【技术实现步骤摘要】
一种基于超图的攻击检测与溯源方法及系统
[0001]本专利技术属于网络安全
,具体涉及构建了一种基于Windows内核日志构建行为超图,并进行网络攻击检测与溯源的方法及系统。
技术介绍
[0002]APT网络攻击是针对政府、核心基础设施、重要行业等发动的有计划、持续性的网络攻击。与传统的网络攻击相比,APT网络攻击具有隐蔽性高、潜伏期长、攻击手段多样等特点,导致传统的基于网络流量的检测手段难以应对。因此,对系统行为进行全方位的监测,以发现APT网络攻击对系统的实际破坏行为,是应对APT网络攻击隐蔽性和多样性的有效手段之一。然而现有的分析方法都是基于Windows的ETW工具来进行内核日志的采集,并且构建出起源图的形式进行分析检测。但是由于内核日志是对上层用户行为完整的反应体现,所以它产生的日志数据量会非常庞大,导致在构建起源图时会由于数据量庞大导致构建困难并且耗时。
[0003]超图是图的自然扩展,它允许一条边连接任意数量的顶点,这可以表示涉及多个实体的高阶关系,并且能够更加准确的构建处理多元关系。超图结构相比...
【技术保护点】
【技术特征摘要】
1.一种基于超图的攻击检测与溯源方法,其特征在于,所述的基于超图的攻击检测与溯源方法,包括:步骤1、采集内核日志,并进行压缩处理得到第一起源图;步骤2、根据ATT&CK攻防矩阵进行路径匹配,在所述第一起源图中匹配出超边,并基于超边进行超图的构建;步骤2
‑
1、提取ATT&CK攻防矩阵中各TTP中的实体和行为构成第二起源图,并遍历第二起源图抽离得到行为路径;步骤2
‑
2、遍历第一起源图抽离得到第一路径,将每一第一路径与各行为路径进行匹配,将匹配成功的第一路径作为超边,并基于超边构建超图;步骤3、采用基于专家经验所得的攻击行为,对所述超图中的每个超边进行匹配,并将匹配成功的超边标记为恶意行为,并根据超边进行溯源操作。2.如权利要求1所述的基于超图的攻击检测与溯源方法,其特征在于,利用基于Windows系统的内核日志追踪框架ETW进行内核日志的采集。3.如权利要求1所述的基于超图的攻击检测与溯源方法,其特征在于,所述进行压缩处理得到第一起源图,包括:将每条内核日志转化为三元组<主体,操作,客体>的形式,所述主体和客体为内核日志中的实体,所述操作为内核日志中的行为;基于三元组将采集的内核日志转化为第一起源图,所述第一起源图中的顶点为实体,所述第一起源图中的边为操作;利用因果关系保留约简方法合并两个顶点之间具有相同操作的边;取利用因果关系保留约简方法合并后的第一起源图,将第一起源图中两个顶点之间仅时间戳不同的多条边进行合并,合并后仅保留时间戳最早的边,且为保留的边添加频次属性,该频次属性用于表示两个顶点之间合并前仅时间戳不同的边的数量,得到最终的第一起源图。4.如权利要求1所述的基于超图的攻击检测与溯源方法,其特征在于,所述将每一第一路径与各行为路径进行匹配,包括:计算当前第一路径与第i个行为路径的相似度:计算当前第一路径与第i个行为路径的相似度:S
i
=αN
i
+βP
i
式中,N
i
为当前第一路径与第i个行为路径的节点数相似度,N
l
为当前第一路径与第i个行为路径中相同节点的数量,N...
【专利技术属性】
技术研发人员:陈铁明,王浩,江颉,宋琪杰,朱添田,顾国民,仇学博,叶宏,
申请(专利权)人:浙江工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。