本發(fā)明屬于網(wǎng)絡(luò)攻擊檢測(cè)領(lǐng)域，具體涉及一種基于溯源圖行為信息的apt攻擊檢測(cè)方法。

背景技術(shù)：

1、在當(dāng)今數(shù)字化時(shí)代，互聯(lián)網(wǎng)的普及和技術(shù)的進(jìn)步為人們帶來了前所未有的便利，但與此同時(shí)，網(wǎng)絡(luò)攻擊的形式和規(guī)模也不斷演進(jìn)，成為威脅個(gè)人、企業(yè)甚至國(guó)家安全的嚴(yán)重問題。其中apt(advanced?persistent?threat，高級(jí)持續(xù)性威脅)攻擊已成為現(xiàn)代計(jì)算環(huán)境安全面臨的最大威脅之一，“低而慢”的攻擊模式和頻繁使用零日漏洞是其主要特點(diǎn)。

2、apt攻擊往往源自國(guó)家級(jí)或高度組織化的黑客組織，其目標(biāo)通常是國(guó)家重要基礎(chǔ)設(shè)施和組織，例如能源、電力、金融、國(guó)防等管轄到國(guó)計(jì)民生或國(guó)家核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施或相關(guān)領(lǐng)域的大型企業(yè)，對(duì)國(guó)家安全和經(jīng)濟(jì)利益構(gòu)成直接威脅。這些攻擊利用高級(jí)的技術(shù)手段，通過長(zhǎng)時(shí)間的滲透和隱蔽行動(dòng)，試圖獲取關(guān)鍵信息并長(zhǎng)期存在于目標(biāo)系統(tǒng)中。攻擊者通常會(huì)通過利用零日漏洞、社會(huì)工程學(xué)等手段潛入目標(biāo)系統(tǒng)，然后長(zhǎng)期駐留，竊取敏感信息而不被察覺。

3、apt攻擊模式相對(duì)傳統(tǒng)的網(wǎng)絡(luò)攻擊更具有隱秘性和針對(duì)性。

4、傳統(tǒng)的apt攻擊檢測(cè)方法主要依賴靜態(tài)特征匹配，如特定的簽名、模式或規(guī)則，這種方法難以應(yīng)對(duì)apt攻擊的高度變異性和未知性，同時(shí)維護(hù)和更新特征庫(kù)的成本較高。并且傳統(tǒng)方法將審計(jì)日志作為數(shù)據(jù)源，數(shù)據(jù)的基本單位是日志中的條目，它們之間只存在時(shí)間上的先后關(guān)系，無法直接有效地表示系統(tǒng)中實(shí)體的交互關(guān)系，缺乏結(jié)構(gòu)信息,因此對(duì)于apt攻擊的檢測(cè)效果不佳。溯源圖作為一種直觀而高效的信息表達(dá)形式，具有強(qiáng)大的語(yǔ)義表達(dá)能力和攻擊歷史關(guān)聯(lián)能力，在apt檢測(cè)領(lǐng)域具有其獨(dú)特優(yōu)勢(shì)。溯源圖通過表示系統(tǒng)實(shí)體之間的交互關(guān)系來顯示系統(tǒng)執(zhí)行的過程，方便在檢測(cè)過程中進(jìn)行因果關(guān)聯(lián)分析，且溯源圖保存系統(tǒng)所有的執(zhí)行歷史，可以應(yīng)對(duì)apt攻擊持續(xù)時(shí)間長(zhǎng)的特點(diǎn)。

5、基于溯源圖的apt攻擊檢測(cè)方法可以進(jìn)一步分為基于異常、基于規(guī)則和基于標(biāo)記傳播的方法。

6、其中與本發(fā)明最接近的技術(shù)方案是基于異常的檢測(cè)方法。該方法首先部署合適的監(jiān)測(cè)工具，如入侵檢測(cè)系統(tǒng)、流量探針等，以收集網(wǎng)絡(luò)流量和行為數(shù)據(jù)，然后使用收集到的數(shù)據(jù)構(gòu)建溯源圖，表示網(wǎng)絡(luò)中的各個(gè)節(jié)點(diǎn)以及它們之間的互動(dòng)關(guān)系?；跉v史溯源圖數(shù)據(jù)，使用機(jī)器學(xué)習(xí)方法學(xué)習(xí)正常的網(wǎng)絡(luò)行為模型，最后使用這個(gè)模型來檢測(cè)實(shí)時(shí)溯源圖數(shù)據(jù)的偏差，若偏差超過一定閾值則判定為行為異常，可能存在apt攻擊。

7、總之，基于異常的檢測(cè)方法學(xué)習(xí)良性行為的模型，并根據(jù)與模型的偏差檢測(cè)異常，具有適應(yīng)apt新型攻擊特征和變異行為的能力。

8、上述現(xiàn)有技術(shù)的缺點(diǎn)：

9、當(dāng)前技術(shù)面臨的主要問題在于基于溯源圖的apt攻擊檢測(cè)方法主要關(guān)注系統(tǒng)實(shí)體之間的交互關(guān)系，并以此進(jìn)行因果推理。具體而言，溯源圖中主體之間的交互行為被簡(jiǎn)單表示為一條邊。例如，a進(jìn)程訪問b文件在溯源圖中以a指向b的邊的形式呈現(xiàn)。然而，在這個(gè)過程中，關(guān)鍵的行為信息如發(fā)生時(shí)間和具體進(jìn)行方式等，被忽略或丟棄。這種簡(jiǎn)化的表示形式導(dǎo)致行為信息的丟失，降低了檢測(cè)的準(zhǔn)確性并增加了誤報(bào)率。

10、其次，目前的技術(shù)在檢測(cè)粒度方面較為粗糙，主要在圖級(jí)別進(jìn)行檢測(cè)，最多到節(jié)點(diǎn)級(jí)別，使得響應(yīng)速度較慢。具體而言，檢測(cè)的輸出結(jié)果通常是指出哪張圖或者哪個(gè)節(jié)點(diǎn)存在apt攻擊可能。考慮到一張圖可能包含成千上萬(wàn)個(gè)節(jié)點(diǎn)，而一個(gè)節(jié)點(diǎn)可能發(fā)出成千上萬(wàn)個(gè)行為，這種粗糙的檢測(cè)粒度使得即使檢測(cè)結(jié)果正確，返回給安全分析員的信息也難以迅速準(zhǔn)確地定位到攻擊的具體活動(dòng)步驟，這使得攻擊從被發(fā)現(xiàn)到響應(yīng)的時(shí)間較長(zhǎng)。

11、最后，目前的技術(shù)對(duì)于檢測(cè)結(jié)果的可解釋性較差。這主要是由于在檢測(cè)流程中表示實(shí)體或行為時(shí)采用了高度抽象的特征，檢測(cè)結(jié)果通常僅表現(xiàn)為是否存在apt攻擊，增加了安全分析員理解判定原因的難度。

12、傳統(tǒng)apt攻擊檢測(cè)方法往往依賴靜態(tài)特征匹配，特征庫(kù)的維護(hù)成本和更新成本都較高，且難以檢測(cè)到未知威脅。而現(xiàn)有的基于溯源圖的apt攻擊檢測(cè)方法無法利用實(shí)體間交互行為的信息，在檢測(cè)準(zhǔn)確度、檢測(cè)效率、可解釋性方面表現(xiàn)不佳。

技術(shù)實(shí)現(xiàn)思路

1、為解決現(xiàn)有技術(shù)中存在的技術(shù)問題，本發(fā)明提供了一種基于溯源圖行為信息的apt攻擊檢測(cè)方法。

2、本發(fā)明技術(shù)方案：

3、一種基于溯源圖行為信息的apt攻擊檢測(cè)方法，分為四個(gè)步驟，如下：

4、步驟1、數(shù)據(jù)預(yù)處理

5、步驟1.1、數(shù)據(jù)清洗

6、識(shí)別出日志中的實(shí)體和事件，按照統(tǒng)一的標(biāo)識(shí)符記錄；將所有信息字段標(biāo)準(zhǔn)化，如統(tǒng)一時(shí)間戳格式、ip地址表示方式等，確保所有數(shù)據(jù)具備可比性；

7、步驟1.2、生成溯源圖

8、通過將輸入數(shù)據(jù)進(jìn)行圖結(jié)構(gòu)化，呈現(xiàn)系統(tǒng)行為的關(guān)聯(lián)性。

9、步驟2、子圖生成

10、為了在實(shí)際運(yùn)用過程中的空間開銷可控，將原溯源圖劃分成若干個(gè)大小可控的子圖用于后續(xù)步驟；按照時(shí)間順序依次檢索完整溯源圖的每個(gè)事件，若被檢索事件的主體和客體未添加到系統(tǒng)內(nèi)存的緩存圖中，則將其作為新的節(jié)點(diǎn)添加到緩存圖中，并在這對(duì)新節(jié)點(diǎn)之間添加一條邊，同時(shí)將行為的時(shí)間戳分配給這些新節(jié)點(diǎn)。若被檢索事件的主體和客體已經(jīng)存在于緩存圖中，則只更新它們的時(shí)間戳，確保時(shí)間戳與最新的行為時(shí)間保持一致。

11、步驟3、行為特征提取

12、生成子圖后，對(duì)每一張子圖進(jìn)行特征提取，包括節(jié)點(diǎn)特征提取和邊特征提取。

13、步驟4、分類模型設(shè)計(jì)、訓(xùn)練、異常檢測(cè)

14、在步驟3輸出的帶有節(jié)點(diǎn)特征和邊特征的子圖后，用于分類模型的訓(xùn)練和測(cè)試；在異常檢測(cè)階段，利用訓(xùn)練好的模型依次分類每一條邊的類型，當(dāng)某一條邊無法被現(xiàn)有任何一個(gè)子模型正確分類時(shí)，判定其為異常，并輸出它的行為結(jié)構(gòu)圖(bsg)。

15、有益效果

16、本發(fā)明在溯源圖的建模中引入了行為屬性及其結(jié)構(gòu)信息，超越了傳統(tǒng)關(guān)注實(shí)體交互關(guān)系的范疇。除了捕捉實(shí)體之間的基本互動(dòng)關(guān)系，本發(fā)明還考慮了行為屬性，即行為發(fā)生的時(shí)間、方式等關(guān)鍵特征。更進(jìn)一步，本發(fā)明將行為屬性之間的關(guān)系納入考慮，構(gòu)建了行為結(jié)構(gòu)信息。通過考察不同行為屬性之間的關(guān)聯(lián)，本發(fā)明增加了對(duì)行為內(nèi)部結(jié)構(gòu)的理解，提高了信息的密度。這種信息的引入增加了溯源圖的層次，也為每個(gè)行為實(shí)體注入了更為詳細(xì)的上下文背景。這個(gè)豐富而結(jié)構(gòu)化的信息層次為后續(xù)的apt攻擊檢測(cè)和分析提供了更為嚴(yán)密和細(xì)致的基礎(chǔ)。

17、通過引入池化方法和圖表征學(xué)習(xí)，提高了模型的表達(dá)能力，使其更有效地捕捉行為結(jié)構(gòu)中的重要信息，在初始結(jié)構(gòu)信息的基礎(chǔ)上不斷優(yōu)化。

18、本發(fā)明創(chuàng)新性地采用了隨機(jī)方法，具體是采用er隨機(jī)圖模型來進(jìn)行行為結(jié)構(gòu)信息的初始化。確保初始行為結(jié)構(gòu)圖(bsg)是一個(gè)連通圖這一點(diǎn)保證了每個(gè)行為屬性都有潛在的關(guān)聯(lián)路徑，避免了在初始階段就過早地將某些屬性關(guān)聯(lián)排除在分析之外。

19、本發(fā)明引入了更為細(xì)致和全面的行為屬性及其結(jié)構(gòu)信息。這些行為屬性在模型中形成了多層次、多維度的信息結(jié)構(gòu)，使得溯源圖的信息層次為豐富和多樣。模型在學(xué)習(xí)過程中能夠更細(xì)致地辨別正常行為和apt攻擊行為的特征，提高了整體的判定準(zhǔn)確度。

20、本發(fā)明無需遍歷整張圖，而是能夠迅速定位到apt攻擊行為所在的具體邊，這種精準(zhǔn)的攻擊定位縮短了檢測(cè)到響應(yīng)的時(shí)間，能夠定位攻擊行為發(fā)生的具體位置和時(shí)刻，提高了系統(tǒng)對(duì)威脅的實(shí)時(shí)感知能力。

21、本發(fā)明檢測(cè)到apt攻擊時(shí)，不僅僅輸出檢測(cè)到apt攻擊行為的結(jié)果，還會(huì)輸出與apt攻擊相關(guān)的關(guān)鍵屬性以及之間的關(guān)系，然后解釋這種判定這種apt攻擊行為的關(guān)鍵行為信息，使得判定標(biāo)準(zhǔn)更容易理解。還可以將apt攻擊行為屬性和它們之間的關(guān)系以圖形形式展示，使得安全分析員能夠通過可視化的方式更直觀地理解異常行為。通過清晰地呈現(xiàn)這些關(guān)鍵屬性，系統(tǒng)為安全分析員提供了更為細(xì)致的apt攻擊活動(dòng)描述，使得結(jié)果更具可解釋性。