一种基于流量日志的APT攻击检测方法技术

本发明专利技术首先提出了一种对于DNS流量日志和网络流量日志的特征提取和计算方法，其次提出了基于IForest的异常检测算法，通过对DNS和网络流量的日志分析对获取数据进行异常评估。本发明专利技术包括：对DNS流量日志的特征提取及计算方法；对网络流日志的特征提取及计算方法；基于IForest算法对DNS流量日志和网络流量日志对数据进行异常分析的异常检测算法。与现有技术相比，本发明专利技术的有益效果是：从多角度对网络流量日志进行分析，选取的特征包含方面较为全面，同时针对在攻防对抗中出现新的攻击方式和特点，针对性提取了特征值用于分析；使用IForest算法对日志特征进行检测，对比其他算法拥有更好的性能且训练过程几乎不与训练数据规模相关，具有更高的全面性和可操作性。

【技术实现步骤摘要】
一种基于流量日志的APT攻击检测方法
本专利技术涉及APT异常检测技术，从DNS日志和网络流量方面进行分析，设计了一个APT攻击的检测方法。
技术介绍
在检测方面，IDS系统往往被组织或企业部署在流量进出口上以对网络数据进行分析和检测。IDS系统是一种动态主动安全威胁检测技术，利用可以配置更新的规则库，将采集到的流量数据与规则库数据比对进而判断是否存在攻击。入侵检测系统可以做到实时对网络监控告警，同时不影响系统网络性能，使网络管理员得以及时对系统网络中的威胁进行处理。但是在APT攻击的环境下，APT攻击很多都采用了零日漏洞来对系统实施攻击或入侵。在这种情况下，入侵检测系统极有可能对关键攻击无法做出反应，不仅不能及时告警，告警日志的后续分析也会由于关键攻击步骤的缺失而难于分析。使用原始流量可以完整获取到攻击的几乎全部信息，但是由于APT攻击存在潜伏时间长等特点，导致目标数据量巨大，在没有适当预处理的情况下效率极低。DNS协议实现了将域名转换为IP地址的功能，是互联网的重要基础设施。然而DNS系统除了被用在定位服务器等良性用途以外，还被恶意本文档来自技高网...

【技术保护点】
1.一种基于流量日志的APT攻击检测方法，其特征在于，所述方法包括：/nA、对于DNS流量日志特征的选取与表示：以DNS流量为重点关注行为特征，对DNS流量日志进行分析；/nB、对于网络流日志特征的选取与表示：基于APT攻击的特点，对流量日志进行特征的选取及分析；/nC、结合流量日志的IForest检测算法：关联和融合DNS流量日志特征和网络流日志特征，通过提取到的流量日志特征进行异常分析检测。/n

【技术特征摘要】
1.一种基于流量日志的APT攻击检测方法，其特征在于，所述方法包括：
A、对于DNS流量日志特征的选取与表示：以DNS流量为重点关注行为特征，对DNS流量日志进行分析；
B、对于网络流日志特征的选取与表示：基于APT攻击的特点，对流量日志进行特征的选取及分析；
C、结合流量日志的IForest检测算法：关联和融合DNS流量日志特征和网络流日志特征，通过提取到的流量日志特征进行异常分析检测。


2.根据权利要求1所述的DNS流量日志特征的选取与表示，步骤A所包含的行为特征和内容如下：
A1、访问频率：APT攻击中攻击C2(CommandandControl)服务器的过程是一个相对比较低频的行为，采用主机向域名发送请求的频率作为DNS流量日志分析的一个特征，以t1为检测数据的起始时间，t2为检测数据的截止时间，fi为i时间点C2服务器的对外访问频率，访问频率F的计算公式如下：



A2、活跃时间：活跃时间为在观察窗口内第一次被访问到最近一次被访问之间的时间段，在大时间窗口下能够区分主机-不同域名对的相对活跃度，检测内部跳板主机，在时间窗口下，主机第一次访问某域名的时间为t1，最后一次的访问时间为t2，则活跃时间pd(pairduration)的计算公式如下：
pd＝t1-t2
A3、域名流行度：APT攻击会感染一小部分关键主机进行敏感文件访问，因此在观察窗口内部，将访问某个域名的主机数与窗口内活跃主机数的比例作为参考的特征；在一定时间内，整个访问某个域名的主机数目为S，而窗口内部的活跃主机数为N，则该域名的流行度P的计算公式如下：
P＝S/N
A4、爆发性访问：在APT攻击的恶意样本运行期间，会出现高频率的C2服务器访问，恶意样本会持续不断的通过域名向C2服务器发出请求，将短时间窗口的爆发性访问作为日志特征以判断是否存在攻击。选择时间窗口，其时间长度为t，，C2服务器在t时间内接受到的访问次数为n，则爆发性访问fr(fooldrate)的计算公式如下：
f＝n/t
A5、阶段性特点：APT攻击经过初级入侵阶段后，攻击方通过被感染主机与服务器建立通信，会经历过周期性通讯、以传入传出数据为目标的无规律通信和最终结束的零通讯阶段；综上，方差的指数加权平均值来表征上述阶段性访问特征，过程如下：
记特定主机h与域名d之间的访问初始记录为R(r1，r2，...rn)，其中r1为三元组(t，h，d)，t代表访问记录r1发生的时间。由原始记录可得到时间间隔序列。根据求得时间间隔的方差序列DV(dv1，dv2，...dvn-1)，考虑到不同时间间隔序列的数可能会存在数据量级上的差异，我们提出如下的计算方法，其中：
根据方差序列求得指数加权均值vi如下：






vi＝λvi-1+(1-λ)dvi
通过增加对方差的指数加权平均以及合适的λ，我们得以保留第一阶段的周期性访问特点从而可以准确描述周期性访问特征。
A6、恶意域名独立访问：指被感染主机对恶意域名的访问呈现出一种独立访问特点，定义R(k，l，m)代表第k主机与第l域名之间的第m次交互的CODD(Concurr...

【专利技术属性】
技术研发人员：张茹，
申请(专利权)人：北京明信安有限公司，北京邮电大学，
类型：发明
国别省市：北京;11