CN106790186A

CN106790186A - 基于多源异常事件关联分析的多步攻击检测方法

Info

Publication number: CN106790186A
Application number: CN201611257755.5A
Authority: CN
Inventors: 郭渊博; 琚安康; 马骏; 朱泰铭; 张琦; 王宸东; 丁文博
Original assignee: PLA Information Engineering University
Current assignee: PLA Information Engineering University
Priority date: 2016-12-30
Filing date: 2016-12-30
Publication date: 2017-05-31
Anticipated expiration: 2036-12-30
Also published as: CN106790186B

Abstract

本发明涉及一种基于多源异常事件关联分析的多步攻击检测方法。包含：首先通过特征检测和异常事件定义与识别；计算基于攻击链的安全事件评分，识别出异常主机，并以受害主机为线索聚合各类事件；然后采用链内关联、链间关联、特征聚类等手段对疑似攻击进程进行关联重组；最后重构出多步攻击场景，输出预测攻击事件。本发明通过对分散孤立的安全事件进行关联聚合，生成相对完整的多步攻击场景，可提高安全管理人员的安全分析能力，拓展安全视角，帮助有效应对分布零散的多步攻击威胁，缩短攻击行为的发现时间，为应对APT等高级攻击手段提供一种有效的预测防御解决方案，降低系统安全风险，有效保网络信息安全。

Description

基于多源异常事件关联分析的多步攻击检测方法

技术领域

本发明属于网络安全技术领域，特别涉及一种基于多源异常事件关联分析的多步攻击检测方法。

背景技术

随着网络技术的发展，网络安全威胁的方式层出不穷，病毒、蠕虫、后门、木马等网络攻击方式越来越多，网络空间安全正逐渐受到人们的广泛关注。为应对多种多样的攻击方式，相应出现了多种检测和阻断的防御手段，攻击技术也在不断发展，单一手段对目标的攻击渗透方式已很难奏效，多步攻击已成为主流攻击样式，其主要特征表现在：在单个主机上的攻击行为具有多步性，在目标网络内对多个主机的渗透过程具有多步性。

现有对网络攻击的检测手段主要可分为两种，特征检测和异常检测。1)基于特征的检测方法，采用黑名单和特征匹配机制，根据已被发现的攻击特征，包括文件Hash值、恶意IP地址和域名、后门程序的通信特征等，对已知类型的攻击检测和防御有较好的效果，但是也有明显的缺陷。首先是需要维护和更新复杂的问题，不能应对未知攻击和已知攻击的变种形式，攻击者可以通过一些简单的手段规避系统检测。因此即使是在部署入侵检测系统的网络环境中，成功的攻击事件还是频频发生。2)异常检测技术，是应对未知威胁的可行方法，通过将系统行为定义为“正常”和“异常”两类，符合预期的行为定义为正常行为，而与“正常”行为背离较大的定义为异常行为，监视日志记录中系统使用的异常情况，检测出违反安全的事件。在检测时，将系统日志与已经建立的正常行为特征相比较，若相异程度超过某个阈值，就认为是一个入侵行为。现有异常检测技术的缺点在于不能检测合作式攻击，且由于异常检测技术本身误报情况严重，影响了其推广应用，如何降低误报也是异常检测技术研究的关键问题。

由于缺乏聚合和关联攻击活动的模型和框架，传统的入侵检测与分析问题仍未得到很好的解答。现有检测方法的长时间滞后性和人工依赖性，给及时防御网络攻击带来巨大挑战。由于网络攻防领域的博弈特性，检测方的滞后性不可避免，而缩短针对攻击行为的检测时间，可使攻击造成的损失和破坏降到最小。

发明内容

针对现有技术中的不足，本发明提供一种基于多源异常事件关联分析的多步攻击检测方法，通过对攻击链异常评分，对各类数据作有效关联，检测及重构多步攻击场景，提高网络安全威胁检测的准确率，对网络攻击事件提前预测，有效保证网络的安全。

按照本发明所提供的设计方案，一种基于多源异常事件关联分析的多步攻击检测方法，包含如下步骤：

步骤1、通过特征检测产生基于特征码的检测数据，并通过异常评分生成异常事件；

步骤2、对多源数据进行采集汇聚，识别异常主机，基于主机进行事件聚合，获取攻击事件和攻击进程；

步骤3、通过链内关联、链间关联和特征聚类对攻击进程进行关联重组；

步骤4、重构多步攻击场景，输出预测攻击事件。

上述的，步骤2包含如下内容：采用攻击链评分方法，对攻击事件和攻击进程进行量化，识别异常主机，基于受害主机进行事件聚合，将涉及同一主机的事件提取至同一集合。

上述的，对攻击事件和攻击进程进行量化，包含内容如下：形成攻击链的攻击事件，攻击事件包含：源和目的主机标识，事件类型，事件标记，攻击阶段，起始和终止时间，安全评分；满足攻击链逻辑特征的事件组形成攻击进程。

优选的，攻击事件表示为：

Event：(h_src,h_dst,e,m,p,t_start,t_end,s)

其中，h表示源主机和目的主机的IP地址，e表示事件类型，m表示事件标记，k表示攻击步骤/阶段，t_start和t_end分别表示事件的起始时间和终止时间，s是对事件的安全评分；攻击进程定义为一个有序的k元组，每一个事件根据事件类型归属于某攻击阶段，表示为：

AP:(Event₁,Event₂,Event₃,...,Event_n)

其中：n个攻击事件的h_src和h_dst相同，即整体攻击进程AP的h_src，表示为h_src(AP)，与n个事件对应的攻击阶段为：

AP:(p₁,p₂,p₃,...,p_n)

p是攻击链中的一个阶段；p_n的集合元素大于2；p_k+1≥p_k。

上述的，步骤3的通过链内关联、链间关联和特征聚类对攻击进程进行关联重组，包含如下内容：对单个主机的事件进行分析，对攻击进程中缺失数据信息进行填充，生成疑似攻击进程；对跨多个垂直关系之间因果相连事件进行解析，标识攻击进程之间的公共信息缺失，使用来自一个攻击进程的知识填充另一个攻击进程，根据不同攻击进程之间的关联，找出同属一个攻击场景的行为；将不同攻击进程中具有相同事件标记的事件作聚类操作，建立无向连接边。

上述的，对攻击进程中缺失数据信息进行填充，生成疑似攻击进程，包含如下内容：根据时间特征和逻辑关联性对攻击进程进行关联，将涉及同一主机的事件按攻击阶段和逻辑顺序组合，通过在事件之间添加虚拟连接边，建立因果关系，对漏失元素添加假设填充，生成疑似多步攻击的攻击进程。

上述的，使用来自一个攻击进程的知识填充另一个攻击进程，根据不同攻击进程之间的关联，找出同属一个攻击场景的行为，包含如下内容：按节点间通信关系和事件主体，在多个进程间添加关联边，填充不同节点之间的偏序关系。

上述的，使用来自一个攻击进程的知识填充另一个攻击进程，根据不同攻击进程之间的关联，找出同属一个攻击场景的行为，包含如下内容：从攻击因果关联角度，根据逻辑推断将不同攻击进程关联同一攻击场景中。

上述的，将不同攻击进程中具有相同事件标记的事件作聚类操作，是指：通过攻击事件相同元素特征，获取攻击进程相似度，通过相似度，攻击进程之间建立联系，完成攻击进程聚合。

上述的，重构多步攻击场景，输出预测攻击事件，包含如下内容：根据关联重组结果，建立按攻击阶段排序的攻击图，匹配重构出多步攻击场景，根据攻击知识和关联，输出潜在的预测攻击事件。

本发明的有益效果：

本发明提供的一种基于多源异常事件关联分析的多步攻击检测方法，通过特征检测和异常事件定义与识别；计算基于攻击链的安全事件评分，识别出异常主机，并以受害主机为线索聚合各类事件；然后采用链内关联、链间关联、特征聚类等手段对疑似攻击进程进一步关联重组，最后基于此重构出多步攻击场景，输出预测攻击事件。通过对分散孤立的安全事件进行关联聚合，生成相对完整的多步攻击场景，可提高安全管理人员的安全分析能力，拓展安全视角，帮助有效应对分布零散的多步攻击威胁，缩短攻击行为的发现时间，为应对APT等高级攻击手段提供一种有效的预测防御解决方案；有效提升网络的整体安全性，降低系统安全风险。

附图说明：

图1是本发明的方法流程示意图；

图2是多步攻击检测模型示意图；

图3是多步攻击检测模型数据流转示意图；

图4是多步攻击检测实例具体流程图；

图5是链内关联分析示例图；

图6是链间关联分析示例图；

图7是特征聚类分析示例图。

具体实施方式：

下面结合附图和技术方案对本发明作进一步详细的说明，并通过优选的实施例详细说明本发明的实施方式，但本发明的实施方式并不限于此。

实施例一，参见图1所示，一种基于多源异常事件关联分析的多步攻击检测方法，包含如下步骤：

步骤4、重构多步攻击场景，输出预测攻击事件。

通过对分散孤立的安全事件进行关联聚合，生成相对完整的多步攻击场景，提高安全管理人员的安全分析能力，拓展安全视角，帮助有效应对分布零散的多步攻击威胁，缩短攻击行为的发现时间，为应对APT等高级攻击手段提供一种有效的预测防御解决方案；有效提升网络的整体安全性，降低系统安全风险。

实施例二，参见图1～7所示，一种基于多源异常事件关联分析的多步攻击检测方法，包含如下内容：

一)、通过特征检测产生基于特征码的检测数据，并通过异常评分生成异常事件。

二)、对多源数据进行采集汇聚，识别异常主机，基于主机进行事件聚合，获取攻击事件和攻击进程。

采用攻击链评分方法，对攻击事件和攻击进程进行量化，形成攻击链的攻击事件，攻击事件包含：源和目的主机标识，事件类型，事件标记，攻击阶段，起始和终止时间，安全评分；满足攻击链逻辑特征的事件组形成攻击进程。识别异常主机，基于受害主机进行事件聚合，将涉及同一主机的事件提取至同一集合。

优选的，攻击事件表示为：

Event：(h_src,h_dst,e,m,p,t_start,t_end,s)

AP:(Event₁,Event₂,Event₃,...,Event_n)

AP:(p₁,p₂,p₃,...,p_n)

，p是攻击链中的一个阶段；p_n的集合元素大于2，即攻击进程中至少存在两个阶段的事件；

p_k+1≥p_k，即Event_k+1和Event_k同属一个阶段或Event_k+1是Event_k的下一阶段。

三)、通过链内关联、链间关联和特征聚类对攻击进程进行关联重组。

对单个主机的事件进行分析，对攻击进程中缺失数据信息进行填充，根据时间特征和逻辑关联性对攻击进程进行关联，将涉及同一主机的事件按攻击阶段和逻辑顺序组合，通过在事件之间添加虚拟连接边，建立因果关系，对漏失元素添加假设填充，生成疑似多步攻击的攻击进程。对跨多个垂直关系之间因果相连事件进行解析，标识攻击进程之间的公共信息缺失，使用来自一个攻击进程的知识填充另一个攻击进程，根据不同攻击进程之间的关联：按节点间通信关系和事件主体，在多个进程间添加关联边，填充不同节点之间的偏序关系；或从攻击因果关联角度，根据逻辑推断将不同攻击进程关联同一攻击场景中。将不同攻击进程中具有相同事件标记的事件作聚类操作，建立无向连接边，通过攻击事件相同元素特征，获取攻击进程相似度，通过相似度，攻击进程之间建立联系，完成攻击进程聚合。

四)、重构多步攻击场景，输出预测攻击事件，根据关联重组结果，建立按攻击阶段排序的攻击图，匹配重构出多步攻击场景，根据攻击知识和关联，输出潜在的预测攻击事件。

为了使本发明的目的、方法特点和优点更为清晰，下面结合附图2～7对本发明作进一步详细描述。

参见图2检测模型示意图和图3数据流转示意图中：

S101、本发明的基础数据：一是入侵检测系统、防病毒软件等基于特征检测技术的安全事件结果；另一部分是基于终端节点采集数据的异常检测结果；

S102、首先基于攻击链将两类安全事件进行聚合与评分，识别出异常主机，在此阶段以原始数据为输入，生成安全事件集合；

S103、安全事件输入至链内关联分析模块，将分散孤立的安全事件关联成攻击进程；再经过链间关联和特征聚类，将攻击进程关联成攻击场景；

S104、最后通过攻击场景重构，生成最终攻击场景。

图4中多步攻击检测模型流程图中：

S301、两类基础数据源：入侵检测系统、防病毒软件等特征检测结果，以及基于异常评分方法生成的异常事件；

S302、多源数据采集与汇聚；

S303、基于主机的事件聚合，即将涉及同一主机的事件提取至同一集合中；

S304、链内关联：结合攻击链模型，将涉及同一主机的事件按攻击阶段和逻辑顺序组合，对漏失元素添加假设和填充，生成攻击进程；

S305、链间关联：按节点通信关系和事件主体，在多个攻击进程间添加关联边，填充不同节点之间的关系；

S306、特征聚类：将不同攻击进程中具有的相同事件标记的事件作聚类操作，建立无向连接边；

S307、基于攻击图技术，综合以上三种关联结果，组合生成攻击场景，对关联结果作评估预测，并按置信度高低排序上报给安全管理人员。

具体的，链内关联分析实例如图5所示：

在图5中，实线表示检测出的攻击行为，虚线表示未被检测到的事件，是依据现有数据源得出的假设事件。图5中表示的攻击示例是：受害主机收到带有木马程序附件的邮件，安全检测软件并未给出报警，但是随后受害主机上有新进程创建及安装新服务的事件发生。综合现有因素可以推断出，攻击者可能采用了某种隐蔽手段绕过安全软件的检测，对系统进行渗透，进一步地可以推测，受害主机后续可能会向C&C服务器发出异常的网络请求，并在宿主机上按照指令执行相应操作。将由于信息缺失而未被检测出的事件标注添加到攻击进程中，得出相对完整的攻击过程。

链间关联分析实例如图6所示：

在图6中，实线表示检测出的攻击行为，虚线表示未被检测到的事件，是依据现有数据源得出的假设事件。图6表示的攻击示例是：在Host1上检测到相对完整的攻击进程，已被攻陷的主机节点，Host2上检测到以Host1为源主机的投递和侵入过程，Host3是收到Host2的渗透连接，并有安装运行新程序的现象，以及未知外连，可在Host1与Host2以及Host2与Host3之间分别建立假设连接，形成攻击进程组合。

特征聚类分析实例如图7所示：

特征聚类以上述安全事件库和攻击进程库作为输入，且伴随数据的实时接入，将输入数据源根据外连IP或域名、C&C服务器特征、类似恶意代码、投递阶段的钓鱼邮件中的相同URL、主机中出现的相同的新进程、新服务等攻击特征将其聚类为攻击进程群组、安全事件群组或事件-进程群组，在特征事件间添加无向连接边；对于未聚类的安全事件和攻击进程仍然返回送至安全事件库和攻击进程，当有新数据到来时，对事件和进程进一步检测。

通过链内关联、链间关联和特征聚类，原本孤立分散的事件之间已经建立初步联系，并可将原始事件组织成按攻击阶段排序的攻击图，在观测到的实际异常的基础上给出攻击路径可能性预测。

攻击场景重构在攻击图技术的基础上，综合以上三种关联结果，组合生成攻击场景，对关联结果作评估预测，并按置信度高低排序上报给安全管理人员。与传统攻击图试图找出所有可能的路径不同，这里只建模真实攻击路径，即在现有检测结果的基础上，根据现有攻击知识和各阶段关联关系，给出潜在攻击场景。

在攻击链建立过程之初，可能只是给出攻击过程的一个事件或一个步骤，在后续检测中，随着新事件的出现和被检测接收，划分和添加新的攻击阶段事件到图中，对攻击图逐步充实和完善，最终匹配和重构出整个多步攻击场景。

本发明不局限于上述具体实施方式，本领域技术人员还可据此做出多种变化，但任何与本发明等同或者类似的变化都应涵盖在本发明权利要求的范围内。

Claims

1.一种基于多源异常事件关联分析的多步攻击检测方法，其特征在于，包含如下步骤：

步骤4、重构多步攻击场景，输出预测攻击事件。

2.根据权利要求1所述的基于多源异常事件关联分析的多步攻击检测方法，其特征在于，步骤2包含如下内容：采用攻击链评分方法，对攻击事件和攻击进程进行量化，识别异常主机，基于受害主机进行事件聚合，将涉及同一主机的事件提取至同一集合。

3.根据权利要求2所述的基于多源异常事件关联分析的多步攻击检测方法，其特征在于，对攻击事件和攻击进程进行量化，包含内容如下：形成攻击链的攻击事件，攻击事件包含：源和目的主机标识，事件类型，事件标记，攻击阶段，起始和终止时间，安全评分；满足攻击链逻辑特征的事件组形成攻击进程。

4.根据权利要求3所述的基于多源异常事件关联分析的多步攻击检测方法，其特征在于，攻击事件表示为：

Event：(h_src,h_dst,e,m,p,t_start,t_end,s)

AP:(Event₁,Event₂,Event₃,...,Event_n)

AP:(p₁,p₂,p₃,...,p_n)

p是攻击链中的一个阶段；p_n的集合元素大于2；p_k+1≥p_k。

5.根据权利要求3所述的基于多源异常事件关联分析的多步攻击检测方法，其特征在于，步骤3的通过链内关联、链间关联和特征聚类对攻击进程进行关联重组，包含如下内容：对单个主机的事件进行分析，对攻击进程中缺失数据信息进行填充，生成疑似攻击进程；对跨多个垂直关系之间因果相连事件进行解析，标识攻击进程之间的公共信息缺失，使用来自一个攻击进程的知识填充另一个攻击进程，根据不同攻击进程之间的关联，找出同属一个攻击场景的行为；将不同攻击进程中具有相同事件标记的事件作聚类操作，建立无向连接边。

6.根据权利要求5所述的基于多源异常事件关联分析的多步攻击检测方法，其特征在于，对攻击进程中缺失数据信息进行填充，生成疑似攻击进程，包含如下内容：根据时间特征和逻辑关联性对攻击进程进行关联，将涉及同一主机的事件按攻击阶段和逻辑顺序组合，通过在事件之间添加虚拟连接边，建立因果关系，对漏失元素添加假设填充，生成疑似多步攻击的攻击进程。

7.根据权利要求5所述的基于多源异常事件关联分析的多步攻击检测方法，其特征在于，使用来自一个攻击进程的知识填充另一个攻击进程，根据不同攻击进程之间的关联，找出同属一个攻击场景的行为，包含如下内容：按节点间通信关系和事件主体，在多个进程间添加关联边，填充不同节点之间的偏序关系。

8.根据权利要求5所述的基于多源异常事件关联分析的多步攻击检测方法，其特征在于，使用来自一个攻击进程的知识填充另一个攻击进程，根据不同攻击进程之间的关联，找出同属一个攻击场景的行为，包含如下内容：从攻击因果关联角度，根据逻辑推断将不同攻击进程关联同一攻击场景中。

9.根据权利要求5所述的基于多源异常事件关联分析的多步攻击检测方法，其特征在于，将不同攻击进程中具有相同事件标记的事件作聚类操作，是指：通过攻击事件相同元素特征，获取攻击进程相似度，通过相似度，攻击进程之间建立联系，完成攻击进程聚合。

10.根据权利要求3所述的基于多源异常事件关联分析的多步攻击检测方法，其特征在于，重构多步攻击场景，输出预测攻击事件，包含如下内容：根据关联重组结果，建立按攻击阶段排序的攻击图，匹配重构出多步攻击场景，根据攻击知识和关联，输出潜在的预测攻击事件。