【技术实现步骤摘要】
本专利技术属于网络攻击检测领域,具体涉及一种基于溯源图行为信息的apt攻击检测方法。
技术介绍
1、在当今数字化时代,互联网的普及和技术的进步为人们带来了前所未有的便利,但与此同时,网络攻击的形式和规模也不断演进,成为威胁个人、企业甚至国家安全的严重问题。其中apt(advanced persistent threat,高级持续性威胁)攻击已成为现代计算环境安全面临的最大威胁之一,“低而慢”的攻击模式和频繁使用零日漏洞是其主要特点。
2、apt攻击往往源自国家级或高度组织化的黑客组织,其目标通常是国家重要基础设施和组织,例如能源、电力、金融、国防等管辖到国计民生或国家核心利益的网络基础设施或相关领域的大型企业,对国家安全和经济利益构成直接威胁。这些攻击利用高级的技术手段,通过长时间的渗透和隐蔽行动,试图获取关键信息并长期存在于目标系统中。攻击者通常会通过利用零日漏洞、社会工程学等手段潜入目标系统,然后长期驻留,窃取敏感信息而不被察觉。
3、apt攻击模式相对传统的网络攻击更具有隐秘性和针对性。
4、传统的apt攻击检测方法主要依赖静态特征匹配,如特定的签名、模式或规则,这种方法难以应对apt攻击的高度变异性和未知性,同时维护和更新特征库的成本较高。并且传统方法将审计日志作为数据源,数据的基本单位是日志中的条目,它们之间只存在时间上的先后关系,无法直接有效地表示系统中实体的交互关系,缺乏结构信息,因此对于apt攻击的检测效果不佳。溯源图作为一种直观而高效的信息表达形式,具有强大的语义表达能力和攻
5、基于溯源图的apt攻击检测方法可以进一步分为基于异常、基于规则和基于标记传播的方法。
6、其中与本专利技术最接近的技术方案是基于异常的检测方法。该方法首先部署合适的监测工具,如入侵检测系统、流量探针等,以收集网络流量和行为数据,然后使用收集到的数据构建溯源图,表示网络中的各个节点以及它们之间的互动关系。基于历史溯源图数据,使用机器学习方法学习正常的网络行为模型,最后使用这个模型来检测实时溯源图数据的偏差,若偏差超过一定阈值则判定为行为异常,可能存在apt攻击。
7、总之,基于异常的检测方法学习良性行为的模型,并根据与模型的偏差检测异常,具有适应apt新型攻击特征和变异行为的能力。
8、上述现有技术的缺点:
9、当前技术面临的主要问题在于基于溯源图的apt攻击检测方法主要关注系统实体之间的交互关系,并以此进行因果推理。具体而言,溯源图中主体之间的交互行为被简单表示为一条边。例如,a进程访问b文件在溯源图中以a指向b的边的形式呈现。然而,在这个过程中,关键的行为信息如发生时间和具体进行方式等,被忽略或丢弃。这种简化的表示形式导致行为信息的丢失,降低了检测的准确性并增加了误报率。
10、其次,目前的技术在检测粒度方面较为粗糙,主要在图级别进行检测,最多到节点级别,使得响应速度较慢。具体而言,检测的输出结果通常是指出哪张图或者哪个节点存在apt攻击可能。考虑到一张图可能包含成千上万个节点,而一个节点可能发出成千上万个行为,这种粗糙的检测粒度使得即使检测结果正确,返回给安全分析员的信息也难以迅速准确地定位到攻击的具体活动步骤,这使得攻击从被发现到响应的时间较长。
11、最后,目前的技术对于检测结果的可解释性较差。这主要是由于在检测流程中表示实体或行为时采用了高度抽象的特征,检测结果通常仅表现为是否存在apt攻击,增加了安全分析员理解判定原因的难度。
12、传统apt攻击检测方法往往依赖静态特征匹配,特征库的维护成本和更新成本都较高,且难以检测到未知威胁。而现有的基于溯源图的apt攻击检测方法无法利用实体间交互行为的信息,在检测准确度、检测效率、可解释性方面表现不佳。
技术实现思路
1、为解决现有技术中存在的技术问题,本专利技术提供了一种基于溯源图行为信息的apt攻击检测方法。
2、本专利技术技术方案:
3、一种基于溯源图行为信息的apt攻击检测方法,分为四个步骤,如下:
4、步骤1、数据预处理
5、步骤1.1、数据清洗
6、识别出日志中的实体和事件,按照统一的标识符记录;将所有信息字段标准化,如统一时间戳格式、ip地址表示方式等,确保所有数据具备可比性;
7、步骤1.2、生成溯源图
8、通过将输入数据进行图结构化,呈现系统行为的关联性。
9、步骤2、子图生成
10、为了在实际运用过程中的空间开销可控,将原溯源图划分成若干个大小可控的子图用于后续步骤;按照时间顺序依次检索完整溯源图的每个事件,若被检索事件的主体和客体未添加到系统内存的缓存图中,则将其作为新的节点添加到缓存图中,并在这对新节点之间添加一条边,同时将行为的时间戳分配给这些新节点。若被检索事件的主体和客体已经存在于缓存图中,则只更新它们的时间戳,确保时间戳与最新的行为时间保持一致。
11、步骤3、行为特征提取
12、生成子图后,对每一张子图进行特征提取,包括节点特征提取和边特征提取。
13、步骤4、分类模型设计、训练、异常检测
14、在步骤3输出的带有节点特征和边特征的子图后,用于分类模型的训练和测试;在异常检测阶段,利用训练好的模型依次分类每一条边的类型,当某一条边无法被现有任何一个子模型正确分类时,判定其为异常,并输出它的行为结构图(bsg)。
15、有益效果
16、本专利技术在溯源图的建模中引入了行为属性及其结构信息,超越了传统关注实体交互关系的范畴。除了捕捉实体之间的基本互动关系,本专利技术还考虑了行为属性,即行为发生的时间、方式等关键特征。更进一步,本专利技术将行为属性之间的关系纳入考虑,构建了行为结构信息。通过考察不同行为属性之间的关联,本专利技术增加了对行为内部结构的理解,提高了信息的密度。这种信息的引入增加了溯源图的层次,也为每个行为实体注入了更为详细的上下文背景。这个丰富而结构化的信息层次为后续的apt攻击检测和分析提供了更为严密和细致的基础。
17、通过引入池化方法和图表征学习,提高了模型的表达能力,使其更有效地捕捉行为结构中的重要信息,在初始结构信息的基础上不断优化。
18、本专利技术创新性地采用了随机方法,具体是采用er随机图模型来进行行为结构信息的初始化。确保初始行为结构图(bsg)是一个连通图这一点保证了每个行为属性都有潜在的关联路径,避免了在初始阶段就过早地将某些属性关联排除在分析之外。
19、本专利技术引入了更为细致和全面的行为属性及其结构信息。这些行为属性在模型中形成了多层次、多维度的信息结构,使得溯源图的信息层次为丰富和多样本文档来自技高网...
【技术保护点】
1.一种基于溯源图行为信息的APT攻击检测方法,其特征在于,分为四个步骤,如下:
2.根据权利要求1所述的一种基于溯源图行为信息的APT攻击检测方法,其特征在于,步骤2中,按照时间顺序依次检索完整溯源图的每个事件,若被检索事件的主体和客体未添加到系统内存的缓存图中,则将其作为新的节点添加到缓存图中,并在这对新节点之间添加一条边,同时将行为的时间戳分配给这些新节点;若被检索事件的主体和客体已经存在于缓存图中,则只更新时间戳,确保时间戳与最新的行为时间保持一致;
3.根据权利要求1所述的一种基于溯源图行为信息的APT攻击检测方法,其特征在于,步骤3包括以下步骤:
4.根据权利要求3所述的一种基于溯源图行为信息的APT攻击检测方法,其特征在于,步骤3.2包括以下步骤:
5.根据权利要求1所述的一种基于溯源图行为信息的APT攻击检测方法,其特征在于,步骤4包括以下步骤:
6.根据权利要求4所述的一种基于溯源图行为信息的APT攻击检测方法,其特征在于,所述步骤3.2.3从行为结构图中提取最终边特征向量,具体的:
【技术特征摘要】
1.一种基于溯源图行为信息的apt攻击检测方法,其特征在于,分为四个步骤,如下:
2.根据权利要求1所述的一种基于溯源图行为信息的apt攻击检测方法,其特征在于,步骤2中,按照时间顺序依次检索完整溯源图的每个事件,若被检索事件的主体和客体未添加到系统内存的缓存图中,则将其作为新的节点添加到缓存图中,并在这对新节点之间添加一条边,同时将行为的时间戳分配给这些新节点;若被检索事件的主体和客体已经存在于缓存图中,则只更新时间戳,确保时间戳与最新的行为时间保持一致;
...
【专利技术属性】
技术研发人员:王成,王朝栋,张旺,朱航宇,贾奇龙,
申请(专利权)人:同济大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。