CN112583844B - 一种面向高级可持续威胁攻击的大数据平台防御方法 - Google Patents

一种面向高级可持续威胁攻击的大数据平台防御方法 Download PDF

Info

Publication number
CN112583844B
CN112583844B CN202011547061.1A CN202011547061A CN112583844B CN 112583844 B CN112583844 B CN 112583844B CN 202011547061 A CN202011547061 A CN 202011547061A CN 112583844 B CN112583844 B CN 112583844B
Authority
CN
China
Prior art keywords
defense
attack
sub
party
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011547061.1A
Other languages
English (en)
Other versions
CN112583844A (zh
Inventor
尚涛
张锋
任旭杰
姜亚彤
刘建伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beihang University
Original Assignee
Beihang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beihang University filed Critical Beihang University
Priority to CN202011547061.1A priority Critical patent/CN112583844B/zh
Publication of CN112583844A publication Critical patent/CN112583844A/zh
Application granted granted Critical
Publication of CN112583844B publication Critical patent/CN112583844B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种面向高级可持续威胁攻击的大数据平台防御方法:步骤1.构建APT攻防模型,进行收益分析;步骤2.防御方评估并确定目标资源价值、执行防御动作成本、从情报机构获得情报的成本;步骤3.训练随机森林分类器用于APT攻击流量识别;步骤4.~7.决策树分类器训练,建立决策树分类器;步骤8.循环步骤4~7,建立多个决策树分类器,构成随机森林分类器;步骤9.将测试集中数据输入随机森林分类器得到预测结果集与实验结果对比,得出防御方有效识别APT攻击的准确率,及防御方防御失败的概率;步骤10.得到防御策略。本发明更贴近实际攻防情景,能对流量数据进行识别,从理论上知道防御方如何选择适当的防御策略。

Description

一种面向高级可持续威胁攻击的大数据平台防御方法
技术领域
本发明涉及一种面向高级可持续威胁攻击的大数据平台防御方法,属于网络空间安全技术领域。
背景技术
近年来,高级可持续威胁(Advanced Persistent Threat,APT)攻击事件频发,信息安全威胁越来越严重。APT攻击因为目标性强、隐蔽性好、不易被检测等特点,成为目前危害最大的攻击方式之一。APT攻击者往往通过社会工程学,零日漏洞等手段实施攻击,传统的网络攻击防御技术难以进行有效防御。因此,如何有效识别APT攻击,指定合理的防御策略成为当前的研究热点。
博弈论研究的是决策主体的行为相互作用时的决策以及这种决策的均衡问题,以及如何使效用最大化。网络攻防本质上是攻击者和防御者的攻防行为相互作用,因此可以使用博弈论来研究网络攻防。目前,博弈论已在成本效益分析和策略选择等领域加以应用。
实际情况中,攻击方通过社会工程学等攻击手段对防御者进行攻击,且攻击者会故意隐藏自己的攻击,因此攻击方对防御方的了解远多于防御方对攻击方的了解,即满足非完全信息假设。2013年,RSA实验室的Van Dijk设计了FlipIt模型,该模型基于时间博弈的思想,将网络中的信息资产抽象为资源节点,并将攻防博弈描述为双方交替对资源节点进行控制的过程。FlipIt模型适用于隐蔽攻击的场景,但该模型只是抽象的基本模型框架。后续有研究者针对FlipIt模型进行改进与完善。2014年,Laszka等人提出了FlipThem模型,该模型对目标资源数量进行扩展,并讨论了不同控制条件下的最优策略。2015年,Feng等人提出基于FlipIt模型的三方博弈模型,模型对参与者进行扩展,引入内部威胁者,三方相互作用组成三方博弈,并对博弈均衡进行分析。与传统的网络攻击相比,APT攻击持续时间长,目的性强,通常针对特定目标发起针对性的攻击,难以防御。然而现有的方案大都假设攻击方的攻击行为是瞬时完成的,防御方的防御成功率为100%,与实际情景不符。现有的方案中攻击检测大都基于某一时间点,对于持续时间较长的APT攻击检测准确率较低。
大数据平台可以存储海量的用户数据,利用其强大的数据分析能力对数据进行分析。因此,可以利用大数据平台进行检测,通过对某一时间段内所有的数据进行分析,检测现有的检测方法难以发现的APT攻击。
针对这些问题,本发明提出了一种攻防双方信息非对称条件下的APT攻防博弈模型,分析了模型场景的最优策略。本发明将对FlipIt模型进行扩展,充分考虑APT攻击隐蔽性强、目标性强的特点,在大数据平台上进行APT攻击检测,采用博弈论的方法对攻击方和防御方的攻防过程进行描述,得出不同情况下防御方的最优防御方法。
发明内容
本发明的技术解决问题:因为APT攻击耗时长,且比较隐蔽,难以发现,因此如何对APT攻击进行检测,以及检测到APT攻击,防御方应该采取何种防御方法是必须解决的关键问题。
本发明采取的技术方案是:一种面向高级可持续威胁攻击的大数据平台防御方法,它包含以下步骤:
步骤1.构建APT攻防模型,根据模型中参与方的行为确定攻击方和防御方进行收益分析。如图2所示,模型中有三个角色,分别是APT攻击者、大数据平台和第三方情报机构。APT攻击者会对大数据平台发起攻击,同时会从第三方情报机构获取情报辅助攻击决策。大数据平台会通过APT检测防御系统对攻击者发起的攻击进行防御,同时从第三方情报机构获取情报辅助决策。第三方情报机构会为攻防双方提供情报,其如何为双方提供情报以自身收益最大化为准。
步骤2.防御方评估并确定目标资源的价值BA,执行防御动作的成本cD以及从情报机构获得情报的成本c2,这些参数将用于步骤10中收益函数的计算。
步骤3.训练随机森林分类器用于APT攻击流量的识别。采用流量数据集D进行训练,对流量数据集进行划分,取数据集中80%的流量数据作为训练集Dtrain,剩余20%的流量数据作为测试集Dtest
步骤4.在训练集Dtrain中,使用BootStrap方法生成子数据集。记Dtrain中的流量样本总数为n。从Dtrain中随机选择一个样本,将其记录后放回Dtrain中,重复n次。取出每次记录的样本组成子数据集Dsub
步骤5.子数据集Dsub可表示为
Figure BDA0002855987950000031
xi表示第i个样本,每个样本中包含M个特征
Figure BDA0002855987950000032
和一个标签L。其中标签L共有c个值{l1,l2,...,lc},按照每个样本xi的L值不同,可以将Dsub中的流量数据分为c类。xi在属性Ak上的属性值为v(xi,Ak)。从流量数据的全部M个特征中随机选择m个特征(m<<M)。
步骤6.在子数据集Dsub中计算步骤5中选择的m个特征对应的信息增益,并根据信息增益的大小从m个特征中选择信息增益值最大的特征作为最佳特征,并选择最佳分裂点cpk。信息增益值根据式(1)来计算。
I(Dsub,Ak)=H(Dsub)-H(Dsub|Ak) (1)
式中,H(Dsub)表示子数据集Dsub的信息熵,H(Dsub|Ak)表示根据特征Ak对子数据集Dsub进行划分后的信息熵。H(Dsub)根据式(2)来计算。
Figure BDA0002855987950000033
式中pj表示Dsub中L值为lj的样本所占的比例。H(Dsub|Ak)根据式(3)来计算。
Figure BDA0002855987950000034
式中Dleft={xi∈D|v(xi,Ak)≤cpk},Dright={xi∈D|v(xi,Ak)>cpk}
步骤7.根据分裂点cpk将Dsub分成两个子数据集Dleft和Dright,分别对Dleft和Dright递归执行步骤5~步骤6,直至子数据集中所有数据属于同一类,则一个完整的决策树分类器训练完成。
步骤8.并行生成多个决策树分类器,每次执行步骤4~步骤7,为所有决策树分类器生成深度相同的所有节点。循环执行步骤4~步骤7,直至所有决策树分类器生成完毕。所有的决策树分类器共同构成随机森林分类器。
步骤9.将测试集Dtest中的数据输入随机森林分类器得到预测结果集Dpredict,将预测结果Dpredict与实验结果Dtest对比,评价分类器的分类性能,得出防御方有效识别APT攻击的准确率,从而得出防御方防御失败的概率p,失败概率p将用于步骤10中计算。
步骤10.防御的收益函数为
Figure BDA0002855987950000041
判别函数为
Figure BDA0002855987950000042
式中l为防御方周期性进行防御动作的时间间隔,fa(l)为l的概率密度函数。
Figure BDA0002855987950000043
Fa(l)为l的概率分布函数。
Figure BDA0002855987950000044
求解判别函数的函数值为0时对应的解l*,若存在l*满足BRD=0,则防御方应该以l*为周期进行防御动作,若不满足,则防御方的最佳策略为不进行防御动作。
本发明与现有技术相比的优点在于:
(1)本发明考虑了实际攻击中APT攻击不是瞬时完成,且防御方防御可能失败的情形,更贴近实际攻防情景。
(2)本发明能够对流量数据进行识别,检测其中是否存在APT攻击流量,从而判断是否存在APT攻击,以及识别APT攻击的准确率,并从理论上知道防御方如何选择适当的防御策略。
附图说明
图1为FlipIt模型的模型图;
图2为本发明的APT攻防模型图;
图3为a>l时的FlipIt模型图;
图4为a≤l且防御方防御成功时的FlipIt模型图;
图5为a≤l且防御方防御失败时的FlipIt模型图;
图6为Spark运行原理图。
图中符号说明如下:
a表示攻击方进行攻击动作的时间间隔;
l表示防御方进行防御动作的时间间隔;
t表示坐标轴标度。
具体实施方式
本发明所提出的一种面向高级可持续威胁攻击的大数据平台防御方法需解决以下两个问题:1)由于APT攻击隐蔽性较强,因此防御方应该选用何种方式进行防御,如何发现隐藏在正常流量中的APT攻击流量是必须要解决的问题;2)当检测到APT攻击时,防御方应该采取何种防御策略才能使自身利益最大化,这也是必须要解决的问题。
本发明的主要实现思想是:
如图2所示,模型中有三个角色,分别是APT攻击者、大数据平台和第三方情报机构。APT攻击者会对大数据平台发起攻击,同时会从第三方情报机构获取情报辅助攻击决策。大数据平台会通过APT检测防御系统对攻击者发起的攻击进行防御,同时从第三方情报机构获取情报辅助决策。第三方情报机构会为攻防双方提供情报,其如何为双方提供情报以自身收益最大化为准。
本方案的构建基于以下三条假设:
假设1:攻防双方信息不对称、攻击方可以观测到防御方的动作,攻击方会在观测到防御方的动作之后决定是否进行攻击。
假设2:除了攻击者进行攻击需要一定时间外,其余动作均为瞬间完成。即攻防双方从情报机构获取情报,防御者进行防御均为瞬间完成。攻击者在观察到防御者防御动作时,瞬间做出决策是否进行攻击,即如果进行攻击的话,攻击动作和防御动作可看作同时发生。定义攻击方进行攻击动作的时间间隔为a,a满足指数分布,即a的概率密度函数为
Figure BDA0002855987950000061
概率分布函数为
Figure BDA0002855987950000062
防御者周期性进行防御动作,其防御时间间隔为l。攻击者和防御者从情报机构获得情报的成本分别为c1,c2
假设3:攻击者取得目标资源的控制权时,防御者进行防御动作可能失败的次数不超过一次。记防御者防御失败的概率为p(考虑到实际应用中,失败概率过高的防御无意义,因此此处假设p<0.1)。每次进行防御时,防御者的防御动作都可能失败,因为实际应用中防御失败概率较小,所以不考虑连续两次的防御失败。当攻击者进行攻击但攻击未完成时,若此时防御者进行防御,攻击者需要重新进行攻击。如果攻击者在成功夺取目标资源控制权后,会在一个时间周期结束后瞬时撤出。
本发明发明了一种面向高级可持续威胁攻击的大数据平台防御方法,方法运行在Spark平台上,在Python3环境中运行。Spark平台的运行原理如图6所示。本发明方法具体步骤如下:
步骤1.构建APT攻防模型,根据模型中参与方的行为对攻击方和防御方进行收益分析。如图2所示,模型中有三个角色,分别是APT攻击者、大数据平台和第三方情报机构。APT攻击者会对大数据平台发起攻击,同时会从第三方情报机构获取情报辅助攻击决策。大数据平台会通过APT检测防御系统对攻击者发起的攻击进行防御,同时从第三方情报机构获取情报辅助决策。第三方情报机构会为攻防双方提供情报,其如何为双方提供情报以自身收益最大化为准。
如图1所示,在FlipIt模型中,目标资源只有两个状态,要么处于受保护状态要么处于被入侵状态,即目标资源可能处于攻击方控制,也可能处于防御方控制。目标资源在被控制期间会给控制者带来收益。防御方在攻击方进行攻击动作的时间和防御成功的时间间隔内控制目标资源并获取收益,攻击方在攻击动作成功后以及防御方防御失败的时间间隔内控制目标资源并获取收益。
假设攻防双方的博弈为连续进行,每次攻击方或防御方进行动作时付出的成本分别为cA、cD。目标资源带来的单位时间内的收益为BA。因为攻击者进行攻击的时间间隔a与防御者周期性进行防御的时间间隔l之间的大小关系不确定,所以需要分情况讨论。
1)a>l
如图3所示,此时防御方的防御周期短于攻击方的攻击用时,因此攻击方的攻击无法完成,每次进行攻击时都会被防御方察觉并进行使其攻击失效。此情况下,攻击方没有获得目标资源的控制权,仅仅进行一次攻击动作并付出对应成本,攻击方的收益为
Figure BDA0002855987950000071
防御方成功进行防御并一直拥有目标资源的控制权,并在一个周期内进行两次防御动作。防御方收益为
Figure BDA0002855987950000072
由此可得,攻击方的条件期望收益为
Figure BDA0002855987950000081
防御方的期望收益为
Figure BDA0002855987950000082
2)a≤l
此时防御方的防御间隔长于攻击方的攻击用时。因此在防御者进行两次防御的间歇,攻击者会控制目标资源并获取收益,而在进行第二次防御时,防御方有一定的防御失败概率,因此针对防御方的第二次是否失败,攻防双方的收益不同。
(1)防御方防御成功
如图4所示,此时攻击者在攻击成功到防御者进行下一次防御动作的时间间隔内取得目标资源的控制权,在整个时间周期内,攻击者的收益为
Figure BDA0002855987950000083
防御者在攻击者的攻击时间间隔内拥有对目标资源的控制权,其收益为
Figure BDA0002855987950000084
(2)防御方防御失败
如图5所示,此时攻击者在完成攻击后到周期结束的时间间隔内取得目标资源的控制权,在整个周期中进行一次攻击,其攻击收益为
Figure BDA0002855987950000085
因为第二次防御动作失败,所以防御方仅在攻击方攻击的时间间隔内拥有目标资源的控制权,其收益为
Figure BDA0002855987950000086
综合(1)防御者防御成功与(2)防御失败两种情形,可得出当a≤l时,攻击者的收益为
Figure BDA0002855987950000087
防御者的收益为
Figure BDA0002855987950000088
据此可以得出此情况的攻击者条件期望收益为
Figure BDA0002855987950000089
防御者的条件期望收益为
Figure BDA0002855987950000091
综合1)a>l和2)a≤l两种情形,攻击者的总条件期望收益为
Figure BDA0002855987950000092
防御方的总条件期望收益为
Figure BDA0002855987950000093
步骤2.防御方评估并确定己方目标资源的价值BA,己方执行防御动作的成本cD以及从情报机构获得情报的成本c2,这些参数将用于步骤10进行计算。
步骤3.训练随机森林分类器用于APT攻击流量的识别。采用流量数据集D进行训练,对流量数据集进行划分,取数据集中80%的流量数据作为训练集Dtrain,剩余20%的流量数据作为测试集Dtest
步骤4.在训练集Dtrain中,使用BootStrap方法生成子数据集。记Dtrain中的流量样本总数为n。从Dtrain中随机选择一个样本,将其记录后放回Dtrain中。重复n次,取出每次记录的样本组成子数据集Dsub
步骤5.子数据集Dsub可表示为
Figure BDA0002855987950000094
xi表示第i个样本,每个样本中包含M个特征
Figure BDA0002855987950000095
和一个标签L。其中标签L共有c个值{l1,l2,...,lc},按照每个样本xi的L值不同,可以将Dsub中的流量数据分为c类。xi在属性Ak上的属性值为v(xi,Ak)。从流量数据的全部M个特征中随机选择m个特征(m<<M)。
步骤6.在子数据集Dsub中计算步骤5中选择的m个特征对应的信息增益,并根据信息增益的大小从m个特征中选择信息增益值最大的特征作为最佳特征,并选择最佳分裂点cpk。信息增益值根据式(12)来计算。
I(Dsub,Ak)=H(Dsub)-H(Dsub|Ak) (12)
式中,H(Dsub)表示子数据集Dsub的信息熵,H(Dsub|Ak)表示根据特征Ak对子数据集Dsub进行划分后的信息熵。H(Dsub)根据式(13)来计算。
Figure BDA0002855987950000101
式中pj表示Dsub中L值为lj的样本所占的比例。H(Dsub|Ak)根据式(14)来计算。
Figure BDA0002855987950000102
式中Dleft={xi∈D|v(xi,Ak)≤cpk},Dright={xi∈D|v(xi,Ak)>cpk}
步骤7.根据分裂点cpk将Dsub分成两个子数据集Dleft和Dright,分别对Dleft和Dright递归执行步骤5~步骤6,直至子数据集中所有数据属于同一类,则一个完整的决策树分类器训练完成。
步骤8.并行生成多个决策树分类器,每次执行步骤4~步骤7,为所有决策树分类器生成深度相同的所有节点。循环执行步骤4~步骤7,直至所有决策树分类器生成完毕。所有的决策树分类器共同构成随机森林分类器。
步骤9.将测试集Dtest中的数据输入随机森林分类器得到预测结果集Dpredict,将预测结果Dpredict与实验结果Dtest对比,评价分类器的分类性能,得出防御方有效识别APT攻击的准确率,从而得出防御方防御失败的概率p,失败概率p将用于步骤10中计算。
步骤10.防御的收益函数为
Figure BDA0002855987950000103
判别函数为
Figure BDA0002855987950000104
式中l为防御方周期性进行防御动作的时间间隔,fa(l)为l的概率密度函数,Fa(l)为l的概率分布函数。求解判别函数的函数值为0时对应的解l*,若存在l*满足BRD=0,则防御方应该以l*为周期进行防御动作,若不满足,则防御方的最佳策略为不进行防御动作。
对防御方防御方法的选取进行分析,有如下定理:
定理如果不存在l,使得判别函数BRD=0,则此时防御者的最佳防御方法为不采取任何防御措施。如果存在l*使得BRD=0,则此时防御者的最佳防御方法为以l*为周期进行防御。
证明防御者的最佳方法的目标是使得防御者的收益函数最大,因此,需要求得防御者的增益函数何时取得最大值。防御者的收益函数为
Figure BDA0002855987950000111
要求收益函数的最大值,需求GD关于l的偏导。
Figure BDA0002855987950000112
Figure BDA0002855987950000113
则有BRD=0。对BRD求关于l的偏导,得
Figure BDA0002855987950000114
易知BRD是关于l的单调递增函数。因此,若存在l*使得BRD=0,则该值为唯一值。
对GD求关于l的二阶偏导,得
Figure BDA0002855987950000115
当l→0时,GD→-∞;当l→+∞时,GD→BA(1-p)。因此,若存在l*使得BRD=0,则该值为防御方收益函数GD的最大值,即为防御方的防御策略。
本发明说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。
以上所述仅是本发明一种面向高级可持续威胁攻击的大数据平台防御方法的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明一种面向高级可持续威胁攻击的大数据平台防御方法原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明一种面向高级可持续威胁攻击的大数据平台防御方法的保护范围。

Claims (4)

1.一种面向高级可持续威胁攻击的大数据平台防御方法,其特征在于:它包含以下步骤:
步骤1.构建APT攻防模型,根据模型中参与方的行为确定攻击方和防御方进行收益分析;
步骤2.防御方评估并确定目标资源的价值BA,执行防御动作的成本cD以及从情报机构获得情报的成本c2
步骤3.训练随机森林分类器用于APT攻击流量的识别:采用流量数据集D进行训练,对流量数据集进行划分为训练集Dtrain和测试集Dtest
步骤4.在训练集Dtrain中,使用BootStrap方法生成子数据集Dsub
步骤5.子数据集Dsub可表示为
Figure FDA0002855987940000011
xi表示第i个样本,每个样本中包含M个特征
Figure FDA0002855987940000012
和一个标签L;从流量数据的全部M个特征中随机选择m个特征(m<<M);
步骤6.在子数据集Dsub中计算步骤5中选择的m个特征对应的信息增益,并根据信息增益的大小从m个特征中选择信息增益值最大的特征作为最佳特征,并选择最佳分裂点cpk
步骤7.根据分裂点cpk将Dsub分成两个子数据集Dleft和Dright,分别对Dleft和Dright递归执行步骤5~步骤6,直至子数据集中所有数据属于同一类,则一个完整的决策树分类器训练完成;
步骤8.并行生成多个决策树分类器,每次执行步骤4~步骤7,为所有决策树分类器生成深度相同的所有节点;循环执行步骤4~步骤7,直至所有决策树分类器生成完毕;所有的决策树分类器共同构成随机森林分类器;
步骤9.将测试集Dtest中的数据输入随机森林分类器得到预测结果集Dpredict,将预测结果Dpredict与实验结果Dtest对比,评价分类器的分类性能,得出防御方有效识别APT攻击的准确率,从而得出防御方防御失败的概率p,失败概率p将用于步骤10中计算;
步骤10.防御的收益函数为
Figure FDA0002855987940000021
判别函数为
Figure FDA0002855987940000022
式中l为防御方周期性进行防御动作的时间间隔,fa(l)为l的概率密度函数,
Figure FDA0002855987940000023
Fa(l)为l的概率分布函数,
Figure FDA0002855987940000024
求解判别函数的函数值为0时对应的解l*,若存在l*满足BRD=0,则防御方应该以l*为周期进行防御动作,若不满足,则防御方的最佳策略为不进行防御动作。
2.根据权利要求1所述的一种面向高级可持续威胁攻击的大数据平台防御方法,其特征在于:所述的APT攻防模型中有三个角色,分别是APT攻击者、大数据平台和第三方情报机构;所述的APT攻击者对大数据平台发起攻击,同时从第三方情报机构获取情报辅助攻击决策;所述的大数据平台通过APT检测防御系统对攻击者发起的攻击进行防御,同时从第三方情报机构获取情报辅助决策;所述的第三方情报机构以自身收益最大化为准为攻防双方提供情报。
3.根据权利要求1所述的一种面向高级可持续威胁攻击的大数据平台防御方法,其特征在于:所述步骤4生成子数据集的具体过程如下:记训练集Dtrain中的流量样本总数为n,从Dtrain中随机选择一个样本,将其记录后放回Dtrain中,重复n次;取出每次记录的样本组成子数据集Dsub
4.根据权利要求1所述的一种面向高级可持续威胁攻击的大数据平台防御方法,其特征在于:所述步骤6的信息增益值根据式(1)来计算:
I(Dsub,Ak)=H(Dsub)-H(Dsub|Ak) (1)
式中,H(Dsub)表示子数据集Dsub的信息熵,H(Dsub|Ak)表示根据特征Ak对子数据集Dsub进行划分后的信息熵;H(Dsub)根据式(2)来计算:
Figure FDA0002855987940000031
式中pj表示Dsub中L值为lj的样本所占的比例;H(Dsub|Ak)根据式(3)来计算:
Figure FDA0002855987940000032
式中Dleft={xi∈D|v(xi,Ak)≤cpk},Dright={xi∈D|v(xi,Ak)>cpk}。
CN202011547061.1A 2020-12-24 2020-12-24 一种面向高级可持续威胁攻击的大数据平台防御方法 Active CN112583844B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011547061.1A CN112583844B (zh) 2020-12-24 2020-12-24 一种面向高级可持续威胁攻击的大数据平台防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011547061.1A CN112583844B (zh) 2020-12-24 2020-12-24 一种面向高级可持续威胁攻击的大数据平台防御方法

Publications (2)

Publication Number Publication Date
CN112583844A CN112583844A (zh) 2021-03-30
CN112583844B true CN112583844B (zh) 2021-09-03

Family

ID=75139306

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011547061.1A Active CN112583844B (zh) 2020-12-24 2020-12-24 一种面向高级可持续威胁攻击的大数据平台防御方法

Country Status (1)

Country Link
CN (1) CN112583844B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113612752B (zh) * 2021-07-28 2024-06-11 深圳供电局有限公司 一种智能电网中针对高级可持续性威胁的检测方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015047802A2 (en) * 2013-09-30 2015-04-02 Fireeye, Inc. Advanced persistent threat (apt) detection center
CN106817248A (zh) * 2016-12-19 2017-06-09 西安电子科技大学 一种apt攻击检测方法
CN108540451A (zh) * 2018-03-13 2018-09-14 北京理工大学 一种用机器学习技术对网络攻击行为进行分类检测的方法
CN110135167A (zh) * 2019-05-14 2019-08-16 电子科技大学 一种随机森林的边缘计算终端安全等级评估方法
CN110191083A (zh) * 2019-03-20 2019-08-30 中国科学院信息工程研究所 面向高级持续性威胁的安全防御方法、装置与电子设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11429895B2 (en) * 2019-04-15 2022-08-30 Oracle International Corporation Predicting machine learning or deep learning model training time

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015047802A2 (en) * 2013-09-30 2015-04-02 Fireeye, Inc. Advanced persistent threat (apt) detection center
CN106817248A (zh) * 2016-12-19 2017-06-09 西安电子科技大学 一种apt攻击检测方法
CN108540451A (zh) * 2018-03-13 2018-09-14 北京理工大学 一种用机器学习技术对网络攻击行为进行分类检测的方法
CN110191083A (zh) * 2019-03-20 2019-08-30 中国科学院信息工程研究所 面向高级持续性威胁的安全防御方法、装置与电子设备
CN110135167A (zh) * 2019-05-14 2019-08-16 电子科技大学 一种随机森林的边缘计算终端安全等级评估方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"Mitigating Advanced Persistent Threats Using A Combined Static-Rule And Machine Learning-Based Technique";Oluwasegun Adelaiye、Aminat Ajibola;《2019 15th International Conference on Electronics, Computer and Computation (ICECCO)》;IEEE;20200323;全文 *
"基于大数据分析的APT防御方法";王丽娜、余荣威、付楠、鞠瑞、徐鹏志;《信息安全研究>;20151205;第1卷(第03期);第230-237页 *
"基于随机森林分类模型的DDoS攻击检测方法";于鹏程、戚湧、李千目;《计算机应用研究》;20171231(第10期);第3068-3072页 *

Also Published As

Publication number Publication date
CN112583844A (zh) 2021-03-30

Similar Documents

Publication Publication Date Title
CN111460443B (zh) 一种联邦学习中数据操纵攻击的安全防御方法
Tan et al. Adversarial attacks on remote user authentication using behavioural mouse dynamics
Ju et al. Let graph be the go board: gradient-free node injection attack for graph neural networks via reinforcement learning
Zhu et al. Binarizedattack: Structural poisoning attacks to graph-based anomaly detection
Dong et al. Sensor network security defense strategy based on attack graph and improved binary PSO
CN114491541B (zh) 基于知识图谱路径分析的安全运营剧本自动化编排方法
Chen et al. Optimal defense strategy selection for spear-phishing attack based on a multistage signaling game
Subedar et al. Deep probabilistic models to detect data poisoning attacks
CN112583844B (zh) 一种面向高级可持续威胁攻击的大数据平台防御方法
Deshmukh et al. Attacker behaviour profiling using stochastic ensemble of hidden Markov models
Miah et al. Concealing Cyber-Decoys using Two-Sided Feature Deception Games.
CN115766169A (zh) 一种联邦学习中恶意节点检测方法
Zhang et al. Evaluation of data poisoning attacks on federated learning-based network intrusion detection system
Li et al. ATS-O2A: A state-based adversarial attack strategy on deep reinforcement learning
Xu et al. GenDroid: A query-efficient black-box android adversarial attack framework
Alam et al. Get rid of your trail: Remotely erasing backdoors in federated learning
Zhao et al. FlexibleFL: Mitigating poisoning attacks with contributions in cloud-edge federated learning systems
Mondal et al. XSS filter detection using trust region policy optimization
Li et al. TCM-KNN scheme for network anomaly detection using feature-based optimizations
Li et al. GUARD: Graph universal adversarial defense
Lin et al. Mitigating backdoors in federated learning with fld
Lai et al. Node-aware Bi-smoothing: Certified Robustness against Graph Injection Attacks
Zhang et al. From Toxic to Trustworthy: Using Self-Distillation and Semi-supervised Methods to Refine Neural Networks
Yang et al. Social Engineering Attack-Defense Strategies Based on Reinforcement Learning.
Peng et al. SNDMI: Spyware network traffic detection method based on inducement operations

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant