CN110519276A - 一种检测内网横向移动攻击的方法 - Google Patents
一种检测内网横向移动攻击的方法 Download PDFInfo
- Publication number
- CN110519276A CN110519276A CN201910807836.5A CN201910807836A CN110519276A CN 110519276 A CN110519276 A CN 110519276A CN 201910807836 A CN201910807836 A CN 201910807836A CN 110519276 A CN110519276 A CN 110519276A
- Authority
- CN
- China
- Prior art keywords
- feature vector
- inter
- data
- feature
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
- G06F18/2155—Generating training patterns; Bootstrap methods, e.g. bagging or boosting characterised by the incorporation of unlabelled data, e.g. multiple instance learning [MIL], semi-supervised techniques using expectation-maximisation [EM] or naïve labelling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Life Sciences & Earth Sciences (AREA)
- Evolutionary Computation (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种检测内网横向移动攻击的方法,通过收集内网设备的流量及日志数据;提取上述数据中的所有节点,连接进行过网络通信的两个节点,构建主机间通信图;将每两个连接的节点之间的流量数据提取合并,以及将节点上的数据提取合并,分别作为特征值赋值给主机间通信图的边和点;利用网络表示学习方法,将带有特征的主机间通信图进行降维,利用自编码器提取出低维特征向量;利用半监督分类学习算法对低维特征向量进行分类,区分出疑似遭受过攻击的主机。
Description
技术领域
本发明涉及计算机网络安全领域,用于对抗高级持续性威胁中的横向移动攻击阶段,更具体地,是一种针对内网横向移动攻击的检测方法。
背景技术
横向移动攻击是指攻击者针对一个特定的内部网络,以被感染的外围设备为起点,通过收集信息、权限提升等方式,访问网络中的其他主机并窃取敏感信息(如:凭证、涉密资料等)的恶意渗透行为。通过横向移动攻击,攻击者可以最终获得域控权限,进而控制全部设备,从而达到窃取重要资料、驻留内网系统等目的,严重威胁到企业等组织的信息安全。
横向移动攻击被广泛应用于复杂的网络攻击中,同时也是高级持续性威胁(APT)中非常重要的一个阶段。通常,企业的敏感信息不会存储在网络结构的边缘(如:Web服务器、个人主机等),而是会存储在内部服务器,因而攻击者要窃取或者破坏这些重要资料,必须借助横向移动攻击,以边缘节点为起始点,渗透到内部。攻击者针对不同的网络环境,会使用内置于操作系统中的工具或是引入一些特定的工具,用来进行各类活动。因为攻击者通过横向移动攻击可以侵入多台设备,以至于攻击者非常容易隐藏自身且难以根除。
目前传统的检测技术无法对此类高级攻击进行防御,大部分的解决方案都是部署在网络边界上的入侵检测,例如对于边界异常流量的检测或是对于0day漏洞的启发式检测等等。但是对于已经渗透入内网的攻击没有提出很好的解决方法,因此对于横向移动攻击的检测问题是现在无法有效解决的难题。防御了横向移动,就是防御了核心数据的安全。但如何有效地区分正常的网络访问行为和异常的横向移动攻击是解决该问题的关键之一。同时为了检测横向移动,必须收集来自网络连接和认证日志等多维度、大数据量的数据。如何综合有效地运用这些数据来设计特征和训练检模型也是需要考虑的问题。
发明内容
为解决上述问题,本发明提出一种检测内网横向移动攻击的方法,通过收集内网的流量及设备日志数据,构建主机间通信图,利用半监督分类学习算法有效检测横向移动攻击,保护企业组织信息安全。
为达到上述目的,本发明采用如下技术方案:
一种检测内网横向移动攻击的方法,包括以下步骤:
收集内网设备的流量及日志数据;
提取上述数据中的所有节点,连接进行过网络通信的两个节点,构建主机间通信图;
将每两个连接的节点之间的流量数据提取合并,以及将节点上的数据提取合并,分别作为特征值赋值给主机间通信图的边和点;
利用DeepGL网络表示学习方法,将带有特征的主机间通信图进行降维,利用自编码器提取出低维特征向量;
利用半监督分类学习算法对低维特征向量进行分类,区分出疑似遭受过攻击的主机。
进一步地,在构建主机间通信图时,需引入预先标记好的攻击/非攻击流量数据。
进一步地,将带有特征的主机间通信图进行降维的方法包括以下步骤:
1)计算主机间通信图的结构特征,将该结构特征添加至特征向量中;
2)利用特征处理算子处理邻接元素特征向量的每一个特征,将处理得到的新的特征添加至当前元素的特征向量中;邻接元素包括邻接节点和邻接边,邻接节点是指一节点的有向入边的起点节点和有向出边的终点节点,邻接边是指一有向边的起点的有向边和终点的有向边;
3)对处理后的新的特征向量进行特征选择,采用社区发现算法将特征向量中相似的特征聚合在一起,取每一个社区中最重要的特征组成新的特征向量;
4)利用噪声自编码器对上述组成的新的特征向量进行降维,混入高斯随机噪声,利用编码器编码,将高维的特征向量压缩为低维的特征向量。
进一步地,重复步骤1)-3),以获得更准确的新的特征向量。
进一步地,主机间通信图的结构特征包括节点和有向边的出度、入度、度及PageRank。
进一步地,特征处理算子包括求和函数、求积函数、差分函数。
进一步地,低维特征向量维度小于10。
进一步地,半监督分类学习算法已利用标定的部分风险主机或主机间流量进行过训练。
进一步地,半监督分类学习算法包括Self-Learning算法。
一种检测内网横向移动攻击的系统,包括:
内网数据收集模块,用于收集内网设备的流量及日志数据;
主机间通信图构建模块,用于提取收集的数据中的所有节点,连接进行过网络通信的两个节点,构建主机间通信图;并将每两个连接的节点之间的流量数据提取合并,以及将节点上的数据提取合并,分别作为特征值赋值给主机间通信图的边和点;
网络表示学习降维模块,用于利用网络表示学习方法,将带有特征的主机间通信图进行降维,利用自编码器提取出低维特征向量;
半监督分类模块,用于利用半监督分类学习算法对低维特征向量进行分类,区分出疑似遭受过攻击的主机。
本发明的有益效果在于:
本发明构建主机间通信图后,利用网络表示学习方法降维特征,在半监督方法下,利用少量的已有标定数据检测出遭受过攻击的主机,从而及早发现攻击状况,保护企业组织的信息安全。与现有的内网横向移动防御方法相比,本发明的方法及下传统适用于多数场景,可以根据不同的网络环境,选择不同的数据特征进行操作,有效地检测遭受过的横向移动攻击;检测精度高,误报率低,能够在仅有不到10%的标定数据(人工分析所产生的标签数据)时检测出99%的受感染设备。
附图说明
图1是本发明实施例中检测内网横向移动攻击的方法的总流程图。
图2是本发明实施例中主机间通信图构建流程图。
图3是本发明实施例中网络表示学习降维流程图。
图4是本发明实施例中半监督分类流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的目的、特征和优点能够更加明显易懂,下面结合附图和事例对本发明中技术核心作进一步详细的说明。
本实施例公开一种可靠而有效的检测内网横向移动攻击的方法,如图1所示,本方法主要由信息收集、主机间通信构建、网络表示学习以及半监督分类四部分组成,主要步骤如下。
步骤100,企业依据自身能力及需求利用内网数据收集模块进行信息收集,收集的信息例如设备间的登录成功/失败次数、登录的发起方、用户名等等,用于生成主机间通信图。
步骤200,利用网络表示学习方法对主机间通信图进行表示,再经过降维,生成低维特征向量。
步骤300,将特征向量代入半监督分类模块进行分类,区分感染主机和未感染主机。
如图2所示,主机间通信图构建包括以下步骤:
步骤110,利用主机间通信图构建模块接受收集的信息,并引入提前标记好的少量标记数据(攻击/非攻击流量)。
步骤120,从信息中提取出设备实体(利用设备标识标示,例如:IP地址、设备名称等)和实体之间的关系(例如:TCP连接等),将其作为节点和有向边添加进主机间通信图G=(V,E)中。
步骤130,从数据中提取关系特征和实体特征,每一类特征进行合并后,赋值给主机间通信图作为有向边和节点的特征,形成带特征的图G=(V,E,F)。
步骤140,将带特征的主机间通信图传递给网络表示学习降维模块。
如图3所示,网络表示学习降维包括以下步骤:
步骤210,利用网络表示学习降维模块接受带特征的主机间通信图。
步骤220,计算该主机间通信图的结构特征,包括节点与有向边的出度、入度、度,PageRank等,将这些结构特征添加至特征向量中,即F=F+F'。
步骤230,引入特征处理算子,用于融合邻接元素特征。邻接元素是指:针对一个节点v,其有向入边的起点节点和有向出边的终点节点即为该节点的邻接节点;针对一个有向边e,其起点的有向边和终点的有向边即为该有向边的邻接边;邻接节点和邻接边统称为邻接元素。针对图中的任一元素(节点或有向边),利用特征处理算子,处理其邻接元素特征向量的每一个特征,并将处理结果作为新的特征添加至当前元素的特征向量中。特征处理算子是一系列函数,例如求和函数Σ,求积函数∏,差分函数等等。
步骤240,对处理后的新的特征向量进行特征选择,采用社区发现算法,将特征向量中相似的特征聚合在一起,取每一个社区中最重要的特征组成新的特征向量。
步骤250,重复步骤210-240,可以获得更加准确的特征向量,该步骤为可选步骤。
步骤260,对处理后的新的特征向量进行特征降维。利用噪声自编码器对特征向量进行降维,混入高斯随机噪声,利用编码器编码,可以将高维的特征向量压缩为低维的特征向量(通常小于10)。
步骤270,将最终的低维特征向量传递给半监督分类模块。
如图4所示,半监督分类包括以下步骤:
步骤310:利用半监督分类模块接受低维的特征向量。
步骤320:利用半监督分类学习算法中的自我学习Self-Learning算法和其他分类算法,对特征向量进行分类。
步骤330:包含攻击标记的数据类即为分类结果,该类中的所有节点都可被认为是遭受过横向移动攻击。
步骤340:输出结果。
最后所应说明的是,以上实施案例仅用以说明本发明的技术方案而非限制,本领域的普通技术人员应当理解,可对本发明的技术方案进行修改或者等价替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求的保护范围当中。
Claims (10)
1.一种检测内网横向移动攻击的方法,其特征在于,包括以下步骤:
收集内网设备的流量及日志数据;
提取上述数据中的所有节点,连接进行过网络通信的两个节点,构建主机间通信图;
将每两个连接的节点之间的流量数据提取合并,以及将节点上的数据提取合并,分别作为特征值赋值给主机间通信图的边和点;
利用网络表示学习方法,将带有特征的主机间通信图进行降维,利用自编码器提取出低维特征向量;
利用半监督分类学习算法对低维特征向量进行分类,区分出疑似遭受过攻击的主机。
2.如权利要求1所述的方法,其特征在于,在构建主机间通信图时,需引入预先标记好的攻击/非攻击流量数据。
3.如权利要求1所述的方法,其特征在于,将带有特征的主机间通信图进行降维的方法包括以下步骤:
1)计算主机间通信图的结构特征,将该结构特征添加至特征向量中;
2)利用特征处理算子处理邻接元素特征向量的每一个特征,将处理得到的新的特征添加至当前元素的特征向量中;邻接元素包括邻接节点和邻接边,邻接节点是指一节点的有向入边的起点节点和有向出边的终点节点,邻接边是指一有向边的起点的有向边和终点的有向边;
3)对处理后的新的特征向量进行特征选择,采用社区发现算法将特征向量中相似的特征聚合在一起,取每一个社区中最重要的特征组成新的特征向量;
4)利用噪声自编码器对上述组成的新的特征向量进行降维,混入高斯随机噪声,利用编码器编码,将高维的特征向量压缩为低维的特征向量。
4.如权利要求3所述的方法,其特征在于,重复步骤1)-3),以获得更准确的新的特征向量。
5.如权利要求3所述的方法,其特征在于,主机间通信图的结构特征包括节点和有向边的出度、入度、度及PageRank。
6.如权利要求3所述的方法,其特征在于,特征处理算子包括求和函数、求积函数、差分函数。
7.如权利要求1所述的方法,其特征在于,低维特征向量维度小于10。
8.如权利要求1所述的方法,其特征在于,半监督分类学习算法在使用前,已预先通过标定的部分风险主机或主机间流量训练好。
9.如权利要求1所述的方法,其特征在于,半监督分类学习算法包括Self-Learning算法。
10.一种检测内网横向移动攻击的系统,其特征在于,包括:
内网数据收集模块,用于收集内网设备的流量及日志数据;
主机间通信图构建模块,用于提取收集的数据中的所有节点,连接进行过网络通信的两个节点,构建主机间通信图;并将每两个连接的节点之间的流量数据提取合并,以及将节点上的数据提取合并,分别作为特征值赋值给主机间通信图的边和点;
网络表示学习降维模块,用于利用网络表示学习方法,将带有特征的主机间通信图进行降维,利用自编码器提取出低维特征向量;
半监督分类模块,用于利用半监督分类学习算法对低维特征向量进行分类,区分出疑似遭受过攻击的主机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910807836.5A CN110519276A (zh) | 2019-08-29 | 2019-08-29 | 一种检测内网横向移动攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910807836.5A CN110519276A (zh) | 2019-08-29 | 2019-08-29 | 一种检测内网横向移动攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110519276A true CN110519276A (zh) | 2019-11-29 |
Family
ID=68628875
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910807836.5A Pending CN110519276A (zh) | 2019-08-29 | 2019-08-29 | 一种检测内网横向移动攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110519276A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111049680A (zh) * | 2019-12-05 | 2020-04-21 | 中国科学院信息工程研究所 | 一种基于图表示学习的内网横向移动检测系统及方法 |
| CN111147513A (zh) * | 2019-12-31 | 2020-05-12 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 |
| CN111857965A (zh) * | 2020-07-28 | 2020-10-30 | 浙江军盾信息科技有限公司 | 内网威胁检测方法、装置、设备和计算机设备 |
| CN112511559A (zh) * | 2020-12-17 | 2021-03-16 | 中国农业银行股份有限公司 | 内网横向移动攻击的检测方法及系统 |
| CN113094707A (zh) * | 2021-03-31 | 2021-07-09 | 中国科学院信息工程研究所 | 一种基于异质图网络的横向移动攻击检测方法及系统 |
| CN113496222A (zh) * | 2021-09-09 | 2021-10-12 | 南方电网数字电网研究院有限公司 | 基于无标签图表数据的模式识别方法、装置和计算机设备 |
| CN114846770A (zh) * | 2019-12-31 | 2022-08-02 | 微软技术许可有限责任公司 | 横向移动路径中的风险边的实时检测 |
| CN114912109A (zh) * | 2022-07-19 | 2022-08-16 | 中孚安全技术有限公司 | 一种基于图嵌入的异常行为序列识别方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103336865A (zh) * | 2013-06-26 | 2013-10-02 | 中国科学院信息工程研究所 | 一种动态通信网络构建方法及装置 |
| CN107301640A (zh) * | 2017-06-19 | 2017-10-27 | 太原理工大学 | 一种基于卷积神经网络的目标检测实现肺部微小结节检测的方法 |
| CN109816245A (zh) * | 2019-01-25 | 2019-05-28 | 北京海致星图科技有限公司 | 用于对公授信客户风险预警的风险传导评估系统及方法 |
-
2019
- 2019-08-29 CN CN201910807836.5A patent/CN110519276A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103336865A (zh) * | 2013-06-26 | 2013-10-02 | 中国科学院信息工程研究所 | 一种动态通信网络构建方法及装置 |
| CN107301640A (zh) * | 2017-06-19 | 2017-10-27 | 太原理工大学 | 一种基于卷积神经网络的目标检测实现肺部微小结节检测的方法 |
| CN109816245A (zh) * | 2019-01-25 | 2019-05-28 | 北京海致星图科技有限公司 | 用于对公授信客户风险预警的风险传导评估系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| MINGYI CHEN 等: "A Novel Approach for Identifying Lateral Movement Attacks Based on Network Embedding", 《IEEE》 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111049680A (zh) * | 2019-12-05 | 2020-04-21 | 中国科学院信息工程研究所 | 一种基于图表示学习的内网横向移动检测系统及方法 |
| CN111049680B (zh) * | 2019-12-05 | 2021-05-25 | 中国科学院信息工程研究所 | 一种基于图表示学习的内网横向移动检测系统及方法 |
| CN111147513A (zh) * | 2019-12-31 | 2020-05-12 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 |
| CN114846770A (zh) * | 2019-12-31 | 2022-08-02 | 微软技术许可有限责任公司 | 横向移动路径中的风险边的实时检测 |
| CN111857965A (zh) * | 2020-07-28 | 2020-10-30 | 浙江军盾信息科技有限公司 | 内网威胁检测方法、装置、设备和计算机设备 |
| CN112511559A (zh) * | 2020-12-17 | 2021-03-16 | 中国农业银行股份有限公司 | 内网横向移动攻击的检测方法及系统 |
| CN112511559B (zh) * | 2020-12-17 | 2023-06-16 | 中国农业银行股份有限公司 | 内网横向移动攻击的检测方法及系统 |
| CN113094707A (zh) * | 2021-03-31 | 2021-07-09 | 中国科学院信息工程研究所 | 一种基于异质图网络的横向移动攻击检测方法及系统 |
| CN113094707B (zh) * | 2021-03-31 | 2024-05-14 | 中国科学院信息工程研究所 | 一种基于异质图网络的横向移动攻击检测方法及系统 |
| CN113496222A (zh) * | 2021-09-09 | 2021-10-12 | 南方电网数字电网研究院有限公司 | 基于无标签图表数据的模式识别方法、装置和计算机设备 |
| CN114912109A (zh) * | 2022-07-19 | 2022-08-16 | 中孚安全技术有限公司 | 一种基于图嵌入的异常行为序列识别方法及系统 |
| CN114912109B (zh) * | 2022-07-19 | 2022-12-06 | 中孚安全技术有限公司 | 一种基于图嵌入的异常行为序列识别方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110519276A (zh) | 一种检测内网横向移动攻击的方法 | |
| Hoque et al. | An implementation of intrusion detection system using genetic algorithm | |
| CN109309675A (zh) | 一种基于卷积神经网络的网络入侵检测方法 | |
| Srivastav et al. | Novel intrusion detection system integrating layered framework with neural network | |
| CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
| CN108470003A (zh) | 模糊测试方法、装置和系统 | |
| CN103905372A (zh) | 一种钓鱼网站去误报的方法和装置 | |
| Folorunso et al. | Ca-NIDS: A network intrusion detection system using combinatorial algorithm approach | |
| CN104852916A (zh) | 一种基于社会工程学的网页验证码识别方法及系统 | |
| CN111147490A (zh) | 一种定向钓鱼攻击事件发现方法及装置 | |
| CN115499185A (zh) | 一种电力监控系统网络安全客体异常行为分析方法及系统 | |
| CN106973051B (zh) | 建立检测网络威胁模型的方法、装置和存储介质 | |
| CN110334510A (zh) | 一种基于随机森林算法的恶意文件检测技术 | |
| Kumar et al. | Intrusion detection system-false positive alert reduction technique | |
| CN103501302A (zh) | 一种蠕虫特征自动提取的方法及系统 | |
| Ahmed et al. | A framework for phishing attack identification using rough set and formal concept analysis | |
| CN103825875A (zh) | 一种疫苗接种策略的虚拟机检测方法 | |
| Song et al. | A comprehensive approach to detect unknown attacks via intrusion detection alerts | |
| CN115643119A (zh) | 一种网络攻击检测方法及装置 | |
| Phutane et al. | A survey of intrusion detection system using different data mining techniques | |
| Arade et al. | Antiphishing model with url & image based webpage matching | |
| Bohacik et al. | Data mining-based phishing detection | |
| Wang et al. | MBM-IoT: Intelligent multi-baseline modeling of heterogeneous device behaviors against iot botnet | |
| Choi et al. | Two-step hierarchical scheme for detecting detoured attacks to the web server | |
| Ye et al. | An attack-norm separation approach for detecting cyber attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20191129 |