一种基于超图的攻击检测与溯源方法及系统技术方案

本发明专利技术公开了一种基于超图的攻击检测与溯源方法及系统，方法包括：采集内核日志，并进行压缩处理得到第一起源图；根据ATT&CK攻防矩阵进行路径匹配，在第一起源图中匹配出超边，并基于超边进行超图的构建；采用基于专家经验所得的攻击行为，对超图中的每个超边进行匹配，并将匹配成功的超边标记为恶意行为，并根据超边进行溯源操作。本发明专利技术利用超图的结构进行起源图的转化，通过超边来进行攻击行为的匹配，提高检测的效率，并且能够溯源找出攻击的初始切入节点。初始切入节点。初始切入节点。

【技术实现步骤摘要】
一种基于超图的攻击检测与溯源方法及系统


[0001]本专利技术属于网络安全
，具体涉及构建了一种基于Windows内核日志构建行为超图，并进行网络攻击检测与溯源的方法及系统。

技术介绍

[0002]APT网络攻击是针对政府、核心基础设施、重要行业等发动的有计划、持续性的网络攻击。与传统的网络攻击相比，APT网络攻击具有隐蔽性高、潜伏期长、攻击手段多样等特点，导致传统的基于网络流量的检测手段难以应对。因此，对系统行为进行全方位的监测，以发现APT网络攻击对系统的实际破坏行为，是应对APT网络攻击隐蔽性和多样性的有效手段之一。然而现有的分析方法都是基于Windows的ETW工具来进行内核日志的采集，并且构建出起源图的形式进行分析检测。但是由于内核日志是对上层用户行为完整的反应体现，所以它产生的日志数据量会非常庞大，导致在构建起源图时会由于数据量庞大导致构建困难并且耗时。
[0003]超图是图的自然扩展，它允许一条边连接任意数量的顶点，这可以表示涉及多个实体的高阶关系，并且能够更加准确的构建处理多元关系。超图结构相比一般图结构在聚类过程上更加有优势，在处理多模态、异构数据时更加灵活，更加方便多模态的融合和扩展。
[0004]超图结构是一种比传统成对关系图更加泛化的关系类型。在过去的几十年间，超图理论已被证明能够有效解决众多真实世界问题。超图强大的表达能力，使其能够很好地对各类网络、数据结构、进程调度以及一些对象关系的系统进行高效建模。从理论上来看，超图可以归纳普通图上的某些定理，甚至可以用一个超图定理代替传统图上的几个定理。从实用性角度来看，超图结构正逐渐变得比传统图结构更受欢迎。所以使用超图结构来替代起源图能够很好的解决数据量庞大的问题，从而达到间接压缩的效果，因此本专利技术提出了一种基于超图的攻击检测与溯源的方法及系统。

技术实现思路

[0005]本专利技术的目的之一在于提供一种基于超图的攻击检测与溯源方法，利用超图的结构进行起源图的转化，通过超边来进行攻击行为的匹配，提高检测的效率，并且能够溯源找出攻击的初始切入节点。
[0006]为实现上述目的，本专利技术所采取的技术方案为：
[0007]一种基于超图的攻击检测与溯源方法，所述的基于超图的攻击检测与溯源方法，包括：
[0008]步骤1、采集内核日志，并进行压缩处理得到第一起源图；
[0009]步骤2、根据ATT&CK攻防矩阵进行路径匹配，在所述第一起源图中匹配出超边，并基于超边进行超图的构建；
[0010]步骤2
‑
1、提取ATT&CK攻防矩阵中各TTP中的实体和行为构成第二起源图，并遍历
第二起源图抽离得到行为路径；
[0011]步骤2
‑
2、遍历第一起源图抽离得到第一路径，将每一第一路径与各行为路径进行匹配，将匹配成功的第一路径作为超边，并基于超边构建超图；
[0012]步骤3、采用基于专家经验所得的攻击行为，对所述超图中的每个超边进行匹配，并将匹配成功的超边标记为恶意行为，并根据超边进行溯源操作。
[0013]以下还提供了若干可选方式，但并不作为对上述总体方案的额外限定，仅仅是进一步的增补或优选，在没有技术或逻辑矛盾的前提下，各可选方式可单独针对上述总体方案进行组合，还可以是多个可选方式之间进行组合。
[0014]作为优选，利用基于Windows系统的内核日志追踪框架ETW进行内核日志的采集。
[0015]作为优选，所述进行压缩处理得到第一起源图，包括：
[0016]将每条内核日志转化为三元组<主体，操作，客体>的形式，所述主体和客体为内核日志中的实体，所述操作为内核日志中的行为；
[0017]基于三元组将采集的内核日志转化为第一起源图，所述第一起源图中的顶点为实体，所述第一起源图中的边为操作；
[0018]利用因果关系保留约简方法合并两个顶点之间具有相同操作的边；
[0019]取利用因果关系保留约简方法合并后的第一起源图，将第一起源图中两个顶点之间仅时间戳不同的多条边进行合并，合并后仅保留时间戳最早的边，且为保留的边添加频次属性，该频次属性用于表示两个顶点之间合并前仅时间戳不同的边的数量，得到最终的第一起源图。
[0020]作为优选，所述将每一第一路径与各行为路径进行匹配，包括：
[0021]计算当前第一路径与第i个行为路径的相似度：
[0022][0023][0024]S
i
＝αN
i
+βP
i
[0025]式中，N
i
为当前第一路径与第i个行为路径的节点数相似度，N
l
为当前第一路径与第i个行为路径中相同节点的数量，N
total
为当前第一路径的总节点数量，P
i
为当前第一路径与第i个行为路径的操作数相似度，P
l
为当前第一路径与第i个行为路径中相同操作的数量，P
total
为当前第一路径的总操作数量，S
i
为当前第一路径与第i个行为路径的相似度，α为节点权重，β为操作权重，且α+β＝1；
[0026]取当前第一路径与所有行为路径匹配计算的相似度最大值，若相似度最大值大于匹配阈值，则当前第一路径标记为匹配成功；否则当前第一路径标记为匹配失败。
[0027]作为优选，为每一匹配成功的第一路径赋值行为摘要，所述行为摘要包含的属性有Node、TID、TimeStamp和Path，所述Node表示切入节点，为第一路径对应的内核日志的进程名，所述TID表示与第一路径匹配成功的TTP中的技术ID，所述TimeStamp表示时间戳，时间戳为第一路径内所有顶点中最晚的时间戳，所述Path表示与第一路径匹配成功的TTP的行为路径。
[0028]作为优选，采用基于专家经验所得的攻击行为，对所述超图中的每个超边进行匹配，包括：
[0029]将超图中所有超边根据行为摘要的TID属性和TimeStamp属性构建一个超边时间顺序表；
[0030]取基于专家经验所得的攻击行为，解析该攻击行为中的技术顺序；
[0031]若攻击行为中的技术顺序与超边时间顺序表中对应技术的顺序相同，则表示与该攻击行为匹配成功，则取超边时间顺序表中与该攻击行为相同的技术，将所取技术对应的超边标记为恶意行为。
[0032]作为优选，所述根据超边进行溯源操作，包括：
[0033]取与一个攻击行为匹配成功的多个超边；
[0034]根据超边中的Node属性得到每个超边的切入节点；
[0035]根据超边中的Path属性确定多个切入节点之间的数据传递方向，并将位于数据传递方向源头的切入节点作为初始切入节点，完成溯源操作。
[0036]本专利技术的目的之二在于提供一种基于超图的攻击检测与溯源系统，包括处理器以及存储有若干计算机指令的存储器本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于超图的攻击检测与溯源方法，其特征在于，所述的基于超图的攻击检测与溯源方法，包括：步骤1、采集内核日志，并进行压缩处理得到第一起源图；步骤2、根据ATT&CK攻防矩阵进行路径匹配，在所述第一起源图中匹配出超边，并基于超边进行超图的构建；步骤2
‑
1、提取ATT&CK攻防矩阵中各TTP中的实体和行为构成第二起源图，并遍历第二起源图抽离得到行为路径；步骤2
‑
2、遍历第一起源图抽离得到第一路径，将每一第一路径与各行为路径进行匹配，将匹配成功的第一路径作为超边，并基于超边构建超图；步骤3、采用基于专家经验所得的攻击行为，对所述超图中的每个超边进行匹配，并将匹配成功的超边标记为恶意行为，并根据超边进行溯源操作。2.如权利要求1所述的基于超图的攻击检测与溯源方法，其特征在于，利用基于Windows系统的内核日志追踪框架ETW进行内核日志的采集。3.如权利要求1所述的基于超图的攻击检测与溯源方法，其特征在于，所述进行压缩处理得到第一起源图，包括：将每条内核日志转化为三元组<主体，操作，客体>的形式，所述主体和客体为内核日志中的实体，所述操作为内核日志中的行为；基于三元组将采集的内核日志转化为第一起源图，所述第一起源图中的顶点为实体，所述第一起源图中的边为操作；利用因果关系保留约简方法合并两个顶点之间具有相同操作的边；取利用因果关系保留约简方法合并后的第一起源图，将第一起源图中两个顶点之间仅时间戳不同的多条边进行合并，合并后仅保留时间戳最早的边，且为保留的边添加频次属性，该频次属性用于表示两个顶点之间合并前仅时间戳不同的边的数量，得到最终的第一起源图。4.如权利要求1所述的基于超图的攻击检测与溯源方法，其特征在于，所述将每一第一路径与各行为路径进行匹配，包括：计算当前第一路径与第i个行为路径的相似度：计算当前第一路径与第i个行为路径的相似度：S
i
＝αN
i
+βP
i
式中，N
i
为当前第一路径与第i个行为路径的节点数相似度，N
l
为当前第一路径与第i个行为路径中相同节点的数量，N...

【专利技术属性】
技术研发人员：陈铁明，王浩，江颉，宋琪杰，朱添田，顾国民，仇学博，叶宏，
申请(专利权)人：浙江工业大学，
类型：发明
国别省市：