一種基于大數(shù)據(jù)行為序列分析的apt攻擊檢測方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)威脅檢測技術(shù)領(lǐng)域����,尤其涉及一種基于大數(shù)據(jù)行為序列分析的APT (Advanced Persistent Threat,高級持續(xù)性滲透)攻擊檢測方法��。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展�����,網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大�����,信息服務(wù)也廣泛普及���,無論是民用還是軍用的很多關(guān)鍵業(yè)務(wù)都依賴于網(wǎng)絡(luò),導(dǎo)致網(wǎng)絡(luò)攻擊越來越頻繁���,使得信息安全形勢日趨嚴(yán)重���。尤其是近年來針對特定目標(biāo)進(jìn)行的高級持續(xù)性滲透攻擊(簡稱APT攻擊,AdvancedPersistent Threat)更是對網(wǎng)絡(luò)安全造成了巨大的威脅�。極光攻擊����、震網(wǎng)病毒�����、火焰病毒���、暗鼠行動(dòng)等都是APT攻擊的典型案例���。而隨著智能終端的不斷普及,APT攻擊的威脅更是從傳統(tǒng)網(wǎng)絡(luò)擴(kuò)展到移動(dòng)互聯(lián)網(wǎng)領(lǐng)域�����。
[0003]APT攻擊具有持續(xù)時(shí)間長�、攻擊特征難以提取、單點(diǎn)隱蔽性強(qiáng)以及攻擊渠道多樣化的特點(diǎn)�,防范難度很大。目前針對APT攻擊的防范措施大多針對網(wǎng)絡(luò)層的威脅�,而APT攻擊范圍包括物理層、鏈路層及應(yīng)用層等整個(gè)信息系統(tǒng)�,現(xiàn)有的防范措施只是簡單的提升防護(hù)壁皇,僅僅提高了攻擊者的成本����,無法實(shí)現(xiàn)對APT攻擊的全面感知�����。
[0004]對于APT攻擊的威脅����,目前的主流解決方法是基于異常的流量檢測技術(shù)��,它通過建立流量行為輪廓和學(xué)習(xí)模型來識(shí)別流量異常���,進(jìn)而檢測APT攻擊威脅��。本質(zhì)上����,它通過流量建模檢測威脅�����,是一種基于統(tǒng)計(jì)學(xué)和機(jī)器學(xué)習(xí)的技術(shù)����。如專利號(hào)為CN103916406A公開的“一種基于DNS日志分析的APT攻擊檢測系統(tǒng)與方法”,該方法是一種輕量級的攻擊檢測方式��,僅根據(jù)DNS查詢?nèi)罩具M(jìn)行模式匹配來檢測威脅�����,準(zhǔn)確率較低���,對于APT攻擊檢測的準(zhǔn)確率不高����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供了一種基于大數(shù)據(jù)行為序列分析的APT攻擊檢測方法�,能夠提高檢測威脅的準(zhǔn)確率,進(jìn)而構(gòu)建了安全高效的網(wǎng)絡(luò)主動(dòng)防御體系�,可以有效克服APT攻擊對網(wǎng)絡(luò)安全造成的威脅。
[0006]本發(fā)明提供了一種基于大數(shù)據(jù)行為序列分析的APT攻擊檢測方法�����,包括:
[0007]探測用戶的操作行為�,構(gòu)建用戶操作行為序列庫;
[0008]去除所述用戶操作行為序列庫中的冗余行為序列���,優(yōu)化所述用戶操作行為序列庫�;
[0009]基于大數(shù)據(jù)方法提取用戶操作行為序列;
[0010]將提取的所述用戶操作行為序列與所述用戶操作行為序列庫中的行為序列進(jìn)行匹配分析�����,輸出匹配結(jié)果�����;
[0011]分析所述匹配結(jié)果�,輸出威脅行為。
[0012]優(yōu)選地�,所述探測用戶的操作行為,構(gòu)建用戶操作行為序列庫包括:
[0013]探測用戶的操作行為�����,所述操作行為為正常行為��;
[0014]利用串表壓縮算法提取所述操作行為中的序列模式�����;
[0015]判斷所述序列模式是否存在于行為列表中���,若否����,則將所述序列模式記錄在所述行為列表中�����,并將所述序列模式的出現(xiàn)次數(shù)設(shè)為1 ;若是���,則將所述序列模式的累計(jì)出現(xiàn)次數(shù)加1 ;
[0016]判斷所述序列模式的累計(jì)次數(shù)是否大于等于預(yù)設(shè)閾值�����,若是���,則將所述用戶的操作行為作為有效行為加入用戶操作行為序列庫。
[0017]優(yōu)選地��,所述去除所述用戶操作行為序列庫中的冗余行為序列�����,優(yōu)化所述用戶操作行為序列庫包括:
[0018]計(jì)算用戶操作行為序列庫D中的任一序列����?1與用戶操作行為序列庫D中其余序列的編輯距離�����,將編輯距離為1的所有序列構(gòu)成候選子集合Si����,其中���,所述編輯距離為兩個(gè)序列之間�����,由一個(gè)序列轉(zhuǎn)成另一個(gè)序列所需的最少編輯操作次數(shù)��;
[0019]在所述候選子集合Si中提取出權(quán)值與序列長度之積最大的序列模式�����,并去除其余序列�����;
[0020]重復(fù)上述過程����,提取出出現(xiàn)頻次最高且長度最大的序列,構(gòu)成優(yōu)化后的用戶操作行為序列庫�����。
[0021]優(yōu)選地����,所述基于大數(shù)據(jù)方法提取用戶操作行為序列包括:
[0022]通過Map模塊得到的中間結(jié)果(key�����,Values)�����,所述key值是用戶ID����,Values值是行為序列和出現(xiàn)頻次的組合(操作行為,出現(xiàn)頻次)�;
[0023]將所述中間結(jié)果(key,Values)輸入Reduce模塊����,所述Reduce模塊計(jì)算出一個(gè)特定用戶所有行為序列之間的編輯距離�;
[0024]得到用戶ID所對應(yīng)的長度最長且出現(xiàn)頻次最高的操作行為序列��。
[0025]由上述方案可知�����,本發(fā)明提供的一種基于大數(shù)據(jù)行為序列分析的APT攻擊檢測方法�,通過探測用戶的操作行為,構(gòu)建用戶操作行為序列庫�����,去除用戶操作行為序列庫中的冗余行為序列����,對用戶操作行為序列庫進(jìn)行優(yōu)化,然后再基于大數(shù)據(jù)方法提取用戶操作行為序列��,將提取的用戶操作行為序列與構(gòu)建的用戶操作行為序列庫中的行為序列進(jìn)行匹配分析��,當(dāng)用戶操作行為序列與用戶操作行為序列庫中定義的行為相符合時(shí)�����,則判斷該用戶行為是正常行為,反之�,則判斷該用戶行為為非正常行為,將作為威脅行為輸出��。提高檢測威脅的準(zhǔn)確率�����,進(jìn)而構(gòu)建了安全高效的網(wǎng)絡(luò)主動(dòng)防御體系����,有效克服APT攻擊對網(wǎng)絡(luò)安全造成的威脅�。
【附圖說明】
[0026]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹����,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例�,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下����,還可以根據(jù)這些附圖獲得其他的附圖。
[0027]圖1為本發(fā)明實(shí)施例公開的一種基于大數(shù)據(jù)行為序列分析的APT攻擊檢測方法的流程圖�;
[0028]圖2為本發(fā)明實(shí)施例公開的一種構(gòu)建用戶操作行為序列庫的流程圖��;
[0029]圖3為本發(fā)明實(shí)施例公開的一種優(yōu)化用戶操作行為序列庫的流程圖��;
[0030]圖4為本發(fā)明實(shí)施例公開的一種優(yōu)化用戶操作行為序列庫的示例圖���;
[0031]圖5為本發(fā)明實(shí)施例公開的一種提取用戶操作行為序列的流程圖;
[0032]圖6為本發(fā)明實(shí)施例公開的一種提取用戶操作行為序列的示例圖����。
【具體實(shí)施方式】
[0033]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完整地描述��,顯然��,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例��?���;诒景l(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍�。
[0034]如圖1所示�,為本發(fā)明公開的一種基于大數(shù)據(jù)行為序列分析的APT攻擊檢測方法,包括以下步驟:
[0035]S101���、探測用戶的操作行為�����,構(gòu)建用戶操作行為序列庫;
[0036]當(dāng)需要對用戶的操作行為進(jìn)行網(wǎng)絡(luò)威脅檢測時(shí)����,首先,探測用戶的操作行為��,其中�����,所探測的用戶的操作行為均為正常的行為�,即不存在異常行為�����,通過探測到的用戶的操作行為構(gòu)建用戶操作行為序列庫��,即構(gòu)建用戶操作行為的標(biāo)準(zhǔn)序列庫���。
[0037]S102、去除所述用戶操作行為序列庫中的冗余行為序列�����,優(yōu)化所述用戶操作行為序列庫�;
[0038]由于用戶的重復(fù)操作行為以及不同用戶相同的操作行為,構(gòu)建好的序列庫還需進(jìn)一步壓縮��,去除其中的冗余序列信息�����,使序列庫得到優(yōu)化���。
[0039]S103����、基于大數(shù)據(jù)方法提取用戶操作行為序列;
[0040]然后��,實(shí)時(shí)提取用戶產(chǎn)生的操作行為序列���。
[0041]S104�����、將提取的用戶操作行為序列與優(yōu)化后的所述用戶操作行為序列庫中的行為序列進(jìn)行匹配分析�,輸出匹配結(jié)果��;
[0042]將實(shí)時(shí)提取到的用戶操作行為序列與優(yōu)化后的用戶操作行為序列庫中的行為序列進(jìn)行匹配分析�,即判斷實(shí)時(shí)提取到的用戶操作行為序列是否與優(yōu)化后的用戶操作行為序列庫中的行為序列相匹配。
[0043]S105�����、分析所述匹配結(jié)果�,輸出威脅行為�����。
[0044]當(dāng)判斷提取到的用戶操作行為序列與用戶操作行為序列庫中的行為序列相匹配時(shí),則判定該用戶的操作行為為正常行為����,當(dāng)判斷提取到的用戶操作行為序列與用戶操作行為序列庫中的行為序列不相匹配時(shí),則判斷該用戶的操作行為為非正常行為���,將該用戶的操作行為作為威脅行為輸出���。
[0045]具體的,如圖2所示��,