一种网络杀伤链检测方法、预测方法及系统技术方案

本发明专利技术公开了一种网络杀伤链检测方法、预测方法及系统，具体包括：(1)构建d维特征向量；(2)无监督特征选择算法将d维特征向量筛减为k维；(3)通过k维特征向量获取网络杀伤链攻击事件序列集合。在IDS告警日志数据进行杀伤链挖掘的真实场景中，针对无法提前知晓数据中所包含杀伤链数目的问题，本发明专利技术改进的谱聚类算法相比于其他的有监督学习方法不仅能够实现无监督学习，还能够自动识别聚类数目；(4)基于已经获得的网络杀伤链序列，采用马尔科夫理论与三种网络杀伤链变种模型进行预测分析；(5)基于理论分析，实现了杀伤链检测与预测系统。

【技术实现步骤摘要】
一种网络杀伤链检测方法、预测方法及系统
本专利技术属于网络安全领域，进一步涉及日志数据的挖掘，具体为基于机器学习的网络杀伤链检测方法、预测方法及系统。
技术介绍
随着移动技术的发展和社交网络的普及，互联网在日常生活中无处不在的作用和贡献使计算机更容易受到网络攻击。据2019年4月赛门铁克公司发布的2018网络攻击概述统计指出，银行木马从4％的攻击占比上升到16％，同时新型攻击类型也层出不穷。这些网络攻击动机各异，包括但不限于经济利益、人身伤害、知识产权盗窃和政治损害。即使传统的安全防御措施有多层安全防御机制，攻击者也能够渗透到网络中，并在战术措施和技术上保持持久性。这种高级持续性威胁(AdvancedPersistentThreat，APT)攻击是由个人、组织甚至国家资助的黑客团体发起的，他们使用各种复杂的侦察手段和信息收集工具，通过多个阶段进行网络攻击和系统破坏，从高价值资产和关键信息中敲诈或窃取专有信息。文献《InformationProtectingagainstAPTBasedontheStudyofCyberKillChain本文档来自技高网...

【技术保护点】
1.一种网络杀伤链检测方法，获取IDS告警日志数据中符合网络杀伤链模型的多个攻击事件序列的集合，其特征在于，包括以下步骤：/n(1)构建d维特征向量：/n(1.1)获取IDS告警日志数据中的n个攻击事件，按照每个攻击事件的攻击特征把所有的攻击事件分别划分到网络杀伤链模型的7个阶段中，最终把每个攻击事件所在的网络杀伤链模型的阶段数添加到该攻击事件所在的日志数据中，得到新的日志数据，n为自然数；/n(1.2)通过新的日志数据构建出与网络杀伤链相关的d维特征向量，该d维特征向量包含攻击事件所在的网络杀伤链模型的阶段数；/n(2)无监督特征选择将d维特征向量筛减为k维，每一个攻击事件都用一个k维特征向...

【技术特征摘要】
1.一种网络杀伤链检测方法，获取IDS告警日志数据中符合网络杀伤链模型的多个攻击事件序列的集合，其特征在于，包括以下步骤：
(1)构建d维特征向量：
(1.1)获取IDS告警日志数据中的n个攻击事件，按照每个攻击事件的攻击特征把所有的攻击事件分别划分到网络杀伤链模型的7个阶段中，最终把每个攻击事件所在的网络杀伤链模型的阶段数添加到该攻击事件所在的日志数据中，得到新的日志数据，n为自然数；
(1.2)通过新的日志数据构建出与网络杀伤链相关的d维特征向量，该d维特征向量包含攻击事件所在的网络杀伤链模型的阶段数；
(2)无监督特征选择将d维特征向量筛减为k维，每一个攻击事件都用一个k维特征向量表示；
(3)通过k维特征向量获取网络杀伤链攻击事件序列集合：
(3.1)更新Rl＝Rl-1\Cl；
Rl表示第l次迭代中，从Rl-1删除掉已经进行聚簇划分的攻击事件后剩余所有攻击事件的序列集合；l表示迭代次数；Cl为已进行聚簇划分的攻击事件序列集合，supp'函数表示特征向量的每一维对攻击事件的支持度，h表示支持度门槛；为标准化的图拉普拉斯矩阵Lsym的稀疏特征向量估计，Lsym通过k维特征向量得到；
第一次更新时需初始化参数l＝1，h＝0.1，初始时R0＝{1,2,…,n}，B0为初始化的n个攻击事件的空间结构表达；
(3.2)更新Bl+1＝Bl-(ulTBlul)ululT；
Bl表示在第l次迭代中，删除掉已经进行聚簇划分的攻击事件后剩余所有攻击事件空间结构表达，通过k维特征向量得到，ul为Bl的第一主稀疏特征向量，通过对Bl进行稀疏化正则求得；
(3.3)更新迭代次数l＝l+1；
(3.4)重复步骤(3.1)-(3.3)，直至无法找到进行聚簇划分的攻击事件，最终所有迭代中删除的已进行聚簇划分的攻击事件序列集合即为所有攻击事件中找到的具有网络杀伤链的攻击事件序列集合。


2.如权利要求1所述网络杀伤链检测方法，其特征在于，步骤(2)k维特征向量的计算具体包括：
(2.1)分别计算每两个攻击事件的相似性度量值后，使用全连接法构造n×n相似矩阵S；通过相似矩阵S构造权重矩阵A；同时计算出特征向量只在第i维上的相似性，构造出权重矩阵Ai，其中i＝1,2,…,d；
(2.2)通过权重矩阵A和Ai计算出权值wi，wi表示第i维特征向量表征IDS告警日志数据空间结构能力的得分；



其中，w＝[w1,w2,...,wi,...,wd]为d维特征向量表征IDS告警日志数据空间结构能力的得分；Gij＝tr((Ai)TAj)，表示(Ai)TAj的迹，br＝tr(ATAr)，表示ATAr的迹，其中j＝1,2,…,d；
(2.3)对w降序排列，前k个权值对应的特征向量，即为新的k维特征向量。


3.如权利要求2所述网络杀伤链检测方法，其特征在于，k维特征向量为{LocalDateTime，IP，ClientPort，Locate，Event}，k的值为5。


4.如权利要求2所述网络杀伤链检测方法，其特征在于，步骤(2.1)中计算每两个攻击事件的相似性度量值，是计算两个攻击事件的每一维特征向量的相似性度量值的总和，具体包括：
假定af和ag分别代表IDS告警日志数据中两条攻击事件，下标f和g表示攻击事件的序号，且n≥g>f>0；两个攻击事件的每一维特征向量的相似性度量值的计算，具体如下：
(1)FLocalDateTime为两个攻击事件LocalDateTime的相似性度量值：



其中af.LocalDataTime表示af在LocalDataTime的取值；
(2)FIp为两个攻击事件IP的相似性度量值：



其中M＝max{H...

【专利技术属性】
技术研发人员：杨晗，权义宁，苗启广，宋建锋，戚玉涛，谢琨，孙鹏岗，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西;61