本發明公開了一種基于層次重啟隨機游走算法的網絡攻擊工具關系發現方法，從多源數據中抽取攻擊樣本、攻擊模式以及IOC，并構建關系矩陣，通過考慮代碼樣本、攻擊過程以及屬性之間的關系挖掘出潛在的網絡攻擊特征，使得抽取的數據更加全面具體，提高了對多源數據的利用率；利用重啟游走算法將攻擊樣本關系矩陣、攻擊模式關系矩陣以及IOC關系矩陣進行迭代計算，使得生成的相關性得分三元組保證了多源數據的完整性，降低數據損失，提高了網絡攻擊工具識別的準確度。通過網絡攻擊工具對之間的推理關系發現潛在的網絡攻擊工具，能夠有效地對多個潛在的網絡攻擊工具進行處理，降低了人工成本，提高了網絡攻擊工具進行檢測的全面性與準確性。

技術領域

本發明涉及網絡安全技術領域，具體涉及一種基于層次重啟隨機游走算法的網絡攻擊工具關系發現方法。

背景技術

網絡因其信息傳遞的快速、廉價，在經濟、教育、文化等社會方面發揮著越來越重要的作用，應用也越來越廣泛。網絡作為一場全新的技術革命，對社會各個領域產生了巨大的影響作用。然而，隨著網絡的發展，與之伴隨的安全威脅和傳統安全問題相互交織，導致網絡空間安全問題日益錯綜復雜，我們面臨著不斷加大的網絡安全風險，層出不窮的網絡攻擊事件。

而網絡攻擊事件所采用的網絡攻擊工具可以從兩個層面來區分，一是理論攻擊，二是技術攻擊。所謂理論攻擊，就是密碼學意義上的攻擊，只專注于攻擊概念或攻擊過程、算法，而不考慮具體的技術實現技術攻擊與特定的網絡協議、操作系統及應用程序相關，存在明顯可操作的攻擊步驟，攻擊者可借用一定的分析手段和攻擊工具來達到特定的攻擊目的，一般而言，理論攻擊是技術攻擊的理論基礎，幾乎每種技術攻擊都可以最終歸結為某類理論攻擊，例如對路由器路由表、服務器域名表的竄改就屬于密碼學上的完整性侵犯，攻擊、序列號猜測攻擊可歸入密碼學上的假冒攻擊但理論攻擊卻未必能成為現實可行的技術攻擊。例如差分密碼分析已是一種較為成熟的對迭代分組密碼的理論攻擊方法，然而要將其變為技術攻擊手段，切實破譯某一特定密文，仍存在需要獲取大量明文選擇及大量專家干預的困難，即存在數據復雜性和處理復雜性。同樣密碼學意義上的理論攻擊所涵蓋的對某些加密算法的攻擊、對簽名算法的攻擊、對密鑰交換和認證協議的攻擊也未必能舉出確實有效的實現方法。因此，到目前為止，對網絡攻擊的分類主要著眼于技術層次，因為在這一層面上，攻擊與特定的網絡系統相關，存在明確可操作的步驟和可預期的結果。

因此，如何對網絡攻擊工具進行快速識別，進而對網絡攻擊事件進行有效防范處理，成為有效降低網絡安全風險的關鍵環節。

發明內容

針對現有技術的不足，本發明旨在提供一種基于層次重啟隨機游走算法的網絡攻擊工具關系發現方法。

為了實現上述目的，本發明采用如下技術方案：

一種基于層次重啟隨機游走算法的網絡攻擊工具關系發現方法，具體過程為：

S1、構建網絡攻擊工具關系矩陣：從多源數據中抽取關于攻擊樣本、攻擊模式和IOC的數據，并構建攻擊樣本關系矩陣、攻擊模式關系矩陣和IOC關系矩陣；攻擊樣本是指有一定規模的、能對網絡造成威脅的惡意代碼樣本；攻擊模式是指抽象的執行惡意代碼的攻擊動作，即執行惡意代碼的攻擊過程；IOC是指在攻擊過程中所產生的有指示性的值；

S2、計算層次推理概率：將得到的攻擊樣本關系矩陣、攻擊模式關系矩陣和IOC關系矩陣作為初始概率分布矩陣，利用重啟隨機游走算法分別對三個矩陣進行游走，得到攻擊樣本關系矩陣、攻擊模式關系矩陣、IOC關系矩陣三個層次的相關性得分矩陣；

S3、計算網絡攻擊工具關系推理概率：對得到的三個層次的相關性得分矩陣進行線性擬合，得到目標網絡攻擊工具對的關系推理概率Sr_attack；

S4、判斷網絡攻擊工具對的關系：設置閾值為σ，根據閾值σ評判網絡攻擊工具對的推理關系結果，當Sr_attack＞σ時，則認為對應的攻擊工具對之間具有推理關系。