本發明公開一種多步攻擊模式挖掘方法，實現基于少量先驗知識的初始攻擊模型啟發式的生成新的攻擊模型，并能夠根據圖匹配計算預測概率。包括：敏感信息與告警日志融合算法：針對告警日志的誤報和漏報性質，將從流量數據中篩選出的敏感信息和告警日志通過IP相似度聚簇、攻擊簇內合并和過濾、攻擊簇間篩選三種算法進行融合。多步攻擊模型：多步攻擊模型定義如下其中N表示某類攻擊的實際攻擊過程步數，ABC代表多步攻擊中每一個單步攻擊的屬性特征值。啟發式多步攻擊模型生成和攻擊預測算法：通過圖的概率匹配達到針對多步攻擊的預測，步驟包括匹配對應點、計算概率值、生成多步攻擊圖模型、衡量轉換。本發明通過啟發式生成新攻擊模型為攻擊預測提供了新的思路。

技術領域

本發明屬于流量處理領域，尤其涉及多步攻擊模式挖掘。

背景技術

自互聯網誕生以來，網絡攻擊一直威脅著用戶和組織。它們隨著計算機網絡的復雜化同時變得更加復雜。目前，攻擊者需要執行多個入侵步驟才能達到最終目標。這些步驟的集合稱為多步攻擊、多階段攻擊或攻擊場景。因為需要了解攻擊策略和識別威脅需要多個動作之間的相關性，使得它們很難被完整的挖掘出來。自2000年以來，安全研究領域一直試圖提出檢測這種威脅的解決方案，并預測未來的步驟。

為了檢測網絡攻擊，安全研究人員嚴重依賴于入侵檢測系統(IDS)，該系統根據已知的攻擊模式制定對應的檢測規則，如與檢測規則相匹配則發出告警。為了從龐大的數據中篩選出有意義的攻擊過程，一種可行的方法是建立完善的攻擊模型，將數據與模型進行關聯匹配，但該方法要求很高的模型精確度，而且無法對新型攻擊進行預警，所以如何啟發式的建立攻擊模型，并能夠對未知攻擊過程進行預警和模型建立成為了當下研究的熱點。

多步攻擊是目前的主流攻擊手段，APT攻擊是一種新型的有目的性、長期性的多步攻擊手段，也是現今研究者們關注的重點。至今為止，多步攻擊的關聯分析方法可以分為5類:相似性關聯、因果關聯、基于模型、基于案例、混合。

相似性關聯基于類似的警報具有相同的根源因此它們屬于同一個攻擊場景，這一思想，在正確選擇了相似性特征的情況下，可以重構出較為準確的攻擊場景，但是依賴少量數據段的相似性，結果可能包含太多假陽性告警。

因果關聯方法基于先驗知識或者大數據統計下確定的警報的先決條件和結果列表，該方法可以比較準確的關聯出常見的攻擊場景，但是基于先驗知識的因果關聯缺乏重構出非常見攻擊場景的手段，由于攻擊過程的隨機性導致大數據統計的結果缺乏置信度。

基于模型的方法使用已有的或者改進的攻擊模型進行模式匹配，如攻擊圖、Petri網、網絡殺傷鏈等模型，可以匹配重構出符合模型的攻擊，但是對新型攻擊或者APT攻擊缺乏檢測手段。

基于案例的方法只能針對某一類攻擊。混合方法可以結合幾種方法的優缺點，是近年來最為常用的方法。

發明內容

本發明提出一種多步攻擊模式挖掘方法，通過基于少量先驗知識的初始攻擊模型啟發式的生成新的攻擊模型，并能夠根據圖匹配計算預測概率。

本發明提供一種多步攻擊模式挖掘方法，包括以下步驟：

1)根據敏感信息含義從海量流量數據中基于spark框架篩選敏感信息并根據殺傷鏈模型進行數據歸一化；

2)將從流量數據中篩選出的敏感信息和告警日志通過IP相似度聚簇、攻擊簇內合并和過濾、攻擊簇間篩選三種算法進行融合得到用于圖匹配的攻擊簇；

3)循環每一條數據輸入K-Fusion算法根據IP地址、殺傷鏈階段、端口號抽象后的輸出得到的坐標值，每一個攻擊簇循環后可以得到一個坐標值的列表集合，根據攻擊不同行為將多步攻擊行為分為蠕蟲式多步攻擊和單目標式多步攻擊同時分別初始化攻擊模型。依賴于每一個攻擊簇的IP地址、殺傷鏈階段、端口號可以得到對應的兩個初始化多步攻擊模型列表；