[發明專利]一種基于殺傷鏈和模糊聚類的APT攻擊場景挖掘方法有效
| 申請號: | 201710941818.7 | 申請日: | 2017-10-11 |
| 公開(公告)號: | CN108076040B | 公開(公告)日: | 2020-07-14 |
| 發明(設計)人: | 劉建毅;霍彥宇;張茹;翁芳雨 | 申請(專利權)人: | 北京郵電大學 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 100876 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 殺傷 模糊 apt 攻擊 場景 挖掘 方法 | ||
1.一種基于殺傷鏈和模糊聚類的APT攻擊場景挖掘方法,其特征在于,包括:
步驟1:收集入侵檢測系統的警報日志,將日志轉換為統一格式的安全日志,至少包含時間戳字段、源IP字段、目的IP字段、攻擊事件字段,形成警報日志集合ALERTS={a1,a2,a3,...an};
步驟2:基于殺傷鏈模型對APT進行階段劃分,依據警報日志中攻擊事件屬性的行為特征對攻擊事件進行分類;
步驟3:將攻擊事件屬性作為模糊聚類的維度之一,基于多維度的模糊聚類方法將IDS警報日志聚為多個類簇,每個類簇表示一個攻擊序列;
步驟4:分析過濾上一步產生的攻擊序列集,將每個攻擊序列轉換為一個有向圖,挖掘各個類簇中不同攻擊事件間的轉移概率矩陣,將矩陣轉換為帶有概率的攻擊場景圖。
2.根據權利要求1所述的一種基于殺傷鏈和模糊聚類的APT攻擊場景挖掘方法,其特征在于,所述步驟2進一步包括:
步驟21:殺傷鏈模型包括“發現-定位-跟蹤-瞄準-攻擊-評估”,基于殺傷鏈將APT攻擊分為信息收集階段、入侵提權階段、潛伏擴展階段、信息竊取階段;
步驟22:分析警報日志集合中所有攻擊事件的行為特征和危害程度將其劃分到四個階段中,形成四類攻擊事件,攻擊事件在四個階段呈現的特點是相對于前一階段,后一階段的攻擊事件會是攻擊者獲得更高的權限。
3.根據權利要求1所述的一種基于殺傷鏈和模糊聚類的APT攻擊場景挖掘方法,其特征在于,所述模糊聚類中的多維度屬性包括攻擊事件、IP地址、時間戳。
4.根據權利要求1所述的一種基于殺傷鏈和模糊聚類的APT攻擊場景挖掘方法,其特征在于,所述步驟3進一步包括:
步驟31:IDS警報日志按照時間戳進行升序排序;
步驟32:定義多個維度的隸屬度函數及兩條警報ai,aj隸屬于一個攻擊序列的總隸屬度函數為其中δk為每個屬性的權重,k表示每個屬性;
步驟33:按時間戳的先后順序從先到后依次分析每條警報日志,計算ai屬于每個已有攻擊序列類簇的隸屬度,如果超過閾值則將ai添加到該類簇,如果對每個類簇的隸屬度都沒有超過閾值,則將ai作為一個新的類簇。
5.根據權利要求4所述的一種基于殺傷鏈和模糊聚類的APT攻擊場景挖掘方法,其特征在于,所述步驟33中計算ai屬于每個已有攻擊序列類簇的隸屬度進一步包括:
步驟331:取出一個類簇,以ASi=a1,a2,a3,...ak表示,首先判斷ai攻擊事件所處階段是否滿足大于等于ASi的階段(ASi中時間戳最晚的警報所處的階段),如果不滿足則隸屬度為0,如果滿足則按照總隸屬度函數計算ai與ASi中a1,a2,a3,...ak的隸屬度,取k個隸屬度中最大值作為ai隸屬于ASi的隸屬度,如果超過閾值則將ai添加到該類簇;
步驟332:依次取出下一類簇,重復步驟331,直到計算完ai與每個類簇的隸屬度,如果計算完后發現ai對每個類簇的隸屬度都沒有超過閾值,則將ai作為一個新的類簇。
6.根據權利要求1所述的一種基于殺傷鏈和模糊聚類的APT攻擊場景挖掘方法,其特征在于,所述步驟4進一步包括:
步驟41:分析每個攻擊序列,刪除不完整且攻擊序列的所有IP不涉及重點資產的攻擊序列,不完整的攻擊序列包括孤立的警報組成的攻擊序列、攻擊序列中最后一條警報的攻擊事件屬于信息收集階段和入侵提權階段的攻擊序列;
步驟42:處理過濾后的每一個攻擊序列,按照發生時間的先后順序依次將一個攻擊序列中每條警報轉換為以攻擊事件為內容的節點,添加一條由前一個節點到后一個節點的有向邊,如果后一警報的攻擊事件相同與前一節點的攻擊事件相同且時間戳接近則合并為一個攻擊事件節點,有向圖可使用矩陣存儲,行對應的元素表示有向邊的弧尾節點,列對應的元素表示有向邊的弧頭節點,有向邊相接的兩個節點對應的位置存儲為1;
步驟43:初始化一個空的攻擊事件轉移矩陣,橫向和縱向表示的是有向圖中的攻擊事件,掃描每個有向圖,如果攻擊事件A和攻擊事件B之間有一個有向邊,則將矩陣中(A,B)位置的值加1,如果發現新的攻擊事件矩陣中沒有,就在在轉移矩陣中為該攻擊事件增加一行和一列,行和列內容是攻擊事件,對應的值初始化為0,再在相應的位置上加1;
步驟44:矩陣中每一位置上的數值轉換為數值占該行所有數之和的比重,掃描概率轉移矩陣,將它表示為帶有概率的攻擊場景圖,節點為矩陣行或列的攻擊事件。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京郵電大學,未經北京郵電大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710941818.7/1.html,轉載請聲明來源鉆瓜專利網。
