一种检测内网横向移动攻击的方法技术

本发明专利技术提出一种检测内网横向移动攻击的方法，通过收集内网设备的流量及日志数据；提取上述数据中的所有节点，连接进行过网络通信的两个节点，构建主机间通信图；将每两个连接的节点之间的流量数据提取合并，以及将节点上的数据提取合并，分别作为特征值赋值给主机间通信图的边和点；利用网络表示学习方法，将带有特征的主机间通信图进行降维，利用自编码器提取出低维特征向量；利用半监督分类学习算法对低维特征向量进行分类，区分出疑似遭受过攻击的主机。

A method to detect the horizontal mobile attack in Intranet

The invention provides a method for detecting the horizontal mobile attack of the internal network, by collecting the traffic and log data of the internal network device, extracting all the nodes in the above data, connecting the two nodes that have carried out the network communication, and constructing the communication diagram between the hosts, extracting and merging the traffic data between each two connected nodes, and extracting and merging the data on the nodes, respectively as the features The value is assigned to the edge and point of the communication graph between hosts; the network representation learning method is used to reduce the dimension of the communication graph between hosts with features and extract the low-dimensional feature vector from the encoder; the semi supervised classification learning algorithm is used to classify the low-dimensional feature vector and distinguish the hosts suspected of being attacked.

【技术实现步骤摘要】
一种检测内网横向移动攻击的方法
本专利技术涉及计算机网络安全领域，用于对抗高级持续性威胁中的横向移动攻击阶段，更具体地，是一种针对内网横向移动攻击的检测方法。
技术介绍
横向移动攻击是指攻击者针对一个特定的内部网络，以被感染的外围设备为起点，通过收集信息、权限提升等方式，访问网络中的其他主机并窃取敏感信息(如：凭证、涉密资料等)的恶意渗透行为。通过横向移动攻击，攻击者可以最终获得域控权限，进而控制全部设备，从而达到窃取重要资料、驻留内网系统等目的，严重威胁到企业等组织的信息安全。横向移动攻击被广泛应用于复杂的网络攻击中，同时也是高级持续性威胁(APT)中非常重要的一个阶段。通常，企业的敏感信息不会存储在网络结构的边缘(如：Web服务器、个人主机等)，而是会存储在内部服务器，因而攻击者要窃取或者破坏这些重要资料，必须借助横向移动攻击，以边缘节点为起始点，渗透到内部。攻击者针对不同的网络环境，会使用内置于操作系统中的工具或是引入一些特定的工具，用来进行各类活动。因为攻击者通过横向移动攻击可以侵入多台设备，以至于攻击者非常容易隐藏自身且难以根除。目前传统的检测技术无法对此类高级攻击进行防御，大部分的解决方案都是部署在网络边界上的入侵检测，例如对于边界异常流量的检测或是对于0day漏洞的启发式检测等等。但是对于已经渗透入内网的攻击没有提出很好的解决方法，因此对于横向移动攻击的检测问题是现在无法有效解决的难题。防御了横向移动，就是防御了核心数据的安全。但如何有效地区分正常的网络访问行为和异常的横向移动攻击是解决该问题的关键之一。同时为了检测横向移动，必须收集来自网络连接和认证日志等多维度、大数据量的数据。如何综合有效地运用这些数据来设计特征和训练检模型也是需要考虑的问题。
技术实现思路
为解决上述问题，本专利技术提出一种检测内网横向移动攻击的方法，通过收集内网的流量及设备日志数据，构建主机间通信图，利用半监督分类学习算法有效检测横向移动攻击，保护企业组织信息安全。为达到上述目的，本专利技术采用如下技术方案：一种检测内网横向移动攻击的方法，包括以下步骤：收集内网设备的流量及日志数据；提取上述数据中的所有节点，连接进行过网络通信的两个节点，构建主机间通信图；将每两个连接的节点之间的流量数据提取合并，以及将节点上的数据提取合并，分别作为特征值赋值给主机间通信图的边和点；利用DeepGL网络表示学习方法，将带有特征的主机间通信图进行降维，利用自编码器提取出低维特征向量；利用半监督分类学习算法对低维特征向量进行分类，区分出疑似遭受过攻击的主机。进一步地，在构建主机间通信图时，需引入预先标记好的攻击/非攻击流量数据。进一步地，将带有特征的主机间通信图进行降维的方法包括以下步骤：1)计算主机间通信图的结构特征，将该结构特征添加至特征向量中；2)利用特征处理算子处理邻接元素特征向量的每一个特征，将处理得到的新的特征添加至当前元素的特征向量中；邻接元素包括邻接节点和邻接边，邻接节点是指一节点的有向入边的起点节点和有向出边的终点节点，邻接边是指一有向边的起点的有向边和终点的有向边；3)对处理后的新的特征向量进行特征选择，采用社区发现算法将特征向量中相似的特征聚合在一起，取每一个社区中最重要的特征组成新的特征向量；4)利用噪声自编码器对上述组成的新的特征向量进行降维，混入高斯随机噪声，利用编码器编码，将高维的特征向量压缩为低维的特征向量。进一步地，重复步骤1)-3)，以获得更准确的新的特征向量。进一步地，主机间通信图的结构特征包括节点和有向边的出度、入度、度及PageRank。进一步地，特征处理算子包括求和函数、求积函数、差分函数。进一步地，低维特征向量维度小于10。进一步地，半监督分类学习算法已利用标定的部分风险主机或主机间流量进行过训练。进一步地，半监督分类学习算法包括Self-Learning算法。一种检测内网横向移动攻击的系统，包括：内网数据收集模块，用于收集内网设备的流量及日志数据；主机间通信图构建模块，用于提取收集的数据中的所有节点，连接进行过网络通信的两个节点，构建主机间通信图；并将每两个连接的节点之间的流量数据提取合并，以及将节点上的数据提取合并，分别作为特征值赋值给主机间通信图的边和点；网络表示学习降维模块，用于利用网络表示学习方法，将带有特征的主机间通信图进行降维，利用自编码器提取出低维特征向量；半监督分类模块，用于利用半监督分类学习算法对低维特征向量进行分类，区分出疑似遭受过攻击的主机。本专利技术的有益效果在于：本专利技术构建主机间通信图后，利用网络表示学习方法降维特征，在半监督方法下，利用少量的已有标定数据检测出遭受过攻击的主机，从而及早发现攻击状况，保护企业组织的信息安全。与现有的内网横向移动防御方法相比，本专利技术的方法及下传统适用于多数场景，可以根据不同的网络环境，选择不同的数据特征进行操作，有效地检测遭受过的横向移动攻击；检测精度高，误报率低，能够在仅有不到10％的标定数据(人工分析所产生的标签数据)时检测出99％的受感染设备。附图说明图1是本专利技术实施例中检测内网横向移动攻击的方法的总流程图。图2是本专利技术实施例中主机间通信图构建流程图。图3是本专利技术实施例中网络表示学习降维流程图。图4是本专利技术实施例中半监督分类流程图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的目的、特征和优点能够更加明显易懂，下面结合附图和事例对本专利技术中技术核心作进一步详细的说明。本实施例公开一种可靠而有效的检测内网横向移动攻击的方法，如图1所示，本方法主要由信息收集、主机间通信构建、网络表示学习以及半监督分类四部分组成，主要步骤如下。步骤100，企业依据自身能力及需求利用内网数据收集模块进行信息收集，收集的信息例如设备间的登录成功/失败次数、登录的发起方、用户名等等，用于生成主机间通信图。步骤200，利用网络表示学习方法对主机间通信图进行表示，再经过降维，生成低维特征向量。步骤300，将特征向量代入半监督分类模块进行分类，区分感染主机和未感染主机。如图2所示，主机间通信图构建包括以下步骤：步骤110，利用主机间通信图构建模块接受收集的信息，并引入提前标记好的少量标记数据(攻击/非攻击流量)。步骤120，从信息中提取出设备实体(利用设备标识标示，例如：IP地址、设备名称等)和实体之间的关系(例如：TCP连接等)，将其作为节点和有向边添加进主机间通信图G＝(V,E)中。步骤130，从数据中提取关系特征和实体特征，每一类特征进行合并后，赋值给主机间通信图作为有向边和节点的特征，形成带特征的图G＝(V,E,F)。步骤140，将带特征的主机间通信图传递给网络表示学习降维模块。如图3所示，本文档来自技高网...

【技术保护点】
1.一种检测内网横向移动攻击的方法，其特征在于，包括以下步骤：/n收集内网设备的流量及日志数据；/n提取上述数据中的所有节点，连接进行过网络通信的两个节点，构建主机间通信图；/n将每两个连接的节点之间的流量数据提取合并，以及将节点上的数据提取合并，分别作为特征值赋值给主机间通信图的边和点；/n利用网络表示学习方法，将带有特征的主机间通信图进行降维，利用自编码器提取出低维特征向量；/n利用半监督分类学习算法对低维特征向量进行分类，区分出疑似遭受过攻击的主机。/n

【技术特征摘要】
1.一种检测内网横向移动攻击的方法，其特征在于，包括以下步骤：
收集内网设备的流量及日志数据；
提取上述数据中的所有节点，连接进行过网络通信的两个节点，构建主机间通信图；
将每两个连接的节点之间的流量数据提取合并，以及将节点上的数据提取合并，分别作为特征值赋值给主机间通信图的边和点；
利用网络表示学习方法，将带有特征的主机间通信图进行降维，利用自编码器提取出低维特征向量；
利用半监督分类学习算法对低维特征向量进行分类，区分出疑似遭受过攻击的主机。


2.如权利要求1所述的方法，其特征在于，在构建主机间通信图时，需引入预先标记好的攻击/非攻击流量数据。


3.如权利要求1所述的方法，其特征在于，将带有特征的主机间通信图进行降维的方法包括以下步骤：
1)计算主机间通信图的结构特征，将该结构特征添加至特征向量中；
2)利用特征处理算子处理邻接元素特征向量的每一个特征，将处理得到的新的特征添加至当前元素的特征向量中；邻接元素包括邻接节点和邻接边，邻接节点是指一节点的有向入边的起点节点和有向出边的终点节点，邻接边是指一有向边的起点的有向边和终点的有向边；
3)对处理后的新的特征向量进行特征选择，采用社区发现算法将特征向量中相似的特征聚合在一起，取每一个社区中最重要的特征组成新的特征向量；
4)利用噪声自编码器对上述组成的新的特征向量进行降维，混入高斯随机噪声，利用编码器编码，将高维的特征向量压缩为低维的...

【专利技术属性】
技术研发人员：陈明毅，王天，姚叶鹏，刘俊荣，姜波，苏莉娅，卢志刚，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京;11