CN116366376B - 一种apt攻击溯源图分析方法 - Google Patents

一种apt攻击溯源图分析方法 Download PDF

Info

Publication number
CN116366376B
CN116366376B CN202310645612.5A CN202310645612A CN116366376B CN 116366376 B CN116366376 B CN 116366376B CN 202310645612 A CN202310645612 A CN 202310645612A CN 116366376 B CN116366376 B CN 116366376B
Authority
CN
China
Prior art keywords
attack
log
graph
tracing
traceability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310645612.5A
Other languages
English (en)
Other versions
CN116366376A (zh
Inventor
谢经纬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan Sanxiang Bank Co Ltd
Original Assignee
Hunan Sanxiang Bank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan Sanxiang Bank Co Ltd filed Critical Hunan Sanxiang Bank Co Ltd
Priority to CN202310645612.5A priority Critical patent/CN116366376B/zh
Publication of CN116366376A publication Critical patent/CN116366376A/zh
Application granted granted Critical
Publication of CN116366376B publication Critical patent/CN116366376B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及网络安全技术领域,尤其涉及一种APT攻击溯源图分析方法。所述方法包括以下步骤:对银行信息系统进行日志采集并利用日志转换算法进行格式转换,得到溯源图统一格式日志;构建溯源图日志数据库,对溯源图统一格式日志进行抽取和加工处理并将加工处理后的溯源图统一格式日志保存至溯源图日志数据库中,得到整体溯源图日志;通过预设的日志分类算法模型对整体溯源图日志进行分类处理,得到溯源图日志类型数据;利用重要权度挖掘算法对溯源图日志类型数据进行关键特征提取,得到溯源图日志关键特征。本发明通过门控循环单元算法发现异常攻击行为并发出报警信号,为银行信息系统提供精准的攻击目标和攻击行为识别能力。

Description

一种APT攻击溯源图分析方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种APT攻击溯源图分析方法。
背景技术
APT攻击也称为定向威胁攻击,是针对特定目标开展的持续性攻击,所使用的方法、手段多样,不同于常规单一类型的攻击,更加呈现出工具自动化、利用漏洞武器化、入侵途径多样化的特点,因此对于APT攻击的防御是网络安全领域的一个难点。
银行信息系统属于关键基础设施,承载了大量甚至巨量的金融服务,并保管海量客户信息及经营管理信息。在当下复杂的安全形势下,极易成为国内外各种势力开展APT攻击的目标。银行系统一旦发生大规模网络安全事件,将带来巨大损失及影响。由于APT攻击的特异性和隐蔽性,常规的安全监测和漏洞分析系统较难发现并进行系统化分析;同时由于APT攻击的连续性同时具有间歇性和不确定性,较难形成一个完整的溯源分析过程。因此,需要构建一个系统化的流程和自动化的方案,采用较强分析识别能力的算法和模型,对APT攻击进行持续监测和报警。
发明内容
基于此,本发明有必要提供一种APT攻击溯源图分析方法,以解决至少一个上述技术问题。
为实现上述目的,一种APT攻击溯源图分析方法,包括以下步骤:
步骤S1:对银行信息系统进行日志采集并利用日志转换算法进行格式转换,得到溯源图统一格式日志;构建溯源图日志数据库,对溯源图统一格式日志进行抽取和加工处理并将加工处理后的溯源图统一格式日志保存至溯源图日志数据库中,得到整体溯源图日志;
步骤S2:通过预设的日志分类算法模型对整体溯源图日志进行分类处理,得到溯源图日志类型数据;利用重要权度挖掘算法对溯源图日志类型数据进行关键特征提取,以得到溯源图日志关键特征;
步骤S3:根据溯源图日志关键特征构建溯源图,得到溯源图序列;利用门控循环单元算法对溯源图序列进行异常行为检测,得到攻击目标数据;
步骤S4:利用图论算法对攻击目标数据进行溯源图构建,以生成APT攻击溯源图,其中APT攻击溯源图包括攻击行为和攻击链;通过预设的机器学习算法模型对APT攻击溯源图中的攻击行为进行模型训练和自主学习,并提取攻击链的关系特征,得到攻击关系链;
步骤S5:根据路径分析算法和关联规则挖掘算法相结合的方法识别攻击关系链中的攻击路径和攻击方法,以得到攻击规则信息;
步骤S6:通过攻击溯源算法对攻击规则信息进行溯源计算,得到攻击溯源度;根据预设的攻击异常阈值对攻击溯源度进行行为判断,得到报警信号;根据报警信号绘制行为图谱以执行相应的防御策略。
本发明通过利用多种算法和模型相结合的方法建立对APT攻击行为识别的溯源技术,提高了银行信息系统的安全性能和响应能力,同时对APT攻击进行持续监测和报警,并针对报警信号执行相应的防御策略措施。其中,通过对银行信息系统进行日志采集和格式转换最终得到整体溯源图日志,可以有效地对银行信息系统进行溯源分析,提高银行信息系统的安全性能和防范能力。通过利用日志分类算法模型和重要权度挖掘算法实现对整体溯源图日志数据的快速分类和特征提取,从而提高数据的利用效率和安全性能。同时,还可以为后续的安全溯源分析提供有益的数据支持,方便安全管理人员进行全面的事件追溯和安全审计。通过对日志分类算法模型的构建与优化,可以提高溯源图日志的处理效率和安全性能,为后续的攻击溯源分析提供了实时的数据支持。通过特征提取能够有效提取溯源图日志类型数据的关键特征,并通过重要权度挖掘算法对特征权重进行计算和排序,以得到满足需求的关键特征,为后续数据处理和分析提供有效支持。根据溯源图日志关键特征构建溯源图,再通过门控循环单元算法进行异常行为检测,能够快速检测和定位攻击行为,减少网络安全风险,对信息安全保障具有重要意义。通过图论算法和基于图结构的神经网络模型,对APT攻击进行深入分析和追踪,生成APT攻击溯源图和攻击关系链,为安全分析人员提供直观的数据支持,提高攻击检测和防御能力,降低攻击带来的安全风险和损失。通过路径分析算法和关联规则挖掘算法等技术手段,实现了对APT攻击数据的深入分析和挖掘,有助于安全分析人员及时发现潜在的网络攻击活动,提前做好安全防御和应对准备,同时为后续的安全预测与评价提供了有益的技术支持。最后,通过攻击溯源算法能够有效地分析和识别攻击行为,提高安全分析的精度和准确性。同时,通过绘制行为图谱对攻击行为进行可视化处理,为执行相应的防御策略提供重要的依据。
附图说明
通过阅读参照以下附图所作的对非限制性实施所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明APT攻击溯源图分析方法的步骤流程示意图;
图2为图1中步骤S1的详细步骤流程示意图;
图3为图1中步骤S2的详细步骤流程示意图;
图4为图3中步骤S22的详细步骤流程示意图;
图5为图1中步骤S4的详细步骤流程示意图;
图6为图5中步骤S43的详细步骤流程示意图;
图7为图1中步骤S6的详细步骤流程示意图。
具体实施方式
下面结合附图对本发明专利的技术方法进行清楚、完整的描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域所属的技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为实现上述目的,请参阅图1至图7,本发明提供了一种APT攻击溯源图分析方法,所述方法包括以下步骤:
步骤S1:对银行信息系统进行日志采集并利用日志转换算法进行格式转换,得到溯源图统一格式日志;构建溯源图日志数据库,对溯源图统一格式日志进行抽取和加工处理并将加工处理后的溯源图统一格式日志保存至溯源图日志数据库中,得到整体溯源图日志;
步骤S2:通过预设的日志分类算法模型对整体溯源图日志进行分类处理,得到溯源图日志类型数据;利用重要权度挖掘算法对溯源图日志类型数据进行关键特征提取,以得到溯源图日志关键特征;
步骤S3:根据溯源图日志关键特征构建溯源图,得到溯源图序列;利用门控循环单元算法对溯源图序列进行异常行为检测,得到攻击目标数据;
步骤S4:利用图论算法对攻击目标数据进行溯源图构建,以生成APT攻击溯源图,其中APT攻击溯源图包括攻击行为和攻击链;通过预设的机器学习算法模型对APT攻击溯源图中的攻击行为进行模型训练和自主学习,并提取攻击链的关系特征,得到攻击关系链;
步骤S5:根据路径分析算法和关联规则挖掘算法相结合的方法识别攻击关系链中的攻击路径和攻击方法,以得到攻击规则信息;
步骤S6:通过攻击溯源算法对攻击规则信息进行溯源计算,得到攻击溯源度;根据预设的攻击异常阈值对攻击溯源度进行行为判断,得到报警信号;根据报警信号绘制行为图谱以执行相应的防御策略。
本发明实施例中,请参考图1所示,为本发明APT攻击溯源图分析方法的步骤流程示意图,在本实例中,所述APT攻击溯源图分析方法的步骤包括:
步骤S1:对银行信息系统进行日志采集并利用日志转换算法进行格式转换,得到溯源图统一格式日志;构建溯源图日志数据库,对溯源图统一格式日志进行抽取和加工处理并将加工处理后的溯源图统一格式日志保存至溯源图日志数据库中,得到整体溯源图日志。
本发明实施例通过对银行信息系统进行日志采集并通过基于调和平滑参数的日志转换算法对收集的银行信息系统日志进行格式转换,将银行信息系统日志转换为符合溯源图统一格式的数据日志,以得到溯源图统一格式日志,并根据需求设计溯源图日志数据库的表结构,根据设计好的表结构构建溯源图日志数据库,然后对溯源图统一格式日志进行抽取和加工处理,将处理好后的溯源图统一格式日志保存至溯源图日志数据库中,最终得到整体溯源图日志。
步骤S2:通过预设的日志分类算法模型对整体溯源图日志进行分类处理,得到溯源图日志类型数据;利用重要权度挖掘算法对溯源图日志类型数据进行关键特征提取,以得到溯源图日志关键特征。
本发明实施例通过选择合适的日志分类算法模型对整体溯源图日志进行分类处理,以得到不同的溯源图日志类型数据,再利用合适的重要权度挖掘算法对每个溯源图日志类型数据进行重要权度计算,对重要权度进行排序选取关键特征,最终得到溯源图日志关键特征。
步骤S3:根据溯源图日志关键特征构建溯源图,得到溯源图序列;利用门控循环单元算法对溯源图序列进行异常行为检测,得到攻击目标数据。
本发明实施例通过将得到的溯源图日志关键特征构建出溯源图,并分析出溯源图日志关键特征之间的关系和依赖关系,得到溯源图序列,再利用合适的门控循环单元算法对溯源图序列进行异常行为检测,最终得到攻击目标数据。
步骤S4:利用图论算法对攻击目标数据进行溯源图构建,以生成APT攻击溯源图,其中APT攻击溯源图包括攻击行为和攻击链;通过预设的机器学习算法模型对APT攻击溯源图中的攻击行为进行模型训练和自主学习,并提取攻击链的关系特征,得到攻击关系链。
本发明实施例通过合适的图论算法对得到的攻击目标数据进行溯源路径计算,利用得到的攻击溯源路径分析出攻击行为之间的关联,构建出APT攻击溯源图,其中每一个节点代表一个攻击行为,每一条边代表两个攻击行为之间的关联关系,根据关联关系得到攻击行为的具体过程从而得到攻击链,再基于预设的机器学习算法模型对APT攻击溯源图的攻击行为进行模型训练以及自主学习攻击行为之间的关系,并提取攻击链的关系特征,最终得到攻击关系链。
步骤S5:根据路径分析算法和关联规则挖掘算法相结合的方法识别攻击关系链中的攻击路径和攻击方法,以得到攻击规则信息。
本发明实施例通过采用路径分析算法,确定攻击关系链中攻击行为之间的依赖关系及攻击路径,同时采用关联规则挖掘算法,从攻击关系链中发现攻击行为之间的关联规则,确定攻击关联规则,根据攻击路径和攻击关联规则识别攻击方法,从而确定攻击规则信息。
步骤S6:通过攻击溯源算法对攻击规则信息进行溯源计算,得到攻击溯源度;根据预设的攻击异常阈值对攻击溯源度进行行为判断,得到报警信号;根据报警信号绘制行为图谱以执行相应的防御策略。
本发明实施例通过对攻击规则信息进行信息采集,采集攻击规则信息中的攻击行为数量、攻击目标数量、攻击行为和攻击目标在攻击路径中所处的位置、攻击力量、准确性、暴击率以及攻击目标的防御力和闪避能力等信息,并通过设置合适的攻击衰减因子构建攻击溯源算法来计算出攻击溯源度。然后,根据预设的攻击异常阈值,对通过攻击溯源算法计算得到的攻击溯源度进行比较,若符合要求就输出报警信号,若不符合要求就将对应的攻击规则信息移除掉。最后,根据报警信号绘制出行为图谱,并利用行为图谱执行相应的防御策略。
本发明通过对银行信息系统进行日志采集和格式转换,得到溯源图统一格式日志,并将其保存至溯源图日志数据库中,对溯源图统一格式日志进行抽取多份日志和加工处理后,最终得到整体溯源图日志,为后续的攻击溯源提供了数据支持和准备工作,同时也为信息安全管理人员提供了对银行信息系统日志的搜寻和监控途径,从而提高对系统安全状态的了解和掌握,并且支持攻击溯源算法的实施和应用。通过对整体溯源图日志进行分类处理,可以把数据按照一定的分类标准进行快速地分组、分类。这能够帮助信息安全管理人员快速了解各类数据的安全状态,提高数据处理效率。另外,通过重要权度挖掘算法对溯源图日志类型数据进行关键特征提取,可以抽取出最具有代表性的数据信息,使得数据结构更加简明清晰。这样信息安全管理人员在数据分析和攻击溯源计算的过程中能够更好地理解数据,更快地找到潜在的数据异常。通过关键特征提取,可以去除那些无用或者不需要的数据,从而提高数据的准确性,避免数据处理时的误差引入。这对于数据分析和攻击溯源计算来说,是非常重要的,能够保证分析结果的正确性和可信度。通过得到溯源图日志关键特征,可以为后续的溯源图构建、异常检测、攻击路径分析等算法提供有效的数据基础,从而使得整个算法流程更加高效、精准。通过溯源图日志关键特征提取出具有代表性的数据信息,根据这些数据信息构建溯源图序列。这样可以将原始数据抽象为连续的序列,从而更加便于后续的分析。通过门控循环单元算法对溯源图序列进行异常行为检测,能够检测出潜在的攻击行为,从而提高攻击检测准确率。这对于信息安全管理人员来说非常重要,能够快速检测并阻止攻击行为,保护网络安全。又由于门控循环单元算法具有很高的准确性,可以有效地减少误报率。这样可以避免信息安全管理人员在误判时采取不必要的措施,从而提高工作效率。将攻击目标数据中的相关信息整理提取,利用图论算法构建APT攻击溯源图。APT攻击溯源图是一个包含攻击行为和攻击链的图结构,通过节点和边的关系来表示攻击行为和攻击路径。通过构建APT攻击溯源图,可以更加清晰地展现攻击过程和攻击方式。通过预设的机器学习算法模型,对APT攻击溯源图中的攻击行为进行模型训练和自主学习。在机器学习过程中,模型会自动地识别攻击行为的特征,从而提高对攻击行为的识别准确度。通过对APT攻击溯源图进行分析,提取攻击链的关系特征。攻击链是表示攻击行为和攻击路径的一种关系结构,其中节点表示攻击行为和攻击路径中的元素,边表示它们之间的联系。通过提取攻击链的关系特征,可以更加全面地了解攻击路径和攻击方式。通过路径分析算法,可以对攻击关系链中的攻击路径进行识别和分析,了解攻击者的行动方式和攻击路径,识别攻击者的攻击手段和攻击路线。路径分析算法能够有效地揭示攻击行为的攻击轨迹,从而提供溯源的依据。通过对攻击数据中的关联关系进行挖掘,可以提取攻击者行为之间的关联规则和模式。关联规则挖掘算法可以有效地发现隐藏在攻击数据中的规律和模式,帮助信息安全管理人员了解攻击者的行为动机和攻击方式。路径分析算法和关联规则挖掘算法的组合,可以更加全面地分析攻击关系链中的攻击路径和攻击方法,发现其中的规律和模式,提取攻击规则信息。通过这种方法可以深入探究攻击者的行为特征和攻击方法,为信息安全管理人员提供更加完整和准确的攻击规则信息。通过对攻击规则信息进行溯源计算,可以得到攻击溯源度,即确定攻击事件的来源和路径。攻击溯源算法可以帮助信息安全管理人员了解攻击者的行为动机和攻击方式,为防御措施的制定提供有效的依据。根据预设的攻击异常阈值,对攻击溯源度进行行为判断,判断攻击是否达到预设的攻击异常阈值,如果达到,则发出报警信号。通过攻击异常阈值的设定,可以提高对攻击行为的识别和溯源的准确性,及时预警并采取防御措施。根据行为判断结果,生成报警信号,并通知相关人员进行应急响应。报警信号的生成可以帮助信息安全管理人员及时发现和处理攻击行为,有效防范攻击风险。根据报警信号,绘制行为图谱以执行相应的防御策略。行为图谱可以清晰地展现攻击者的行动方式和攻击路径,帮助信息安全管理人员制定有效的防御策略,对攻击行为进行防范和回应。
优选地,步骤S1包括以下步骤:
步骤S11:对银行信息系统进行日志采集,得到银行信息系统日志;
步骤S12:利用日志转换算法对银行信息系统日志进行格式转换,得到溯源图统一格式日志;
其中,日志转换算法函数如下所示:
式中,为日志转换算法函数,/>为银行信息系统日志的数量,/>为日志转换算法的调和平滑参数,/>为银行信息系统日志的参数,/>为第/>个银行信息系统日志,/>为日志转换算法的参数缩放因子,/>为指数函数变换,/>为概率密度函数,/>为日志转换算法的修正值;
步骤S13:构建溯源图日志数据库,对溯源图统一格式日志进行抽取和加工处理并保存至溯源图日志数据库,以生成溯源图日志文件;
步骤S14:获取溯源图日志文件中的信息数据包,根据信息数据包获取与整体溯源图相关的日志,得到整体溯源图日志。
作为本发明的一个实施例,参考图2所示,为图1中步骤S1的详细步骤流程示意图,在本实施例中步骤S1包括以下步骤:
步骤S11:对银行信息系统进行日志采集,得到银行信息系统日志。
本发明实施例通过日志记录器对银行信息系统中的日志进行收集,最终得到银行信息系统日志。
步骤S12:利用日志转换算法对银行信息系统日志进行格式转换,得到溯源图统一格式日志。
本发明实施例通过基于调和平滑参数的日志转换算法对收集的银行信息系统日志进行格式转换,将银行信息系统日志转换为符合溯源图统一格式的数据日志,最终得到溯源图统一格式日志。
其中,日志转换算法函数如下所示:
式中,为日志转换算法函数,/>为银行信息系统日志的数量,/>为日志转换算法的调和平滑参数,/>为银行信息系统日志的参数,/>为第/>个银行信息系统日志,/>为日志转换算法的参数缩放因子,/>为指数函数变换,/>为概率密度函数,/>为日志转换算法的修正值。
本发明构建了一个日志转换算法函数的公式,为了将银行信息系统日志转换为符合溯源图统一格式的数据日志,通过选择一个合适的算法公式进行格式转换,由于采集到的银行信息系统日志可能来自不同的系统,日志结构和格式可能不规范,变量名也可能各不相同,所以通过该日志转换算法可以使采集到的日志更具可读性和一致性,减小后续分析和处理的难度,从而能够帮助提高数据质量和数据特征的提取,提升后续溯源分析和模型建立的准确性和效率。该算法公式充分考虑了银行信息系统日志的数量,日志转换算法的调和平滑参数/>,银行信息系统日志的参数/>,第/>个银行信息系统日志/>,日志转换算法的参数缩放因子/>,并对银行信息系统日志的参数/>进行指数函数变换/>,另外,为了防止算法过拟合,需要对其进行归一化处理,根据日志转换算法/>与以上各参数之间的相互关联关系构成了一种积分函数关系/>,实现了对银行信息系统日志的格式转换,同时,该算法公式中日志转换算法的修正值/>可以根据实际情况进行调整,从而提高日志转换算法的准确性和适用性。
步骤S13:构建溯源图日志数据库,对溯源图统一格式日志进行抽取和加工处理并保存至溯源图日志数据库,以生成溯源图日志文件。
本发明实施例通过需求设计溯源图日志数据库的表结构,根据设计好的表结构构建溯源图日志数据库,抽取溯源图统一格式日志中的多份类似日志,将抽取的日志进行去除无效、重复、冗余的数据,将处理后的溯源图统一格式日志保存至溯源图日志数据库中,生成溯源图日志文件。
步骤S14:获取溯源图日志文件中的信息数据包,根据信息数据包获取与整体溯源图相关的日志,得到整体溯源图日志。
本发明实施例通过查询语句获取溯源图日志文件中的信息数据包,信息数据包中存储了大量的与整体溯源图相关的信息,根据信息数据包获取与整体溯源图相关的日志文件,最终得到整体溯源图日志。
本发明通过对银行信息系统进行日志采集,可以获取到银行信息系统中的操作记录和事件流程,这些信息有助于后续的攻击溯源分析。银行信息系统日志包括用户操作日志、系统事件日志、应用程序日志等,通过对这些日志进行采集并统计,可以大大提高银行信息系统的安全性能。利用日志转换算法对银行信息系统日志进行格式转换,可以将日志信息转化为符合溯源图统一格式的数据,使得后续的攻击溯源分析可以更加灵活和全面。日志转换算法可以将不同格式的日志信息进行统一处理,消除数据差异导致的影响,减少噪声数据对攻击溯源分析的影响。构建溯源图日志数据库,将加工处理后的溯源图统一格式日志保存至溯源图日志数据库中,可以为后续的攻击溯源分析提供方便。通过溯源图日志数据库,可以对日志信息进行高效查询、分析和管理,方便安全管理人员进行事件追溯和攻击溯源分析。通过获取信息数据包并获取与整体溯源图相关的日志,可以得到整个银行信息系统中的溯源图日志。整体溯源图日志可以准确地记录银行信息系统中的操作轨迹和事件状态,包括用户的操作行为、系统的响应状态、异常情况等,为后续的防御策略分析提供数据基础。
优选地,步骤S2包括以下步骤:
步骤S21:对整体溯源图日志进行日志数据格式转换处理,得到整体溯源图日志数据;
步骤S22:通过预设的基于支持向量机的日志分类算法模型对整体溯源图日志数据进行分类处理,得到溯源图日志类型数据;
步骤S23:利用重要权度挖掘算法对溯源图日志类型数据进行关键特征提取,得到溯源图日志关键特征。
作为本发明的一个实施例,参考图3所示,为图1中步骤S2的详细步骤流程示意图,在本实施例中步骤S2包括以下步骤:
步骤S21:对整体溯源图日志进行日志数据格式转换处理,得到整体溯源图日志数据。
本发明实施例通过将整体溯源图日志进行日志数据格式转换处理,将日志格式转换为数据格式,最终得到整体溯源图日志数据。
步骤S22:通过预设的基于支持向量机的日志分类算法模型对整体溯源图日志数据进行分类处理,得到溯源图日志类型数据。
本发明实施例通过确定支持向量机的参数来构建日志分类算法模型,将转换后的整体溯源图日志数据输入至预设的日志分类算法模型进行分类处理,最终得到溯源图日志类型数据。
步骤S23:利用重要权度挖掘算法对溯源图日志类型数据进行关键特征提取,得到溯源图日志关键特征。
本发明实施例通过将得到的溯源图日志类型数据输入至重要权度挖掘算法中进行关键特征提取,计算出每个特征的重要权度,并利用排序措施提取出与溯源分析相关的关键特征,最终得到溯源图日志关键特征。
本发明通过对整体溯源图日志进行日志数据格式转换处理,可以将整体溯源图日志的信息进行处理和加工,过滤掉不必要的信息,提高数据处理效率和准确性。整体溯源图日志中包含大量的数据,包括用户的操作记录、系统的响应信息、异常事件等,通过对这些日志进行数据格式转换处理,可以提取出对攻击异常事件追溯关键的信息数据。通过预设的基于支持向量机的日志分类算法模型对整体溯源图日志数据进行分类处理,可以实现对日志数据的分类判别,快速筛选出与攻击异常事件追溯相关的日志信息,并进行有效地存储和管理。支持向量机是一种常用的分类算法模型,能够进行高准确性的分类预测,可以快速地将日志数据分类为不同的攻击异常事件类型,提高数据的利用效率和安全性能。利用重要权度挖掘算法对溯源图日志类型数据进行关键特征提取,可以有效地发现数据中的关键特征信息,从海量的数据中提取出与攻击异常事件追溯相关的重要特征,为后续的安全溯源提供有益的信息支撑。重要权度挖掘算法是一种常用的数据挖掘和特征提取算法,可以对日志数据进行有效的特征提取和筛选,为后续的攻击溯源分析提供精准的数据支持。
优选地,步骤S22包括以下步骤:
步骤S221:将整体溯源图日志数据划分为训练数据集、验证数据集和测试数据集;
步骤S222:利用支持向量机构建日志分类算法模型,其中日志分类算法模型包括模型训练、模型验证和模型评估;
其中,日志分类算法函数如下所示:
式中,为日志分类算法函数,/>为输入模型的样本数据,/>为模型分类器的权重向量,/>为偏置项,/>为样本数据的第/>个样本的松弛变量,/>为正整数,其取值范围为/>,/>为正则化参数,/>为样本数据的数量,/>为样本数据的第/>个样本的类别标签,/>为向量/>和样本数据的第/>个样本的内积,/>为基于对数归一化的概率密度函数,/>和/>均为调和平滑因子,/>为日志分类算法模型的修正值;
步骤S223:将训练数据集输入至日志分类算法模型进行模型训练,并对模型参数进行优化处理,以得到验证模型;将验证数据集输入至经过参数优化的验证模型进行模型验证,得到测试模型;
步骤S224:通过测试模型对测试数据集中的整体溯源图日志数据进行模型评估,得到最优日志分类算法模型;将整体溯源图日志数据重新输入至最优日志分类算法模型进行分类处理,得到溯源图日志类型数据。
作为本发明的一个实施例,参考图4所示,为图3中步骤S22的详细步骤流程示意图,在本实施例中步骤S22包括以下步骤:
步骤S221:将整体溯源图日志数据划分为训练数据集、验证数据集和测试数据集。
本发明实施例按照划分比例为7:2:1将整体溯源图日志数据划分为训练数据集、验证数据集和测试数据集。
步骤S222:利用支持向量机构建日志分类算法模型,其中日志分类算法模型包括模型训练、模型验证和模型评估。
本发明实施例根据实际情况,利用支持向量机构建日志分类算法模型,并确定支持向量机的核函数类型和正则化参数等参数信息,该日志分类算法模型在构建的过程中利用训练数据集对模型进行训练。通过验证数据集对模型进行验证,同时通过测试数据集对模型进行评估,判断日志分类算法模型的性能和精度。
其中,日志分类算法函数如下所示:
式中,为日志分类算法函数,/>为输入模型的样本数据,/>为模型分类器的权重向量,/>为偏置项,/>为样本数据的第/>个样本的松弛变量,/>为正整数,其取值范围为/>,/>为正则化参数,/>为样本数据的数量,/>为样本数据的第/>个样本的类别标签,/>为向量/>和样本数据的第/>个样本的内积,/>为基于对数归一化的概率密度函数,/>和/>均为调和平滑因子,/>为日志分类算法模型的修正值。
本发明构建了一个日志分类算法函数的公式,用于构建日志分类算法模型,通过采用支持向量机构建日志分类算法模型可以有效地识别和分类整体溯源图日志,并提升模型的分类准确性和效率,从而帮助银行信息系统快速有效地发现威胁信息。该公式充分考虑了输入模型的样本数据,模型分类器的权重向量/>,偏置项/>,样本数据的第/>个样本的松弛变量/>,其中/>为正整数,取值范围为/>,正则化参数/>,样本数据的数量/>,样本数据的第/>个样本的类别标签/>,向量/>和样本数据的第/>个样本的内积/>,概率密度函数,调和平滑因子/>和/>,其中需要对概率密度函数/>进行对数归一化处理,根据日志分类算法模型/>与以上各参数之间的相互关系构成了一种函数关系/>,从而实现了采用支持向量机对日志分类算法模型的构建,同时,通过日志分类算法模型的修正值/>的引入可以根据实际情况进行调整,从而提高日志分类算法模型的泛化能力和鲁棒性。
步骤S223:将训练数据集输入至日志分类算法模型进行模型训练,并对模型参数进行优化处理,以得到验证模型;将验证数据集输入至经过参数优化的验证模型进行模型验证,得到测试模型。
本发明实施例通过将划分后的训练数据集输入至日志分类算法模型进行模型训练,并对模型参数进行调优,以得到验证模型,同时,将划分后的验证数据集输入至参数优化后的验证模型中进行模型验证,最终得到测试模型。
步骤S224:通过测试模型对测试数据集中的整体溯源图日志数据进行模型评估,得到最优日志分类算法模型;将整体溯源图日志数据重新输入至最优日志分类算法模型进行分类处理,得到溯源图日志类型数据。
本发明实施例通过将划分后的测试数据集输入至测试模型中进行模型评估,通过计算预测准确率、召回率等指标,对模型参数进行进一步检查和优化处理,获得更高效更准确的最优日志分类算法模型,同时将整体溯源图日志数据重新输入至最优日志分类算法模型中进行分类处理,根据分类结果,将整体溯源图日志数据划分为不同的溯源图日志类型数据。
本发明通过将整体溯源图日志数据划分为训练数据集、验证数据集和测试数据集,能够在模型训练过程中避免过拟合、提高模型的泛化能力。通过划分训练数据集、验证数据集和测试数据集,可以在模型训练时利用训练数据集进行模型参数的优化处理,而在验证数据集上进行模型性能的验证,最终在测试数据集上评估模型的性能,以得到更加有效的日志分类算法模型。利用支持向量机构建日志分类算法模型,可以通过训练得到一个能够对整体溯源图日志数据进行分类处理的模型。支持向量机是常用的分类算法模型,能够通过优化模型的参数,选择合适的核函数和核函数参数等方式,得到高精度的分类器。通过支持向量机构建日志分类算法模型,能够实现对溯源图日志进行快速、准确的分类处理。将训练数据集输入至日志分类算法模型进行模型训练,并对模型参数进行优化处理,以得到验证模型;将验证数据集输入至经过参数优化的验证模型进行模型验证,得到测试模型,能够通过优化模型参数,提高模型的性能和泛化能力。在训练阶段,通过调整模型的参数和核函数,以提高模型的性能和准确性。在验证阶段,可以验证模型的泛化能力,确定模型参数的合理性。通过对测试数据集的评估,可以得出最优的日志分类算法模型,对整体溯源图日志数据进行分类处理,得到溯源图日志类型数据。同时,这些数据还可用于后续的关键特征提取等分析,为安全溯源提供实时支持。
优选地,步骤S23包括以下步骤:
步骤S231:对溯源图日志类型数据进行特征提取,得到溯源图日志类型数据特征。
本发明实施例根据实际情况确定需要进行溯源分析的日志类型数据,对确定的日志类型数据进行数据清洗、去噪、特征提取等操作,最终得到溯源图日志类型数据特征。
步骤S232:利用重要权度挖掘算法对溯源图日志类型数据特征进行挖掘计算,得到重要权度。
本发明实施例根据实际情况,确定重要权度挖掘算法中的时间跨度、每个特征可以构建的溯源图数量、每个特征在每个时间点出现的概率等参数,并通过不断调试来确定时间影响衰减系数、积分项的贡献系数、积分项时间衰减系数以及积分项收敛系数的最优值,最后利用以上参数确定好重要权度的计算方法,通过利用确定好的重要权度挖掘算法计算方法对溯源图日志类型数据特征进行挖掘计算,得到每个特征的重要权度。
其中,重要权度挖掘算法的公式如下所示:
式中,为溯源图日志类型数据特征中第/>个特征的重要权度,/>为正整数,其取值范围为/>,/>为溯源图的时间跨度,/>为在时间/>中包含溯源图日志类型数据特征中第/>个特征的溯源图数量,/>为在时间/>中溯源图日志类型数据特征中第/>个特征出现的概率,/>为时间影响衰减系数,/>为积分项的贡献系数,/>为积分项时间衰减系数,/>为积分项收敛系数,/>为溯源图日志类型数据特征中第/>个特征在时间/>上的出现概率,/>为重要权度挖掘算法的修正值。
本发明构建了一个重要权度挖掘算法的公式,用于对溯源图日志类型数据特征进行挖掘计算,能够挖掘出溯源图日志类型数据特征中隐藏的潜在需求和规律,从而更好地理解溯源图日志类型数据特征中各个数据特征的重要性。该算法公式充分考虑了溯源图的时间跨度,在时间/>中包含溯源图日志类型数据特征中第/>个特征的溯源图数量/>,其中为正整数,取值范围为/>,在时间/>中溯源图日志类型数据特征中第/>个特征出现的概率/>,时间影响衰减系数/>,通过以上参数构成了一种时间影响程度关系,该公式还考虑了潜在需求贡献积分项/>,其中包括积分项的贡献系数/>,积分项时间衰减系数/>用于表示积分项中时间的影响程度,积分项收敛系数/>用于表示调节积分项的收敛速度,溯源图日志类型数据特征中第/>个特征在时间上的出现概率/>用于表示满足/>的溯源图数量与时间跨度的比例关系,根据溯源图日志类型数据特征中第/>个特征的重要权度/>与以上各参数之间的相互关系构成了一种函数关系/>,实现了对溯源图日志类型数据特征的挖掘计算,同时,通过重要权度挖掘算法的修正值/>的引入可以根据实际情况进行调整,从而提高重要权度挖掘算法的适用性和稳定性。
步骤S233:按照从大到小的顺序对重要权度进行排序,选取排名靠前的重要权度对应的溯源图日志类型数据特征作为关键特征,得到溯源图日志关键特征。
本发明实施例通过将计算得到的每个特征的重要权度按照从大到小的顺序进行排序,根据排序结果,选择排名靠前的几个重要权度对应的溯源图日志类型数据特征作为关键特征,将选取出来的关键特征组合在一起,最终得到溯源图日志关键特征。
本发明通过对溯源图日志类型数据进行特征提取,能够抓住溯源图日志类型数据中的关键信息,减少数据集的冗余特征,并提高特征的有效性和准确性。通过对溯源日志类型数据的特征提取,可以将溯源图日志类型数据转化为更易于处理和分析的数据形式,并为后续的关键特征提取和分析提供基础数据支持。利用重要权度挖掘算法对溯源图日志类型数据特征进行挖掘计算,能够挖掘出溯源图日志类型数据中具有较高重要性的特征,并作为后续关键特征提取的依据。重要权度挖掘算法是一种有效的数据挖掘方法,能够通过对多源数据的分析和处理,得出各个特征在数据分析中的重要程度,从而为数据挖掘和特征提取提供支持。按照从大到小的顺序对重要权度进行排序,选取排名靠前的重要权度对应的溯源图日志类型数据特征作为关键特征,能够筛选出具有较高重要性的特征,并对关键特征进行排序。通过选取排名靠前的重要权度对应的特征作为关键特征,能够在后续的数据分析和处理中,有效提高数据的处理效率和分析准确性。
优选地,步骤S3包括以下步骤:
步骤S31:对溯源图日志关键特征进行关联分析,得到溯源图日志关键特征之间的关系;通过溯源图日志关键特征之间的关系构建溯源图,以生成溯源图谱。
本发明实施例通过统计分析方法对得到的溯源图日志关键特征进行关联分析,确定溯源图日志关键特征之间的关系和依赖关系,根据关联分析结果,将溯源图日志关键特征之间的关系和依赖关系以图的形式表示,构建溯源图谱。
步骤S32:将溯源图谱按照时间顺序生成序列,得到溯源图序列。
本发明实施例通过将溯源图谱中的节点和边按照发生时间排序,形成按时间顺序排列的序列,按照时间顺序,将溯源图中每个时间段内的节点和边作为一个子图,将所有子图按照时间顺序组合成一个序列,生成溯源图序列。
步骤S33:利用门控循环单元算法对溯源图序列进行异常行为检测,得到异常行为检测结果。
本发明实施例通过特征提取技术,从溯源图序列中提取出每个时间段内的重要特征,将提取出来的特征进行归一化处理,使得各个特征的取值范围相同,通过设置合适的权重矩阵和偏置向量对溯源图序列进行加权处理,利用门控循环单元算法对处理后的溯源图序列进行异常行为检测,最终得到异常行为检测结果。
其中,门控循环单元算法的公式如下所示:
式中,为门控循环单元算法的更新门,/>为门控循环单元算法的重置门,/>为候选结果,/>为异常行为检测结果,/>为sigmoid激活函数,/>为双曲正切函数,/>为溯源图序列中的第/>个元素,/>为正整数,其取值范围为/>,/>、/>和/>均为更新门/>的权重矩阵,/>为更新门/>的偏置向量,/>、/>和/>均为重置门/>的权重矩阵,/>为重置门/>的偏置向量,/>、/>和/>均为候选结果/>的权重矩阵,/>为候选结果/>的偏置向量,/>为时间0到当前时间/>的门控循环单元算法隐藏状态的积分项,/>为点乘运算符,/>为异常行为检测结果的修正值。
本发明构建了一个门控循环单元算法的公式,用于对溯源图序列进行异常行为检测,该门控循环单元算法是一种适用于处理长时序数据的循环神经网络模型,在溯源图序列处理中采用门控循环单元算法能够更好地考虑数据在时间维度上的连续性和相关性,提高数据分析的准确性。通过设置合适的权重矩阵和偏置向量能够有效地对序列中数据进行加权处理,将重要数据保留下来,剔除噪声干扰和不重要的数据,提高溯源图序列的质量和准确性。该算法公式充分考虑了门控循环单元算法的更新门,门控循环单元算法的重置门/>,候选结果/>,溯源图序列中的第/>个元素/>,其中/>为正整数,取值范围为/>,时间0到当前时间/>的门控循环单元算法隐藏状态的积分项/>,异常行为检测结果/>,其中门控循环单元算法的更新门/>通过sigmoid激活函数/>,更新门/>的权重矩阵/>、/>和/>,更新门/>的偏置向量/>,前一个异常行为检测结果/>,溯源图序列中的第/>个元素/>和时间0到当前时间/>的门控循环单元算法隐藏状态的积分项/>构成了一种函数关系,门控循环单元算法的重置门/>通过sigmoid激活函数,重置门/>的权重矩阵/>、/>和/>,重置门/>的偏置向量/>,前一个异常行为检测结果/>,溯源图序列中的第/>个元素/>和时间0到当前时间/>的门控循环单元算法隐藏状态的积分项构成了一种函数关系/>,候选结果/>通过双曲正切函数/>,候选结果/>的权重矩阵/>、/>和/>,候选结果/>的偏置向量/>,前一个异常行为检测结果/>,门控循环单元算法的重置门/>,点乘运算符/>,溯源图序列中的第/>个元素/>和时间0到当前时间/>的门控循环单元算法隐藏状态的积分项/>构成了一种函数关系/>,根据异常行为检测结果/>与门控循环单元算法的更新门/>,前一个异常行为检测结果/>,候选结果/>和点乘运算符/>构成了一种递归运算函数关系/>,实现了对溯源图序列的异常行为检测,同时,通过异常行为检测结果的修正值/>的引入可以根据实际情况进行调整,从而提高门控循环单元算法的适用性和稳定性。
步骤S34:通过对异常行为检测结果进行预测分析,得到攻击目标数据。
本发明实施例通过对门控循环单元算法检测出来的异常行为进行分析,确定是否为攻击行为,针对检测出来的攻击行为获取其中的攻击的目标、方式、手段等数据,最终得到攻击目标数据。
本发明通过对溯源图日志关键特征进行关联分析,能够发现不同特征之间的相关性和依赖关系,从而构建溯源图谱。通过溯源图谱的构建,可以直观地展示溯源图日志关键特征之间的关系和演化过程,为后续分析提供了重要的数据支持。将溯源图谱按照时间顺序生成序列,得到溯源图序列,能够反映出溯源图中的时间跨度和演化规律。通过将溯源图谱按时间顺序排列,可以有效地展示数据的时间序列关系,并为后续异常行为检测提供时间序列数据基础。利用门控循环单元算法对溯源图序列进行异常行为检测,能够检测出异常行为并提高检测效率和准确性。门控循环单元算法是一种基于循环神经网络的算法,能够有效处理时间序列数据,并根据数据的演化规律检测出异常行为,为后续攻击目标数据的预测分析提供必要的数据支持。通过对异常行为检测结果进行预测分析,能够发现攻击目标数据,并及时采取相应的防御措施。预测分析能够根据异常行为检测结果,对潜在的攻击目标进行预测和识别,从而制定相应的安全防御策略,降低攻击风险和损失。
优选地,步骤S4包括以下步骤:
步骤S41:利用图论算法对攻击目标数据进行溯源路径计算,得到攻击溯源路径;
其中,图论算法的公式如下所示:
式中,为攻击目标数据两节点之间的距离,/>为起点集合,/>为终点集合,/>为起点到终点的所有可能路径集合,/>为起点集合中的第/>个起点数据,/>为终点集合中的第/>个终点数据,/>为静态边/>的权重,/>为与时间/>相关的噪声函数,为起点/>在路径上抵达终点/>的时间间隔,/>为控制噪声对路径长度的影响参数,/>为从节点/>到节点/>的边权重集合,/>为从节点/>到节点/>的边权重集合,/>为/>的调和平滑参数,/>为/>的调和平滑参数,/>为攻击目标数据两节点之间的距离的修正值;
步骤S42:利用攻击溯源路径生成APT攻击溯源图,其中APT攻击溯源图包括攻击行为和攻击链;
步骤S43:通过预设的基于图结构的神经网络模型对APT攻击溯源图中的攻击行为进行模型训练和自主学习,并提取攻击链的关系特征,得到攻击关系链。
作为本发明的一个实施例,参考图5所示,为图1中步骤S4的详细步骤流程示意图,在本实施例中步骤S4包括以下步骤:
步骤S41:利用图论算法对攻击目标数据进行溯源路径计算,得到攻击溯源路径。
本发明实施例利用图论算法对攻击目标数据进行溯源路径计算,首先,通过将攻击目标数据抽象成图结构,其中每个节点表示一个起点或终点,每条边表示两个节点之间的依赖或联系。接下来,通过给图中的每条边赋予一个边权重值,用于计算最短距离,建立起点和终点之间的基础距离,通过使用当前的网络拓扑结构或者地理位置等因素来计算。然后,通过利用图论算法计算起点和终点之间的最优路径,按照最优路径经过的节点顺序,从起点到终点逐步迭代记录每一个节点的位置以及其他相关信息,最终得到攻击溯源路径。
其中,图论算法的公式如下所示:
式中,为攻击目标数据两节点之间的距离,/>为起点集合,/>为终点集合,/>为起点到终点的所有可能路径集合,/>为起点集合中的第/>个起点数据,/>为终点集合中的第/>个终点数据,/>为静态边/>的权重,/>为与时间/>相关的噪声函数,为起点/>在路径上抵达终点/>的时间间隔,/>为控制噪声对路径长度的影响参数,/>为从节点/>到节点/>的边权重集合,/>为从节点/>到节点/>的边权重集合,/>为/>的调和平滑参数,/>为/>的调和平滑参数,/>为攻击目标数据两节点之间的距离的修正值。
本发明构建了一个图论算法的公式,用于对攻击目标数据进行溯源路径计算,从而获得更准确的攻击溯源路径。该图论算法能够有效计算攻击目标数据之间的最短距离,通过调节参数能够有效控制噪声对路径长度的影响,防止噪声对溯源结果产生不良影响,还通过噪声函数考虑时间维度上的噪声影响,提高了溯源图的鲁棒性,并能够通过调和平滑的方式对边权重进行平滑处理,最终得到攻击溯源路径,为后续的构造APT攻击溯源图和攻击关系链提取提供基础。该算法公式充分考虑了起点集合,终点集合/>,起点到终点的所有可能路径集合/>,起点集合中的第/>个起点数据/>,终点集合中的第/>个终点数据/>,静态边/>的权重/>,与时间/>相关的噪声函数/>,起点/>在路径上抵达终点/>的时间间隔/>,控制噪声对路径长度的影响参数/>,并求其最短距离,通过以上参数之间的关系构成了一种控噪路径积分函数关系/>,还考虑了通过调和平滑的方式对边权重进行平滑处理/>,其中包括从节点/>到节点/>的边权重集合/>,从节点/>到节点/>的边权重集合/>,/>的调和平滑参数/>,/>的调和平滑参数/>,根据攻击目标数据两节点之间的距离/>与以上各参数之间的相互关系构成了一种函数关系/>,实现了对攻击目标数据的溯源路径计算,同时,通过攻击目标数据两节点之间的距离的修正值/>的引入可以根据实际情况进行调整,从而提高图论算法的适用性和稳定性。
步骤S42:利用攻击溯源路径生成APT攻击溯源图,其中APT攻击溯源图包括攻击行为和攻击链。
本发明实施例通过将得到的攻击溯源路径转化为APT攻击溯源图,其中每一个节点代表一个攻击行为,每一条边代表两个攻击行为之间的关联关系,并在APT攻击溯源图中,对每一个节点进行标记,标记其攻击类型、攻击时间、攻击者IP地址等关键信息,根据攻击行为之间的关联,将APT攻击溯源图分为多个攻击链,每个攻击链代表一个攻击行为的具体过程。
步骤S43:通过预设的基于图结构的神经网络模型对APT攻击溯源图中的攻击行为进行模型训练和自主学习,并提取攻击链的关系特征,得到攻击关系链。
本发明实施例通过构建基于图结构的神经网络模型,其中节点表示APT攻击溯源图中的攻击行为,边表示攻击行为之间的关系,自主学习攻击行为之间的关系,在训练神经网络模型时,采用行为损失函数进行模型优化,将APT攻击溯源图中攻击行为节点输入已训练好的神经网络模型,并提取攻击链的关系特征,得到攻击关系链。
本发明利用图论算法对攻击目标数据进行溯源路径计算,可以针对攻击目标数据建立攻击溯源路径,从而能够追溯到攻击的源头,确定攻击者的身份和攻击的动机和手段等关键信息,为后续的防御策略分析和决策提供重要的数据支持。利用攻击溯源路径生成APT攻击溯源图,通过对攻击溯源路径的分析和处理,可以在攻击溯源图中标示出攻击行为和攻击链,并通过建立节点和边的关系,直观地揭示出攻击者的攻击思路和目标,为后续攻击关系分析和防御策略制定提供关键性的数据支持。通过预设的基于图结构的神经网络模型进行模型训练和自主学习,可以有效地识别出攻击溯源图中的攻击行为,并提取攻击链的关系特征,从而将APT攻击溯源图转化为攻击关系链。攻击关系链具有良好的可解释性和可视化性,能够为安全分析人员提供直观的数据支持,帮助他们更好地理解攻击者的攻击思路和目的,及时采取相应的安全防御措施。
优选地,步骤S43包括以下步骤:
步骤S431:对APT攻击溯源图中的攻击行为进行数据采集,得到攻击行为初始数据;对攻击行为初始数据进行降噪处理,得到攻击行为数据;
步骤S432:构建基于图结构的神经网络模型,将攻击行为数据输入至神经网络模型中进行训练,并通过行为损失函数对模型参数进行优化调整,得到最优图神经网络模型;
其中,行为损失函数的公式如下所示:
式中,为行为损失函数,/>为待优化的模型参数,/>为模型参数的数量,/>为指数函数,/>为第/>个参数样本的/>个特征值,/>为正整数,其取值范围为/>,/>为模型参数对应的特征值数量,/>为模型参数对应特征值的均值,/>为模型参数对应特征值的标准差,为积分项行为损失参数,/>为行为损失函数的修正值;
步骤S433:将攻击行为数据重新输入至最优图神经网络模型中自主学习攻击行为之间的关系,并提取攻击行为对应的攻击链的关系特征,得到攻击关系链。
作为本发明的一个实施例,参考图6所示,为图5中步骤S43的详细步骤流程示意图,在本实施例中步骤S43包括以下步骤:
步骤S431:对APT攻击溯源图中的攻击行为进行数据采集,得到攻击行为初始数据;对攻击行为初始数据进行降噪处理,得到攻击行为数据。
本发明实施例通过对APT攻击溯源图中的攻击行为进行数据采集,从APT攻击溯源图中选择一个攻击行为作为起点,遍历图上所有与之相邻的攻击行为,得到攻击行为初始数据,对得到的攻击行为初始数据进行去除重复数据和去除无关噪声信息数据等处理后,最终得到攻击行为数据。
步骤S432:构建基于图结构的神经网络模型,将攻击行为数据输入至神经网络模型中进行训练,并通过行为损失函数对模型参数进行优化调整,得到最优图神经网络模型。
本发明实施例通过构建基于图结构的神经网络模型,采用GNN模型进行建模,将攻击数据输入至已经建立好的神经网络模型中,通过反向传播算法进行训练,有效地学习攻击行为之间的关系,并使用行为损失函数对模型参数进行优化调整,直至获得最优模型参数,最终得到最优图神经网络模型。
其中,行为损失函数的公式如下所示:
式中,为行为损失函数,/>为待优化的模型参数,/>为模型参数的数量,/>为指数函数,/>为第/>个参数样本的/>个特征值,/>为正整数,其取值范围为/>,/>为模型参数对应的特征值数量,/>为模型参数对应特征值的均值,/>为模型参数对应特征值的标准差,为积分项行为损失参数,/>为行为损失函数的修正值;
本发明构建了一个行为损失函数的公式,用于对基于图结构的神经网络模型,即GNN模型参数进行调优,在通过运用GNN模型对攻击行为数据进行训练时,为了帮助模型尽可能地拟合攻击行为数据,需要使用一个合适的行为损失函数来作为模型参数优化的指标,该公式充分考虑了待优化的模型参数,模型参数的数量/>,第/>个参数样本的/>个特征值/>,其中/>为正整数,取值范围为/>,模型参数对应的特征值数量/>,模型参数对应特征值的均值/>,模型参数对应特征值的标准差/>,积分项行为损失参数/>,并通过高斯核函数积分项/>对其进行加权处理,根据行为损失函数/>与以上各参数之间的相互关系构成了一种指数函数关系,并对其进行归一化处理得到,实现了对基于图结构的神经网络模型参数的调优,同时,通过行为损失函数的修正值/>的引入,可以针对在模型训练时出现的特殊情况进行调整,进一步提高行为损失函数的适用性和稳定性,从而提高基于图结构的神经网络模型的泛化能力和鲁棒性。
步骤S433:将攻击行为数据重新输入至最优图神经网络模型中自主学习攻击行为之间的关系,并提取攻击行为对应的攻击链的关系特征,得到攻击关系链。
本发明实施例通过将攻击行为数据重新输入到经过训练后的最优图神经网络模型中,并通过前向传播过程,自主学习攻击行为之间的关系,提取攻击行为对应攻击链的关系特征,对提取得到的攻击链关系特征进行分析和挖掘,找出其中具有一定攻击意义的关系链,最终将其作为攻击关系链。
本发明通过对APT攻击溯源图中的攻击行为进行数据采集和降噪处理,可以有效地去除噪声数据,提高攻击行为数据的质量和准确性,为后续的攻击行为分析和建模提供可靠的数据基础。构建基于图结构的神经网络模型,可以实现针对APT攻击的高效建模和学习,通过对攻击行为数据的多次迭代训练和优化调整,不断提高神经网络模型的识别和预测能力,从而能够更加准确地分析和预测攻击者的攻击行为。通过最优图神经网络模型实现攻击关系链的提取,不仅可以实现对攻击者的攻击行为和目标的识别和分析,还可以通过对攻击行为之间的关系特征提取和分析,有效地揭示攻击者的攻击思路和攻击链,为后续的防御策略制定和安全防御提供有力的数据和技术支持。
优选地,步骤S5包括以下步骤:
步骤S51:根据路径分析算法对攻击关系链进行标志识别处理,得到攻击路径。
本发明实施例通过路径分析算法对攻击关系链中每个攻击行为的攻击路径进行识别和标志,了解发出该攻击行为的攻击者的行动方式和攻击路径,识别攻击者的攻击手段和攻击路线,最终得到攻击路径。
步骤S52:通过关联规则挖掘算法对攻击关系链进行推断挖掘,挖掘攻击关系链之间的攻击关联关系,得到攻击方法。
本发明实施例通过利用Apriori关联规则挖掘算法对攻击关系链中每个攻击节点的关联关系进行挖掘,推断攻击行为之间的关联规则和模式,有效地发现隐藏在攻击行为中的规律和模式。并了解攻击者的行为动机和攻击方式,最终得到攻击方法。
步骤S53:通过对攻击路径和攻击方法进行关联分析,推断攻击行为之间的依赖性和关联性,揭示潜在的攻击规律,以得到攻击规则信息。
本发明实施例通过对得到的攻击路径和攻击方法进行关联分析,获得攻击路径中攻击行为的依赖关系以及攻击方法中攻击行为的关联关系,根据攻击路径中攻击行为的依赖关系和攻击方法中攻击行为的关联关系,推断出攻击行为之间的依赖性和关联性,通过攻击行为之间的依赖性和关联性揭示潜在的攻击规律,例如攻击者的攻击模式、攻击顺序、攻击目标的选择等,最终得到攻击规则信息。
本发明通过路径分析算法可以对攻击关系链进行识别和分析,根据攻击者在网络中的行动轨迹和攻击路径,推断出攻击者的攻击目标、攻击手段和攻击策略等信息,有助于安全分析人员更加全面地了解攻击者的行为方式和攻击思路。关联规则挖掘算法可以挖掘攻击关系链之间的模式和规律,通过分析攻击者的攻击手段和攻击策略,推断出攻击行为之间的依赖性和相互影响关系,为后续的攻击预测、检测和防御等工作提供了有力的数据支持。通过对攻击路径和攻击方法进行关联分析,可以揭示攻击行为之间的复杂关系和内在规律,为安全分析人员提供了直观、客观和全面的数据支持,有助于提高安全分析的精度和准确性。
优选地,步骤S6包括以下步骤:
步骤S61:通过攻击溯源算法对攻击规则信息进行溯源计算,得到攻击溯源度;
其中,攻击溯源算法的公式如下所示:
式中,为在时刻/>的攻击溯源度,/>为攻击行为数量,/>为攻击目标数量,/>为指数函数,/>为时刻/>第/>个攻击行为在攻击路径中所处的位置,/>为时刻/>第/>个攻击目标在攻击路径中所处的位置,/>为攻击持续时间,/>为在时刻/>时的攻击力量,/>为在时刻/>时的准确性,/>为在时刻/>时的暴击率,/>为攻击衰减因子,/>为攻击目标的防御力,/>为攻击目标的闪避能力,/>为攻击溯源度的修正值;
步骤S62:根据预设的攻击异常阈值对攻击溯源度进行行为判断,若攻击溯源度大于或等于预先设置的攻击异常阈值,则判断该攻击溯源度对应的行为为攻击行为,得到报警信号;若小于预先设置的攻击异常阈值,则剔除该攻击溯源度对应的攻击规则信息;
步骤S63:根据报警信号绘制行为图谱,通过对行为图谱进行防御分析以执行相应的防御策略。
作为本发明的一个实施例,参考图7所示,为图1中步骤S6的详细步骤流程示意图,在本实施例中步骤S6包括以下步骤:
步骤S61:通过攻击溯源算法对攻击规则信息进行溯源计算,得到攻击溯源度。
本发明实施例通过对攻击规则信息进行信息采集,采集攻击规则信息中的攻击行为数量、攻击目标数量、攻击行为和攻击目标在攻击路径中所处的位置、攻击力量、准确性、暴击率以及攻击目标的防御力和闪避能力等信息,并通过设置合适的攻击衰减因子与攻击规则信息中的各参数信息计算出攻击溯源度。
其中,攻击溯源算法的公式如下所示:
式中,为在时刻/>的攻击溯源度,/>为攻击行为数量,/>为攻击目标数量,/>为指数函数,/>为时刻/>第/>个攻击行为在攻击路径中所处的位置,/>为时刻/>第/>个攻击目标在攻击路径中所处的位置,/>为攻击持续时间,/>为在时刻/>时的攻击力量,/>为在时刻/>时的准确性,/>为在时刻/>时的暴击率,/>为攻击衰减因子,/>为攻击目标的防御力,/>为攻击目标的闪避能力,/>为攻击溯源度的修正值。
本发明构建了一个攻击溯源算法的公式,用于对攻击规则信息进行溯源计算,从而得到攻击溯源度,通过计算攻击规则信息中攻击路径的攻击行为和攻击目标之间的距离来计算攻击溯源度,这能够更真实地反映出攻击的威胁程度。同时,通过综合考虑攻击行为的力量、准确性、暴击率等因素来计算攻击溯源度,还通过考虑攻击目标的防御力和闪避能力来计算攻击溯源度,能够更真实地反映出攻击的实际影响和威胁。该算法公式充分考虑了攻击行为数量,攻击目标数量/>,时刻/>第/>个攻击行为在攻击路径中所处的位置/>,时刻/>第/>个攻击目标在攻击路径中所处的位置/>,通过以上参数用来计算攻击行为和攻击目标之间的威胁距离构成了一种指数函数关系/>,该算法公式还考虑了攻击持续时间/>,在时刻/>时的攻击力量/>,在时刻/>时的准确性/>,在时刻/>时的暴击率/>,攻击衰减因子/>,攻击目标的防御力/>,攻击目标的闪避能力/>,通过以上参数构成了一种攻击效果在时间的积累影响程度积分函数关系/>,根据在时刻/>的攻击溯源度/>与以上各参数之间的相互关系构成了一种函数关系,实现了对攻击规则信息的溯源计算,同时,通过攻击溯源度的修正值/>的引入可以根据实际情况进行调整,从而提高攻击溯源算法的适用性和稳定性。
步骤S62:根据预设的攻击异常阈值对攻击溯源度进行行为判断,若攻击溯源度大于或等于预先设置的攻击异常阈值,则判断该攻击溯源度对应的行为为攻击行为,得到报警信号;若小于预先设置的攻击异常阈值,则剔除该攻击溯源度对应的攻击规则信息。
本发明实施例根据预设的攻击异常阈值,对通过攻击溯源算法计算得到的攻击溯源度进行比较,若大于或等于预先设置的攻击异常阈值,则该攻击溯源度对应的行为被判定为攻击行为,最终输出报警信号,若小于预先设置的攻击异常阈值,则该攻击溯源度对应的行为被判定为非攻击行为,系统认为该行为为无效行为,将该无效行为对应的攻击规则信息移除。
步骤S63:根据报警信号绘制行为图谱,通过对行为图谱进行防御分析以执行相应的防御策略。
本发明实施例根据报警信号绘制出行为图谱,其中每个节点表示一个攻击目标,每条边表示一次攻击行为,对行为图谱进行统计分析,包括计算每个节点的入度和出度,并通过攻击溯源度计算每条边的权重来判断防御级别,根据统计的防御级别信息制定相应的防御策略,其中防御策略可以包括对攻击目标加强检测、增加网络安全防护设备、加强访问控制权限等防御策略。
本发明通过攻击溯源算法对攻击规则信息进行溯源计算,能够精确地计算出攻击溯源度,从而评估出攻击行为的威胁程度。这有助于安全分析人员及时识别潜在的攻击行为,得到攻击行为的详细信息,进而制定有效的安全防御措施。通过设置攻击异常阈值,能够将正常的网络流量和攻击流量区分开来,并及时发出报警信号。这有助于安全分析人员快速响应,及时处理攻击事件,减少损失和影响。同时,剔除攻击溯源度低的攻击规则信息,可以减少误报情况的出现。通过绘制行为图谱,可以对攻击行为进行可视化处理,使安全分析人员能够更加清晰直观地了解攻击行为的特征和规律,为执行相应的防御策略提供了重要的依据。同时,防御分析过程中,可以根据行为图谱的特征进行有效的分析和推断,找出攻击行为的来源和漏洞,从而制定更加针对性的防御策略。
综上所述,通过利用多种算法和模型相结合的方法建立对APT攻击行为识别的溯源技术,提高了银行信息系统的安全性能和响应能力,同时也提高了分析准确性和处理效率。其中,通过对银行信息系统进行日志采集和格式转换最终得到整体溯源图日志,可以有效地对银行信息系统进行溯源分析,提高银行信息系统的安全性能和防范能力。通过利用日志分类算法模型和重要权度挖掘算法实现对整体溯源图日志数据的快速分类和特征提取,从而提高数据的利用效率和安全性能。同时,还可以为后续的安全溯源分析提供有益的数据支持,方便安全管理人员进行全面的事件追溯和安全审计。通过对日志分类算法模型的构建与优化,可以提高溯源图日志的处理效率和安全性能,为后续的攻击溯源分析提供了实时的数据支持。通过特征提取能够有效提取溯源图日志类型数据的关键特征,并通过重要权度挖掘算法对特征权重进行计算和排序,以得到满足需求的关键特征,为后续数据处理和分析提供有效支持。根据溯源图日志关键特征构建溯源图,再通过门控循环单元算法进行异常行为检测,能够快速检测和定位攻击行为,减少网络安全风险,对信息安全保障具有重要意义。通过图论算法和基于图结构的神经网络模型,对APT攻击进行深入分析和追踪,生成APT攻击溯源图和攻击关系链,为安全分析人员提供直观的数据支持,提高攻击检测和防御能力,降低攻击带来的安全风险和损失。通过路径分析算法和关联规则挖掘算法等技术手段,实现了对APT攻击数据的深入分析和挖掘,有助于安全分析人员及时发现潜在的网络攻击活动,提前做好安全防御和应对准备,同时为后续的安全预测与评价提供了有益的技术支持。最后,通过攻击溯源算法能够有效地分析和识别攻击行为,提高安全分析的精度和准确性。同时,通过绘制行为图谱对攻击行为进行可视化处理,为执行相应的防御策略提供重要的依据。
以上所述仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所发明的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种APT攻击溯源图分析方法,其特征在于,包括以下步骤:
步骤S1:对银行信息系统进行日志采集并利用日志转换算法进行格式转换,得到溯源图统一格式日志,其中所述的日志转换算法函数如下所示:
式中,为日志转换算法函数,/>为银行信息系统日志的数量,/>为日志转换算法的调和平滑参数,/>为银行信息系统日志的参数,/>为第/>个银行信息系统日志,/>为日志转换算法的参数缩放因子,/>为指数函数变换,/>为概率密度函数,/>为日志转换算法的修正值;
构建溯源图日志数据库,对溯源图统一格式日志进行抽取和加工处理并将加工处理后的溯源图统一格式日志保存至溯源图日志数据库中,得到整体溯源图日志;
步骤S2:通过预设的日志分类算法模型对整体溯源图日志进行分类处理,得到溯源图日志类型数据;利用重要权度挖掘算法对溯源图日志类型数据进行关键特征提取,以得到溯源图日志关键特征,其中所述的重要权度挖掘算法函数如下所示:
式中,为溯源图日志类型数据特征中第/>个特征的重要权度,/>为正整数,其取值范围为/>,/>为溯源图的时间跨度,/>为在时间/>中包含溯源图日志类型数据特征中第/>个特征的溯源图数量,/>为在时间/>中溯源图日志类型数据特征中第/>个特征出现的概率,/>为时间影响衰减系数,/>为积分项的贡献系数,/>为积分项时间衰减系数,/>为积分项收敛系数,/>为溯源图日志类型数据特征中第/>个特征在时间/>上的出现概率,/>为重要权度挖掘算法的修正值;
步骤S3:根据溯源图日志关键特征构建溯源图,得到溯源图序列;利用门控循环单元算法对溯源图序列进行异常行为检测,得到攻击目标数据;
步骤S4:利用图论算法对攻击目标数据进行溯源图构建,以生成APT攻击溯源图,其中APT攻击溯源图包括攻击行为和攻击链;通过预设的机器学习算法模型对APT攻击溯源图中的攻击行为进行模型训练和自主学习,并提取攻击链的关系特征,得到攻击关系链;
步骤S5:根据路径分析算法和关联规则挖掘算法相结合的方法识别攻击关系链中的攻击路径和攻击方法,以得到攻击规则信息;
步骤S6:通过攻击溯源算法对攻击规则信息进行溯源计算,得到攻击溯源度;根据预设的攻击异常阈值对攻击溯源度进行行为判断,得到报警信号;根据报警信号绘制行为图谱以执行相应的防御策略。
2.根据权利要求1所述的APT攻击溯源图分析方法,其特征在于,所述步骤S1包括以下步骤:
步骤S11:对银行信息系统进行日志采集,得到银行信息系统日志;
步骤S12:利用日志转换算法对银行信息系统日志进行格式转换,得到溯源图统一格式日志;
步骤S13:构建溯源图日志数据库,对溯源图统一格式日志进行抽取和加工处理并保存至溯源图日志数据库,以生成溯源图日志文件;
步骤S14:获取溯源图日志文件中的信息数据包,根据信息数据包获取与整体溯源图相关的日志,得到整体溯源图日志。
3.根据权利要求1所述的APT攻击溯源图分析方法,其特征在于,所述步骤S2包括以下步骤:
步骤S21:对整体溯源图日志进行日志数据格式转换处理,得到整体溯源图日志数据;
步骤S22:通过预设的基于支持向量机的日志分类算法模型对整体溯源图日志数据进行分类处理,得到溯源图日志类型数据;
步骤S23:利用重要权度挖掘算法对溯源图日志类型数据进行关键特征提取,得到溯源图日志关键特征。
4.根据权利要求3所述的APT攻击溯源图分析方法,其特征在于,所述步骤S22包括以下步骤:
步骤S221:将整体溯源图日志数据划分为训练数据集、验证数据集和测试数据集;
步骤S222:利用支持向量机构建日志分类算法模型,其中日志分类算法模型包括模型训练、模型验证和模型评估;
其中,日志分类算法函数如下所示:
式中,为日志分类算法函数,/>为输入模型的样本数据,/>为模型分类器的权重向量,/>为偏置项,/>为样本数据的第/>个样本的松弛变量,/>为正整数,其取值范围为/>,/>为正则化参数,/>为样本数据的数量,/>为样本数据的第/>个样本的类别标签,/>为向量/>和样本数据的第/>个样本的内积,/>为基于对数归一化的概率密度函数,/>和/>均为调和平滑因子,/>为日志分类算法模型的修正值;
步骤S223:将训练数据集输入至日志分类算法模型进行模型训练,并对模型参数进行优化处理,以得到验证模型;将验证数据集输入至经过参数优化的验证模型进行模型验证,得到测试模型;
步骤S224:通过测试模型对测试数据集中的整体溯源图日志数据进行模型评估,得到优化的日志分类算法模型;将整体溯源图日志数据重新输入至优化的日志分类算法模型进行分类处理,得到溯源图日志类型数据。
5.根据权利要求3所述的APT攻击溯源图分析方法,其特征在于,所述步骤S23包括以下步骤:
步骤S231:对溯源图日志类型数据进行特征提取,得到溯源图日志类型数据特征;
步骤S232:利用重要权度挖掘算法对溯源图日志类型数据特征进行挖掘计算,得到重要权度;
步骤S233:按照从大到小的顺序对重要权度进行排序,选取排名靠前的重要权度对应的溯源图日志类型数据特征作为关键特征,得到溯源图日志关键特征。
6.根据权利要求1所述的APT攻击溯源图分析方法,其特征在于,所述步骤S3包括以下步骤:
步骤S31:对溯源图日志关键特征进行关联分析,得到溯源图日志关键特征之间的关系;通过溯源图日志关键特征之间的关系构建溯源图,以生成溯源图谱;
步骤S32:将溯源图谱按照时间顺序生成序列,得到溯源图序列;
步骤S33:利用门控循环单元算法对溯源图序列进行异常行为检测,得到异常行为检测结果;
其中,门控循环单元算法的公式如下所示:
式中,为门控循环单元算法的更新门,/>为门控循环单元算法的重置门,/>为候选结果,/>为异常行为检测结果,/>为sigmoid激活函数,/>为双曲正切函数,/>为溯源图序列中的第/>个元素,/>为正整数,其取值范围为/>,/>、/>和/>均为更新门/>的权重矩阵,为更新门/>的偏置向量,/>、/>和/>均为重置门/>的权重矩阵,/>为重置门/>的偏置向量,、/>和/>均为候选结果/>的权重矩阵,/>为候选结果/>的偏置向量,/>为时间0到当前时间/>的门控循环单元算法隐藏状态的积分项,/>为点乘运算符,/>为异常行为检测结果的修正值;
步骤S34:通过对异常行为检测结果进行预测分析,得到攻击目标数据。
7.根据权利要求1所述的APT攻击溯源图分析方法,其特征在于,所述步骤S4包括以下步骤:
步骤S41:利用图论算法对攻击目标数据进行溯源路径计算,得到攻击溯源路径;
其中,图论算法的公式如下所示:
式中,为攻击目标数据两节点之间的距离,/>为起点集合,/>为终点集合,/>为起点到终点的所有可能路径集合,/>为起点集合中的第/>个起点数据,/>为终点集合中的第/>个终点数据,/>为静态边/>的权重,/>为与时间/>相关的噪声函数,/>为起点/>在路径上抵达终点/>的时间间隔,/>为控制噪声对路径长度的影响参数,/>为从节点/>到节点/>的边权重集合,/>为从节点/>到节点/>的边权重集合,/>为/>的调和平滑参数,/>为/>的调和平滑参数,/>为攻击目标数据两节点之间的距离的修正值;
步骤S42:利用攻击溯源路径生成APT攻击溯源图,其中APT攻击溯源图包括攻击行为和攻击链;
步骤S43:通过预设的基于图结构的神经网络模型对APT攻击溯源图中的攻击行为进行模型训练和自主学习,并提取攻击链的关系特征,得到攻击关系链。
8.根据权利要求7所述的APT攻击溯源图分析方法,其特征在于,所述步骤S43包括以下步骤:
步骤S431:对APT攻击溯源图中的攻击行为进行数据采集,得到攻击行为初始数据;对攻击行为初始数据进行降噪处理,得到攻击行为数据;
步骤S432:构建基于图结构的神经网络模型,将攻击行为数据输入至神经网络模型中进行训练,并通过行为损失函数对模型参数进行优化调整,得到最优图神经网络模型;
其中,行为损失函数的公式如下所示:
式中,为行为损失函数,/>为待优化的模型参数,/>为模型参数的数量,/>为指数函数,/>为第/>个参数样本的/>个特征值,/>为正整数,其取值范围为/>,/>为模型参数对应的特征值数量,/>为模型参数对应特征值的均值,/>为模型参数对应特征值的标准差,/>为积分项行为损失参数,/>为行为损失函数的修正值;
步骤S433:将攻击行为数据重新输入至最优图神经网络模型中自主学习攻击行为之间的关系,并提取攻击行为对应的攻击链的关系特征,得到攻击关系链。
9.根据权利要求1所述的APT攻击溯源图分析方法,其特征在于,所述步骤S5包括以下步骤:
步骤S51:根据路径分析算法对攻击关系链进行标志识别处理,得到攻击路径;
步骤S52:通过关联规则挖掘算法对攻击关系链进行推断挖掘,挖掘攻击关系链之间的攻击关联关系,得到攻击方法;
步骤S53:通过对攻击路径和攻击方法进行关联分析,推断攻击行为之间的依赖性和关联性,揭示潜在的攻击规律,以得到攻击规则信息。
10.根据权利要求1所述的APT攻击溯源图分析方法,其特征在于,所述步骤S6包括以下步骤:
步骤S61:通过攻击溯源算法对攻击规则信息进行溯源计算,得到攻击溯源度;
其中,攻击溯源算法的公式如下所示:
式中,为在时刻/>的攻击溯源度,/>为攻击行为数量,/>为攻击目标数量,/>为指数函数,/>为时刻/>第/>个攻击行为在攻击路径中所处的位置,/>为时刻/>第/>个攻击目标在攻击路径中所处的位置,/>为攻击持续时间,/>为在时刻/>时的攻击力量,/>为在时刻/>时的准确性,/>为在时刻/>时的暴击率,/>为攻击衰减因子,/>为攻击目标的防御力,/>为攻击目标的闪避能力,/>为攻击溯源度的修正值;
步骤S62:根据预设的攻击异常阈值对攻击溯源度进行行为判断,若攻击溯源度大于或等于预先设置的攻击异常阈值,则判断该攻击溯源度对应的行为为攻击行为,得到报警信号;若小于预先设置的攻击异常阈值,则剔除该攻击溯源度对应的攻击规则信息;
步骤S63:根据报警信号绘制行为图谱,通过对行为图谱进行防御分析以执行相应的防御策略。
CN202310645612.5A 2023-06-02 2023-06-02 一种apt攻击溯源图分析方法 Active CN116366376B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310645612.5A CN116366376B (zh) 2023-06-02 2023-06-02 一种apt攻击溯源图分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310645612.5A CN116366376B (zh) 2023-06-02 2023-06-02 一种apt攻击溯源图分析方法

Publications (2)

Publication Number Publication Date
CN116366376A CN116366376A (zh) 2023-06-30
CN116366376B true CN116366376B (zh) 2023-08-08

Family

ID=86924018

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310645612.5A Active CN116366376B (zh) 2023-06-02 2023-06-02 一种apt攻击溯源图分析方法

Country Status (1)

Country Link
CN (1) CN116366376B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116886379B (zh) * 2023-07-21 2024-05-14 鹏城实验室 网络攻击重构方法、模型的训练方法及相关装置
CN117290659B (zh) * 2023-11-24 2024-04-02 华信咨询设计研究院有限公司 一种基于回归分析的数据溯源方法
CN117560228B (zh) * 2024-01-10 2024-03-19 西安电子科技大学杭州研究院 基于标签和图对齐的流式溯源图实时攻击检测方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114117432A (zh) * 2021-12-07 2022-03-01 上海交通大学 一种基于数据溯源图的apt攻击链还原系统
CN114760140A (zh) * 2022-04-21 2022-07-15 湖南三湘银行股份有限公司 一种基于聚类分析的apt攻击溯源图分析方法及装置
CN115473667A (zh) * 2022-07-26 2022-12-13 杭州数澜科技有限公司 一种基于子图匹配的apt攻击序列检测方法
WO2023090864A1 (ko) * 2021-11-18 2023-05-25 주식회사 엔피코어 악성 이벤트로그 자동분석 장치 및 방법
CN116192477A (zh) * 2023-02-06 2023-05-30 复旦大学 一种基于掩码图自编码器的apt攻击检测方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023090864A1 (ko) * 2021-11-18 2023-05-25 주식회사 엔피코어 악성 이벤트로그 자동분석 장치 및 방법
CN114117432A (zh) * 2021-12-07 2022-03-01 上海交通大学 一种基于数据溯源图的apt攻击链还原系统
CN114760140A (zh) * 2022-04-21 2022-07-15 湖南三湘银行股份有限公司 一种基于聚类分析的apt攻击溯源图分析方法及装置
CN115473667A (zh) * 2022-07-26 2022-12-13 杭州数澜科技有限公司 一种基于子图匹配的apt攻击序列检测方法
CN116192477A (zh) * 2023-02-06 2023-05-30 复旦大学 一种基于掩码图自编码器的apt攻击检测方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Meicong Li et al ; .The optimized attribute attack graph based on APT attack stage model.IEEE.2016,第2781-2785页. *

Also Published As

Publication number Publication date
CN116366376A (zh) 2023-06-30

Similar Documents

Publication Publication Date Title
CN116366376B (zh) 一种apt攻击溯源图分析方法
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
CN102098180B (zh) 一种网络安全态势感知方法
US8028061B2 (en) Methods, systems, and computer program products extracting network behavioral metrics and tracking network behavioral changes
Saxena et al. Intrusion detection in KDD99 dataset using SVM-PSO and feature reduction with information gain
An et al. Data integrity attack in dynamic state estimation of smart grid: Attack model and countermeasures
CN109117641A (zh) 一种基于i-hmm的网络安全风险评估方法
CN117220978B (zh) 一种网络安全运营模型量化评估系统及评估方法
Bateni et al. Using Artificial Immune System and Fuzzy Logic for Alert Correlation.
Shakeela et al. Optimal ensemble learning based on distinctive feature selection by univariate ANOVA-F statistics for IDS
Kim et al. Cost-effective valuable data detection based on the reliability of artificial intelligence
CN114547608A (zh) 一种基于降噪自编码核密度估计的网络安全态势评估方法
CN117692242A (zh) 一种基于图谱分析的网络攻击路径分析方法
Wang et al. Embedding learning with heterogeneous event sequence for insider threat detection
CN116776334A (zh) 一种基于大数据的办公软件漏洞分析方法
Salazar et al. Monitoring approaches for security and safety analysis: application to a load position system
CN110737890A (zh) 一种基于异质时序事件嵌入学习的内部威胁检测系统及方法
CN114039837B (zh) 告警数据处理方法、装置、系统、设备和存储介质
CN116366277A (zh) 一种信息融合的网络安全态势评估方法
Kumar A Big Data Analytical Framework for Intrusion Detection Based On Novel Elephant Herding Optimized Finite Dirichlet Mixture Models
Wu et al. An integrated cyber security monitoring system using correlation-based techniques
Balakin et al. Detection of computer attacks using outliner method
CN117521042B (zh) 基于集成学习的高危授权用户识别方法
KR102111136B1 (ko) 대응지시서를 생성하고, 적용 결과를 분석하는 방법, 감시장치 및 프로그램
CN117473571B (zh) 一种数据信息安全处理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant