基于多源日志的多步可持续性攻击检测方法技术

本发明专利技术提出了一种基于多源日志的多步可持续性攻击检测方法，主要解决现有恶意多步可持续性攻击行为预测准确率不佳的问题。包括：1)收集系统日志、应用日志、网络日志等多源日志进行评分和聚类；2)对日志进行三维张量建模，利用张量分解进行日志数据的逐层分解提取事件；3)根据事件关系构造事件溯源图并提取事件路径；4)对事件的因果关系进行建模；5)利用泊松

【技术实现步骤摘要】
基于多源日志的多步可持续性攻击检测方法


[0001]本专利技术属于信息安全
，进一步涉及攻击预测方法，具体为一种基于多源日志的多步可持续性攻击检测方法，可用于在日常活动中预测恶意多步可持续性攻击行为。

技术介绍

[0002]多步可持续性攻击是指由一个组织对特定目标长期发起的一种有针对性的网络攻击。多步可持续性攻击的特点是高度复杂和隐蔽，以及持续时间长和潜在的重大破坏。由于多步可持续性攻击的复杂性和长期行为，传统的威胁检测系统往往不足以对多步可持续性攻击进行建模和检测。传统的网络预测方法和攻击检测系统不适合对长期运行的多步可持续性攻击行为进行建模，面对零日漏洞等高级攻击行为预测效果不好。并且现有的方案大多基于现成的事件流图，但是面对多源的原生日志时无法适用。因此，能利用多源复杂日志进行多步可持续性攻击长期行为建模的技术成为国内外学者研究的热点。
[0003]目前针对多步可持续性攻击进行预测和主动防御的框架大致分为三个主要步骤。首先是构造多步可持续性攻击事件溯源图，通过多步可持续性攻击行为报告、系统日志、网络日志等信息构造多步可持续性本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于多源日志的多步可持续性攻击检测方法，其特征在于，包括如下步骤：(1)收集系统日志、应用日志和网络日志，并利用正则匹配方式进行解析，将日志语句解析为相应的结构化实体，得到结构化日志；(2)从结构化日志中提取日志模板，实现如下：(2.1)首先进行单词评分，假设每个日志条目中的单词被空格分隔开，利用空格进行切词，并在切词过程中记录单词的位置p和日志消息的长度len；设定评分规则为：如果一个单词出现在长度为len的日志消息的第p个位置上，那么这个单词的分数score可以依据下式计算：Score(word,p,len)＝p(word|p,len)；(2.2)将每条消息中的所有单词划分为模板词和参数词，所述模板词是在相同位置出现的具有相同长度的日志条目；根据(2.1)得到的评分对单词进行分类，使用基于密度的空间聚类DBSCAN方式进行聚类，使簇之间的距离大于距离阈值δ，然后通过选择最高分的簇，使单词的数量大于β
×
Len，其中β为参数字数阈值，且0<β<1，得到日志模板；(3)将网络日志数据视为秩3张量，即日志模板、事件和时间窗口，提取日志数据中同时出现的模板组和主机关系，实现如下；(3.1)对每个时间窗口的日志数据进行逐层分解，步骤如下：(3.1.1)定义一个大小为I
×
L的日志模板矩阵V，若模板i属于模板组l，则日志模板矩阵的模板分量v
il
＞0，若模板i不属于模板组l，则等于v
il
＝0；(3.1.2)用秩3的张量Z表示一个事件张量，每个H
×
L的矩阵是一个事件切片，在每个事件切片中，若主机h上的模板组l属于第k个事件，则该事件对应的事件分量z
lkh
＞0；反之，z
lkh
＝0；(3.1.3)令W表示时间窗口权重矩阵，将第k个事件发生在第j个时间窗口的权重分量表示为w
kj
，完成对日志张量的逐层分解，得到日志模板、事件与时间窗口权重的分量；(3.2)将分解问题表示为用KL散度与损失函数定义的最小化问题，根据乘法更新规则迭代计算日志张量的分量，提取出其中的事件；(4)将当前日志对应的事件中每一个内部节点表示为一个流程创建事件，内部节点的子节点表示为进程与系统资源交互的事件，通过事件连接构成事件溯源图；(5)根据事件溯源图，采取深度遍历的方式提取事件路径并存储；(6)利用提取的事件路径，对事件的因果关系进行建模，构造因果关系矩阵：(6.1)定义如下四个维度的关系：维度1：父事件与子事件的时间戳差值；维度2：父事件的进程号、父事件的父进程号、父事件的主机号和父进程的进程名；维度3：父事件的IP和端口；维度4：父事件的类型；(6.2)对步骤(5)中提取到的每一条事件路径，分别提取步骤(6.1)定义的四个维度的关系，构造对应的因果关系矩阵；所述矩阵的每个事件对应于因果关系的一维行向量，矩阵的大小为L
×
8，其中L表示路径长度；(7)对事件的邻域关系进行建模，构造邻域关系矩阵：(7.1)用邻域矩阵的前N列代表过去与现在的偏差，N的数量为事件类型的数量，获取事
件的偏差向量D＝{D1,D2,...,D
N
}；(7.2)使用泊松
‑
伽马混合分布预测事件的未来邻域关系，计算得到各个类型的事件在单位时间后出现的概率，使用向量P存储概率，P＝{P1,P2,...,P
N
}；(7.3)连接向量D和P构成领域矩阵，该矩阵的每个事件对应于邻域关系的一维行向量，矩阵的大小为L
×
16；(8)对事件的阶段关系进行建模，构造阶段关系矩阵：(8.1)以用户资料、用户在节点上发生的事件、用户位于的攻击阶段、用户所处的攻击节点四类变量为输入变量，定义如下四种因子函数，并捕获这些输入变量之间的关系：第一种：t时刻的多步可持续性攻击的攻击阶段s
t
与用户在当前信息的事件e
t
之间的关系f
e
(e
t
,s
t
)；如果事件e
t
发生，则认为多步可持续性攻击目前存在于s
t
这个阶段；第二种：t时刻的多步可持续性攻击的攻击阶段s
t
与当前发生的事件e
t
、t
‑
1时刻的攻击阶段s
t
‑1、攻击事件e
t
‑1三者的关系f
s
(e
t
‑1,s
t
‑1,e
t
,s
t
)；如果事件e
t
发生，并且t
‑
1时刻发生了攻击事件e
t
‑1，且t
‑
1时刻位于s
t
‑1阶段，则认为多步可持续性攻击目前存在于s
t
这个阶段；第三种：t时刻的多步可持续性攻击的攻击阶段s
t
与用户属性U、当前发生的事件e
t<...

【专利技术属性】
技术研发人员：李腾，朱雄杰，唐智亮，彭春蕾，李德彪，马卓，
申请(专利权)人：西安联飞智能装备研究院有限责任公司，
类型：发明
国别省市：