一种基于网络空间探测行为的攻击组织动态识别方法技术

本发明专利技术提出一种基于网络空间探测行为的攻击组织动态识别方法。利用开源网络空间探测工具对暴露在互联网上的工控设备进行扫描，形成参考网络攻击流量集；以流量会话为基本单元对网络攻击流量进行分割，并提取包含所有工控流量的特征向量的攻击模式；建立攻击模式的多分类模型，并建立新类别判定机制和自更新判定机制，使多分类模型具有自扩展和自更新功能；建立攻击组织识别机制，使其能够根据攻击者IP和多分类模型分类及判定结果判定攻击者所属组织。本方法能够在威胁情报信息缺失的情况下，准确、动态的识别已有及未知攻击组织，使网络防御者能够在攻击事件发生之前，提前掌握攻击组织信息。击组织信息。击组织信息。

【技术实现步骤摘要】
一种基于网络空间探测行为的攻击组织动态识别方法


[0001]本专利技术涉及工业控制系统网络安全领域，具体说是一种基于网络空间探测行为的攻击组织动态识别方法。

技术介绍

[0002]随着工业互联网等概念的推出，工业控制系统与信息化系统的融合程度不断加深，推动着传统工业逐渐走向网络化、数字化和智能化。随之而来，工业控制系统的安全问题受到了前所未有的关注。如何实现对攻击组织的深度挖掘，尤其是在攻击实施的早期进行识别，已经成为学术界和产业界关注的难点问题。
[0003]目前攻击组织的识别问题仍处于后知后觉的阶段，即通常由网络安全公司在工业企业遭受攻击事件后，基于网络攻击模型(如STRIDE、CyberKillChain、ATT&CK、CAPEC等模型)，通过对各类安全产品上报的日志和告警信息进行复盘总结，来挖掘出潜伏的攻击组织。然而，按照杀伤链模型的七个阶段，即侦察、武器化、投放、漏洞利用、安装、命令与控制、在目标上操作，攻击组织通常在攻击的第一阶段便开始在网络上执行攻击对象的侦察任务，这也是在外部网络空间发现攻击组织行动痕迹的最佳阶段，而分布式工控蜜网在此方面具有独特优势。通过部署在公网上的分布式工控蜜网能够捕获大量针对暴露工控设备的探测行为，此类探测行为能够较好的反映攻击者的攻击目的和攻击工具的攻击模式，进而为攻击组织识别提供依据。随着分布式工控蜜网的逐渐部署和攻击流量的不断积累，如何基于网络空间探测行为实现对于攻击组织的准确识别已成为一个迫切需要解决的问题。
[0004]现阶段，基于网络空间探测行为的攻击组织识别方法主要包括两类，一类是利用机器学习方法基于探测行为的相关攻击流量建立分类模型，实现对于攻击模式的分类，并以攻击模式划分攻击组织，该类方法的主要问题在于难以识别包含多种攻击工具(通常具有不同的攻击模式)的攻击组织；另一类是基于威胁情报的攻击组织识别方法，该类方法以蜜网捕获的攻击者IP为基础利用网络爬虫获取相关信息，进而确定哪些IP属于同一个攻击组织，该方法虽然准确性较高，但当前面临的主要问题是威胁情报缺失，尤其是有关攻击者的威胁情报更加难以获得。

技术实现思路

[0005]针对现有技术不足，本专利技术提出一种基于网络空间探测行为的攻击组织动态识别方法，其目的在于解决威胁情报信息缺失情况下如何精准识别来自外部网络的攻击组织的问题，相比于目前的基于攻击模式的识别方法，提高了准确性。
[0006]本专利技术为实现上述目的所采用的技术方案是：
[0007]一种基于网络空间探测行为的攻击组织动态识别方法，包括以下步骤：
[0008]利用开源网络空间探测工具对暴露在互联网上的工控设备进行扫描，得到网络攻击流量集，并将开源网络空间探测工具作为类别标签；
[0009]以流量会话为基本单元对网络攻击流量集进行分割，从流量会话中提取攻击模式
AP，构成攻击模式集；
[0010]利用One
‑
Vs
‑
One算法和无参有监督二分类算法建立基于攻击模式的多分类模型，并利用攻击模式集对其进行训练；
[0011]为多分类模型建立新类别判定机制；
[0012]为多分类模型建立自更新判定机制；
[0013]以C类网段和多分类模型输出的攻击模式类别作为攻击组织的识别依据，建立攻击组织识别机制，以识别网络空间中的攻击组织。
[0014]所述攻击模式集为攻击模式AP构成的集合，攻击模式AP由流量会话中所有工控流量的特征向量构成，表示为：
[0015]AP＝{A1,A2,
…
,A
m
}
[0016]其中，A
i
表示工控流量的特征向量，i＝1,2，
…
，m，m表示特征向量的个数，所述工控流量为包含工控协议请求数据的数据报文，A
i
表示为：
[0017]A
i
＝{a1,a2,
…
,a
q
}
[0018]其中，a
i
表示具体的特征属性，q表示特征属性个数。
[0019]所述多分类模型MC采用投票机制，票数最多的类别被判定为最终输出类别，表示为：
[0020]MC＝{M1,M2,
…
,M
p
}
[0021]其中，M
i
表示一个无参有监督二分类模型，i＝1,2，
…
，p，p＝n(n
‑
1)/2表示二分类模型的总个数，n为类别总数。
[0022]所述新类别判定机制包括阈值判定和模型判定两个判定步骤，当新的攻击模式同时通过两个判定时，则认为新的攻击模式代表了新的类别，并使用该攻击模式创建对应的新二分类模型，以扩展多分类模型。
[0023]所述阈值判定包括攻击模式指纹判定和平均特征向量判定两个子判定条件，且二者为“或”关系，即二者之一成立则阈值判定通过。
[0024]所述攻击模式指纹判定表示为：
[0025][0026]其中，APF表示测试攻击模式的指纹，且攻击模式初始被多分类模型分为C
i
类别，APF
ij
表示类别C
i
中的第j个攻击模式指纹，dist()表示向量间的欧几里得距离，d
min
()表示APF与类别C
i
中所有攻击模式指纹间的最小距离，D
fin
表示指纹阈值，APF表示为：
[0027]APF＝{V1,V2,
…
,V
n
}
[0028]其中，V
i
表示攻击模式属于类别C
i
的平均票数，i＝1,2，
…
，n，表示为：
[0029][0030]其中，v
ji
表示特征向量A
j
属于类别C
i
的票数，表示为：
[0031][0032]其中，m
k
表示一个二分类模型的分类结果，p
k
表示分类结果m
k
对应的概率，I
i
为指
示函数，当m
k
为i时，I
i
值为1，否则值为0。
[0033]平均特征向量判定表示为：
[0034][0035]其中，D
vec
表示向量阈值，AFV表示测试攻击模式的平均特征向量，AFV
ij
表示类别C
i
中的第j个攻击模式的平均特征向量，AFV表示为：
[0036]AFV＝{AF1,AF2,
…
,AF
q
}
[0037]其中，AF
i
表示AFV的第i个平均属性，i＝1,2，
…
，q，表示为：
[0038][0039]其中，a
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，包括以下步骤：利用开源网络空间探测工具对暴露在互联网上的工控设备进行扫描，得到网络攻击流量集，并将开源网络空间探测工具作为类别标签；以流量会话为基本单元对网络攻击流量集进行分割，从流量会话中提取攻击模式AP，构成攻击模式集；利用One
‑
Vs
‑
One算法和无参有监督二分类算法建立基于攻击模式的多分类模型，并利用攻击模式集对其进行训练；为多分类模型建立新类别判定机制；为多分类模型建立自更新判定机制；以C类网段和多分类模型输出的攻击模式类别作为攻击组织的识别依据，建立攻击组织识别机制，以识别网络空间中的攻击组织。2.根据权利要求1所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述攻击模式集为攻击模式AP构成的集合，攻击模式AP由流量会话中所有工控流量的特征向量构成，表示为：AP＝{A1,A2,
…
,A
m
}其中，A
i
表示工控流量的特征向量，i＝1,2，
…
，m，m表示特征向量的个数，所述工控流量为包含工控协议请求数据的数据报文，A
i
表示为：A
i
＝{a1,a2,
…
,a
q
}其中，a
i
表示具体的特征属性，q表示特征属性个数。3.根据权利要求1所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述多分类模型MC采用投票机制，票数最多的类别被判定为最终输出类别，表示为：MC＝{M1,M2,
…
,M
p
}其中，M
i
表示一个无参有监督二分类模型，i＝1,2，
…
，p，p＝n(n
‑
1)/2表示二分类模型的总个数，n为类别总数。4.根据权利要求1所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述新类别判定机制包括阈值判定和模型判定两个判定步骤，当新的攻击模式同时通过两个判定时，则认为新的攻击模式代表了新的类别，并使用该攻击模式创建对应的新二分类模型，以扩展多分类模型。5.根据权利要求4所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述阈值判定包括攻击模式指纹判定和平均特征向量判定两个子判定条件，且二者为“或”关系，即二者之一成立则阈值判定通过。6.根据权利要求5所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述攻击模式指纹判定表示为：其中，APF表示测试攻击模式的指纹，且攻击模式初始被多分类模型分为C
i
类别，APF
ij
表示类别C
i
中的第j个攻击模式指纹，dist()表示向量间的欧几里得距离，d
min
()表示APF与类别C
i
中所有攻击模式指纹间的最小距离，D
fin
表示指纹阈值，APF表示为：
APF＝{V1,V2,
…
,V
n
}其中，V
i
表示攻击模式属于类别C
i
的平均票数，i＝1,2，
…
，n，表示为：其中，v
ji
表示特征向量A
j
属于类别C
i
的票数，表示为：其中，m
k
表示一个二分类模型的分类结果，p
k
表示分类结果m
k
对应的概率，I
i
为指示函数，当m
k
为i时，I
i
值为1，否则值为0。7.根据权利要求5所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，平均特征向量判定表示为：其中，D
vec
表示向量阈值，AFV表示测试攻击模式的平均特征向量，AFV
ij
表示类别C
i
中的第j个攻击模式的平均特征向量，AFV表示为：AFV＝{AF1,AF2,
…
,AF
q
}其中，AF
i
表示AFV的第i个平均属性，i＝1,2，
…
，q，表示为：其中，a
ji
表示攻击模式的第j个特征向量的第i个...

【专利技术属性】
技术研发人员：盛川，赵剑明，刘贤达，王天宇，张博文，曾鹏，
申请(专利权)人：中国科学院沈阳自动化研究所，
类型：发明
国别省市：