CN116405275A - 一种基于网络空间探测行为的攻击组织动态识别方法 - Google Patents

Abstract

本发明提出一种基于网络空间探测行为的攻击组织动态识别方法。利用开源网络空间探测工具对暴露在互联网上的工控设备进行扫描，形成参考网络攻击流量集；以流量会话为基本单元对网络攻击流量进行分割，并提取包含所有工控流量的特征向量的攻击模式；建立攻击模式的多分类模型，并建立新类别判定机制和自更新判定机制，使多分类模型具有自扩展和自更新功能；建立攻击组织识别机制，使其能够根据攻击者IP和多分类模型分类及判定结果判定攻击者所属组织。本方法能够在威胁情报信息缺失的情况下，准确、动态的识别已有及未知攻击组织，使网络防御者能够在攻击事件发生之前，提前掌握攻击组织信息。

Description

一种基于网络空间探测行为的攻击组织动态识别方法

技术领域

本发明涉及工业控制系统网络安全领域，具体说是一种基于网络空间探测行为的攻击组织动态识别方法。

背景技术

随着工业互联网等概念的推出，工业控制系统与信息化系统的融合程度不断加深，推动着传统工业逐渐走向网络化、数字化和智能化。随之而来，工业控制系统的安全问题受到了前所未有的关注。如何实现对攻击组织的深度挖掘，尤其是在攻击实施的早期进行识别，已经成为学术界和产业界关注的难点问题。

目前攻击组织的识别问题仍处于后知后觉的阶段，即通常由网络安全公司在工业企业遭受攻击事件后，基于网络攻击模型(如STRIDE、CyberKillChain、ATT&CK、CAPEC等模型)，通过对各类安全产品上报的日志和告警信息进行复盘总结，来挖掘出潜伏的攻击组织。然而，按照杀伤链模型的七个阶段，即侦察、武器化、投放、漏洞利用、安装、命令与控制、在目标上操作，攻击组织通常在攻击的第一阶段便开始在网络上执行攻击对象的侦察任务，这也是在外部网络空间发现攻击组织行动痕迹的最佳阶段，而分布式工控蜜网在此方面具有独特优势。通过部署在公网上的分布式工控蜜网能够捕获大量针对暴露工控设备的探测行为，此类探测行为能够较好的反映攻击者的攻击目的和攻击工具的攻击模式，进而为攻击组织识别提供依据。随着分布式工控蜜网的逐渐部署和攻击流量的不断积累，如何基于网络空间探测行为实现对于攻击组织的准确识别已成为一个迫切需要解决的问题。

现阶段，基于网络空间探测行为的攻击组织识别方法主要包括两类，一类是利用机器学习方法基于探测行为的相关攻击流量建立分类模型，实现对于攻击模式的分类，并以攻击模式划分攻击组织，该类方法的主要问题在于难以识别包含多种攻击工具(通常具有不同的攻击模式)的攻击组织；另一类是基于威胁情报的攻击组织识别方法，该类方法以蜜网捕获的攻击者IP为基础利用网络爬虫获取相关信息，进而确定哪些IP属于同一个攻击组织，该方法虽然准确性较高，但当前面临的主要问题是威胁情报缺失，尤其是有关攻击者的威胁情报更加难以获得。

发明内容

针对现有技术不足，本发明提出一种基于网络空间探测行为的攻击组织动态识别方法，其目的在于解决威胁情报信息缺失情况下如何精准识别来自外部网络的攻击组织的问题，相比于目前的基于攻击模式的识别方法，提高了准确性。

本发明为实现上述目的所采用的技术方案是：

一种基于网络空间探测行为的攻击组织动态识别方法，包括以下步骤：

利用开源网络空间探测工具对暴露在互联网上的工控设备进行扫描，得到网络攻击流量集，并将开源网络空间探测工具作为类别标签；

以流量会话为基本单元对网络攻击流量集进行分割，从流量会话中提取攻击模式AP，构成攻击模式集；

利用One-Vs-One算法和无参有监督二分类算法建立基于攻击模式的多分类模型，并利用攻击模式集对其进行训练；

为多分类模型建立新类别判定机制；

为多分类模型建立自更新判定机制；

以C类网段和多分类模型输出的攻击模式类别作为攻击组织的识别依据，建立攻击组织识别机制，以识别网络空间中的攻击组织。

所述攻击模式集为攻击模式AP构成的集合，攻击模式AP由流量会话中所有工控流量的特征向量构成，表示为：

AP＝{A₁,A₂,…,A_m}

其中，A_i表示工控流量的特征向量，i＝1,2，…，m，m表示特征向量的个数，所述工控流量为包含工控协议请求数据的数据报文，A_i表示为：

A_i＝{a₁,a₂,…,a_q}

其中，a_i表示具体的特征属性，q表示特征属性个数。

所述多分类模型MC采用投票机制，票数最多的类别被判定为最终输出类别，表示为：

MC＝{M₁,M₂,…,M_p}

其中，M_i表示一个无参有监督二分类模型，i＝1,2，…，p，p＝n(n-1)/2表示二分类模型的总个数，n为类别总数。

所述新类别判定机制包括阈值判定和模型判定两个判定步骤，当新的攻击模式同时通过两个判定时，则认为新的攻击模式代表了新的类别，并使用该攻击模式创建对应的新二分类模型，以扩展多分类模型。

所述阈值判定包括攻击模式指纹判定和平均特征向量判定两个子判定条件，且二者为“或”关系，即二者之一成立则阈值判定通过。

所述攻击模式指纹判定表示为：

其中，APF表示测试攻击模式的指纹，且攻击模式初始被多分类模型分为C_i类别，APF_ij表示类别C_i中的第j个攻击模式指纹，dist()表示向量间的欧几里得距离，d_min()表示APF与类别C_i中所有攻击模式指纹间的最小距离，D_fin表示指纹阈值，APF表示为：

APF＝{V₁,V₂,…,V_n}

其中，V_i表示攻击模式属于类别C_i的平均票数，i＝1,2，…，n，表示为：

其中，v_ji表示特征向量A_j属于类别C_i的票数，表示为：

其中，m_k表示一个二分类模型的分类结果，p_k表示分类结果m_k对应的概率，I_i为指示函数，当m_k为i时，I_i值为1，否则值为0。

平均特征向量判定表示为：

其中，D_vec表示向量阈值，AFV表示测试攻击模式的平均特征向量，AFV_ij表示类别C_i中的第j个攻击模式的平均特征向量，AFV表示为：

AFV＝{AF₁,AF₂,…,AF_q}

其中，AF_i表示AFV的第i个平均属性，i＝1,2，…，q，表示为：

其中，a_ji表示攻击模式的第j个特征向量的第i个属性。

所述模型判定具体为：

将攻击模式作为新的类别，用于生成新的二分类模型，并添加到已有多分类模型中；若扩展后的多分类模型能够正确分类该攻击模式，则通过模型判定。

所述自更新判定为：

其中，D_up表示更新阈值，|C_i|表示类别C_i所拥有的平均特征向量的数量，U表示用于控制攻击模式的更新比例的更新系数，μ为更新系数函数。

所述攻击组织识别机制，具体为：

1)建立攻击组织集合AO：

AO＝{O₁,O₂,…,O_l}

其中，O_j表示一个攻击组织，j＝1,2…，l，l为攻击组织个数，O_j表示为：

O_j＝＜C_j,S_j,D_j＞

其中，C_j表示O_j所属的标签类别，S_j表示O_j包含的C类网段集合，表示为：

S_j＝{s₁,s₂,…,s_x}

其中，x表示C类网段个数，D_j表示O_j包含的完整IP地址集合，表示为：

D_j＝{d₁,d₂,…,d_y}

其中，y表示完整IP地址个数；

2)对于一个输入的攻击模式AP_i，提取其C类网段s_i，完整IP地址d_i和多分类模型的分类结果c_i；

3)判断s_i是否属于攻击组织集合中的某个攻击组织O_j，若属于某个攻击组织O_j，则判断c_i是否与O_j类别一致，并执行步骤4)，否则，执行步骤8)；

4)若c_i与O_j类别一致，则判断O_j的类别C_j是否为开源网络空间探测工具所属类别，并执行步骤5)，否则，执行步骤7)；

5)若C_j为开源网络空间探测工具所属类别，则判断AP_i是否通过新类别判定，并执行步骤6)，否则，判定d_i属于O_j；

6)若AP_i通过新类别判定，则将攻击组织O_j从所属开源网络空间探测工具类别中移出，与AP_i合并成新的类别，并为其创建新的二分类模型和攻击组织；否则，判定d_i属于O_j；

7)判断c_i是否为开源网络空间探测工具所属类别，若c_i为开源网络空间探测工具所属类别，则判定d_i属于O_j；否则，将c_i对应的攻击组织O_i与O_j进行合并，同时将O_i和O_j对应的二分类模型进行合并；

8)判断AP_i是否通过新类别判定，若通过新类别判定，则为AP_i创建新的二分类模型和攻击组织；否则，判断c_i是否为开源网络空间探测工具所属类别；

9)若c_i为开源网络空间探测工具所属类别，则以C类网段s_i为依据为其创建新的攻击组织；否则，判定d_i属于c_i对应的攻击组织O_i。

本发明具有以下有益效果及优点：

1.基于对网络空间探测行为的深入分析，建立以流量会话为基本单元、包含所有工控流量的特征向量的攻击模式，能够更加深入全面的刻画网络空间探测行为的行为特征，更有利于区分不同攻击组织所使用的网络空间探测工具；

2.建立的具有自扩展和自更新功能的攻击模式多分类模型，能够在无需人工参与的情况下，自动识别开源网络空间探测工具以外的新型网络空间探测工具，且可利用后续攻击模式不断丰富已有二分类模型并防止多分类模型的快速膨胀；

3.所提攻击组织识别机制利用属于同一个C类网段的攻击者通常来自于同一个攻击组织的特性，有效弥补了以往仅以攻击模式或威胁情报作为攻击组织评定依据的不足，能够挖掘出攻击模式多样、成员较多的复杂攻击组织。

附图说明

图1是本发明方法的流程示意图；

图2是本发明实施例中开源探测工具Plcscan产生的流量会话；

图3是本发明实施例中多分类模型示意图；

图4是本发明实施例中新类别判定流程示意图；

图5是本发明实施例中多分类模型的扩展示意图；

图6是本发明实施例中攻击组织识别流程示意图。

具体实施方式

以下结合附图和具体实施方案对本发明作进一步的详细说明，但不作为对本发明技术方案的限定。

本发明提供的一种基于网络空间探测行为的攻击组织动态识别方法的总体流程如图1所示，包括以下步骤：

1)利用开源网络空间探测工具对暴露在互联网上的工控设备进行扫描，形成参考网络攻击流量集，并以对应开源网络空间探测工具作为类别标签；

2)以流量会话为基本单元对网络攻击流量进行分割，从流量会话中提取攻击模式，形成攻击模式集，其中提取的攻击模式由流量会话中所有工控流量的特征向量构成；

3)利用One-Vs-One(OVO)算法和无参有监督二分类算法(如CART算法、随机森林算法、SVM算法等)建立具有自扩展和自更新功能的攻击模式多分类模型，并以步骤2)生成的攻击模式集作为训练数据集进行训练；

4)为步骤3)生成的多分类模型建立新类别判定机制，其主要目的在于发现多分类模型之外的新类型攻击工具，具体包括阈值判定和模型判定两个判定步骤，当新的攻击模式同时通过两个判定时，则认为新的攻击模式代表了新的类别，并用于创建对应的新二分类模型来扩展多分类模型；

5)为步骤3)生成的多分类模型建立自更新判定机制，其主要目的在于不断丰富已有二分类模型并防止多分类模型快速膨胀，当新的攻击模式未通过新类别判定，被判定为已有类别时，则对其进行自更新判定，若通过判定，则将其作为新的训练数据用于更新所属类别对应的二分类模型；

6)以C类网段(即在IP地址的4段号码中，前3段号码组成的网络号码)和攻击模式类别作为攻击组织的识别依据，建立攻击组织识别机制；

所述步骤2)中的流量会话被定义为：对于一对给定的主机，彼此之间时间间隔在T_aggreg内的所有流量连接将被聚合到同一个流量会话中，其中当传输层协议为TCP协议时，流量连接即指TCP连接，当传输层协议为UDP协议时，流量连接则指单个网络数据报文。

所述步骤2)中的攻击模式(AP)表示为：

AP＝{A₁,A₂,…,A_m}

其中，A_i表示工控流量的特征向量，m表示特征向量的个数，其中工控流量指包含工控协议请求数据的数据报文，A_i表示为：

A_i＝{a₁,a₂,…,a_q}

其中，a_i表示具体的特征属性，q表示特征属性个数。

所述步骤3)中的多分类模型(MC)表示为：

MC＝{M₁,M₂,…,M_p}

其中，M_i表示一个无参有监督二分类模型，p＝n(n-1)/2表示二分类模型的总个数，n为类别总数。多分类模型采用投票机制，票数最多的类别被判定为最终输出类别。

所述步骤4)中的阈值判定包括攻击模式指纹判定和平均特征向量判定两个子判定条件，且二者为“或”关系，即二者之一成立则阈值判定通过。

所述攻击模式指纹判定表示为：

其中，D_fin表示指纹阈值，APF表示攻击模式的指纹，且攻击模式初始被多分类模型分为C_i类别，dist()表示向量间的欧几里得距离，APF表示为：

APF＝{V₁,V₂,…,V_n}

其中，V_i表示攻击模式属于类别C_i的平均票数，表示为：

其中，v_ji表示特征向量A_i属于类别C_i的票数，表示为：

其中，其中，m_k表示一个二分类模型的分类结果，p_k表示分类结果m_k对应的概率，I_i为指示函数。

所述平均特征向量判定表示为：

其中，D_vec表示向量阈值，AFV表示攻击模式的平均特征向量，表示为：

AFV＝{AF₁,AF₂,…,AF_q}

其中，AF_i表示AFV的第i个平均属性，表示为：

其中，a_ji表示攻击模式的第j个特征向量的第i个属性。

所述步骤4)中的模型判定表示，将攻击模式作为新的类别，用于生成新的二分类模型，并添加到已有多分类模型中；若扩展后的多分类模型能够正确分类该攻击模式，则通过模型判定；

所述步骤5)中的自更新判定表示为：

其中，D_up表示更新阈值，|C_i|表示类别C_i所拥有的平均特征向量的数量，U表示更新系数，用于控制攻击模式的更新比例。

所述步骤6)中的攻击组织识别机制包括以下步骤：

6.1)建立攻击组织集合(AO)：

AO＝{O₁,O₂,…,O_l}

其中，O_j表示一个攻击组织，表示为：

O_j＝＜C_j,S_j,D_j＞

其中，C_j表示O_j所属的标签类别，S_j表示O_j包含的C类网段集合，表示为：

S_j＝{s₁,s₂,…,s_l}

D_j表示O_j包含的完整IP地址集合，表示为：

D_j＝{d₁,d₂,…,d_l}

6.2)对于一个输入的攻击模式AP_i，提取其C类网段s_i，完整IP地址d_i和多分类模型的分类结果c_i；

6.3)判断s_i是否属于攻击组织集合中的某个攻击组织；

6.4)若属于某个攻击组织O_j，则判断c_i是否与O_j类别一致；

6.5)若c_i与O_j类别一致，则判断O_j的类别C_j是否为开源网络空间探测工具所属类别；

6.6)若C_j为开源网络空间探测工具所属类别，则判断AP_i是否通过新类别判定；

6.7)若AP_i通过新类别判定，则将攻击组织O_j从所属开源网络空间探测工具类别中移出，与AP_i合并成新的类别，并为其创建新的二分类模型和攻击组织；否则，则判定d_i属于O_j；

6.8)若C_j不为开源网络空间探测工具所属类别，则判定d_i属于O_j；

6.9)若c_i与O_j类别不一致，则判断c_i是否为开源网络空间探测工具所属类别；

6.10)若c_i为开源网络空间探测工具所属类别，则判定d_i属于O_j；否则，将c_i对应的攻击组织O_i与O_j进行合并，同时将O_i和O_j对应的二分类模型进行合并；

6.11)若s_i不属于攻击组织集合，则判断AP_i是否通过新类别判定；

6.12)若通过新类别判定，则为AP_i创建新的二分类模型和攻击组织；否则，判断c_i是否为开源网络空间探测工具所属类别；

6.13)若c_i为开源网络空间探测工具所属类别，则以C类网段s_i为依据为其创建新的攻击组织；否则，判定d_i属于c_i对应的攻击组织O_i。

实施例

本实施例以Modbus工控协议为例，具体包括如下步骤：

步骤1：利用开源网络空间探测工具对暴露在互联网上的工控设备进行扫描，形成参考网络攻击流量集，并以对应开源网络空间探测工具作为类别标签，得到的数据集信息如下：

表1网络空间探测数据集

步骤2：以流量会话为基本单元对网络攻击流量进行分割，从流量会话中提取攻击模式，形成攻击模式集，对于表1中网络攻击流量以T_aggreg＝100秒进行分割和特征提取，得到如下攻击模式表示形式：

其中，Seq_i表示在一个流量连接内工控协议请求数据报文的序号，Res_i指示该数据报文是否得到了应答，Pro_i表示传输层协议的类型，包括TCP和UDP，Len_i表示该数据报文的长度，Dep_i表示一个流量连接中工控协议请求数据报文的总数量，CNo_i表示一个流量会话中当前流量连接的序号，CTo_i表示一个流量会话中流量连接的总数量，Tra_i、Uni_i和Fun_i分别与Modbus协议中的“Transaction Identifier”、“Unit Identifier”和“Function Code”字段对应，Pre_i是指前一个工控协议请求数据报文的Uni_i-1值，i≤1时，其默认值为-1。以探测工具Plcscan产生的一个流量会话为例，如图2所示，其对应的攻击模式如下：

步骤3：利用One-Vs-One(OVO)算法和无参有监督二分类算法(以CART算法为例)建立具有自扩展和自更新功能的攻击模式多分类模型，以步骤2)生成的攻击模式集作为训练数据集进行训练，如图3所示，其具体表示形式如下:

MC＝{M₁,M₂,…,M₂₁}

其中，M₁表示类别1和类别2构成的一个CART决策树，M₂表示类别1和类别3构成的一个CART决策树，M₂₁表示类别6和类别7构成的一个CART决策树，以此类推。由攻击模式可知，一个CART决策树的输入为包含11维元素的特征向量，输出为以概率形式表示的判定类别，如M₁的输出＜1,0.9＞表示判定类别为1，判定概率为0.9。最后，多分类模型采用投票机制，票数最多的类别被判定为最终输出类别。

步骤4：为步骤3)生成的多分类模型建立新类别判定机制，具体判定流程如图4所示。当类别总数为7个时，得到如下攻击模式指纹表示形式：

APF＝{V₁,V₂,V₃,V₄,V₅,V₆,V₇}

通过对实验数据的分析，当指纹阈值D_fin在[1.6,2.8]范围内取值时，将取得较好的分类效果，以D_fin等于1.9为例，当类别7对应的攻击模式指纹集如下：

若被分类攻击模式对应的指纹为：

APF₁＝{4,2,2,0,0,6,7}

由于d_min(APF₁,C₇)＝1.41＜1.9，因此未通过攻击模式指纹判定。若被分类攻击模式对应的指纹为：

APF₂＝{4,1,3,0,0,6,7}

由于d_min(APF₂,C₇)＝2.83＞1.9，因此通过攻击模式指纹判定。由于平均特征向量判定过程与攻击模式指纹判定过程类似，不再赘述。此外，当向量阈值D_vec在[0.1,0.9]范围内取值时，将取得较好的分类效果。

多分类模型的扩展过程如图5所示，当被分类攻击模式重新输入到新多分类模型，且被判定为新的类别时，则通过模型判定。此外，被扩展的多分类模型由于类别总数增加，因此需要利用新产生的二分类模型对已有多分类模型的训练数据进行分类，并利用分类结果对训练数据的攻击模式指纹进行更新。

步骤5：为步骤3)生成的多分类模型建立自更新判定机制，当被分类攻击模式未通过新类别判定，被判定为已有类别时，则对其进行自更新判定。通过对实验数据的分析，当更新系数U在[10，30]范围内取值时，将取得较好的分类效果，以U等于20、D_vec等于0.9为例，当类别7对应的平均特征向量集如下：

若被分类攻击模式对应的平均特征向量为：

AFV₁＝{1,0,1,65,1,2,2,0,0,-1,43}

由于d_min(AFV₁,C₇)＝0＜D_vec＝0.135，因此未通过自更新判定。若被分类攻击模式对应的平均特征向量为：

AFV₂＝{1,0,1,64,1,2,2,0,0,-1,43}

由于d_min(AFV₂,C₇)＝1＞D_vec＝0.135，因此通过自更新判定，则将被用于更新类别7对应的二分类模型，相应的类别7对应的平均特征向量集变为：

步骤6：以C类网段和攻击模式类别作为攻击组织的识别依据，建立攻击组织识别机制，其具体识别过程如图6所示。

步骤6.1：建立攻击组织集合(AO)。由于初始无攻击组织输入，因此攻击组织集合为空：

对于识别过程中可能出现的各种情况，以其中3种最为典型的案例进行说明，并对相关操作原因进行简要说明，其余情况可由上述3种情况类比推导，不再赘述。

案例一：为AP₁创建新的二分类模型和攻击组织

步骤6.2：对于第一个输入的攻击模式AP₁，其相关信息可表示为一个三元组，即＜s₁,d₁,c₁＞；

步骤6.3：判断s₁是否属于攻击组织集合中的某个攻击组织，显然不属于，进入步骤6.11；

步骤6.11：判断AP₁是否通过新类别判定，假设通过判定，则进入步骤6.12；

步骤6.12：为AP₁创建新的二分类模型和攻击组织。由于没有攻击组织能够通过C类网段与AP₁进行匹配，且AP₁代表了新的攻击模式种类，因此为其创建新的二分类模型(第8类)和攻击组织，同时更新攻击组织集合：

AO＝{O₁}，

O₁＝＜C₁,S₁,D₁＞,C₁＝8,S₁＝{s₁},D₁＝{d₁}

案例二：以C类网段为依据为d₂创建新的攻击组织

步骤6.2：对于第二个输入的攻击模式AP₂，其相关信息可表示为一个三元组，即＜s₂,d₂,c₂＞；

步骤6.3：判断s₂是否属于攻击组织集合中的某个攻击组织，假设不属于，即s₂≠s₁，进入步骤6.11；

步骤6.11：判断AP₂是否通过新类别判定，假设未通过判定，则进入步骤6.13；

步骤6.13：假设c₂为开源网络空间探测工具所属类别2，则以C类网段s₂为依据为其创建新的攻击组织。由于没有攻击组织能够通过C类网段与AP₂进行匹配，且AP₂被判定为开源网络空间探测工具所属类别，而属于不同C类网段的攻击组织皆可利用开源工具进行探测，因此开源工具类别不能作为攻击组织识别标准。因此，对于被分类为开源工具类别的攻击模式，进一步以C类网段进行攻击组织划分，即为d₂创建新的攻击组织，同时更新攻击组织集合：

AO＝{O₁,O₂}，

O₁＝＜C₁,S₁,D₁＞,C₁＝8,S₁＝{s₁},D₁＝{d₁}

O₂＝＜C₂,S₂,D₂＞,C₂＝2,S₂＝{s₂},D₂＝{d₂}

案例三：为AP₃和O₂创建新的二分类模型和攻击组织

步骤6.2：对于第三个输入的攻击模式AP₃，其相关信息可表示为一个三元组，即＜s₂,d₃,c₃＞，显然AP₃与AP₂属于同一个C类网段s₂；

步骤6.3：判断s₂是否属于攻击组织集合中的某个攻击组织，显然属于攻击组织O₂，进入步骤6.4；

步骤6.4：判断c₃是否与O₂类别一致，假设一致，即同属于类别2，进入步骤6.5；

步骤6.5：判断O₂的类别C₂是否为开源网络空间探测工具所属类别，显然属于，进入步骤6.6；

步骤6.6：判断AP₃是否通过新类别判定，假设通过，进入步骤6.7；

步骤6.7：为AP₃和O₂创建新的二分类模型和攻击组织。虽然，AP₂初始被判定属于类别2，但其同一攻击组织内的AP₃被判定为新类别，其可能原因包括攻击组织对已有开源探测工具进行了修改或使用了新型探测工具，因此体现出了新的攻击模式。因此，为AP₃和O₂创建新的二分类模型(第9类)和攻击组织，同时更新攻击组织集合：

AO＝{O₁,O₃}，

O₁＝＜C₁,S₁,D₁＞,C₁＝8,S₁＝{s₁},D₁＝{d₁}

O₃＝＜C₃,S₃,D₃＞,C₃＝9,S₃＝{s₂},D₃＝{d₂,d₃}

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1.一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，包括以下步骤：

利用开源网络空间探测工具对暴露在互联网上的工控设备进行扫描，得到网络攻击流量集，并将开源网络空间探测工具作为类别标签；

以流量会话为基本单元对网络攻击流量集进行分割，从流量会话中提取攻击模式AP，构成攻击模式集；

利用One-Vs-One算法和无参有监督二分类算法建立基于攻击模式的多分类模型，并利用攻击模式集对其进行训练；

为多分类模型建立新类别判定机制；

为多分类模型建立自更新判定机制；

以C类网段和多分类模型输出的攻击模式类别作为攻击组织的识别依据，建立攻击组织识别机制，以识别网络空间中的攻击组织。

2.根据权利要求1所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述攻击模式集为攻击模式AP构成的集合，攻击模式AP由流量会话中所有工控流量的特征向量构成，表示为：

AP＝{A₁,A₂,…,A_m}

其中，A_i表示工控流量的特征向量，i＝1,2，…，m，m表示特征向量的个数，所述工控流量为包含工控协议请求数据的数据报文，A_i表示为：

A_i＝{a₁,a₂,…,a_q}

其中，a_i表示具体的特征属性，q表示特征属性个数。

3.根据权利要求1所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述多分类模型MC采用投票机制，票数最多的类别被判定为最终输出类别，表示为：

MC＝{M₁,M₂,…,M_p}

其中，M_i表示一个无参有监督二分类模型，i＝1,2，…，p，p＝n(n-1)/2表示二分类模型的总个数，n为类别总数。

4.根据权利要求1所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述新类别判定机制包括阈值判定和模型判定两个判定步骤，当新的攻击模式同时通过两个判定时，则认为新的攻击模式代表了新的类别，并使用该攻击模式创建对应的新二分类模型，以扩展多分类模型。

5.根据权利要求4所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述阈值判定包括攻击模式指纹判定和平均特征向量判定两个子判定条件，且二者为“或”关系，即二者之一成立则阈值判定通过。

6.根据权利要求5所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述攻击模式指纹判定表示为：

其中，APF表示测试攻击模式的指纹，且攻击模式初始被多分类模型分为C_i类别，APF_ij表示类别C_i中的第j个攻击模式指纹，dist()表示向量间的欧几里得距离，d_min()表示APF与类别C_i中所有攻击模式指纹间的最小距离，D_fin表示指纹阈值，APF表示为：

APF＝{V₁,V₂,…,V_n}

其中，V_i表示攻击模式属于类别C_i的平均票数，i＝1,2，…，n，表示为：

其中，v_ji表示特征向量A_j属于类别C_i的票数，表示为：

其中，m_k表示一个二分类模型的分类结果，p_k表示分类结果m_k对应的概率，I_i为指示函数，当m_k为i时，I_i值为1，否则值为0。

7.根据权利要求5所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，平均特征向量判定表示为：

其中，D_vec表示向量阈值，AFV表示测试攻击模式的平均特征向量，AFV_ij表示类别C_i中的第j个攻击模式的平均特征向量，AFV表示为：

AFV＝{AF₁,AF₂,…,AF_q}

其中，AF_i表示AFV的第i个平均属性，i＝1,2，…，q，表示为：

其中，a_ji表示攻击模式的第j个特征向量的第i个属性。

8.根据权利要求4所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述模型判定具体为：

将攻击模式作为新的类别，用于生成新的二分类模型，并添加到已有多分类模型中；若扩展后的多分类模型能够正确分类该攻击模式，则通过模型判定。

9.根据权利要求1所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述自更新判定为：

d_min(AFV,C_i)＞D_up,D_up＝μ*D_vec,

其中，D_up表示更新阈值，|C_i|表示类别C_i所拥有的平均特征向量的数量，U表示用于控制攻击模式的更新比例的更新系数，μ为更新系数函数。

10.根据权利要求1所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述攻击组织识别机制，具体为：

1)建立攻击组织集合AO：

AO＝{O₁,O₂,…,O_l}

其中，O_j表示一个攻击组织，j＝1,2…，l，l为攻击组织个数，O_j表示为：

O_j＝＜C_j,S_j,D_j＞

其中，C_j表示O_j所属的标签类别，S_j表示O_j包含的C类网段集合，表示为：

S_j＝{s₁,s₂,…,s_x}

其中，x表示C类网段个数，D_j表示O_j包含的完整IP地址集合，表示为：

D_j＝{d₁,d₂,…,d_y}

其中，y表示完整IP地址个数；

2)对于一个输入的攻击模式AP_i，提取其C类网段s_i，完整IP地址d_i和多分类模型的分类结果c_i；

3)判断s_i是否属于攻击组织集合中的某个攻击组织O_j，若属于某个攻击组织O_j，则判断c_i是否与O_j类别一致，并执行步骤4)，否则，执行步骤8)；

4)若c_i与O_j类别一致，则判断O_j的类别C_j是否为开源网络空间探测工具所属类别，并执行步骤5)，否则，执行步骤7)；

5)若C_j为开源网络空间探测工具所属类别，则判断AP_i是否通过新类别判定，并执行步骤6)，否则，判定d_i属于O_j；

6)若AP_i通过新类别判定，则将攻击组织O_j从所属开源网络空间探测工具类别中移出，与AP_i合并成新的类别，并为其创建新的二分类模型和攻击组织；否则，判定d_i属于O_j；

7)判断c_i是否为开源网络空间探测工具所属类别，若c_i为开源网络空间探测工具所属类别，则判定d_i属于O_j；否则，将c_i对应的攻击组织O_i与O_j进行合并，同时将O_i和O_j对应的二分类模型进行合并；

8)判断AP_i是否通过新类别判定，若通过新类别判定，则为AP_i创建新的二分类模型和攻击组织；否则，判断c_i是否为开源网络空间探测工具所属类别；

9)若c_i为开源网络空间探测工具所属类别，则以C类网段s_i为依据为其创建新的攻击组织；否则，判定d_i属于c_i对应的攻击组织O_i。

Images