CN116248330A

CN116248330A - 一种基于因果图的网络攻击路径识别方法

Info

Publication number: CN116248330A
Application number: CN202211618906.0A
Authority: CN
Inventors: 周亚胜; 王中华; 李萌; 杨子怡; 何旺宇; 刘镡稚
Original assignee: Xian Aeronautics Computing Technique Research Institute of AVIC
Current assignee: Xian Aeronautics Computing Technique Research Institute of AVIC
Priority date: 2022-12-15
Filing date: 2022-12-15
Publication date: 2023-06-09

Abstract

本发明提供了一种基于因果图的网络攻击路径识别方法，其特征在于，包括S1、提取信息系统日志，获取与网络攻击相关的日志信息；S2、依据日志信息，构建因果图；S3、用已知场景生成因果图，并生成攻击序列和非攻击序列；S4、对攻击序列和非攻击序列分别进行向量表征，生成攻击序列向量和非攻击序列向量；S5、基于攻击序列向量和非攻击序列向量，训练攻击序列识别模型；S6、采用步骤S1～S4，构建被测场景的因果图并生成行为序列向量，采用步骤S5攻击序列识别模型对被测场景中已知的被攻击实体的攻击路径识别。上述方法可以快速、高效、准确的完整复现整个攻击过程和路径。

Description

一种基于因果图的网络攻击路径识别方法

技术领域

本发明涉及计算机技术领域，具体为一种基于因果图的网络攻击路径识别方法。

背景技术

近年来，随着深度学习技术的发展和成熟，其强大的数据分析能力及模型构建能力，已经在多个行业和领域证明能够有效实现产业赋能。同时，“安全+AI”的思路经过众多科研工作者和企业单位的推进后，已经证明具有较好的实用效果，将智能算法应用在网络安全领域中，其核心是跨越安全和智能的场景鸿沟，从数据表征、模型训练等多个方面进行融合。

研究者针对上述问题开展了大量新型攻击的检测及防御研究，Rivero等人提出了一种新的网络入侵检测推理阶段算法，将零样本学习引入到网络入侵检测中，采用基于决策树的算法提取规则，生成属性学习阶段的属性，利用距离公式计算不可见类与可见类之间的测地距离，对新型攻击进行检测。Li等人通过使用基于随机森林特征选择和DBSCAN聚类属性转换的结构，将数据集的特征转换成独热编码，通过属性的类间迁移学习来实现对未知攻击的识别。然而，上述的检测模型中对网络流量和日志数据进行特征进行提取和表征时，仅将其进行向量化，缺乏对特征之间关联关系及上下文环境的表达。

针对攻击路径分析，SLEUTH系统用于从审计日志中实时检测攻击和重建攻击。它使用一个基于主存的数据依赖模型，利用基于标签的攻击检测和重建技术，通过构建可视化的攻击步骤图来展示网络攻击的流程。Milajerdi等人提出了一种名为POIROT的网络攻击检测分析系统。该系统利用内核审计记录来检测攻击，该系统使用网络威胁情报的关联性来揭示网络攻击的攻击步骤。MIT的CSAIL实验室于公开他们的研究成果AI2，使用无监督学习配合有监督学习的方法，通过机器学习对海量的日志信息进行分析，识别出85％以上的攻击行为，并且误报率低于95％，基于该成果成立了PatternEx公司，作为盈利的产品面向市场进行推广。上述研究成果在进行路径识别时，主要采用了线性模型来识别攻击步骤，然而网络行为是一个复杂的图模型，且其中存在因果依赖关系，导致其中的关系表征缺失，造成路径识别的准确率较低。

发明内容

为了解决传统安全设备能够抵御大部分单一网络攻击，但是对于针对性的、复杂性的、未知的网络攻击及其变种的检测及分析方法尚不完备，无法完整复现整个攻击过程和路径的问题，本发明设计了一种基于因果图的网络攻击路径识别方法。

实现发明目的的技术方案如下：一种基于因果图的网络攻击路径识别方法，包括以下步骤：

S1、提取信息系统日志，获取与网络攻击相关的日志信息；

S2、依据日志信息，构建因果图；

S3、用已知场景生成因果图，并生成攻击序列和非攻击序列；

S4、对攻击序列和非攻击序列分别进行向量表征，生成攻击序列向量和非攻击序列向量；

S5、基于攻击序列向量和非攻击序列向量，训练攻击序列识别模型；

S6、采用步骤S1～S4，构建被测场景的因果图并生成行为序列向量，采用步骤S5攻击序列识别模型对被测场景中已知的被攻击实体的攻击路径识别。

进一步地，上述步骤S1中，提取信息系统日志，获取与网络攻击相关的日志信息，包括：

S11、在系统设备终端部署的日志生成器，获取系统日志文件；

S12、提取系统日志文件中与网络攻击相关的安全事件日志；

S13、依据日志四元组格式，对安全事件日志进行处理，形成结构化日志信息。

进一步地，上述所述日志四元组格式包括安全事件日志的源实体、事件名称、目的实体、时间戳。

进一步地，上述步骤S2中，依据日志信息，构建因果图，包括：

S21、定义因果图中的节点、边、行为、事件之间的关系；

S22、依据日志信息，生成面向日志信息的因果图；

S22、对面向日志信息的因果图压缩，生成优化后因果图。

进一步地，上述步骤S3中，基于已知场景构造攻击序列和非攻击序列，包括：

S311、获取已知攻击场景的受害主机日志信息，构建攻击行为因果图；

S312、获取攻击行为因果图内攻击实体，提取各攻击实体的邻域图；

S313、依据各攻击实体的邻域图，生成攻击事件集合；

S314、对攻击事件集合按照实体名称和时间顺序排序，生成攻击序列；

S321、获取已知正常场景的日志信息，构建正常行为因果图；

S322、获取正常行为因果图内实体，提取各实体的邻域图；

S323、依据依据各实体的邻域图，生成事件集合；

S324、对事件集合按照实体名称和时间顺序排序，生成非攻击序列。

进一步地，上述步骤S6中，采用步骤S1～S4，构建被测场景的因果图，获取攻击序列向量和非攻击序列向量，输入S5中攻击路径预测模型进行攻击路径识别，输出攻击路径识别结果，包括：

S61、将攻击序列向量输入攻击路径预测模型内，识别攻击向量；

S62、依据攻击序列向量中的已知攻击实体，对因果图在时间维度上进行向前遍历和向后遍历，对受攻击实体进行检测直到攻击最初发生的事件为止，获得多个攻击序列；

S63、对多个攻击序列进行相似度进行匹配，输出攻击路径。

与现有技术相比，本发明的有益效果是：本发明设计的基于因果图的网络攻击路径识别方法，一方面提升了对网络信息的表征能力。本发明采用因果图数据结果对日志信息进行表征，这种基于图的数据结构与网络日志的表征的行为具有较强的契合度，能够在更深的层次以更高的粒度天然的表达主机侧各个实体节点之间的行为关系，表征因果依赖，降低了在数据表征过程中节点间关系的损失。另一方面提高了对复杂攻击的攻击路径识别精度。本发明在对攻击路径识别时，采用序列组合的方法，基于已知的攻击序列对因果图进行向前和向后遍历，再基于序列检测模型和攻击路径匹配进行路径识别，充分利用了因果图中天然存在的依赖关系，极大的提升了攻击路径识别的精度。

附图说明

为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍。

图1为具体实施方式中基于因果图的网络攻击路径识别方法的流程图。

图2为具体实施方式中被测场景中已知的被攻击实体的训练和识别过程示意图。

具体实施方式

下面结合具体实施例来进一步描述本发明，本发明的优点和特点将会随着描述而更为清楚。但这些实施例仅是范例性的，并不对本发明的范围构成任何限制。本领域技术人员应该理解的是，在不偏离本发明的精神和范围下可以对本发明技术方案的细节和形式进行修改或替换，但这些修改和替换均落入本发明的保护范围内。

本具体实施方式公开了一种基于因果图的网络攻击路径识别方法，其核心思路是：首先，提取主机侧的日志信息，并针对与安全要素相关的事件日志构建因果图；其次，采用已知的攻击事件因果图构造攻击序列，采用正常日志构造非攻击序列，并以二者进行向量化表征，作为样本训练攻击序列检测模型；最后，获取受害主机日志信息构建起因果图，将其输入攻击序列检测模型中，对受害实体向前和向后遍历，在遍历过程中对进行检测，获取受害主机的攻击路径。

以下结合图1和图2，对上述基于因果图的网络攻击路径识别方法机进行详细说明：

步骤1，提取信息系统日志，获取与网络攻击相关的日志信息。

(1a)在设备终端上部署日志生成器，对设备终端上不同系统分别部署相应的日志生成器，如Window系统采用系统自带的ETW(Event Trace for Window)或安装Sysmon日志采集器。

(1b)将(1a)中获取的日志进行分类，并筛选出来与网络攻击相关的安全事件日志，如网络通信、进程调用、文件传输、程序执行、DNS查询、浏览器事件等。

(1c)对(1b)中获取的日志信息建立专用的日志处理格式，即日志的四元组{源实体，事件名称，目的实体，时间戳}。

步骤2，对获取到的日志信息进行处理，并依据日志信息构建因果图G：

(2a)定义因果图G中涉及的各类数据元素和数据结构，包括因果图中涉及到的节点、边、序列与系统日志中行为、事件之间的关系，包括：

(2a1)对日志信息中涉及到的实体进行定义和表征，用e表示，实体e是从因果图中提取的唯一的主体或对象，在因果图中表示为节点。该方法中考虑的实体包括进程、文件和网络连接(即IP地址和域名)。例如，winword.exe_21是表示具有进程名称的MS Word应用程序的进程实例和ID，192.10.0.1:80是表示带有端口号的IP地址。

(2a2)对实体之间的邻接关系进行定义和表征，两个节点u和v如果通过边连接，则称其为邻接关系。

(2a3)对节点所在邻域图进行定义和表征，节点n的邻域是G中的子图，由G中所有与n连接的边的节点组成。如给定一组节点{n₁,n₂,n₃,......,n_n}，提取一个唯一的邻域图，邻域图包含所有以它们通过边相连的节点。

(2a4)对系统事件进行定义，事件ε是一个四要素组合体{e_src,e_dest,action,time}，即e_src和e_dest是与操作连接的两个实体，分别为源实体和目的实体。t ime是事件时间戳，显示事件发生的时间，action表示与网络安全相关的行为。如给定一个实体Firefox.exe和一个邻域图，该邻域图包含从节点Fi refox.exe到节点Word.doc的操作open和时间戳t，因此，该事件可以表示为{Firefox.exe,open,Word.doc,t}。

(2a5)对操作序列进行定义，操作序列是针对一个实体的邻域图中的所有事件，并按照时间顺序进行排列，如S{e}＝{ε₁,ε₂,......,ε_n}。

(2a6)对攻击路径进行定义，攻击路径是一系列攻击事件组成的、按照事件先后顺序排列的序列集合，AS＝{S₁,S₂,......,S_n}。

(2b)生成因果图G(E,V)，其中E表示因果图中的所有实体，映射在日志中表示为所有可发起行为的实体，如进程、连接等，V表示因果图中的边，映射在日志中表示为所有事件产生的行为，实体间通过行为进行连接，最终生成面向日志信息的因果图。

(2c)对(2b)中生成的因果图G(E,V)进行压缩优化，生成优化后因果图G_min(E,V)，包括：

(2c1)对无关事件进行过滤，对因果图中出现的错乱节点，如主体与客体种类重复出现、行为信息缺失的边进行过滤。

(2c2)对因果图进行事件级压缩，若两个实体之间多次出现相同的行为，则将其合并，并仅使用最早的时间戳。如ε₁＝{e₁,e₂,action₁,t₁}与ε₂＝{e₁,e₂,action₁,t₂}两个事件进行合并，t₁早于t₂，结果为ε₁＝{e₁,e₂,action₁,t₁}。

(2c3)对因果图进行序列级压缩，若多个实体连接了相同前置实体和相同后置实体，将其合并为一个序列。S{e₁}＝{ε₁,ε₂,ε₃}，S{e₂}＝{ε₁,ε₄,ε₃}，S{e₁}＝{ε₁,ε₅,ε₃}，则压缩后的结果为S{e₁}＝{ε₁,ε₂-ε₄-ε₅,ε₃}。

步骤3，用已知场景生成因果图，并生成攻击序列和非攻击序列。

(3a)生成包含攻击行为的攻击行为因果图：通过已有的APT攻击事件分析报告，获取已知攻击场景的受害主机日志信息，依据步骤2中所示步骤生成攻击行为因果图，并结合报告中的分析过程，将因果图中被攻击的实体节点标注出来。

(3b)根据(3a)中攻击实体集合中每个实体，提取其邻域图形。捕获与攻击实体有因果关系的所有实体。如给定攻击实体子集{e₁,e₂,e₃}，分别对每个实体的邻域图进行分析，得到相关实体集合为{e₁,e₂,e₃,e₄,......,e_n-1,e_n}。

(3c)从邻域图中生成攻击事件：若一个事件的发起源或者目的地被表示为攻击节点。则该事件被被识别为攻击事件，即根据(3b)中的实体节点集合，遍历所有与之相连的边，输出攻击事件集合{ε₁,ε₂,ε₃,......,ε_n}。

(3d)生成攻击序列：将步骤3中获取的一系列攻击事件按照实体名称和时间顺序进行排序，生成攻击序列，为其打上攻击标签。

(3e)构造非攻击序列：获取已知正常场景的日志信息，构建正常行为因果图，并采用与构造攻击序列相同的方法，生成非攻击序列。

步骤4，对攻击序列和非攻击序列分别进行向量表征，生成攻击序列向量和非攻击序列向量。

基于自然语言处理技术，将步骤3中最终生成的攻击序列通过词嵌入的方法，映射成特征向量，这类向量能够捕捉实体的上下文环境，以及与其他实体间的关系，包括：

(4a)统计实体信息和事件行为信息，针对与攻击事件相关的各类实体和行为，对其进行标准化操作，生成文本语料库；该语料库包含了因果图中所有关注的实体信息和行为信息，主要的信息参见下表所示，包括：

(4b)采用自然语言处理领域的word2vec技术对步骤3中生成的序列进行向量表征，将序列转化为向量，最终将整个因果图用向量进行表征。

(4c)构造均衡的攻击序列向量和非攻击序列向量数量，生成数量比例接近的攻击向量与非攻击向量，包括：

(4c1)对非攻击序列进行欠采样，采用Levenshtein距离来计算序列语义之间的相似性，设置初始阈值λ＝80％，若L(S₁,S₂)≥λ，则舍弃序列S₂。

(4c2)对攻击序列进行过采样，对已经获取到的攻击序列，随机对其主体或客体的实体进行同类型替换，生成新的攻击序列。

(4c3)不断调整(4c1)中的阈值和(4c2)中的攻击序列数量，直到攻击序列与非攻击序列的数量基本相同。

步骤5，基于攻击序列向量和非攻击序列向量，基于双向长短期记忆神经网络(Bi-LSTM)模型训练攻击序列识别模型，包括：

(5a)导入Bi-LSTM模型模板，设置双向LSTM神经网络初始结构和参数。

(5b)将步骤4中的序列向量输入Bi-LSTM模型中，生成行为序列预测模型，对其进行参数调整，使得在训练样本是上的结果最优。

(5c)将生成好的预测模型进行打包和存储。

步骤6，攻击路径识别：采用步骤S1～S4，构建被测场景的因果图并生成行为序列向量，采用步骤S5攻击序列识别模型对被测场景中已知的被攻击实体的攻击路径识别，包括：

(6a)将依据步骤4中生成的因果图向量输入步骤5中的攻击序列识别模型中，识别出其中的攻击向量。

(6b)基于(6a)中攻击序列的攻击实体，对因果图进行时间维度上的向前和向后遍历，并进行检测和标记。

(6b1)从已知的攻击实体中随机选取一个受攻击实体e_a，并获取邻域图，生成攻击事件集合D＝{ε_a1,ε_a2,ε_a3,......,ε_an}。

(6b2)将因果图中每个未知实体与攻击事件集合D中事件相结合生成序列，通过步骤5中训练的检测模型检查序列是攻击还是非攻击序列，并对序列进行标记。

(6b3)以受攻击实体e_a所在攻击序列为起始，沿时间顺序向后追踪任务，并持续检测，直到攻击最终发生的事件为止。

(6b4)以受攻击实体e_a所在攻击序列为起始，沿时间顺序向前追踪任务，并持续检测，直到攻击最初发生的事件为止。

(6c)将向前追踪和向后追踪的序列进行时间维度的串联，输出攻击路径。

上述基于因果图的网络攻击路径识别方法，一方面提升了对网络信息的表征能力。本发明采用因果图数据结果对日志信息进行表征，这种基于图的数据结构与网络日志的表征的行为具有较强的契合度，能够在更深的层次以更高的粒度天然的表达主机侧各个实体节点之间的行为关系，表征因果依赖，降低了在数据表征过程中节点间关系的损失。另一方面提高了对复杂攻击的攻击路径识别精度。本发明在对攻击路径识别时，采用序列组合的方法，基于已知的攻击序列对因果图进行向前和向后遍历，再基于序列检测模型和攻击路径匹配进行路径识别，充分利用了因果图中天然存在的依赖关系，极大的提升了攻击路径识别的精度。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

Claims

1.一种基于因果图的网络攻击路径识别方法，其特征在于，包括以下步骤：

S1、提取信息系统日志，获取与网络攻击相关的日志信息；

S2、依据日志信息，构建因果图；

2.根据权利要求1所述的基于因果图的网络攻击路径识别方法，其特征在于：步骤S1中，提取信息系统日志，获取与网络攻击相关的日志信息，包括：

S12、提取系统日志文件中与网络攻击相关的安全事件日志；

3.根据权利要求1所述的基于因果图的网络攻击路径识别方法，其特征在于：所述日志四元组格式包括安全事件日志的源实体、事件名称、目的实体、时间戳。

4.根据权利要求1所述的基于因果图的网络攻击路径识别方法，其特征在于：步骤S2中，依据日志信息，构建因果图，包括：