【技术实现步骤摘要】
本专利技术属于数据安全领域,更进一步涉及一种从审计日志中自动抽取出高级行为的方法。
技术介绍
1、由于这些年来大型企业系统接连不断的遭遇安全事件,这些袭击越来越大规模且复杂,给企业带来巨大的损失,为了更好地预防和应对此类攻击,企业开始广泛部署端点监控解决方案如安全信息和事件管理工具,将系统级活动持续记录为审计日志;对这些记录下来的审计日志进行分析能及早发现威胁或者在发生安全事件时能对攻击进行溯源及确定损害范围。
2、系统审计日志使分析人员能够通过数据来源深入了解网络攻击。每个审计事件都记录操作系统级别的操作(即系统调用),如进程执行、文件创建和网络连接。具体来说,事件可以定义为三元组(subject,relation,object),其中subject是进程实体,object是系统实体(即进程、文件或网络套接字),relation是系统调用函数。系统实体与一组用于标识的属性相关联,例如标签(例如pid和inode)和名称(例如文件路径、进程路径和ip地址)。此外,每个单独的事件(例如写入文件的过程)代表主体和对象之间的信息流。为了便于攻击因果关系分析,研究界采用了溯源图以有效跟踪审计日志中的信息流。溯源图是一个系统行为的因果关系的通用表示方式,溯源图中边的方向指示系统实体之间的数据传输方式。在对特定安全事件的调查中,分析人员可以通过溯源图搜索与网络攻击有关的信息,具体来说:分析人员可以对事件执行向后跟踪以确定其根本原因;也可以对找到的初始折衷点进行前向跟踪以探索同一攻击的后果。当通过向后和向前跟踪检查安全事件的祖先和
3、而分析师在进行审计日志分析时,不仅要识别恶意行为如数据泄露,还要识别良性行为如程序编译和上传,尽管溯源图提供了直观的表示来可视化因果关系并删除不相关的事件,但由于每天普遍存在的正常活动,分析师仍然要花费过多的时间来调查相关但良性的事件,因此从审计事件中抽象出行为是分析人员浏览大量事件并关注特定信息的有效策略;从本质上看,行为表示审计数据的抽象,在行为层面上分析审计日志可以有效地减少分析工作量。
4、目前已经有的技术方案是通过将审计事件与专家定义的描述行为的规则的知识存储相匹配来弥合这一差距,与本专利技术的实现目的最接近的技术方案是基于标签的策略,通过标记传播来识别高级行为,具体来说,该方法首先将审计日志构建成溯源图,然后采用开发的用于标签初始化和传播的可定制策略框架为图中每个结点打上标签,标签将提供重要的上下文信息,分为良性可信、良性和未知三种类型,用于后续识别最有可能涉及攻击的主体、对象和事件,解决分析实体的优先级问题;对溯源图标记完成后实现基于标签的异常检测,检测出告警后对告警触发点进行基于标签的双向分析,即前向分析和后向分析,生成带有语义的攻击子图。
5、上述的基于标签的技术方案的瓶颈是在定义标签和分配标签时需要依赖专家的领域知识,在实践应用中很可能受到阻碍。
6、因此,如何摆脱对专家知识的依赖且减少日志分析中的人工工作量是目前待解决的问题。
技术实现思路
1、针对
技术介绍
中提出的问题,本专利技术开发一种从审计事件中提取有代表性的行为供分析人员调查的策略,通过自动抽象高级行为和聚类语义上相似的行为,分析人员只需要分析每一个簇中的行为签名,可以大大减少需要调查的事件量,同时无需依赖专家知识。
2、本专利技术提供如下技术方案:一种从审计日志中自动抽取出高级行为的方法,包括:
3、将待分析的审计日志解析为三元组,构造基于所述审计日志的三元组的溯源图;
4、推断所述溯源图中各节点上下文的语义,并从所述溯源图中枚举用于表征对应行为实例的子图,从而基于所述语义和所述行为实例进行行为的语义聚合以得到行为实例的语义;
5、根据预设规则将行为实例聚类成簇,并从每个簇中提取出最具代表性的行为实例的行为签名,从而获得高级行为的语义。
6、优选地,所述将待分析的审计日志解析为三元组,构造基于所述审计日志的三元组的溯源图,包括:
7、将待分析的审计日志解析为由头、关系和尾组成的三元组,从而构造以所述三元组形式来对从头到尾的信息流进行语义关系编码的溯源图;
8、其中,每个三元组对应所述审计日志中的一个审计事件,所述头和所述尾为任何类型的系统实体且不同时是文件或网络套接字,所述关系为对应的系统操作,所述三元组的所述系统实体类型与所述审计事件的类型一致;所述系统实体包括进程、文件和网络套接字。
9、优选地,所述推断所述溯源图中各节点上下文的语义包括:
10、使用transh嵌入模型将审计事件的三元组映射到向量空间;
11、将三元组的向量连接起来生成一个向量,所述连接起来的向量用于表示审计事件的语义。
12、优选地,所述从所述溯源图中枚举用于表征对应行为实例的子图以汇总行为实例包括:
13、对基于数据对象的溯源图执行自适应的前向深度优先搜索;
14、在图遍历过程中进一步合并到达系统实体的一跳入边;
15、将溯源图划分为子图,每个子图描述一个行为实例,行为实例为在相关数据上操作并通过信息流相互关联的审计事件序列。
16、优选地,在图遍历期间强制执行约束,约束为每个后续边的时间戳必须从所有前边单调增加。
17、优选地,基于所述语义和所述行为实例进行行为的语义聚合以得到行为实例的语义包括:
18、使用逆文档频率idf为行为实例中的每个审计事件分配权重;
19、聚合构成行为实例的审计事件的语义来获得行为实例的语义;
20、idf的公式如下:
21、
22、其中,e表示审计事件,s是包含事件e的所有会话的数量,se是特定会话的数量。
23、优选地,根据预设规则将行为实例聚类成簇,所述预设规则包括:
24、计算行为实例的语义的相似度,计算公式如下:
25、
26、其中,fm和fn为两个行为实例的向量表示,ei和ej分别是向量fm和fn的每一维,s(fm,fn)表示余弦相似度。
27、优选地,根据预设规则将行为实例聚类成簇,所述预设规则还包括:
28、使用聚类分层聚类分析算法hca迭代计算行为实例的语义的相似度,并组合两个最接近的聚类,直到最大相似度低于合并阈值。
29、优选地,从每个簇中提取出最具代表性的行为实例的行为签名,从而获得高级行为的语义包括:
30、计算每个行为实例与其他行为实例的平均相似度来量化簇中每个实例的代表性,选取平均相似度最大的实例作为该簇的行为签名。
31、本专利技术具备以下有益效果:
32、本专利技术采用嵌入模型将审计事件转化为向量的方式来表示审计时间的语义,然后根据信息流总结出行为实例,并本文档来自技高网...
【技术保护点】
1.一种从审计日志中自动抽取出高级行为的方法,其特征在于,包括:
2.根据权利要求1所述的从审计日志中自动抽取出高级行为的方法,其特征在于,所述将待分析的审计日志解析为三元组,构造基于所述审计日志的三元组的溯源图,包括:
3.根据权利要求2所述的从审计日志中自动抽取出高级行为的方法,其特征在于,所述推断所述溯源图中各节点上下文的语义包括:
4.根据权利要求2所述的从审计日志中自动抽取出高级行为的方法,其特征在于,所述从所述溯源图中枚举用于表征对应行为实例的子图包括:
5.根据权利要求4所述的从审计日志中自动抽取出高级行为的方法,其特征在于,在图遍历期间强制执行约束,约束为每个后续边的时间戳必须从所有前边单调增加。
6.根据权利要求3所述的从审计日志中自动抽取出高级行为的方法,其特征在于,基于所述语义和所述行为实例进行行为的语义聚合以得到行为实例的语义包括:
7.根据权利要求6所述的从审计日志中自动抽取出高级行为的方法,其特征在于,根据预设规则将行为实例聚类成簇,所述预设规则包括:
8.根据权利要求
9.根据权利要求1所述的从审计日志中自动抽取出高级行为的方法,其特征在于,从每个簇中提取出最具代表性的行为实例的行为签名,从而获得高级行为的语义包括:
...【技术特征摘要】
1.一种从审计日志中自动抽取出高级行为的方法,其特征在于,包括:
2.根据权利要求1所述的从审计日志中自动抽取出高级行为的方法,其特征在于,所述将待分析的审计日志解析为三元组,构造基于所述审计日志的三元组的溯源图,包括:
3.根据权利要求2所述的从审计日志中自动抽取出高级行为的方法,其特征在于,所述推断所述溯源图中各节点上下文的语义包括:
4.根据权利要求2所述的从审计日志中自动抽取出高级行为的方法,其特征在于,所述从所述溯源图中枚举用于表征对应行为实例的子图包括:
5.根据权利要求4所述的从审计日志中自动抽取出高级行为的方法,其特征在于,在图遍历期间强制执行约束,约束为每个后续...
【专利技术属性】
技术研发人员:田志宏,欧露,吴未,仇晶,戚吴棋,鲁辉,孙彦斌,苏申,徐光侠,刘园,李默涵,王昊,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。