CN118264475A - 基于攻击活动相似性实现跨主机攻击检测的方法 - Google Patents

基于攻击活动相似性实现跨主机攻击检测的方法 Download PDF

Info

Publication number
CN118264475A
CN118264475A CN202410429192.1A CN202410429192A CN118264475A CN 118264475 A CN118264475 A CN 118264475A CN 202410429192 A CN202410429192 A CN 202410429192A CN 118264475 A CN118264475 A CN 118264475A
Authority
CN
China
Prior art keywords
similarity
edge
similar
node
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410429192.1A
Other languages
English (en)
Inventor
陆丽
陈艺丹
魏泰阁
吴博
宋玉柱
谷晶中
王超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Valley Network Polytron Technologies Inc
Original Assignee
Valley Network Polytron Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Valley Network Polytron Technologies Inc filed Critical Valley Network Polytron Technologies Inc
Priority to CN202410429192.1A priority Critical patent/CN118264475A/zh
Publication of CN118264475A publication Critical patent/CN118264475A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明提供一种基于攻击活动相似性实现跨主机攻击检测的方法。该方法包括:步骤1:获取每个目标主机的审计日志,并根据所述审计日志生成对应目标主机的操作图;步骤2:计算任意两个目标主机的操作图之间的相似度,当相似度值大于设定阈值时,则判断该两个目标主机上的攻击关联。本发明可以提高攻击检测的覆盖率,检测出更多单主机级别易被遗漏的攻击。

Description

基于攻击活动相似性实现跨主机攻击检测的方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于攻击活动相似性实现跨主机攻击检测的方法。
背景技术
随着数字化时代的到来,计算机网络和互联网的广泛应用已经成为现代社会的核心。然而,这种高度互联的环境也带来了严峻的安全挑战,信息安全不断受到恶意攻击、数据泄露的威胁。这种形势下,网络安全技术的发展变得至关重要,以保护个人、企业和政府的敏感信息和关键基础设施。
传统的网络安全解决方案主要集中在防火墙、入侵检测系统、入侵防御系统等针对单个主机或有限网络范围内的安全防护。例如单主机行为检测技术和基于病毒特征识别。然而,随着攻击手段的不断演进,这些传统方法逐渐显示出其局限性。具体而言,在一个大型网络中,黑客入侵一个主机后,会继续向其他主机进行渗透;由于企业网络规模庞大,利用单主机行为检测技术基于行为特征和机器学习方法在单个主机上检测到的安全警报很难判断出整个攻击活动的范围。而基于病毒特征识别则一般是基于先前已知的攻击特征和规则来识别和阻止威胁,面对变种和0day攻击失效。
此外,现代恶意攻击更倾向于以多主机协作的方式展开,跨主机攻击模式的复杂性使得传统的安全防御手段难以有效应对。跨主机攻击通常涉及多个计算机或设备,攻击者利用它们之间的连接或关联,实施更广泛、更有破坏力的攻击行为。这类攻击可能利用网络中的多个节点或系统,从一个节点横向扩散到另一个节点,以达到攻击者的目的。例如分布式拒绝服务攻击、僵尸网络和横向移动等。这种攻击模式在不断演化,变得更为隐蔽和复杂,给网络安全带来了严峻挑战。因此,跨主机攻击检测和防御成为信息安全领域急需解决的问题之一。
现有的解决方案大多依赖于侧向移动检测,主要基于对网络中流量、行为或活动模式的监视和分析来发现黑客如何在两个主机之间移动,因此该方法需网络设备支持,同时由于横向移动信号较少,容易被其他行为误报淹没,且容易被绕过。
发明内容
本发明提供一种基于攻击活动相似性实现跨主机攻击检测的方法,可以提高攻击检测的覆盖率,检测出更多单主机级别易被遗漏的攻击。
本发明提供的一种基于攻击活动相似性实现跨主机攻击检测的方法,包括:
步骤1:获取每个目标主机的审计日志,并根据所述审计日志生成对应目标主机的操作图;
步骤2:计算任意两个目标主机的操作图之间的相似度,当相似度值大于设定阈值时,则判断该两个目标主机上的攻击关联。
进一步地,步骤1中,根据所述审计日志生成对应目标主机的操作图,具体包括:
将所述审计日志中包含的系统实体作为节点,将不同系统实体之间的系统调用作为边,对不同系统实体之间的系统调用进行语义标注作为边的标签,从而形成对应目标主机的操作图。
进一步地,所述系统实体包括进程、文件、注册表项和套接字中的一种或多种。
进一步地,步骤2中,计算任意两个目标主机的操作图之间的相似度,具体包括:
检测节点之间的节点相似度,并将相似的两个节点作为一个相似节点对加入匹配节点集中;
检测边之间的边相似度;
根据节点相似度检测结果和边相似度检测结果计算两个操作图之间的相似度。
进一步地,检测节点之间的节点相似度,具体包括:
将每个节点标签作为文本数据,以采用TF-IDF法计算对应节点标签中每个词语的重要度;将词语的重要度作为该词语的权重,以采用局部敏感哈希法生成对应节点标签的签名向量;
比较两个节点的签名向量中的对应位置上签名值是否相同,统计相同签名值的数量,当统计结果大于设定阈值时,则认为两个节点相似。
进一步地,检测边之间的边相似度,具体包括:
提取每个操作图中的所有边和边的标签,形成对应操作图的边集合和标签集合;根据预设的边相似规则库对两个操作图的边进行相似性判断;其中,所述预设的边相似规则库包括:
规则1:两边的调用方法一致,则两边相似;
规则2:Load边和Exec边相似;
规则3:Write边和Create边相似;
规则4:当满足第一条件时,Read边和Exec边相似;其中,所述第一条件包括Read边和Exec边的主语节点包含“PowerShell”子字符串;以及Read边和Exec边的宾语节点匹配“.ps1”、“.psd1”、“.psm1”中的任意一个;
规则5:当满足两边的标签都是“可疑执行”时,CreateProcess边和Openprocess边相似;
规则6:当满足第二条件时,Read边和Load边相似;其中,所述第二条件包括Read边和Exec边的宾语节点匹配“库文件”、“内存映射文件”、“共享内存”、“套接字”中的任意一个。
进一步地,根据节点相似度检测结果和边相似度检测结果计算两个操作图之间的相似度,具体包括:
步骤A1:初始化两个操作图之间的相似分数Sim为0;
步骤A2:从匹配节点集中取出一个相似节点对,将对应的两个节点分别作为对应操作图的根节点;
步骤A3:采用广度优先遍历法从根节点开始逐层遍历,计算当前搜索层的相似贡献;
步骤A4:将当前搜索层的相似贡献累加至相似分数Sim;
步骤A5:重复步骤A3和步骤A4,直至遍历完成,得到两个操作图之间的相似分数。
本发明的有益效果:
(1)由于审计日志覆盖了目标主机上产生的各种事件和信息,以目标主机的审计日志作为攻击活动相似性分析的基础数据,对不同主机进行关联分析,可以检测出更多单主机级别易被遗漏的攻击,显著提高了攻击检测的覆盖率。
(2)本发明所构建的相似性分析模型并不依赖明确的特定特征指标,而是以操作图这一抽象形式表征攻击活动中的不可知部分,因此增加了检测攻击变种的能力。
(3)由于本发明方案是基于主机的审计日志分析实现的,因此无需额外的系统部署,可以最大化利用现有数据,实现成本低。
(4)通过构造随机哈希函数实现基于局部敏感性质的近似相似度计算,避免了传统方法中的两两比较问题,提高了聚类效率。
附图说明
图1为本发明实施例提供的一种基于攻击活动相似性实现跨主机攻击检测的方法的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,本发明实施例提供一种基于攻击活动相似性实现跨主机攻击检测的方法,具体包括以下步骤:
S101:获取每个目标主机的审计日志,并根据所述审计日志生成对应目标主机的操作图;
S102:计算任意两个目标主机的操作图之间的相似度,当相似度值大于设定阈值时,则判断该两个目标主机上的攻击关联。
具体地,主机的审计日志记录了操作系统和应用程序在运行过程中产生的各种事件和信息,如进程启动信息、文件读写访问记录、网络连接记录等。本发明旨在从审计日志记录的攻击活动之间是否存在相似性这一点出发来判断对应的目标主机之间的攻击是否存在关联,由于审计日志覆盖了目标主机上产生的各种事件和信息,因此本发明能够提高攻击检测的覆盖率。同时,通过将文本形式的审计日志转换为图,进而将跨主机攻击检测问题转换为图之间的相似度检测问题,可以提升检测效率。
实施例2
在上述实施例的基础上,本发明实施例还提供一种基于攻击活动相似性实现跨主机攻击检测的方法,具体包括以下步骤:
S201:获取每个目标主机的审计日志;
S202:根据所述审计日志生成对应目标主机的操作图;
具体地,将所述审计日志中包含的系统实体作为节点,将不同系统实体之间的系统调用作为边,对不同系统实体之间的系统调用进行语义标注作为边的标签,从而形成对应目标主机的操作图。本实施例中,系统实体包括进程、文件、注册表项和套接字等带有实体名称/路径以及进程命令行参数的标识信息。系统调用包括read,write,open,fork,load,exec,create等。
需要说明的是,本实施例中仅对可疑的系统调用进行语义标注,作为对可疑攻击行为的语义抽象,如攻击阶段、攻击策略名称等。例如,“初始渗透”标签对应查看系统敏感信息的行为;“持久控制”标签对应添加自启动服务、注册表修改等行为;“发现”标签对应查看文件系统、扫描内网等信息收集行为。
S203:检测节点之间的节点相似度,并将相似的两个节点作为一个相似节点对加入匹配节点集中;
具体地,将每个节点标签作为文本数据,以采用TF-IDF法计算对应节点标签中每个词语的重要度;将词语的重要度作为该词语的权重,以采用局部敏感哈希法生成对应节点标签的签名向量;比较两个节点的签名向量中的对应位置上签名值是否相同,统计相同签名值的数量,当统计结果大于设定阈值时,则认为两个节点相似。
需要说明的是,由于哈希函数存在一定的哈希碰撞概率,即利用该哈希函数对不同且不相似的文本所生成的数字签名是一样的或者是相似的,为了尽可能避免出现该情况,在实际应用中,可以使用多组哈希函数对单个节点标签分别生成数字签名,将生成多组数字签名组合在一起作为该单个节点标签的签名向量,进而可以减小这种碰撞概率。可以理解的是,如果选择的哈希函数性能较好,即哈希碰撞概率较低,也可以仅采用一组哈希函数对单个节点标签生成一个数字签名,直接作为该节点标签的签名向量。
S204:检测边之间的边相似度;
具体地,提取每个操作图中的所有边和边的标签,形成对应操作图的边集合和标签集合;例如,边集合:{read,write,open,fork,...};标签集合:{初步渗透,持久控制,内网扫描,...}。根据预设的边相似规则库对两个操作图的边进行相似性判断;其中,所述预设的边相似规则库包括:
规则1:两边的调用方法一致,则两边相似;
规则2:Load边和Exec边相似;
规则3:Write边和Create边相似;
规则4:当满足第一条件时,Read边和Exec边相似;其中,所述第一条件包括Read边和Exec边的主语节点包含“PowerShell”子字符串;以及Read边和Exec边的宾语节点匹配“.ps1”、“.psd1”、“.psm1”中的任意一个;
具体地,本实施例中,将系统调用的执行主体称为主语节点,将系统调用的被执行主体称为宾语节点。例如,针对‘记事本打开“file1.txt”文件’这一系统调用事件,记事本为主语节点,file1.txt文件为宾语节点;针对‘PowerShell执行“test.ps1”脚本’这一系统调用事件,PowerShell为主语节点,test.ps1脚本为宾语节点。
规则5:当满足两边的标签都是“可疑执行”时,CreateProcess边和Openprocess边相似;
规则6:当满足第二条件时,Read边和Load边相似;其中,所述第二条件包括Read边和Exec边的宾语节点匹配“库文件”、“内存映射文件”、“共享内存”、“套接字”中的任意一个。
需要说明的是,预设的边相似规则库是初始是根据专家经验得到的,后续可以根据数据积累和反馈更新实时对该边相似规则库进行完善。
S205:根据节点相似度检测结果和边相似度检测结果计算两个操作图之间的相似度;
具体地,本步骤具体包括以下子步骤:
步骤A1:初始化两个操作图之间的相似分数Sim为0;
步骤A2:从匹配节点集中取出一个相似节点对,将对应的两个节点分别作为对应操作图的根节点;
步骤A3:采用广度优先遍历法从根节点开始逐层遍历,计算当前搜索层的相似贡献;
具体地,本实施例中将当前搜索层中所有相似节点对的节点相似度之和作为当前搜索层的相似贡献。其中,关于相似节点对的节点相似度可以采用编辑距离来计算。
例如,设定当前遍历第i层的相似节点对,其中一个节点来自操作图A,另一个节点来自操作图B,当前搜索层共有N个相似节点对,则当前搜索层的相似贡献Ci的计算公式为:
其中,sim(j)表示第j个相似节点对之间的节点相似度。
步骤A4:将当前搜索层的相似贡献累加至相似分数Sim;
步骤A5:重复步骤A3和步骤A4,直至遍历完成,然后进行平均计算,即总相似分数除以层数,得到两个操作图之间的相似分数。
本发明提供的一种基于攻击活动相似性实现跨主机攻击检测的技术方案,建立了一种全新的检测模型,能够识别和分析跨越多个主机的攻击行为。通过对攻击者行为的深入了解和模式分析,可以有效识别横向攻击并尽早干预。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (7)

1.基于攻击活动相似性实现跨主机攻击检测的方法,其特征在于,包括:
步骤1:获取每个目标主机的审计日志,并根据所述审计日志生成对应目标主机的操作图;
步骤2:计算任意两个目标主机的操作图之间的相似度,当相似度值大于设定阈值时,则判断该两个目标主机上的攻击关联。
2.根据权利要求1所述的基于攻击活动相似性实现跨主机攻击检测的方法,其特征在于,步骤1中,根据所述审计日志生成对应目标主机的操作图,具体包括:
将所述审计日志中包含的系统实体作为节点,将不同系统实体之间的系统调用作为边,对不同系统实体之间的系统调用进行语义标注作为边的标签,从而形成对应目标主机的操作图。
3.根据权利要求2所述的基于攻击活动相似性实现跨主机攻击检测的方法,其特征在于,所述系统实体包括进程、文件、注册表项和套接字中的一种或多种。
4.根据权利要求2所述的基于攻击活动相似性实现跨主机攻击检测的方法,其特征在于,步骤2中,计算任意两个目标主机的操作图之间的相似度,具体包括:
检测节点之间的节点相似度,并将相似的两个节点作为一个相似节点对加入匹配节点集中;
检测边之间的边相似度;
根据节点相似度检测结果和边相似度检测结果计算两个操作图之间的相似度。
5.根据权利要求4所述的基于攻击活动相似性实现跨主机攻击检测的方法,其特征在于,检测节点之间的节点相似度,具体包括:
将每个节点标签作为文本数据,以采用TF-IDF法计算对应节点标签中每个词语的重要度;将词语的重要度作为该词语的权重,以采用局部敏感哈希法生成对应节点标签的签名向量;
比较两个节点的签名向量中的对应位置上签名值是否相同,统计相同签名值的数量,当统计结果大于设定阈值时,则认为两个节点相似。
6.根据权利要求4所述的基于攻击活动相似性实现跨主机攻击检测的方法,其特征在于,检测边之间的边相似度,具体包括:
提取每个操作图中的所有边和边的标签,形成对应操作图的边集合和标签集合;根据预设的边相似规则库对两个操作图的边进行相似性判断;其中,所述预设的边相似规则库包括:
规则1:两边的调用方法一致,则两边相似;
规则2:Load边和Exec边相似;
规则3:Write边和Create边相似;
规则4:当满足第一条件时,Read边和Exec边相似;其中,所述第一条件包括Read边和Exec边的主语节点包含“PowerShell”子字符串; 以及Read边和Exec边的宾语节点匹配“.ps1”、“.psd1”、“.psm1”中的任意一个;
规则5:当满足两边的标签都是“可疑执行”时,CreateProcess边和Openprocess边相似;
规则6:当满足第二条件时,Read边和Load边相似;其中,所述第二条件包括Read边和Exec边的宾语节点匹配“库文件”、“内存映射文件”、“共享内存”、“套接字”中的任意一个。
7.根据权利要求4所述的基于攻击活动相似性实现跨主机攻击检测的方法,其特征在于,根据节点相似度检测结果和边相似度检测结果计算两个操作图之间的相似度,具体包括:
步骤A1:初始化两个操作图之间的相似分数Sim为0;
步骤A2:从匹配节点集中取出一个相似节点对,将对应的两个节点分别作为对应操作图的根节点;
步骤A3:采用广度优先遍历法从根节点开始逐层遍历,计算当前搜索层的相似贡献;
步骤A4:将当前搜索层的相似贡献累加至相似分数Sim;
步骤A5:重复步骤A3和步骤A4,直至遍历完成,得到两个操作图之间的相似分数。
CN202410429192.1A 2024-04-10 2024-04-10 基于攻击活动相似性实现跨主机攻击检测的方法 Pending CN118264475A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410429192.1A CN118264475A (zh) 2024-04-10 2024-04-10 基于攻击活动相似性实现跨主机攻击检测的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410429192.1A CN118264475A (zh) 2024-04-10 2024-04-10 基于攻击活动相似性实现跨主机攻击检测的方法

Publications (1)

Publication Number Publication Date
CN118264475A true CN118264475A (zh) 2024-06-28

Family

ID=91612979

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410429192.1A Pending CN118264475A (zh) 2024-04-10 2024-04-10 基于攻击活动相似性实现跨主机攻击检测的方法

Country Status (1)

Country Link
CN (1) CN118264475A (zh)

Similar Documents

Publication Publication Date Title
CN113783896B (zh) 一种网络攻击路径追踪方法和装置
RU2706896C1 (ru) Система и способ выявления вредоносных файлов с использованием модели обучения, обученной на одном вредоносном файле
JP7302019B2 (ja) システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法
Alanazi et al. Anomaly Detection for Internet of Things Cyberattacks.
Lee et al. Building robust phishing detection system: an empirical analysis
CN115277127A (zh) 基于系统溯源图搜索匹配攻击模式的攻击检测方法及装置
Rosli et al. Clustering analysis for malware behavior detection using registry data
Wang et al. APT attack detection algorithm based on spatio-temporal association analysis in industrial network
Alazab et al. Detecting malicious behaviour using supervised learning algorithms of the function calls
Panagiotou et al. Host-based intrusion detection using signature-based and ai-driven anomaly detection methods
Muhammad et al. Management of vulnerabilities in cyber security
Raymond et al. Investigation of Android malware using deep learning approach
CN112287345A (zh) 基于智能风险检测的可信边缘计算系统
Rahman et al. An exploratory analysis of feature selection for malware detection with simple machine learning algorithms
Parameswarappa et al. A Machine Learning-Based Approach for Anomaly Detection for Secure Cloud Computing Environments
Kang et al. Actdetector: A sequence-based framework for network attack activity detection
Reddy et al. A survey of different machine learning models for static and dynamic malware detection
CN118264475A (zh) 基于攻击活动相似性实现跨主机攻击检测的方法
Cheng et al. GHunter: A Fast Subgraph Matching Method for Threat Hunting
Anand et al. Mitigating Cyber-Security Risks using Cyber-Analytics
US20190149560A1 (en) Malicious relay and jump-system detection using behavioral indicators of actors
Rani et al. Analysis of machine learning and deep learning intrusion detection system in Internet of Things network
Alazab et al. Developing an intelligent intrusion detection and prevention system against web application malware
CN115051833B (zh) 一种基于终端进程的互通网络异常检测方法
Gupta Robust and efficient intrusion detection systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination