CN116405275A - 一种基于网络空间探测行为的攻击组织动态识别方法 - Google Patents
一种基于网络空间探测行为的攻击组织动态识别方法 Download PDFInfo
- Publication number
- CN116405275A CN116405275A CN202310322636.7A CN202310322636A CN116405275A CN 116405275 A CN116405275 A CN 116405275A CN 202310322636 A CN202310322636 A CN 202310322636A CN 116405275 A CN116405275 A CN 116405275A
- Authority
- CN
- China
- Prior art keywords
- attack
- class
- organization
- network space
- classification model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000008520 organization Effects 0.000 title claims abstract description 101
- 238000001514 detection method Methods 0.000 title claims abstract description 53
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000013145 classification model Methods 0.000 claims abstract description 75
- 239000013598 vector Substances 0.000 claims abstract description 34
- 230000007246 mechanism Effects 0.000 claims abstract description 31
- 230000006399 behavior Effects 0.000 claims abstract description 17
- 238000004422 calculation algorithm Methods 0.000 claims description 8
- 238000007635 classification algorithm Methods 0.000 claims description 4
- 238000012360 testing method Methods 0.000 claims description 4
- 239000000523 sample Substances 0.000 claims description 3
- 230000021824 exploration behavior Effects 0.000 claims 7
- 230000006870 function Effects 0.000 abstract description 8
- 238000012549 training Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 238000003066 decision tree Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 235000012907 honey Nutrition 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- HSOKOZJRZALFLQ-UHFFFAOYSA-N 2-[4-(2-fluorophenyl)phenyl]acetic acid Chemical compound C1=CC(CC(=O)O)=CC=C1C1=CC=CC=C1F HSOKOZJRZALFLQ-UHFFFAOYSA-N 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000001747 exhibiting effect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种基于网络空间探测行为的攻击组织动态识别方法。利用开源网络空间探测工具对暴露在互联网上的工控设备进行扫描,形成参考网络攻击流量集;以流量会话为基本单元对网络攻击流量进行分割,并提取包含所有工控流量的特征向量的攻击模式;建立攻击模式的多分类模型,并建立新类别判定机制和自更新判定机制,使多分类模型具有自扩展和自更新功能;建立攻击组织识别机制,使其能够根据攻击者IP和多分类模型分类及判定结果判定攻击者所属组织。本方法能够在威胁情报信息缺失的情况下,准确、动态的识别已有及未知攻击组织,使网络防御者能够在攻击事件发生之前,提前掌握攻击组织信息。
Description
技术领域
本发明涉及工业控制系统网络安全领域,具体说是一种基于网络空间探测行为的攻击组织动态识别方法。
背景技术
随着工业互联网等概念的推出,工业控制系统与信息化系统的融合程度不断加深,推动着传统工业逐渐走向网络化、数字化和智能化。随之而来,工业控制系统的安全问题受到了前所未有的关注。如何实现对攻击组织的深度挖掘,尤其是在攻击实施的早期进行识别,已经成为学术界和产业界关注的难点问题。
目前攻击组织的识别问题仍处于后知后觉的阶段,即通常由网络安全公司在工业企业遭受攻击事件后,基于网络攻击模型(如STRIDE、CyberKillChain、ATT&CK、CAPEC等模型),通过对各类安全产品上报的日志和告警信息进行复盘总结,来挖掘出潜伏的攻击组织。然而,按照杀伤链模型的七个阶段,即侦察、武器化、投放、漏洞利用、安装、命令与控制、在目标上操作,攻击组织通常在攻击的第一阶段便开始在网络上执行攻击对象的侦察任务,这也是在外部网络空间发现攻击组织行动痕迹的最佳阶段,而分布式工控蜜网在此方面具有独特优势。通过部署在公网上的分布式工控蜜网能够捕获大量针对暴露工控设备的探测行为,此类探测行为能够较好的反映攻击者的攻击目的和攻击工具的攻击模式,进而为攻击组织识别提供依据。随着分布式工控蜜网的逐渐部署和攻击流量的不断积累,如何基于网络空间探测行为实现对于攻击组织的准确识别已成为一个迫切需要解决的问题。
现阶段,基于网络空间探测行为的攻击组织识别方法主要包括两类,一类是利用机器学习方法基于探测行为的相关攻击流量建立分类模型,实现对于攻击模式的分类,并以攻击模式划分攻击组织,该类方法的主要问题在于难以识别包含多种攻击工具(通常具有不同的攻击模式)的攻击组织;另一类是基于威胁情报的攻击组织识别方法,该类方法以蜜网捕获的攻击者IP为基础利用网络爬虫获取相关信息,进而确定哪些IP属于同一个攻击组织,该方法虽然准确性较高,但当前面临的主要问题是威胁情报缺失,尤其是有关攻击者的威胁情报更加难以获得。
发明内容
针对现有技术不足,本发明提出一种基于网络空间探测行为的攻击组织动态识别方法,其目的在于解决威胁情报信息缺失情况下如何精准识别来自外部网络的攻击组织的问题,相比于目前的基于攻击模式的识别方法,提高了准确性。
本发明为实现上述目的所采用的技术方案是:
一种基于网络空间探测行为的攻击组织动态识别方法,包括以下步骤:
利用开源网络空间探测工具对暴露在互联网上的工控设备进行扫描,得到网络攻击流量集,并将开源网络空间探测工具作为类别标签;
以流量会话为基本单元对网络攻击流量集进行分割,从流量会话中提取攻击模式AP,构成攻击模式集;
利用One-Vs-One算法和无参有监督二分类算法建立基于攻击模式的多分类模型,并利用攻击模式集对其进行训练;
为多分类模型建立新类别判定机制;
为多分类模型建立自更新判定机制;
以C类网段和多分类模型输出的攻击模式类别作为攻击组织的识别依据,建立攻击组织识别机制,以识别网络空间中的攻击组织。
所述攻击模式集为攻击模式AP构成的集合,攻击模式AP由流量会话中所有工控流量的特征向量构成,表示为:
AP={A1,A2,…,Am}
其中,Ai表示工控流量的特征向量,i=1,2,…,m,m表示特征向量的个数,所述工控流量为包含工控协议请求数据的数据报文,Ai表示为:
Ai={a1,a2,…,aq}
其中,ai表示具体的特征属性,q表示特征属性个数。
所述多分类模型MC采用投票机制,票数最多的类别被判定为最终输出类别,表示为:
MC={M1,M2,…,Mp}
其中,Mi表示一个无参有监督二分类模型,i=1,2,…,p,p=n(n-1)/2表示二分类模型的总个数,n为类别总数。
所述新类别判定机制包括阈值判定和模型判定两个判定步骤,当新的攻击模式同时通过两个判定时,则认为新的攻击模式代表了新的类别,并使用该攻击模式创建对应的新二分类模型,以扩展多分类模型。
所述阈值判定包括攻击模式指纹判定和平均特征向量判定两个子判定条件,且二者为“或”关系,即二者之一成立则阈值判定通过。
所述攻击模式指纹判定表示为:
其中,APF表示测试攻击模式的指纹,且攻击模式初始被多分类模型分为Ci类别,APFij表示类别Ci中的第j个攻击模式指纹,dist()表示向量间的欧几里得距离,dmin()表示APF与类别Ci中所有攻击模式指纹间的最小距离,Dfin表示指纹阈值,APF表示为:
APF={V1,V2,…,Vn}
其中,Vi表示攻击模式属于类别Ci的平均票数,i=1,2,…,n,表示为:
其中,vji表示特征向量Aj属于类别Ci的票数,表示为:
其中,mk表示一个二分类模型的分类结果,pk表示分类结果mk对应的概率,Ii为指示函数,当mk为i时,Ii值为1,否则值为0。
平均特征向量判定表示为:
其中,Dvec表示向量阈值,AFV表示测试攻击模式的平均特征向量,AFVij表示类别Ci中的第j个攻击模式的平均特征向量,AFV表示为:
AFV={AF1,AF2,…,AFq}
其中,AFi表示AFV的第i个平均属性,i=1,2,…,q,表示为:
其中,aji表示攻击模式的第j个特征向量的第i个属性。
所述模型判定具体为:
将攻击模式作为新的类别,用于生成新的二分类模型,并添加到已有多分类模型中;若扩展后的多分类模型能够正确分类该攻击模式,则通过模型判定。
所述自更新判定为:
其中,Dup表示更新阈值,|Ci|表示类别Ci所拥有的平均特征向量的数量,U表示用于控制攻击模式的更新比例的更新系数,μ为更新系数函数。
所述攻击组织识别机制,具体为:
1)建立攻击组织集合AO:
AO={O1,O2,…,Ol}
其中,Oj表示一个攻击组织,j=1,2…,l,l为攻击组织个数,Oj表示为:
Oj=<Cj,Sj,Dj>
其中,Cj表示Oj所属的标签类别,Sj表示Oj包含的C类网段集合,表示为:
Sj={s1,s2,…,sx}
其中,x表示C类网段个数,Dj表示Oj包含的完整IP地址集合,表示为:
Dj={d1,d2,…,dy}
其中,y表示完整IP地址个数;
2)对于一个输入的攻击模式APi,提取其C类网段si,完整IP地址di和多分类模型的分类结果ci;
3)判断si是否属于攻击组织集合中的某个攻击组织Oj,若属于某个攻击组织Oj,则判断ci是否与Oj类别一致,并执行步骤4),否则,执行步骤8);
4)若ci与Oj类别一致,则判断Oj的类别Cj是否为开源网络空间探测工具所属类别,并执行步骤5),否则,执行步骤7);
5)若Cj为开源网络空间探测工具所属类别,则判断APi是否通过新类别判定,并执行步骤6),否则,判定di属于Oj;
6)若APi通过新类别判定,则将攻击组织Oj从所属开源网络空间探测工具类别中移出,与APi合并成新的类别,并为其创建新的二分类模型和攻击组织;否则,判定di属于Oj;
7)判断ci是否为开源网络空间探测工具所属类别,若ci为开源网络空间探测工具所属类别,则判定di属于Oj;否则,将ci对应的攻击组织Oi与Oj进行合并,同时将Oi和Oj对应的二分类模型进行合并;
8)判断APi是否通过新类别判定,若通过新类别判定,则为APi创建新的二分类模型和攻击组织;否则,判断ci是否为开源网络空间探测工具所属类别;
9)若ci为开源网络空间探测工具所属类别,则以C类网段si为依据为其创建新的攻击组织;否则,判定di属于ci对应的攻击组织Oi。
本发明具有以下有益效果及优点:
1.基于对网络空间探测行为的深入分析,建立以流量会话为基本单元、包含所有工控流量的特征向量的攻击模式,能够更加深入全面的刻画网络空间探测行为的行为特征,更有利于区分不同攻击组织所使用的网络空间探测工具;
2.建立的具有自扩展和自更新功能的攻击模式多分类模型,能够在无需人工参与的情况下,自动识别开源网络空间探测工具以外的新型网络空间探测工具,且可利用后续攻击模式不断丰富已有二分类模型并防止多分类模型的快速膨胀;
3.所提攻击组织识别机制利用属于同一个C类网段的攻击者通常来自于同一个攻击组织的特性,有效弥补了以往仅以攻击模式或威胁情报作为攻击组织评定依据的不足,能够挖掘出攻击模式多样、成员较多的复杂攻击组织。
附图说明
图1是本发明方法的流程示意图;
图2是本发明实施例中开源探测工具Plcscan产生的流量会话;
图3是本发明实施例中多分类模型示意图;
图4是本发明实施例中新类别判定流程示意图;
图5是本发明实施例中多分类模型的扩展示意图;
图6是本发明实施例中攻击组织识别流程示意图。
具体实施方式
以下结合附图和具体实施方案对本发明作进一步的详细说明,但不作为对本发明技术方案的限定。
本发明提供的一种基于网络空间探测行为的攻击组织动态识别方法的总体流程如图1所示,包括以下步骤:
1)利用开源网络空间探测工具对暴露在互联网上的工控设备进行扫描,形成参考网络攻击流量集,并以对应开源网络空间探测工具作为类别标签;
2)以流量会话为基本单元对网络攻击流量进行分割,从流量会话中提取攻击模式,形成攻击模式集,其中提取的攻击模式由流量会话中所有工控流量的特征向量构成;
3)利用One-Vs-One(OVO)算法和无参有监督二分类算法(如CART算法、随机森林算法、SVM算法等)建立具有自扩展和自更新功能的攻击模式多分类模型,并以步骤2)生成的攻击模式集作为训练数据集进行训练;
4)为步骤3)生成的多分类模型建立新类别判定机制,其主要目的在于发现多分类模型之外的新类型攻击工具,具体包括阈值判定和模型判定两个判定步骤,当新的攻击模式同时通过两个判定时,则认为新的攻击模式代表了新的类别,并用于创建对应的新二分类模型来扩展多分类模型;
5)为步骤3)生成的多分类模型建立自更新判定机制,其主要目的在于不断丰富已有二分类模型并防止多分类模型快速膨胀,当新的攻击模式未通过新类别判定,被判定为已有类别时,则对其进行自更新判定,若通过判定,则将其作为新的训练数据用于更新所属类别对应的二分类模型;
6)以C类网段(即在IP地址的4段号码中,前3段号码组成的网络号码)和攻击模式类别作为攻击组织的识别依据,建立攻击组织识别机制;
所述步骤2)中的流量会话被定义为:对于一对给定的主机,彼此之间时间间隔在Taggreg内的所有流量连接将被聚合到同一个流量会话中,其中当传输层协议为TCP协议时,流量连接即指TCP连接,当传输层协议为UDP协议时,流量连接则指单个网络数据报文。
所述步骤2)中的攻击模式(AP)表示为:
AP={A1,A2,…,Am}
其中,Ai表示工控流量的特征向量,m表示特征向量的个数,其中工控流量指包含工控协议请求数据的数据报文,Ai表示为:
Ai={a1,a2,…,aq}
其中,ai表示具体的特征属性,q表示特征属性个数。
所述步骤3)中的多分类模型(MC)表示为:
MC={M1,M2,…,Mp}
其中,Mi表示一个无参有监督二分类模型,p=n(n-1)/2表示二分类模型的总个数,n为类别总数。多分类模型采用投票机制,票数最多的类别被判定为最终输出类别。
所述步骤4)中的阈值判定包括攻击模式指纹判定和平均特征向量判定两个子判定条件,且二者为“或”关系,即二者之一成立则阈值判定通过。
所述攻击模式指纹判定表示为:
其中,Dfin表示指纹阈值,APF表示攻击模式的指纹,且攻击模式初始被多分类模型分为Ci类别,dist()表示向量间的欧几里得距离,APF表示为:
APF={V1,V2,…,Vn}
其中,Vi表示攻击模式属于类别Ci的平均票数,表示为:
其中,vji表示特征向量Ai属于类别Ci的票数,表示为:
其中,其中,mk表示一个二分类模型的分类结果,pk表示分类结果mk对应的概率,Ii为指示函数。
所述平均特征向量判定表示为:
其中,Dvec表示向量阈值,AFV表示攻击模式的平均特征向量,表示为:
AFV={AF1,AF2,…,AFq}
其中,AFi表示AFV的第i个平均属性,表示为:
其中,aji表示攻击模式的第j个特征向量的第i个属性。
所述步骤4)中的模型判定表示,将攻击模式作为新的类别,用于生成新的二分类模型,并添加到已有多分类模型中;若扩展后的多分类模型能够正确分类该攻击模式,则通过模型判定;
所述步骤5)中的自更新判定表示为:
其中,Dup表示更新阈值,|Ci|表示类别Ci所拥有的平均特征向量的数量,U表示更新系数,用于控制攻击模式的更新比例。
所述步骤6)中的攻击组织识别机制包括以下步骤:
6.1)建立攻击组织集合(AO):
AO={O1,O2,…,Ol}
其中,Oj表示一个攻击组织,表示为:
Oj=<Cj,Sj,Dj>
其中,Cj表示Oj所属的标签类别,Sj表示Oj包含的C类网段集合,表示为:
Sj={s1,s2,…,sl}
Dj表示Oj包含的完整IP地址集合,表示为:
Dj={d1,d2,…,dl}
6.2)对于一个输入的攻击模式APi,提取其C类网段si,完整IP地址di和多分类模型的分类结果ci;
6.3)判断si是否属于攻击组织集合中的某个攻击组织;
6.4)若属于某个攻击组织Oj,则判断ci是否与Oj类别一致;
6.5)若ci与Oj类别一致,则判断Oj的类别Cj是否为开源网络空间探测工具所属类别;
6.6)若Cj为开源网络空间探测工具所属类别,则判断APi是否通过新类别判定;
6.7)若APi通过新类别判定,则将攻击组织Oj从所属开源网络空间探测工具类别中移出,与APi合并成新的类别,并为其创建新的二分类模型和攻击组织;否则,则判定di属于Oj;
6.8)若Cj不为开源网络空间探测工具所属类别,则判定di属于Oj;
6.9)若ci与Oj类别不一致,则判断ci是否为开源网络空间探测工具所属类别;
6.10)若ci为开源网络空间探测工具所属类别,则判定di属于Oj;否则,将ci对应的攻击组织Oi与Oj进行合并,同时将Oi和Oj对应的二分类模型进行合并;
6.11)若si不属于攻击组织集合,则判断APi是否通过新类别判定;
6.12)若通过新类别判定,则为APi创建新的二分类模型和攻击组织;否则,判断ci是否为开源网络空间探测工具所属类别;
6.13)若ci为开源网络空间探测工具所属类别,则以C类网段si为依据为其创建新的攻击组织;否则,判定di属于ci对应的攻击组织Oi。
实施例
本实施例以Modbus工控协议为例,具体包括如下步骤:
步骤1:利用开源网络空间探测工具对暴露在互联网上的工控设备进行扫描,形成参考网络攻击流量集,并以对应开源网络空间探测工具作为类别标签,得到的数据集信息如下:
表1网络空间探测数据集
步骤2:以流量会话为基本单元对网络攻击流量进行分割,从流量会话中提取攻击模式,形成攻击模式集,对于表1中网络攻击流量以Taggreg=100秒进行分割和特征提取,得到如下攻击模式表示形式:
其中,Seqi表示在一个流量连接内工控协议请求数据报文的序号,Resi指示该数据报文是否得到了应答,Proi表示传输层协议的类型,包括TCP和UDP,Leni表示该数据报文的长度,Depi表示一个流量连接中工控协议请求数据报文的总数量,CNoi表示一个流量会话中当前流量连接的序号,CToi表示一个流量会话中流量连接的总数量,Trai、Unii和Funi分别与Modbus协议中的“Transaction Identifier”、“Unit Identifier”和“Function Code”字段对应,Prei是指前一个工控协议请求数据报文的Unii-1值,i≤1时,其默认值为-1。以探测工具Plcscan产生的一个流量会话为例,如图2所示,其对应的攻击模式如下:
步骤3:利用One-Vs-One(OVO)算法和无参有监督二分类算法(以CART算法为例)建立具有自扩展和自更新功能的攻击模式多分类模型,以步骤2)生成的攻击模式集作为训练数据集进行训练,如图3所示,其具体表示形式如下:
MC={M1,M2,…,M21}
其中,M1表示类别1和类别2构成的一个CART决策树,M2表示类别1和类别3构成的一个CART决策树,M21表示类别6和类别7构成的一个CART决策树,以此类推。由攻击模式可知,一个CART决策树的输入为包含11维元素的特征向量,输出为以概率形式表示的判定类别,如M1的输出<1,0.9>表示判定类别为1,判定概率为0.9。最后,多分类模型采用投票机制,票数最多的类别被判定为最终输出类别。
步骤4:为步骤3)生成的多分类模型建立新类别判定机制,具体判定流程如图4所示。当类别总数为7个时,得到如下攻击模式指纹表示形式:
APF={V1,V2,V3,V4,V5,V6,V7}
通过对实验数据的分析,当指纹阈值Dfin在[1.6,2.8]范围内取值时,将取得较好的分类效果,以Dfin等于1.9为例,当类别7对应的攻击模式指纹集如下:
若被分类攻击模式对应的指纹为:
APF1={4,2,2,0,0,6,7}
由于dmin(APF1,C7)=1.41<1.9,因此未通过攻击模式指纹判定。若被分类攻击模式对应的指纹为:
APF2={4,1,3,0,0,6,7}
由于dmin(APF2,C7)=2.83>1.9,因此通过攻击模式指纹判定。由于平均特征向量判定过程与攻击模式指纹判定过程类似,不再赘述。此外,当向量阈值Dvec在[0.1,0.9]范围内取值时,将取得较好的分类效果。
多分类模型的扩展过程如图5所示,当被分类攻击模式重新输入到新多分类模型,且被判定为新的类别时,则通过模型判定。此外,被扩展的多分类模型由于类别总数增加,因此需要利用新产生的二分类模型对已有多分类模型的训练数据进行分类,并利用分类结果对训练数据的攻击模式指纹进行更新。
步骤5:为步骤3)生成的多分类模型建立自更新判定机制,当被分类攻击模式未通过新类别判定,被判定为已有类别时,则对其进行自更新判定。通过对实验数据的分析,当更新系数U在[10,30]范围内取值时,将取得较好的分类效果,以U等于20、Dvec等于0.9为例,当类别7对应的平均特征向量集如下:
若被分类攻击模式对应的平均特征向量为:
AFV1={1,0,1,65,1,2,2,0,0,-1,43}
由于dmin(AFV1,C7)=0<Dvec=0.135,因此未通过自更新判定。若被分类攻击模式对应的平均特征向量为:
AFV2={1,0,1,64,1,2,2,0,0,-1,43}
由于dmin(AFV2,C7)=1>Dvec=0.135,因此通过自更新判定,则将被用于更新类别7对应的二分类模型,相应的类别7对应的平均特征向量集变为:
步骤6:以C类网段和攻击模式类别作为攻击组织的识别依据,建立攻击组织识别机制,其具体识别过程如图6所示。
对于识别过程中可能出现的各种情况,以其中3种最为典型的案例进行说明,并对相关操作原因进行简要说明,其余情况可由上述3种情况类比推导,不再赘述。
案例一:为AP1创建新的二分类模型和攻击组织
步骤6.2:对于第一个输入的攻击模式AP1,其相关信息可表示为一个三元组,即<s1,d1,c1>;
步骤6.3:判断s1是否属于攻击组织集合中的某个攻击组织,显然不属于,进入步骤6.11;
步骤6.11:判断AP1是否通过新类别判定,假设通过判定,则进入步骤6.12;
步骤6.12:为AP1创建新的二分类模型和攻击组织。由于没有攻击组织能够通过C类网段与AP1进行匹配,且AP1代表了新的攻击模式种类,因此为其创建新的二分类模型(第8类)和攻击组织,同时更新攻击组织集合:
AO={O1},
O1=<C1,S1,D1>,C1=8,S1={s1},D1={d1}
案例二:以C类网段为依据为d2创建新的攻击组织
步骤6.2:对于第二个输入的攻击模式AP2,其相关信息可表示为一个三元组,即<s2,d2,c2>;
步骤6.3:判断s2是否属于攻击组织集合中的某个攻击组织,假设不属于,即s2≠s1,进入步骤6.11;
步骤6.11:判断AP2是否通过新类别判定,假设未通过判定,则进入步骤6.13;
步骤6.13:假设c2为开源网络空间探测工具所属类别2,则以C类网段s2为依据为其创建新的攻击组织。由于没有攻击组织能够通过C类网段与AP2进行匹配,且AP2被判定为开源网络空间探测工具所属类别,而属于不同C类网段的攻击组织皆可利用开源工具进行探测,因此开源工具类别不能作为攻击组织识别标准。因此,对于被分类为开源工具类别的攻击模式,进一步以C类网段进行攻击组织划分,即为d2创建新的攻击组织,同时更新攻击组织集合:
AO={O1,O2},
O1=<C1,S1,D1>,C1=8,S1={s1},D1={d1}
O2=<C2,S2,D2>,C2=2,S2={s2},D2={d2}
案例三:为AP3和O2创建新的二分类模型和攻击组织
步骤6.2:对于第三个输入的攻击模式AP3,其相关信息可表示为一个三元组,即<s2,d3,c3>,显然AP3与AP2属于同一个C类网段s2;
步骤6.3:判断s2是否属于攻击组织集合中的某个攻击组织,显然属于攻击组织O2,进入步骤6.4;
步骤6.4:判断c3是否与O2类别一致,假设一致,即同属于类别2,进入步骤6.5;
步骤6.5:判断O2的类别C2是否为开源网络空间探测工具所属类别,显然属于,进入步骤6.6;
步骤6.6:判断AP3是否通过新类别判定,假设通过,进入步骤6.7;
步骤6.7:为AP3和O2创建新的二分类模型和攻击组织。虽然,AP2初始被判定属于类别2,但其同一攻击组织内的AP3被判定为新类别,其可能原因包括攻击组织对已有开源探测工具进行了修改或使用了新型探测工具,因此体现出了新的攻击模式。因此,为AP3和O2创建新的二分类模型(第9类)和攻击组织,同时更新攻击组织集合:
AO={O1,O3},
O1=<C1,S1,D1>,C1=8,S1={s1},D1={d1}
O3=<C3,S3,D3>,C3=9,S3={s2},D3={d2,d3}
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种基于网络空间探测行为的攻击组织动态识别方法,其特征在于,包括以下步骤:
利用开源网络空间探测工具对暴露在互联网上的工控设备进行扫描,得到网络攻击流量集,并将开源网络空间探测工具作为类别标签;
以流量会话为基本单元对网络攻击流量集进行分割,从流量会话中提取攻击模式AP,构成攻击模式集;
利用One-Vs-One算法和无参有监督二分类算法建立基于攻击模式的多分类模型,并利用攻击模式集对其进行训练;
为多分类模型建立新类别判定机制;
为多分类模型建立自更新判定机制;
以C类网段和多分类模型输出的攻击模式类别作为攻击组织的识别依据,建立攻击组织识别机制,以识别网络空间中的攻击组织。
2.根据权利要求1所述的一种基于网络空间探测行为的攻击组织动态识别方法,其特征在于,所述攻击模式集为攻击模式AP构成的集合,攻击模式AP由流量会话中所有工控流量的特征向量构成,表示为:
AP={A1,A2,…,Am}
其中,Ai表示工控流量的特征向量,i=1,2,…,m,m表示特征向量的个数,所述工控流量为包含工控协议请求数据的数据报文,Ai表示为:
Ai={a1,a2,…,aq}
其中,ai表示具体的特征属性,q表示特征属性个数。
3.根据权利要求1所述的一种基于网络空间探测行为的攻击组织动态识别方法,其特征在于,所述多分类模型MC采用投票机制,票数最多的类别被判定为最终输出类别,表示为:
MC={M1,M2,…,Mp}
其中,Mi表示一个无参有监督二分类模型,i=1,2,…,p,p=n(n-1)/2表示二分类模型的总个数,n为类别总数。
4.根据权利要求1所述的一种基于网络空间探测行为的攻击组织动态识别方法,其特征在于,所述新类别判定机制包括阈值判定和模型判定两个判定步骤,当新的攻击模式同时通过两个判定时,则认为新的攻击模式代表了新的类别,并使用该攻击模式创建对应的新二分类模型,以扩展多分类模型。
5.根据权利要求4所述的一种基于网络空间探测行为的攻击组织动态识别方法,其特征在于,所述阈值判定包括攻击模式指纹判定和平均特征向量判定两个子判定条件,且二者为“或”关系,即二者之一成立则阈值判定通过。
6.根据权利要求5所述的一种基于网络空间探测行为的攻击组织动态识别方法,其特征在于,所述攻击模式指纹判定表示为:
其中,APF表示测试攻击模式的指纹,且攻击模式初始被多分类模型分为Ci类别,APFij表示类别Ci中的第j个攻击模式指纹,dist()表示向量间的欧几里得距离,dmin()表示APF与类别Ci中所有攻击模式指纹间的最小距离,Dfin表示指纹阈值,APF表示为:
APF={V1,V2,…,Vn}
其中,Vi表示攻击模式属于类别Ci的平均票数,i=1,2,…,n,表示为:
其中,vji表示特征向量Aj属于类别Ci的票数,表示为:
其中,mk表示一个二分类模型的分类结果,pk表示分类结果mk对应的概率,Ii为指示函数,当mk为i时,Ii值为1,否则值为0。
8.根据权利要求4所述的一种基于网络空间探测行为的攻击组织动态识别方法,其特征在于,所述模型判定具体为:
将攻击模式作为新的类别,用于生成新的二分类模型,并添加到已有多分类模型中;若扩展后的多分类模型能够正确分类该攻击模式,则通过模型判定。
10.根据权利要求1所述的一种基于网络空间探测行为的攻击组织动态识别方法,其特征在于,所述攻击组织识别机制,具体为:
1)建立攻击组织集合AO:
AO={O1,O2,…,Ol}
其中,Oj表示一个攻击组织,j=1,2…,l,l为攻击组织个数,Oj表示为:
Oj=<Cj,Sj,Dj>
其中,Cj表示Oj所属的标签类别,Sj表示Oj包含的C类网段集合,表示为:
Sj={s1,s2,…,sx}
其中,x表示C类网段个数,Dj表示Oj包含的完整IP地址集合,表示为:
Dj={d1,d2,…,dy}
其中,y表示完整IP地址个数;
2)对于一个输入的攻击模式APi,提取其C类网段si,完整IP地址di和多分类模型的分类结果ci;
3)判断si是否属于攻击组织集合中的某个攻击组织Oj,若属于某个攻击组织Oj,则判断ci是否与Oj类别一致,并执行步骤4),否则,执行步骤8);
4)若ci与Oj类别一致,则判断Oj的类别Cj是否为开源网络空间探测工具所属类别,并执行步骤5),否则,执行步骤7);
5)若Cj为开源网络空间探测工具所属类别,则判断APi是否通过新类别判定,并执行步骤6),否则,判定di属于Oj;
6)若APi通过新类别判定,则将攻击组织Oj从所属开源网络空间探测工具类别中移出,与APi合并成新的类别,并为其创建新的二分类模型和攻击组织;否则,判定di属于Oj;
7)判断ci是否为开源网络空间探测工具所属类别,若ci为开源网络空间探测工具所属类别,则判定di属于Oj;否则,将ci对应的攻击组织Oi与Oj进行合并,同时将Oi和Oj对应的二分类模型进行合并;
8)判断APi是否通过新类别判定,若通过新类别判定,则为APi创建新的二分类模型和攻击组织;否则,判断ci是否为开源网络空间探测工具所属类别;
9)若ci为开源网络空间探测工具所属类别,则以C类网段si为依据为其创建新的攻击组织;否则,判定di属于ci对应的攻击组织Oi。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310322636.7A CN116405275A (zh) | 2023-03-29 | 2023-03-29 | 一种基于网络空间探测行为的攻击组织动态识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310322636.7A CN116405275A (zh) | 2023-03-29 | 2023-03-29 | 一种基于网络空间探测行为的攻击组织动态识别方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116405275A true CN116405275A (zh) | 2023-07-07 |
Family
ID=87015416
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310322636.7A Pending CN116405275A (zh) | 2023-03-29 | 2023-03-29 | 一种基于网络空间探测行为的攻击组织动态识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116405275A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116846690A (zh) * | 2023-09-01 | 2023-10-03 | 湘潭大学 | 基于行业分类和概率模型的IPv6网络空间测绘方法 |
-
2023
- 2023-03-29 CN CN202310322636.7A patent/CN116405275A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116846690A (zh) * | 2023-09-01 | 2023-10-03 | 湘潭大学 | 基于行业分类和概率模型的IPv6网络空间测绘方法 |
CN116846690B (zh) * | 2023-09-01 | 2023-11-03 | 湘潭大学 | 基于行业分类和概率模型的IPv6网络空间测绘方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Torres et al. | An analysis of recurrent neural networks for botnet detection behavior | |
Belouch et al. | A two-stage classifier approach using reptree algorithm for network intrusion detection | |
Syarif et al. | Unsupervised clustering approach for network anomaly detection | |
WO2018107631A1 (zh) | 一种基于工业控制网络的入侵检测模型的自动建立方法及装置 | |
CN111988285A (zh) | 一种基于行为画像的网络攻击溯源方法 | |
CN112738015A (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
CN110474885B (zh) | 基于时间序列与ip地址的报警关联分析方法 | |
KR20130126814A (ko) | 데이터마이닝을 이용한 트래픽 폭주 공격 탐지 및 심층적 해석 장치 및 방법 | |
CN103441982A (zh) | 一种基于相对熵的入侵报警分析方法 | |
CN113221109B (zh) | 一种基于生成对抗网络的恶意文件智能分析方法 | |
CN116405275A (zh) | 一种基于网络空间探测行为的攻击组织动态识别方法 | |
Al-mamory et al. | Evaluation of different data mining algorithms with kdd cup 99 data set | |
CN113904795A (zh) | 一种基于网络安全探针的流量快速精确检测方法 | |
Hendry et al. | Intrusion signature creation via clustering anomalies | |
Lagzian et al. | Frequent item set mining-based alert correlation for extracting multi-stage attack scenarios | |
US20070008098A1 (en) | Method and architecture for online classification-based intrusion alert correlation | |
Mohamed et al. | Alert correlation using a novel clustering approach | |
Visumathi et al. | A computational intelligence for evaluation of intrusion detection system | |
Shin et al. | False alarm classification model for network-based intrusion detection system | |
CN116938587A (zh) | 基于溯源图行为语义提取的威胁检测方法及系统 | |
Yue et al. | Detecting temporal attacks: An intrusion detection system for train communication Ethernet based on dynamic temporal convolutional network | |
CN112235242A (zh) | 一种c&c信道检测方法及系统 | |
CN116260627A (zh) | 一种基于数据溯源图标签的apt检测系统 | |
Firmansyah et al. | Evaluation of naive bayes, random forest and stochastic gradient boosting algorithm on ddos attack detection | |
Jeyanna et al. | A network intrusion detection system using clustering and outlier detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |