网络攻击源组织检测方法
专利汇可以提供网络攻击源组织检测方法专利检索,专利查询,专利分析的服务。并且本 发明 公开了一种网络攻击源组织检测方法,目的是利用骨干网安全监测视窗内的海量报警 数据挖掘 出网络攻击源组织。技术方案是从海量的报警信息中挖掘攻击者的威胁活动信息,继而构建攻击者威胁活动信息矩阵,通过对威胁活动信息矩阵采用威胁活动关联图生成方法得到威胁活动关联图,并对威胁活动关联图进行优化处理,最后对优化后的威胁活动关联图进行 马 尔科夫快速图形聚类以获得网络攻击源组织信息。采用本发明可以利用骨干网监测视窗内的海量报警数据挖掘出网络攻击源组织,解决了无法直接对网络攻击源组织进行检测的难题,保障了网络攻击源组织检测结果的准确性,且可规避网络结构的变化对检测结果的影响。,下面是网络攻击源组织检测方法专利的具体信息内容。
1.一种网络攻击源组织检测方法,其特征在于包括以下步骤:
第一步,以入侵检测系统产生的全部报警信息为数据源,统计报警信息,为每个攻击者
构造矩阵结构为A的威胁活动信息矩阵,共建立K个攻击者构造威胁活动信息矩阵即A1…
Ap…AK,K为攻击者个数,1≤p≤K;矩阵结构A的横坐标和纵坐标根据报警数据库包含的报警信息构造,横坐标为攻击目标地址,纵坐标为报警时间中的最早时间点和最晚时间点之间的时间段即监测时间范围;威胁活动信息矩阵共有M*N项,M为目标地址个数,N为将最早时间点的整小时时刻做为起始点,每过一个小时分隔出一个小时段,直到到达最晚时间点的整小时时刻,共分隔出的小时段的个数;每一项的内容为攻击信息记录字符串Attack_Struct,字符串形式为:“1,x1;2,x2;3,x3;4,x4;5,x5;6,x6;”,该字符串固定为12元组,其中x1为拒绝服务攻击次数;x2为扫描探测攻击次数;x3为获取权限攻击次数;x4为控制会话攻击次数;x5为留下后门攻击次数;x6为其它类型攻击次数;
第二步,分析K个攻击者之间的两两关联关系,生成威胁活动关联图R;威胁活动关联
图R为由K个节点组成的无向图,K个节点与K个攻击者一一对应,连接节点p及q的边值
即边的权值记为rp,q,rp,q为攻击者attackerp与攻击者attackerq的关联关系的量化值,
1≤p≤K,p
立节点即与其他节点无边相连的节点;将威胁活动关联图以
第四步,采用马尔科夫快速图形聚类方法对攻击者威胁活动关联图进行聚类检测,聚
类指通过分析威胁者之间的关联关系分析将关系紧密的攻击者汇聚到一个子群中,首先将数据库存储的威胁活动关联图信息
2.如权利要求1所述的网络攻击源组织检测方法,其特征在于所述第一步中为每个攻
击者构造威胁活动信息矩阵的方法是:对单个攻击者的报警信息进行遍历计算,将遍历结果填入一个矩阵结构为A的威胁活动信息矩阵中,依次遍历所有攻击者的报警信息,为每个攻击者构建一个矩阵结构为A的威胁活动信息矩阵,具体包括以下步骤:
步骤1.1,对所有攻击分类并按照类型设定标识符,对所有攻击按照攻击类型即拒绝服
务、扫描探测、获取权限、控制会话、留下后门,其它类型分类,定义攻击类型与其对应标识符为:拒绝服务类攻击对应标识符为1,扫描探测类攻击对应标识符为2,获取权限类攻击对应标识符为3,控制会话类攻击对应标识符为4,留下后门类对应标识符为5,其它类型攻击对应标识符为6;构造攻击信息记录字符串Attack_Struct,字符串形式为:“1,x1;2,x2;
3,x3;4,x4;5,x5;6,x6;”;该字符串固定为12元组,其中x1为拒绝服务攻击次数;x2为扫描探测攻击次数;x3为获取权限攻击次数;x4为控制会话攻击次数;x5为留下后门攻击次数;x6为其它类型攻击次数;
步骤1.2,统计报警信息,构造威胁活动信息矩阵结构A,具体方法为:
1.2.1以入侵检测系统产生的海量报警信息为数据源,提取所有攻击者在整个监测视
窗中的全部报警信息,将报警信息中包含的报警时间信息、目标地址信息作为威胁活动信息;
1.2.2对监测视窗中的所有攻击者的目标地址信息做处理,构造威胁活动信息矩阵结
构A的横坐标:不重复地选出所有的目标地址,并按目标地址被攻击的次数即目标地址在报警信息中出现的次数由高到低排列,在横坐标正向方向上从目标地址被攻击次数的最大值开始依次对应到横坐标正向的每个位置,横坐标正向第j个位置的目标地址用dipj表
示,横坐标正向最远位置处的目标地址即所有目标地址中被攻击次数最少的目标地址用
dipM表示,j≤M;
1.2.3对监测视窗中所有攻击者的报警时间信息做处理,做为威胁活动信息矩阵结构
A的纵坐标:将最早时间点的整小时时刻做为纵坐标的起始点,每过一个小时分隔出一个时间段,直到到达最晚时间点的整小时时刻,共分隔出N个小时段,距起始点之后的第i个时间段用timei表示,纵坐标最远位置处的时间段即报警数据库记录最晚一次攻击所发生的小时段用timeN表示,i≤N;
步骤1.3,采用攻击源IP地址区分不同攻击者,第p个攻击者的IP地址记为
attackerp,IP地址为attackerp的攻击者简称为攻击者attackerp,遍历所有攻击者,得到K个威胁活动信息矩阵,记为A1,A2,……,Ap……,AK-1,AK,1≤p≤K,K为攻击者总数。
3.如权利要求1所述的网络攻击源组织检测方法,其特征在于所述第二步中R中的边
值rq,p依据威胁活动信息矩阵Ap及Aq计算得到,具体方法为:
步骤2.1令循环变量p=1;
步骤2.2令循环变量q=p+1;
步骤2.3根据威胁活动矩阵Ap和Aq构造过渡矩阵TSp,q,矩阵元素Sp,q[i][j]表示攻击
者attackerp与攻击者attackerq在timei时段对dipj实施攻击时的威胁匹配程度,与Ap
和Aq相同,过渡矩阵TSp,q也是矩阵结构A,攻击者attackerq指IP地址为attackerq的攻
击者;TSp,q构造方法如下:
2.3.1令循环变量i=1;
2.3.2令循环变量j=1;
2.3.3根据Ap[i][j]及Aq[i][j]计算TSp,q[i][j],假设Ap[i][j]=“1,x1;2,x2;3,x3;
4,x4;5,x5;6,x6;”,Aq[i][j]=“1,y1;2,y2;3,y3;4,y4;5,y5;6,y6;”,其中xh的含义是attackerp在timei时段对dipj实施攻击第h类攻击的次数,h为攻击标示符,1≤h≤6,
yh的含义是attackerq在timei时段对dipj实施攻击第h类攻击的次数,令TSp,q[i][j]=
“1,z1;2,z2;3,z3;4,z4;5,z5;6,z6;”,其中zh取xh与yh之间的最小值,即zh=min(xh,yh);
2.3.4若j
阵;Sp,q计算方法如下:
2.4.1令循环变量i=1;
2.4.2令循环变量j=1;
2.4.3根据TSp,q[i][j]计算Sp,q[i][j]方法是若TSp,q[i][j]=“1,z1;2,z2;3,z3;4,z4;5,z5;6,z6;”,则Sp,q[i][j]=z1+z2+z3+z4+z5+z6;
2.4.4若z2*z3>0,令Sp,q[i][j]=Sp,q[i][j]+0.4*z3;
2.4.5若z3*z4>0,令Sp,q[i][j]=Sp,q[i][j]+0.4*z4;
2.4.6若z4*z5>0,令Sp,q[i][j]=Sp,q[i][j]+0.4*z5;
2.4.7若z2*z3*z4>0,令Sp,q[i][j]=Sp,q[i][j]+0.4*z4;
2.4.8若z3*z4*z5>0,令Sp,q[i][j]=Sp,q[i][j]+0.4*z5;
2.4.9若z2*z3*z4*z5>0,令Sp,q[i][j]=Sp,q[i][j]+0.2*z5;
2.4.10若j
步骤2.6若q
关联图R进行简化的方法是:
步骤3.1令最大边值r_max=0;
步骤3.2令循环变量p=1;
步骤3.3令循环变量q=p+1;
步骤3.4若r_max
步骤3.8令循环变量q=p+1;
步骤3.9若rp,q>r_max*0.05,将威胁活动关联图信息
步骤3.10若q
用BioLayout Express。
6.如权利要求2所述的网络攻击源组织检测方法,其特征在于步骤1.3得到K个威胁
活动信息矩阵即A1,A2,……,Ap……,AK-1,AK的方法为:
1.3.1令变量p=1;
1.3.2对攻击者attackerp的报警信息进行遍历,将遍历获得的所有攻击信息记录字符
串Attack_Struct相对应地填入威胁活动信息矩阵Ap中,具体方法为:
1.3.2.1以入侵检测系统产生的所有报警信息为数据源,提取攻击者attackerp的威胁
活动信息,包括报警时间信息、目标地址信息、攻击类型信息;
1.3.2.2创建用于记录攻击者attackerp威胁活动信息的矩阵Ap;矩阵Ap的矩阵结构
为A,即在横坐标和纵坐标方向的坐标量为矩阵结构A中定义的坐标量,矩阵Ap中每个元素值即Ap[i][j]的计算方法如下:
1.3.2.2.1令循环变量i=1;
1.3.2.2.2令循环变量j=1;
1.3.2.2.3对攻击者attackerp在timei时间段内针对目标地址dipj产生6种类型攻
击进行统计,统计结果采用Attack_Struct结构的字符串记录,并将该字符串做为Ap[i][j]的赋值;
1.3.2.2.4若j
网络攻击源组织检测方法
技术领域
背景技术
(即黑客团伙)是网络攻击者(即黑客个体)之间由于合作、共享、交流等形成的相对稳定
的组织团体。黑客的团体化正是当今黑客发展的一个趋势。过去经常爆发的全球性个体黑
客事件已渐渐发展为由黑客团体精心策划的锁定目标的大型资料外泄事件。例如高级持续
性攻击(Advanced Persistent Threat,APT),即黑客团伙以窃取核心资料为目的一种“恶
意商业间谍威胁”,APT已经成为各种大型企业必须要面临的挑战。另一方面,对黑客团伙
的识别,分析其攻击特点和攻击能力,可方便网络管理者采取针对性的措施来应对。这就使
得我们在对网络攻击行为进行威胁分析时,必须对黑客个体和黑客团伙加以区别,并重点
识别高威胁的黑客团伙。
(socigram)或者矩阵来形式化表达关系网络。常用的组织检测方法主要分为社会学中的
分级聚类(Hierarchical Clustering)和计算机科学中的图形分割(Graph Partition)两
类。这些检测方法都需要以一些基于图论的概念(如度、迹、距离等)作为关系网络量化分
析的基础指标;通过派系(Clique)等概念对关系网络进行凝聚子群分析。
测技术的自身缺陷(存在较高的误报率),以致海量的报警信息难以处理利用。另一方面,
与传统的网络社交群体组织检测不同的是,对网络攻击源组织的分析仅能从报警信息出
发,其中报警信息直接包含的报文信息包括:报警时间、源地址、目标地址、源端口、目标端
口、源MAC、目标MAC、报文长度、报警网卡名称、原始报文、插件特征编号;间接包含的告警
规则信息包括:协议类型、危害等级、操作系统类型、目标端口对象、目标地址对象、源端口
对象、源地址对象、规则版本号、规则特征、漏洞信息、大类型、小类型、目标地址对象、规则名称、服务类型等信息。显然从这些报警信息中无法捕获网络攻击者的兴趣爱好、人际脉
络、个人信息等内容,且无法获得其正常的网络活动信息。这就使得在网络攻击源组织检测
中无法直接获得关系网络量化分析的基础指标,从而导致无法直接构建网络攻击者的关系
网络,进而无法通过常用的组织检测方法对关系网络进行凝聚子群分析。
还没有公开文献涉及网络攻击源的组织检测。如何正确对监测环境中的网络攻击源组织进
行检测是本领域技术人员极为关注的技术问题。
发明内容
掘出网络攻击源组织。基于攻击源组织检测结果,有利于改进网络威胁评估和安全防御。
胁活动关联图生成方法得到威胁活动关联图(即网络攻击者关系网络),并对威胁活动关
联图进行优化处理,最后对优化后的威胁活动关联图进行马尔科夫快速图形聚类以获得网
络攻击源组织信息。
的身份标识)的报警信息进行遍历计算,将遍历结果填入一个矩阵结构为A的威胁活动信
息矩阵中。依次遍历所有攻击者的报警信息,为每个攻击者构建一个矩阵结构为A的威胁
活动信息矩阵,共建立K个攻击者构造威胁活动信息矩阵即A1…Ap…AK,K为攻击者个数,
1≤p≤K。
对应标识符为:拒绝服务类攻击对应标识符为1,扫描探测类攻击对应标识符为2,获取权
限类攻击对应标识符为3,控制会话类攻击对应标识符为4,留下后门(隐藏踪迹)类对应
标识符为5,其它类型攻击对应标识符为6。构造攻击信息记录字符串Attack_Struct,字
符串形式为:“1,x1;2,x2;3,x3;4,x4;5,x5;6,x6;”。该字符串固定为12元组,其中x1为拒绝服务攻击次数;x2为扫描探测攻击次数;x3为获取权限攻击次数;x4为控制会话攻击次
数;x5为留下后门攻击次数;x6为其它类型攻击次数。
据报警数据库包含的报警信息来构造,如图2所示,横坐标为攻击目标地址,纵坐标为监测
时间范围即报警时间中最早时间点与最晚时间点之间的时间段,最早时间点与最晚时间点
由用户根据实际情况确定。具体方法为:
动信息。
被攻击的次数(即目标地址在报警信息中出现的次数)由高到低排列,在横坐标正向方向
上从目标地址被攻击次数的最大值开始依次对应到横坐标正向的每个位置,横坐标正向第
j个位置的目标地址用dipj表示(j≤M),横坐标正向最远位置处的目标地址(即所有目
标地址中被攻击次数最少的目标地址)用dipM表示。
将最早时间点的整小时时刻(即时间取整,如3:15取整为3:00)做为纵坐标的起始点,每
过一个小时分隔出一个小时段,直到到达最晚时间点的整小时时刻,共分隔出N个小时段,
即N为小时段的总数。距起始点之后的第i个时间段用timei表示(i≤N),纵坐标最远位
置处的时间段(即报警数据库记录最晚一次攻击所发生的小时段)用timeN表示。
attackerp,遍历所有攻击者,得到K个威胁活动信息矩阵,记为A1,A2,……,Ap……,AK-1,AK,1≤p≤K,具体方法为:
中每个元素值即Ap[i][j]的计算方法如下:
[j]的赋值。
及q的边值即边的权值记为rp,q,rp,q即为攻击者attackerp与攻击者attackerq的关联关
系的量化值。rp,q依据威胁活动信息矩阵Ap及Aq计算得到。
对dipj实施攻击时的威胁匹配程度。与Ap和Aq相同,过渡矩阵TSp,q也是矩阵结构A。TSp,q
构造方法如下:
1≤h≤6,xh含义见步骤1.1)的次数,yh的含义是attackerq在timei时段对dipj实施攻
击第h类攻击的次数,令TSp,q[i][j]=“1,z1;2,z2;3,z3;4,z4;5,z5;6,z6;”,其中zh取xh与yh之间的最小值,即zh=min(xh,yh)。
下后门)4步,后续攻击以前期攻击成功为前提条件。若TSp,q[i][j]中记录的攻击行为满足
上述攻击流程,则在计算Sp,q[i][j]时进行加权放大。拒绝服务攻击没有攻击流程的前后
依赖关系,故考虑攻击手段之间的连贯性时,不将拒绝服务和其他类型攻击考虑在内。Sp,q
计算方法如下:
中至少可以检测到上万个网络攻击者,这些关联信息给存储和使用带来了极大的不便。因
此,为了减小存储和运算的开销,对威胁活动关联图进行简化:删除威胁活动关联图R中边
值rp,q小于设定阈值(最大边值的5%,该值人为设定)的边信息;删除孤立节点(即与其
他节点无边相连的节点);将威胁活动关联图存入数据库,
是指通过分析威胁者之间的关联关系分析将关系紧密的攻击者汇聚到一个子群中。使用爱
丁堡大学欧洲分子生物研究实验室(European Molecular Biology Laboratory)的开源软
件BioLayout Express做为马尔科夫图形聚类软件。首先将数据库存储的威胁活动关联图
信息
做为输入数据交由图形聚类软件进行聚类,得到所有攻击者IP地址的聚类情况,对于同一
组织的攻击者采用同一个子群组编号标注该组织中的所有攻击者IP地址,将聚类结果输
出,聚类结果可以输出到文本中也可以采用图形化的形式展示。
挖掘出网络攻击源组织。基于攻击源组织检测结果,有利于改进网络威胁评估和安全防御。
击者在监测环境下的威胁活动信息,第二步分析所有攻击者之间的两两关联关系,根据威
胁活动信息矩阵生成威胁活动关联图,解决了无法直接对网络攻击源组织进行检测的难
题。
生变化时,通过设定网络攻击源组织检测的开始时间和结束时间,可规避网络结构的变化
对检测结果的影响。
附图说明
具体实施方式
的身份标识)的报警信息进行遍历计算,将遍历结果填入一个矩阵结构为A的威胁活动信
息矩阵中。依次遍历所有攻击者的报警信息,为每个攻击者构建一个矩阵结构为A的威胁
活动信息矩阵。
阵A1及A2。以A1为例,其中,A1[1][1]=“1,0;2,0;3,0;4,0;5,0;6,0;”,表示攻击者
attacker1对目标地址dip1在时间段time1内没有威胁活动;A1[4][1]=“1,12;2,2;3,35;
4,2;5,3;6,10;”表示攻击者attacker1对目标地址dip1在时间段time4内拒绝服务类攻
击实施了12次、扫描探测类攻击实施了2次、获取权限类攻击实施了35次、控制会话类攻
击实施了2次、隐藏踪迹类攻击实施了3次、其他类型的攻击实施了10次。
attackerp与attackerq的关联关系的量化值。rp,q依据威胁活动信息矩阵Ap及Aq计算得
到。
=2,所以R中只有一个边值r1,2。
立节点,因此,edge_value1,2=r1,2,将
的例子中只有2个节点,且两个点之间存在关联边,因此,例子聚类检测后会将attacker1
及attacker2判定为属于统一攻击组织。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种传输标识符的方法和站点 | 2020-05-08 | 800 |
| 页面转化参数的处理方法及装置 | 2020-05-08 | 154 |
| 发送装置、发送方法、接收装置以及接收方法 | 2020-05-12 | 226 |
| 一种数据的可视化方法及装置 | 2020-05-13 | 248 |
| 一种可高效更新权限的多用户可搜索加密方法和系统 | 2020-05-14 | 755 |
| 基于混合高斯模型的移动对象连续k近邻查询方法及系统 | 2020-05-14 | 499 |
| 一种基于综合字典特性的继电保护定值自适应校核方法 | 2020-05-11 | 757 |
| 嵌入式系统确定性分析方法 | 2020-05-12 | 918 |
| 一种基于Go语言的分布式锁的加锁与释放锁的方法及系统 | 2020-05-13 | 860 |
| 一种云环境中动态的密文多关键词模糊搜索方法 | 2020-05-14 | 986 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
