本發(fā)明公開(kāi)了一種基于機(jī)器學(xué)習(xí)的內(nèi)網(wǎng)攻擊檢測(cè)模型構(gòu)建方法，通過(guò)對(duì)收集到的日志記錄進(jìn)行分析，根據(jù)其中所對(duì)應(yīng)的不同場(chǎng)景對(duì)其進(jìn)行不同的溯源分析，從中確定攻擊路徑和攻擊行為；步驟1，日志收集；步驟2，攻擊場(chǎng)景定義；步驟3，定義各個(gè)場(chǎng)景的行為動(dòng)作；步驟4，新建攻擊溯源分析觸發(fā)點(diǎn)。本發(fā)明具有準(zhǔn)確率高、降低決策風(fēng)險(xiǎn)等優(yōu)點(diǎn)。

技術(shù)領(lǐng)域

本發(fā)明涉及智能模型構(gòu)建領(lǐng)域，尤其涉及一種內(nèi)網(wǎng)攻擊檢測(cè)模型構(gòu)建方法。

背景技術(shù)

隨著現(xiàn)代互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題越來(lái)越凸顯，網(wǎng)絡(luò)上潛在的安全攻擊越來(lái)越多，隨著大量的攻擊工具被發(fā)布，攻擊者可以使用簡(jiǎn)單的攻擊工具就對(duì)目標(biāo)網(wǎng)絡(luò)造成危害。手段高明的攻擊者更是利用系統(tǒng)漏洞對(duì)信息系統(tǒng)進(jìn)行深入攻擊，給人們的生活帶來(lái)了很多影響。

對(duì)內(nèi)網(wǎng)的攻擊檢測(cè)可以有效的發(fā)現(xiàn)攻擊者入侵行為，提高攻擊行為檢測(cè)準(zhǔn)確率是發(fā)現(xiàn)攻擊行為的關(guān)鍵步驟。攻擊模型是攻擊技術(shù)發(fā)展的知識(shí)需求的重要來(lái)源,它有助于深入理解攻擊的本質(zhì)及其特點(diǎn),分析整個(gè)攻擊過(guò)程中攻擊行為之間的相互關(guān)系。攻擊圖模型基于圖論采用攻擊模板描述攻擊行為,供求模型通過(guò)需求/提供來(lái)刻畫(huà)攻擊行為之間的關(guān)聯(lián)關(guān)系。攻擊樹(shù)模型側(cè)重于描述攻擊過(guò)程所包含的各種攻擊行為之間的聯(lián)系,攻擊行為和結(jié)果都用節(jié)點(diǎn)表示,不進(jìn)行區(qū)分,容易造成混亂。基于Petri 網(wǎng)的攻擊模型只能描述單一攻擊行為,不能提供正在發(fā)生的攻擊場(chǎng)景的清晰描述。攻擊圖能夠描述發(fā)起攻擊的初始狀態(tài)與攻擊成功的終態(tài)之間所有的攻擊路徑,但難以構(gòu)造,尤其是網(wǎng)絡(luò)節(jié)點(diǎn)和漏洞數(shù)量較多時(shí),常依靠手工構(gòu)圖。總的來(lái)說(shuō),現(xiàn)有的攻擊建模并非建立在攻擊分類(lèi)的基礎(chǔ)之上,攻擊分類(lèi)和攻擊模型缺乏有機(jī)結(jié)合,從而使得攻擊建模存在全面性和層次性不強(qiáng)等問(wèn)題。

在進(jìn)行網(wǎng)絡(luò)攻擊時(shí),攻擊知識(shí)庫(kù)的構(gòu)建和對(duì)攻擊進(jìn)行建模是進(jìn)行網(wǎng)絡(luò)攻擊的關(guān)鍵。若要系統(tǒng)化構(gòu)建一個(gè)為網(wǎng)絡(luò)攻擊提供技術(shù)支持的攻擊知識(shí)庫(kù),首先就要選取合適的分類(lèi)方法對(duì)數(shù)量龐大的攻擊技術(shù)進(jìn)行分類(lèi)。鑒于此,必須對(duì)攻擊理論和技術(shù)進(jìn)行深入研究,在對(duì)其合理分類(lèi)的基礎(chǔ)上,建立攻擊模型,并根據(jù)攻擊模型構(gòu)造攻擊場(chǎng)景,對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊。

發(fā)明內(nèi)容

本發(fā)明目的在于提供一種適用于對(duì)內(nèi)網(wǎng)攻擊進(jìn)行檢測(cè)的基于機(jī)器學(xué)習(xí)的內(nèi)網(wǎng)攻擊檢測(cè)模型構(gòu)建方法。

為了解決上述技術(shù)問(wèn)題，本發(fā)明所述方法為：通過(guò)對(duì)收集到的日志記錄進(jìn)行分析，根據(jù)其中所對(duì)應(yīng)的不同場(chǎng)景對(duì)其進(jìn)行不同的溯源分析，從中確定攻擊路徑和攻擊行為；

具體步驟如下：

步驟1，日志收集；

步驟2，攻擊場(chǎng)景定義；

步驟3，定義各個(gè)場(chǎng)景的行為動(dòng)作；

步驟4，新建攻擊溯源分析觸發(fā)點(diǎn)。

進(jìn)一步的，步驟1中，將網(wǎng)絡(luò)攻擊的流量日志、web日志、交換機(jī)日志、操作系統(tǒng)日志進(jìn)行統(tǒng)一的收集；該部分直接使用日志分析系統(tǒng)的Kafka消息輸入服務(wù)，同時(shí)使用輸入消息的內(nèi)容提取器對(duì)日志進(jìn)行提取，格式化成后續(xù)需要的字段和數(shù)據(jù)組成格式。

進(jìn)一步的，步驟2中，定義攻擊場(chǎng)景為以下五種：掃描探測(cè)、滲透攻擊、攻擊入侵、控制目標(biāo)、非法操作；上述場(chǎng)景定義在文件中，AttackType定義了場(chǎng)景類(lèi)型。

進(jìn)一步的，步驟3中，通過(guò)日志分析系統(tǒng)的流對(duì)不同位置的日志進(jìn)行區(qū)分，同時(shí)通過(guò)流內(nèi)部的規(guī)則對(duì)日志進(jìn)行過(guò)濾，分析所在場(chǎng)景下的攻擊行為。

進(jìn)一步的，步驟4中，根據(jù)不同的場(chǎng)景行為進(jìn)行不同的攻擊溯源分析；將溯源結(jié)果推送到Kafka消息隊(duì)列中，得出攻擊者從發(fā)出攻擊到結(jié)束攻擊前后的行為目的分析。

與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果：

1、所提出的攻擊檢測(cè)模型更加全面，通過(guò)對(duì)攻擊的全過(guò)程進(jìn)行綜合的檢測(cè)，提高攻擊檢測(cè)準(zhǔn)確率。