【技术实现步骤摘要】
一种基于异质图网络的横向移动攻击检测方法及系统
[0001]本专利技术涉及计算机网络安全领域,用于对抗高级持续性威胁中所实施的横向移动攻击行为,更具体地,是一种基于异质图网络的横向移动攻击检测方法及系统。
技术介绍
[0002]近年来,随着互联网的高速发展,网络环境变得日益复杂,网络攻击愈发呈现出一种高发频发的态势。其中,高级持续性威胁(Advanced Persistent Threat,APT)受益于攻击手法的进步以及攻击组织性的提高,攻击日益频繁。相比于其他攻击,APT攻击具有更长的潜伏周期以及更大的破坏力,如干预美国大选、破坏电网等。其攻击手法也更加全面且能够通过对目标的长期观察开发定制化攻击工具,威胁巨大。因此,对APT攻击的检测和防护已成为当前网络安全中亟待解决的问题。
[0003]横向移动作为APT攻击极为重要的一环,是攻击者进入内网后实施攻击的主要过程。根据ATT&CK框架,横向移动由攻击者用来进入和控制网络上的远程系统的技术组成。当攻击者成功入侵到网络并建立落脚点后,为了下一步的攻击...
【技术保护点】
【技术特征摘要】
1.一种基于异质图网络的横向移动攻击检测方法,其特征在于,包括以下步骤:收集内网设备产生的认证日志,构建数据集;利用所述数据集构建用户登录图和源主机路径图。基于所述用户登录图,进行基于无监督学习的异常登录行为检测;基于所述源主机路径图和所述基于无监督学习的异常登录行为检测得到的有标签样本,进行基于半监督学习的横向移动攻击检测。2.根据权利要求1所述的方法,其特征在于,在构建所述用户登录图和所述源主机路径图之前进行数据预处理;所述数据预处理包括:给定认证日志数据集D,遍历其中的每一条认证事件,将源用户与目标用户相同且源主机与目标主机不同的事件筛选出来,得到处理后的数据集D1。3.根据权利要求2所述的方法,其特征在于,所述用户登录图是一张无向同质图,表示用户一定时间内在主机间的登录行为模式;所述用户登录图的构建过程包括:给定数据集D1、用户u和滑动窗口长度L,在D1中筛选出属于用户u的认证事件,得到数据集D
u
;根据滑动窗口长度L将数据分为多个时间窗口,用于计算不同窗口下用户在主机上的登录次数特征F;遍历D
u
中的每一条认证事件,将源主机和目标主机添加到图中的节点V,并添加一条源主机与目标主机的连接到图中的边E,同时将F中源主机与目标主机在对应窗口下的登录次数加一,遍历结束即得到用户u的带有特征的用户登录图G
u
=(V,E,F)。4.根据权利要求3所述的方法,其特征在于,所述源主机路径图是一个有向异质图,表示用户到目标主机的登录路径与源主机之间的关联关系;所述源主机路径图中定义有两种类型的节点,一类表示源主机V
src
,一类表示用户到目标主机的登录路径V
path
;边也存在两种类型,一类为发送边E
send
,从源主机节点指向用户到目标主机的登录路径节点,表示用户从源主机登录到目的主机;另一类为依托边E
on
,从用户到目标主机的登录路径节点指向源主机节点,表示用户到目标主机的登录路径发生在源主机上,这两种类型的边是对称的;通过将滑动窗口下登录路径在源主机上的发生次数和统计特征F
statistic
赋予到节点上,边仅表示连接关系,得到一个源主机路径图网...
【专利技术属性】
技术研发人员:卢志刚,王天,姜波,刘俊荣,刘松,董璞,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。