【技术实现步骤摘要】
网络攻击源组织检测方法
本专利技术涉及计算机领域中网络与信息安全的检测方法,尤其指对网络攻击源组织的检测方法。
技术介绍
网络安全的威胁对象主要分黑客个体与黑客团伙两种,个体黑客受掌握资源和共享信息的限制其威胁能力要明显低于团伙作案的黑客组织。如图1所示,网络攻击源组织(即黑客团伙)是网络攻击者(即黑客个体)之间由于合作、共享、交流等形成的相对稳定的组织团体。黑客的团体化正是当今黑客发展的一个趋势。过去经常爆发的全球性个体黑客事件已渐渐发展为由黑客团体精心策划的锁定目标的大型资料外泄事件。例如高级持续性攻击(AdvancedPersistentThreat,APT),即黑客团伙以窃取核心资料为目的一种“恶意商业间谍威胁”,APT已经成为各种大型企业必须要面临的挑战。另一方面,对黑客团伙的识别,分析其攻击特点和攻击能力,可方便网络管理者采取针对性的措施来应对。这就使得我们在对网络攻击行为进行威胁分析时,必须对黑客个体和黑客团伙加以区别,并重点识别高威胁的黑客团伙。组织检测又称为节点聚类、组织识别,当前大多数研究是将关系结构数据看成由个体和个体间的关系组成的图,其中个体看做节点,个体间的链接关系看作边,以社区图(socigram)或者矩阵来形式化表达关系网络。常用的组织检测方法主要分为社会学中的分级聚类(HierarchicalClustering)和计算机科学中的图形分割(GraphPartition)两类。这些检测方法都需要以一些基于图论的概念(如度、迹、距离等)作为关系网络量化分析的基础指标;通过派系(Clique)等概念对关系网络进行凝聚子群分析。当前 ...
【技术保护点】
一种网络攻击源组织检测方法,其特征在于包括以下步骤:第一步,以入侵检测系统产生的全部报警信息为数据源,统计报警信息,为每个攻击者构造矩阵结构为A的威胁活动信息矩阵,共建立K个攻击者构造威胁活动信息矩阵即A1…Ap…AK,K为攻击者个数,1≤p≤K;矩阵结构A的横坐标和纵坐标根据报警数据库包含的报警信息构造,横坐标为攻击目标地址,纵坐标为报警时间中的最早时间点和最晚时间点之间的时间段即监测时间范围;威胁活动信息矩阵共有M*N项,M为目标地址个数,N为将最早时间点的整小时时刻做为起始点,每过一个小时分隔出一个小时段,直到到达最晚时间点的整小时时刻,共分隔出的小时段的个数;每一项的内容为攻击信息记录字符串Attack_Struct,字符串形式为:“1,x1;2,x2;3,x3;4,x4;5,x5;6,x6;”,该字符串固定为12元组,其中x1为拒绝服务攻击次数;x2为扫描探测攻击次数;x3为获取权限攻击次数;x4为控制会话攻击次数;x5为留下后门攻击次数;x6为其它类型攻击次数;第二步,分析K个攻击者之间的两两关联关系,生成威胁活动关联图R;威胁活动关联图R为由K个节点组成的无向图,K个节点 ...
【技术特征摘要】
1.一种网络攻击源组织检测方法,其特征在于包括以下步骤:第一步,以入侵检测系统产生的全部报警信息为数据源,统计报警信息,为每个攻击者构造矩阵结构为A的威胁活动信息矩阵,共建立K个攻击者构造威胁活动信息矩阵即A1…Ap…AK,K为攻击者个数,1≤p≤K;矩阵结构A的横坐标和纵坐标根据报警数据库包含的报警信息构造,横坐标为攻击目标地址,纵坐标为报警时间中的最早时间点和最晚时间点之间的时间段即监测时间范围;威胁活动信息矩阵共有M*N项,M为目标地址个数,N为将最早时间点的整小时时刻做为起始点,每过一个小时分隔出一个小时段,直到到达最晚时间点的整小时时刻,共分隔出的小时段的个数;每一项的内容为攻击信息记录字符串Attack_Struct,字符串形式为:“1,x1;2,x2;3,x3;4,x4;5,x5;6,x6;”,该字符串固定为12元组,其中x1为拒绝服务攻击次数;x2为扫描探测攻击次数;x3为获取权限攻击次数;x4为控制会话攻击次数;x5为留下后门攻击次数;x6为其它类型攻击次数;第二步,分析K个攻击者之间的两两关联关系,生成威胁活动关联图R;威胁活动关联图R为由K个节点组成的无向图,K个节点与K个攻击者一一对应,连接节点p及q的边值即边的权值记为rp,q,rp,q为攻击者attackerp与攻击者attackerq的关联关系的量化值,1≤p≤K,p<q≤K;第三步,对威胁活动关联图R进行简化,删除R中rp,q小于设定阈值的边信息,删除孤立节点即与其他节点无边相连的节点;将威胁活动关联图以<attackerp,attackerq,edge_valuep,q>的形式存入数据库,edge_valuep,q=rp,q,所述阈值为R中最大边值的5%;第四步,采用马尔科夫快速图形聚类方法对攻击者威胁活动关联图进行聚类检测,聚类指通过分析威胁者之间的关联关系分析将关系紧密的攻击者汇聚到一个子群中,首先将数据库存储的威胁活动关联图信息<attackerp,attackerq,edge_valuep,q>全部读取后存储到文本文件中,以该文本文件做为输入数据交由聚类软件进行聚类,得到所有攻击者IP地址的聚类情况,对于同一组织的攻击者采用同一个子群组编号标注该组织中的所有攻击者IP地址,将最终检测结果输出。2.如权利要求1所述的网络攻击源组织检测方法,其特征在于所述第一步中为每个攻击者构造威胁活动信息矩阵的方法是:对单个攻击者的报警信息进行遍历计算,将遍历结果填入一个矩阵结构为A的威胁活动信息矩阵中,依次遍历所有攻击者的报警信息,为每个攻击者构建一个矩阵结构为A的威胁活动信息矩阵,具体包括以下步骤:步骤1.1,对所有攻击分类并按照类型设定标识符,对所有攻击按照攻击类型即拒绝服务、扫描探测、获取权限、控制会话、留下后门,其它类型分类,定义攻击类型与其对应标识符为:拒绝服务类攻击对应标识符为1,扫描探测类攻击对应标识符为2,获取权限类攻击对应标识符为3,控制会话类攻击对应标识符为4,留下后门类对应标识符为5,其它类型攻击对应标识符为6;构造攻击信息记录字符串Attack_Struct,字符串形式为:“1,x1;2,x2;3,x3;4,x4;5,x5;6,x6;”;该字符串固定为12元组,其中x1为拒绝服务攻击次数;x2为扫描探测攻击次数;x3为获取权限攻击次数;x4为控制会话攻击次数;x5为留下后门攻击次数;x6为其它类型攻击次数;步骤1.2,统计报警信息,构造威胁活动信息矩阵结构A,具体方法为:1.2.1以入侵检测系统产生的海量报警信息为数据源,提取所有攻击者在整个监测视窗中的全部报警信息,将报警信息中包含的报警时间信息、目标地址信息作为威胁活动信息;1.2.2对监测视窗中的所有攻击者的目标地址信息做处理,构造威胁活动信息矩阵结构A的横坐标:不重复地选出所有的目标地址,并按目标地址被攻击的次数即目标地址在报警信息中出现的次数由高到低排列,在横坐标正向方向上从目标地址被攻击次数的最大值开始依次对应到横坐标正向的每个位置,横坐标正向第j个位置的目标地址用dipj表示,横坐标正向最远位置处的目标地址即所有目标地址中被攻击次数最少的目标地址用dipM表示,j≤M;1.2.3对监测视窗中所有攻击者的报警时间信息做处理,做为威胁活动信息矩阵结构A的纵坐标:将最早时间点的整小时时刻做为纵坐标的起始点,每过一个小时分隔出一个时间段,直到到达最晚时间点的整小时时刻,共分隔出N个小时段,距起始点之后的第i个时间段用timei表示,纵坐标最远位置处的时间段即报警数据库记录最晚一次攻击所发生的小时段用timeN表示,i≤N;步骤1.3,采用攻击源IP地址区分不同攻击者,第p个攻击者的IP地址记为attackerp,IP地址为attackerp的攻击者简称为攻击者attackerp,遍历所有攻击者,得到K个威胁活动信息矩阵,记为A1,A2,……,Ap……,AK-1,AK,1≤p≤K,K为攻击者总数。3.如权利要求1所述的网络攻击源组织检测方法,其特征在于所述第二步中R中的边值rq,p依据威胁活动信息矩阵Ap及Aq计算得到,具体方法为:步骤2.1令循环变量p=1;步骤2.2令循环变量q=p+1;步骤2.3根据威胁活动矩阵Ap和Aq构造过渡矩阵TSp,q,矩阵元素Sp,q[i][j]表示攻击者attackerp与攻击者attackerq在timei时段对dipj...
【专利技术属性】
技术研发人员:孙一品,陈曙晖,王勇军,常帅,钟求喜,庞立会,王飞,黄敏,
申请(专利权)人:中国人民解放军国防科学技术大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。