一種基于霍克斯多元過程建模的物聯網攻擊模式識別方法，屬于物聯網攻擊模式識別技術領域，用以解決現有的物聯網攻擊模式識別方法不能準確有效地識別僵尸網絡中同一個受控僵尸主機行為模式不一致的問題。本發明的技術要點包括：首先通過一組蜜罐來捕獲足夠多的真實攻擊者活動，然后提出一種改進的DBScan算法來精簡海量數據規模；然后提出一種基于控制周期檢測的僵尸網絡聚類算法來推斷僵尸網絡控制不同僵尸主機的時間片段，并根據加權的潛在影響以細粒度的方式將攻擊者活動聚集到僵尸網絡中。本發明以控制期的粒度對僵尸網絡進行進一步識別，解決了由于不同僵尸網絡占有時間段不同而導致的同一個受控主機行為模式不一致的問題。

技術領域

本發明涉及物聯網攻擊模式識別技術領域，具體涉及一種基于霍克斯多元過程建模的物聯網攻擊模式識別方法。

背景技術

世界范圍的網絡攻擊行動越發頻繁，因為創建大型物聯網僵尸網絡并造成嚴重破壞并不需要花費大量精力。未來人們會繼續看到使用基于物聯網設備漏洞發動的網絡攻擊的增多，這是因為利用物聯網設備攻擊者能夠以最少的時間和資源創建更大的僵尸網絡。這些僵尸網絡發動的網絡攻擊往往產生龐大而復雜的網絡事件日志，由于日志數量大、日志種類多，網絡安全研究員在很多情況下無法有效溯源這些攻擊或者快速響應。

一個物聯網僵尸網絡的生存周期包括形成、CC(Command and Control)、攻擊、后攻擊四個階段。形成階段由攻擊者入侵有漏洞的主機，并在其上執行惡意程序，使之成為僵尸主機；一旦某個網絡設備成為僵尸主機之后，僵尸網絡控制者會通過主控端與之構建CC信道，通過各種方式與之通信；之后僵尸主機根據主控端發出的指令執行攻擊行為；后攻擊階段是指主控端利用被控制的僵尸主機進行進一步的破壞操作，如入侵內網、竊取信息、發動DDoS攻擊等。

傳統的檢測僵尸網絡的方法一般在僵尸網絡攻擊和通信階段進行檢測。例如，基于簽名的方法依賴于僵尸網絡的先驗信息，無法應對快速變化的僵尸網絡特征且無法檢測未知的新攻擊樣本的攻擊；基于特征的方法的有效性對特征質量高度敏感，永遠無法證明所選特征是否足以進行訓練，導致該類方法不夠穩定，無法將特定僵尸網絡與正常主機區分開來。特別是針對IoT(物聯網)設備組建的僵尸網絡流量混跡于海量的互聯網流量中，使得傳統僵尸網絡識別方法難以直接應用來識別IoT僵尸網絡。利用蜜罐技術可以簡化IoT僵尸網絡的檢測難度，通過使用偽裝成物聯網設備的蜜罐來吸引IoT僵尸網絡的攻擊，就可以捕獲到IoT僵尸網絡的行為，從而識別他們。為了從蜜罐捕獲的大量攻擊數據中識別僵尸網絡，需要使用可靠且精簡的特征以在保證檢測效果的同時減小計算負載。文獻[1]中通過利用攻擊事件的時序特征來識別僵尸網絡，首先基于直觀的觀察建立了基于攻擊時間的概率模型：同一僵尸網絡中的主機有發起時間接近的攻擊的趨勢。但是，上述研究沒有考慮到：僵尸網絡對不同的受感染主機有不同的控制期，即易受攻擊的物聯網設備往往不會只被一個攻擊團伙用于網絡攻擊，而是在不同的時間段被不同的攻擊團伙控制，被用于發動不同的網絡攻擊。因此，同一僵尸網絡中的某些主機實際上僅具有部分時間相似性，如果忽略這個事實，對僵尸網絡主機在整個觀察時間窗口內的時間序列進行建模，會影響其攻擊模型分析結果的準確性。

發明內容

鑒于以上問題，本發明提出一種基于霍克斯多元過程建模的物聯網攻擊模式識別方法，用以解決現有的物聯網攻擊模式識別方法不能準確有效地識別僵尸網絡中同一個受控僵尸主機行為模式不一致的問題。

一種基于霍克斯多元過程建模的物聯網攻擊模式識別方法，包括下述步驟：

步驟一、利用蜜罐檢測系統采集數據，獲取多個僵尸主機的攻擊日志數據集；

步驟二、對所述攻擊日志數據集進行預處理，獲取包含多個僵尸主機攻擊時間序列的精簡數據集；

步驟三、搭建時序特征模型并將精簡數據集輸入時序特征模型運行，獲得不同僵尸網絡對各個僵尸主機的控制期識別結果；所述控制期是指同一個僵尸主機被不同僵尸網絡控制的時間段。