一种网络攻击溯源取证方法技术

本发明专利技术涉及一种网络攻击溯源取证方法，属于信息安全技术领域。本发明专利技术的一种网络攻击溯源取证方法，其创新性体现在：一是采用了高效处理信息碎片的新技术手段，实现了碎片信息重构，解决了线索碎片化，信息片段、割裂、散乱的难题；二是采用了海量数据清理和预处理结合的新技术手段，实现了信息压缩和冗余度减少，解决了网络安全日志信息过载、噪音大，高价值信息容易被淹没的难题；三是采用了聚类分析、粒子群算法等，实现了关联分析，解决了单点式、片段式安全分析的局限。四是采用数据包分析的威胁链路还原技术，实现了威胁数据包逐跳路由信息还原，解决了网络攻击拓扑路径信息缺失的难题。题。题。

【技术实现步骤摘要】
一种网络攻击溯源取证方法


[0001]本专利技术属于信息安全
，具体涉及一种网络攻击溯源取证方法。

技术介绍

[0002]随着互联网上网络攻击越来越多、越来越复杂、越来越难取证，网络攻击时间跨度大、空间跨度大，呈现出隐蔽性强而难以检测发现、匿名性强而难以溯源取证的现象，给网络攻击取证带来很大的困难。现有网络攻击取证方法存在诸多局限与不足，已无法解决越来越复杂和隐蔽的网络定向攻击威胁，亟需要形成一种高效实用的网络攻击窃密取证能力。

技术实现思路

[0003](一)要解决的技术问题
[0004]本专利技术要解决的技术问题是：如何针对信息系统面临大时空尺度网络攻击带来的多源异构网络威胁信息缺乏有效融合与分析、线索碎片化、攻击源难以溯源取证等问题，设计一种能够正常开展网络攻击溯源取证的方法。
[0005](二)技术方案
[0006]为了解决上述技术问题，本专利技术提供了一种网络攻击溯源取证方法，包括以下步骤：
[0007]实现碎片信息重构：采用基于深度生成模型的信息重构、基于图模型的数据关联重构、基于预训练模型的数据重构的技术，实现重构数据的高可用度，采用基于图模型关联的碎片信息重构、基于双向循环神经网络的碎片信息重构算法，提升信息重构准确性、信息重构速率；
[0008]实现海量数据清洗：先分析统计数据，接着对同类数据信息进行压缩，然后对缺失值、异常值、重复值、噪音数据进行清洗，清洗后对数据进行归一化操作，实现威胁信息数据合并、威胁信息数据清洗，实现对上千万条原始数据进行初步的数据分类；
[0009]通过多源特征提取和去噪降维实现数据预处理：针对网络威胁数据来源多样化、结构不一致的问题，进行威胁信息提取，威胁信息类型转化，实现数据特征提取、去噪降维，其中，去噪是对已经过去重后的事件流中的“噪点”数据进行修饰，对包括标点符号、特殊符号这些噪声进行“消噪”处理，并最大程度还原有意义属性，不能还原的进行剔除；
[0010]基于特征关联学习的网络攻击检测：通过对网络业务数据进行主成分的分析，采用稀疏编码、自编码器、深度置信网络模型，结合IP关系、时序关系、交互特征进行数据关联，采用适用于业务系统的网络威胁检测算法，集成聚类分析、粒子群算法、马尔科夫模型自学习行为基线模型、基于图计算的恶意行为检测这些人工智能分析引擎，采用多维语义提取、攻击链分析技术，实现高级持续性攻击、定向攻击、数据窃密场景的追踪溯源分析；
[0011]溯源网络数据包的传输路径：从网络协议地址、网络威胁样本、网络攻击事件、网络流量情报、威胁主体、目标信息资产这些网络威胁数据识别维度，从时间、空间、宏观统计
三条主线，采用网络链路数据包提取解析、协议还原、拓扑路径还原技术，通过数据包头记录字段信息分析实现威胁数据包逐跳路由信息还原，逐步分析出主机序列、路由节点序列、服务器序列、跳板节点序列、攻击源头，进而重构威胁信息传输路径。
[0012]优选地，实现碎片信息重构的过程中，通过离线PCAP文件或者在线流量的方式，获取流量中的不同协议的基本元数据信息，包括HTTP协议的请求字段、请求PAYLOAD、响应字段、响应PAYLOAD，实现信息数据的提取。
[0013]优选地，实现海量数据清洗的过程中，针对从企业网络设备中采集到的TCP流数据，首先剔除重复的流量数据、去除噪音数据这些规范化操作，然后对清洗后的数据进行聚合、归一化的处理，去重是对分完类且具有具体属性特征的安全事件流的去重，依据每条日志的MD5值进行计算后，MD5值一致的即为重复数据，仅保留一条有效的。
[0014]优选地，通过多源特征提取和去噪降维实现数据预处理的过程中，针对网络流量数据的预处理是选择协议标识符、源端口、目的端口、源地址、目的地址、ICMP类型、ICMP代码、原始数据长度和原始数据9个特征，通过威胁信息预处理的主成分析降维算法，结合概率论和机器学习知识，对威胁信息数据进行降维。
[0015]优选地，通过多源特征提取和去噪降维实现数据预处理包括：
[0016]样本关联关系预处理：对样本之间的关联关系进行预处理，包括计算样本之间相似度、样本线索内容关联分析，挖掘样本线索信息之间的关联关系；
[0017]事件关联关系预处理：对告警事件以及抽取的元数据之间的关联关系进行预处理，归类相同的攻击来源、相同的攻击手段、相同的攻击者或攻击组织；
[0018]特定数据处理管理：对于特定格式数据或敏感数据，根据其格式或密级程度进行相应处理。
[0019]优选地，基于特征关联学习的网络攻击检测的过程中，针对网络攻击者入侵行为的特征关联学习是捕获TCP/IP参数和攻击类型之间的关系，对DDos攻击、Scan攻击、U2R攻击和R2L攻击设置不同的关联规则，并结合马尔科夫模型提取网络攻击的动态特征，通过检测HTTP有效载荷实现对多个网络攻击的特征关联检测。
[0020]优选地，基于特征关联学习的网络攻击检测的过程中，针对和一些恶意网络攻击事件在时间或空间上有关联的僵尸网络通信行为，采用从网络设备中采集的流量提取结构化的P2P特征，结合网络业务系统的日志信息进行关联分析。
[0021]本专利技术还提供了一种利用所述方法实现的网络攻击溯源取证系统。
[0022]本专利技术又提供了一种所述方法在信息安全
中的应用。
[0023]本专利技术又提供了一种所述系统在信息安全
中的应用。
[0024](三)有益效果
[0025]本专利技术是一种网络攻击溯源取证方法，将碎片信息重构、多源特征提取、去噪降维、溯源网络数据包传输路径等方法引入到网络攻击溯源取证中，其创新性体现在：一是采用了高效处理信息碎片的新技术手段，实现了碎片信息重构，解决了线索碎片化，信息片段、割裂、散乱的难题；二是采用了海量数据清理和预处理结合的新技术手段，实现了信息压缩和冗余度减少，解决了网络安全日志信息过载、噪音大，高价值信息容易被淹没的难题；三是采用了聚类分析、粒子群算法等，实现了关联分析，解决了单点式、片段式安全分析的局限。四是采用数据包分析的威胁链路还原技术，实现了威胁数据包逐跳路由信息还原，
解决了网络攻击拓扑路径信息缺失的难题。该方法能够在实际项目研究、工程建设中应用。
附图说明
[0026]图1为本专利技术的网络攻击溯源取证方法工作流程图。
具体实施方式
[0027]为使本专利技术的目的、内容和优点更加清楚，下面结合附图和实施例，对本专利技术的具体实施方式作进一步详细描述。
[0028]针对信息系统面临大时空尺度网络攻击带来的多源异构网络威胁信息缺乏有效融合与分析、线索碎片化、攻击源难以溯源取证等问题，有必要设计一种能够正常开展网络攻击溯源取证的方法，推动网络攻击溯源取证能力从“束手无策”向“大胆推测”演进。
[0029]因此，本专利技术提供了一种基于特征关联学习的网络攻击取证方法。从安全发现角度而言，追踪一次完整的网络攻击，涉及身份认证、应用访问授权、终端操作本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络攻击溯源取证方法，其特征在于，包括以下步骤：实现碎片信息重构：采用基于深度生成模型的信息重构、基于图模型的数据关联重构、基于预训练模型的数据重构的技术，实现重构数据的高可用度，采用基于图模型关联的碎片信息重构、基于双向循环神经网络的碎片信息重构算法，提升信息重构准确性、信息重构速率；实现海量数据清洗：先分析统计数据，接着对同类数据信息进行压缩，然后对缺失值、异常值、重复值、噪音数据进行清洗，清洗后对数据进行归一化操作，实现威胁信息数据合并、威胁信息数据清洗，实现对上千万条原始数据进行初步的数据分类；通过多源特征提取和去噪降维实现数据预处理：针对网络威胁数据来源多样化、结构不一致的问题，进行威胁信息提取，威胁信息类型转化，实现数据特征提取、去噪降维，其中，去噪是对已经过去重后的事件流中的“噪点”数据进行修饰，对包括标点符号、特殊符号这些噪声进行“消噪”处理，并最大程度还原有意义属性，不能还原的进行剔除；基于特征关联学习的网络攻击检测：通过对网络业务数据进行主成分的分析，采用稀疏编码、自编码器、深度置信网络模型，结合IP关系、时序关系、交互特征进行数据关联，采用适用于业务系统的网络威胁检测算法，集成聚类分析、粒子群算法、马尔科夫模型自学习行为基线模型、基于图计算的恶意行为检测这些人工智能分析引擎，采用多维语义提取、攻击链分析技术，实现高级持续性攻击、定向攻击、数据窃密场景的追踪溯源分析；溯源网络数据包的传输路径：从网络协议地址、网络威胁样本、网络攻击事件、网络流量情报、威胁主体、目标信息资产这些网络威胁数据识别维度，从时间、空间、宏观统计三条主线，采用网络链路数据包提取解析、协议还原、拓扑路径还原技术，通过数据包头记录字段信息分析实现威胁数据包逐跳路由信息还原，逐步分析出主机序列、路由节点序列、服务器序列、跳板节点序列、攻击源头，进而重构威胁信息传输路径。2.如权利要求1所述的方法，其特征在于，实现碎片信息重构的过程中，通过离线PCAP文件或者在线流量的方式，获取流量中的不同协议的基本元数据信息，包括HTTP协议的请求字段、请求PAYLOAD、响应字段、响应PAYLOAD，实现信息数据的提取。3.如权利要求1所...

【专利技术属性】
技术研发人员：曾颖明，王斌，梁晓东，王晓菲，温泉，赵琛，王芳鸣，王亚洲，张茜，海然，
申请(专利权)人：北京计算机技术及应用研究所，
类型：发明
国别省市：