CN112182567A - 一种多步攻击溯源方法、系统、终端及可读存储介质 - Google Patents

Abstract

一种多步攻击溯源方法、系统、终端及可读存储介质，溯源方法包括以下步骤：格式化日志，从中提取事件特征，建立特征关系，依据特征关系，构建事件关系图；通过权重向量为事件关系图加权，得到带权关系图；将带权关系图传入社区检测模块，通过社区发现算法对其进行关系划分，发现攻击社区；社区发现后，基于得到的攻击社区，根据事件逻辑关系，建立先后顺序，构建攻击过程。本发明同时提供了实现上述方法的系统、终端及可读存储介质，本发明利用多个日志关联分析，能够解决因关系连接产生的状态爆炸问题，可以有效的分析多步攻击的攻击过程，可用于多种系统中基于多日志的攻击分析。

Description

一种多步攻击溯源方法、系统、终端及可读存储介质

技术领域

本发明属于网络安全领域，涉及一种多步攻击溯源方法、系统、终端及可读存储介质。

背景技术

网络信息时代，信息安全成为了最重要的技术实现目标，然而网络在提供便利的同时，也带来了诸多的安全隐患。当下世界各地政府、公司都频繁的遭受着网络攻击。各种网络攻击中，多步攻击更难于发现与分析，其产生的危害也更为严重。如APT攻击具有高度的隐蔽性，往往经过了长期的经营与策划，它以商业信息和政治安全为攻击目的，过去的十年里，已经产生了6000多次的严重事件，造成了百亿级别的经济损失，在全球范围带来了巨大的负面影响。然而公司、用户系统中配置的杀毒软件、防火墙等安全设备无法完整的构建攻击过程。面对大量的攻击警告，管理员无法自行构建攻击关系，分析攻击过程。

现有的日志检测分析中，很多都基于单一种类日志，如仅基于DNS日志、HTTP日志等。然而多步攻击涉及多个程序，时间跨度大，其攻击踪迹隐藏在多个日志之中，单一种类日志的分析很难完整的提取攻击过程。而且一个完整的攻击过程中不只有异常事件，一些正常的行为也参与攻击过程，目前很多的入侵检测系统目的都在检测异常攻击，但单纯的异常事件很难完整的构造攻击过程。日志间关系错综复杂，为解决因此产生的状态爆炸问题，现有方法很多集中在了数据的精简，然而不一定能很好的优化数据关系，而且影响数据的有效性。

发明内容

本发明的目的在于针对上述现有技术中多步攻击检测分析时日志间关系错综复杂的问题，提供一种多步攻击溯源方法、系统、终端及可读存储介质，通过从多个日志提取事件并建立合理的关联关系，能够构建出一条完整准确的攻击过程，提升检测分析的准确率。

为了实现上述目的，本发明有如下的技术方案：

一种多步攻击溯源方法，包括以下步骤：

格式化日志，从中提取事件特征，建立特征关系，依据特征关系，构建事件关系图；

通过权重向量为事件关系图加权，得到带权关系图；

将带权关系图传入社区检测模块，通过社区发现算法对其进行关系划分，发现攻击社区；

社区发现后，基于得到的攻击社区，根据事件逻辑关系，建立先后顺序，构建攻击过程。

优选的，提取事件特征，建立特征关系包括如下步骤：

(1)收集产生的日志，输入解析程序，在解析程序中将所需的特征量表达为正则式，通过正则匹配方式，将日志解析为结构化的实体；正则式表达如下表：

特征	正则式
		Timstamp	(？:\[(？P<datetime>[^\[\]]+)\])
Remote_address	(？P<remote_addr>[\d\.]{7,})
		PName	(？P<Pname>^[a-zA-Z])
Objname	(？P<Objname>^[a-zA-Z])
		Process ID	(？P<Pid>[0,9]{1,4})
IP	(？:％{IPV6}|％{IPV4})

(2)对提取的特征建立以下特征关系：

所述的构建事件关系图是通过事件描述的特征关系连接节点构成无向图。

优选的，所述的事件关系图是一个n维网络图G(V,E,D)，其中V是一系列节点事件集合，表示事件描述，E是事件描述之间关系构成的边，D是n维的特征关系；最终形成V*V*D的三维矩阵M，i和j表示两个节点条目，则M_i,j,k＝1表示节点i和节点j间存在第k维的关系，M_i,j,k＝0则没有关系；E中的边e表示为{(i,j,d,d₂,d₃…dn)|i,j∈v,d_k∈D}。

优选的，对关系图进行监督学习得到权重向量，通过逻辑回归算法，构造权重向量函数，通过对数似然法最小化权重向量函数当中的成本函数，从而得到权重向量

权重范围为[0,1]。

优选的，通过增强的Louvain社区发现算法对关系图进行社区划分，社区划分的具体步骤如下：

(1)节点移动：通过移动节点，选择模块度变化更大的移动方式划分社区；

(2)分区重构：通过对节点移动后社区进行分区细化分析，减少连接不良的社区；

(3)分区聚合：将细化后的分区重新压缩为节点再次返回步骤(1)进行节点移动。

优选的，攻击过程构建是对社区发现后得到的攻击社区中的事件，依据时间顺序、进程ID间的先后关联以及进程调用目标文件的先后为顺序，构建攻击过程。

本发明还提供一种多步攻击溯源系统，包括：

事件关系图构建模块，用于从格式化日志中提取事件特征，建立特征关系，依据特征关系，构建事件关系图；

带权关系图构建模块，用于获取权重向量，通过权重向量为事件关系图加权，得到带权关系图；

社区划分模块，用于将带权关系图传入社区检测模块，通过社区发现算法对其进行关系划分，发现攻击社区；

攻击过程构建模块，用于基于得到的攻击社区，根据事件逻辑关系，建立先后顺序，构建攻击过程。

本发明还提供一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述的处理器执行所述的计算机程序时实现所述的多步攻击溯源方法的步骤。

本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述的计算机程序被处理器执行时实现所述的多步攻击溯源方法的步骤。

相较于现有技术，本发明具有如下的有益效果：进行多日志间有效的关联分析，本发明通过关联多日志分析，更完善的构造了攻击社区，避免了单日志分析对攻击过程的片面分析，为攻击过程的构建提供了更多的有效信息。通过权重向量为事件关系图加权，得到带权关系图，再将带权关系图传入社区检测模块，通过社区发现算法对其进行关系划分，发现攻击社区，本发明优化了连接日志条目后生成的关系图，对特征向量加权后，很好的解决了因日志关系错综复杂导致的状态爆炸问题。本发明提出的攻击溯源方法能够对多种多步攻击进行分析，只需要增添相应的特征关系，便能够很好的适应不同的攻击分析，而且添加更多的特征关系，可以很好提升检测分析的准确率，具有良好的可扩展性。

进一步的，本发明将带权关系图传入社区检测模块，通过增强的Louvain社区发现对关系图进行社区划分，在社区划分中通过分区重构优化了Louvain社区发现中存在的连接不良，提高了攻击社区化分的准确率，使得攻击过程提取更为准确。

进一步的，本发明通过对社区发现中节点移动的判断进行剪枝，优化了Louvain社区发现中节点移动的速度，有效的提升了算法的时间效率，时间缩减达到了90％以上。

附图说明

图1本发明多步攻击溯源方法的流程图；

图2本发明增强的Louvain社区发现算法的流程图；

图3本发明增强的Louvain社区发现算法与普通Louvain算法的准确率对比图。

具体实施方式

下面结合附图对本发明做进一步的详细说明。

参见图1，本发明的多步攻击溯源方法，通过多日志事件关联，使用增强型Louvain算法划分社区，基于攻击社区构建攻击过程。主体分为四个部分：第一部分是关系图的构建，提取事件特征，建立事件联系，通过事件关系向量构建事件关系图；第二部分是状态优化，通过逻辑回归算法得到权重向量，使用权重向量为关系图加权，从而解决状态爆炸问题；第三部分是社区划分，使用增强型Louvain算法对加权图进行关系划分，从而得到需要分析的攻击社区，若分区不合理，增加特征提取，重新进行日志格式化处理；第四部分是攻击过程提取，基于攻击社区，根据给出的事件逻辑关系，建立先后顺序，得到有向的攻击过程。

本发明的多步攻击溯源方法具体步骤包括：

步骤1，构建关系图；

(1a)格式化日志，从中提取事件特征，建立特征关系；

(1a1)通过爬虫、抓包等方式收集系统、网络(HTTP、DNS、UDP/TCP)、应用(Chrome、Email、Office)等产生的日志，输入解析程序。解析程序中，将本方法所需的特征量，表达为正则式，通过正则匹配方式，将日志解析为结构化的实体；

特征	正则式
		Timstamp	(？:\[(？P<datetime>[^\[\]]+)\])
Remote_address	(？P<remote_addr>[\d\.]{7,})
		PName	(？P<Pname>^[a-zA-Z])
Objname	(？P<Objname>^[a-zA-Z])
		Process ID	(？P<Pid>[0,9]{1,4})
IP	(？:％{IPV6}|％{IPV4})

(1a 2)对提取的特征建立以下特征关系：

关系表达式	描述
		(u.timestamp–v.timestamp)<t	表示对时间差在阈值t内的事件u和v建立联系
u.pid＝v.pid	表示对进程ID相同的事件u和v建立联系
		u.pname＝v.pname	表示对进程名称相同的事件u和v建立联系
u.Hip＝v.Hip	表示对主机IP相同的事件u和v建立联系
		u.Objname＝v.Objname	表示对访问对象名称相同的事件u和v建立联系
u.R_addr＝v.R_addr	表示对远程地址相同的事件u和v建立联系

(1b)通过事件条目的特征关系连接节点构成无向图。

形成一个n维网络图G(V,E,D)。其中V是一系列节点事件集合，表示日志条目，E是事件条目间关系构成的边，D是n维的特征关系。最终形成了V*V*D的三维矩阵M，i和j表示两个节点条目，则M_i,j,k＝1表示节点i和节点j间存在第k维的关系，M_i,j,k＝0则没有关系。E中的边e可以表示为{(i,j,d,d₂,d₃…dn)|i,j∈v,d_k∈D}；

步骤2，状态优化；

使用逻辑回归算法获得权重向量，生成加权关系图：

(1)假设有m条训练边，E＝(x_i,y_i),i∈[1,m]，x_i表示第i条训练向量

若e_i∈e_AB则y_i＝1，否则y_i＝0，为了防止

对边加权后出现负权，通过函数设置将权重范围映射到[0,1]；

(2)

表示(e_i∈e_AB，y_i＝1)的概率，其他概率为

构造函数

如下：

(3)设置成本函数如下，用对数似然法最小化成本函数：

(4)使用全权重向量

为n维关系连接加权，生成带权关系图；

步骤3，增强型Louvain社区检测；

参照图2，通过增强的Louvain社区发现算法对关系图进行社区划分包括以下步骤：

(1)节点移动；

将图中的每个节点初始化为独立的社区，然后对每个节点i，依次尝试分配到其邻居节点所在的社区，计算移动前后的模块度变化ΔQ，并记录ΔQ最大的邻居节点，若maxΔQ＞0，则把节点i分配给ΔQ最大的居节点所在的社区，否则不移动社区。计算所有的节点分配，直到所有节点的所属社区不再发生变化；

社区检测中主要运算时间发生在节点移动中，实验证明当节点i从A移动到另一社区B后，只将不在社区B中的节点i的邻居节点加入进一步的移动判断队列即可。如下表所示，这样计算时间可以减少90％，而分类效果影响不大。

(2)分区重构：

首先将G中的每个节点初始化为一个单节点社区，对于节点移动后划分好的社区，通过判断其节点的连接度是否良好，选择连接良好的节点进一步分析，对于良好连接的节点集合中未被合并的点，挑选连接良好的社区，将节点依模块度的提升随机移入，未被并入社区节点单独成为社区。从而得到细化分区，使聚合网络时，可以依据细化后的分区聚合节点。

(3)分区聚合：

在分区重构后，将划分后的社区重新聚合成单个节点，社区内部的边成为新节点的自环边，社区间的边权成为新节点的边权。

如图3所示，与Louvain社区发现算法相比，本发明增强型Louvain算法在社区分类时有更高的准确率。

步骤4，攻击过程构建；

基于得到的攻击社区，本发明对其中的事件条目依据时间顺序、进程ID间的先后关联，以及进程调用目标文件的先后顺序，构建攻击社区的攻击过程图。

一种实现上述多步攻击溯源方法的系统，包括：

事件关系图构建模块，用于从格式化日志中提取事件特征，建立特征关系，依据特征关系，构建事件关系图；

带权关系图构建模块，用于获取权重向量，通过权重向量为事件关系图加权，得到带权关系图；

社区划分模块，用于将带权关系图传入社区检测模块，通过社区发现算法对其进行关系划分，发现攻击社区；

攻击过程构建模块，用于基于得到的攻击社区，根据事件逻辑关系，建立先后顺序，构建攻击过程。

一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，处理器执行所述的计算机程序时实现所述的多步攻击溯源方法的步骤。

一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述的计算机程序被处理器执行时实现所述的多步攻击溯源方法的步骤。

所述的计算机程序可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器中，并由所述处理器执行，以完成本发明的方法。

所述终端可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备，也可以是处理器、存储器。处理器可以是中央处理单元(CentralProcessingUnit，CPU)，还可以是其他通用处理器、数字信号处理器(DigitalSignalProcessor，DSP)、专用集成电路(ApplicationSpecificIntegratedCircuit，ASIC)、现成可编程门阵列(Field-ProgrammableGateArray，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。存储器可用于存储所述计算机程序和/或模块，所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现多步攻击溯源系统的各种功能。

以上描述仅是本发明的一个具体实例，不构成对本发明的任何限制。显然对本领域的专业人员来说，在了解了本发明内容和原理后，都可能进行形式和细节上的各种修正和改变，但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。

Claims (9)

1.一种多步攻击溯源方法，其特征在于，包括以下步骤：

格式化日志，从中提取事件特征，建立特征关系，依据特征关系，构建事件关系图；

通过权重向量为事件关系图加权，得到带权关系图；

将带权关系图传入社区检测模块，通过社区发现算法对其进行关系划分，发现攻击社区；

社区发现后，基于得到的攻击社区，根据事件逻辑关系，建立先后顺序，构建攻击过程。

2.根据权利要求1所述的多步攻击溯源方法，其特征在于：

提取事件特征，建立特征关系包括如下步骤：

(1)收集产生的日志，输入解析程序，在解析程序中将所需的特征量表达为正则式，通过正则匹配方式，将日志解析为结构化的实体；正则式表达如下表：

特征 正则式 Timstamp (？:\[(？P<datetime>[^\[\]]+)\]) Remote_address (？P<remote_addr>[\d\.]{7,}) PName (？P<Pname>^[a-zA-Z]) Objname (？P<Objname>^[a-zA-Z]) Process ID (？P<Pid>[0,9]{1,4}) IP (？:％{IPV6}|％{IPV4})

(2)对提取的特征建立以下特征关系：

所述的构建事件关系图是通过事件描述的特征关系连接节点构成无向图。

3.根据权利要求2所述的多步攻击溯源方法，其特征在于：

所述的事件关系图是一个n维网络图G(V,E,D)，其中V是一系列节点事件集合，表示事件描述，E是事件描述之间关系构成的边，D是n维的特征关系；最终形成V*V*D的三维矩阵M，i和j表示两个节点条目，则M_i,j,k＝1表示节点i和节点j间存在第k维的关系，M_i,j,k＝0则没有关系；E中的边e表示为{(i,j,d,d₂,d₃…dn)|i,j∈v,d_k∈D}。

4.根据权利要求1所述的多步攻击溯源方法，其特征在于：对关系图进行监督学习得到权重向量，通过逻辑回归算法，构造权重向量函数，通过对数似然法最小化权重向量函数当中的成本函数，从而得到权重向量

权重范围为[0,1]。

5.根据权利要求1所述的多步攻击溯源方法，其特征在于，通过增强的Louvain社区发现算法对关系图进行社区划分，社区划分的具体步骤如下：

(1)节点移动：通过移动节点，选择模块度变化更大的移动方式划分社区；

(2)分区重构：通过对节点移动后社区进行分区细化分析，减少连接不良的社区；

(3)分区聚合：将细化后的分区重新压缩为节点再次返回步骤(1)进行节点移动。

6.根据权利要求1所述的多步攻击溯源方法，其特征在于：

攻击过程构建是对社区发现后得到的攻击社区中的事件，依据时间顺序、进程ID间的先后关联以及进程调用目标文件的先后为顺序，构建攻击过程。

7.一种多步攻击溯源系统，其特征在于，包括：

事件关系图构建模块，用于从格式化日志中提取事件特征，建立特征关系，依据特征关系，构建事件关系图；

带权关系图构建模块，用于获取权重向量，通过权重向量为事件关系图加权，得到带权关系图；

社区划分模块，用于将带权关系图传入社区检测模块，通过社区发现算法对其进行关系划分，发现攻击社区；

攻击过程构建模块，用于基于得到的攻击社区，根据事件逻辑关系，建立先后顺序，构建攻击过程。

8.一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于：所述的处理器执行所述的计算机程序时实现如权利要求1至6中任意一项所述的多步攻击溯源方法的步骤。

9.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于：所述的计算机程序被处理器执行时实现如权利要求1至6中任意一项所述的多步攻击溯源方法的步骤。

Images