CN115134250A - 一种网络攻击溯源取证方法 - Google Patents
一种网络攻击溯源取证方法 Download PDFInfo
- Publication number
- CN115134250A CN115134250A CN202210758123.6A CN202210758123A CN115134250A CN 115134250 A CN115134250 A CN 115134250A CN 202210758123 A CN202210758123 A CN 202210758123A CN 115134250 A CN115134250 A CN 115134250A
- Authority
- CN
- China
- Prior art keywords
- data
- information
- network
- attack
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000009467 reduction Effects 0.000 claims abstract description 29
- 238000007781 pre-processing Methods 0.000 claims abstract description 26
- 238000004458 analytical method Methods 0.000 claims abstract description 23
- 239000012634 fragment Substances 0.000 claims abstract description 21
- 238000012545 processing Methods 0.000 claims abstract description 17
- 238000004140 cleaning Methods 0.000 claims abstract description 16
- 238000005516 engineering process Methods 0.000 claims abstract description 15
- 238000013467 fragmentation Methods 0.000 claims abstract description 6
- 238000006062 fragmentation reaction Methods 0.000 claims abstract description 6
- 238000007621 cluster analysis Methods 0.000 claims abstract description 5
- 239000002245 particle Substances 0.000 claims abstract description 5
- 238000010219 correlation analysis Methods 0.000 claims abstract description 4
- 238000000605 extraction Methods 0.000 claims description 26
- 238000001514 detection method Methods 0.000 claims description 19
- 230000006399 behavior Effects 0.000 claims description 15
- 238000004422 calculation algorithm Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 7
- 238000010606 normalization Methods 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 7
- 238000012098 association analyses Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 claims description 4
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 238000013528 artificial neural network Methods 0.000 claims description 3
- 230000002457 bidirectional effect Effects 0.000 claims description 3
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 238000010801 machine learning Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 claims description 3
- 238000005065 mining Methods 0.000 claims description 3
- 230000008520 organization Effects 0.000 claims description 3
- 230000002085 persistent effect Effects 0.000 claims description 3
- 238000000513 principal component analysis Methods 0.000 claims description 3
- 108010064775 protein C activator peptide Proteins 0.000 claims description 3
- 238000012549 training Methods 0.000 claims description 3
- 238000006243 chemical reaction Methods 0.000 claims description 2
- 125000004122 cyclic group Chemical group 0.000 claims description 2
- 230000000717 retained effect Effects 0.000 claims description 2
- 230000006835 compression Effects 0.000 abstract description 2
- 238000007906 compression Methods 0.000 abstract description 2
- 238000005457 optimization Methods 0.000 abstract description 2
- 230000004927 fusion Effects 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 229920001872 Spider silk Polymers 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明涉及一种网络攻击溯源取证方法,属于信息安全技术领域。本发明的一种网络攻击溯源取证方法,其创新性体现在:一是采用了高效处理信息碎片的新技术手段,实现了碎片信息重构,解决了线索碎片化,信息片段、割裂、散乱的难题;二是采用了海量数据清理和预处理结合的新技术手段,实现了信息压缩和冗余度减少,解决了网络安全日志信息过载、噪音大,高价值信息容易被淹没的难题;三是采用了聚类分析、粒子群算法等,实现了关联分析,解决了单点式、片段式安全分析的局限。四是采用数据包分析的威胁链路还原技术,实现了威胁数据包逐跳路由信息还原,解决了网络攻击拓扑路径信息缺失的难题。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种网络攻击溯源取证方法。
背景技术
随着互联网上网络攻击越来越多、越来越复杂、越来越难取证,网络攻击时间跨度大、空间跨度大,呈现出隐蔽性强而难以检测发现、匿名性强而难以溯源取证的现象,给网络攻击取证带来很大的困难。现有网络攻击取证方法存在诸多局限与不足,已无法解决越来越复杂和隐蔽的网络定向攻击威胁,亟需要形成一种高效实用的网络攻击窃密取证能力。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何针对信息系统面临大时空尺度网络攻击带来的多源异构网络威胁信息缺乏有效融合与分析、线索碎片化、攻击源难以溯源取证等问题,设计一种能够正常开展网络攻击溯源取证的方法。
(二)技术方案
为了解决上述技术问题,本发明提供了一种网络攻击溯源取证方法,包括以下步骤:
实现碎片信息重构:采用基于深度生成模型的信息重构、基于图模型的数据关联重构、基于预训练模型的数据重构的技术,实现重构数据的高可用度,采用基于图模型关联的碎片信息重构、基于双向循环神经网络的碎片信息重构算法,提升信息重构准确性、信息重构速率;
实现海量数据清洗:先分析统计数据,接着对同类数据信息进行压缩,然后对缺失值、异常值、重复值、噪音数据进行清洗,清洗后对数据进行归一化操作,实现威胁信息数据合并、威胁信息数据清洗,实现对上千万条原始数据进行初步的数据分类;
通过多源特征提取和去噪降维实现数据预处理:针对网络威胁数据来源多样化、结构不一致的问题,进行威胁信息提取,威胁信息类型转化,实现数据特征提取、去噪降维,其中,去噪是对已经过去重后的事件流中的“噪点”数据进行修饰,对包括标点符号、特殊符号这些噪声进行“消噪”处理,并最大程度还原有意义属性,不能还原的进行剔除;
基于特征关联学习的网络攻击检测:通过对网络业务数据进行主成分的分析,采用稀疏编码、自编码器、深度置信网络模型,结合IP关系、时序关系、交互特征进行数据关联,采用适用于业务系统的网络威胁检测算法,集成聚类分析、粒子群算法、马尔科夫模型自学习行为基线模型、基于图计算的恶意行为检测这些人工智能分析引擎,采用多维语义提取、攻击链分析技术,实现高级持续性攻击、定向攻击、数据窃密场景的追踪溯源分析;
溯源网络数据包的传输路径:从网络协议地址、网络威胁样本、网络攻击事件、网络流量情报、威胁主体、目标信息资产这些网络威胁数据识别维度,从时间、空间、宏观统计三条主线,采用网络链路数据包提取解析、协议还原、拓扑路径还原技术,通过数据包头记录字段信息分析实现威胁数据包逐跳路由信息还原,逐步分析出主机序列、路由节点序列、服务器序列、跳板节点序列、攻击源头,进而重构威胁信息传输路径。
优选地,实现碎片信息重构的过程中,通过离线PCAP文件或者在线流量的方式,获取流量中的不同协议的基本元数据信息,包括HTTP协议的请求字段、请求PAYLOAD、响应字段、响应PAYLOAD,实现信息数据的提取。
优选地,实现海量数据清洗的过程中,针对从企业网络设备中采集到的TCP流数据,首先剔除重复的流量数据、去除噪音数据这些规范化操作,然后对清洗后的数据进行聚合、归一化的处理,去重是对分完类且具有具体属性特征的安全事件流的去重,依据每条日志的MD5值进行计算后,MD5值一致的即为重复数据,仅保留一条有效的。
优选地,通过多源特征提取和去噪降维实现数据预处理的过程中,针对网络流量数据的预处理是选择协议标识符、源端口、目的端口、源地址、目的地址、ICMP类型、ICMP代码、原始数据长度和原始数据9个特征,通过威胁信息预处理的主成分析降维算法,结合概率论和机器学习知识,对威胁信息数据进行降维。
优选地,通过多源特征提取和去噪降维实现数据预处理包括:
样本关联关系预处理:对样本之间的关联关系进行预处理,包括计算样本之间相似度、样本线索内容关联分析,挖掘样本线索信息之间的关联关系;
事件关联关系预处理:对告警事件以及抽取的元数据之间的关联关系进行预处理,归类相同的攻击来源、相同的攻击手段、相同的攻击者或攻击组织;
特定数据处理管理:对于特定格式数据或敏感数据,根据其格式或密级程度进行相应处理。
优选地,基于特征关联学习的网络攻击检测的过程中,针对网络攻击者入侵行为的特征关联学习是捕获TCP/IP参数和攻击类型之间的关系,对DDos攻击、Scan攻击、U2R攻击和R2L攻击设置不同的关联规则,并结合马尔科夫模型提取网络攻击的动态特征,通过检测HTTP有效载荷实现对多个网络攻击的特征关联检测。
优选地,基于特征关联学习的网络攻击检测的过程中,针对和一些恶意网络攻击事件在时间或空间上有关联的僵尸网络通信行为,采用从网络设备中采集的流量提取结构化的P2P特征,结合网络业务系统的日志信息进行关联分析。
本发明还提供了一种利用所述方法实现的网络攻击溯源取证系统。
本发明又提供了一种所述方法在信息安全技术领域中的应用。
本发明又提供了一种所述系统在信息安全技术领域中的应用。
(三)有益效果
本发明是一种网络攻击溯源取证方法,将碎片信息重构、多源特征提取、去噪降维、溯源网络数据包传输路径等方法引入到网络攻击溯源取证中,其创新性体现在:一是采用了高效处理信息碎片的新技术手段,实现了碎片信息重构,解决了线索碎片化,信息片段、割裂、散乱的难题;二是采用了海量数据清理和预处理结合的新技术手段,实现了信息压缩和冗余度减少,解决了网络安全日志信息过载、噪音大,高价值信息容易被淹没的难题;三是采用了聚类分析、粒子群算法等,实现了关联分析,解决了单点式、片段式安全分析的局限。四是采用数据包分析的威胁链路还原技术,实现了威胁数据包逐跳路由信息还原,解决了网络攻击拓扑路径信息缺失的难题。该方法能够在实际项目研究、工程建设中应用。
附图说明
图1为本发明的网络攻击溯源取证方法工作流程图。
具体实施方式
为使本发明的目的、内容和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
针对信息系统面临大时空尺度网络攻击带来的多源异构网络威胁信息缺乏有效融合与分析、线索碎片化、攻击源难以溯源取证等问题,有必要设计一种能够正常开展网络攻击溯源取证的方法,推动网络攻击溯源取证能力从“束手无策”向“大胆推测”演进。
因此,本发明提供了一种基于特征关联学习的网络攻击取证方法。从安全发现角度而言,追踪一次完整的网络攻击,涉及身份认证、应用访问授权、终端操作行为检测、网络流量特征检测、恶意代码发现、风险报警、应用安全审计等多个环节,所有环节都会记录网络攻击的蛛丝马迹,都潜藏着区别于正常操作的非法行为特征。因此数据源要尽可能覆盖整个网络攻击操作链条下的每个环节和每个要素,将流量、审计、监测、日志、病毒、情报、设备等各类数据都采集下来。信息提取负责从外部数据源中提取出安全事件相关的实体和关系数据。针对信息系统面临大时空尺度网络攻击带来的多源异构网络威胁信息缺乏有效融合与分析、线索碎片化、攻击源难以研判等问题,本发明综合运用了碎片信息重构、多源特征提取、去噪降维、溯源网络数据包传输路径等方法,提出了一种依次从碎片信息重构开始、然后进行海量数据清洗、再到多源特征提取和去噪降维、再到基于特征关联学习的网络攻击检测、最后进行深度溯源网络数据包的传输路径的网络攻击溯源取证步骤方法,可用于网络威胁攻击事件全面分析研判和网络攻击主体的追踪溯源。
参考图1,本发明方法的具体步骤如下:
一是实现碎片信息重构。网络攻击者往往在实施完网络攻击后,对日志进行清除,但往往会留下一些蛛丝马迹。由于留下的信息往往很少,同时又被故意擦除,因此本步骤提出采用基于深度生成模型的信息重构、基于图模型的数据关联重构、基于预训练模型的数据重构等多种技术,实现重构数据的高可用度,采用基于图模型关联的碎片信息重构、基于双向循环神经网络的碎片信息重构算法,提升信息重构准确性、信息重构速率等能力,为威胁特征提取与检测研究提供基础支撑。比如通过离线PCAP文件或者在线流量的方式,获取流量中的不同协议的基本元数据信息,如HTTP协议的请求字段(URI、HOST、COOKIE、REFER、代理等)、请求PAYLOAD、响应字段(响应状态码、数据长度等)、响应PAYLOAD等,实现信息数据的提取。
二是实现海量数据清洗,解决网络信息过载的难题。针对网络威胁数据信息量大、计算量高的问题,先分析统计数据,接着对同类数据信息进行压缩,然后对缺失值、异常值、重复值、噪音数据等进行清洗,清洗后对数据进行归一化操作,实现威胁信息数据合并、威胁信息数据清洗,提升威胁信息数据处理效率,降低计算复杂度,实现快速对上千万条原始数据进行初步的数据分类。比如针对从企业网络设备中采集到的TCP流数据,首先需要剔除重复的流量数据、去除噪音数据等规范化操作,然后对清洗后的数据进行聚合、归一化的处理。去重是对分完类且具有具体属性特征的安全事件流的去重,依据每条日志的MD5值进行计算后,MD5值一致的即为重复数据,仅保留一条有效的,否则会造成数据的冗余。
三是通过多源特征提取和去噪降维实现数据预处理。针对网络威胁数据来源多样化、结构不一致等问题,进行威胁信息提取,威胁信息类型转化等,实现数据特征提取、去噪降维等关键技术。去噪是对已经过去重后的事件流中的“噪点”数据进行修饰,由于事件流中数据类型各异,且来自不同厂商、设备和系统,故数据中包含不符合规范的数据项在所难免,去噪就是对这类数据包括标点符号、特殊符号等噪声的“消噪”处理,并最大程度还原有意义属性,不能还原的“脏数据”剔除。比如针对网络流量数据的预处理为例,选择协议标识符、源端口、目的端口、源地址、目的地址、ICMP类型、ICMP代码、原始数据长度和原始数据9个特征,通过威胁信息预处理的主成分析降维算法,结合概率论和机器学习知识,对威胁信息数据进行降维,提升海量数据降维的速度和效率,为后续威胁信息数据处理、威胁信息数据集构建提供技术基础。一是样本关联关系预处理模块:对样本之间的关联关系进行预处理,包括计算样本之间相似度、样本线索内容关联分析,挖掘样本线索信息之间的关联关系;二是事件关联关系预处理模块:对告警事件以及抽取的元数据之间的关联关系进行预处理,归类相同的攻击来源、相同的攻击手段、相同的攻击者/攻击组织等;三是特定数据处理管理模块:对于特定格式数据或敏感数据,根据其格式或密级程度进行相应处理,比如权限分级、内容模糊、水印化等,避免信息外泄;
四是基于特征关联学习的网络攻击检测。通过对网络业务数据进行主成分的分析,采用稀疏编码、自编码器、深度置信网络等模型,结合IP关系、时序关系、交互特征等进行数据关联,采用适用于业务系统的网络威胁检测算法,集成聚类分析、粒子群算法、马尔科夫模型自学习行为基线模型、基于图计算的恶意行为检测等多种人工智能分析引擎,采用多维语义提取、攻击链分析等技术,实现高级持续性攻击、定向攻击、数据窃密等场景的追踪溯源分析。比如针对网络攻击者入侵行为的特征关联学习,主要捕获TCP/IP参数和攻击类型之间的关系,对典型的DDos攻击、Scan攻击、U2R攻击和R2L攻击设置不同的关联规则。并结合马尔科夫模型提取网络攻击的动态特征,通过检测HTTP有效载荷实现对多个网络攻击的特征关联检测。针对僵尸网络通信行为与正常网络通信行为有着较大区别的情况,并和一些恶意网络攻击事件在时间或空间上有关联,采用从网络设备中采集的流量提取结构化的P2P特征,再结合网络业务系统的日志信息进行关联分析。
五是深度溯源网络数据包的传输路径。突破了基于数据包分析的威胁链路还原技术,从网络协议地址、网络威胁样本、网络攻击事件、网络流量情报、威胁主体、目标信息资产等多个网络威胁数据识别维度,从时间、空间、宏观统计三条主线,采用网络链路数据包提取解析、协议还原、拓扑路径还原等技术,通过数据包头记录字段信息分析实现威胁数据包逐跳路由信息还原,逐步分析出主机序列、路由节点序列、服务器序列、跳板节点序列、攻击源头等,并在此基础上重构威胁信息传输路径,有力支撑对网络攻击幕后身份的准确追踪溯源。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种网络攻击溯源取证方法,其特征在于,包括以下步骤:
实现碎片信息重构:采用基于深度生成模型的信息重构、基于图模型的数据关联重构、基于预训练模型的数据重构的技术,实现重构数据的高可用度,采用基于图模型关联的碎片信息重构、基于双向循环神经网络的碎片信息重构算法,提升信息重构准确性、信息重构速率;
实现海量数据清洗:先分析统计数据,接着对同类数据信息进行压缩,然后对缺失值、异常值、重复值、噪音数据进行清洗,清洗后对数据进行归一化操作,实现威胁信息数据合并、威胁信息数据清洗,实现对上千万条原始数据进行初步的数据分类;
通过多源特征提取和去噪降维实现数据预处理:针对网络威胁数据来源多样化、结构不一致的问题,进行威胁信息提取,威胁信息类型转化,实现数据特征提取、去噪降维,其中,去噪是对已经过去重后的事件流中的“噪点”数据进行修饰,对包括标点符号、特殊符号这些噪声进行“消噪”处理,并最大程度还原有意义属性,不能还原的进行剔除;
基于特征关联学习的网络攻击检测:通过对网络业务数据进行主成分的分析,采用稀疏编码、自编码器、深度置信网络模型,结合IP关系、时序关系、交互特征进行数据关联,采用适用于业务系统的网络威胁检测算法,集成聚类分析、粒子群算法、马尔科夫模型自学习行为基线模型、基于图计算的恶意行为检测这些人工智能分析引擎,采用多维语义提取、攻击链分析技术,实现高级持续性攻击、定向攻击、数据窃密场景的追踪溯源分析;
溯源网络数据包的传输路径:从网络协议地址、网络威胁样本、网络攻击事件、网络流量情报、威胁主体、目标信息资产这些网络威胁数据识别维度,从时间、空间、宏观统计三条主线,采用网络链路数据包提取解析、协议还原、拓扑路径还原技术,通过数据包头记录字段信息分析实现威胁数据包逐跳路由信息还原,逐步分析出主机序列、路由节点序列、服务器序列、跳板节点序列、攻击源头,进而重构威胁信息传输路径。
2.如权利要求1所述的方法,其特征在于,实现碎片信息重构的过程中,通过离线PCAP文件或者在线流量的方式,获取流量中的不同协议的基本元数据信息,包括HTTP协议的请求字段、请求PAYLOAD、响应字段、响应PAYLOAD,实现信息数据的提取。
3.如权利要求1所述的方法,其特征在于,实现海量数据清洗的过程中,针对从企业网络设备中采集到的TCP流数据,首先剔除重复的流量数据、去除噪音数据这些规范化操作,然后对清洗后的数据进行聚合、归一化的处理,去重是对分完类且具有具体属性特征的安全事件流的去重,依据每条日志的MD5值进行计算后,MD5值一致的即为重复数据,仅保留一条有效的。
4.如权利要求1所述的方法,其特征在于,通过多源特征提取和去噪降维实现数据预处理的过程中,针对网络流量数据的预处理是选择协议标识符、源端口、目的端口、源地址、目的地址、ICMP类型、ICMP代码、原始数据长度和原始数据9个特征,通过威胁信息预处理的主成分析降维算法,结合概率论和机器学习知识,对威胁信息数据进行降维。
5.如权利要求1所述的方法,其特征在于,通过多源特征提取和去噪降维实现数据预处理包括:
样本关联关系预处理:对样本之间的关联关系进行预处理,包括计算样本之间相似度、样本线索内容关联分析,挖掘样本线索信息之间的关联关系;
事件关联关系预处理:对告警事件以及抽取的元数据之间的关联关系进行预处理,归类相同的攻击来源、相同的攻击手段、相同的攻击者或攻击组织;
特定数据处理管理:对于特定格式数据或敏感数据,根据其格式或密级程度进行相应处理。
6.如权利要求1所述的方法,其特征在于,基于特征关联学习的网络攻击检测的过程中,针对网络攻击者入侵行为的特征关联学习是捕获TCP/IP参数和攻击类型之间的关系,对DDos攻击、Scan攻击、U2R攻击和R2L攻击设置不同的关联规则,并结合马尔科夫模型提取网络攻击的动态特征,通过检测HTTP有效载荷实现对多个网络攻击的特征关联检测。
7.如权利要求1所述的方法,其特征在于,基于特征关联学习的网络攻击检测的过程中,针对和一些恶意网络攻击事件在时间或空间上有关联的僵尸网络通信行为,采用从网络设备中采集的流量提取结构化的P2P特征,结合网络业务系统的日志信息进行关联分析。
8.一种利用权利要求1至中任一项所述方法实现的网络攻击溯源取证系统。
9.一种如权利要求1至7中任一项所述方法在信息安全技术领域中的应用。
10.一种如权利要求8所述系统在信息安全技术领域中的应用。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210758123.6A CN115134250B (zh) | 2022-06-29 | 2022-06-29 | 一种网络攻击溯源取证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210758123.6A CN115134250B (zh) | 2022-06-29 | 2022-06-29 | 一种网络攻击溯源取证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115134250A true CN115134250A (zh) | 2022-09-30 |
CN115134250B CN115134250B (zh) | 2024-03-15 |
Family
ID=83382091
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210758123.6A Active CN115134250B (zh) | 2022-06-29 | 2022-06-29 | 一种网络攻击溯源取证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115134250B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115603989A (zh) * | 2022-10-08 | 2023-01-13 | 东南大学溧阳研究院(Cn) | 一种源网荷储协同控制系统的网络攻击关联性分析方法 |
CN116595499A (zh) * | 2023-07-18 | 2023-08-15 | 江苏网进科技股份有限公司 | 一种多部门协同事务数据共享溯源方法 |
CN117040932A (zh) * | 2023-10-09 | 2023-11-10 | 国网思极网安科技(北京)有限公司 | 一种网络攻击溯源快速取证方法及系统 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060010389A1 (en) * | 2004-07-09 | 2006-01-12 | International Business Machines Corporation | Identifying a distributed denial of service (DDoS) attack within a network and defending against such an attack |
CN101789931A (zh) * | 2009-12-31 | 2010-07-28 | 暨南大学 | 一种基于数据挖掘的网络入侵检测系统及方法 |
WO2013082997A1 (zh) * | 2011-12-07 | 2013-06-13 | 北京润通丰华科技有限公司 | 异常网络流量的攻击源追踪方法及装置 |
US20150082399A1 (en) * | 2013-09-17 | 2015-03-19 | Auburn University | Space-time separated and jointly evolving relationship-based network access and data protection system |
US20170134400A1 (en) * | 2015-08-20 | 2017-05-11 | The Boeing Company | Method for detecting malicious activity on an aircraft network |
CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
CN111988285A (zh) * | 2020-08-03 | 2020-11-24 | 中国电子科技集团公司第二十八研究所 | 一种基于行为画像的网络攻击溯源方法 |
CN112134877A (zh) * | 2020-09-22 | 2020-12-25 | 北京华赛在线科技有限公司 | 网络威胁检测方法、装置、设备及存储介质 |
CN112738016A (zh) * | 2020-11-16 | 2021-04-30 | 中国南方电网有限责任公司 | 一种面向威胁场景的智能化安全事件关联分析系统 |
CN113783896A (zh) * | 2021-11-10 | 2021-12-10 | 北京金睛云华科技有限公司 | 一种网络攻击路径追踪方法和装置 |
CN114584401A (zh) * | 2022-05-06 | 2022-06-03 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种面向大规模网络攻击的追踪溯源系统及方法 |
-
2022
- 2022-06-29 CN CN202210758123.6A patent/CN115134250B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060010389A1 (en) * | 2004-07-09 | 2006-01-12 | International Business Machines Corporation | Identifying a distributed denial of service (DDoS) attack within a network and defending against such an attack |
CN101789931A (zh) * | 2009-12-31 | 2010-07-28 | 暨南大学 | 一种基于数据挖掘的网络入侵检测系统及方法 |
WO2013082997A1 (zh) * | 2011-12-07 | 2013-06-13 | 北京润通丰华科技有限公司 | 异常网络流量的攻击源追踪方法及装置 |
US20150082399A1 (en) * | 2013-09-17 | 2015-03-19 | Auburn University | Space-time separated and jointly evolving relationship-based network access and data protection system |
US20170134400A1 (en) * | 2015-08-20 | 2017-05-11 | The Boeing Company | Method for detecting malicious activity on an aircraft network |
CN111988285A (zh) * | 2020-08-03 | 2020-11-24 | 中国电子科技集团公司第二十八研究所 | 一种基于行为画像的网络攻击溯源方法 |
CN112134877A (zh) * | 2020-09-22 | 2020-12-25 | 北京华赛在线科技有限公司 | 网络威胁检测方法、装置、设备及存储介质 |
CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
CN112738016A (zh) * | 2020-11-16 | 2021-04-30 | 中国南方电网有限责任公司 | 一种面向威胁场景的智能化安全事件关联分析系统 |
CN113783896A (zh) * | 2021-11-10 | 2021-12-10 | 北京金睛云华科技有限公司 | 一种网络攻击路径追踪方法和装置 |
CN114584401A (zh) * | 2022-05-06 | 2022-06-03 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种面向大规模网络攻击的追踪溯源系统及方法 |
Non-Patent Citations (2)
Title |
---|
G. REKHA; B UMA MAHESWARI: "Raspberry Pi Forensic Investigation and Evidence Preservation using Blockchain", 2021 INTERNATIONAL CONFERENCE ON FORENSICS, ANALYTICS, BIG DATA, SECURITY (FABS), 9 February 2022 (2022-02-09) * |
谭彬;梁业裕;李伟渊;: "基于流量的攻击溯源分析和防护方法研究", 电信工程技术与标准化, no. 12 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115603989A (zh) * | 2022-10-08 | 2023-01-13 | 东南大学溧阳研究院(Cn) | 一种源网荷储协同控制系统的网络攻击关联性分析方法 |
CN116595499A (zh) * | 2023-07-18 | 2023-08-15 | 江苏网进科技股份有限公司 | 一种多部门协同事务数据共享溯源方法 |
CN116595499B (zh) * | 2023-07-18 | 2023-11-21 | 江苏网进科技股份有限公司 | 一种多部门协同事务数据共享溯源方法 |
CN117040932A (zh) * | 2023-10-09 | 2023-11-10 | 国网思极网安科技(北京)有限公司 | 一种网络攻击溯源快速取证方法及系统 |
CN117040932B (zh) * | 2023-10-09 | 2024-04-02 | 国网思极网安科技(北京)有限公司 | 一种网络攻击溯源快速取证方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN115134250B (zh) | 2024-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108494746B (zh) | 一种网络端口流量异常检测方法及系统 | |
CN111988285B (zh) | 一种基于行为画像的网络攻击溯源方法 | |
CN115134250B (zh) | 一种网络攻击溯源取证方法 | |
CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
CN107370752B (zh) | 一种高效的远控木马检测方法 | |
US10440035B2 (en) | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling | |
CN110958231A (zh) | 基于互联网的工控安全事件监测平台及其方法 | |
CN112800424A (zh) | 一种基于随机森林的僵尸网络恶意流量监测方法 | |
CN110519228B (zh) | 一种黑产场景下恶意云机器人的识别方法及系统 | |
CN111182002A (zh) | 基于http首个问答包聚类分析的僵尸网络检测装置 | |
CN113242233B (zh) | 一种多分类的僵尸网络检测装置 | |
Aldwairi et al. | Flukes: Autonomous log forensics, intelligence and visualization tool | |
Sharma et al. | An overview of flow-based anomaly detection | |
Gogoi et al. | HTTP Low and Slow DoS Attack Detection using LSTM based deep learning | |
CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
CN113596037B (zh) | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 | |
Gonzalez-Granadillo et al. | An improved live anomaly detection system (i-lads) based on deep learning algorithm | |
CN112104628B (zh) | 一种自适应特征规则匹配的实时恶意流量检测方法 | |
CN110912895B (zh) | 一种基于感知哈希的网络数据流溯源方法 | |
Shim et al. | Effective behavior signature extraction method using sequence pattern algorithm for traffic identification | |
Liu et al. | Flow-based anomaly detection using access behavior profiling and time-sequenced relation mining | |
CN115834097B (zh) | 基于多视角的https恶意软件流量检测系统及方法 | |
Tafazzoli et al. | A proposed architecture for network forensic system in large-scale networks | |
Lee | Analysis of Digital Forensic Artifacts Data Enrichment Mechanism for Cyber Threat Intelligence | |
CN114500123B (zh) | 网络情报分析方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |