【技术实现步骤摘要】
本专利技术涉及网络安全领域,尤其涉及一种基于网络流量的apt攻击检测与路径重构方法。
技术介绍
1、在大型企业网络中,使用传统的网络入侵检测系统(nids)检测高级持续威胁(apt)具有挑战性,原因在于apt攻击的隐蔽性、多阶段性和长时间运行性质。现有的apt攻击检测方法一部分使用主机数据溯源图来对apt攻击路径进行挖掘(如rapsheet系统、holmes系统等),另一部分则利用深度学习方法检测异常。前者的缺陷在于部署难度较高,且系统数据溯源图的存储、运行开销较大。后者的缺陷则在于仅仅能够检测异常,但不能够对apt攻击场景做出解释,不利于安全分析人员进行后续的安全分析。
2、因此,本领域的技术人员致力于开发一种基于网络流量的apt攻击检测与路径重构方法。在本专利技术中,为每个apt阶段构建了特定的检测模型,通过提取特定的流量特征,如周期性连接和失败的连接,以识别流量中的异常,并定位大型企业网络中的异常节点。然后将这些异常相关联以重构攻击路径。系统利用这些路径根据相关异常匹配已知的apt进展来分配威胁分数,有效地优先考虑可疑路径。
技术实现思路
1、有鉴于现有技术的上述缺陷,本专利技术所要解决的技术问题是减小安全检测的部署难度和运行开销,降低安全分析人员的工作量,对安全威胁做出及时响应。
2、为实现上述目的,本专利技术提供了一种基于网络流量的apt攻击检测与路径重构方法,包括以下步骤:
3、步骤1、网络节点历史行为分析;
4、步骤2、
5、步骤3、攻击路径重构,根据不同阶段的异常节点之间的因果关联将异常节点重构为异常路径,再根据具体的异常类别为路径计算威胁评分,判断apt攻击路径。
6、进一步地,所述异常节点之间的因果关联为流量图上是否存在可达路径。
7、进一步地,所述步骤1通过提取统计特征,刻画节点的历史行为。
8、进一步地,所述步骤1包括节点连接特征提取和内网节点聚类。
9、进一步地,所述节点连接特征包括总上/下行流量、访问的域名数量、连接数量、单向连接数量、上下行流量差异巨大的连接数量。
10、进一步地,所述内网节点聚类使用min-max进行特征归一化,使用谱聚类算法对节点进行聚类。
11、进一步地,所述阶段检测模型包括钓鱼邮件检测模型、c2通信检测模型、横向移动检测模型和数据泄露检测模型。
12、进一步地,所述步骤3包括以下步骤:
13、步骤3.1、阶段间行为分析,识别贯穿于apt攻击各个阶段的异常行为;
14、步骤3.2、威胁评分。
15、进一步地,所述步骤3,总结apt攻击在网络流量层面的不同攻击阶段的共性行为,结合阶段检测模型的结果制定检测规则集。
16、进一步地,所述步骤3通过时序深度优先搜索算法实现可达路径的判定。
17、在本专利技术的较佳实施方式中,针对现有的入侵检测仅仅停留在异常检测,不能将异常进行关联,重构apt攻击路径。本专利技术提出基于因果关联和威胁评分的apt攻击路径重构方法。首先,本专利技术使用阶段检测模型分别检测apt攻击不同阶段的特征,得到各个apt阶段的异常节点集合。其次,根据不同阶段的异常节点之间的因果关联(即流量图上是否存在可达路径)来将异常节点重构为异常路径。最后,根据具体的异常类别为路径计算威胁评分,评分靠前的路径更可能是真实的apt攻击路径。
18、现有方法不能充分地利用历史信息对当前的异常行为进行挖掘。本专利技术提出了网络节点历史行为分析方法。通过提取多种统计特征,刻画节点的历史行为,从而对挖掘节点的异常行为提供帮助。本专利技术对内网节点提取多维度的统计特征,并进行内网节点聚类。本专利技术将聚类结果中小类中的节点进行标记,被标记的节点在当天有很高的可能性存在异常行为。
19、本专利技术与现有技术相比较,具有如下显而易见的实质性特点和显著优点:
20、1.本专利技术提出了一种apt攻击路径重构和评分算法,能够在检测异常的基础上将异常节点和网络流量进行因果关联。一方面,重构的攻击路径为apt攻击的攻击流程提供了完整的视图,另一方面,路径评分算法确保了实际的apt攻击路径的得分排名靠前,降低了包含大量虚假警报的路径的干扰。以上两方面的优势大大降低了安全分析人员的工作量,有利于对安全威胁做出及时响应。
21、2.本专利技术提出了网络节点历史行为分析方法。在现有apt检测方法的基础之上,本专利技术引入了更加丰富的信息,有助于异常行为的挖掘。
22、以下将结合附图对本专利技术的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本专利技术的目的、特征和效果。
本文档来自技高网...【技术保护点】
1.一种基于网络流量的APT攻击检测与路径重构方法,其特征在于,包括以下步骤:
2.如权利要求1所述的基于网络流量的APT攻击检测与路径重构方法,其特征在于,所述异常节点之间的因果关联为流量图上是否存在可达路径。
3.如权利要求1所述的基于网络流量的APT攻击检测与路径重构方法,其特征在于,所述步骤1通过提取统计特征,刻画节点的历史行为。
4.如权利要求1所述的基于网络流量的APT攻击检测与路径重构方法,其特征在于,所述步骤1包括节点连接特征提取和内网节点聚类。
5.如权利要求4所述的基于网络流量的APT攻击检测与路径重构方法,其特征在于,所述节点连接特征包括总上/下行流量、访问的域名数量、连接数量、单向连接数量、上下行流量差异巨大的连接数量。
6.如权利要求4所述的基于网络流量的APT攻击检测与路径重构方法,其特征在于,所述内网节点聚类使用min-max进行特征归一化,使用谱聚类算法对节点进行聚类。
7.如权利要求1所述的基于网络流量的APT攻击检测与路径重构方法,其特征在于,所述阶段检测模型包括钓鱼邮件检
8.如权利要求1所述的基于网络流量的APT攻击检测与路径重构方法,其特征在于,所述步骤3包括以下步骤:
9.如权利要求1所述的基于网络流量的APT攻击检测与路径重构方法,其特征在于,所述步骤3,总结APT攻击在网络流量层面的不同攻击阶段的共性行为,结合阶段检测模型的结果制定检测规则集。
10.如权利要求1所述的基于网络流量的APT攻击检测与路径重构方法,其特征在于,所述步骤3通过时序深度优先搜索算法实现可达路径的判定。
...【技术特征摘要】
1.一种基于网络流量的apt攻击检测与路径重构方法,其特征在于,包括以下步骤:
2.如权利要求1所述的基于网络流量的apt攻击检测与路径重构方法,其特征在于,所述异常节点之间的因果关联为流量图上是否存在可达路径。
3.如权利要求1所述的基于网络流量的apt攻击检测与路径重构方法,其特征在于,所述步骤1通过提取统计特征,刻画节点的历史行为。
4.如权利要求1所述的基于网络流量的apt攻击检测与路径重构方法,其特征在于,所述步骤1包括节点连接特征提取和内网节点聚类。
5.如权利要求4所述的基于网络流量的apt攻击检测与路径重构方法,其特征在于,所述节点连接特征包括总上/下行流量、访问的域名数量、连接数量、单向连接数量、上下行流量差异巨大的连接数量。
6.如权利要求4所述的基于网络流量的apt攻...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。