基于日志关联分析的攻击溯源方法及装置制造方法及图纸

本发明专利技术公开一种基于日志关联分析的攻击溯源方法及装置，方法包括：收集系统内各个层次的日志，根据各个层次的日志之间的关联关系，构建日志连接图，并利用日志连接图中的标记节点将各个单源溯源图中的溯源元素进行连接，得到融合溯源图，进而在融合溯源图中执行攻击溯源算法，并基于短路机制挖掘融合溯源图中围绕依赖爆炸节点周围形成的连通路径，使用搜索路径包含所述连通路径作为路径评估因素之一，计算攻击溯源算法搜索到各个路径的评估分数，选取评估分数最高的路径作为攻击溯源算法输出的攻击链。通过上述方法可以实现日志文件的攻击溯源，解决了现有技术在攻击溯源中使用依赖分析缓解依赖爆炸问题的方式很难达到的预期效果的问题。的预期效果的问题。的预期效果的问题。

【技术实现步骤摘要】
基于日志关联分析的攻击溯源方法及装置


[0001]本专利技术涉及网络安全
，具体而言，涉及一种基于日志关联分析的攻击溯源方法及装置。

技术介绍

[0002]高级持续性威胁(APT)最近已成为企业和机构面临的最关键的网络空间威胁之一。APT攻击通常会持续很长时间，它们使用隐蔽的技巧使自己难以被发现。相关技术表明，溯源图可以帮助安全操作员从攻击症状追溯到初始攻击入口点。具体可通过收集和分析系统日志以构建溯源图，其中节点表示实体(如进程、文件、网络套接字)，边表示节点之间的操作。但是，在处理长时间运行的应用程序时，这些方法可能会面临严重的问题，这些应用程序在其生命周期中具有大量的输入和输出操作。这导致节点具有大量传入和传出边，可参照图1中的firefox进程。这种节点会阻碍回溯分析，因为它们的所有出边都依赖于它们的所有入边。这就是所谓的“依赖爆炸”问题。
[0003]传统方法使用污点分析和二进制插桩来缓解依攻击溯源中的赖爆炸问题，这两种技术可以将长时间运行的进程切分为更加细粒度的单元，这些单元代表了事件处理的循环，从而此前施加在进程上的依赖关系可以被更精确地绑定到单元上，因为一个单元比原先的进程实体有更少的依赖关系，故而依赖爆炸能够被减弱。但是，这两种方法有各自的问题。污点分析方法往往带来巨大的时间和空间开销，这在APT这一数据量巨大的场景下无法工作；二进制插桩方法通常需要修改源代码或二进制文件，这在企业环境下往往是难以使用的。
[0004]近年来，学者们试图在攻击溯源过程中基于一些非插桩的日志融合方法来进行依赖分析，它们不仅利用进程自身的信息，还利用进程之外的信息来进行依赖建模。它们利用了更多种类的日志，尤其是应用层日志，来完成进程到单元的划分。因为应用日志提供了应用行为的高阶语义，这些语义很难从传统的审计日志中捕捉到，所以这些方法在不使用二进制插桩的情况下也能较好地处理依赖爆炸问题。基于日志融合的依赖分析方法的设计有两个关键点：一是日志融合机制，二是融合多层次日志的能力。举例来说，AlChemist提供了一个通用执行模型，并在其中设置了135条规则；UIScope只用一条规则(时间戳匹配)来合并GUI层溯源图和审计层溯源图。直观地，通常认为一个理想的基于日志融合的依赖分析框架应该具有下述特点：第一，融合机制需要通用而稳定，从而任何数据源的变动都不会导致规则的大量变化甚至是完全重写；第二，框架需要有能力融合尽可能多的日志层次和是指种类，因为更多的信息会带来更多的语义，从而使分析算法能够分析出更精确的依赖。然而，AlChemist不能够覆盖所有的执行模型，它的融合规则并不完备；UIScope则只能融合两个特定层次的数据源，其方法不具备通用性。因此，上述在攻击溯源中使用依赖分析缓解依赖爆炸问题的方式很难达到的预期效果，不能够准确还原出攻击步骤之间的因果关系。

技术实现思路

[0005]本专利技术提供了一种基于日志关联分析的攻击溯源方法及装置，通过使用日志关联分析技术来合并多个数据源的溯源图，并在合并后溯源图的基础上执行基于短路机制的攻击溯源，从而解决了现有技术在攻击溯源中使用依赖分析来缓解依赖爆炸问题的方式很难达到的预期效果，并不能够准确还原出攻击步骤之间的因果关系的问题。具体的技术方案如下：
[0006]第一方面，本专利技术实施例提供了一种基于日志关联分析的攻击溯源方法，所述方法包括：
[0007]收集系统内各个层次的日志，根据所述各个层次的日志之间的关联关系，构建日志连接图，所述日志连接图表现为日志节点和标记节点交替出现，一个日志节点解析出至少一个标记节点，一个标记节点至少被一个日志节点解析出；
[0008]利用所述日志连接图中的标记节点将各个单源溯源图中的溯源元素进行连接，得到融合溯源图，所述单源溯源图为使用日志解析算法对每个数据源的日志文件转换得到，所述溯源元素包括节点和边；
[0009]在所述融合溯源图中执行攻击溯源算法，并基于短路机制挖掘所述融合溯源图中围绕依赖爆炸节点周围形成的连通路径，所述依赖爆炸节点为输入边和输出边之和大于预设数值的节点；
[0010]针对所述攻击溯源算法中搜索路径的每一个步数，使用搜索路径包含所述连通路径作为路径评估因素之一，计算所述攻击溯源算法搜索到各个路径的评估分数，选取评估分数最高的路径作为攻击溯源算法输出的攻击链。
[0011]可选的，所述根据所述各个层次的日志之间的关联关系，构建日志连接图，包括：
[0012]以每行日志作为一个日志节点，解析所述各个层次的日志中表达日志节点之间关联关系的特征，形成标记节点集合；
[0013]针对标记节点集合中的每个标记节点，使用至少被两个日志节点解析出的标记节点形成连接纽带，并根据所述连接纽带将所述至少两个日志节点与标记节点进行连接，绘制出日志连接图。
[0014]可选的，所述解析所述各个层次的日志中表达日志节点之间关联关系的特征，形成标记节点集合，包括：
[0015]针对同层次的日志节点，使用频繁分析项来挖掘表征同层日志节点之间关联关系的公共模式，形成标记节点集合；
[0016]针对跨层次的日志节点，使用预先列举的跨层连接标记来表达日志节点之间关联关系的特征，形成标记节点集合。
[0017]可选的，所述针对标记节点集合中的每个标记节点，使用至少被两个日志节点解析出的标记节点形成连接纽带，并根据所述连接纽带将所述至少两个日志节点与标记节点进行连接，绘制出日志连接图，包括：
[0018]针对标记节点集合中的每个标记节点，判断若该标记节点是否被其他日志节点解析出，则将该标记节点作为至少被两个日志节点解析出的标记节点；
[0019]使用将该标记节点形成连接纽带来表达标记节点与日志节点之间的共享关系，并根据所述共享关系绘制出日志连接图，所述共享关系中标记节点连接与其关联的至少两个
日志节点。
[0020]可选的，所述利用所述日志连接图中的标记节点将各个单源溯源图中的溯源元素进行连接，得到融合溯源图包括：
[0021]遍历所述日志连接图中所有标记节点，查询所述日志连接图中日志节点之间的关联关系，并根据所述节点之间的关联关系，解析出各个单源溯源图中具有关联关系的溯源元素；
[0022]将所述各个单源溯源图中具有关联关系的溯源元素进行连接，得到融合溯源图。
[0023]可选的，所述在所述融合溯源图中执行攻击溯源算法，并基于短路机制挖掘所述融合溯源图中围绕依赖爆炸节点周围形成的连通路径，包括：
[0024]预先将所述融合溯源图中输入边和输出边之和大于预设数值的节点确定为依赖爆炸节点；
[0025]在所述融合溯源图中执行攻击溯源算法，当所述攻击溯源算法定位到依赖爆炸节点，基于短路机制围绕所述依赖爆炸节点进行路径的深度优先搜索，挖掘围绕所述依赖爆炸节点周围形成的连通路径。
[0026]可选的，所述针对所述攻击溯源算法中搜索路径的每一个步数，使用搜索路径包含所述连通路径作为路径评估因素之一，计算所述攻本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于日志关联分析的攻击溯源方法，其特征在于，所述方法包括：收集系统内各个层次的日志，根据所述各个层次的日志之间的关联关系，构建日志连接图，所述日志连接图表现为日志节点和标记节点交替出现，一个日志节点解析出至少一个标记节点，一个标记节点至少被一个日志节点解析出；利用所述日志连接图中的标记节点将各个单源溯源图中的溯源元素进行连接，得到融合溯源图，所述单源溯源图为使用日志解析算法对每个数据源的日志文件转换得到，所述溯源元素包括节点和边；在所述融合溯源图中执行攻击溯源算法，并基于短路机制挖掘所述融合溯源图中围绕依赖爆炸节点周围形成的连通路径，所述依赖爆炸节点为输入边和输出边之和大于预设数值的节点；针对所述攻击溯源算法中搜索路径的每一个步数，使用搜索路径包含所述连通路径作为路径评估因素之一，计算所述攻击溯源算法搜索到各个路径的评估分数，选取评估分数最高的路径作为攻击溯源算法输出的攻击链。2.如权利要求1所述的方法，其特征在于，所述根据所述各个层次的日志之间的关联关系，构建日志连接图，包括：以每行日志作为一个日志节点，解析所述各个层次的日志中表达日志节点之间关联关系的特征，形成标记节点集合；针对标记节点集合中的每个标记节点，使用至少被两个日志节点解析出的标记节点形成连接纽带，并根据所述连接纽带将所述至少两个日志节点与标记节点进行连接，绘制出日志连接图。3.如权利要求2所述的方法，其特征在于，所述解析所述各个层次的日志中表达日志节点之间关联关系的特征，形成标记节点集合，包括：针对同层次的日志节点，使用频繁分析项来挖掘表征同层日志节点之间关联关系的公共模式，形成标记节点集合；针对跨层次的日志节点，使用预先列举的跨层连接标记来表达日志节点之间关联关系的特征，形成标记节点集合。4.如权利要求2所述的方法，其特征在于，所述针对标记节点集合中的每个标记节点，使用至少被两个日志节点解析出的标记节点形成连接纽带，并根据所述连接纽带将所述至少两个日志节点与标记节点进行连接，绘制出日志连接图，包括：针对标记节点集合中的每个标记节点，判断若该标记节点是否被其他日志节点解析出，则将该标记节点作为至少被两个日志节点解析出的标记节点；使用将该标记节点形成连接纽带来表达标记节点与日志节点之间的共享关系，并根据所述共享关系绘制出日志连接图，所述共享关系中标记节点连接与其关联的至少两个日志节点。5.如权利要求1所述的方法，其特征在于，所述利用所述日志连接图中的标记节点将各个单源溯源图中的溯源元素进行连接，得到融合溯源图，包括：遍历所述日志连接图中所有标记节点，查询所述日志连接图中日志节点之间的关联关系，并根据所述节点之间的关联关系，解析出各个单源溯源图中具有关联关系的溯源元素；将所述各个单源溯源图中具有关联关系的溯源元素进行连接，得到融合溯源图。
6.如权利要求1所述的方法，其特征在于，所述在所述融合溯源图中执行攻击溯源算法，并基于短路机制挖掘所述融合溯源图中围绕依赖爆炸节点周围形成的连通路径，包括：预先将所述融合溯源图中输入边和输出边之...

【专利技术属性】
技术研发人员：王瑞华，周博雅，万海，焦伟，严人宁，孙逸伦，赵曦滨，
申请(专利权)人：中债金科信息技术有限公司，
类型：发明
国别省市：