【技术实现步骤摘要】
基于日志关联分析的攻击溯源方法及装置
[0001]本专利技术涉及网络安全
,具体而言,涉及一种基于日志关联分析的攻击溯源方法及装置。
技术介绍
[0002]高级持续性威胁(APT)最近已成为企业和机构面临的最关键的网络空间威胁之一。APT攻击通常会持续很长时间,它们使用隐蔽的技巧使自己难以被发现。相关技术表明,溯源图可以帮助安全操作员从攻击症状追溯到初始攻击入口点。具体可通过收集和分析系统日志以构建溯源图,其中节点表示实体(如进程、文件、网络套接字),边表示节点之间的操作。但是,在处理长时间运行的应用程序时,这些方法可能会面临严重的问题,这些应用程序在其生命周期中具有大量的输入和输出操作。这导致节点具有大量传入和传出边,可参照图1中的firefox进程。这种节点会阻碍回溯分析,因为它们的所有出边都依赖于它们的所有入边。这就是所谓的“依赖爆炸”问题。
[0003]传统方法使用污点分析和二进制插桩来缓解依攻击溯源中的赖爆炸问题,这两种技术可以将长时间运行的进程切分为更加细粒度的单元,这些单元代表了事件处理的循环,从而此前施加在进程上的依赖关系可以被更精确地绑定到单元上,因为一个单元比原先的进程实体有更少的依赖关系,故而依赖爆炸能够被减弱。但是,这两种方法有各自的问题。污点分析方法往往带来巨大的时间和空间开销,这在APT这一数据量巨大的场景下无法工作;二进制插桩方法通常需要修改源代码或二进制文件,这在企业环境下往往是难以使用的。
[0004]近年来,学者们试图在攻击溯源过程中基于一些非插桩的日志融合方 ...
【技术保护点】
【技术特征摘要】
1.一种基于日志关联分析的攻击溯源方法,其特征在于,所述方法包括:收集系统内各个层次的日志,根据所述各个层次的日志之间的关联关系,构建日志连接图,所述日志连接图表现为日志节点和标记节点交替出现,一个日志节点解析出至少一个标记节点,一个标记节点至少被一个日志节点解析出;利用所述日志连接图中的标记节点将各个单源溯源图中的溯源元素进行连接,得到融合溯源图,所述单源溯源图为使用日志解析算法对每个数据源的日志文件转换得到,所述溯源元素包括节点和边;在所述融合溯源图中执行攻击溯源算法,并基于短路机制挖掘所述融合溯源图中围绕依赖爆炸节点周围形成的连通路径,所述依赖爆炸节点为输入边和输出边之和大于预设数值的节点;针对所述攻击溯源算法中搜索路径的每一个步数,使用搜索路径包含所述连通路径作为路径评估因素之一,计算所述攻击溯源算法搜索到各个路径的评估分数,选取评估分数最高的路径作为攻击溯源算法输出的攻击链。2.如权利要求1所述的方法,其特征在于,所述根据所述各个层次的日志之间的关联关系,构建日志连接图,包括:以每行日志作为一个日志节点,解析所述各个层次的日志中表达日志节点之间关联关系的特征,形成标记节点集合;针对标记节点集合中的每个标记节点,使用至少被两个日志节点解析出的标记节点形成连接纽带,并根据所述连接纽带将所述至少两个日志节点与标记节点进行连接,绘制出日志连接图。3.如权利要求2所述的方法,其特征在于,所述解析所述各个层次的日志中表达日志节点之间关联关系的特征,形成标记节点集合,包括:针对同层次的日志节点,使用频繁分析项来挖掘表征同层日志节点之间关联关系的公共模式,形成标记节点集合;针对跨层次的日志节点,使用预先列举的跨层连接标记来表达日志节点之间关联关系的特征,形成标记节点集合。4.如权利要求2所述的方法,其特征在于,所述针对标记节点集合中的每个标记节点,使用至少被两个日志节点解析出的标记节点形成连接纽带,并根据所述连接纽带将所述至少两个日志节点与标记节点进行连接,绘制出日志连接图,包括:针对标记节点集合中的每个标记节点,判断若该标记节点是否被其他日志节点解析出,则将该标记节点作为至少被两个日志节点解析出的标记节点;使用将该标记节点形成连接纽带来表达标记节点与日志节点之间的共享关系,并根据所述共享关系绘制出日志连接图,所述共享关系中标记节点连接与其关联的至少两个日志节点。5.如权利要求1所述的方法,其特征在于,所述利用所述日志连接图中的标记节点将各个单源溯源图中的溯源元素进行连接,得到融合溯源图,包括:遍历所述日志连接图中所有标记节点,查询所述日志连接图中日志节点之间的关联关系,并根据所述节点之间的关联关系,解析出各个单源溯源图中具有关联关系的溯源元素;将所述各个单源溯源图中具有关联关系的溯源元素进行连接,得到融合溯源图。
6.如权利要求1所述的方法,其特征在于,所述在所述融合溯源图中执行攻击溯源算法,并基于短路机制挖掘所述融合溯源图中围绕依赖爆炸节点周围形成的连通路径,包括:预先将所述融合溯源图中输入边和输出边之...
【专利技术属性】
技术研发人员:王瑞华,周博雅,万海,焦伟,严人宁,孙逸伦,赵曦滨,
申请(专利权)人:中债金科信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。