CN117220961B - 一种基于关联规则图谱的入侵检测方法、装置及存储介质 - Google Patents
一种基于关联规则图谱的入侵检测方法、装置及存储介质 Download PDFInfo
- Publication number
- CN117220961B CN117220961B CN202311220621.6A CN202311220621A CN117220961B CN 117220961 B CN117220961 B CN 117220961B CN 202311220621 A CN202311220621 A CN 202311220621A CN 117220961 B CN117220961 B CN 117220961B
- Authority
- CN
- China
- Prior art keywords
- attack
- rule
- knowledge
- att
- association
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 90
- 238000003860 storage Methods 0.000 title claims description 6
- 238000012545 processing Methods 0.000 claims abstract description 60
- 238000000034 method Methods 0.000 claims abstract description 39
- 238000012098 association analyses Methods 0.000 claims abstract description 26
- 230000008569 process Effects 0.000 claims abstract description 23
- 238000000605 extraction Methods 0.000 claims description 27
- 238000010219 correlation analysis Methods 0.000 claims description 13
- 238000005516 engineering process Methods 0.000 abstract description 20
- 230000006399 behavior Effects 0.000 abstract description 10
- 238000004458 analytical method Methods 0.000 abstract description 9
- 238000012549 training Methods 0.000 abstract description 8
- 238000010276 construction Methods 0.000 abstract description 5
- 238000011160 research Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 10
- 230000008520 organization Effects 0.000 description 6
- 230000009545 invasion Effects 0.000 description 5
- 238000005065 mining Methods 0.000 description 5
- 238000007781 pre-processing Methods 0.000 description 5
- 238000012216 screening Methods 0.000 description 4
- 230000007123 defense Effects 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000013480 data collection Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于关联规则图谱的入侵检测方法及装置,该方法包括:获取攻击检测规则;对所述攻击检测规则进行处理,得到攻击规则分类结果;对所述攻击规则分类结果进行处理,得到攻击日志分类结果;对所述攻击日志分类结果进行处理,得到关联规则图谱;对所述关联规则图谱进行处理,还原攻击链过程。本发明通过资产、漏洞、告警、攻击等不同的维度研究关联分析规则图谱技术,采用线下训练线上预测工作模式,使其具备安全专家分析能力,从攻击者视角出发检测网络攻击行为,快速辅助关联规则的生成与构建,有效提高告警精度,抵御未知攻击。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于关联规则图谱的入侵检测方法及装置。
背景技术
随着计算机技术和互联网技术的快速发展,互联网正在影响到日常生活、工业技术等各个领域。网络在促进社会进步的同时,黑客组织以及一些网络非法分子正在使用计算机领域相关技术通过非法获取账号密码、控制系统管理权限等手段来谋取私利,严重影响到个人、组织以及国家的信息安全和财产安全。相对传统的破坏信息系统的手段,目前网络入侵呈现出新的特点:入侵或攻击的规模扩大化、入侵或攻击手段的分布化、入侵主题对象的间接化,即实施入侵与攻击的主题的隐蔽化、入侵或攻击的综合化与复杂化。面对新的网络安全现状与威胁,传统的入侵检测系统存在着明显的不足。
目前攻击复杂化以及分布化,使得使用单一的安全防护技术已经无法全面保护网络,必须综合利用多种安全技术,形成有效协作,才能适应大规模网络中复杂攻击的挑战。因此,针对网络安全现状,需要加强网络安全防护体系的研究,突出以入侵检测为核心,多种安全设备或系统联动,形成有效预警与响应,是网络安全主要发展趋势。
目前已有的入侵检测设备主要包括基于网络流量和基于主机状态两种检测方式。基于主机的入侵探测器在目标主机上部署若干检测程序,该检测程序主要用于记录报告当前主机的实时状态信息,如CPU利用率、内存利用率等,以及主机日志、应用软件日志、操作系统配置文件的访问信息等,通过将收集到的主机特征与攻击规则库进行对比,可以准确快速地发现攻击者的真实攻击目的。但是这种检测方法没有考虑来自网络层的数据信息,对于通过网络传播发生的攻击往往效果不佳。基于网络的入侵检测器通过抓取网络数据流中的数据包,分析网络协议、报文长度、源目IP地址等信息,通过综合上述特征,与规则库中的攻击规则进行比较来发掘恶意攻击。基于网络的入侵检测方法从网络维出发,可以快速感知来自网络传输层发生的恶意攻击,但是由于没有考虑主机维度的状态信息,所以同样无法应付所有攻击情况。
关联分析引擎的出现解决了单源安全设备的局限性,安全事件关联分析技术通过对安全事件进行关联分析,生成更高级的攻击场景。目前已有的关联分析引擎可以在一定程度上实现高级别的告警,但仍存在以下缺点:
(1)针对现阶段已知网络攻击行为,关联引擎对海量安全日志的处理及关联规则的生成严重依靠有经验的安全专家,否则容易出现时效性低、可信度低且关联性差等问题。
(2)针对未知攻击行为和潜在威胁,现有关联引擎无法借助已知入侵检测来快速辅助定位未知攻击。
发明内容
本发明所要解决的技术问题在于,提供一种基于关联规则图谱的入侵检测方法及装置,针对现阶段关联引擎无法有效应对不断复杂化的已知网络攻击和日益频发的未知网络攻击问题,以MITRE ATT&CK(对抗性战术、技术和通用知识)对抗战略技术和常识框架为基础,通过资产、漏洞、告警、攻击等不同的维度研究关联分析规则图谱技术,采用线下训练线上预测工作模式,使其具备“安全专家”分析能力。从攻击者视角出发检测网络攻击行为,快速辅助关联规则的生成与构建,有效提高告警精度,抵御未知攻击。
为了解决上述技术问题,本发明实施例第一方面公开了一种基于关联规则图谱的入侵检测方法,所述方法包括:
S1,获取攻击检测规则;
S2,对所述攻击检测规则进行处理,得到攻击规则分类结果;
S3,对所述攻击规则分类结果进行处理,得到攻击日志分类结果;
S4,对所述攻击日志分类结果进行处理,得到关联规则图谱;
S5,对所述关联规则图谱进行处理,还原攻击链过程。
作为一种可选的实施方式,本发明实施例第一方面中,所述对所述攻击检测规则进行处理,得到攻击规则分类结果,包括:
S21,获取ATT&CK框架攻击技战术数据集;
S22,利用归类引擎,将所述攻击检测规则与所述ATT&CK框架攻击技战术数据集进行匹配,得到攻击规则分类结果;
所述攻击规则分类结果为注入ATT&CK技战术号的各类规则。
作为一种可选的实施方式,本发明实施例第一方面中,所述对所述攻击规则分类结果进行处理,得到攻击日志分类结果,包括:
S31,对所述攻击检测规则进行处理,得到告警日志信息;
S32,利用所述攻击规则分类结果对所述告警日志信息进行日志富化,得到攻击日志分类结果。
作为一种可选的实施方式,本发明实施例第一方面中,所述对所述攻击日志分类结果进行处理,得到关联规则图谱,包括:
S41,获取ATT&CK框架知识图谱;
S42,根据所述ATT&CK框架知识图谱,对所述攻击日志分类结果进行处理,得到攻击步骤信息;
S43,对所述ATT&CK框架知识图谱进行扩充,得到扩展ATT&CK框架知识图谱;
S44,对所述扩展ATT&CK框架知识图谱进行知识抽取,得到关联规则知识信息;
S45,对所述攻击步骤信息和所述关联规则知识信息进行处理,得到关联规则图谱。
作为一种可选的实施方式,本发明实施例第一方面中,所述对所述扩展ATT&CK框架知识图谱进行知识抽取,得到关联规则知识信息,包括:
S441,对所述扩展ATT&CK框架知识图谱进行漏洞维知识提取,得到漏洞维子知识库;
S442,对所述扩展ATT&CK框架知识图谱进行资产维知识提取,得到资产维子知识库;
S443,对所述扩展ATT&CK框架知识图谱进行攻击威胁维知识提取,得到攻击威胁维子知识库;
S444,对所述扩展ATT&CK框架知识图谱进行报警信息维知识提取,得到报警信息维子知识库;
所述漏洞维子知识库、资产维子知识库、攻击威胁维子知识库和报警信息维子知识库构成关联规则知识信息。
作为一种可选的实施方式,本发明实施例第一方面中,所述对所述关联规则图谱进行处理,还原攻击链过程,包括:
S51,对所述关联规则图谱进行关联分析,得到时间关联分析结果和空间关联分析结果;
S52,根据所述时间关联分析结果,得到攻击日志的时间信息;
S53,根据所述空间关联分析结果,得到攻击日志的空间位置信息;
S54,根据所述攻击日志的时间信息和所述攻击日志的空间位置信息,还原攻击链过程。
本发明实施例第二方面公开了一种基于关联规则图谱的入侵检测装置,所述装置包括:
数据获取模块,用于获取攻击检测规则;
攻击规则分类模块,用于对所述攻击检测规则进行处理,得到攻击规则分类结果;
攻击日志分类模块,用于对所述攻击规则分类结果进行处理,得到攻击日志分类结果;
关联规则图谱生成模块,用于对所述攻击日志分类结果进行处理,得到关联规则图谱;
入侵检测模块,对所述关联规则图谱进行处理,还原攻击链过程。
作为一种可选的实施方式,本发明实施例第二方面中,所述对所述攻击检测规则进行处理,得到攻击规则分类结果,包括:
S21,获取ATT&CK框架攻击技战术数据集;
S22,利用归类引擎,将所述攻击检测规则与所述ATT&CK框架攻击技战术数据集进行匹配,得到攻击规则分类结果;
所述攻击规则分类结果为注入ATT&CK技战术号的各类规则。
作为一种可选的实施方式,本发明实施例第二方面中,所述对所述攻击规则分类结果进行处理,得到攻击日志分类结果,包括:
S31,对所述攻击检测规则进行处理,得到告警日志信息;
S32,利用所述攻击规则分类结果对所述告警日志信息进行日志富化,得到攻击日志分类结果。
作为一种可选的实施方式,本发明实施例第二方面中,所述对所述攻击日志分类结果进行处理,得到关联规则图谱,包括:
S41,获取ATT&CK框架知识图谱;
S42,根据所述ATT&CK框架知识图谱,对所述攻击日志分类结果进行处理,得到攻击步骤信息;
S43,对所述ATT&CK框架知识图谱进行扩充,得到扩展ATT&CK框架知识图谱;
S44,对所述扩展ATT&CK框架知识图谱进行知识抽取,得到关联规则知识信息;
S45,对所述攻击步骤信息和所述关联规则知识信息进行处理,得到关联规则图谱。
作为一种可选的实施方式,本发明实施例第二方面中,所述对所述扩展ATT&CK框架知识图谱进行知识抽取,得到关联规则知识信息,包括:
S441,对所述扩展ATT&CK框架知识图谱进行漏洞维知识提取,得到漏洞维子知识库;
S442,对所述扩展ATT&CK框架知识图谱进行资产维知识提取,得到资产维子知识库;
S443,对所述扩展ATT&CK框架知识图谱进行攻击威胁维知识提取,得到攻击威胁维子知识库;
S444,对所述扩展ATT&CK框架知识图谱进行报警信息维知识提取,得到报警信息维子知识库;
所述漏洞维子知识库、资产维子知识库、攻击威胁维子知识库和报警信息维子知识库构成关联规则知识信息。
作为一种可选的实施方式,本发明实施例第二方面中,所述对所述关联规则图谱进行处理,还原攻击链过程,包括:
S51,对所述关联规则图谱进行关联分析,得到时间关联分析结果和空间关联分析结果;
S52,根据所述时间关联分析结果,得到攻击日志的时间信息;
S53,根据所述空间关联分析结果,得到攻击日志的空间位置信息;
S54,根据所述攻击日志的时间信息和所述攻击日志的空间位置信息,还原攻击链过程。
本发明第三方面公开了另一种基于关联规则图谱的入侵检测装置,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行本发明实施例第一方面公开的基于关联规则图谱的入侵检测方法中的部分或全部步骤。
本发明第四方面公开了一种计算机存储介质,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行本发明实施例第一方面公开的基于关联规则图谱的入侵检测方法中的部分或全部步骤。
与现有技术相比,本发明实施例具有以下有益效果:
(1)针对现阶段已知网络攻击行为,关联引擎对海量安全日志的处理及关联规则的生成严重依靠有经验的安全专家,否则容易出现时效性低、可信度低且关联性差等问题。本发明通过基于ATT&CK框架的关联规则图谱实现攻击日志的自动关联与关联规则自动生成,增加了可靠性、时效性的同时也节省了资源。
(2)针对未知攻击行为和潜在威胁,现有关联引擎无法借助已知攻击检测来快速辅助定位未知攻击。本发明通过现有攻击知识图谱实现对未知攻击的预测和定位,可以快速判断攻击及辅助关联规则的生成。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例公开的一种基于关联规则图谱的入侵检测方法的流程示意图;
图2是本发明实施例公开的另基于关联规则图谱的入侵检测方法的流程示意图;
图3是本发明实施例公开的规则分类与日志标签流程图;
图4是本发明实施例公开的知识图谱实体关系图;
图5是本发明实施例公开的ATT&CK知识框架扩充示意图;
图6是本发明实施例公开的基于ATT&CK的知识图谱的时空关联示意图;
图7是本发明实施例公开的一种基于关联规则图谱的入侵检测装置的结构示意图;
图8是本发明实施例公开的另一种基于关联规则图谱的入侵检测装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
本发明公开了一种基于关联规则图谱的入侵检测方法及装置,该方法包括获取攻击检测规则;对所述攻击检测规则进行处理,得到攻击规则分类结果;对所述攻击规则分类结果进行处理,得到攻击日志分类结果;对所述攻击日志分类结果进行处理,得到关联规则图谱;对所述关联规则图谱进行处理,还原攻击链过程。本发明通过资产、漏洞、告警、攻击等不同的维度研究关联分析规则图谱技术,采用线下训练线上预测工作模式,使其具备安全专家分析能力,从攻击者视角出发检测网络攻击行为,快速辅助关联规则的生成与构建,有效提高告警精度,抵御未知攻击。以下分别进行详细说明。
实施例一
请参阅图1,图1是本发明实施例公开的一种基于关联规则图谱的入侵检测方法的流程示意图。其中,图1所描述的基于关联规则图谱的入侵检测方法应用于网络攻击检测,攻击路径还原等领域,本发明实施例不做限定。如图1所示,该基于关联规则图谱的入侵检测方法可以包括以下操作:
S1,获取攻击检测规则;
S2,对所述攻击检测规则进行处理,得到攻击规则分类结果;
S3,对所述攻击规则分类结果进行处理,得到攻击日志分类结果;
S4,对所述攻击日志分类结果进行处理,得到关联规则图谱;
S5,对所述关联规则图谱进行处理,还原攻击链过程。
可选的,所述对所述攻击检测规则进行处理,得到攻击规则分类结果,包括:
S21,获取ATT&CK框架攻击技战术数据集;
S22,利用归类引擎,将所述攻击检测规则与所述ATT&CK框架攻击技战术数据集进行匹配,得到攻击规则分类结果;
所述攻击规则分类结果为注入ATT&CK技战术号的各类规则。
可选的,所述对所述攻击规则分类结果进行处理,得到攻击日志分类结果,包括:
S31,对所述攻击检测规则进行处理,得到告警日志信息;
S32,利用所述攻击规则分类结果对所述告警日志信息进行日志富化,得到攻击日志分类结果。
可选的,所述对所述攻击日志分类结果进行处理,得到关联规则图谱,包括:
S41,获取ATT&CK框架知识图谱;
S42,根据所述ATT&CK框架知识图谱,对所述攻击日志分类结果进行处理,得到攻击步骤信息;
S43,对所述ATT&CK框架知识图谱进行扩充,得到扩展ATT&CK框架知识图谱;
S44,对所述扩展ATT&CK框架知识图谱进行知识抽取,得到关联规则知识信息;
S45,对所述攻击步骤信息和所述关联规则知识信息进行处理,得到关联规则图谱。
可选的,所述对所述扩展ATT&CK框架知识图谱进行知识抽取,得到关联规则知识信息,包括:
S441,对所述扩展ATT&CK框架知识图谱进行漏洞维知识提取,得到漏洞维子知识库;
S442,对所述扩展ATT&CK框架知识图谱进行资产维知识提取,得到资产维子知识库;
S443,对所述扩展ATT&CK框架知识图谱进行攻击威胁维知识提取,得到攻击威胁维子知识库;
S444,对所述扩展ATT&CK框架知识图谱进行报警信息维知识提取,得到报警信息维子知识库;
所述漏洞维子知识库、资产维子知识库、攻击威胁维子知识库和报警信息维子知识库构成关联规则知识信息。
可选的,所述对所述关联规则图谱进行处理,还原攻击链过程,包括:
S51,对所述关联规则图谱进行关联分析,得到时间关联分析结果和空间关联分析结果;
S52,根据所述时间关联分析结果,得到攻击日志的时间信息;
S53,根据所述空间关联分析结果,得到攻击日志的空间位置信息;
S54,根据所述攻击日志的时间信息和所述攻击日志的空间位置信息,还原攻击链过程。
实施例二
本发明的主要目的是提供一种基于关联规则图谱的入侵检测方法。对现阶段主机、网络等入侵检测规则基于ATT&CK攻防技战术知识框架进行归类处理,使用处理后的规则对设备进行监听并富化攻击日志,通过对ATT&CK框架技战术知识的提取、扩充、关联等操作形成关联分析规则知识图谱将日志进行时空关联,生成对应攻击链及关联规则,实现对设备的持续性安全防护。本实施例方案的总体流程主要分为基于ATT&CK的规则分类与日志标签、关联规则图谱的生成和基于ATT&CK知识图谱的关联分析三部分,总体流程如图2所示。
1.基于ATT&CK的规则分类与日志标签
ATT&CK框架是一个网络攻击中涉及的绝大部分已知策略和技术的知识库,包含200多种攻击者可能会在攻击过程中使用的技术框架。因为ATT&CK模型较为全面地描述了攻击者在网络攻击中采取的各种攻击行为,所以它对于各种进攻和防御检查、表示以及其它机制都很有用。
如图3所示为基于ATT&CK的规则分类与日志标签的流程图,规则分类与日志标签分为离线训练与在线预测两种工作模式。
(1)离线训练
离线训练是检测规则基于ATT&CK技战术的二维分类,也是在线预测的基础。在离线训练中主要将攻击检测系统中起检测作用的网络、主机等主流规则通过归类引擎(归类引擎是一种关键技术,它用于对检测规则进行分类,并将相应的分类标签与每个规则关联起来,通过分析规则中的特征、模式和行为,将其归类到特定的类别或标签下)与ATT&CK框架攻击战术技术数据集进行匹配,即在规则信息中加入ATT&CK相应技战术规则号。
(2)在线预测
在线预测是基于离线训练完成对攻击日志基于ATT&CK技战术二维分类。入侵检测系统基于正常模式进行工作,对外来攻击实现检测并产生相应攻击日志,日志经注入ATT&CK技战术号的规则进行对比日志富化形成统一归类日志。若日志由未经过归类划分的规则产生则被送入归类引擎进行归类并将此日志对应的规则一并归类存入数据库,以便日后攻击检测日志的归类及统一化。
2.关联规则图谱的生成
关联规则图谱生成的具体步骤可以分为以下几个阶段:
数据收集:首先需要收集相关的数据,这些数据可以是结构化的数据库记录,也可以是非结构化的文本、日志等。数据的选择取决于具体的应用场景和关联规则的目标。
数据预处理:对采集到的数据进行清洗和预处理,以去除噪声、处理缺失值和异常值等。常见的预处理操作包括数据清洗、去重、归一化、特征选择等。
关联规则挖掘:使用关联规则挖掘算法从预处理后的数据中挖掘出潜在的关联规则信息。
规则筛选和优化:根据关联规则的质量和相关度,筛选和优化生成的规则。可以基于支持度、置信度、提升度等指标进行筛选。同时,还可以考虑规则的长度、频繁项集的大小等因素进行优化。
构建关联规则图谱:将关联规则以图谱的形式进行表示和组织。图谱可以使用图结构来表示不同项集之间的关系,其中项集作为节点,关联规则作为边。可以使用图数据库或图算法来构建和操作关联规则图谱。
可视化和分析:对生成的关联规则图谱进行可视化和分析,以便更好地理解和发现规则之间的关系。这样可以帮助用户快速浏览、搜索和分析关联规则,发现有意义的模式和趋势。
以MITRE ATT&CK对抗战略技术和常识框架为基础,建立关联规则知识图谱,并依据现有知识框架持续更新图谱,旨在预防和检测未知的攻击手段并辅助完成关联规则的智能生成。
经统一归类后的攻击日志需结合ATT&CK框架知识图谱对攻击步骤抽取(分为数据收集、数据预处理、ATT&CK知识图谱导入、数据分析和关联、攻击步骤识别、规则提取和描述、可视化分析)分析才能更准确的进行关联分析,一个攻击场景由若干个子攻击事件组成,而一个子事件可能是多个攻击的前提条件,相对于大量的检测规则仅靠200多个ATT&CK框架技术及其中的信息是不足以支撑其覆盖面的,故需在ATT&CK框架知识的基础上补充相应技术及其它信息(常用组织、威胁情报)来作为知识图谱搭建的基础。在原有ATT&CK框架知识基础上可新增常用组织标准、威胁情报数据、安全产品日志、学术研究与案例分析以及安全社区贡献等基础信息,及进一步增强图谱中实体与实体之间的关联,使得基于图谱的攻击分析更加精准详细。
知识抽取是整个图谱构建的基础,主要功能是收集多源数据集,通过分析数据的组织结构,指定响应的实体属性抽取规则,据此编写对应抽取程序,完成知识抽取工作。为后续知识融合提供数据支撑。知识抽取具体步骤主要分为四步:(1)收集漏洞相关的多源数据(2)分析数据的组织结构,了解数据的格式和属性(3)设计针对相应的实体属性抽取规则(4)编写相应的抽取程序,通过文本分析、模式匹配、关键词提取等技术,从原始数据中提取出相关的实体属性信息。本方案的知识抽取主要分为四部分,第一部分是漏洞维知识提取,主要内容为通过制定漏洞实体结构来建立漏洞维子知识库。第二部分是资产维知识提取,通过建立资产维实体模型提取每条实体的必要属性。第三部分是攻击威胁维知识提取,通过建立攻击威胁实体模型来建立攻击威胁维子知识库。最后一个部分是报警信息维知识提取,该维度是进行关联分析的重要组成部分,因为IDS产生的警报最终需要在知识图谱中找到对应的实体,后续开展相应的关联工作。
如图4所示为知识图谱实体间关系图,不仅对实体的必要属性进行了存储,更加体现了实体属于实体间的关系,左边为某一攻击阶段的攻击手段大类暴力破解,在其对应的知识框架中包括ID、名称、常用组织、威胁程度、描述等攻击信息,而在暴力破解时需要进行远程ssh连接,用户名尝试,密码尝试等细节攻击手段,右边为举例的一种攻击细节,如密码猜测,其为暴力破解全过程中的一个阶段,其中也包括其相应的攻击信息。图5为ATT&CK知识框架扩充后的示意图,在ATT&CK知识框架对应的攻击阶段中,一个阶段的攻击分为多个步骤,而每一个步骤中又包含很多可以相关联的信息,如攻击组织、攻击地区使用主机类型等信息。攻击日志经知识图谱的搜索与关联,从而得到相应攻击的预测和其它相关攻击信息。攻击日志经知识图谱的搜索与关联,从而得到相应攻击的预测和其它相关攻击信息。
3.基于ATT&CK的知识图谱的关联分析
基于ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)的知识图谱关联分析是指通过分析和挖掘ATT&CK知识图谱中各种威胁行为之间的关联关系,来发现和理解威胁行为之间的潜在联系和模式。其具体步骤包括:确定目标与范围、数据准备与预处理、特征提取与表示、构建关联网络、关联度计算、关联规则挖掘、规则评估与筛选,以及结果解释与可视化。
入侵检测系统在同一时刻会产生大量攻击日志,知识图谱会将相关攻击产生的后果全部预测,若只依靠网络攻击知识图谱关联日志是不具有高准确性的,无法识别各攻击之间是否存在真实的前置后续关系。知识图谱结合攻击日志时间段和网络位置上的潜在关联提高告警的精确性,有效还原攻击链的整个过程。通过使用知识图谱进行关联分析可以实现准确的攻击链还原、发现隐藏威胁、精确的告警优化以及威胁情报的丰富化,更好地协助防御和响应安全事件。
如图6所示为基于ATT&CK的知识图谱的时空关联示意图,同一台设备或多台设备会遭受到不同网络的攻击,本实施例提出的基于ATT&CK框架的关联规则图谱技术在入侵检测系统的基础上增加基于时空关联的知识图谱可以有效还原出各攻击链。
实施例三
请参阅图7,图7是本发明实施例公开的一种基于关联规则图谱的入侵检测装置的结构示意图。其中,图7所描述的基于关联规则图谱的入侵检测装置应用于网络攻击检测,攻击路径还原等领域,本发明实施例不做限定。如图7所示,该基于关联规则图谱的入侵检测方装置可以包括以下操作:
S301,数据获取模块,用于获取攻击检测规则;
S302,攻击规则分类模块,用于对所述攻击检测规则进行处理,得到攻击规则分类结果;
S303,攻击日志分类模块,用于对所述攻击规则分类结果进行处理,得到攻击日志分类结果;
S304,关联规则图谱生成模块,用于对所述攻击日志分类结果进行处理,得到关联规则图谱;
S305,入侵检测模块,对所述关联规则图谱进行处理,还原攻击链过程。
实施例四
请参阅图8,图8是本发明实施例公开的另一种基于关联规则图谱的入侵检测装置的结构示意图。其中,图8所描述的基于关联规则图谱的入侵检测装置应用于网络攻击检测,攻击路径还原等领域,本发明实施例不做限定。
如图8所示,该基于关联规则图谱的入侵检测方装置可以包括以下操作:
存储有可执行程序代码的存储器401;
与存储器401耦合的处理器402;
处理器402调用存储器401中存储的可执行程序代码,用于执行实施例一、实施例二所描述的基于关联规则图谱的入侵检测方法中的步骤。
实施例五
本发明实施例公开了一种计算机可读存储介质,其存储用于电子数据交换的计算机程序,其中,该计算机程序使得计算机执行实施例一、实施例二所描述的基于关联规则图谱的入侵检测方法中的步骤。
以上所描述的装置实施例仅是示意性的,其中作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施例的具体描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,存储介质包括只读存储器(Read-Only Memory,ROM)、随机存储器(Random Access Memory,RAM)、可编程只读存储器(Programmable Read-only Memory,PROM)、可擦除可编程只读存储器(ErasableProgrammable Read Only Memory,EPROM)、一次可编程只读存储器(One-timeProgrammable Read-Only Memory,OTPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
最后应说明的是:本发明实施例公开的一种基于关联规则图谱的入侵检测方法及装置所揭露的仅为本发明较佳实施例而已,仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解;其依然可以对前述各项实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应的技术方案的本质脱离本发明各项实施例技术方案的精神和范围。
Claims (4)
1.一种基于关联规则图谱的入侵检测方法,其特征在于,所述方法包括:
S1,获取攻击检测规则;
S2,对所述攻击检测规则进行处理,得到攻击规则分类结果,包括:
S21,获取ATT&CK框架攻击技战术数据集;
S22,利用归类引擎,将所述攻击检测规则与所述ATT&CK框架攻击技战术数据集进行匹配,得到攻击规则分类结果;
所述攻击规则分类结果为注入ATT&CK技战术号的各类规则;
S3,对所述攻击规则分类结果进行处理,得到攻击日志分类结果,包括:
S31,对所述攻击检测规则进行处理,得到告警日志信息;
S32,利用所述攻击规则分类结果对所述告警日志信息进行日志富化,得到攻击日志分类结果;
S4,对所述攻击日志分类结果进行处理,得到关联规则图谱,包括:
S41,获取ATT&CK框架知识图谱;
S42,根据所述ATT&CK框架知识图谱,对所述攻击日志分类结果进行处理,得到攻击步骤信息;
S43,对所述ATT&CK框架知识图谱进行扩充,得到扩展ATT&CK框架知识图谱;
S44,对所述扩展ATT&CK框架知识图谱进行知识抽取,得到关联规则知识信息,包括:
S441,对所述扩展ATT&CK框架知识图谱进行漏洞维知识提取,得到漏洞维子知识库;
S442,对所述扩展ATT&CK框架知识图谱进行资产维知识提取,得到资产维子知识库;
S443,对所述扩展ATT&CK框架知识图谱进行攻击威胁维知识提取,得到攻击威胁维子知识库;
S444,对所述扩展ATT&CK框架知识图谱进行报警信息维知识提取,得到报警信息维子知识库;
所述漏洞维子知识库、资产维子知识库、攻击威胁维子知识库和报警信息维子知识库构成关联规则知识信息;
S45,对所述攻击步骤信息和所述关联规则知识信息进行处理,得到关联规则图谱;
S5,对所述关联规则图谱进行处理,还原攻击链过程,包括:
S51,对所述关联规则图谱进行关联分析,得到时间关联分析结果和空间关联分析结果;
S52,根据所述时间关联分析结果,得到攻击日志的时间信息;
S53,根据所述空间关联分析结果,得到攻击日志的空间位置信息;
S54,根据所述攻击日志的时间信息和所述攻击日志的空间位置信息,还原攻击链过程。
2.一种基于关联规则图谱的入侵检测装置,其特征在于,所述装置包括:
数据获取模块,用于获取攻击检测规则;
攻击规则分类模块,用于对所述攻击检测规则进行处理,得到攻击规则分类结果,包括:
S21,获取ATT&CK框架攻击技战术数据集;
S22,利用归类引擎,将所述攻击检测规则与所述ATT&CK框架攻击技战术数据集进行匹配,得到攻击规则分类结果;
所述攻击规则分类结果为注入ATT&CK技战术号的各类规则;
攻击日志分类模块,用于对所述攻击规则分类结果进行处理,得到攻击日志分类结果,包括:
S31,对所述攻击检测规则进行处理,得到告警日志信息;
S32,利用所述攻击规则分类结果对所述告警日志信息进行日志富化,得到攻击日志分类结果;
关联规则图谱生成模块,用于对所述攻击日志分类结果进行处理,得到关联规则图谱,包括:
S41,获取ATT&CK框架知识图谱;
S42,根据所述ATT&CK框架知识图谱,对所述攻击日志分类结果进行处理,得到攻击步骤信息;
S43,对所述ATT&CK框架知识图谱进行扩充,得到扩展ATT&CK框架知识图谱;
S44,对所述扩展ATT&CK框架知识图谱进行知识抽取,得到关联规则知识信息,包括:
S441,对所述扩展ATT&CK框架知识图谱进行漏洞维知识提取,得到漏洞维子知识库;
S442,对所述扩展ATT&CK框架知识图谱进行资产维知识提取,得到资产维子知识库;
S443,对所述扩展ATT&CK框架知识图谱进行攻击威胁维知识提取,得到攻击威胁维子知识库;
S444,对所述扩展ATT&CK框架知识图谱进行报警信息维知识提取,得到报警信息维子知识库;
所述漏洞维子知识库、资产维子知识库、攻击威胁维子知识库和报警信息维子知识库构成关联规则知识信息;
S45,对所述攻击步骤信息和所述关联规则知识信息进行处理,得到关联规则图谱;
入侵检测模块,对所述关联规则图谱进行处理,还原攻击链过程,包括:
S51,对所述关联规则图谱进行关联分析,得到时间关联分析结果和空间关联分析结果;
S52,根据所述时间关联分析结果,得到攻击日志的时间信息;
S53,根据所述空间关联分析结果,得到攻击日志的空间位置信息;
S54,根据所述攻击日志的时间信息和所述攻击日志的空间位置信息,还原攻击链过程。
3.一种基于关联规则图谱的入侵检测装置,其特征在于,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行如权利要求1所述的基于关联规则图谱的入侵检测方法。
4.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行如权利要求1所述的基于关联规则图谱的入侵检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311220621.6A CN117220961B (zh) | 2023-09-20 | 2023-09-20 | 一种基于关联规则图谱的入侵检测方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311220621.6A CN117220961B (zh) | 2023-09-20 | 2023-09-20 | 一种基于关联规则图谱的入侵检测方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117220961A CN117220961A (zh) | 2023-12-12 |
CN117220961B true CN117220961B (zh) | 2024-05-07 |
Family
ID=89049198
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311220621.6A Active CN117220961B (zh) | 2023-09-20 | 2023-09-20 | 一种基于关联规则图谱的入侵检测方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117220961B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117978476B (zh) * | 2024-01-19 | 2024-09-20 | 长扬科技(北京)股份有限公司 | 基于att&ck知识图谱的攻击链生成方法和装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019043804A1 (ja) * | 2017-08-30 | 2019-03-07 | 日本電気株式会社 | ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体 |
CN109450946A (zh) * | 2018-12-27 | 2019-03-08 | 浙江大学 | 一种基于报警关联分析的未知攻击场景检测方法 |
CN115459965A (zh) * | 2022-08-23 | 2022-12-09 | 广州大学 | 一种面向电力系统网络安全的多步攻击检测方法 |
CN116074075A (zh) * | 2023-01-09 | 2023-05-05 | 北京安博通科技股份有限公司 | 基于关联规则的安全事件关联行为分析方法、系统及设备 |
CN116112211A (zh) * | 2022-12-07 | 2023-05-12 | 珠海横琴跨境说网络科技有限公司 | 一种基于知识图谱的网络攻击链还原方法 |
CN116527288A (zh) * | 2022-01-21 | 2023-08-01 | 上海交通大学 | 基于知识图谱的网络攻击安全风险评估系统及方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020255185A1 (ja) * | 2019-06-17 | 2020-12-24 | 日本電気株式会社 | 攻撃グラフ加工装置、方法およびプログラム |
-
2023
- 2023-09-20 CN CN202311220621.6A patent/CN117220961B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019043804A1 (ja) * | 2017-08-30 | 2019-03-07 | 日本電気株式会社 | ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体 |
CN109450946A (zh) * | 2018-12-27 | 2019-03-08 | 浙江大学 | 一种基于报警关联分析的未知攻击场景检测方法 |
CN116527288A (zh) * | 2022-01-21 | 2023-08-01 | 上海交通大学 | 基于知识图谱的网络攻击安全风险评估系统及方法 |
CN115459965A (zh) * | 2022-08-23 | 2022-12-09 | 广州大学 | 一种面向电力系统网络安全的多步攻击检测方法 |
CN116112211A (zh) * | 2022-12-07 | 2023-05-12 | 珠海横琴跨境说网络科技有限公司 | 一种基于知识图谱的网络攻击链还原方法 |
CN116074075A (zh) * | 2023-01-09 | 2023-05-05 | 北京安博通科技股份有限公司 | 基于关联规则的安全事件关联行为分析方法、系统及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN117220961A (zh) | 2023-12-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
D'Amico et al. | Achieving cyber defense situational awareness: A cognitive task analysis of information assurance analysts | |
Dokas et al. | Data mining for network intrusion detection | |
Wang et al. | A graph based approach toward network forensics analysis | |
Alserhani et al. | MARS: multi-stage attack recognition system | |
CN102075516A (zh) | 一种网络多步攻击识别和预测方法 | |
CN114915479B (zh) | 一种基于Web日志的Web攻击阶段分析方法及系统 | |
CN105009132A (zh) | 基于置信因子的事件关联 | |
Khosravi et al. | Alerts correlation and causal analysis for APT based cyber attack detection | |
CN107846389B (zh) | 基于用户主客观数据融合的内部威胁检测方法及系统 | |
CN112560029A (zh) | 基于智能分析技术的网站内容监测和自动化响应防护方法 | |
CN117220961B (zh) | 一种基于关联规则图谱的入侵检测方法、装置及存储介质 | |
US20230087309A1 (en) | Cyberattack identification in a network environment | |
CN117375997A (zh) | 一种基于蜜点的恶意流量攻击安全知识平面构建方法 | |
CN116074092B (zh) | 一种基于异构图注意力网络的攻击场景重构系统 | |
Pavlov et al. | Analysis of IDS alert correlation techniques for attacker group recognition in distributed systems | |
Lefoane et al. | Latent Dirichlet Allocation for the Detection of Multi-Stage Attacks | |
Xiao et al. | Alert verification based on attack classification in collaborative intrusion detection | |
CN113032774B (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 | |
CN117609990B (zh) | 一种基于场景关联分析引擎的自适应安全防护方法及装置 | |
Anashkin et al. | Implementation of Behavioral Indicators in Threat Detection and User Behavior Analysis | |
Amiri et al. | A complete operational architecture of alert correlation | |
Kawakani et al. | Discovering attackers past behavior to generate online hyper-alerts | |
Chahira | Model for intrusion detection based on hybrid feature selection techniques | |
Yang et al. | A Multi-step Attack Detection Framework for the Power System Network | |
Gupta | Robust and efficient intrusion detection systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |