本發(fā)明公開一種基于殺傷鏈和模糊聚類的APT攻擊場景挖掘方法，可用于挖掘入侵檢測系統(tǒng)(IDS)日志中APT攻擊場景。包括：入侵檢測系統(tǒng)警報收集歸一化；基于殺傷鏈模型分析警報日志中攻擊事件的行為特征，對攻擊事件進行分類；對警報日志進行模糊聚類形成攻擊序列集合；分析攻擊序列集，刪除不完整的序列，將每個攻擊序列轉(zhuǎn)換為有向圖，挖掘不同攻擊事件間的轉(zhuǎn)移概率矩陣，進而轉(zhuǎn)換為帶有概率的APT攻擊場景圖。本發(fā)明通過挖掘真實報警中的APT攻擊圖，為APT的檢測和防御提供了理論依據(jù)。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全檢測技術(shù)領(lǐng)域，特別是適用于挖掘入侵檢測系統(tǒng)警報日志的一種基于殺傷鏈和模糊聚類的APT攻擊場景方法。

背景技術(shù)

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全狀況日趨嚴(yán)峻，網(wǎng)絡(luò)中攻擊方式越來越復(fù)雜，APT攻擊越來越盛行，因此對APT的研究成為熱點。

APT攻擊與傳統(tǒng)的攻擊不同，它們不是用來中斷服務(wù)，而是用來竊取知識產(chǎn)權(quán)、敏感數(shù)據(jù)的。它具有階段性、持續(xù)時間長、攻擊渠道不確定等特點。入侵檢測系統(tǒng)(IntrusionDetection System，簡稱IDS)不能檢測出APT攻擊，只會對攻擊中的某一步產(chǎn)生報警。

目前基于安全日志的APT攻擊檢測方法包括：使用白名單方法學(xué)習(xí)正常的系統(tǒng)行為，報告與系統(tǒng)正常模型不同的所有操作；建立APT攻擊模型，將安全日志和模型進行匹配，形成攻擊上下文，現(xiàn)在主要使用的是建立攻擊模型的方法。

然而APT攻擊模型的建立需要專家知識，如果攻擊模型不完整，會出現(xiàn)警報無法匹配，形成的路徑不完整的問題。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題是：針對上述存在的問題，本發(fā)明使用了模糊聚類進行攻擊事件的關(guān)聯(lián)，挖掘出APT的攻擊過程，發(fā)明人發(fā)現(xiàn)APT攻擊具有階段性的特點，與前一階段相比在后續(xù)階段中攻擊者會獲得更高權(quán)限，竊取到更多的數(shù)據(jù)，所以攻擊過程呈現(xiàn)出目的性逐漸增強，攻擊事件危害程度越來越高的特點，因此在聚類之前本發(fā)明者基于殺傷鏈模型對攻擊事件進行劃分，添加到模糊聚類中，提高APT檢測的準(zhǔn)確度。

本發(fā)明提供了一種基于殺傷鏈和模糊聚類的APT攻擊場景挖掘方法，用于識別網(wǎng)絡(luò)中的APT攻擊，技術(shù)方案如下：

步驟1：收集入侵檢測系統(tǒng)的警報日志，將日志轉(zhuǎn)換為統(tǒng)一格式的安全日志，至少包含時間戳字段、源IP字段、目的IP字段、攻擊事件字段，形成警報日志集合ALERTS＝{a₁,a₂,a₃,...a_n}。

步驟2：基于殺傷鏈模型對APT進行階段劃分，依據(jù)警報日志中攻擊事件屬性的行為特征對攻擊事件進行分類；

步驟3：將攻擊事件屬性作為模糊聚類的維度之一，基于多維度的模糊聚類方法將IDS警報日志聚為多個類簇，每個類簇表示一個攻擊序列；

步驟4：分析過濾上一步產(chǎn)生的攻擊序列集，將每個攻擊序列轉(zhuǎn)換為一個有向圖，挖掘各個類簇中不同攻擊事件間的轉(zhuǎn)移概率矩，進一步轉(zhuǎn)換為帶有概率的攻擊場景圖；

步驟2進一步包括：

步驟21：殺傷鏈模型包括“發(fā)現(xiàn)-定位-跟蹤-瞄準(zhǔn)-攻擊-評估”，基于殺傷鏈將APT攻擊分為信息收集階段、入侵提權(quán)階段、潛伏擴展階段、信息竊取階段；

步驟22：分析警報日志集合中所有攻擊事件的行為特征和危害程度將其劃分到四個階段中，形成四類攻擊事件，攻擊事件在四個階段呈現(xiàn)的特點是相對于前一階段，后一階段的攻擊事件會是攻擊者獲得更高的權(quán)限。

進一步，模糊聚類中的多維度屬性包括攻擊事件、IP地址、時間戳。

步驟3進一步包括：

步驟31：IDS警報日志按照時間戳進行升序排序；