[发明专利]一种基于杀伤链和模糊聚类的APT攻击场景挖掘方法

权利要求书

1.一种基于杀伤链和模糊聚类的APT攻击场景挖掘方法，其特征在于，包括：

步骤1：收集入侵检测系统的警报日志，将日志转换为统一格式的安全日志，至少包含时间戳字段、源IP字段、目的IP字段、攻击事件字段，形成警报日志集合ALERTS＝{a₁,a₂,a₃,...a_n}；

步骤2：基于杀伤链模型对APT进行阶段划分，依据警报日志中攻击事件属性的行为特征对攻击事件进行分类；

步骤3：将攻击事件属性作为模糊聚类的维度之一，基于多维度的模糊聚类方法将IDS警报日志聚为多个类簇，每个类簇表示一个攻击序列；

步骤4：分析过滤上一步产生的攻击序列集，将每个攻击序列转换为一个有向图，挖掘各个类簇中不同攻击事件间的转移概率矩阵，将矩阵转换为带有概率的攻击场景图。

2.根据权利要求1所述的一种基于杀伤链和模糊聚类的APT攻击场景挖掘方法，其特征在于，所述步骤2进一步包括：

步骤21：杀伤链模型包括“发现-定位-跟踪-瞄准-攻击-评估”，基于杀伤链将APT攻击分为信息收集阶段、入侵提权阶段、潜伏扩展阶段、信息窃取阶段；

步骤22：分析警报日志集合中所有攻击事件的行为特征和危害程度将其划分到四个阶段中，形成四类攻击事件，攻击事件在四个阶段呈现的特点是相对于前一阶段，后一阶段的攻击事件会是攻击者获得更高的权限。

3.根据权利要求1所述的一种基于杀伤链和模糊聚类的APT攻击场景挖掘方法，其特征在于，所述模糊聚类中的多维度属性包括攻击事件、IP地址、时间戳。

4.根据权利要求1所述的一种基于杀伤链和模糊聚类的APT攻击场景挖掘方法，其特征在于，所述步骤3进一步包括：

步骤31：IDS警报日志按照时间戳进行升序排序；

步骤32：定义多个维度的隶属度函数及两条警报a_i,a_j隶属于一个攻击序列的总隶属度函数为其中δ_k为每个属性的权重，k表示每个属性；

步骤33：按时间戳的先后顺序从先到后依次分析每条警报日志，计算a_i属于每个已有攻击序列类簇的隶属度，如果超过阈值则将a_i添加到该类簇，如果对每个类簇的隶属度都没有超过阈值，则将a_i作为一个新的类簇。

5.根据权利要求4所述的一种基于杀伤链和模糊聚类的APT攻击场景挖掘方法，其特征在于，所述步骤33中计算a_i属于每个已有攻击序列类簇的隶属度进一步包括：

步骤331：取出一个类簇，以AS_i＝a₁,a₂,a₃,...a_k表示，首先判断a_i攻击事件所处阶段是否满足大于等于AS_i的阶段(AS_i中时间戳最晚的警报所处的阶段)，如果不满足则隶属度为0，如果满足则按照总隶属度函数计算a_i与AS_i中a₁,a₂,a₃,...a_k的隶属度，取k个隶属度中最大值作为a_i隶属于AS_i的隶属度，如果超过阈值则将a_i添加到该类簇；

步骤332：依次取出下一类簇，重复步骤331，直到计算完a_i与每个类簇的隶属度，如果计算完后发现a_i对每个类簇的隶属度都没有超过阈值，则将a_i作为一个新的类簇。

6.根据权利要求1所述的一种基于杀伤链和模糊聚类的APT攻击场景挖掘方法，其特征在于，所述步骤4进一步包括：

步骤41：分析每个攻击序列，删除不完整且攻击序列的所有IP不涉及重点资产的攻击序列，不完整的攻击序列包括孤立的警报组成的攻击序列、攻击序列中最后一条警报的攻击事件属于信息收集阶段和入侵提权阶段的攻击序列；

步骤42：处理过滤后的每一个攻击序列，按照发生时间的先后顺序依次将一个攻击序列中每条警报转换为以攻击事件为内容的节点，添加一条由前一个节点到后一个节点的有向边，如果后一警报的攻击事件相同与前一节点的攻击事件相同且时间戳接近则合并为一个攻击事件节点，有向图可使用矩阵存储，行对应的元素表示有向边的弧尾节点，列对应的元素表示有向边的弧头节点，有向边相接的两个节点对应的位置存储为1；

步骤43：初始化一个空的攻击事件转移矩阵，横向和纵向表示的是有向图中的攻击事件，扫描每个有向图，如果攻击事件A和攻击事件B之间有一个有向边，则将矩阵中(A，B)位置的值加1，如果发现新的攻击事件矩阵中没有，就在在转移矩阵中为该攻击事件增加一行和一列，行和列内容是攻击事件，对应的值初始化为0，再在相应的位置上加1；

步骤44：矩阵中每一位置上的数值转换为数值占该行所有数之和的比重，扫描概率转移矩阵，将它表示为带有概率的攻击场景图，节点为矩阵行或列的攻击事件。