CN111988285A - 一种基于行为画像的网络攻击溯源方法 - Google Patents

Abstract

本发明提供了一种基于行为画像的网络攻击溯源方法，包括：1)实时提取网络流量和日志文件；2)提取网络流量和日志文件中的元数据；3)统计分析同一网络行为主体元数据中的关键字段，针对不同关键字段对应的安全事件，为网络行为打上安全标签；4)根据网络攻击模型，将描述同一网络攻击纬度的安全标签进行聚类，形成结构化标签，即网络攻击行为单一纬度画像；5)将多个纬度的画像结果进行聚合和关联，形成网络攻击行为画像；6)重复步骤1)至步骤5)，不断提取实时流量和日志信息，丰富网络行为画像。本发明提高了对网络安全态势的感知能力，增强了对攻击方的分析和抵御能力，用于网络安全。

Description

一种基于行为画像的网络攻击溯源方法

技术领域

本发明属于计算机技术领域，尤其涉及一种基于行为画像的网络攻击溯源方法。

背景技术

随着网络空间对抗日益严峻，为了在网络空间对抗中取得优势，各国通过提升网络攻击行为的分析和溯源能力大力增强网络空间综合防御能力以及攻防对对抗能力。 传统的方法是通过正则式、特征匹配的方式实现对网络攻击行为的识别和分析，对网 络攻击行为进行单一纬度的防御，然而，一方面随着APT(Advanced Persistent Threat) 的兴起，网络攻击呈现出在时间和空间上跨度大的特点，单一纬度的分析无法完整描 述网络攻击；另一方面，人工智能领域的兴起为网络安全的攻守双方均赋予了更丰富 的工具和方法，数据量呈现指数级增长，在海量数据中进行筛选变得越来越困难。

“安全+AI”在经过众多科研工作者和企业单位的推进后，即将机器学习、人工 智能的方法直接使用在网络安全的环境中，就能够达到一定的效果。使用图像识别算 法的日益精进使得极其识别验证码变得越来越容易，使用机器学习的方法对海量日志 进行分析能够是被85％以上的攻击，各种应用场景不胜枚举。

各国在网络空间安全对抗随着大数据时代的到来，面临更多的新问题和新挑战。敌对方或攻击者将攻击数据和攻击特征在大数据的掩护和遮蔽下，持续、精准地发起 网络攻击。从系统漏洞被发现到利用其进行有针对性攻击，大范围的攻击很快就会达 到一个高峰，留给攻击分析与安全防御的反应时间极短。传统的攻击分析与溯源技术， 依赖于对规则的解析和系统日志、网络流量的分析，未能借助大数据的特征与优势， 对隐匿于大数据的复杂、持续性攻击的往往是力不从心，且经常错失良机，给国家基 础设施和军队信息系统带来极大的安全威胁。

隐匿攻击与准确溯源是网络空间对抗的重点，积极发展防御与攻击协同的主动防御相关技术，研究能够实时动态配置的伪装网络技术以及网络攻击数据采集分析技术， 实现对网络攻击在攻击行为、攻击意图、攻击模式和攻击来源等多个维度的深入分析。

华中科技大学丰伟针对地址端口动态跳变技术，采用基于滑动窗口的时间戳同步策略和改进的网络时间同步校正方案，有效克服了网络传输延迟和拥塞对动态跳变同 步造成的影响，提高了跳变过程中的安全性，保证了跳变过程中的同步成功率，并在 音视频通信系统中，对该地址端口动态跳变方法进行了实现，对该系统进行了功能性 测试和抗攻击能力测试。但其中提出的地址端口动态跳变方法仅仅是基于服务器单方 面的跳变，没有实现通信时双方都同时进行对等的动态跳变，同时，其端口跳变是通 过预制端口池来进行随机抽取的，只能够达到防御通过端口进行的攻击手段，并不能 针对性的进行网络攻击的引导，对于攻击者而言，即使没有攻击到既定目标，于其自 身不会受到任何影响，使得网络对抗处于被动的态势。

西安交通大学网络化系统与信息安全研究中心和清华大学智能与网络化系统研究 中心研究提出的基于入侵检测系统的海量报警信息和网络性能指标，结合服务主机本身的重要性及网络系统的组织结构，提出采用自下而上先局部后整体评估策略的层次 化安全威胁态势量化评估方法，并采用该方法在报警发生频率报警严重性及其网络带 宽耗用率的统计基础上，对服务主机本身的重要性因子进行加权，计算服务主机以及 整个网络系统的威胁指数，进而评估分析安全威胁态势。

美国国家高级安全系统研究中心正在进行的SIFT项目，目的就是为Internet提供安全态势感知，在已开发的安全事件融合工具软件集中包含：NVIsionIP，VisFlowConnect-IP等安全态势感知软件。卡内基梅隆大学SEI所领导的CERT/NetSA 开发出SILK，该系统采用集成化思想，即把现有的Netflow工具集成在一起，提供整 个网络的态势感知，便于大规模网络的安全分析。林肯实验室利用支持向量机SVM作 为融合技术，对多源、多属性信息进行融合，从而产生对态势的感知。然而，其对网 络安全态势的感知并不包括对攻击者意图及目标的感知，使得防御态势滞后于攻击行 为，陷于被动的状态。不仅学术研究领域对“安全+AI”进行了深入研究部，同样，工 业领域的成果也不容忽视，与学术界不同的是，工业领域更注重方法的实用性，是否 能解决实际问题，是否能做市场推广，都是他们关注的问题。其中，MIT的CSAIL 实验室于2016年公开他们的研究成果AI2，使用无监督学习配合有监督学习的方法， 通过机器学习对海量的日志信息进行分析，识别出85％以上的攻击行为，并且误报率 低于95％，2017年，他们讲AI2包装推广，成立了PatternEx公司，讲该成果作为盈 利的产品推向市场。

发明内容

发明目的：本发明所要解决的技术问题是针对现有技术的不足，提供一种基于行为画像的网络攻击溯源方法，提升对网络攻击行为的分析能力，实现对网络攻击行为 的多维画像，提高对攻击方的溯源水平。

为实现上述目的，本发明的技术思路是：通过端口镜像技术实时提取业务网络的数据流量和日志文件，根据数据记录的协议和规则进行元数据提取，通过元数据与安 全事件之间的关联关系为同一IP行为数据进行标记，根据多个元数据描述一个网络攻 击维度的规则，将多个元数据标签进行聚类，描述网络攻击行为的单一纬度，通过对 网络攻击行为在身份特征、攻击类型、攻击频率、工具指纹和数据量级五个维度进行 深入分析，形成多维画像，完成对网络攻击行为的完整描述，本发明方法具体包括如 下步骤：

步骤1，提取网络流量和日志文件；

步骤2，提取网络流量和日志文件中的元数据；

步骤3，统计分析同一网络行为主体元数据中的关键字段，针对不同关键字段对应的安全事件，为网络行为打上安全标签；

步骤4，根据网络攻击模型，将描述同一网络攻击纬度的安全标签进行聚类，形成结构化标签，结构化标签即网络攻击行为单一纬度画像；

步骤5，将多个纬度的画像结果进行聚合和关联，形成网络攻击行为画像；

步骤6，检测实际网络中路由器和交换机上的网络流量，基于网络行为画像进行追踪溯源；

步骤7，重复步骤1至步骤6，不断提取实时流量和日志信息，丰富网络行为画像。

步骤1包括：

步骤1-1，在业务系统具体使用的端口处部署分流器，使用端口镜像技术将业务流量进行旁路，同时，读取业务系统的登录日志、防火墙和IDS(Intrusion DetectionSystem, 入侵检测系统)的检测日志；

步骤1-2，在步骤1-1中的分流器外围部署负载均衡器，将实时流量分配给各个分析机；分流器和负载均衡器都可以基于现有硬件完成；

步骤1-3，对步骤1-1中得到的流量数据和日志记录执行步骤2，并完成格式化存储。

为了能够抵御APT等在时间和空间上跨度较大的攻击方式，步骤1-1中提取网络流量和日志文件，不光从当前网络状态和流量中采集信息，同时也从访问日志、防火 墙日志等相关历史记录中进行提取，原始数据的来源包括了服务登录日志、网络实时 态势数据、系统载荷、防火墙日志、病毒库文件状态字、网络流量、访问日志等。

步骤2包括：

步骤2-1，步骤1-2中的分析机通过对流量数据和日志记录的头文件进行解析(参考文献：周小勇,胡宁,向杨蕊,等.基于数据流的实时网络流量分析系统设计与实现[J])将IP相同的数据包进行归并和整合；

步骤2-2，对同一IP的网络流量，根据网络层、传输层和应用层的不同协议，生 成对应的元数据；

步骤2-3，在元数据提取控制机(元数据提取控制机为部署了基于行为画像的网络攻击溯源模块的PC机器)部署事件生成引擎，向分析机下发元数据提取规则(元数据 提取规则及具体解析过程均为现有技术实现，规则由用户根据需求定义)，参考文献： 铭张,宇杨.网络搜索中基于多种规则的元数据自动抽取方法；存储分析机根据规则 将元数据按照要求的格式返回控制机，由控制机存储在指定的位置。所述事件生成引 擎用于判断一个事件A是否为安全事件。

步骤2-2包括：

步骤2-2-1，根据TCP/IP协议的网络层的IP地址和传输层的端口号、协议类型， 使用5元向量标识一个连接，{id.orig_h,id.orig_p,id.resp_h,id.resp_p,proto}，5元向量id.orig_h、id.orig_p、id.resp_h、id.resp_p、proto分别表示：原始地址、原始端口号、 目的地址、目的端口、协议类型；当数据包的5元向量符合同一标识时，将数据包进 行统合生成连接数据；

步骤2-2-2，对于数据包统合生成的连接数据，针对TCP/IP协议的传输层规范， 格式化输出以下数据类：{ts,uid,id.orig_h,id.orig_p,id.resp_h,id.resp_p,proto,service, conn_state,local_orig,local_resp}；ts、uid,id.orig_h、id.orig_p、id.resp_h、id.resp_p、proto、 service、conn_state、local_orig、local_resp分别代表：时间戳，连接身份标识，原始地 址，原始端口号，目的地址，目的端口，协议，服务，连接状态，本地发送标识，本 地接收标识，共11类数据。

步骤3包括：

步骤3-1，根据网络安全相关知识，关联元数据特定字段与安全时间之间的映射关系，定义网络攻击行为标签库；

步骤3-2，使用分布式计算的方法，将网络流量和日志文件中的元数据与网络攻击行为标签库的对比任务分发给各个计算节点，挖掘元数据中的安全事件，并使用文本 类型的标签对同一网络行为主体进行标记。

步骤3-1包括：

步骤3-1-1，搜集安全事件原始数据作为训练集，设定安全事件A对应的安全事件标签集合为{M₁,M₂,M₃...,M_i,...,M_k},i∈(1,k)，M_k代表安全事件A中的第k个标签；

步骤3-1-2，对训练集中的数据流量进行机器学习，挖掘其中元数据与安全事件之间的关系，得出安全事件A对应的元数据特征集合为{C₁,C₂,C₃...,C_j,...,C_p},j∈(1,p)，C_p代表安全事件A的第p个元数据特征；；

步骤3-1-3，基于现有的网络攻击链模型建立安全事件标签与元数据特征之间的映 射关系，在判断一个事件A'是否是安全事件A，是否需要标记安全事件A对应的安全 标签时，只需要对A'的元数据特征{C′₁,C'₂,C′₃...,C'_j,...,C'_p},j∈(1,p)与A的元数据特征{C₁,C₂,C₃...,C_j,...,C_p},j∈(1,p)进行对比，计算其相似度即能够得出结果，其中C'_p代表事件A'的第p个元数据特征。参考文献：刘文彦,霍树民,陈扬,等.网络攻击链模型分 析及研究[J]。

步骤4包括：

步骤4-1，对网络攻击行为在身份特征、攻击类型、攻击频率、工具指纹和数据量级五个维度进行建模，构建元数据与每个单一维度之间多对一的对应关系；

步骤4-2，搜集网络攻击原始数据，对网络攻击原始数据包括的网络攻击行为在元数据各个字段的标识特征进行机器学习，并对其进行归类和建模，构建网络攻击知识 库，且与网络攻击行为标签库进行关联；参考文献：江铭炎,王伟.基于样本推荐标注 的动态机器学习建模方法；

步骤4-3，将两个以上描述同一网络攻击维度的元数据特征进行聚类，形成网络攻击单一维度的画像。元数据特征是步骤4-2-2中所生成的。

步骤4-2包括：

步骤4-2-1，对网络攻击行为的单一维度进行画像，需要对网络攻击原始数据进行特征提取和机器学习，以安全事件原始数据作为训练集，设定安全事件M对应的安全 元数据集合为{d₁,d₂,d₃...,d_i,...,d_k},i∈(1,k)，d_k代表安全事件M的第k个元数据；

步骤4-2-2，通过对网络攻击数据流量的训练集进行学习，安全事件M中相关元数据集合{d₁,d₂,d₃...,d_i,...,d_k},i∈(1,k)的元数据特征为：

s_ke代表安全事件M的第k个元数据的第e个标签。

步骤6包括：

步骤6-1，将正在检测的路由器命名为本地路由器，使用I作为正整数集，R作为 实数集，使用<u_i,d_j,t>来表示本地路由器上的流，其中i,j∈I,t∈R,u_i是本地路 由器R_i的上游路由器，d_j是一组通过本地路由器R_i的数据包的目的地址，t是当前时 间戳；本地路路由器R_i中来自上游路由器的的输入流命名为过境流；

在局域网上本地路由器R_i生成的另一种类型的输入流命名为局部流，并且使用L表示局部流；

所有流入本地路由器R_i的流命名为输入流，并且将所有离开本地路由器R_i的所有流命名为输出流；

用u_i来表示本地路由器的直接上游路由器，集合U来表示路由器R_i的输入流；

得到：U＝{u_i,i∈I}+{L}；

用集合D{d_j，j∈I}来表示经过路由器R_i的数据包的目的地址；

受害者用v表示，v∈D；

一个本地路由器R_i上的流f_ij(u_i，d_j)被定义为如下：

f_ij(u_i,d_j)＝{u_i,d_j,t/u_i∈U,d_j∈D,i,j∈I}

用|f_ij(u_i,d_j,t)|来表示在时间t上，流f_ij(u_i，d_j)的数据包个数；

给定一个时间间隔ΔT，定义指定流的数据包数量变化值N_ij(u_i,d_j,t+ΔT)如下：

N_ij(u_i,d_j,t+ΔT)＝|f_ij(u_i,d_j,t+ΔT)|-|f_ij(u_i,d_j,t)|

令集合|f_ij(u_i,d_j,)|＝0，则表示流f_ij(u_i，d_j)在时间间隔ΔT内流经本地路由器的数据包个数；

用N_ij(u_i,d_j)来表示N_ij(u_i,d_j,+ΔT)；

基于大数定理，得出每个流经本地路由器的流的概率为：

其中，p_ij(u_i,d_j)表示流f_ij(u_i，d_j)在所有本地路由器上的流中出现的概率，并且

步骤6-2，基于行为画像的φ熵H_α'(srcIP)以及基于行为画像的φ发散度量 D_α'(PQ)定义如下：

式中α为行为画像的特征取值的个数，hα)为行为画像的特征增益值，h(α)＝αlogα；

这里出现源IP的概率为p(srcIP)，即 p(srcIP)＝p(srcIP1),p(srcIP2),....p(srcIPn),其中p(srcIP_i)代表第i个上游路由器 流入路由器R_i的概率，q(srcIP_i)代表路由器R_i输出到第i个下游路由器的概率；

步骤6-3，计算信息距离ID，计算公式如下：

其中，

表示实际流量的φ熵，

表示正常流量的φ熵；

如果给定的抽样网络流满足如下不等式，则被称为合法的：

其中，n_c当前流量中每个时间窗口的数据包个数，n_N基线流量中每个时间窗口的数据包个数，a，k∈I；

公差因子a和k是设计参数，d_n是传入数据包中的标准偏差，ID_C表示当前和正 常流量之间的信息距离，ID_N表示正常流量之间的信息距离，

是在网络的正常状 态期间计算的合法流之间的ID值的标准偏差；

步骤6-4，根据步骤6-3结果识别非法的网络流量，丰富其网络行为画像，并在其上游路由器u_i中重复步骤6-1至6-3，直到追溯到攻击源。

步骤7所不断提取实时流量和日志信息，丰富网络行为画像中描述了本发明的核心是通过不断提取网络的实时流量和日志信息，持续提取元数据，标记行为标签并进 行结构化，持续对网络行为主体进行画像，伴随整个系统的不断运行，对网络行为主 体的分析和画像，由粗糙到精细，由模糊到清晰的过程。

本发明与现有技术相比，具有以下优点：

第一，提高了对网络攻击行为的分析深度。本发明通过构建多为标签与结构化标签体系实现了对网络攻击行为的多维画像，不同于以往通过单一特征定义网络攻击行 为，本发明通过多维标签组合能够有效地抵御组合类型的网络攻击行为，有效增强了 业务网络的抗攻击能力。

第二，提高了对攻击者的溯源水平。对攻击者的溯源水平取决于对攻击者攻击数据搜集能力和分析深度，本发明通过对网络攻击身份特征、攻击类型、攻击频率、工 具指纹和数据量级五个维度进行深入分析，极大的增加了攻击数据的搜集能力和分析 能力。

附图说明

下面结合附图和具体实施方式对本发明做更进一步的具体说明，本发明的上述和/ 或其他方面的优点将会变得更加清楚。

图1是本发明的实现流程图；

图2是本发明的架构示意图；

图3是本发明的攻击检测流程图。

具体实施方式

参照图1、图2和图3，对本发明的实现步骤作进一步的描述。

步骤1，实时提取网络流量和日志文件。

(1a)在业务系统具体使用的端口处部署分流器，使用端口镜像技术将业务流量进行旁路，同时，读取业务系统的登录日志、防火墙和IDS(Intrusion Detection System,入侵检测系统)的检测日志。

其中提取网络流量和日志文件，不光从当前网络状态和流量中采集信息，同时也从访问日志、防火墙日志等相关历史记录中进行提取，原始数据的来源包括了服务登 录日志、网络实时态势数据、系统载荷、防火墙日志、病毒库文件状态字、网络流量、 访问日志等。

(1b)在(1a)中的分流器外围部署负载均衡器，将大量的实时流量分配给各个 分析机，解决网络流量过大造成的无法对业务流量进行全采集的问题；

(1c)对(1a)中得到的流量数据和日志记录进行分类和格式化存储；

步骤2，提取网络流量和日志文件中的元数据。

(2a)(1b)中的分析机通过对流量数据和日志记录的头文件进行解析，将IP相 同的数据包进行归并和整合；

(2b)对同一IP的网络流量，根据网络层、传输层和应用层的不同协议，生成对 应的元数据，其具体步骤如下；

(2b1)根据TCP/IP协议的网络层的IP地址和传输层的端口号、协议类型，使用 5元向量标识一个连接，{id.orig_h,id.orig_p,id.resp_h,id.resp_p,proto}，5元向量分别表 示：原始地址、原始端口号、目的地址、目的端口、协议类型；当数据包的5元向量 符合同一标识时，将数据包进行统合生成连接；

(2b2)针对数据包统合得到的连接数据，针对TCP/IP协议的传输层规范进行进 一步分析，格式化输出以下数据类：{ts,uid,id.orig_h,id.orig_p,id.resp_h,id.resp_p,proto, service,conn_state,local_orig,local_resp}；这些分别代表：{时间戳，连接身份标识，原 始地址，原始端口号，目的地址，目的端口，协议，服务,连接状态，本地发送标识， 本地接收标识}，共11类数据；

(2c)在元数据提取控制机部署事件生成引擎，向分析机下发元数据提取规则， 存储分析机根据规则将元数据按照要求的格式返回控制机，由控制机存储在指定的位 置；

步骤3，统计分析同一网络行为主体元数据中的关键字段，针对不同关键字段对应的安全事件，为网络行为打上安全标签；

(3a)根据网络安全相关知识，关联元数据特定字段与安全时间之间的映射关系，定义网络攻击行为标签库，其具体步骤如下；

(3a1)搜集海量的安全事件原始数据作为训练集，假设该安全事件A对应的安 全事件标签集合为{M₁,M₂,M₃...,M_i,...,M_k},i∈(1,k)，M_k代表安全事件A中的第k个 标签；；

(3a2)对训练集中的数据流量进行机器学习，挖掘其中元数据与安全事件之间的关系，得出安全事件A对应的元数据特征集合为{C₁,C₂,C₃...,C_j,...,C_p},j∈(1,p)，C_p代表安全事件A的第p个元数据特征；；

(3a3)通过典型安全事件建立安全事件标签与元数据特征之间的映射关系，在判断一个事件A'是否是安全事件A，是否需要标记安全事件A对应的安全标签时，只需 要对A'的元数据特征{C′₁,C'₂,C′₃...,C'_j,...,C'_p},j∈(1,p)与A的元数据特征 {C₁,C₂,C₃...,C_j,...,C_p},j∈(1,p)进行对比，计算其相似度即可得出结果，其中C'_p代表事 件A'的第p个元数据特征；

(3b)使用分布式计算的方法，将网络流量和日志文件中的元数据与标签库的对比任务分发给各个计算节点，挖掘元数据中的安全事件，并使用文本类型的标签对同 一网络行为主体的网络行为进行标记；

步骤4，根据网络攻击模型，将描述同一网络攻击纬度的安全标签进行聚类，形成结构化标签，即网络攻击行为单一纬度画像；

(4a)对网络攻击行为在身份特征、攻击类型、攻击频率、工具指纹和数据量级 五个维度进行建模，构建元数据与每个单一维度之间多对一的对应关系；

(4b)由于网络攻击具有多样化的特征，因此搜集海量的网络攻击原始数据，对 这些网络攻击行为在元数据各个字段的标识特征进行机器学习，并对其进行归类和建 模，构建网络攻击知识库，且与标签库进行关联，其具体步骤如下：

(4b1)对网络攻击行为的单一维度进行画像，需要对网络攻击的海量原始数据进行特征提取和机器学习，以海量的安全事件原始数据作为训练集，假设该安全事件M 对应的安全元数据集合为{d₁,d₂,d₃...,d_i,...,d_k},i∈(1,k)，d_k代表安全事件M的第k个 元数据；

(4b2)通过对网络攻击数据流量的训练集进行学习，安全事件M中相关元数据 集合{d₁,d₂,d₃...,d_i,...,d_k},i∈(1,k)的元数据特征为：

s_ke代表安全事件M的第k个元数据的第e个标签；

(4b3)对网络攻击行为的每个维度与元数据特征进行关联，构造网络攻击行为单一维度的画像；

(4c)将多个描述同一网络攻击维度的元数据特征进行聚类，形成网络攻击单一维度的画像；

步骤5，将多个纬度的画像结果进行聚合和关联，形成网络攻击行为画像。

步骤6，检测实际网络中路由器和交换机上的网络流量，基于网络行为画像进行追踪溯源，具体包括：

步骤6-1，将正在检测的路由器(交换机)命名为本地路由器(交换机)，使用I 作为正整数集，R作为实数集，使用<u_i,d_j,t>来表示本地路由器上的流，其中 i,j∈I,t∈R,u_i是本地路由器R_i的上游路由器，d_j是一组通过本地路由器R_i的数 据包的目的地址，t是当前时间戳；本地路路由器R_i中来自上游路由器的的输入流命 名为过境流；

在局域网上本地路由器R_i生成的另一种类型的输入流命名为局部流，并且使用L表示局部流；

所有流入本地路由器R_i的流命名为输入流，并且将所有离开本地路由器R_i的所有流命名为输出流；

用u_i来表示本地路由器的直接上游路由器，集合U来表示路由器R_i的输入流；

得到：U＝{u_i,i∈I}+{L}；

用集合D{d_j，j∈I}来表示经过路由器R_i的数据包的目的地址；

受害者用v表示，v∈D；

一个本地路由器R_i上的流f_ij(u_i，d_j)被定义为如下：

f_ij(u_i,d_j)＝{u_i,d_j,t/u_i∈U,d_j∈D,i,j∈I}

用|f_ij(u_i,d_j,t)|来表示在时间t上，流f_ij(u_i，d_j)的数据包个数；

给定一个时间间隔ΔT，定义指定流的数据包数量变化值N_ij(u_i,d_j,+ΔT)如下：

N_ij(u_i,d_j,t+ΔT)＝|f_ij(u_i,d_j,t+ΔT)|-|f_ij(u_i,d_j,t)|

令集合|f_ij(u_i,d_j,t)|＝0，则表示流f_ij(u_i，d_j)在时间间隔ΔT内流经本地路由器的数据包个数；

用N_ij(u_i,d_j)来表示N_ij(u_i,d_j,+ΔT)；

基于大数定理，得出每个流经本地路由器的流的概率为：

其中，p_ij(u_i,d_j)表示流f_ij(u_i，d_j)在所有本地路由器上的流中出现的概率，并且

步骤6-2，基于行为画像的φ熵H_α'(srcIP)以及基于行为画像的φ发散度量 D_α'(PQ)定义如下：

式中α为行为画像的特征取值的个数，h(α)为行为画像的特征增益值，h(α)＝αlogα；

这里出现源IP的概率为p(srcIP)，即 p(srcIP)＝p(srcIP1),p(srcIP2),....p(srcIPn),其中p(srcIP_i)代表第i个上游路由器 流入路由器R_i的概率，q(srcIP_i)代表路由器R_i输出到第i个下游路由器的概率；

步骤6-3，计算信息距离ID，计算公式如下：

其中，

表示实际流量的φ熵，

表示正常流量的φ熵；

如果给定的抽样网络流满足如下不等式，则被称为合法的：

其中，n_c当前流量中每个时间窗口的数据包个数，n_N基线流量中每个时间窗口的数据包个数，a，k∈I；

公差因子a和k是设计参数，d_n是传入数据包中的标准偏差，ID_C表示当前和正 常流量之间的信息距离，ID_N表示正常流量之间的信息距离，

是在网络的正常状 态期间计算的合法流之间的ID值的标准偏差；

步骤6-4，根据步骤6-3结果识别非法的网络流量，丰富其网络行为画像，并在其上游路由器u_i中重复步骤6-1至6-3，直到追溯到攻击源。

步骤7，重复步骤1至步骤6，不断提取实时流量和日志信息，丰富网络行为画像。本发明的核心是通过不断提取网络的实时流量和日志信息，持续提取元数据，标记行 为标签并进行结构化，持续对网络行为主体进行画像，伴随整个系统的不断运行，对 网络行为主体的分析和画像，由粗糙到精细，由模糊到清晰的过程。

本发明提供了一种基于行为画像的网络攻击溯源方法，具体实现该技术方案的方法和途径很多，以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的 普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这 些改进和润饰也应视为本发明的保护范围。本实施例中未明确的各组成部分均可用现 有技术加以实现。

Claims (9)

1.一种基于行为画像的网络攻击溯源方法，其特征在于，包括如下步骤：

步骤1，提取网络流量和日志文件；

步骤2，提取网络流量和日志文件中的元数据；

步骤3，统计分析同一网络行为主体元数据中的关键字段，针对不同关键字段对应的安全事件，为网络行为打上安全标签；

步骤4，根据网络攻击模型，将描述同一网络攻击纬度的安全标签进行聚类，形成结构化标签，结构化标签即网络攻击行为单一纬度画像；

步骤5，将多个纬度的画像结果进行聚合和关联，形成网络攻击行为画像；

步骤6，检测实际网络中路由器和交换机上的网络流量，基于网络行为画像进行追踪溯源；

步骤7，重复步骤1至步骤6，不断提取实时流量和日志信息，丰富网络行为画像。

2.根据权利要求1所述的方法，其特征在于，步骤1包括：

步骤1-1，在业务系统具体使用的端口处部署分流器，使用端口镜像技术将业务流量进行旁路，同时，读取业务系统的登录日志、防火墙和IDS的检测日志，得到网络流量和日志文件；

步骤1-2，在步骤1-1中的分流器外围部署负载均衡器，将实时流量分配给各个分析机；

步骤1-3，对步骤1-1中得到的流量数据和日志记录执行步骤2，并完成格式化存储。

3.根据权利要求2所述的方法，其特征在于，步骤2包括：

步骤2-1，步骤1-2中的分析机通过对流量数据和日志记录的头文件进行解析，将IP相同的数据包进行归并和整合；

步骤2-2，对同一IP的网络流量，根据网络层、传输层和应用层的不同协议，生成对应的元数据；

步骤2-3，在元数据提取控制机部署事件生成引擎，向分析机下发元数据提取规则，存储分析机根据规则将元数据按照要求的格式返回控制机，由控制机存储在指定的位置；所述事件生成引擎用于判断一个事件A是否为安全事件。

4.根据权利要求3所述的方法，其特征在于，步骤2-2包括：

步骤2-2-1，根据TCP/IP协议的网络层的IP地址和传输层的端口号、协议类型，使用5元向量标识一个连接，{id.orig_h，id.orig_p，id.resp_h，id.resp_p，proto}，5元向量id.orig_h、id.orig_p、id.resp_h、id.resp_p、proto分别表示：原始地址、原始端口号、目的地址、目的端口、协议类型；当数据包的5元向量符合同一标识时，将数据包进行统合生成连接数据；

步骤2-2-2，对于数据包统合生成的连接数据，针对TCP/IP协议的传输层规范，格式化输出以下数据类：{ts，uid，id.orig_h，id.orig_p，id.resp_h，id.resp_p，proto，service，conn_state，local_orig，local_resp}；ts、uid，id.orig_h、id.orig_p、id.resp_h、id.resp_p、proto、service、conn_state、local_orig、local_resp分别代表：时间戳，连接身份标识，原始地址，原始端口号，目的地址，目的端口，协议，服务，连接状态，本地发送标识，本地接收标识，共11类数据。

5.根据权利要求4所述的方法，其特征在于，步骤3包括：

步骤3-1，根据网络安全相关知识，关联元数据特定字段与安全时间之间的映射关系，定义网络攻击行为标签库；

步骤3-2，使用分布式计算的方法，将网络流量和日志文件中的元数据与网络攻击行为标签库的对比任务分发给各个计算节点，挖掘元数据中的安全事件，并使用文本类型的标签对同一网络行为主体进行标记。

6.根据权利要求5所述的方法，其特征在于，步骤3-1包括：

步骤3-1-1，搜集安全事件原始数据作为训练集，设定安全事件A对应的安全事件标签集合为{M₁，M₂，M₃...，M_i，...，M_k}，i∈(1，k)，M_k代表安全事件A中的第k个标签；

步骤3-1-2，对训练集中的数据流量进行机器学习，挖掘其中元数据与安全事件之间的关系，得出安全事件A对应的元数据特征集合为{C₁，C₂，C₃...，C_j，...，C_p}，j∈(1，p)，C_p代表安全事件A的第p个元数据特征；

步骤3-1-3，基于网络攻击链模型建立安全事件标签与元数据特征之间的映射关系，在判断一个事件A′是否是安全事件A，是否需要标记安全事件A对应的安全标签时，只需要对A′的元数据特征{C′₁，C′₂，C′₃...，C′_j，...，C′_p}，j∈(1，p)与A的元数据特征{C₁，C₂，C₃...，C_j，...，C_p}，j∈(1，p)进行对比，计算其相似度即能够得出结果，其中C′_p代表事件A′的第p个元数据特征。

7.根据权利要求6所述的方法，其特征在于，步骤4包括：

步骤4-1，对网络攻击行为在身份特征、攻击类型、攻击频率、工具指纹和数据量级五个维度进行建模，构建元数据与每个单一维度之间多对一的对应关系；

步骤4-2，搜集网络攻击原始数据，对网络攻击原始数据包括的网络攻击行为在元数据各个字段的标识特征进行机器学习，并对其进行归类和建模，构建网络攻击知识库，且与网络攻击行为标签库进行关联；

步骤4-3，将两个以上描述同一网络攻击维度的元数据特征进行聚类，形成网络攻击单一维度的画像。

8.根据权利要求7所述的方法，其特征在于，步骤4-2包括：

步骤4-2-1，对网络攻击行为的单一维度进行画像，需要对网络攻击原始数据进行特征提取和机器学习，以安全事件原始数据作为训练集，设定安全事件M对应的安全元数据集合为{d₁，d₂，d₃...，d_i，...，d_k}，i∈(1，k)，d_k代表安全事件M的第k个元数据；

步骤4-2-2，通过对网络攻击数据流量的训练集进行学习，安全事件M中相关元数据集合{d₁，d₂，d₃...，d_i，...，d_k}，i∈(1，k)的元数据特征为：

s_ke代表安全事件M的第k个元数据的第e个标签。

9.根据权利要求8所述的方法，其特征在于，步骤6包括：

步骤6-1，将正在检测的路由器命名为本地路由器，使用I作为正整数集，R作为实数集，使用<u_i，d_j，t>来表示本地路由器上的流，其中i，j∈I，t∈R，u_i是本地路由器R_i的上游路由器，d_j是一组通过本地路由器R_i的数据包的目的地址，t是当前时间戳；本地路路由器R_i中来自上游路由器的的输入流命名为过境流；

在局域网上本地路由器R_i生成的另一种类型的输入流命名为局部流，并且使用L表示局部流；

所有流入本地路由器R_j的流命名为输入流，并且将所有离开本地路由器R_i的所有流命名为输出流；

用u_i来表示本地路由器的直接上游路由器，集合U来表示路由器R_i的输入流；

得到：U＝{u_i，i∈I}+{L}；

用集合D＝{d_j，j∈I}来表示经过路由器R_i的数据包的目的地址；

受害者用v表示，v∈D；

一个本地路由器R_i上的流f_ij(u_i，d_j)被定义为如下：

f_ij(u_i，d_j)＝{u_i，d_j，t/u_i∈U，d_j∈D，i，j∈I}

用|f_ij(u_i，d_j，t)来表示在时间t上，流f_ij(u_i，d_j)的数据包个数；

给定一个时间间隔ΔT，定义指定流的数据包数量变化值N_ij(u_i，d_j，t+ΔT)如下：

N_ij(u_i，d_j，t+ΔT)＝|f_ij(u_i，d_j，t+ΔT)|-|f_ij(u_i，d_j，t)|

令集合|f_ij(u_i，d_j，t)|＝0，则表示流f_ij(u_i，d_j)在时间间隔ΔT内流经本地路由器的数据包个数；

用N_ij(u_i，d_j)来表示N_ij(u_i，d_j，t+ΔT)；

基于大数定理，得出每个流经本地路由器的流的概率为：

其中，p_ij(u_i，d_j)表示流f_ij(u_i，d_j)在所有本地路由器上的流中出现的概率，并且

步骤6-2，基于行为画像的φ熵H_α’(srcIP)以及基于行为画像的φ发散度量D_α’(PQ)定义如下：

式中α为行为画像的特征取值的个数，h(α)为行为画像的特征增益值，h(α)＝αlogα；

这里出现源IP的概率为p(srcIP)，即p(srcIP)＝p(srcIP1)，p(srcIP2)，....p(srcIPn)，其中p(srcIP_i)代表第i个上游路由器流入路由器R_i的概率，q(srcIP_i)代表路由器R_i输出到第i个下游路由器的概率；

步骤6-3，计算信息距离ID，计算公式如下：

其中，

表示实际流量的φ熵，表示正常流量的φ熵；

如果给定的抽样网络流满足如下不等式，则被称为合法的：

其中，n_c当前流量中每个时间窗口的数据包个数，n_N基线流量中每个时间窗口的数据包个数，a，k∈I；

公差因子a和k是设计参数，d_n是传入数据包中的标准偏差，ID_C表示当前和正常流量之间的信息距离，ID_N表示正常流量之间的信息距离，

是在网络的正常状态期间计算的合法流之间的ID值的标准偏差；

步骤6-4，根据步骤6-3结果识别非法的网络流量，丰富其网络行为画像，并在其上游路由器u_i中重复步骤6-1至6-3，直到追溯到攻击源。

Images