络节点之间并非全部相对独立，这使得该方法有较大的追踪误差。孤立森林算法进行攻击检测时存在不适用于高维数据的问题，且对全局稀疏点敏感，这导致攻击检测的准确性不高。借助二进制粒子群优化算法在指定解空间内寻找路径的方法仅限于解空间主机数量较少的情况，若解空间过大则会较多消耗资源。当使用增量分段线性分类算法进行恶意攻击识别时，会存在效率低下且消耗资源过多的情况。基于遗传算法的攻击路径溯源方法会因为遗传算法中对交叉率和变异率的相关参数并无严谨科学的计算方法定义，从而使得解的品质并不高。

技术实现思路

[0004]针对现有技术的各种缺陷，本专利技术提供一种基于机器学习的攻击路径溯源和攻击源头检测方法，旨在解决现有技术中的缺陷问题。
[0005]本专利技术提供的技术方案是：
[0006]一种基于机器学习的攻击路径溯源和攻击源头检测方法，包括如下步骤：
[0007]构建大型网络有向攻击图，针对不同的源主机和目标主机进行统一编号，并将相邻主机之间的可达性存储为二维邻接矩阵，利用深度优先遍历算法和二维邻接矩阵找出源主机和目标主机之间所有可达路径；
[0008]引入事件发生的时间参数结合递归的方式，从所有可达路径中筛选出符合依照事件时间顺序的实际可行路径；
[0009]对实际可行路径的权重进行初始化，利用路径排序算法计算攻击源头概率，选出概率值最大的作为攻击源头；
[0010]通过粒子群优化算法对计算攻击源头概率过程中路径权重不断迭代寻优，从而得出最优情况下的路径权重值。
[0011]本专利技术提出的基于机器学习的攻击路径溯源和攻击源头检测方法，其有益效果包括：
[0012]本专利技术提供的检测方法，在对攻击路径溯源和攻击源检测的过程中将PRA算法、深度优先遍历算法和粒子群优化算法的优点进行结合，通过粒子群优化算法来优化路径权重，能够大幅度提升攻击源头检测的效率和准确性，并且能够发现在整个大型网络中与该起攻击事件密切相关的多个节点，可为防御者找到突破口，使得在攻击路径溯源和攻击源头检测方面的准确率大幅度提升，为防御方的防御工作和攻击源头快速确立提供了保障。
附图说明
[0013]为了更清楚的说明本专利技术实施例技术方案，下面将对实施例描述中所需要使用的附图作简单的介绍，显而易见的，下面的描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。
[0014]图1为本专利技术实施例提供的基于机器学习的攻击路径溯源和攻击源头检测方法流程示意图；
[0015]图2为本专利技术实施例提供的通过深度优先遍历算法寻找可达路径方法流程示意图；
[0016]图3为本专利技术实施例提供的基于PRA算法计算某个节点是另一个节点的攻击源头概率原理图；
[0017]图4为本专利技术实施例提供的通过粒子群优化算法确定PRA算法中的路径权重原理图；
[0018]图5为本专利技术实施例提供的实验仿真列举的部分源头检测概率图；
[0019]图6为本专利技术实施例提供的实验仿真枚举的部分节点之间的可行路径数量图。
具体实施方式
[0020]下面结合附图对本专利技术的具体实施方式作进一步说明。在此需要说明的是，对于这些实施方式的说明用于帮助理解本专利技术，但并不构成对本专利技术的限定。此外，下面所描述的本专利技术各个实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互组合。
[0021]实施例：
[0022]参见图1，本专利技术实施例提供的基于机器学习的攻击路径溯源和攻击源头检测方法流程图，包括如下步骤：
[0023]S101、构建大型网络有向攻击图，针对不同的源主机和目标主机进行统一编号，并将相邻主机之间的可达性存储为二维邻接矩阵，利用深度优先遍历算法和二维邻接矩阵找出源主机和目标主机之间所有可达路径。
[0024]基于Windows的身份验证事件数据依据主机之间的访问方向构建大型网络有向攻击图，并针对不同的主机进行编号，利用一维数组存储主机编号，并将相邻主机之间的可达性存储为二维邻接矩阵。
[0025]然后通过使用深度优先遍历算法，枚举出源主机和目标主机之间所有可达路径
(此处的可达路径表示所有中间路径在邻接矩阵上不为零即表示该路径可达)。本专利技术将两个节点之间的所有可达路径保存至二维数组。
[0026]参见图2实施例所示的通过深度优先遍历算法寻找可达路径方法流程图；
[0027]通过深度优先遍历算法寻找可达路径，具体包括：
[0028]步骤一、通过深度优先便利算法访问某顶点V时，将该顶点作为当前顶点，访问当前顶点的下一个未被访问过的邻接点；
[0029]步骤二、如果当前顶点的所有邻接点中有还未访问过的邻接点，则访问还未访问过的邻接点，并对还未访问过的邻接点执行步骤一中的操作；
[0030]步骤三、如果当前顶点的所有邻接点都访问过，则判断所有顶点是否都被访问过，若是，则表示所有可达路径均已得到，否则，沿搜索路径回退，继续执行步骤一。
[0031]通过深度优先遍历算法并结合时间参数和递归的方式来筛选出实际的攻击路径可行性路径，从而避免了非可行性路径对攻击源头检测的影响。
[0032]S102、引入事件发生的时间参数结合递归的方式，从所有可达路径中筛选出符合依照事件时间顺序的实际可行路径。
[0033]接下来引入事件发生的时间参数并使用递归地方式从枚举的所有可达路径中筛选出实际有效的可行路径(此处将筛选出所有符合中间路径依照时间递增关系的有效路径)。主机C
i
到主机C
j
的可行关系路径P需要满足所有中间路径T
pm
依照时间顺序有序排列，符合如下公式的规则才算是实际有效的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于机器学习的攻击路径溯源和攻击源头检测方法，其特征在于，包括如下步骤：构建大型网络有向攻击图，针对不同的源主机和目标主机进行统一编号，并将相邻主机之间的可达性存储为二维邻接矩阵，利用深度优先遍历算法和二维邻接矩阵找出源主机和目标主机之间所有可达路径；引入事件发生的时间参数结合递归的方式，从所有可达路径中筛选出符合依照事件时间顺序的实际可行路径；对实际可行路径的权重进行初始化，利用路径排序算法计算攻击源头概率，选出概率值最大的作为攻击源头；通过粒子群优化算法对计算攻击源头概率过程中路径权重不断迭代寻优，从而得出最优情况下的路径权重值。2.如权利要求1所述的基于机器学习的攻击路径溯源和攻击源头检测方法，其特征在于，所述利用深度优先遍历算法和二维邻接矩阵找出源主机和目标主机之间所有可达路径，包括：利用深度优先遍历算法找出所有中间路径在二维邻接矩阵上不为零的路径，作为可达路径。3.如权利要求1所述的基于机器学习的攻击路径溯源和攻击源头检测方法，其特征在于，所述从所有可达路径中筛选出符合依照事件时间顺序的实际可行路径，包括：主机C
i
到主机C
j
的可行关系路径P需要满足所有中间路径T
pm
依照时间顺序有序排列，符合如下公式的规则为实际可行路径：4.如权利要求3所述的基于机器学习的攻击路径溯源和攻击源头检测方法，其特征在于，所述对实际可行路径的权重进行初始化，包括：将权重的种类定义为8个类别，分别表示8个级别的路径权重，将8级或超过8级的路径权重均记为W8。5.如权利要求1所述的基于机器学习的攻击路径溯源和攻击源头检测方法，其特征在于，所述利用路径排序算法计算攻击源头概率之前，包括：计算相邻主机路径概率值，具体为：相邻两个节点C
p
到C
q
的路径概率θ
pq
满足与C
p
出度相关的关系表达式：6.如权利要求3所述的基于机器学习的攻击路径溯源和攻击源头检测方法，其特征在于，所述利用路径排序算法计算攻击源头概率，包括：对求出的每条可达路径P
ij
所经过的所有相邻中间路径的路径概率与路径权重相乘得到单条路径概率...

【专利技术属性】
技术研发人员：王乐，张志强，周亮，顾钊铨，黄坤鑫，马丽婷，陈光耀，蔺子卿，王海翔，杨举，
申请(专利权)人：中国电力科学研究院有限公司国网上海市电力公司，
类型：发明
国别省市：