基于多源日志關聯分析的APT攻擊場景還原檢測方法及系統，檢測方法包括收集主機的多源日志，設置新的特征參數，使用關系向量關聯所有日志條目，將所有日志條目視為網絡中的節點，日志條目間的關系視為節點之間的邊，構建無向、有權重復雜網絡圖，使用標簽傳播算法聚類，識別出事件；再按照時間順序將日志和事件組成長序列，挖掘出事件間邏輯關系及時間關系，生成初始子分區圖并不斷進行優化，得到場景圖；然后學習場景圖的頂點和邊的矢量表達，進行聚類，對更新后的場景圖，檢測其新邊和頂點是否異常，完成檢測后，更新聚類情況，為后續檢測做準備。本發明能全面、準確的還原攻擊場景，防止高誤報率和漏網之魚，高效檢測出APT攻擊。

技術領域

本發明屬于網絡安全領域，具體涉及一種基于多源日志關聯分析的APT攻擊場景還原檢測方法及系統。

背景技術

隨著計算機信息技術的飛速發展，人們越來越多地依賴網絡進行信息傳輸和交互。但威脅著網絡安全的事件卻頻繁發生，已經嚴重影響到了整個社會和個人的信息安全。據悉，全球平均每20秒就發生一起互聯網計算機入侵事件。為了保護網絡安全，市面上出現了防火墻、入侵檢測系統等設備，這些設備基于網絡數據包中特有的參數進行規則匹配，只能對違反現存規則的行為進行告警和阻斷，在網絡攻擊的防御方面具有一定的滯后性。尤其對于APT攻擊，它們往往難以檢測到。APT攻擊，即高級持久威脅攻擊，是由有組織、經驗豐富的攻擊者發起，往往是對特定目標采取針對性、持久性的攻擊。前期采用社會工程學等手段對目標進行反復偵察并獲取有用信息，其行為往往難以探測并具有偽裝性。當攻擊者獲取目標的信任并能夠以不被發現的身份潛藏在目標網絡中時，便會盜取信息并不斷擴大其感染范圍，嚴重的會使整個目標網絡癱瘓。為了對APT攻擊行為做到識別和防范，通常企業會選擇部署入侵檢測系統(IDS)，啟用安全信息和事件管理(SIEM)工具，采用各種IOC(“危害指標”)捕獲分散的指標，但它們孤立地對單一、固定的攻擊行為進行檢測的特點導致無法從整體上構建完整準確的攻擊場景，故而造成了較高的誤報率。此外，來自企業內部的攻擊者由于本身具有對系統的訪問權限，并且可能很熟悉網絡體系結構和系統策略/過程，因而更有可能避開這些檢測系統進行信息竊取甚至注入病毒等攻擊行為。

為了更加全面、準確的還原攻擊場景，防止高誤報率和漏網之魚，從日志層面上來識別系統發生的事件、研究事件之間的關系并構建完整的場景是十分必要的。

現有的日志研究方法通常采用單一或同類日志進行檢測和追蹤，例如采用主機審核數據(Linux審核或Windows ETW數據)描繪APT活動，但它們在檢測攻擊者前期的試探以及對目標網絡的長期針對性調查方面顯得力不從心；有的方法對日志及相應事件之間的關系分析不夠準確，如通過時間戳對齊來關聯來自不同記錄的事件，通過實驗發現，將此方法運用在關聯不同類的日志時，由于不同類別的日志對同一事件的時間記錄存在偏差，因此會出現將同一事件識別為不同事件的情況，導致無法正確處理事件關系。

發明內容

本發明的目的在于針對上述現有技術中通過日志檢測APT攻擊效果不佳的問題，提供一種基于多源日志關聯分析的APT攻擊場景還原檢測方法及系統，能夠更加全面、準確的還原攻擊場景，防止高誤報率和漏網之魚的產生，確保準確檢測出APT攻擊。

為了實現上述目的，本發明有如下的技術方案：

一種基于多源日志關聯分析的APT攻擊場景還原檢測方法，包括：

步驟一、識別事件；

(1a)收集主機的多源日志，對日志進行解析，統一日志的條目格式，使用關系向量關聯所有日志條目，捕獲日志內部和日志之間的關系；

(1b)構建無向、有權重復雜網絡圖：將所有日志條目視為網絡中的節點，日志條目間的關系視為節點之間的邊，關系向量中1的個數作為邊的權重；

(1c)使用帶權重的標簽傳播算法對網絡圖中的節點進行聚類，關聯程度最為緊密的日志條目被聚成一組，稱為一類事件；聚類出的節點類別對應于識別出的事件類型；