一种高级持续性威胁攻击IP检测方法技术

本发明专利技术提供的一种高级持续性威胁攻击IP检测方法，所述检测方法包括：步骤S1：在网络中部署网络安全检测设备，并获取各类检测设备的检测报警日志和级别；步骤S2：对获取的告警日志进行归一化处理，规范格式为网络攻击三元组的集合；步骤S3：根据所述三元组的集合生成状态转移矩阵G；步骤S4：结合IP白名单，使用改进的pagerank算法对状态转移矩阵进行迭代计算，获得所述IP的威胁值；步骤S5：根据威胁值进行排序。能够准确地识别网络攻击源头IP，进而结合具体的使用场景对APT攻击进行有效的识别和管理。管理。管理。

【技术实现步骤摘要】
一种高级持续性威胁攻击IP检测方法


[0001]本专利技术涉及高级持续性威胁领域，尤其涉及一种高级持续性威胁攻击IP检测方法。

技术介绍

[0002]高级持续性威胁(APT)攻击并不是特指某一种攻击手段，而是指组织与组织之间综合性网络战的一种表现形式。相对于普通网络攻击，APT攻击更为复杂化、专业化，长期潜伏需要财力物力支持。
[0003]APT攻击是长期持续性的针对某些特定攻击目标利用先进的攻击手段进行网络攻击。攻击过程：确定攻击目标
‑
搜集目标相关信息
‑
潜入目标所在系统环境
‑
准备攻击所需的工具
‑
部署攻击所需的工具
‑
实施攻击
‑
清除攻击痕迹。APT攻击从确定攻击目标到攻击成功的时间可能是数个月或长达数十年。
[0004]APT攻击通常是多样攻击方式的组合，因此在防御上也需要进行多层次多方位的检测和防御。因其隐蔽性强，传统的安全防御方式很难察觉。传统的威胁检测系统往往每天生产成千上万的告警，而APT攻击的攻击IP通常隐藏其中。

技术实现思路

[0005]鉴于上述问题，提出了本专利技术以便提供克服上述问题或者至少部分地解决上述问题的一种高级持续性威胁攻击IP检测方法。
[0006]根据本专利技术的一个方面，提供了一种高级持续性威胁攻击IP检测方法，所述检测方法包括：
[0007]步骤S1：在网络中部署网络安全检测设备，并获取各类检测设备的检测报警日志和级别；
[0008]步骤S2：对获取的告警日志进行归一化处理，规范格式为网络攻击三元组的集合；
[0009]步骤S3：根据所述三元组的集合生成状态转移矩阵G；
[0010]步骤S4：结合IP白名单，使用改进的pagerank算法对状态转移矩阵进行迭代计算，获得所述IP的威胁值；
[0011]步骤S5：根据威胁值进行排序。
[0012]可选的，所述三元组具体包括：攻击IP、被攻击IP和威胁权重。
[0013]可选的，所述步骤S1：在网络中部署网络安全检测设备，并获取各类检测设备的检测报警日志和级别具体包括：
[0014]获取的日志统一为五元组；
[0015]根据所述三元组，设计映射表，对应不同的威胁权重。
[0016]可选的，所述五元组具体包括：设备，攻击IP，被攻击IP，攻击类型，威胁级别。
[0017]可选的，所述步骤S2：对获取的告警日志进行归一化处理，规范格式为网络攻击三元组的集合具体包括：
[0018]基于不同的设备，攻击类型，威胁级别所对应不同的威胁权重，规范格式为所述三元组的集合；
[0019]对有着相同的攻击IP和被攻击IP的三元组进行合并，将威胁权重求和，更新威胁权重。
[0020]可选的，所述步骤S3：根据所述三元组的集合生成状态转移矩阵G具体包括：
[0021]定义所有的攻击IP和被攻击的IP为集合A[N]＝{IP1,IP2,
…
IP
N
}，状态转移矩阵G为N*N大小的矩阵；
[0022]遍历网络攻击三元组集合中的每一个元素(IP
i
,IP
j
,W
k
)，更新状态转移矩阵G中的元素的值G(j,i)的值为W
k
。
[0023]可选的，所述步骤S4：结合IP白名单，使用改进的pagerank算法对状态转移矩阵进行迭代计算，获得所述IP的威胁值具体包括：
[0024]将G转换为马尔可夫矩阵M，其中
[0025]定义状态转换矩阵的转换概率为s,定义迭代的收敛值为maxerr；
[0026]初始化数组R[N]＝{r1,r2,
…
r
n
}。特别的，对于集合A[N]中的IP
i
(i∈[1,N])，如果IPi在IP白名单中，则r
i
＝0，否则r
i
＝1，然后对R进行标准归一化；
[0027]初始化白名单矩阵B＝B1*B2*
…
*B
i
*
…
*B
n
，其中B
i
为白名单中IP
i
的转换矩阵，定义为：
[0028][0029]其中b＝1/(N
‑
1)且b所在的行为第i行；
[0030]在矩阵R上应用马尔可夫矩阵M进行转换，得到矩阵R
’
；
[0031]根据白名单生成转换矩阵B，更新R
’
为R
’
*B；
[0032]将R
’
和R的每个元素的差值求和，如果小于maxerr则停止迭代，否则回到步骤4.5继续迭代；
[0033]得到的R
’
矩阵的值{r1’
,r2’
,
…
r
n
’
}为IP集合A[N]＝{IP1,IP2,
…
IP
N
}对应的威胁值。
[0034]可选的，所述在矩阵R上应用马尔可夫矩阵M进行转换具体包括：
[0035]R
’
＝(1
‑
s)/N*A(1)
N*N
+s*M
T
·
R；
[0036]其中，A(1)
N*N
为全1的N*N矩阵，M
T
为M的转置。
[0037]本专利技术提供的一种高级持续性威胁攻击IP检测方法，所述检测方法包括：步骤S1：在网络中部署网络安全检测设备，并获取各类检测设备的检测报警日志和级别；步骤S2：对获取的告警日志进行归一化处理，规范格式为网络攻击三元组的集合；步骤S3：根据所述三
元组的集合生成状态转移矩阵G；步骤S4：结合IP白名单，使用改进的pagerank算法对状态转移矩阵进行迭代计算，获得所述IP的威胁值；步骤S5：根据威胁值进行排序。能够准确地识别网络攻击源头IP，进而结合具体的使用场景对APT攻击进行有效的识别和管理。
[0038]上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。
附图说明
[0039]为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
[0040]图1为本专利技术实施例提供的一种高级持续性威胁攻击IP检测方法的流程图。
具体实施方式
[0041]下面将参照附图更详细地描述本公开的示例本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种高级持续性威胁攻击IP检测方法，其特征在于，所述检测方法包括：步骤S1：在网络中部署网络安全检测设备，并获取各类检测设备的检测报警日志和级别；步骤S2：对获取的告警日志进行归一化处理，规范格式为网络攻击三元组的集合；步骤S3：根据所述三元组的集合生成状态转移矩阵G；步骤S4：结合IP白名单，使用改进的pagerank算法对状态转移矩阵进行迭代计算，获得所述IP的威胁值；步骤S5：根据威胁值进行排序。2.根据权利要求1所述的一种高级持续性威胁攻击IP检测方法，其特征在于，所述三元组具体包括：攻击IP、被攻击IP和威胁权重。3.根据权利要求1所述的一种高级持续性威胁攻击IP检测方法，其特征在于，所述步骤S1：在网络中部署网络安全检测设备，并获取各类检测设备的检测报警日志和级别具体包括：获取的日志统一为五元组；根据所述三元组，设计映射表，对应不同的威胁权重。4.根据权利要求3所述的一种高级持续性威胁攻击IP检测方法，其特征在于，所述五元组具体包括：设备，攻击IP，被攻击IP，攻击类型，威胁级别。5.根据权利要求1所述的一种高级持续性威胁攻击IP检测方法，其特征在于，所述步骤S2：对获取的告警日志进行归一化处理，规范格式为网络攻击三元组的集合具体包括：基于不同的设备，攻击类型，威胁级别所对应不同的威胁权重，规范格式为所述三元组的集合；对有着相同的攻击IP和被攻击IP的三元组进行合并，将威胁权重求和，更新威胁权重。6.根据权利要求1所述的一种高级持续性威胁攻击IP检测方法，其特征在于，所述步骤S3：根据所述三元组的集合生成状态转移矩阵G具体包括：定义所有的攻击IP和被攻击的IP为集合A[N]＝{IP1,IP2,
…
IP
N
}，状态转移矩阵G为N*N大小的矩阵；遍历网络攻击三元组集合中的每一个元素(IP
i
,IP
j
,W
k
)，更新状态转移矩阵G中的元素的值G(j,i)的值为W
k
。7.根据权利要求1所述的一种高级持续性威胁攻击IP检测方法，其特征在于，所述步骤S4：结合IP白名单...

【专利技术属性】
技术研发人员：郭超，韦崴，宋文芳，方绪鹏，
申请(专利权)人：中国电子产业工程有限公司，
类型：发明
国别省市：