本发明专利技术公开了一种基于知识图谱的网络攻击链还原方法及系统,该方法包括以下步骤:知识抽取步骤,解析系统日志以及情报文本,封装为统一格式的JSON文件;告警识别步骤,结合EDR等安全设备识别出日志中的告警信息;安全知识图谱构建步骤,利用日志数据结合外在情报信息对安全知识图谱进行实例化,并在图谱上进行标注告警信息;局部攻击链识别步骤,根据告警信息找到攻击入口点,进一步在安全知识图谱上识别局部攻击链;告警误报消除步骤,利用外在情报信息对告警本身进行评分,从而对局部攻击链打分,并依据专家阈值过滤误报;局部攻击链合并技术,按照局部攻击链的重合实体合并既有攻击链,同时找到不同攻击链间潜在的关联信息。本发明专利技术在传统的攻击溯源技术的基础上,引入了知识图谱技术,以增加底层日志中系统实体间交互行为的语义信息,实现了更为精准且可读的攻击链还原。击链还原。击链还原。
【技术实现步骤摘要】
一种基于知识图谱的网络攻击链还原方法
[0001]本法明涉及网络安全领域,尤其涉及一种网络攻击链还原方法。
技术介绍
[0002]网络安全作为保护计算机与网络系统可靠正常运行的基础,旨在防护黑客等恶意团体的非法入侵与资源破坏,涉及政治、经济、国防军事等重要领域。随着互联网用户规模不断的扩大,入网终端设备数目的翻倍增加,来自全球各地匿名黑客或竞争对手的网络攻击事件日渐频发,网络攻击技术也在推陈出新。
[0003]APT攻击(Advanced PersistentThreat,高级持续性威胁)是为了对特定目标达成信息窃取或资源控制等攻击目的,利用先进的攻击手段挖掘高度敏感信息,从而进行的长期且持续的网络攻击。区别于传统的网络攻击,APT具有潜伏性、长时性与掩蔽性等特点,难以预防和检测,增加了网络安全防御的困难程度。
[0004]近年来,相关学者将防御重点放在了攻击溯源上。攻击溯源通过采集流量与日志等信息数据,对失陷资产与内生情报数据进行分析并识别攻击行为,可以一定程度地还原攻击方的攻击路径、技术策略与真实意图,发现攻击者是以何种攻击流程完成对系统的渗透。
[0005]在攻击溯源的过程中,会生成一条或多条用于描述攻击者攻击行为上下文信息的攻击链。攻击链通常呈现为图结构上的路径或子图,图中的节点可表示多种实体,例如系统进程、文件、端口、漏洞情报与告警信息等,图中的边可表示实体间的交互关系,例如进程读取文件或与特定端口通信等。安全灾害事故发生时,溯源者将会通过对攻击行为的挖掘来对攻击者的攻击链路进行还原,从而检测和还原APT攻击渗透系统的过程。展现出攻击者是如何逐步攻击系统并造成了怎样的影响。
[0006]目前应用较为广泛的攻击链还原方法主要使用溯源图来识别攻击路径。溯源图是系统交互事件的集合,它将系统实体间的数据流、控制流及时序关系描述为一张有向图,有效描述了系统实体间的底层逻辑关系,保留了系统所有执行的历史记录。相较于传统的攻击检测方法,溯源图保存了与攻击无关的系统行为,具有更丰富的底层信息和执行历史,使攻击检测更加有效,解决了传统方法覆盖面窄的问题,对APT攻击的攻击溯源而言具有重要意义。
[0007]攻击链还原技术对于整个攻击溯源而言至关重要,通过分析攻击链,不仅能够得到攻击者的整个攻击流程,还能够依此制定更有针对性的防护或阻断措施,实现主动防御。然而,当前的攻击溯源方法无法提供一个稳定有效的检测能力,还原的攻击链中容易出现误报、依赖爆炸、断连等问题,并不能进行全面的攻击链还原,原因主要包括以下两点:
[0008]一是由收集系统日志等信息的非全面性、错误的数据采集方式与构图策略,或APT攻击潜伏过长导致的告警遗忘。长时间采集系统运行时的日志将带来昂贵的性能开销,影响原有业务系统的正常运行。因此,为了满足溯源取证的基础日志量需求,实际的数据探针采集方案仅会收集部分的系统日志。由于日志的非全面性,依赖于底层日志的溯源分析方
法构建的溯源图中可能会缺少攻击链还原所需的必要路径,无法将断连的攻击链关联起来,仅可得到多条不连通的攻击链。
[0009]二是攻击溯源过程中高阶语义的缺少导致其无法刻画高阶关联。高阶语义包含一些描述攻击意图的攻击情报,能够指明这一阶段攻击的具体手法与所要达成的目的。而溯源图的构建过程中缺少知识库的引入,本身仅有底层系统进程和文件的交互信息,使得攻击路径的识别只能依赖于节点与边的统计信息,缺失分析所需要的语义,无法刻画攻击者的攻击意图。因此,溯源图的可解释性薄弱,提供给安全专家用于溯源推理的语义指导十分有限。
[0010]在攻击溯源的过程中加入专家知识的指导,是目前业内亟需的技术方法。即,目前缺乏基于专家知识的网络攻击链还原相关技术与方法。
技术实现思路
[0011]为解决目前缺乏基于专家知识的网络攻击链还原相关技术与方法的问题,本专利技术提供了一种基于知识图谱技术的网络攻击链还原方法,旨在利用专家知识来富化攻击链的语义,从而提升溯源过程中攻击链的还原精度。
[0012]
技术实现思路
专利技术人不要写,权利要求定稿后,我们拷贝过来即可。
[0013]本专利技术的有益效果是:本专利技术可以解决目前缺乏基于专家知识的网络攻击链还原相关技术与方法的问题。该专利技术的基于知识图谱的网络攻击链还原方法可以利用专家知识来富化攻击链的语义,实现更高准确率与更具可读性的溯源分析结果。
附图说明
[0014]图1是安全知识图谱本体框架。
[0015]图2是本专利技术基于知识图谱的攻击链补全方法流程示意图。
具体实施方式
[0016]以下结合图2对专利技术的技术方案作进一步详细说明。
[0017]该图提供了一种安全知识图谱构建方法,图谱的本体框架如图1所示,用于实现多种不同场景下的攻击链还原任务,包括如下步骤:
[0018]步骤1、知识抽取,获取日志或情报文本中的实体与关系,可以使用采集Windows系统中的ETW日志、Linux系统中的Auditd日志以及开源的情报与信息;
[0019]该步骤中,利用攻防演练场景收集到的Auditd日志数据,结合CAPEC官网上相关的情报信息,以及The Unified Kill Chain的18个攻击战术。
[0020]步骤2、告警识别,使用可疑信息流关联识别方法,识别日志中的告警事件,可以通过基于专家模型的检测规则库以及EDR工具;
[0021]该步骤中,引入了Wazuh EDR工具来辅助识别Auditd日志中存在的告警行为。
[0022]步骤3、安全知识图谱构建,在NoSQL数据库中实例化图谱,可以使用Neo4j数据库;
[0023]该步骤中,使用Neo4j数据库实例化知识图谱。
[0024]步骤4、局部攻击链识别,找到最早的告警作为攻击入口,在图谱的系统实体网络中划分出更准确与小规模的攻击路径,从而生成一个攻击子图;
[0025]该步骤中,以当前未遍历过的最早发生的告警事件作为AOP,发出前向DFS来生成以该顶点为根的子图。
[0026]步骤5、告警误报消除,使用异常路径评分方法,对识别出的局部攻击链进行评分,区分不同攻击链的危险程度与可疑程度,并基于专家经验阈值过滤掉其中可能存在的误报。
[0027]该步骤中,参考最长上升子路径使用动态规划结合贪心的方法找到UKC子链,使用异常路径评分方法,对识别出的局部攻击链进行评分,攻击链评分定义为:
[0028][0029]其中,T是ADP根据UKC模型划分出的所有最长子序列集合,UKC
i
代表着其中的第i条UKC子链,代表着该子链上的第j个告警事件,len(UKC
i
)代表该子链的长度。
[0030]步骤6、局部攻击链合并,将存在相同实体或有隐式关联关系的攻击链合并为一条,得到还原后的攻击链。
[0031]该步骤中,将存在相同实体或有隐式关联关系的攻击链合并为一条。
[0032]该实施例还提供了一种基于知识图本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于知识图谱的网络攻击链还原方法,其特征在于,包括如下步骤:步骤1、知识抽取,获取日志或情报文本中的实体与关系,可以使用采集Windows系统中的ETW日志、Linux系统中的Auditd日志以及开源的情报与信息;步骤2、告警识别,使用可疑信息流关联识别方法,识别日志中的告警事件,可以通过基于专家模型的检测规则库以及EDR工具;步骤3、安全知识图谱构建,在NoSQL数据库中实例化图谱,可以使用Neo4j数据库;步骤4、局部攻击链识别,找到最早的告警作为攻击入口,在图谱的系统实体网络中划分出更准确与小规模的攻击路径,从而生成一个攻击子图;步骤5、告警误报消除,使用异常路径评分方法,对识别出的局部攻击链进行评分,区分不同攻击链的危险程度与可疑程度,并基于专家经验阈值过滤掉其中可能存在的误报。步骤6、局部攻击链合并,将存在相同实体或有隐式关联关系的攻击链合并为一条,得到还原后的攻击链。2.如权利要求1的基于知识图谱的网络攻击链还原方法,其特征在于,步骤2中,将主要使用ATT&CK定义的“技术”(Techniques)来规范化描述告警事件。例如,如果检测到日志中存在试图破坏特定系统或网络上的大量数据和文件,从而中断系统、服务和网络资源的可用性的行为,在安全知识图谱中将会把对应关系标注为ATT&CK中的攻击技术“Data Destruction”。3.如权利要求1的基于知识图谱的网络攻击链还原方法,其特征在于,步骤3中,知识图谱的本体框架主要分为两个模块:一个是内生情报模块,将主要从系统日志中读取,在该模块,将保存日志数据中的进程、文件、通信三类系统实体作为图谱中的节点,并将实体间的系统调用归纳为五类关系类型:CREATE,DELETE,EXECUTE,READ,WRITE;另一个是外部情报模块,将主要从情报库、知识库里读取,在该模块,将存储结合开源知识库与情报库匹配出的告警节点,包括结合The Unified Kill Chain所定义的18种战术来设计的杀伤链节点,以及结合CAPEC(Common Attack Pattern Enumeration and Classification)设计的对告警进行评分威胁情报节点。这些节点对应了日志中的告警行为,即内生情报模块的某条系统调用关系。两个模块通过从日志中匹配出的告警信息即单步攻击行为相连接。4.如权利要求1的基于知识图谱的网络攻击链还原方法,其特征在于,步...
【专利技术属性】
技术研发人员:蒋风浪,周运贤,吕燕,叶思迪,张郁璇,张轩诚,易大勇,
申请(专利权)人:珠海横琴跨境说网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。