本發明涉及一種基于攻擊鏈攻擊規則挖掘的APT入侵檢測方法，包括以下步驟：S1.對樣本數據進行預處理；S2.采用分類算法對樣本數據進行分類，識別出樣本數據的應用類型；S3.將分類后的數據進行合并，并將合并后的數據作為關聯規則處理的事務；S4.采用關聯規則算法對合并后的數據進行攻擊規則的挖掘，建立攻擊規則庫；S5.對攻擊規則進行分析，建立相應的解決方案集；S6.將攻擊規則庫和解決方案集部署在入侵檢測系統中，用于實時監測攻擊。

技術領域

本發明涉及通信網專用網的技術領域，特別是涉及一種基于攻擊鏈攻擊規則挖掘的APT入侵檢測方法。

背景技術

目前，隨著互聯網的迅速發展，網絡攻擊者的攻擊策略也不斷改進。為了獲取更大利益，攻擊者將入侵目標從攻擊個人PC以獲取個人隱私轉移到攻擊大型核心工業系統、政府以及企業的內部專用網絡上，目前，越來越多的攻擊者根據攻擊鏈技術，將攻擊過程分為多個階段，在每個階段采取的攻擊行為通常具有較大的隱蔽性，甚至與正常流量無異，通常將這類攻擊成為APT攻擊。傳統的“一攻一報”形式的網絡入侵檢測系統難以發現這些攻擊事件，甚至有時將正常流量當做異常流量處理，造成報警的準確率較低，誤報率較高。現有技術中，未結合攻擊鏈知識考慮攻擊者發起的前后攻擊流量之間的關系，會生成大量無用的規則，造成資源的浪費；同時，只能針對單一攻擊流量進行匹配，無法識別多階段的攻擊流量其次，沒有考慮基于攻擊鏈攻擊行為的特征，因此無法檢測出多階段的攻擊流量。

發明內容

本發明為克服上述所述的不足，提供一種提高實時入侵檢測的準確率，識別傳統入侵檢測系統無法發現的隱蔽的、持續時間久的APT攻擊過程的基于攻擊鏈攻擊規則挖掘的APT入侵檢測方法。

為解決上述技術問題，本發明采用的技術方案是：

一種基于攻擊鏈攻擊規則挖掘的APT入侵檢測方法，包括以下步驟：

S1.對樣本數據進行預處理；

S2.采用分類算法對樣本數據進行分類，識別出樣本數據的應用類型；

S3.將分類后的數據進行合并，并將合并后的數據作為關聯規則處理的事務；

S4.采用關聯規則算法對合并后的數據進行攻擊規則的挖掘，建立攻擊規則庫；

S5.對攻擊規則進行分析，建立相應的解決方案集；

S6.將攻擊規則庫和解決方案集部署在入侵檢測系統中，用于實時監測攻擊。

在上述方案中，首先，對樣本數據進行預處理；然后，采用分類算法對樣本數據進行分類，識別出樣本數據的應用類型；進一步的，將分類后的數據進行合并，并將合并后的數據作為關聯規則處理的事務；同時，采用關聯規則算法對合并后的數據進行攻擊規則的挖掘，建立攻擊規則庫；然后，對攻擊規則進行分析，建立相應的解決方案集；最后，將攻擊規則庫和解決方案集部署在入侵檢測系統中，用于實時監測攻擊；在本技術方案中，通過對樣本數據進行與處理，在進行分類處理，將分類后的數據合并進行相應的操作，對合并后的數據進行分析，最后找到相應的解決方案，整個操作過程中，提高實時入侵檢測的準確率，識別傳統入侵檢測系統無法發現的隱蔽的、持續時間久的APT攻擊過程。

優選的，所述的步驟S1具體步驟如下：

S11.手機網絡中告警設備識別的異常流量的樣本信息；

S12.對樣本信息進行去除錯誤、冗余的流量數據操作；

S13.將數據格式進行規范化處理；

S14.處理后的數據存入數據庫中。

優選的，所述的步驟S2具體步驟如下：

S21.采用決策樹C4.5算法對規范化的流量數據進行分類；