【技术实现步骤摘要】
本专利技术属于网络安全基础设施领域,具体涉及一种网络级攻击行径审计方法、装置和可读存储介质。
技术介绍
1、近年来,网络攻击不断增加,给政府、关键基础设施和企业带来了巨大损失。特别是,高级持续威胁(apt)组织通过利用多种漏洞,采取多种att&ck战术,对目标组织进行秘密攻击。例如,wannacry是最为广泛传播的apt攻击之一,感染了150多个国家的组织和基础设施,造成了高达40亿美元的损失,隐匿的apt攻击的检测已成为学术界和工业界的研究热点。
2、基于溯源图的检测被认为是apt检测领域中一种有前途的分支,该方法收集细粒度的操作信息以便于系统内核审计。收集的信息包括进程之间的调用、文件的读写以及网络连接,最终形成一个有向无环图。因此,溯源图增强了对系统内攻击者操作复杂且动态流程的可见性和可追溯性。然而,面临以下三个问题:1)apt攻击的组织性和复杂性使得通过主机级别的溯源图审计难以还原完整的攻击路径,存在网络级别可追溯性的挑战;2)利用对抗性攻防的分布式攻击技术,如内存级木马和隐藏隧道,难以被检测,主机级别溯源图检测得到的入口事件通常不是真正的apt攻击链中的入口事件,导致反向追溯性的困难;3)大量的溯源图信息可能导致在揭示攻击链时存在滞后,现有的溯源图审计方案难以及时前向追溯后续的渗透事件,存在前向传播滞后的问题。
技术实现思路
1、针对现有技术中存在的问题,本专利技术提供了一种网络级攻击行径审计方法、装置和可读存储介质,其目的在于解决难以还原完整的攻击路
2、为了解决上述技术问题,本专利技术通过以下技术方案予以实现:
3、根据本专利技术的第一方面,提供一种网络级攻击行径审计方法,包括:
4、获取被攻击设备的告警事件;
5、根据所述告警事件对所述被攻击设备的溯源图实体进行告警事件的相关性分析;
6、利用高斯混合模型对相关性分析结果进行聚类分析,得到关于告警事件的聚类模型;
7、将所述被攻击设备的溯源图实体输入所述聚类模型,得到关于告警事件的关联集合;
8、将所述关联集合输入套接字实体权重评分模型,得到关于告警事件的攻击入口;
9、利用告警前向追踪算法对所述告警事件进行前向追踪,得到关于告警事件的攻击出口;
10、将所述攻击入口与所述攻击出口进行对齐,重构得到网络级攻击行径。
11、在第一方面的一种可能的实现方式中,所述根据所述告警事件对所述被攻击设备的溯源图实体进行告警事件的相关性分析,包括:
12、利用时间相关性分析模型,分析所述被攻击设备的溯源图实体与所述告警事件的时间关联程度;
13、利用文件相关性分析模型,分析所述被攻击设备的溯源图实体与所述告警事件的文件关联程度;
14、利用出入度相关性分析模型,分析所述被攻击设备的溯源图实体与所述告警事件的出入度关联程度。
15、在第一方面的一种可能的实现方式中,所述时间相关性分析模型为:
16、
17、
18、
19、式中,ct(e)为溯源图实体中的待测事件与告警事件的时间关联程度;σ(e)为溯源图实体中的待测事件关于告警事件的拓扑修正值;t(epoi)为告警事件的时间戳;t(e)为溯源图实体中的待测事件的时间戳;ε为正常数;outdegree(e)为溯源图实体中的待测事件的出度;σ(e′)为前序已评估溯源图实体中的待测事件的修正值;为前序已评估溯源图实体中的待测事件关于告警事件的k-shell层数差值;和分别为告警事件和前序溯源图实体中的待测事件的k-shell层级;κ为非零常数;e为溯源图实体对应的事件边。
20、在第一方面的一种可能的实现方式中,所述文件相关性分析模型为:
21、
22、
23、
24、式中,cf(e)为溯源图实体中的待测事件与告警事件的文件关联程度;f(epoi)为告警事件的文件大小;f(e)为溯源图实体中的待测事件的文件大小;ε为正常数;σ(e)为溯源图实体中的待测事件关于告警事件的拓扑修正值;outdegree(e)为溯源图实体中的待测事件的出度;σ(e′)为前序已评估溯源图实体中的待测事件的修正值;为前序已评估溯源图实体中的待测事件关于告警事件的k-shell层数差值;和分别为告警事件和前序溯源图实体中的待测事件的k-shell层级;κ为非零常数;e为溯源图实体对应的事件边。
25、在第一方面的一种可能的实现方式中,所述出入度相关性分析模型为:
26、
27、
28、
29、式中,cr(e)为溯源图实体中的待测事件与告警事件的出入度关联程度;为溯源图实体中的待测事件v的出入度比;outdegree(v)为溯源图实体中的待测事件v的出度;indegree(v)为溯源图实体中的待测事件v的入度;σ(e)为溯源图实体中的待测事件关于告警事件的拓扑修正值;outdegree(e)为溯源图实体中的待测事件的出度;σ(e′)为前序已评估溯源图实体中的待测事件的修正值;为前序已评估溯源图实体中的待测事件关于告警事件的k-shell层数差值;和分别为告警事件和前序溯源图实体中的待测事件的k-shell层级;κ为非零常数;e为溯源图实体对应的事件边。
30、在第一方面的一种可能的实现方式中,所述利用高斯混合模型对相关性分析结果进行聚类分析,得到关于告警事件的聚类模型,具体为:
31、所述高斯混合模型为:
32、
33、θ={μ,∑,τ}
34、式中,xj为溯源图实体中的待测事件与告警事件的关联程度,包括时间关联程度、文件关联程度和出入度关联程度;为xj关于参数集θ符合分布i的概率;μi是第i簇的均值向量;μl是第l簇的均值向量;∑是协方差矩阵;τi是第i簇的混合系数;τl是第l簇的混合系数;k为溯源图实体聚类的个数;
35、利用所述高斯混合模型取溯源图实体中的待测事件的最大概率分布:
36、
37、经过多轮更新gmm_pred(xj,θ)参数,按照如下条件取收敛后最佳参数:
38、
39、当θ在两个连续的迭代步骤t和t+1之间的对数似然的相对增量的绝对值小于等于阈值∈,则停止迭代,得到关于告警事件的聚类模型。
40、在第一方面的一种可能的实现方式中,所述将所述关联集合输入套接字实体权重评分模型,得到关于告警事件的攻击入口,具体为:
41、所述套接字实体权重评分模型为:
42、weight=||w*tx||
43、
44、
45、式中,weight为实体权重;w*为权重投影阵;mi为类别为i的样本总个数;sb为类间散度矩阵;sw为类内散度矩阵;x为关于告警事件的关联集合,xj为x中的本文档来自技高网...
【技术保护点】
1.一种网络级攻击行径审计方法,其特征在于,包括:
2.根据权利要求1所述的一种网络级攻击行径审计方法,其特征在于,所述根据所述告警事件对所述被攻击设备的溯源图实体进行告警事件的相关性分析,包括:
3.根据权利要求2所述的一种网络级攻击行径审计方法,其特征在于,所述时间相关性分析模型为:
4.根据权利要求2所述的一种网络级攻击行径审计方法,其特征在于,所述文件相关性分析模型为:
5.根据权利要求2所述的一种网络级攻击行径审计方法,其特征在于,所述出入度相关性分析模型为:
6.根据权利要求1所述的一种网络级攻击行径审计方法,其特征在于,所述利用高斯混合模型对相关性分析结果进行聚类分析,得到关于告警事件的聚类模型,具体为:
7.根据权利要求6所述的一种网络级攻击行径审计方法,其特征在于,所述将所述关联集合输入套接字实体权重评分模型,得到关于告警事件的攻击入口,具体为:
8.根据权利要求1所述的一种网络级攻击行径审计方法,其特征在于,所述利用告警前向追踪算法对所述告警事件进行前向追踪,得到关于告警事件的
9.一种网络级攻击行径审计装置,其特征在于,包括:
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述的一种网络级攻击行径审计方法的步骤。
...【技术特征摘要】
1.一种网络级攻击行径审计方法,其特征在于,包括:
2.根据权利要求1所述的一种网络级攻击行径审计方法,其特征在于,所述根据所述告警事件对所述被攻击设备的溯源图实体进行告警事件的相关性分析,包括:
3.根据权利要求2所述的一种网络级攻击行径审计方法,其特征在于,所述时间相关性分析模型为:
4.根据权利要求2所述的一种网络级攻击行径审计方法,其特征在于,所述文件相关性分析模型为:
5.根据权利要求2所述的一种网络级攻击行径审计方法,其特征在于,所述出入度相关性分析模型为:
6.根据权利要求1所述的一种网络级攻击行径审计方法,其特征在于,所述利用高斯混合模型对相关性分析结...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。