CN115842684A - 一种基于mdata子图匹配的多步攻击检测方法 - Google Patents

Abstract

本申请涉及一种基于MDATA子图匹配的多步攻击检测方法，本申请方法包括：构建预设多步攻击事件的MDATA知识图谱查询图；利用数据查询优化器将MDATA知识图谱查询图分解成若干个子查询图；将若干个子查询图储存至SQM‑Tree辅助的数据结构中，SQM‑Tree辅助的数据结构用于跟踪与合并数据；将若干个子查询图匹配MDATA知识图谱数据图中的多步攻击数据，MDATA知识图谱数据图根据历史告警日志数据和正常系统日志数据创建；输出子查询图与MDATA知识图谱数据图的匹配结果，将匹配结果与SQM‑Tree辅助的数据结构进行对比得到预设多步攻击事件的检测结果，有效提高检测效率。

Description

一种基于MDATA子图匹配的多步攻击检测方法

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于MDATA子图匹配的多步攻击检测方法。

背景技术

随着网络技术的发展，例如云计算的普及与物联网设备的增多导致了网络设备之间通信频繁，网络边界愈发模糊，高危公开漏洞数量越来越多。很多组织利用各种漏洞进行网络攻击，导致网络攻击事件更加频繁与复杂，因此网络攻击事件一直被认为是网络安全面临的最重大挑战之一。目前攻击方式也呈多样化、攻击过程也在持续化发展，网络攻击已经逐步从单步攻击变化为多步攻击。单步攻击行为是描述攻击行为的最小单元，多步攻击行为是由多个单步攻击行为组成的并能实现一定目的的行为。

现有技术中，传统的单步或者多步攻击检测与分析技术主要通过使用特征库和攻击行为规则库来实现，并对历史发生的攻击事件进行总结。利用针对单步攻击形成的特征库，当采集的数据符合单步攻击的特征时，便能直接检测出该单步攻击行为。对于多步攻击目前常用的方法是首先设计一个规则库，将常见单步攻击事件的告警信息关联，形成针对多步攻击的规则，然后采用规则推理和匹配机制，通过对告警信息的关联分析发现多步攻击。但是由于多步攻击的时空特征，很难通过特定的规则进行检测，并且由于规则依赖于历史总结和专家知识，只能对已知攻击规则进行检测，对未出现的威胁不能检测。并且在对已知攻击规则进行检测匹配速度很慢，算法效率偏低，导致检测效率很低。

发明内容

本发明目的在于提供一种基于MDATA子图匹配的多步攻击检测方法，用于解决对已知攻击规则进行检测匹配速度很慢，算法效率偏低，导致检测效率很低的问题。

本发明第一方面提供了一种基于MDATA子图匹配的多步攻击检测方法，包括：

构建预设多步攻击事件的多维数据关联和威胁分析（MDATA，Multi-dimensionalData Association and Treat Analysis）知识图谱查询图；

利用数据查询优化器将所述MDATA知识图谱查询图分解成若干个子查询图；

将所述若干个子查询图储存至SQM-Tree辅助的数据结构中，所述SQM-Tree辅助的数据结构用于跟踪与合并数据；

将所述若干个子查询图匹配MDATA知识图谱数据图中的多步攻击数据，所述MDATA知识图谱数据图根据历史告警日志数据和正常系统日志数据创建；

输出所述子查询图与所述MDATA知识图谱数据图的匹配结果，将所述匹配结果与所述SQM-Tree辅助的数据结构进行对比得到所述预设多步攻击事件的检测结果。

可选的，所述利用数据查询优化器将所述MDATA知识图谱查询图分解成若干个子查询图，包括：

获取所述预设多步攻击事件的组合排序；

利用数据查询优化器根据所述组合排序将所述MDATA知识图谱查询图分解成若干个子查询图。

可选的，所述将所述若干个子查询图储存至SQM-Tree辅助的数据结构中，包括：

将所述若干个子查询图对应的查询图候选节点集合储存至SQM-Tree辅助的数据结构中。

可选的，所述SQM-Tree辅助的数据结构为树形结构，跟节点表示为多步攻击，叶子节点表示为单边结构或双边结构。

可选的，所述将所述若干个子查询图匹配MDATA知识图谱数据图中的多步攻击数据，包括：

根据节点的特征将所述若干个子查询图逐一与所述MDATA知识图谱数据图中的多步攻击数据进行匹配，当节点相同的时候根据边的特征进行逐一匹配。

可选的，所述输出所述子查询图与所述MDATA知识图谱数据图的匹配结果，将所述匹配结果与所述SQM-Tree辅助的数据结构进行对比得到所述预设多步攻击事件的检测结果，包括：

创建连接表，所述连接表用于储存所述若干个子查询图与所述MDATA知识图谱数据图的匹配结果；

确定所述连接表中的匹配结果与所述SQM-Tree辅助的数据结构中的连接节点为检测结果。

可选的，所述确定所述连接表中的匹配结果与所述SQM-Tree 辅助的数据结构中的连接节点为检测结果，包括：

判断所述连接表中的匹配结果对比所述SQM-Tree辅助的数据结构中的连接节点的合并结果是否满足预设条件，若是，则确定合并连接节点为检测结果。

可选的，所述判断所述连接表中的匹配结果对比所述SQM-Tree辅助的数据结构中的连接节点的合并结果是否满足预设条件，包括：

若否，则将所述匹配结果存储至所述SQM-Tree辅助的数据结构中。

可选的，在所述输出所述子查询图与所述MDATA知识图谱数据图的匹配结果之后，所述方法还包括：

将所述匹配结果进行可视化，所述可视化包括SQM-Tree辅助的数据结构的可视化以及所述连接表的可视化。

可选的，所述子查询图用于表示一个单步攻击或者两个单步攻击。

从以上技术方案可以看出，本发明具有以下优点：本申请中首先构建预设多步攻击事件的MDATA知识图谱查询图，利用数据查询优化器将MDATA知识图谱查询图分解成若干个子查询图，再将若干个子查询图储存至SQM-Tree辅助的数据结构中，其中SQM-Tree辅助的数据结构用于跟踪与合并数据，然后将若干个子查询图匹配MDATA知识图谱数据图中的多步攻击数据，其中MDATA知识图谱数据图根据历史告警日志数据和正常系统日志数据创建，最后输出子查询图与MDATA知识图谱数据图的匹配结果，将匹配结果与SQM-Tree辅助的数据结构进行对比得到预设多步攻击事件的检测结果。本发明基于MDATA知识图谱的子图匹配技术，将攻击行为刻画为子图匹配问题中的查询图Q，整个网络环境刻画为数据图G；根据MDATA知识图谱的时空特征，通过MDATA知识图谱的子图匹配技术将多步攻击分解成单步攻击，可以快速准确检测网络中的多步攻击行为，有效提高检测效率。

附图说明

图1为本发明中基于MDATA子图匹配的多步攻击检测方法的一个实施例流程示意图；

图2-1为本发明中基于MDATA子图匹配的多步攻击检测方法的另一个实施例流程示意图；

图2-2为本发明中基于MDATA子图匹配的多步攻击检测方法的另一个实施例流程示意图；

图3为SQM-Tree辅助的数据结构简易图。

实施方式

本申请实施例提供了一种基于MDATA子图匹配的多步攻击检测方法，用于快速准确检测网络中的多步攻击行为，有效提高检测效率。

本实施例中核算方法可在系统中实现，可以在服务器实现，也可以在终端实现，具体不做明确限定。

请参阅图1，本申请实施例使用系统举例描述，本申请实施例一个实施例包括：

101、构建预设多步攻击事件的多维数据关联和威胁分析（MDATA，Multi-dimensional Data Association and Treat Analysis）知识图谱查询图；

实际应用中，基于规则匹配的多步攻击检测方法主要使用特征库和攻击行为规则库来实现，并对历史发生的攻击时间进行总结。但是由于多步攻击的时空特征，很难通过特定的规则进行检测，并且由于规则依赖于历史总结和专家知识，只能对已知攻击规则进行检测，对未出现的威胁无能为力。目前基于子图匹配方法仅仅对结构进行匹配，未考虑点和边的属性以及异构性；并且在网络安全领域的图数据规模非常庞大，该类方法会反复回溯，使得子图匹配方法时空开销很大，匹配速度慢，算法效率偏低。

本实施例中的检测方法是基于MDATA在网络安全领域中对网络安全态势表示的优势，通过MDATA实体与关系的属性特征，将多步攻击有效表示成一个图结构。而针对未出现的网络威胁本实施例是通过构建预设多步攻击的MDATA知识图谱查询图。具体的，假设已经通过大量的实验获得了很多攻击日志，将这些日志中的关键词进行提取构成MDATA知识图谱。其中抽取的内容要包括实体、关系、属性、概念集合，对实体和关系还要抽取其时间特征空间特征等，最终构成一系列MDATA查询图集合。

102、利用数据查询优化器将MDATA知识图谱查询图分解成若干个子查询图；

本实施例中，基于MDATA知识图谱构建数据查询优化器，由于MDATA表示的多步攻击的每一个小的结构都有着不同含义，每一个边都代表一个单步攻击，如果仅仅对整个查询图进行匹配，就无法了解多步攻击内在的组成结构。因此创建数据查询优化器可以更加充分理解和掌握多步攻击表示的MDATA知识图谱的组成结构。具体的，子查询图表示一个单步攻击（点边点的单边结构）或者两个单步攻击（双边结构）。并且对MDATA查询图进行分解成子查询图让分析师更加清楚认识到这个多步攻击由哪几个单步攻击组成的，分别是在什么地方结合的，从而对网络状态有更清楚的认知。

103、将若干个子查询图储存至SQM-Tree 辅助的数据结构中，SQM-Tree辅助的数据结构用于跟踪与合并数据；

本实施例中，系统利用数据查询优化器分解成子查询图后，建立Subgraph QueryMDATA Tree 辅助的数据结构，用于存储中间结果、跟踪与合并多步攻击数据。具体的，Subgraph Query MDATA Tree 辅助的数据结构为树形结构，图形如图3所示，跟节点表示多步攻击，叶子节点表示只有单边结构或双边结构。设计SQM-Tree辅助数据结构方法可以更加直观清晰得为分析师展示检测过程，通过小查询图的快速匹配缓解了子图匹配的NP-hard问题，加快了检测速度，更有助于对攻击行为的研判和防御。

104、将若干个子查询图匹配MDATA知识图谱数据图中的多步攻击数据，MDATA知识图谱数据图根据历史告警日志数据和正常系统日志数据创建；

本实施例中，系统将分解后的子查询图存储至SQM-Tree辅助的数据结构后，通过子查询图匹配技术与MDATA知识图谱数据图中的多步攻击数据进行数据匹配。其中MDATA知识图谱数据图是基于网络设备(IDS、IPS、防火墙)告警流量生成的MDATA网络安全态势知识图谱数据图。这时候同样要按照步骤101的方法抽取有用的字段，与步骤101不同的是不仅仅记录代表多步攻击的MDATA知识图谱，而是记录整个网络安全态势图。整个MDATA网络安全态势图既要包括告警的日志生成的MDATA知识图谱，又要包括正常系统日志生成的MDATA知识图谱，共同构成一个大图。

105、输出子查询图与MDATA知识图谱数据图的匹配结果，将匹配结果与SQM-Tree辅助的数据结构进行对比得到预设多步攻击事件的检测结果。

将子查询图与MDATA知识图谱数据图进行匹配后得到一定的匹配数量，而这匹配数量并不是最终的结果，还需要将匹配数量产生的节点数据与SQM-Tree辅助的数据结果对比是否有合并连接节点，若有，则说明有相应的合并匹配结果，则该合并匹配结果存储为预设多步攻击事件的检测结果。

本发明通过MDATA知识图谱的子图匹配技术，将攻击行为刻画为子图匹配问题中的查询图Q，整个网络环境刻画为数据图G，用子图匹配技术在网络环境中尽可能快速准确检测出网络攻击行为，提高效率。

请参阅图2-1至图2-2，本申请实施例使用系统举例描述，本申请实施例另一个实施例包括：

201、构建预设多步攻击事件的多维数据关联和威胁分析（MDATA，Multi-dimensional Data Association and Treat Analysis）知识图谱查询图；

本实施例中的步骤201与前述实施例中的步骤101类似，此处不做赘述。

202、获取预设多步攻击事件的组合排序；

本实施例中，为了充分理解和掌握多步攻击表示的MDATA知识图谱的组成结构，系统获取到预设多步攻击事件的组合排序，再根据组合排序来分解查询图，这样能有效提高子查询图匹配的准确率。

203、利用数据查询优化器根据组合排序将MDATA知识图谱查询图分解成若干个子查询图；

本实施例中，系统将MDATA数据查询优化器根据其多步攻击的组合排序，将其分解为更小的查询MDATA子图，直到这个子图包含一个边或者两个边，即单边结构与双边结构。

204、将若干个子查询图对应的查询图候选节点集合储存至SQM-Tree辅助的数据结构中；

本实施例中，将数据查询优化器分解的结果储存到名字为树形辅助结构SQM-Tree的辅助的数据结构，具体的，SQM-Tree的辅助的数据结构跟节点表示为多步攻击，叶子节点表示为单边结构或双边结构，用于跟踪与合并数据图中匹配的多步攻击，存储其对应的查询图候选节点集合。

205、根据节点的特征将若干个子查询图逐一与MDATA知识图谱数据图中的多步攻击数据进行匹配，当节点相同的时候根据边的特征进行逐一匹配；

本实施例中，由于MDATA的特殊属性，点和边都具有时空特征，因此需要根据节点的特征进行匹配，当节点相同的时候根据边的特征进行匹配。并且通过SQM-Tree结构就可以知道两个单步攻击的特征。

206、创建连接表，连接表用于储存若干个子查询图与MDATA知识图谱数据图的匹配结果；

本实施例中，当匹配数量满足条件系统设计一个连接表，连接表的结构如表1所示，每一列有查询图和查询子图与数据图的匹配数量。当单步攻击表示的MDATA知识图谱匹配成功后，进而匹配另一个单步攻击，在聚合阶段通过查看SQM-Tree两个叶子节点的父节点就可以看到两个单步攻击的链接节点，这样通过判断连接表中两个单步攻击是否有相公的链接节点就可以判断是否合并，如果能够合并，择将合并的数量和合并节点写入连接表中。由于单步攻击结构简单，匹配单步攻击比多步攻击效率高，速度快。在检测多步攻击的时候，如果没有另一个单步攻击合并，则判断这个多步攻击无法检测，这样就避免了应用子图匹配算法查询多步攻击时候的反复回溯，从而避免了大量的时空开销。

207、判断连接表中的匹配结果对比SQM-Tree辅助的数据结构中的连接节点的合并结果是否满足预设条件；

系统判断子查询图与MDATA知识图谱数据图的匹配结果与SQM-Tree辅助的数据结构中对比合并结果是否大于0，大于0则说明有合并的连接节点，并且将成功匹配的查询结果匹配数量存入连接表中，小于0则说明没有连接节。

208、当连接表中的匹配结果对比SQM-Tree辅助的数据结构中的连接节点的合并结果满足预设条件时，则确定连接表中的匹配结果与SQM-Tree辅助的数据结构中的连接节点为检测结果。

本实施例中，当连接表中的匹配结果对比SQM-Tree辅助的数据结构中的连接节点的合并结果大于0时，则确定连接表中的匹配结果与SQM-Tree辅助的数据结构中的连接节点为检测结果。举例说明：例如有四个主机分别对不同网络协议进行解析，然后和下一个主机进行通信，假设这个是一个多步攻击，那么每一步都代表一个单步攻击，节点用每个主机的ip代表，边是传输协议代表，现在要对这个多步攻击进行分解，直至单边或者双边结构代表的单步攻击，即由两个点一个边组成的子查询图。表1为连接表的举例，表格存储了每个查询子图的匹配数量和每个单步攻击，假设查询图q可以分解为q₁和q₂两个子查询图，两个自查询图分别有10和15个匹配结果，但是他们只有A一个节点可以连接，通过查询辅助的树形数据结构SQM-Tree后，如果发现A的确是两个子查询图的分界点，则整体查询图就有一个匹配结果，则为多步攻击的检测结果。

209、将匹配结果进行可视化，可视化包括SQM-Tree辅助的数据结构的可视化以及连接表的可视化。

对整个过程进行可视化，包括SQM-Tree的可视化，连接表的可视化，可以让分析师更加清楚了解整个检测流程。例如，通过连接表的可视化，可以让分析师知道某个单步攻击已经发生，为了不让这个单步攻击发展成更具威胁的多步攻击，可对另一个单步攻击进行截断，面对检测出的攻击行为尽快做出防御措施。

210、当连接表中的匹配结果对比SQM-Tree辅助的数据结构中的连接节点的合并结果不满足预设条件时，则将匹配结果存储至SQM-Tree辅助的数据结构中。

本实施例中，连接表中的匹配结果对比SQM-Tree辅助的数据结构中的连接节点的合并结果不满足预设条件时，则将匹配结果存储至SQM-Tree辅助的数据结构中进行下一轮子图匹配。

本发明利用MDATA知识图谱的子图匹配技术，将攻击行为刻画为子图匹配问题中的查询图Q，整个网络环境刻画为数据图G，可以有效利用MDATA知识图谱的时空特征，提高多步攻击的检测效率。

可选的，本实施例中的单元和模块的功能描述与前述图1、图2-1和图2-2所示实施例中的步骤对应，此处不做赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（ROM，read-onlymemory）、随机存取存储器（RAM，random access memory）、磁碟或者光盘等各种可以存储程序代码的介质。

Claims (10)

1.一种基于MDATA子图匹配的多步攻击检测方法，其特征在于，包括：

构建预设多步攻击事件的多维数据关联和威胁分析（MDATA，Multi-dimensional DataAssociation and Treat Analysis）知识图谱查询图；

利用数据查询优化器将所述MDATA知识图谱查询图分解成若干个子查询图；

将所述若干个子查询图储存至SQM-Tree辅助的数据结构中，所述SQM-Tree辅助的数据结构用于跟踪与合并数据；

将所述若干个子查询图匹配MDATA知识图谱数据图中的多步攻击数据，所述MDATA知识图谱数据图根据历史告警日志数据和正常系统日志数据创建；

输出所述子查询图与所述MDATA知识图谱数据图的匹配结果，将所述匹配结果与所述SQM-Tree辅助的数据结构进行对比得到所述预设多步攻击事件的检测结果。

2.根据权利要求1所述的方法，其特征在于，所述利用数据查询优化器将所述MDATA知识图谱查询图分解成若干个子查询图，包括：

获取所述预设多步攻击事件的组合排序；

利用数据查询优化器根据所述组合排序将所述MDATA知识图谱查询图分解成若干个子查询图。

3.根据权利要求1所述的方法，其特征在于，所述将所述若干个子查询图储存至SQM-Tree辅助的数据结构中，包括：

将所述若干个子查询图对应的查询图候选节点集合储存至SQM-Tree辅助的数据结构中。

4.根据权利要求3所述的方法，其特征在于，所述SQM-Tree辅助的数据结构为树形结构，跟节点表示为多步攻击，叶子节点表示为单边结构或双边结构。

5.根据权利要求1所述的方法，其特征在于，所述将所述若干个子查询图匹配MDATA知识图谱数据图中的多步攻击数据，包括：

根据节点的特征将所述若干个子查询图逐一与所述MDATA知识图谱数据图中的多步攻击数据进行匹配，当节点相同的时候根据边的特征进行逐一匹配。

6.根据权利要求1所述的方法，其特征在于，所述输出所述子查询图与所述MDATA知识图谱数据图的匹配结果，将所述匹配结果与所述SQM-Tree辅助的数据结构进行对比得到所述预设多步攻击事件的检测结果，包括：

创建连接表，所述连接表用于储存所述若干个子查询图与所述MDATA知识图谱数据图的匹配结果；

确定所述连接表中的匹配结果与所述SQM-Tree辅助的数据结构中的连接节点为检测结果。

7.根据权利要求6所述的方法，其特征在于，所述确定所述连接表中的匹配结果与所述SQM-Tree 辅助的数据结构中的连接节点为检测结果，包括：

判断所述连接表中的匹配结果对比所述SQM-Tree辅助的数据结构中的连接节点的合并结果是否满足预设条件，若是，则确定合并连接节点为检测结果。

8.根据权利要求7所述的方法，其特征在于，所述判断所述连接表中的匹配结果对比所述SQM-Tree辅助的数据结构中的连接节点的合并结果是否满足预设条件，包括：

若否，则将所述匹配结果存储至所述SQM-Tree辅助的数据结构中。

9.根据权利要求6所述的方法，其特征在于，在所述输出所述子查询图与所述MDATA知识图谱数据图的匹配结果之后，所述方法还包括：

将所述匹配结果进行可视化，所述可视化包括SQM-Tree辅助的数据结构的可视化以及所述连接表的可视化。

10.根据权利要求1至9中任一项所述的方法，其特征在于，所述子查询图表示一个单步攻击或者两个单步攻击。

Images