【技术实现步骤摘要】
基于层次重启随机游走算法的网络攻击工具关系发现方法
[0001]本专利技术涉及网络安全
,具体涉及一种基于层次重启随机游走算法的网络攻击工具关系发现方法。
技术介绍
[0002]网络因其信息传递的快速、廉价,在经济、教育、文化等社会方面发挥着越来越重要的作用,应用也越来越广泛。网络作为一场全新的技术革命,对社会各个领域产生了巨大的影响作用。然而,随着网络的发展,与之伴随的安全威胁和传统安全问题相互交织,导致网络空间安全问题日益错综复杂,我们面临着不断加大的网络安全风险,层出不穷的网络攻击事件。
[0003]而网络攻击事件所采用的网络攻击工具可以从两个层面来区分,一是理论攻击,二是技术攻击。所谓理论攻击,就是密码学意义上的攻击,只专注于攻击概念或攻击过程、算法,而不考虑具体的技术实现技术攻击与特定的网络协议、操作系统及应用程序相关,存在明显可操作的攻击步骤,攻击者可借用一定的分析手段和攻击工具来达到特定的攻击目的,一般而言,理论攻击是技术攻击的理论基础,几乎每种技术攻击都可以最终归结为某类理论攻击,例如对路由器路...
【技术保护点】
【技术特征摘要】
1.一种基于层次重启随机游走算法的网络攻击工具关系发现方法,其特征在于,具体过程为:S1、构建网络攻击工具关系矩阵:从多源数据中抽取关于攻击样本、攻击模式和IOC的数据,并构建攻击样本关系矩阵、攻击模式关系矩阵和IOC关系矩阵;攻击样本是指有一定规模的、能对网络造成威胁的恶意代码样本;攻击模式是指抽象的执行恶意代码的攻击动作,即执行恶意代码的攻击过程;IOC是指在攻击过程中所产生的有指示性的值;S2、计算层次推理概率:将得到的攻击样本关系矩阵、攻击模式关系矩阵和IOC关系矩阵作为初始概率分布矩阵,利用重启随机游走算法分别对三个矩阵进行游走,得到攻击样本关系矩阵、攻击模式关系矩阵、IOC关系矩阵三个层次的相关性得分矩阵;S3、计算网络攻击工具关系推理概率:对得到的三个层次的相关性得分矩阵进行线性拟合,得到目标网络攻击工具对的关系推理概率Sr
attack
;S4、判断网络攻击工具对的关系:设置阈值为σ,根据阈值σ评判网络攻击工具对的推理关系结果,当Sr
attack
>σ时,则认为对应的攻击工具对之间具有推理关系。2.根据权利要求1所述的方法,其特征在于,步骤S1的具体过程为:S11、构建攻击样本关系矩阵R
Sample
:从多源数据中抽取关于攻击样本的数据,构建攻击样本和攻击样本之间的关系矩阵R
Sample
,R
Sample
中的各元素代表各个攻击样本对的相关度,任意攻击样本对的相关度由攻击样本灰度图相似度计算得出;S12、构建攻击模式关系矩阵R
TTP
:从多源数据中抽取关于攻击模式的数据,构建攻击模式和攻击模式之间的关系矩阵R
TTP
,R
TTP
中的各元素代表各个攻击模式对的相关度,任意攻击模式对的相关度由攻击模式图匹配计算得出;S13、构建IOC关系矩阵R
IOC
:从网络攻击工具分析报告、APT分析报告、相关论坛等多源数据中抽取关于IOC的数据,构建IOC和IOC之间的关系矩阵R
IOC
;R
IOC
中的各个元素代表各个IOC对的相关度,任意IOC对的相关度由编辑距离计算得出;S14、基于攻击样本关系矩阵R
Sample
、攻击模式关系矩阵R
TTP
和IOC关系矩阵R
IOC
生成关系矩阵三元组:{R
Sample
,R
TTP
,R
IOC
}。3.根据权利要求2所述的方法,其特征在于,步骤S11中,根据攻击样本灰度图相似度计算任意攻击样本对的相关度的具体过程为:从多源数据中抽取恶意代码样本;利用B2M算法将恶意代码样本转换为攻击样本灰度图;任意选取两张攻击样本灰度图,并将两张攻击样本灰度图大小调整为同样大小,生成两张灰度直方图;将每张灰度直方图每4个灰度级划分成一个区,共64个区,对每个区的4个值进行求和运算,得到64个值,以此作为该灰度直方图的向量,计算两张灰度直方图对应的两个向量的余弦相似度,生成攻击样本灰度图相似度,将该攻击样本灰度图相似度作为对应两个攻击样本之间的相关度;由此计算所有攻击样本中各个攻击样本对之间的相关度,得到攻击样本关系矩阵R
Sample
并表示为:
其中,矩阵元素a
ij
表示攻击样本灰度图a
i
与攻击样本灰度图a
j
之间的相关度的值。4.根据权利要求3所述的方法,其特征在于,所述利用B2M算法将恶意代码样本转换为攻击样本灰度图的计算步骤为:通过二进制流的方式读取恶意代码样本,生成二进制数据流;以8位二进制为一个单位,将8为二进制转化为无符号整型,形成指定宽度的数值向量,即宽度向量;将二进制数据流按照宽度向量构建数组;将数组的数值0x00~0xFF与图像的像素值0
‑
255一一对应,实现数组的数值与图像的像素值的相互转换,生成攻击样本灰度图。5.根据权利要求2所述的方法,其特征在于,步骤S12中,基于攻击模式相关数据生成攻击模式图的具体过程为:1)抽取的攻击模式相关数据中的日志信息作为生成攻击模式图的输入数据;将日志信息对应的源数据按照IP地址分组,作为输入簇,将攻击事件标记为行为活动,挖掘各个活动之间的依赖关系,寻找活动之间的长距离依赖和自循环关系;输出挖掘结果,即包含所有攻击链的有向图G;进而计算有向图G的复杂度,若有向图G的复杂度大于指定阈值,则输出有向图G;否则将有向图G放入队列Q
s
中,队列Q
s
用于存放待分割的有向图,初始为空队列;2)遍历队列Q
s
,对队列中的每个有向图G,自顶向下寻找分支点;以分支点作为分割的起始点,去除有向图G中的独立子图,然后将剩余以分支点为起始点的有向边加入到队列Q
e
中,队列Q
e
用于存放待遍历的以分支点为起始点的有向边,初始为空队列;3)遍历队列Q
e
,对遍历到的有向边e使用广度优先算法遍历并生成e的后继子图,对每个后继子图G
e
,计算G
e
复杂度,如果G
e
不是复杂子图,将G
e
加入输出队列中,否则将G
e
加入队列Q
s
;4)判断队列Q
s
是否为空,如果Q
s
不为空,则返回步骤2);如果Q
s
为空,则将输出队列中的有向图G,使用分支信息补全算法处理得到有向图G
′
,输出G
′
,即为攻击模式图;分支信息补全算法为:将输出队列的队首元素出队列,记为G
′
,获取G
′
的起始点作为顶点;检查顶点的前驱顶点是否存在,若存在则纳入G
′
;以广度优先算法遍历G
′
,对所有顶点v∈G
′
,检查以v为终点的有向边e和前驱顶点,若则将v
pred
和以v为终点的有向边e加入G
′
:输出攻击模式图G
′
;重复上述步骤,直到输出队列为空。6.根据权利要求2所述的方法,其特征在于,步骤S12中,所述任意攻击模式对的相关度由攻击模式图匹配计算得出的具体过程为:(1)提取攻击模式图中的特征向量:对攻击模式图进行灰度化处理,并通过中值滤波和形态学方法增强图像,确保图像的主要纹理特征清晰可辩;利用直方图均衡化技术对图像进行处理,使其满足统一的均值和方差,进而得到标准图像;(2)特征提取:建立经过步骤(1)处理所得的图像的高斯金字塔,对图像进行分块处理,使其呈现一种层次金字塔的结构,进一步分别统计每一块子结构的特征,直至所有结构特征统计完毕后拼接成完整的特征;利用PCA算法对图像进行降维处理,处理后存入图库中;利用K均值聚类方法进行特征集离散化处理,并将离散化处理后的特征转换成邻域特征;(3)建立图像特征索引:利用倒排索引技术对步骤(2)得到的图像特征进行快速检索;(4)图像特征匹配:设定一个检索特征,在量化后,对应于待检索特征在倒排检索中索引项Wi被确定,进一步索引项Wi所对应的一系列相关的索引特征会作为候选匹配结果,生成攻击模式图中的特征向量;
(5)基于特征向量利用余弦相似度计算攻击模式之间的相关度,具体计算公式如下:其中,x
i
,y
i
分别表示两张攻击模式图所对应的特征向量x和特征向量y的分量,θ表示两个向量的夹角;(6)集合攻击模式之间的相关度,生成攻击模式之间的关系矩阵R
TTP
,表示为:其中,矩阵元素b
ij
表示攻击模式b
i
与攻击模式b
j
之间的相关...
【专利技术属性】
技术研发人员:张冬芳,管磊,戴晓苗,王慧娟,张东红,马一凡,杨乐,刘培,刘丹,
申请(专利权)人:公安部第一研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。