网络攻击源组织检测方法技术

本发明专利技术公开了一种网络攻击源组织检测方法，目的是利用骨干网安全监测视窗内的海量报警数据挖掘出网络攻击源组织。技术方案是从海量的报警信息中挖掘攻击者的威胁活动信息，继而构建攻击者威胁活动信息矩阵，通过对威胁活动信息矩阵采用威胁活动关联图生成方法得到威胁活动关联图，并对威胁活动关联图进行优化处理，最后对优化后的威胁活动关联图进行马尔科夫快速图形聚类以获得网络攻击源组织信息。采用本发明专利技术可以利用骨干网监测视窗内的海量报警数据挖掘出网络攻击源组织，解决了无法直接对网络攻击源组织进行检测的难题，保障了网络攻击源组织检测结果的准确性，且可规避网络结构的变化对检测结果的影响。

【技术实现步骤摘要】
网络攻击源组织检测方法
本专利技术涉及计算机领域中网络与信息安全的检测方法，尤其指对网络攻击源组织的检测方法。
技术介绍
网络安全的威胁对象主要分黑客个体与黑客团伙两种，个体黑客受掌握资源和共享信息的限制其威胁能力要明显低于团伙作案的黑客组织。如图1所示，网络攻击源组织(即黑客团伙)是网络攻击者(即黑客个体)之间由于合作、共享、交流等形成的相对稳定的组织团体。黑客的团体化正是当今黑客发展的一个趋势。过去经常爆发的全球性个体黑客事件已渐渐发展为由黑客团体精心策划的锁定目标的大型资料外泄事件。例如高级持续性攻击(AdvancedPersistentThreat，APT)，即黑客团伙以窃取核心资料为目的一种“恶意商业间谍威胁”，APT已经成为各种大型企业必须要面临的挑战。另一方面，对黑客团伙的识别，分析其攻击特点和攻击能力，可方便网络管理者采取针对性的措施来应对。这就使得我们在对网络攻击行为进行威胁分析时，必须对黑客个体和黑客团伙加以区别，并重点识别高威胁的黑客团伙。组织检测又称为节点聚类、组织识别，当前大多数研究是将关系结构数据看成由个体和个体间的关系组成的图，其中个体看做节点，个体间的链接关系看作边，以社区图(socigram)或者矩阵来形式化表达关系网络。常用的组织检测方法主要分为社会学中的分级聚类(HierarchicalClustering)和计算机科学中的图形分割(GraphPartition)两类。这些检测方法都需要以一些基于图论的概念(如度、迹、距离等)作为关系网络量化分析的基础指标；通过派系(Clique)等概念对关系网络进行凝聚子群分析。当前对网络攻击的威胁检测，并没有充分的利用黑客的团伙化特性，究其原因，一方面由于网络规模的扩大和黑客技术的发展，入侵和攻击的案例日益增多，现有的入侵检测技术的自身缺陷(存在较高的误报率)，以致海量的报警信息难以处理利用。另一方面，与传统的网络社交群体组织检测不同的是，对网络攻击源组织的分析仅能从报警信息出发，其中报警信息直接包含的报文信息包括：报警时间、源地址、目标地址、源端口、目标端口、源MAC、目标MAC、报文长度、报警网卡名称、原始报文、插件特征编号；间接包含的告警规则信息包括：协议类型、危害等级、操作系统类型、目标端口对象、目标地址对象、源端口对象、源地址对象、规则版本号、规则特征、漏洞信息、大类型、小类型、目标地址对象、规则名称、服务类型等信息。显然从这些报警信息中无法捕获网络攻击者的兴趣爱好、人际脉络、个人信息等内容，且无法获得其正常的网络活动信息。这就使得在网络攻击源组织检测中无法直接获得关系网络量化分析的基础指标，从而导致无法直接构建网络攻击者的关系网络，进而无法通过常用的组织检测方法对关系网络进行凝聚子群分析。总之，海量的报警信息难以处理，并且无法直接从已获得的报警信息中构建网络攻击者的关系网络，使得网络攻击源的组织检测成为网络与信息安全中的一大难题，至今还没有公开文献涉及网络攻击源的组织检测。如何正确对监测环境中的网络攻击源组织进行检测是本领域技术人员极为关注的技术问题。
技术实现思路
本专利技术要解决的问题就在于：针对网络攻击组织规模日趋壮大、协作日趋紧密的问题，提供一种网络攻击源组织检测方法，利用骨干网安全监测视窗内的海量报警数据挖掘出网络攻击源组织。基于攻击源组织检测结果，有利于改进网络威胁评估和安全防御。为解决上述技术问题，本专利技术提供的解决方案为：从海量的报警信息中挖掘攻击者的威胁活动信息，继而构建攻击者威胁活动信息矩阵，通过对威胁活动信息矩阵采用威胁活动关联图生成方法得到威胁活动关联图(即网络攻击者关系网络)，并对威胁活动关联图进行优化处理，最后对优化后的威胁活动关联图进行马尔科夫快速图形聚类以获得网络攻击源组织信息。本专利技术的技术方案为：第一步，以入侵检测系统产生的全部报警信息为数据源，统计报警信息，为每个攻击者构造威胁活动信息矩阵。对单个攻击者(以报警信息中不同的源地址作为不同攻击者的身份标识)的报警信息进行遍历计算，将遍历结果填入一个矩阵结构为A的威胁活动信息矩阵中。依次遍历所有攻击者的报警信息，为每个攻击者构建一个矩阵结构为A的威胁活动信息矩阵，共建立K个攻击者构造威胁活动信息矩阵即A1…Ap…AK，K为攻击者个数，1≤p≤K。具体步骤为：步骤1.1，对所有攻击分类并按照类型设定标识符。对所有攻击按照攻击类型(即拒绝服务、扫描探测、获取权限、控制会话、留下后门，其它类型)分类，定义攻击类型与其对应标识符为：拒绝服务类攻击对应标识符为1，扫描探测类攻击对应标识符为2，获取权限类攻击对应标识符为3，控制会话类攻击对应标识符为4，留下后门(隐藏踪迹)类对应标识符为5，其它类型攻击对应标识符为6。构造攻击信息记录字符串Attack_Struct，字符串形式为：“1，x1；2，x2；3，x3；4，x4；5，x5；6，x6；”。该字符串固定为12元组，其中x1为拒绝服务攻击次数；x2为扫描探测攻击次数；x3为获取权限攻击次数；x4为控制会话攻击次数；x5为留下后门攻击次数；x6为其它类型攻击次数。步骤1.2，统计报警信息，构造威胁活动信息矩阵结构A。矩阵结构A是后续处理步骤中攻击者威胁活动信息矩阵创建所采用的矩阵结构。矩阵结构A的横坐标和纵坐标根据报警数据库包含的报警信息来构造，如图2所示，横坐标为攻击目标地址，纵坐标为监测时间范围即报警时间中最早时间点与最晚时间点之间的时间段，最早时间点与最晚时间点由用户根据实际情况确定。具体方法为：1.2.1以入侵检测系统产生的海量报警信息为数据源，提取所有攻击者在整个监测视窗中的全部报警信息。将报警信息中包含的报警时间信息、目标地址信息作为威胁活动信息。1.2.2对监测视窗中的所有攻击者的目标地址信息做处理，构造威胁活动信息矩阵结构A的横坐标：不重复地选出所有的目标地址，将目标地址个数记为M，并按目标地址被攻击的次数(即目标地址在报警信息中出现的次数)由高到低排列，在横坐标正向方向上从目标地址被攻击次数的最大值开始依次对应到横坐标正向的每个位置，横坐标正向第j个位置的目标地址用dipj表示(j≤M)，横坐标正向最远位置处的目标地址(即所有目标地址中被攻击次数最少的目标地址)用dipM表示。1.2.3对监测视窗中所有攻击者的威胁活动时间信息(报警时间信息)做处理，做为威胁活动信息矩阵结构A的纵坐标：选取所有报警时间中的最早时间点和最晚时间点，将最早时间点的整小时时刻(即时间取整，如3：15取整为3：00)做为纵坐标的起始点，每过一个小时分隔出一个小时段，直到到达最晚时间点的整小时时刻，共分隔出N个小时段，即N为小时段的总数。距起始点之后的第i个时间段用timei表示(i≤N)，纵坐标最远位置处的时间段(即报警数据库记录最晚一次攻击所发生的小时段)用timeN表示。步骤1.3，采用攻击源IP地址区分不同攻击者，假定攻击者总数为K，第p个攻击者的IP地址记为attackerp，以下将IP地址为attackerp的攻击者简称为攻击者attackerp，遍历所有攻击者，得到K个威胁活动信息矩阵，记为A1，A2，……，Ap……，AK-1，AK，1≤p≤K，具体方法为：1.3.1令变量p＝1；1.3.2本文档来自技高网...

【技术保护点】
一种网络攻击源组织检测方法，其特征在于包括以下步骤：第一步，以入侵检测系统产生的全部报警信息为数据源，统计报警信息，为每个攻击者构造矩阵结构为A的威胁活动信息矩阵，共建立K个攻击者构造威胁活动信息矩阵即A1…Ap…AK，K为攻击者个数，1≤p≤K；矩阵结构A的横坐标和纵坐标根据报警数据库包含的报警信息构造，横坐标为攻击目标地址，纵坐标为报警时间中的最早时间点和最晚时间点之间的时间段即监测时间范围；威胁活动信息矩阵共有M*N项，M为目标地址个数，N为将最早时间点的整小时时刻做为起始点，每过一个小时分隔出一个小时段，直到到达最晚时间点的整小时时刻，共分隔出的小时段的个数；每一项的内容为攻击信息记录字符串Attack_Struct，字符串形式为：“1，x1；2，x2；3，x3；4，x4；5，x5；6，x6；”，该字符串固定为12元组，其中x1为拒绝服务攻击次数；x2为扫描探测攻击次数；x3为获取权限攻击次数；x4为控制会话攻击次数；x5为留下后门攻击次数；x6为其它类型攻击次数；第二步，分析K个攻击者之间的两两关联关系，生成威胁活动关联图R；威胁活动关联图R为由K个节点组成的无向图，K个节点与K个攻击者一一对应，连接节点p及q的边值即边的权值记为rp,q，rp,q为攻击者attackerp与攻击者attackerq的关联关系的量化值，1≤p≤K，p<q≤K；第三步，对威胁活动关联图R进行简化，删除R中rp,q小于设定阈值的边信息，删除孤立节点即与其他节点无边相连的节点；将威胁活动关联图以<attackerp,attackerq,edge_valuep,q>的形式存入数据库，edge_valuep,q＝rp,q。所述阈值为R中最大边值的5％；第四步，采用马尔科夫快速图形聚类方法对攻击者威胁活动关联图进行聚类检测，聚类指通过分析威胁者之间的关联关系分析将关系紧密的攻击者汇聚到一个子群中，首先将数据库存储的威胁活动关联图信息<attackerp,attackerq,edge_valuep,q>全部读取后存储到文本文件中，以该文本文件做为输入数据交由聚类软件进行聚类，得到所有攻击者IP地址的聚类情况，对于同一组织的攻击者采用同一个子群组编号标注该组织中的所有攻击者IP地址，将最终检测结果输出。...

【技术特征摘要】
1.一种网络攻击源组织检测方法，其特征在于包括以下步骤：第一步，以入侵检测系统产生的全部报警信息为数据源，统计报警信息，为每个攻击者构造矩阵结构为A的威胁活动信息矩阵，共建立K个攻击者构造威胁活动信息矩阵即A1…Ap…AK，K为攻击者个数，1≤p≤K；矩阵结构A的横坐标和纵坐标根据报警数据库包含的报警信息构造，横坐标为攻击目标地址，纵坐标为报警时间中的最早时间点和最晚时间点之间的时间段即监测时间范围；威胁活动信息矩阵共有M*N项，M为目标地址个数，N为将最早时间点的整小时时刻做为起始点，每过一个小时分隔出一个小时段，直到到达最晚时间点的整小时时刻，共分隔出的小时段的个数；每一项的内容为攻击信息记录字符串Attack_Struct，字符串形式为：“1，x1；2，x2；3，x3；4，x4；5，x5；6，x6；”，该字符串固定为12元组，其中x1为拒绝服务攻击次数；x2为扫描探测攻击次数；x3为获取权限攻击次数；x4为控制会话攻击次数；x5为留下后门攻击次数；x6为其它类型攻击次数；第二步，分析K个攻击者之间的两两关联关系，生成威胁活动关联图R；威胁活动关联图R为由K个节点组成的无向图，K个节点与K个攻击者一一对应，连接节点p及q的边值即边的权值记为rp,q，rp,q为攻击者attackerp与攻击者attackerq的关联关系的量化值，1≤p≤K，p<q≤K；第三步，对威胁活动关联图R进行简化，删除R中rp,q小于设定阈值的边信息，删除孤立节点即与其他节点无边相连的节点；将威胁活动关联图以<attackerp,attackerq,edge_valuep,q>的形式存入数据库，edge_valuep,q＝rp,q，所述阈值为R中最大边值的5％；第四步，采用马尔科夫快速图形聚类方法对攻击者威胁活动关联图进行聚类检测，聚类指通过分析威胁者之间的关联关系分析将关系紧密的攻击者汇聚到一个子群中，首先将数据库存储的威胁活动关联图信息<attackerp,attackerq,edge_valuep,q>全部读取后存储到文本文件中，以该文本文件做为输入数据交由聚类软件进行聚类，得到所有攻击者IP地址的聚类情况，对于同一组织的攻击者采用同一个子群组编号标注该组织中的所有攻击者IP地址，将最终检测结果输出。2.如权利要求1所述的网络攻击源组织检测方法，其特征在于所述第一步中为每个攻击者构造威胁活动信息矩阵的方法是：对单个攻击者的报警信息进行遍历计算，将遍历结果填入一个矩阵结构为A的威胁活动信息矩阵中，依次遍历所有攻击者的报警信息，为每个攻击者构建一个矩阵结构为A的威胁活动信息矩阵，具体包括以下步骤：步骤1.1，对所有攻击分类并按照类型设定标识符，对所有攻击按照攻击类型即拒绝服务、扫描探测、获取权限、控制会话、留下后门，其它类型分类，定义攻击类型与其对应标识符为：拒绝服务类攻击对应标识符为1，扫描探测类攻击对应标识符为2，获取权限类攻击对应标识符为3，控制会话类攻击对应标识符为4，留下后门类对应标识符为5，其它类型攻击对应标识符为6；构造攻击信息记录字符串Attack_Struct，字符串形式为：“1，x1；2，x2；3，x3；4，x4；5，x5；6，x6；”；该字符串固定为12元组，其中x1为拒绝服务攻击次数；x2为扫描探测攻击次数；x3为获取权限攻击次数；x4为控制会话攻击次数；x5为留下后门攻击次数；x6为其它类型攻击次数；步骤1.2，统计报警信息，构造威胁活动信息矩阵结构A，具体方法为：1.2.1以入侵检测系统产生的海量报警信息为数据源，提取所有攻击者在整个监测视窗中的全部报警信息，将报警信息中包含的报警时间信息、目标地址信息作为威胁活动信息；1.2.2对监测视窗中的所有攻击者的目标地址信息做处理，构造威胁活动信息矩阵结构A的横坐标：不重复地选出所有的目标地址，并按目标地址被攻击的次数即目标地址在报警信息中出现的次数由高到低排列，在横坐标正向方向上从目标地址被攻击次数的最大值开始依次对应到横坐标正向的每个位置，横坐标正向第j个位置的目标地址用dipj表示，横坐标正向最远位置处的目标地址即所有目标地址中被攻击次数最少的目标地址用dipM表示，j≤M；1.2.3对监测视窗中所有攻击者的报警时间信息做处理，做为威胁活动信息矩阵结构A的纵坐标：将最早时间点的整小时时刻做为纵坐标的起始点，每过一个小时分隔出一个时间段，直到到达最晚时间点的整小时时刻，共分隔出N个小时段，距起始点之后的第i个时间段用timei表示，纵坐标最远位置处的时间段即报警数据库记录最晚一次攻击所发生的小时段用timeN表示，i≤N；步骤1.3，采用攻击源IP地址区分不同攻击者，第p个攻击者的IP地址记为attackerp，IP地址为attackerp的攻击者简称为攻击者attackerp，遍历所有攻击者，得到K个威胁活动信息矩阵，记为A1，A2，……，Ap……，AK-1，AK，1≤p≤K，K为攻击者总数。3.如权利要求1所述的网络攻击源组织检测方法，其特征在于所述第二步中R中的边值rq,p依据威胁活动信息矩阵Ap及Aq计算得到，具体方法为：步骤2.1令循环变量p＝1；步骤2.2令循环变量q＝p+1；步骤2.3根据威胁活动矩阵Ap和Aq构造过渡矩阵TSp,q，矩阵元素Sp,q[i][j]表示攻击者attackerp与攻击者attackerq在timei时段对dipj...

【专利技术属性】
技术研发人员：孙一品，陈曙晖，王勇军，常帅，钟求喜，庞立会，王飞，黄敏，
申请(专利权)人：中国人民解放军国防科学技术大学，
类型：发明
国别省市：湖南;43