本發明公開一種基于圖核聚類的威脅狩獵方法，通過將審計日志構建為行為依賴圖，并設計圖核聚類方法實現將正常行為與異常行為分離，且能夠對行為依賴圖進行威脅量化評估，發現未知攻擊。包括：行為依賴圖構造器，負責將審計日志構建為行為依賴圖；圖核聚類，負責將行為依賴圖嵌入到高維空間并計算相似度，利用聚類方法實現攻擊行為和異常行為的分離；威脅評估，負責判斷哪些類簇中的行為依賴圖表示異常行為，并對異常行為進行威脅評估，實現威脅狩獵。本發明通過構造基于行為依賴圖和圖核聚類的方法，為威脅狩獵提供了新的設計思路。

技術領域

本發明屬于日志分析領域，尤其涉及基于審計日志的威脅狩獵。

背景技術

高級持續性威脅具有持久性和隱蔽性的特點。這些威脅可以繞過威脅檢測軟件(Threat Detection Software,TDS)進行潛伏，企業信息系統中可能存在已經發生但尚未被檢測到的攻擊。為了更好地預防和響應此類攻擊，端點檢測和響應工具(Endpointdetection and response tools,EDR)被廣泛地用于企業安全。然而，這些工具依賴于匹配低級別的入侵指標(Indicators of Compromises,IOCs)，例如惡意軟件樣本的hash，可疑的IP或者域名等。這會導致報警疲勞問題，并且無法揭示完整的攻擊場景。為了克服這一挑戰，最近的研究通過對審計日志進行因果分析來尋找網絡威脅。事實上，審計日志中的因果關系和上下文信息隱式的包含了攻擊者的高級行為和目標，這是無法隱藏的。

威脅狩獵是對潛在攻擊主動搜索的過程，其已成為防御APT攻擊的關鍵組成部分?，F有工作從威脅情報中提取攻擊行為并設計匹配算法以從審計日志中搜索這些已知攻擊。為了實現這一點，基于圖匹配的方法將審計日志構建為證明圖，其中包含豐富的上下文信息，并將威脅狩獵建模為圖匹配問題。此外，基于查詢的方法設計了威脅行為查詢語言(TBQL)來查詢存儲在數據庫中的審計日志。然而，這些方法嚴重依賴威脅情報，這導致了一些限制。一方面，當威脅情報與事實存在偏差時，可能會錯過攻擊活動。另一方面，同一APT攻擊事件的描述可能來自不同的報告，而這些報告中的信息可能不同或相互矛盾。許多APT攻擊尚未被威脅情報披露，并且APT攻擊的技術和策略不斷更新，使得依賴知識的方法在應對新型的攻擊和未知攻擊時力不從心，因此現有方法無法檢測到這些未知攻擊。

此外，一些攻擊狩獵的解決方案，如匹配規則知識庫或采用標簽策略，需要領域專家手工參與。專家知識的完整性和準確性會影響分析結果，并且一個預期的瓶頸是需要領域專家的手工參與來指定這些規則，并需要不斷地更新。針對上述問題，有工作考慮到與攻擊相關的審計事件很少發生，構建了Event Frequency Database來替代規則知識庫。但是，為了避免被檢測，攻擊者會偽裝成正常行為或者使用一些正常的進程，如svchost.exe，這會影響基于匹配或單事件頻率的威脅評分計算方法的準確性。

最近幾年圖核被廣泛應用于多個領域，包括化學信息領域、社交網絡和網絡安全等，這些領域的數據多為圖數據結構或者可以轉換成圖數據表示。圖核是計算圖的內積的核函數，其可以直觀地理解為度量圖與圖之間相似度的函數。它們允許核學習算法(如支持向量機)直接在圖上工作，而不必進行特征提取將它們轉換為固定長度的實值特征向量。利用圖核方法進行分類或者聚類任務在圖數據分析領域取得了優異的效果。

發明內容

本發明提出一種基于圖核聚類的威脅狩獵方法，通過將審計日志構建為行為依賴圖，并設計圖核聚類方法實現將正常行為與異常行為分離，且能夠對行為依賴圖進行威脅量化評估，發現未知攻擊。

本發明提供一種基于圖核聚類的威脅狩獵方法，包括以下步驟：

1)根據實體類型，從審計日志中抽取實體的相關屬性信息和實體之間的關系信息，基于這些信息構建依賴圖，為節點和邊分配標簽，對長時間運行的進程進行分區，生成行為依賴圖，行為依賴圖是帶標簽的有向圖，節點表示系統層實體，有向邊表示實體之間的操作關系；