【技术实现步骤摘要】
本专利技术属于网络安全,具体涉及一种溯源图级别的高级持续威胁样本自动化生成方法。
技术介绍
1、高级持续威胁攻击是一种由具备丰富经验的攻击者发起,针对拥有高价值目标的对象而展开的高级性、隐蔽性和持续性的网络威胁活动。并且随着攻击载体的出现,高级持续威胁攻击在世界范围内愈发活跃。
2、为了检测高级持续威胁攻击,业界通常根据记录系统活动的日志,将其中包含的实体和对应的交互事件解析为一张代表系统执行历史的溯源图并对此进行分析。传统的检测方法通过人为定义的启发式规则在溯源图中进行标签传播而触发警报,然而存在规则无法遍布的缺陷。如今,机器学习技术已在包含大量训练数据的安全任务中有着良好的表现,为高级持续威胁攻击检测提供了一种全新的思路。然而在高级持续威胁攻击检测中,有限的高级持续威胁样本限制了有监督机器学习算法的高效应用。
3、针对上述问题,如何快速产生大量可用的高级持续威胁样本,促进有监督学习算法在高级持续性威胁攻击检测中的应用,是亟待解决的一个问题。
技术实现思路
1、本专利技术的目的在于提供一种溯源图级别的高级持续威胁样本自动化生成方法,可快速产生大量可用的高级持续威胁样本。
2、为实现上述目的,本专利技术所采取的技术方案为:
3、一种溯源图级别的高级持续威胁样本自动化生成方法,包括:
4、定义溯源图级别的高级持续威胁样本中的实体类型与关系类型,利用基于流的图生成模型产生抽象攻击图结构,所述抽象攻击图结构中的节点和边分别具有所
5、利用攻击阶段划分算法,确定抽象攻击图结构中每一攻击阶段的起始进程节点,所述攻击阶段包括初始入侵、权限提升、敏感行为和目标达成;
6、基于各起始进程节点,将抽象攻击图结构划分为初始入侵子图、权限提升子图、敏感行为子图和目标达成子图;
7、根据攻击技术匹配规则识别初始入侵子图、权限提升子图、敏感行为子图和目标达成子图中的攻击技术,并基于所识别的攻击技术从攻击实例化库中获取实体名称,所述攻击实例化库存储了与每种攻击技术相关的所有实体类型对应的实体名称;
8、为初始入侵子图、权限提升子图、敏感行为子图和目标达成子图中,仅具有实体类型的实体填充对应的实体名称,得到自动化生成的溯源图级别的高级持续威胁样本。
9、以下还提供了若干可选方式,但并不作为对上述总体方案的额外限定,仅仅是进一步的增补或优选,在没有技术或逻辑矛盾的前提下,各可选方式可单独针对上述总体方案进行组合,还可以是多个可选方式之间进行组合。
10、作为优选,所述实体类型包括恶意进程、良性进程、恶意文件、系统文件、临时文件和套接字,所述关系类型包括分叉、删除、注入、读、写、更改模式、执行、发送和接收。
11、作为优选,所述抽象攻击图结构定义为,其中为节点矩阵,为边矩阵,为抽象攻击图结构中最大的节点数,为实体类型数,为关系类型数,当第个节点和第个节点由一条关系类型的索引为的边连接时,记,否则记,,。
12、作为优选,所述利用基于流的图生成模型产生抽象攻击图结构,包括:
13、抽象攻击图结构生成过程的迭代从一个空的抽象攻击图结构开始,在第轮迭代中,根据已有的抽象攻击图结构预测新的节点,随后预测新的节点与所有已有节点之间的边,持续迭代直到新预测的节点与任意一个已有的节点都没有关系,或者抽象攻击图结构中节点已达到最大数目时,停止迭代,输出抽象攻击图结构;其中,在一次迭代中节点和边的预测过程如下:
14、对于一个给定的抽象攻击图结构,使用去量化技术添加噪声,将离散的抽象攻击图结构表示为连续数据;
15、采用关系图卷积网络学习连续数据的嵌入向量,并对嵌入向量进行sum-pooling操作,得到整个抽象攻击图结构的嵌入向量;
16、利用两个多层感知机模型,针对嵌入向量,分别产生预测节点分布均值的神经网络参数和预测节点分布方差的神经网络参数,利用分别赋予了预测节点分布均值的神经网络参数和预测节点分布方差的神经网络参数的神经网络,针对上一轮迭代获得的节点分布,输出本轮迭代的节点分布,并选择节点分布中值最高的维度所对应的实体类型作为本轮迭代新预测的节点的节点类型;
17、利用两个多层感知机模型,针对嵌入向量、嵌入向量中的第个节点的嵌入以及嵌入向量中的第个节点的嵌入,分别产生预测边分布均值的神经网络参数和预测边分布方差的神经网络参数,其中为本轮迭代新预测的节点的序号,为任意一个已有的节点的序号;
18、利用分别赋予了预测边分布均值的神经网络参数和预测边分布方差的神经网络参数的神经网络,针对上一轮迭代获得的边分布、本轮迭代新预测的节点以及本轮迭代已预测的边,输出本轮迭代的边分布,并选择边分布中值最高的维度所对应的关系类型作为本次新预测的边的边类型,重复预测边类型,直至完成本轮迭代新预测的节点与任何一个已有的节点之间的边类型的预测。
19、作为优选,所述利用攻击阶段划分算法,确定抽象攻击图结构中每一攻击阶段的起始进程节点,包括:
20、从一张抽象攻击图结构中获得功能流的起始节点集合和终止节点集合,根据起始节点集合和终止节点集合,获取抽象攻击图结构中每个进程节点对应的功能流集合;
21、取抽象攻击图结构中出度不为0的进程节点作为候选阶段特征节点,计算任意两个候选阶段特征节点之间的功能流相似度,并删除功能流相似度大于相似阈值且功能流集合大小较小的候选阶段特征节点;
22、统计节点的功能流数和总度数,并分别根据功能流数和总度数对删除后剩余的候选阶段特征节点进行递增排序,得到功能流数列表和总度数列表,根据每个候选阶段特征节点在功能流数列表和总度数列表中的索引计算得分;
23、将得分位于最高的前四个候选阶段特征节点作为起始进程节点,并且按照起始进程节点的时序递增顺序,将四个起始进程节点分别作为初始入侵的起始进程节点、权限提升起始进程节点、敏感行为起始进程节点和目标达成起始进程节点。
24、作为优选,所述功能流的起始节点所包含的实体类型为恶意进程、良性进程和套接字,所述功能流的起始节点的节点度特征为0入度,或者存在一个出度边的时间戳小于所有入度边的时间戳;
25、所述功能流的终止节点所包含的实体类型为恶意进程、良性进程、恶意文件、系统文件、临时文件和套接字,所述功能流的节点度特征为0出度,或者存在一个入度边的时间戳大于所有出度边的时间戳。
26、作为优选,所述功能流相似度计算过程如下:
27、;
28、式中,表示候选阶段特征节点和候选阶段特征节点之间的功能流相似度,表示候选阶段特征节点对应的功能流集合,表示候选阶段特征节点对应的功能流集合,、分别表示候选阶段特征节点的序号,表示取集合的长度,表示取最大值。
29、作为优选,得分计算如下:
30、;
31、式中,表示候选阶段特征节点的得本文档来自技高网...
【技术保护点】
1.一种溯源图级别的高级持续威胁样本自动化生成方法,其特征在于,所述溯源图级别的高级持续威胁样本自动化生成方法,包括:
2.根据权利要求1所述的溯源图级别的高级持续威胁样本自动化生成方法,其特征在于,所述实体类型包括恶意进程、良性进程、恶意文件、系统文件、临时文件和套接字,所述关系类型包括分叉、删除、注入、读、写、更改模式、执行、发送和接收。
3.根据权利要求1所述的溯源图级别的高级持续威胁样本自动化生成方法,其特征在于,所述抽象攻击图结构定义为,其中为节点矩阵,为边矩阵,为抽象攻击图结构中最大的节点数,为实体类型数,为关系类型数,当第个节点和第个节点由一条关系类型的索引为的边连接时,记,否则记,,。
4.根据权利要求3所述的溯源图级别的高级持续威胁样本自动化生成方法,其特征在于,所述利用基于流的图生成模型产生抽象攻击图结构,包括:
5.根据权利要求1所述的溯源图级别的高级持续威胁样本自动化生成方法,其特征在于,所述利用攻击阶段划分算法,确定抽象攻击图结构中每一攻击阶段的起始进程节点,包括:
6.根据权利要求5所述的溯源
7.根据权利要求5所述的溯源图级别的高级持续威胁样本自动化生成方法,其特征在于,所述功能流相似度计算过程如下:
8.根据权利要求5所述的溯源图级别的高级持续威胁样本自动化生成方法,其特征在于,得分计算如下:
9.根据权利要求1所述的溯源图级别的高级持续威胁样本自动化生成方法,其特征在于,所述攻击技术匹配规则,包括:
...【技术特征摘要】
1.一种溯源图级别的高级持续威胁样本自动化生成方法,其特征在于,所述溯源图级别的高级持续威胁样本自动化生成方法,包括:
2.根据权利要求1所述的溯源图级别的高级持续威胁样本自动化生成方法,其特征在于,所述实体类型包括恶意进程、良性进程、恶意文件、系统文件、临时文件和套接字,所述关系类型包括分叉、删除、注入、读、写、更改模式、执行、发送和接收。
3.根据权利要求1所述的溯源图级别的高级持续威胁样本自动化生成方法,其特征在于,所述抽象攻击图结构定义为,其中为节点矩阵,为边矩阵,为抽象攻击图结构中最大的节点数,为实体类型数,为关系类型数,当第个节点和第个节点由一条关系类型的索引为的边连接时,记,否则记,,。
4.根据权利要求3所述的溯源图级别的高级持续威胁样本自动化生成方法,其特征在于,所述利用基于流的图生成模型产生抽象攻击图结构,包括:<...
【专利技术属性】
技术研发人员:朱添田,袁淇萱,陈铁明,吕明琪,
申请(专利权)人:浙江工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。