【技术实现步骤摘要】
本专利技术涉及的是网络技术与安全领域,具体涉及一种自适应的网络攻击行为阶段识别方法。
技术介绍
1、一次完整的网络攻击行为往往需要多步骤多环节共同组成。常见的安全监控和分析工具仅针对单次、或短时间内行为进行检测,推断行为目的,从而使评估结果有了偏差。特别是对于逐年增长的apt类长期攻击行为,因为其动作隐秘、时间跨度长,经常因为无法识别其所处攻击阶段而误判了危害性,带来损失。所以亟需一种便捷的攻击阶段识别方法,开发一种基于时间和行为方向的网络攻击行为阶段识别方法尤为必要。
技术实现思路
1、针对现有技术上存在的不足,本专利技术目的是在于提供一种自适应的网络攻击行为阶段识别方法,能够准确发现当前攻击者的行动阶段,确认危害等级,帮助溯源完整攻击链路,准确性高,易于推广使用。
2、为了实现上述目的,本专利技术是通过如下的技术方案来实现:一种自适应的网络攻击行为阶段识别方法,其步骤为:
3、(1)时间分割:通过对目标数据进行整理,识别数据分布的时间疏密特征,找到一个时间间隔的阈值,超过该阈值的间隔处,就是需要进行分割的时间点,对数据进行时间块分割;
4、(2)阶段识别:针对每一个时间块,根据其中日志数据的方向特征,判断其所处的攻击阶段;
5、(3)汇总整理:根据前两步的分析结果,对相邻的相似阶段进行合并统一优化,得到最终结果,完成阶段识别工作。
6、作为优选,所述的时间分割的具体步骤为:
7、①日志排序:对分析范围内全量
8、②时间差计算:针对时间列表tn,相邻两节点之间进行差值计算,形成新时间差列表t′n(其中t′i=ti+1-ti),则nt′=nt-1;
9、③异常值计算:对t′n按照时间差大小进行增序排序;排序完成后,选取四分之一位置节点作为下四分之一节点q1,即q1=t′x,其中x=nt′÷4+1;选取四分之三位置处节点作为上四分之一节点q3,即q3=t′y,其中y=nt′×3÷4+1,由此可得上边界值为max=(q3-q1)×1.5+q3,t′中所有大于上边界max的节点都属于较大时间间隔,即应进行阶段切分的位置;
10、④日志分割:对t′n中节点逐一与max进行比较,找出全部切分点集合sn,其中ns≤nt′,即若t′i≥max,则ti与ti+1处进行一次切分,i∈sn;依据sn,对日志数据lm进行分割,形成日志分组集合l′m,其中每一个元素代表一个日志子集,即且其中i,j∈ml',同时l'1∪l'2∪…∪l'm=l。
11、作为优选,所述的阶段识别的具体步骤为:针对列表lm,对其每个元素中包含日志进行源、目的地址的统计,然后比对,确定该元素所处的攻击阶段,若符合列表中的多个阶段,则选取序号最大的阶段为准。
12、作为优选,所述的汇总整理的具体步骤为:
13、①合并:对l′相邻节点阶段进行检测,发现阶段相同的,进行节点合并;
14、②优化:对各阶段前后关系进行优化,确认各阶段顺序正确,若存在后续阶段先于前序阶段出现,则更改其阶段标注,然后重复操作,直到全部顺序正确,最终得到阶段识别结果l″。
15、本专利技术的有益效果:本方法利用攻击行为的时间密度进行行为切分,然后依托网络攻击杀伤链模型中各阶段的行为方向特征,对各行为块进行阶段推测;完成初步推测后,再对相邻的相同行为阶段进行合并和逻辑梳理,最终完成整体的阶段识别工作,能够准确发现当前攻击者的行动阶段,确认危害等级,帮助溯源完整攻击链路,准确性高,应用前景广阔。
本文档来自技高网...【技术保护点】
1.一种自适应的网络攻击行为阶段识别方法,其特征在于,其步骤为:
2.根据权利要求1所述的一种自适应的网络攻击行为阶段识别方法,其特征在于,所述的时间分割的具体步骤为:
3.根据权利要求1所述的一种自适应的网络攻击行为阶段识别方法,其特征在于,所述的阶段识别的具体步骤为:针对列表Lm,对其每个元素中包含日志进行源、目的地址的统计,然后比对,确定该元素所处的攻击阶段,若符合列表中的多个阶段,则选取序号最大的阶段为准。
4.根据权利要求1所述的一种自适应的网络攻击行为阶段识别方法,其特征在于,所述的汇总整理的具体步骤为:
【技术特征摘要】
1.一种自适应的网络攻击行为阶段识别方法,其特征在于,其步骤为:
2.根据权利要求1所述的一种自适应的网络攻击行为阶段识别方法,其特征在于,所述的时间分割的具体步骤为:
3.根据权利要求1所述的一种自适应的网络攻击行为阶段识别方法,其特征在于,所述的阶段识...
【专利技术属性】
技术研发人员:孟熹,刘剑群,吴朝亮,刘鑫,刘奇,
申请(专利权)人:天翼电子商务有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。