The invention provides a method for detecting the horizontal mobile attack of the internal network, by collecting the traffic and log data of the internal network device, extracting all the nodes in the above data, connecting the two nodes that have carried out the network communication, and constructing the communication diagram between the hosts, extracting and merging the traffic data between each two connected nodes, and extracting and merging the data on the nodes, respectively as the features The value is assigned to the edge and point of the communication graph between hosts; the network representation learning method is used to reduce the dimension of the communication graph between hosts with features and extract the low-dimensional feature vector from the encoder; the semi supervised classification learning algorithm is used to classify the low-dimensional feature vector and distinguish the hosts suspected of being attacked.
【技术实现步骤摘要】
一种检测内网横向移动攻击的方法
本专利技术涉及计算机网络安全领域,用于对抗高级持续性威胁中的横向移动攻击阶段,更具体地,是一种针对内网横向移动攻击的检测方法。
技术介绍
横向移动攻击是指攻击者针对一个特定的内部网络,以被感染的外围设备为起点,通过收集信息、权限提升等方式,访问网络中的其他主机并窃取敏感信息(如:凭证、涉密资料等)的恶意渗透行为。通过横向移动攻击,攻击者可以最终获得域控权限,进而控制全部设备,从而达到窃取重要资料、驻留内网系统等目的,严重威胁到企业等组织的信息安全。横向移动攻击被广泛应用于复杂的网络攻击中,同时也是高级持续性威胁(APT)中非常重要的一个阶段。通常,企业的敏感信息不会存储在网络结构的边缘(如:Web服务器、个人主机等),而是会存储在内部服务器,因而攻击者要窃取或者破坏这些重要资料,必须借助横向移动攻击,以边缘节点为起始点,渗透到内部。攻击者针对不同的网络环境,会使用内置于操作系统中的工具或是引入一些特定的工具,用来进行各类活动。因为攻击者通过横向移动攻击可以侵入多台设备,以至于攻击者非常容易隐藏自身且难以根除。目前传统的检测技术无法对此类高级攻击进行防御,大部分的解决方案都是部署在网络边界上的入侵检测,例如对于边界异常流量的检测或是对于0day漏洞的启发式检测等等。但是对于已经渗透入内网的攻击没有提出很好的解决方法,因此对于横向移动攻击的检测问题是现在无法有效解决的难题。防御了横向移动,就是防御了核心数据的安全。但如何有效地区分正常的网络访问行为和异常的横向移动攻击是解决 ...
【技术保护点】
1.一种检测内网横向移动攻击的方法,其特征在于,包括以下步骤:/n收集内网设备的流量及日志数据;/n提取上述数据中的所有节点,连接进行过网络通信的两个节点,构建主机间通信图;/n将每两个连接的节点之间的流量数据提取合并,以及将节点上的数据提取合并,分别作为特征值赋值给主机间通信图的边和点;/n利用网络表示学习方法,将带有特征的主机间通信图进行降维,利用自编码器提取出低维特征向量;/n利用半监督分类学习算法对低维特征向量进行分类,区分出疑似遭受过攻击的主机。/n
【技术特征摘要】
1.一种检测内网横向移动攻击的方法,其特征在于,包括以下步骤:
收集内网设备的流量及日志数据;
提取上述数据中的所有节点,连接进行过网络通信的两个节点,构建主机间通信图;
将每两个连接的节点之间的流量数据提取合并,以及将节点上的数据提取合并,分别作为特征值赋值给主机间通信图的边和点;
利用网络表示学习方法,将带有特征的主机间通信图进行降维,利用自编码器提取出低维特征向量;
利用半监督分类学习算法对低维特征向量进行分类,区分出疑似遭受过攻击的主机。
2.如权利要求1所述的方法,其特征在于,在构建主机间通信图时,需引入预先标记好的攻击/非攻击流量数据。
3.如权利要求1所述的方法,其特征在于,将带有特征的主机间通信图进行降维的方法包括以下步骤:
1)计算主机间通信图的结构特征,将该结构特征添加至特征向量中;
2)利用特征处理算子处理邻接元素特征向量的每一个特征,将处理得到的新的特征添加至当前元素的特征向量中;邻接元素包括邻接节点和邻接边,邻接节点是指一节点的有向入边的起点节点和有向出边的终点节点,邻接边是指一有向边的起点的有向边和终点的有向边;
3)对处理后的新的特征向量进行特征选择,采用社区发现算法将特征向量中相似的特征聚合在一起,取每一个社区中最重要的特征组成新的特征向量;
4)利用噪声自编码器对上述组成的新的特征向量进行降维,混入高斯随机噪声,利用编码器编码,将高维的特征向量压缩为低维的...
【专利技术属性】
技术研发人员:陈明毅,王天,姚叶鹏,刘俊荣,姜波,苏莉娅,卢志刚,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。