一种基于图匹配的威胁狩猎方法技术

本发明专利技术公开了一种基于图匹配的威胁狩猎方法，包括：构建起源图：收集系统内核审计日志，根据系统内核日志中的因果关系和事件流构建出起源图；构建查询图：从网络威胁情报中提取威胁实体及各个威胁实体之间的关系，以此构建与攻击相关的查询图；图匹配：采用边分割的方法将起源图进行分片，将分片后的起源图分配到各个站点，各个站点分别进行图匹配查找，计算起源图与查询图的相似度，在起源图中找到与查询图最相似子图，即相似度分数最高为止，完成威胁狩猎；威胁预警：若相似度分数大于阈值，则立即进行警报，并将查询图匹配到的节点以及路径输出。本发明专利技术方法解决攻击者逃逸的问题，以达到准确高效狩猎的目的。以达到准确高效狩猎的目的。以达到准确高效狩猎的目的。

【技术实现步骤摘要】
一种基于图匹配的威胁狩猎方法


[0001]本专利技术涉及威胁狩猎领域，具体涉及一种基于图匹配的威胁狩猎方法。

技术介绍

[0002]随着高级持续威胁(Advanced and Persistent Threat,APT)不断出现，网络安全面临严峻挑战。APT攻击不同于传统的网络攻击，其以渗透到特定公司或组织并获取重要的资产信息、敏感数据等为目的，且攻击者具有组织性、攻击技术具有先进性、攻击过程具有持久性。现有的APT攻击自动化检测方法单一且被动，如通过依赖图、API分析、用户画像、统计特征提取等。对于实时的检测系统来说，报警意味着攻击/危害已经发生；而对于非实时的检测系统，分析人员在离线数据上检测到攻击时，攻击者往往已经对真实环境造成了严重的破坏。因此，如何主动地在组织内部通过持续回扫数据来寻找、识别和理解攻击对手，是学术界和工业界密切关注的热点之一。于是，全自动的攻击检测方法向着半自动的威胁狩猎转变。威胁狩猎是人为驱使的行动，需要主动并反复的在组织环境内（网络、终端、应用系统等）进行分析查找被入侵的痕迹，从而缩短攻击者在组织环境内的驻留时间，最大程度的减少攻击者对组织环境造成的危害。
[0003]网络环境越来越复杂，攻击技术随时可能出现变种，网络威胁情报可以提供融合多源数据的攻击知识，包括攻击场景、攻击战术、攻击技术和攻击过程等。因此，通过网络威胁情报（CTI）报告企业可以访问庞大的威胁行为数据库，从而尽可能多的得到已知敌对行为，有利于安全人员制定攻防策略，极大提高安全防护效率。在此背景下，以威胁情报驱动的新型网络安全防御机制应运而生。
[0004]为了进行有效的威胁狩猎，分析人员不仅需要利用情报相关知识增强攻击行为挖掘的能力，还需要结合组织内部长期的系统日志（如进程、网络套接字、文件等系统实体；系统调用等系统事件等内核信息记录）进行持续回扫以发现可能存在的威胁。起源图可以将系统中的因果事件联系起来，通过系统实体对象之间的交互来完全显示系统执行，已被不少研究者用于威胁狩猎。根据调研显示，现有威胁狩猎方法缺乏完整性，无法揭示攻击是如何展开，同时，依赖低级别的签名，若攻击者更新或使用工具更改签名（如IP地址或哈希值）以逃避检测时，则无法检测到攻击行为。

技术实现思路

[0005]针对现有技术的不足，本专利技术提供了一种基于图匹配的威胁狩猎方法。
[0006]一种基于图匹配的威胁狩猎方法，包括如下步骤：1）构建起源图：收集系统内核审计日志，根据系统内核日志中的因果关系和事件流构建出起源图；2）构建查询图：从网络威胁情报中提取威胁实体及各个威胁实体之间的关系，以此构建与攻击相关的查询图；3）图匹配：采用边分割的方法将起源图进行分片，将分片后的起源图分配到各个
站点，各个站点分别进行图匹配查找，计算起源图与查询图的相似度，在起源图中找到与查询图最相似子图，即相似度分数最高为止，得到最高相似度分数；4）威胁预警：若最高相似度分数大于阈值，则立即进行警报，并将查询图匹配到的节点以及路径输出，利用ATT&CK框架实现对狩猎结果的可解释性。
[0007]本专利技术通过将起源图进行合理分片，分布式查找提高狩猎效率，狩猎融合了实体和元行为匹配的技术，同时结合节点上下文语义和边的信息解决漏报、误报问题，并利用ATT&CK框架对狩猎结果进一步解释，实现高效、精准、可解释的威胁狩猎方法。
[0008]步骤1）中，所述的系统为Linux、FreeBSD或/和Windows。
[0009]步骤3）中，采用边分割的方法将起源图进行分片具体包括：根据查询图的各个节点在起源图中候选节点的个数，选择候选个数最少的节点对应的集合作为每个分区的初始节点集，即分区的个数由候选节点个数最少的决定，从初始节点集的初始节点开始，每次从已划分数据的邻接点集合中选择一个节点划分到当前分区，直到当前分区达到额定负载，再进行下一个分区的划分，完成主站点分片。
[0010]将分片后的起源图分配到各个站点，各个站点分别进行图匹配查找，计算起源图与查询图的相似度，具体包括：在主站点进行分片后，将查询图和分片后的起源图分配到各个站点，每个站点分别执行图匹配算法固定查询图的候选节点，通过查询图的候选节点计算起源图与查询图的相似度。
[0011]所述的图匹配算法包括：3.1) 从ATT&CK模型抽取技术模板，根据查询图确定攻击技术，作为攻击元行为，每个站点融合起源图的单节点和攻击元行为进行查找固定查询图攻击元行为的候选节点；3.2)固定与查询图攻击元行为的候选节点的相邻节点，考虑相邻节点的上下文语义和边的语义信息，固定查询图的候选节点。
[0012]步骤3.2)中，考虑相邻节点的上下文语义和边的语义信息，固定查询图的候选节点，具体包括：3.2.1)根据系统实体的类型分为进程、文件、套接字和注册表，其中根据文件的不同类型，又分为敏感文件、库文件、可执行文件；根据相邻节点的可达路径信息以及查询图的相邻节点的类型来确定查询图的最佳候选节点，如果对应则进入步骤3.2.2)考虑边的语义信息；3.2.2) 考虑节点之间的信息流方向同时考虑节点之间的边的语义信息，进行攻击元行为之间的映射或进行节点之间的映射，匹配边的语义信息，如果匹配则完成边的语义信息，固定查询图的候选节点，如果不匹配，使用等价语义传递的规则再次匹配边的语义信息。
[0013]步骤3.2.1)中，根据相邻节点的可达路径信息以及查询图的相邻节点的类型来确定查询图的最佳候选节点，具体包括：根据查询图的节点类型和起源图中的节点类型，如果类型相同，则该起源图中的节点作为查询图的候选节点之一，如果查询图的候选节点匹配到查询图中节点的可达路径信息、可达节点信息和查询图的相邻节点的类型三者中的任意一个，分别赋予不同的权重，权重值依次从低到高，三个权重能累计，最终选择权重值最高的候选节点作为查询图的最佳候选节点。
[0014]步骤3.2.2)中，所述的等价语义传递的规则，具体包括：如果查询图中两个节点之
间边的语义信息与对应起源图的候选节点之间边的语义信息不匹配，利用同类型事件的不同关联实体拥有不同的恶意程度，通过判断关联实体的上下文信息，判断边的语义信息是否与攻击关联，与攻击关联则认为路径可达，继续查找下一个节点，直到节点对应的边的语义信息相匹配为止，固定查询图的候选节点。
[0015]所述等价语义传递的规则为根据攻击本质规定的传递规则，如果查询图中两个节点之间边语义信息与对应的候选节点之间边语义信息不匹配，但是满足等价语义传递的规则，那么认为该路径是可达的，继续查找下一个节点，直到到达某个节点时，对应的边信息相匹配为止。
[0016]与现有技术相比，本专利技术具有如下优点：(1) 采集内核日志数据，内核数据记录了良好的语义信息，并且较好的展现系统对象间的关系；(2) 使用元行为的匹配模式，避免攻击者故意绕路而错失此信息流；(3) 在查找过程中加入节点之间的语义信息，确保匹配到信息流的准确性；(4)将起源图划份成本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于图匹配的威胁狩猎方法，其特征在于，包括如下步骤：1）构建起源图：收集系统内核审计日志，根据系统内核日志中的因果关系和事件流构建出起源图；2）构建查询图：从网络威胁情报中提取威胁实体及各个威胁实体之间的关系，以此构建与攻击相关的查询图；3）图匹配：采用边分割的方法将起源图进行分片，将分片后的起源图分配到各个站点，各个站点分别进行图匹配查找，计算起源图与查询图的相似度，在起源图中找到与查询图最相似子图，即相似度分数最高为止，得到最高相似度分数；4）威胁预警：若最高相似度分数大于阈值，则立即进行警报，并将查询图匹配到的节点以及路径输出。2.根据权利要求1所述的基于图匹配的威胁狩猎方法，其特征在于，步骤1）中，所述的系统为Linux、FreeBSD或/和Windows。3.根据权利要求1所述的基于图匹配的威胁狩猎方法，其特征在于，步骤3）中，采用边分割的方法将起源图进行分片具体包括：根据查询图的各个节点在起源图中候选节点的个数，选择候选个数最少的节点对应的集合作为每个分区的初始节点集，从初始节点集的初始节点开始，每次从已划分数据的邻接点集合中选择一个节点划分到当前分区，直到当前分区达到额定负载，再进行下一个分区的划分，完成主站点分片。4.根据权利要求1所述的基于图匹配的威胁狩猎方法，其特征在于，步骤3）中，将分片后的起源图分配到各个站点，各个站点分别进行图匹配查找，计算起源图与查询图的相似度，具体包括：在主站点进行分片后，将查询图和分片后的起源图分配到各个站点，每个站点分别执行图匹配算法固定查询图的候选节点，通过查询图的候选节点计算起源图与查询图的相似度。5.根据权利要求4所述的基于图匹配的威胁狩猎方法，其特征在于，所述的图匹配算法包括：3.1) 从ATT&CK模型抽取技术模板，根据查询图确定攻击技术，作为攻击元行为，每个站点融合起源图的单节点和攻击元行为进行查找固定查询图攻击元行为的候选节点；3.2)固定与查询图攻...

【专利技术属性】
技术研发人员：朱添田，李爽，陈铁明，吕明琪，
申请(专利权)人：浙江工业大学，
类型：发明
国别省市：