CN111931173A - 一种基于apt攻击意图的操作权限控制方法 - Google Patents

Abstract

本发明公开了一种基于APT攻击意图的操作权限控制方法，包括步骤：一、获取网络及系统日志，识别APT攻击行为；二、针对APT攻击行为进行攻击检查，获取APT攻击内容并发出报警信息；三、根据获取到的APT攻击内容，对其攻击的目标文件、目标操作和目标操作权限，建立攻击意图逻辑关系，并根据攻击意图逻辑关系和报警信息预测下一步的攻击意图；四、基于知识图谱技术生成针对攻击意图的操作指导知识图谱，显示在操作界面上，管理员根据操作指导知识图谱进行操作，避开APT攻击威胁。本发明具有更高的可控性，对攻击意图的识别更精准，不会导致人工工作量过高,降低了工作的难度，实现了操作的安全性和便利性。

Description

一种基于APT攻击意图的操作权限控制方法

技术领域

本发明属于计算机领域中的网络安全技术领域，具体涉及一种基于APT攻击意图的操作权限控制方法。

背景技术

APT(Advanced Persistent Threat，高级持续性威胁)通常是由专业的黑客组织发动有针对性的攻击，APT攻击往往具有一个完整的、精心策划的攻击过程。

APT攻击的特点是：攻击目的越来越明确，攻击范围越来越专注，攻击领域广，攻击行为难以侦测，具有极强隐蔽性且长期持续，严重地威胁着国家安全和公民权益。

APT攻击的最大原因在于，具有系统权限的矛盾性，当程序具有较高的操作权限时，容易进行攻击行为，而当程序权限少时，用户操作会变得困难，需要大量的进行认证。因此，如果能够识别攻击意图，针对性的在攻击概率小的操作上，进行权限的放开控制，在攻击概率大的操作进行严格操作，就能够更好的控制攻击行为，这个不断变化权限的操作很多时候是很复杂的，需要针对性的获得具体的攻击方向，以及给出权限控制的修改意见。

鉴于APT攻击的特殊性，传统的网络安全防御机制难以在和APT的对抗中起到作用，因此，挖掘出攻击行为，进一步识别出攻击意图，预测关联到下一步可能会攻击的目标，要针对性的加强防护。

发明内容

本发明所要解决的技术问题在于针对上述现有技术中的不足，提供一种基于APT攻击意图的操作权限控制方法，本发明具有更高的可控性，对攻击意图的识别更精准，不会导致人工工作量过高,降低了工作的难度，实现了操作的安全性和便利性。

为解决上述技术问题，本发明采用的技术方案是：一种基于APT攻击意图的操作权限控制方法，该方法包括以下步骤：

步骤一、获取网络及系统日志，识别APT攻击行为；

步骤二、针对APT攻击行为，包括攻击的目标文件、目标操作和目标操作权限，进行攻击检查，获取APT攻击内容并发出报警信息；

步骤三、根据获取到的APT攻击内容，对其攻击的目标文件、目标操作和目标操作权限，建立攻击意图逻辑关系，并根据攻击意图逻辑关系和报警信息预测下一步的攻击意图；

步骤四、根据预测出来的下一步的攻击意图，生成攻击意图描述，基于知识图谱技术生成针对攻击意图的操作指导知识图谱，显示在操作界面上，管理员根据操作指导知识图谱进行操作，避开APT攻击威胁。

上述的一种基于APT攻击意图的操作权限控制方法，步骤一中所述获取网络及系统日志，识别APT攻击行为的具体过程为：

步骤1A1、收集网络及系统日志，通过网络日志获取网络链接日志记录，通过dns日志从网络及系统日志中获得相关信息数据的域名进而查询其源IP地址，针对具体某一IP地址的访问，dns日志解析其源IP地址，包括访问参数、访问内容和dns服务器的返回数据；

步骤1A2、基于DBSCAN聚类分析的日志挖掘，找出异常操作的日志，识别为APT攻击行为。

上述的一种基于APT攻击意图的操作权限控制方法，步骤1A2中所述基于DBSCAN聚类分析的日志挖掘，找出异常操作的日志的具体过程为：

步骤1A21、设置当前领域相似度阈值的值为；其中，为领域相似度阈值的上限值；

步骤1A22、对网络及系统日志进行DBSCAN算法聚类，得到一组领域为的类，并将第次得到的领域为的类标记为；其中，的取值为非零自然数；

步骤1A23、提取出所有离群点；

步骤1A24、当离群点的数量小于预设的离群点数量阈值时，或者的值为时，执行步骤1A25；否则的取值减小0.1，返回执行步骤1A22；其中，为领域相似度阈值的下限值；

步骤1A25、设置的值为；

步骤1A26、对提取出的所有离群点进行DBSCAN算法聚类；

步骤1A27、将特殊的离群点作为具有攻击行为的异常日志；

步骤1A28、当还有离群点尚未完成聚到一个类时，的取值减小0.01，返回执行步骤1A26，直到全部聚类完成。

上述的一种基于APT攻击意图的操作权限控制方法，所述的取值为0.7，所述的取值为0.4。

上述的一种基于APT攻击意图的操作权限控制方法，步骤一中所述获取网络及系统日志，识别APT攻击行为的具体过程为：

步骤1B1、获取用户行为特征；

步骤1B2、采用深度学习算法判断用户行为的危险等级；

步骤1B3、判断用户行为的危险等级是否超过了预设的预警等级，当用户行为的危险等级超过了预警等级时，执行步骤1B4，否则，返回步骤1B1；

步骤1B4、获取当前用户前期所有操作日志，并针对当前用户访问过的操作日志，获取具有相同访问操作的过往的其他正常用户的所有操作日志；

步骤1B5、基于当前用户与其他正常用户的操作日志，进行基于操作日志的用户相似度计算，将用户相似度计算值小于预设用户相似度阈值的正常用户标记为相似用户，获得相似用户集；

步骤1B6、采用协同过滤算法判断当前用户的下一步操作，并判断该操作是否为APT攻击操作，当该操作是APT攻击操作时，将其识别为APT攻击行为。

上述的一种基于APT攻击意图的操作权限控制方法，步骤二中所述针对APT攻击行为，包括攻击的目标文件、目标操作和目标操作权限，进行攻击检查，获取APT攻击内容并发出报警信息时，采用Snort开源软件进行，具体方法为：按照设定的规则，将被攻击的目标文件、目标操作和目标操作权限的数据中各个字段的特征，存入数据库，在攻击检查时，将数据包和数据库中的数据特征进行模式匹配，分析出其攻击内容，同时，在识别过程中产生报警功能，用多种方式发出警报，并基于不同的攻击方式增加新的规则。

上述的一种基于APT攻击意图的操作权限控制方法，步骤二中所述基于不同的攻击方式增加新的规则的方法为在Snort中构建一种对被攻击的目标文件、目标操作和目标操作权限数据包的一种描述，当接收到的数据包与某个特定的识别规则相匹配时，Snort采取通过、记录日志以及发出警报三种方式进行处理。

上述的一种基于APT攻击意图的操作权限控制方法，步骤三中所述建立攻击意图逻辑关系时，将攻击意图逻辑关系G定义为一个六元组，表示为G={I（G）），E（G），R（G），W（G），H（G），L（G）}，其中，

I（G）=（I1，I2,…,In），I（G）表示节点I1，I2,…,In的集合，其中每个节点对应一种攻击意图类型；n为节点总数且为自然数；

E(G)=（e1,e2,…,en），E(G)表示有向边e1,e2,…,en的集合，由顶点的有序对惟一确定，有向边对应攻击意图的依赖关系；n为有向边总数且为自然数；

R（G）={R（I1）,R（I2）,…,R（In）}，R（G）表示报警信息R（I1）,R（I2）,…,R（In）的集合，R（G）中元素与I（G）中元素一一对应，R（Ii）表示攻击意图类型是Ii的报警信息集合,i的取值为1～n的自然数；

W（G）=（w（I1）,w（I2）,…,w（In）），W（G）表示权值w（I1）,w（I2）,…,w（In）的集合，W（G）中元素与I（G）中元素一一对应，w（Ii）表示攻击意图类型Ii在攻击过程中间的重要性，i的取值为1～n的自然数；

H（G）=（h1，h2，…,hn），H（G）表示逻辑关系表达式h1，h2，…,hn的集合，H（G）表示节点间的关联条件，H（G）与E（G）中的元素一一对应，hi是表示有向边ei对应两个顶点间的逻辑关系表达式，i的取值为1～n的自然数；

L（G）=（L1,L2,…,Ln），L（G）表示逻辑关系表达式L1,L2,…,Ln的集合，L（G）与I（G）中的元素一一对应，Li表示攻击意图节点Ii的前驱攻击意图节点与Ii组成有向边间的逻辑关系表达式。

上述的一种基于APT攻击意图的操作权限控制方法，步骤四中所述攻击意图描述包括攻击目标、攻击概率、操作权限和攻击时间，所述操作权限包括是否可复制、是否可读写、是否可删除、是否可对程序进行调试、是否可对程序进行维护和是否可对系统升级。

上述的一种基于APT攻击意图的操作权限控制方法，步骤四中所述根据预测出来的下一步的攻击意图，生成攻击意图描述，基于知识图谱技术生成针对攻击意图的操作指导知识图谱，显示在操作界面上，管理员根据操作指导知识图谱进行操作，避开APT攻击威胁的具体过程为：

步骤401、对攻击意图描述进行编码，生成操作编码，生成针对该防御的操作控制的口令输入，所述操作编码为三元组，每个三元组包括主语、谓语、宾语，主语包含被攻击的文件名，谓语为攻击类型，宾语为针对该攻击的防御操作方法；

步骤402、将所述主语、谓语、宾语汇总构建成为三元组，存入知识图谱相关图数据库，并对三元组图数据库根据预设密钥对操作编码进行加密；

步骤403、服务器通过排序规则对加密操作编码进行排序存储，生成应用于防御操作控制的口令输入，并在预测到文件可能被攻击时，自动检索和分析，通过匹配三元组库中的主语和谓语，获取到宾语，得到针对攻击的防御操作方法；

步骤404、在操作界面上弹出针对攻击的防御操作方法，管理员通过输入密码，获取防御操作方法后，系统辅助其实现口令输入，完成对操作权限的控制和避开APT攻击威胁。

本发明与现有技术相比具有以下优点：

1、本发明通过DBSCAN聚类操作的算法，找出离群点，分析出异常操作日志的非法操作，抽取出他们跟正常行为是具有不同点的，属于异常行为，就能够识别APT攻击行为，设计新颖合理，实现方便。

2、本发明通过Snort开源软件辅助攻击检测，对数据和规则进行模式匹配来发现各种攻击及意图，同时，在识别过程中产生报警功能，用多种方式发出警报，并基于不同的攻击方式增加新的规则，并根据自动构建识别的规则构建攻击意图逻辑关系图，设计新颖合理，实现方便。

3、本发明通过构建操控指导知识图谱，完成对操作权限的控制和避开攻击威胁，能够让管理员操作计算机进行防御，降低了工作的难度，并且实现了操作的安全性和便利性。

4、本发明将更多的控制权限给管理员，让管理员进行相关操作，比单独将权限给计算机，能够具有更高的可控性，对攻击意图的识别更精准，能够针对性的针对部分易被攻击的内容进行操作，不会导致人工工作量过高。

综上所述，本发明具有更高的可控性，对攻击意图的识别更精准，不会导致人工工作量过高,降低了工作的难度，实现了操作的安全性和便利性。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

图1为本发明的方法流程框图。

具体实施方式

实施例1

如图1所示，本实施的基于APT攻击意图的操作权限控制方法，包括以下步骤：

步骤一、获取网络及系统日志，识别APT攻击行为；

本实施例中，步骤一中所述获取网络及系统日志，识别APT攻击行为的具体过程为：

步骤1A1、收集网络及系统日志，通过网络日志获取网络链接日志记录，通过dns日志从网络及系统日志中获得相关信息数据的域名进而查询其源IP地址，针对具体某一IP地址的访问，dns日志解析其源IP地址，包括访问参数、访问内容和dns服务器的返回数据；

步骤1A2、基于DBSCAN聚类分析的日志挖掘，找出异常操作的日志，识别为APT攻击行为。

本实施例中，步骤1A2中所述基于DBSCAN聚类分析的日志挖掘，找出异常操作的日志的具体过程为：

步骤1A21、设置当前领域相似度阈值的值为；其中，为领域相似度阈值的上限值；

步骤1A22、对网络及系统日志进行DBSCAN算法聚类，得到一组领域为的类，并将第次得到的领域为的类标记为；其中，的取值为非零自然数；

步骤1A23、提取出所有离群点；即噪声对象，错误的日志内容；

步骤1A24、当离群点的数量小于预设的离群点数量阈值时，或者的值为时，执行步骤1A25；否则的取值减小0.1，返回执行步骤1A22；其中，为领域相似度阈值的下限值；

步骤1A25、设置的值为；

步骤1A26、对提取出的所有离群点进行DBSCAN算法聚类；

步骤1A27、将特殊的离群点作为具有攻击行为的异常日志；

步骤1A28、当还有离群点尚未完成聚到一个类时，的取值减小0.01，返回执行步骤1A26，直到全部聚类完成。

本实施例中，所述的取值为0.7，所述的取值为0.4。

具体实施时，当领域相似度阈值的值为1时，只有记录完全相同的日志能放到一个族中；当领域相似度阈值的值为0.01时，大部分记录毫不相关的日志数据也能分到一个族中；本发明将的取值设置为0.4～0.7，即将的值取为0.7，将的值取为0.4，能够很好地满足聚类需求，将文本含义相似的日志记录放到一起，识别出具有攻击行为的异常操作日志。

DBSCAN算法聚类，是把具有密度特别高的区域划分为各个族群，且能在空间中剔除有“噪声”的区域，自动构建聚类形状，将特殊的离群点，作为具有攻击行为的异常日志，所述特殊的离群点就是异常操作的日志。

通过上面的DBSCAN算法聚类，能够分析出异常操作日志的非法操作，抽取出他们跟正常行为是具有不同点的，属于异常行为，因此就能够识别APT攻击行为。例如，这些操作显示为端口扫描，扫描时间短，间隔时间长，每秒扫描1～5次，攻击者通过扫描，下载了所需要的某些资料。通过截获异常操作日志的非法数据包，根据非法数据包的入侵深度、入侵频率获得其攻击行为。

步骤二、针对APT攻击行为，包括攻击的目标文件、目标操作和目标操作权限，进行攻击检查，获取APT攻击内容并发出报警信息；

本实施例中，步骤二中所述针对APT攻击行为，包括攻击的目标文件、目标操作和目标操作权限，进行攻击检查，获取APT攻击内容并发出报警信息时，采用Snort开源软件进行，具体方法为：按照设定的规则，将被攻击的目标文件、目标操作和目标操作权限的数据中各个字段的特征，存入数据库，在攻击检查时，将数据包和数据库中的数据特征进行模式匹配，分析出其攻击内容，例如，识别出缓冲区溢出攻击，隐蔽端口扫描，CGI攻击；同时，在识别过程中产生报警功能，用多种方式发出警报，并基于不同的攻击方式增加新的规则。例如，当获取了有关IIS Showcode攻击的详细路径和方法后，进行日志报警，并针对这种攻击，让Snort能够针对IIS Showcode攻击，自动构建识别规则。

本实施例中，步骤二中所述基于不同的攻击方式增加新的规则（即自动构建识别规则）的方法为在Snort中构建一种对被攻击的目标文件、目标操作和目标操作权限数据包的一种描述，当接收到的数据包与某个特定的识别规则相匹配时，Snort采取通过、记录日志以及发出警报三种方式进行处理。

例如，构建识别规则：alert tcp any any->10.1.1.0/24 80(content:"/cgi-bin/phf";nsg"PHF probe!")，用来检查本地网络中web服务器的PHF服务的探测，当从探测到攻击目标文件、目标操作和目标操作权限的数据包与该规则匹配时，Snort就发出报警信息，并把整个数据包记录到日志。

网络攻击中的大量信息，包括目标文件、目标操作和目标操作权限都是通过数据的传输承载的，记录攻击行为，分析攻击意图最基本的就是对这些操作数据进行分析。以上通过自动分析工具类型，并自动添加识别规则，识别APT网络攻击，使用Snort记录在攻击主机和网络之间的数据流，对记录的数据进行分析，得到一个新的攻击的特征，最后把得到的特征加入到识别规则中。通过上述的步骤，可以从snort得到攻击者的协议类型、源地址、目标地址、掩码、端口、内容，并通过攻击规则的自动构建，用与、或、非等关系连接起来，以便攻击检测系统或网络安全人员后面做相应的反应来进行防御。

步骤三、根据获取到的APT攻击内容，对其攻击的目标文件、目标操作和目标操作权限，建立攻击意图逻辑关系，并根据攻击意图逻辑关系和报警信息预测下一步的攻击意图；

本实施例中，步骤三中所述建立攻击意图逻辑关系时，将攻击意图逻辑关系G定义为一个六元组，表示为G={I（G）），E（G），R（G），W（G），H（G），L（G）}，其中，

I（G）=（I1，I2,…,In），I（G）表示节点I1，I2,…,In的集合，其中每个节点对应一种攻击意图类型；n为节点总数且为自然数；

E(G)=（e1,e2,…,en），E(G)表示有向边e1,e2,…,en的集合，由顶点的有序对惟一确定，有向边对应攻击意图的依赖关系；n为有向边总数且为自然数；

R（G）={R（I1）,R（I2）,…,R（In）}，R（G）表示报警信息R（I1）,R（I2）,…,R（In）的集合，R（G）中元素与I（G）中元素一一对应，R（Ii）表示攻击意图类型是Ii的报警信息集合,i的取值为1～n的自然数；

W（G）=（w（I1）,w（I2）,…,w（In）），W（G）表示权值w（I1）,w（I2）,…,w（In）的集合，W（G）中元素与I（G）中元素一一对应，w（Ii）表示攻击意图类型Ii在攻击过程中间的重要性，i的取值为1～n的自然数；

H（G）=（h1，h2，…,hn），H（G）表示逻辑关系表达式h1，h2，…,hn的集合，H（G）表示节点间的关联条件，H（G）与E（G）中的元素一一对应，hi是表示有向边ei对应两个顶点间的逻辑关系表达式，i的取值为1～n的自然数；

L（G）=（L1,L2,…,Ln），L（G）表示逻辑关系表达式L1,L2,…,Ln的集合，L（G）与I（G）中的元素一一对应，Li表示攻击意图节点Ii的前驱攻击意图节点与Ii组成有向边间的逻辑关系表达式。

通过上面的方法，能够在获得了几种攻击内容，并且判断出这些攻击内容之间的逻辑关系后，判断下一步可能攻击的目标；例如，某个攻击为“隐蔽端口扫描、CGI攻击”，通过获取了报警信息，以及基于snort规则，判断出CGI攻击与doss攻击有逻辑关联关系，通过上述攻击意图逻辑关系图的运算，就可以进一步预测，该病毒接下去可能还会进行doss攻击方面的端口扫描。

步骤四、根据预测出来的下一步的攻击意图，生成攻击意图描述，基于知识图谱技术生成针对攻击意图的操作指导知识图谱，显示在操作界面上，管理员根据操作指导知识图谱进行操作，避开APT攻击威胁。

本实施例中，步骤四中所述攻击意图描述包括攻击目标、攻击概率、操作权限和攻击时间，所述操作权限包括是否可复制、是否可读写、是否可删除、是否可对程序进行调试、是否可对程序进行维护和是否可对系统升级。

具体实施时，所述攻击意图描述包括操作指令或操作代码。

具体实施时，针对预测到被攻击概率高的目标文件、目标操作和目标操作权限，将程序自动控制的权限进行自动降级，降级为需要通过密码输入的方式，将控制权更多的交由人工操作；由于将控制权交由人工操作，会导致工作变动更加繁琐，以及人工较难记住针对该文件及操作的各种命令，因此通过知识图谱技术，将该文件的控制，构建操作指导知识图谱，方便管理员对它进行人工操作。

本实施例中，步骤四中所述根据预测出来的下一步的攻击意图，生成攻击意图描述，基于知识图谱技术生成针对攻击意图的操作指导知识图谱，显示在操作界面上，管理员根据操作指导知识图谱进行操作，避开APT攻击威胁的具体过程为：

步骤401、对攻击意图描述进行编码，生成操作编码，生成针对该防御的操作控制的口令输入，所述操作编码为三元组，每个三元组包括主语、谓语、宾语，主语包含被攻击的文件名，谓语为攻击类型，宾语为针对该攻击的防御操作方法；

步骤402、将所述主语、谓语、宾语汇总构建成为三元组，存入知识图谱相关图数据库，并对三元组图数据库根据预设密钥对操作编码进行加密；通过加密避免操作方法被病毒自动获取和篡改；

步骤403、服务器通过排序规则对加密操作编码进行排序存储，生成应用于防御操作控制的口令输入，并在预测到文件可能被攻击时，自动检索和分析，通过匹配三元组库中的主语和谓语，获取到宾语，得到针对攻击的防御操作方法；

步骤404、在操作界面上弹出针对攻击的防御操作方法，管理员通过输入密码，获取防御操作方法后，系统辅助其实现口令输入，完成对操作权限的控制和避开APT攻击威胁。

通过以上方法能够让管理员操作计算机进行防御，降低了工作的难度，并且实现了操作的安全性和便利性。

实施例2

本实施例与实施例1不同的是：步骤一中所述获取网络及系统日志，识别APT攻击行为的具体过程为：

步骤1B1、获取用户行为特征；

具体实施时，步骤1B1中所述获取用户行为特征是对用户行为进行操作影响文件数、是否系统文件、是否保密文件、是否修改权限进行one-hot词向量的特征提取。所述one-hot词向量采用128维度的词向量进行特征提取。用户的行为特征中携带有操作行为安全等级信息，操作行为安全等级信息包括操作影响文件数、是否系统文件、是否保密文件和是否修改权限，根据这些特征进行用户行为的危险等级判断。

步骤1B2、采用深度学习算法判断用户行为的危险等级；

步骤1B2中所述采用深度学习算法判断用户行为的危险等级，是将步骤1B1中的用户行为特征进行归一化处理后，进行数据格式转换，使其适应需要的深度学习网络模型输入格式，再输入到预先训练好的的深度学习网络模型中，获得深度学习网络模型的输出，所述深度学习网络模型的输出为用户行为的危险等级。

步骤1B2中所述将步骤一中的用户行为特征进行归一化处理时，采用feature_normalize函数进行归一化处理；

步骤二中对所述深度学习网络模型进行训练时，采用pytorch框架里面的torch.nn.RNN类，通过调用RNN循环神经网络模型进行训练，训练样本为用户操作的历史数据N条，每条历史数据中均包括操作影响文件数、是否系统文件、是否保密文件、是否修改权限和危险等级。

具体实施时，所述N的取值为100万,100万条数据来源于用户的操作日志，是系统自动记录的数据，这些数据只要系统被用户操作过或者网站被用户访问，就会自动记录；从100万条数据中截取的前4条数据如表1所示：

表1 深度学习网络模型训练样本数据表

100万条数据中其余的数据结构都是一样的，在此不一一列出了。

另外，具体实施时，也可以将N条历史数据分为训练样本集，和测试样本集，或者，取N条历史数据作为训练样本集，再取另外N’条历史数据作为测试样本集，训练样本集用于构建深度学习网络模型，测试样本集用于检测深度学习网络模型，并评估深度学习网络模型的准确率；通过设置训练样本集和测试样本集，能够防止深度学习网络模型的构建过度拟合，能够保证深度学习网络模型的准确性和可行性。

步骤1B3、判断用户行为的危险等级是否超过了预设的预警等级，当用户行为的危险等级超过了预警等级时，执行步骤1B4，否则，返回步骤1B1；

具体实施时，将危险等级分为1～4级，将预警等级设定为3级，当用户行为的危险等级超过3级，即为4级时，执行步骤1B4；

步骤1B4、获取当前用户前期所有操作日志，并针对当前用户访问过的操作日志，获取具有相同访问操作的过往的其他正常用户的所有操作日志；

步骤1B4中所述所有操作日志包括用户系统操作日志，文件访问日志和网络访问日志。

所述网络访问日志的获取是采用用于对网络日志进行处理的数据处理模块完成的，所述文件访问日志的获取是将文件的访问路径转化为网络路径后采用与网络访问日志同样的方法完成的；所述数据处理模块包括数据清洗子模块、格式转换子模块、访问用户识别子模块和访问路径树的生成子模块，具体为：

所述数据清洗子模块用于对网络日志中的噪音异常进行处理，以及对链接进行补全、去除爬虫日志和去除空白错误日志；所述噪音异常包括爬虫数据、被动请求链接和异常IP访问数据；

所述格式转换子模块用于对访问来源的referer与当前请求request字段，进行格式转化并进行响应的分类；这有利于路径树的生成并可以支持不同页面的不同粒度分析；

所述访问用户识别子模块用于识别真实的用户，以及评判用户是否是同一个用户；用户浏览网站时无论登录与否，都能识别出其唯一的身份，通过cookie、ip进行识别；因为要精确的了解每一个用户的特征，还需要对其访问的内容做精确的路径生成；

所述访问路径树的生成子模块用于将处理完成的数据转化为访问路径树，存储到数据库中。

具体实施时，当不同的用户通过SSH或者其他远程登录方式访问主机时，记录用户的身份，并对用户的访问生成路径树，最终存放到数据库中；设置访问用户识别子模块，能够实现对用户的监控，有利于即使病毒获取了用户名密码，以正常用户登录，进行有权限的操作时，即使他操作违规，也可以被系统分析出来，进行相应的报警。

步骤1B5、基于当前用户与其他正常用户的操作日志，进行基于操作日志的用户相似度计算，将用户相似度计算值小于预设用户相似度阈值的正常用户标记为相似用户，获得相似用户集；

步骤1B5中所述进行基于操作日志的用户相似度计算时采用的计算公式为：

其中，表示当前用户与第个正常用户的用户相似度，用户相似度的计算值越小，表示两个用于越接近；表示当前用户，表示正常用户中的第个正常用户，的取值为1～J的自然数，J为正常用户的总数量；表示当前用户操作日志中的第个操作日志，表示其他正常用户中的第个用户的操作日志中的第个操作日志，的取值为1～n的自然数，n为选取进行用户相似度计算的当前用户操作日志的数量。

具体实施时，选取进行用户相似度计算的其他正常用户操作日志的数量与选取进行用户相似度计算的当前用户操作日志的数量相等，且均为n个。

步骤1B6、采用协同过滤算法判断当前用户的下一步操作，并判断该操作是否为APT攻击操作，当该操作是APT攻击操作时，将其识别为APT攻击行为。

步骤1B6中所述采用引入多样性因子的协同过滤算法判断当前用户的下一步操作，并判断该操作是否为APT攻击操作的具体方法为：找到相似用户集中的用户可能会操作的，而当前用户还没有操作过的操作步骤，推荐给当前用户，当推荐的操作内容，没有包含在当前用户的下一步操作内容时，将当前用户的下一步操作判断为APT攻击操作。

例如，用户A是一个正常用户，他在两天前操作过：

‘打开过一个需写权限的加密文件’userid.doc’’，

‘以ssh账号登录服务器并将该userid.doc文件上传到IP为192.168.0.3的内部服务器。’

而当前用户B也操作过‘打开过一个需写权限的加密文件’userid.doc’’，

当需要对B进行操作安全性分析时，我们需要判断，他是否上传了userid.doc文件，以及判断上传地址是否就是正常用户A用户的举动，还是它跟相似用户有很大的行为不一样。以此来判断，当前用户的操作是否为异常操作。

步骤1B6中采用了依据用户日志的操作协同过滤算法（UserCF），通过这个方法，可以判断，当推荐的操作内容，没有包含在用户的下一步操作内容时，那么该用户的下一步操作是具有不规范性的，是一种攻击行为。

其余方法均与实施例1相同。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。

前述对本发明的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本发明限定为所公开的精确形式，并且很显然，根据上述教导，可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本发明的特定原理及其实际应用，从而使得本领域的技术人员能够实现并利用本发明的各种不同的示例性实施方案以及各种不同的选择和改变。本发明的范围意在由权利要求书及其等同形式所限定。

Claims (10)

1.一种基于APT攻击意图的操作权限控制方法，其特征在于，该方法包括以下步骤：

步骤一、获取网络及系统日志，识别APT攻击行为；

步骤二、针对APT攻击行为，包括攻击的目标文件、目标操作和目标操作权限，进行攻击检查，获取APT攻击内容并发出报警信息；

步骤三、根据获取到的APT攻击内容，对其攻击的目标文件、目标操作和目标操作权限，建立攻击意图逻辑关系，并根据攻击意图逻辑关系和报警信息预测下一步的攻击意图；

步骤四、根据预测出来的下一步的攻击意图，生成攻击意图描述，基于知识图谱技术生成针对攻击意图的操作指导知识图谱，显示在操作界面上，管理员根据操作指导知识图谱进行操作，避开APT攻击威胁。

2.按照权利要求1所述的一种基于APT攻击意图的操作权限控制方法，其特征在于：步骤一中所述获取网络及系统日志，识别APT攻击行为的具体过程为：

步骤1A1、收集网络及系统日志，通过网络日志获取网络链接日志记录，通过dns日志从网络及系统日志中获得相关信息数据的域名进而查询其源IP地址，针对具体某一IP地址的访问，dns日志解析其源IP地址，包括访问参数、访问内容和dns服务器的返回数据；

步骤1A2、基于DBSCAN聚类分析的日志挖掘，找出异常操作的日志，识别为APT攻击行为。

3.按照权利要求2所述的一种基于APT攻击意图的操作权限控制方法，其特征在于：步骤1A2中所述基于DBSCAN聚类分析的日志挖掘，找出异常操作的日志的具体过程为：

步骤1A21、设置当前领域相似度阈值的值为；其中，为领域相似度阈值的上限值；

步骤1A22、对网络及系统日志进行DBSCAN算法聚类，得到一组领域为的类，并将第次得到的领域为的类标记为；其中，的取值为非零自然数；

步骤1A23、提取出所有离群点；

步骤1A24、当离群点的数量小于预设的离群点数量阈值时，或者的值为时，执行步骤1A25；否则的取值减小0.1，返回执行步骤1A22；其中，为领域相似度阈值的下限值；

步骤1A25、设置的值为；

步骤1A26、对提取出的所有离群点进行DBSCAN算法聚类；

步骤1A27、将特殊的离群点作为具有攻击行为的异常日志；

步骤1A28、当还有离群点尚未完成聚到一个类时，的取值减小0.01，返回执行步骤1A26，直到全部聚类完成。

4.按照权利要求3所述的一种基于APT攻击意图的操作权限控制方法，其特征在于：所述的取值为0.7，所述的取值为0.4。

5.按照权利要求1所述的一种基于APT攻击意图的操作权限控制方法，其特征在于：步骤一中所述获取网络及系统日志，识别APT攻击行为的具体过程为：

步骤1B1、获取用户行为特征；

步骤1B2、采用深度学习算法判断用户行为的危险等级；

步骤1B3、判断用户行为的危险等级是否超过了预设的预警等级，当用户行为的危险等级超过了预警等级时，执行步骤1B4，否则，返回步骤1B1；

步骤1B4、获取当前用户前期所有操作日志，并针对当前用户访问过的操作日志，获取具有相同访问操作的过往的其他正常用户的所有操作日志；

步骤1B5、基于当前用户与其他正常用户的操作日志，进行基于操作日志的用户相似度计算，将用户相似度计算值小于预设用户相似度阈值的正常用户标记为相似用户，获得相似用户集；

步骤1B6、采用协同过滤算法判断当前用户的下一步操作，并判断该操作是否为APT攻击操作，当该操作是APT攻击操作时，将其识别为APT攻击行为。

6.按照权利要求1所述的一种基于APT攻击意图的操作权限控制方法，其特征在于：步骤二中所述针对APT攻击行为，包括攻击的目标文件、目标操作和目标操作权限，进行攻击检查，获取APT攻击内容并发出报警信息时，采用Snort开源软件进行，具体方法为：按照设定的规则，将被攻击的目标文件、目标操作和目标操作权限的数据中各个字段的特征，存入数据库，在攻击检查时，将数据包和数据库中的数据特征进行模式匹配，分析出其攻击内容，同时，在识别过程中产生报警功能，用多种方式发出警报，并基于不同的攻击方式增加新的规则。

7.按照权利要求3所述的一种基于APT攻击意图的操作权限控制方法，其特征在于：步骤二中所述基于不同的攻击方式增加新的规则的方法为在Snort中构建一种对被攻击的目标文件、目标操作和目标操作权限数据包的一种描述，当接收到的数据包与某个特定的识别规则相匹配时，Snort采取通过、记录日志以及发出警报三种方式进行处理。

8.按照权利要求1所述的一种基于APT攻击意图的操作权限控制方法，其特征在于：步骤三中所述建立攻击意图逻辑关系时，将攻击意图逻辑关系G定义为一个六元组，表示为G={I（G）），E（G），R（G），W（G），H（G），L（G）}，其中，

I（G）=（I1，I2,…,In），I（G）表示节点I1，I2,…,In的集合，其中每个节点对应一种攻击意图类型；n为节点总数且为自然数；

E(G)=（e1,e2,…,en），E(G)表示有向边e1,e2,…,en的集合，由顶点的有序对惟一确定，有向边对应攻击意图的依赖关系；n为有向边总数且为自然数；

R（G）={R（I1）,R（I2）,…,R（In）}，R（G）表示报警信息R（I1）,R（I2）,…,R（In）的集合，R（G）中元素与I（G）中元素一一对应，R（Ii）表示攻击意图类型是Ii的报警信息集合,i的取值为1～n的自然数；

W（G）=（w（I1）,w（I2）,…,w（In）），W（G）表示权值w（I1）,w（I2）,…,w（In）的集合，W（G）中元素与I（G）中元素一一对应，w（Ii）表示攻击意图类型Ii在攻击过程中间的重要性，i的取值为1～n的自然数；

H（G）=（h1，h2，…,hn），H（G）表示逻辑关系表达式h1，h2，…,hn的集合，H（G）表示节点间的关联条件，H（G）与E（G）中的元素一一对应，hi是表示有向边ei对应两个顶点间的逻辑关系表达式，i的取值为1～n的自然数；

L（G）=（L1,L2,…,Ln），L（G）表示逻辑关系表达式L1,L2,…,Ln的集合，L（G）与I（G）中的元素一一对应，Li表示攻击意图节点Ii的前驱攻击意图节点与Ii组成有向边间的逻辑关系表达式。

9.按照权利要求1所述的一种基于APT攻击意图的操作权限控制方法，其特征在于：步骤四中所述攻击意图描述包括攻击目标、攻击概率、操作权限和攻击时间，所述操作权限包括是否可复制、是否可读写、是否可删除、是否可对程序进行调试、是否可对程序进行维护和是否可对系统升级。

10.按照权利要求1或8所述的一种基于APT攻击意图的操作权限控制方法，其特征在于：步骤四中所述根据预测出来的下一步的攻击意图，生成攻击意图描述，基于知识图谱技术生成针对攻击意图的操作指导知识图谱，显示在操作界面上，管理员根据操作指导知识图谱进行操作，避开APT攻击威胁的具体过程为：

步骤401、对攻击意图描述进行编码，生成操作编码，生成针对该防御的操作控制的口令输入，所述操作编码为三元组，每个三元组包括主语、谓语、宾语，主语包含被攻击的文件名，谓语为攻击类型，宾语为针对该攻击的防御操作方法；

步骤402、将所述主语、谓语、宾语汇总构建成为三元组，存入知识图谱相关图数据库，并对三元组图数据库根据预设密钥对操作编码进行加密；

步骤403、服务器通过排序规则对加密操作编码进行排序存储，生成应用于防御操作控制的口令输入，并在预测到文件可能被攻击时，自动检索和分析，通过匹配三元组库中的主语和谓语，获取到宾语，得到针对攻击的防御操作方法；

步骤404、在操作界面上弹出针对攻击的防御操作方法，管理员通过输入密码，获取防御操作方法后，系统辅助其实现口令输入，完成对操作权限的控制和避开APT攻击威胁。

Images