本发明专利技术公开了一种基于机器学习的内网攻击检测模型构建方法,通过对收集到的日志记录进行分析,根据其中所对应的不同场景对其进行不同的溯源分析,从中确定攻击路径和攻击行为;步骤1,日志收集;步骤2,攻击场景定义;步骤3,定义各个场景的行为动作;步骤4,新建攻击溯源分析触发点。本发明专利技术具有准确率高、降低决策风险等优点。
An Intranet Attack Detection Model Construction Method Based on Machine Learning
【技术实现步骤摘要】
一种基于机器学习的内网攻击检测模型构建方法
本专利技术涉及智能模型构建领域,尤其涉及一种内网攻击检测模型构建方法。
技术介绍
随着现代互联网的发展,网络安全问题越来越凸显,网络上潜在的安全攻击越来越多,随着大量的攻击工具被发布,攻击者可以使用简单的攻击工具就对目标网络造成危害。手段高明的攻击者更是利用系统漏洞对信息系统进行深入攻击,给人们的生活带来了很多影响。对内网的攻击检测可以有效的发现攻击者入侵行为,提高攻击行为检测准确率是发现攻击行为的关键步骤。攻击模型是攻击技术发展的知识需求的重要来源,它有助于深入理解攻击的本质及其特点,分析整个攻击过程中攻击行为之间的相互关系。攻击图模型基于图论采用攻击模板描述攻击行为,供求模型通过需求/提供来刻画攻击行为之间的关联关系。攻击树模型侧重于描述攻击过程所包含的各种攻击行为之间的联系,攻击行为和结果都用节点表示,不进行区分,容易造成混乱。基于Petri网的攻击模型只能描述单一攻击行为,不能提供正在发生的攻击场景的清晰描述。攻击图能够描述发起攻击的初始状态与攻击成功的终态之间所有的攻击路径,但难以构造,尤其是网络节点和漏洞数量较多时,常依靠手工构图。总的来说,现有的攻击建模并非建立在攻击分类的基础之上,攻击分类和攻击模型缺乏有机结合,从而使得攻击建模存在全面性和层次性不强等问题。在进行网络攻击时,攻击知识库的构建和对攻击进行建模是进行网络攻击的关键。若要系统化构建一个为网络攻击提供技术支持的攻击知识库,首先就要选取合适的分类方法对数量庞大的攻击技术进行分类。鉴于此,必须对攻击理论和技术进行深入研究,在对其合理分类的基础上,建立攻击模型,并根据攻击模型构造攻击场景,对目标系统实施攻击。
技术实现思路
本专利技术目的在于提供一种适用于对内网攻击进行检测的基于机器学习的内网攻击检测模型构建方法。为了解决上述技术问题,本专利技术所述方法为:通过对收集到的日志记录进行分析,根据其中所对应的不同场景对其进行不同的溯源分析,从中确定攻击路径和攻击行为;具体步骤如下:步骤1,日志收集;步骤2,攻击场景定义;步骤3,定义各个场景的行为动作;步骤4,新建攻击溯源分析触发点。进一步的,步骤1中,将网络攻击的流量日志、web日志、交换机日志、操作系统日志进行统一的收集;该部分直接使用日志分析系统的Kafka消息输入服务,同时使用输入消息的内容提取器对日志进行提取,格式化成后续需要的字段和数据组成格式。进一步的,步骤2中,定义攻击场景为以下五种:扫描探测、渗透攻击、攻击入侵、控制目标、非法操作;上述场景定义在文件中,AttackType定义了场景类型。进一步的,步骤3中,通过日志分析系统的流对不同位置的日志进行区分,同时通过流内部的规则对日志进行过滤,分析所在场景下的攻击行为。进一步的,步骤4中,根据不同的场景行为进行不同的攻击溯源分析;将溯源结果推送到Kafka消息队列中,得出攻击者从发出攻击到结束攻击前后的行为目的分析。与现有技术相比,本专利技术的有益效果:1、所提出的攻击检测模型更加全面,通过对攻击的全过程进行综合的检测,提高攻击检测准确率。2、采用数据融合手段将来自多个采集器或多源的信息在一定准则下加以自动分析、综合以完成所需的决策和估计任务而进行的信息处理过程。当系统中单个采集器不能提供足够的准确度和可靠性时就采用多采集器数据融合。3、数据融合技术扩展了时空覆盖范围,改善了系统的可靠性,对目标或事件的确认增加了可信度,减少了信息的模糊性,提高了数据的可用性。对多个采集器所获得的信息进行综合处理,消除多采集器信息之间可能存在的冗余和矛盾,利用信息互补来降低不确定性,以形成对系统环境相对完整一致的理解,从而提高系统智能规划和决策的科学性、反应的快速性和正确性,进而降低决策风险。附图说明图1为本专利技术的流程图。具体实施方式下面结合附图和实施例对本专利技术的实施方式作进一步详细描述。以下实施例用于说明本专利技术,但不能用来限制本专利技术的范围。在本专利技术的描述中,需要说明的是,术语“中心”、“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本专利技术和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本专利技术的限制。术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本专利技术的描述中,除非另有说明,“多个”的含义是两个或两个以上。如图1所示,本专利技术所述方法为:通过对收集到的日志记录进行分析,根据其中所对应的不同场景对其进行不同的溯源分析,从中确定攻击路径和攻击行为;具体步骤如下:步骤101,日志收集;将网络攻击的流量日志、web日志、交换机日志、操作系统日志进行统一的收集;该部分直接使用日志分析系统的Kafka消息输入服务,同时使用输入消息的内容提取器对日志进行提取,格式化成后续需要的字段和数据组成格式。步骤102,攻击场景定义;定义攻击场景为以下五种:扫描探测、渗透攻击、攻击入侵、控制目标、非法操作;上述场景定义在文件中,AttackType定义了场景类型。步骤103,定义各个场景的行为动作;通过日志分析系统的流对不同位置的日志进行区分,同时通过流内部的规则对日志进行过滤,分析所在场景下的攻击行为。步骤104,新建攻击溯源分析触发点。根据不同的场景行为进行不同的攻击溯源分析;将溯源结果推送到Kafka消息队列中,得出攻击者从发出攻击到结束攻击前后的行为目的分析。工作过程大致如下:日志分析用到的算法有IP关联回溯算法和频繁模式挖掘算法,挖掘出攻击路径信息,IP回溯算法从攻击目标递归到攻击源,从而确定了攻击路径,频繁模式挖掘算法从日志记录中提取攻击行为,使用攻击前提条件和后续结果来关联报警,针对攻击者发动攻击的前因后果而设计。本专利技术的实施例是为了示例和描述起见而给出的,而并不是无遗漏的或者将本专利技术限于所公开的形式。本领域普通技术人员对本专利技术的技术方案做出的各种变形和改进,均应落入本专利技术权利要求书确定的保护范围内。选择和描述实施例是为了更好说明本专利技术的原理和实际应用,并且使本领域的普通技术人员能够理解本专利技术从而设计适于特定用途的带有各种修改的各种实施例。本文档来自技高网...
【技术保护点】
1.一种基于机器学习的内网攻击检测模型构建方法,其特征在于,所述方法为:通过对收集到的日志记录进行分析,根据其中所对应的不同场景对其进行不同的溯源分析,从中确定攻击路径和攻击行为;具体步骤如下:步骤1,日志收集;步骤2,攻击场景定义;步骤3,定义各个场景的行为动作;步骤4,新建攻击溯源分析触发点。
【技术特征摘要】
1.一种基于机器学习的内网攻击检测模型构建方法,其特征在于,所述方法为:通过对收集到的日志记录进行分析,根据其中所对应的不同场景对其进行不同的溯源分析,从中确定攻击路径和攻击行为;具体步骤如下:步骤1,日志收集;步骤2,攻击场景定义;步骤3,定义各个场景的行为动作;步骤4,新建攻击溯源分析触发点。2.根据权利要求1所述的一种基于机器学习的内网攻击检测模型构建方法,其特征在于:步骤1中,将网络攻击的流量日志、web日志、交换机日志、操作系统日志进行统一的收集;该部分直接使用日志分析系统的Kafka消息输入服务,同时使用输入消息的内容提取器对日志进行提取,格式化成后续需要的字段和数据组成格式。3.根据权利要求1所述...
【专利技术属性】
技术研发人员:左晓军,董立勉,侯波涛,卢宁,陈泽,常杰,郗波,
申请(专利权)人:国网河北省电力有限公司电力科学研究院,
类型:发明
国别省市:河北,13
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。