一种模拟盗用敏感数据感知潜伏性APT攻击的方法技术

本发明专利技术公开了一种模拟盗用敏感数据感知潜伏性APT攻击的方法，包括：搭建数据模型，利用系统日志生成特性序列A[a

A method of simulating sensitive data embezzlement to perceive latent apt attack

【技术实现步骤摘要】
一种模拟盗用敏感数据感知潜伏性APT攻击的方法
本专利技术涉及计算机网络安全
，特别是一种模拟盗用敏感数据感知潜伏性APT(AdvancedPersistentThreat)攻击的方法。技术背景APT并不是指某种特定病毒，而是黑客用先进的手段对目标进行长期、持续性的网络攻击，目标通常是高价值的企业、政府机构以及敏感信息。棱镜门事件爆发后，中国已明确成为遭受网络攻击的主要国家之一。360威胁情报中心发布的《2017中国高级持续性威胁(APT)研究报告》显示，截至2017年12月底，360威胁情报中心已累计监测到的针对中国境内目标发动攻击的境内外APT组织38个，2017年全年，这些APT组织发动的攻击行动，至少影响了中国境内超过万台电脑，攻击范围遍布国内31个省级行政区，其中政府机构占攻击目标的比例为50％，可见APT已严重威胁到国家重要机构的信息安全。此外，美国国防部的HighLevel网络作战原则中，明确指出针对APT攻击行为的检测与防御是整个风险管理链条中至关重要的一部分。近年来，高级持续性威胁攻击事件不断出现，其显著特征是持续性，通常长达数年，具体体现在不断寻求各种攻击手段，缓慢地渗透到内部网络后长期蛰伏，不断地在网络中提升权限并收集各种信息，直到获取到重要情报。由于APT的隐蔽性很强，甚至可以潜伏在计算机系统长达数年之久而不被察觉，传统的入侵检测方法，例如防火墙、IDS产品等很难检测出潜伏性APT。APT攻击的最终目标是有价值的数据，而不是破坏网络和系统，当前感知和检测APT攻击的模型和算法普遍存在敏感度不高的缺点，同时无法针对环境特征匹配数据，特征值提取难度较大。
技术实现思路
为了提高已有的APT检测方法感知准确性与敏感性，本专利技术提供了通过模拟盗用系统敏感数据后系统的反应来判断APT攻击的一种模拟盗用敏感数据感知潜伏性APT攻击的方法。实现本专利技术目的的技术方案为：一种模拟盗用敏感数据感知潜伏性APT攻击的方法，包括以下步骤：1)、建立由随机数组生成的二阶数组组成的数据环境，并对数据环境中的数据源进行标签化编制序列A[a1,a2,...ai,...an]，其中ai是第i个序列，利用系统日志还原、抽取和筛选标签化序列A[a1,a2,...ai,...an]，基于神经网络的属性值提取方法进行数据标注，生成特征序列A，形成数据模型；其中；2)、设定若干数据源发送目标，与数据环境中数据源建立数据通道，每个通道编制一个代码，将所有代码记录进行序列化形成数据集B[b1,b2,...bi,...bn]，其中bi为第i个序列，利用流量分析仪，采用KTAM分析数据流量波动，生成流量序列B；3)、对序列A和序列B进行组合计算，匹配，使用TF-IDF算法找出序列A和序列B的相同特征值，生成序列A和序列B各自的特征向量，计算两个特征向量的余弦相似度，值越大就表示越相似，并按照余弦值的大小排序得到AB组合特征库，并将AB组合特征库作为系统的正常序列库；4)、每个向量数据均具有时间戳，将盗取数据病毒的释放时间作为时间戳作为变量加入计算，使用100Hz的采样率由时间戳组成特定的时间向量得出病毒特征时序组图，同时监控系统的实时序列；5)、计算病毒释放后的实时序列与释放前的正常序列的差异度，并根据差异度判断系统是否可能存在潜伏性APT。本专利技术与现有技术相比，其显著优点在于：通过释放病毒模拟盗用敏感数据，将系统实时特性序列与正常特性序列匹配，计算相对差异度的大小，并与阈值进行比对，以此感知系统是否有可能存在以盗取数据为目的的潜伏性APT攻击，提高了检测系统潜伏性APT的敏感度与准确率。附图说明图1是本专利技术方法的流程图。具体实施方式本专利技术一种模拟盗用敏感数据感知潜伏性APT攻击的方法，包括以下步骤：1)、建立数据环境，搭建数据模型，并对数据源进行标签化编制序列A[a1,a2,...ai,...an]，其中ai是第i个序列，利用系统日志还原、抽取和筛选，生成特征序列A；2)、设定若干数据源发送目标，与数据环境中数据源建立数据通道，每个通道编制一个代码，所有代码记录数据集B[b1,b2,...bi,...bn]，其中bi为第i个序列，利用流量分析仪分析数据流量波动，生成流量序列B；3)、对序列A和序列B进行组合计算，匹配，并进行汇总分类得到AB组合特征库，并将AB组合特征库作为系统的正常序列库；4)、将盗取数据病毒的释放时间作为变量加入计算，得出病毒特征组图，同时监控系统的实时序列；5)、计算病毒释放后的实时序列与释放前的正常序列的差异度，并根据差异度判断系统是否可能存在潜伏性APT。进一步，步骤5)中假设一实时进程的系统调用序列个数为f(t)(t＝1,2...)，滑动窗口的宽度为w个实时序列，如果f(t)≥w，那么根据滑动窗口法原理可以形成(f(t)-w+1)个宽度为w的短序列，并将这些短序列标记为{aiu}(i＝1,2,...,f(t)-w+1；u＝1,2,...,w)。正常序列库为N，其中任一正常序列为{bju}(j＝1,2,...,n；u＝1,2,...,w)。在实际环境中，噪音数据是不可能排除的，因此要对各实时序列的差异度进行加窗滤噪处理。假设窗口宽度为L，那么实时序列与正常序列库的差异度为：其中Diff({aiu},N)为{aiu}与正常序列库N的差异度，并且其计算方法满足Diff({aiu},N)＝min{Diff({aiu},{bju})}，其中：Diff({aiu},{bju})为{aiu}与{bju}的差异度；L为窗口宽度，且L≥w。通过对大量样本进行分析，可以计算得出实时序列与正常序列差异度的阈值τ，如果D({aiu},N)≥τ，则该实时序列是异常的，系统做出防御反应，系统内没有潜伏性APT；如果D({aiu},N)＜τ，则该实时序列是正常的，系统没有做出明显反应，系统内可能存在潜伏性APT。现阶段，在入侵检测领域，传统企业使用多种网络安全防护体系，包括软硬件防火墙、IDS、IPS和日志管理等，但这些检测手段无法对潜伏性APT做到有效的检测和防御。本专利技术通过对系统日志进行抽取和建模，并与释放病毒后的流量序列进行匹配，来感知系统是否存在潜伏性APT。下面结合说明书附图对本专利技术作进一步说明。1)、建立由随机数组生成的二阶数组组成的数据环境，并对数据环境中的数据源进行标签化编制序列A[a1,a2,...ai,...an]，其中ai是第i个序列，利用系统日志还原、抽取和筛选标签化序列A[a1,a2,...ai,...an]，基于神经网络的属性值提取方法进行数据标注，生成特征序列A，形成数据模型。其中；2)、设定若干数据源发送目标，与数据环境中数据源建立数据通道，每个通道编制一个代码，将所有代码记录进行序列化形成数据集B[b1,b2,...bi,...bn]，其中bi为第i个序列，利用流量分析仪，采用KTAM分析方本文档来自技高网...

【技术保护点】
1.一种模拟盗用敏感数据感知潜伏性APT攻击的方法，其特征在于，包括以下步骤：/n1)、建立由随机数组生成的二阶数组组成的数据环境，并对数据环境中的数据源进行标签化编制序列A[a

【技术特征摘要】
1.一种模拟盗用敏感数据感知潜伏性APT攻击的方法，其特征在于，包括以下步骤：
1)、建立由随机数组生成的二阶数组组成的数据环境，并对数据环境中的数据源进行标签化编制序列A[a1,a2,...ai,...an]，其中ai是第i个序列，利用系统日志还原、抽取和筛选标签化序列A[a1,a2,...ai,...an]，基于神经网络的属性值提取方法进行数据标注，生成特征序列A，形成数据模型；其中；
2)、设定若干数据源发送目标，与数据环境中数据源建立数据通道，每个通道编制一个代码，将所有代码记录进行序列化形成数据集B[b1,b2,...bi,...bn]，其中bi为第i个序列，利用流量分析仪，采用KTAM分析数据流量波动，生成流量序列B；
3)、对序列A和序列B进行组合计算，匹配，使用TF-IDF算法找出序列A和序列B的相同特征值，生成序列A和序列B各自的特征向量，计算两个特征向量的余弦相似度，值越大就表示越相似，并按照余弦值的大小排序得到AB组合特征库，并将AB组合特征库作为系统的正常序列库；
4)、每个向量数据均具有时间戳，将盗取数据病毒的释放时间作为时间戳作为变量加入计算，使用100Hz的采样率由时间戳组成特定的时间向量得出病毒特征时序组图，同时监控系统的实时序列；
5)、计算病毒释放后的实时序列与释放前的正常序列的差异度，并根据差异度判断系统是否可能存在潜伏性APT。


2.如权利要求1所述的模拟盗用敏感数据感知潜伏性APT攻击的方法，其特征在于：步骤2)中所述采用KTAM分析数据流量波动，包括流量速率、链路利用率、不同协议层的协议分布和包大小。


3.如权利要求1所述...

【专利技术属性】
技术研发人员：陈涵，王真，王睿，赵洪华，朱卫星，付印金，
申请(专利权)人：中国人民解放军陆军工程大学，
类型：发明
国别省市：江苏;32