[发明专利]一种基于杀伤链和模糊聚类的APT攻击场景挖掘方法

说明书

本发明公开一种基于杀伤链和模糊聚类的APT攻击场景挖掘方法，可用于挖掘入侵检测系统(IDS)日志中APT攻击场景。包括：入侵检测系统警报收集归一化；基于杀伤链模型分析警报日志中攻击事件的行为特征，对攻击事件进行分类；对警报日志进行模糊聚类形成攻击序列集合；分析攻击序列集，删除不完整的序列，将每个攻击序列转换为有向图，挖掘不同攻击事件间的转移概率矩阵，进而转换为带有概率的APT攻击场景图。本发明通过挖掘真实报警中的APT攻击图，为APT的检测和防御提供了理论依据。

技术领域

本发明涉及网络安全检测技术领域，特别是适用于挖掘入侵检测系统警报日志的一种基于杀伤链和模糊聚类的APT攻击场景方法。

背景技术

随着互联网技术的发展，网络安全状况日趋严峻，网络中攻击方式越来越复杂，APT攻击越来越盛行，因此对APT的研究成为热点。

APT攻击与传统的攻击不同，它们不是用来中断服务，而是用来窃取知识产权、敏感数据的。它具有阶段性、持续时间长、攻击渠道不确定等特点。入侵检测系统(IntrusionDetection System，简称IDS)不能检测出APT攻击，只会对攻击中的某一步产生报警。

目前基于安全日志的APT攻击检测方法包括：使用白名单方法学习正常的系统行为，报告与系统正常模型不同的所有操作；建立APT攻击模型，将安全日志和模型进行匹配，形成攻击上下文，现在主要使用的是建立攻击模型的方法。

然而APT攻击模型的建立需要专家知识，如果攻击模型不完整，会出现警报无法匹配，形成的路径不完整的问题。

发明内容

本发明要解决的技术问题是：针对上述存在的问题，本发明使用了模糊聚类进行攻击事件的关联，挖掘出APT的攻击过程，发明人发现APT攻击具有阶段性的特点，与前一阶段相比在后续阶段中攻击者会获得更高权限，窃取到更多的数据，所以攻击过程呈现出目的性逐渐增强，攻击事件危害程度越来越高的特点，因此在聚类之前本发明者基于杀伤链模型对攻击事件进行划分，添加到模糊聚类中，提高APT检测的准确度。

本发明提供了一种基于杀伤链和模糊聚类的APT攻击场景挖掘方法，用于识别网络中的APT攻击，技术方案如下：

步骤1：收集入侵检测系统的警报日志，将日志转换为统一格式的安全日志，至少包含时间戳字段、源IP字段、目的IP字段、攻击事件字段，形成警报日志集合ALERTS＝{a₁,a₂,a₃,...a_n}。

步骤2：基于杀伤链模型对APT进行阶段划分，依据警报日志中攻击事件属性的行为特征对攻击事件进行分类；

步骤3：将攻击事件属性作为模糊聚类的维度之一，基于多维度的模糊聚类方法将IDS警报日志聚为多个类簇，每个类簇表示一个攻击序列；

步骤4：分析过滤上一步产生的攻击序列集，将每个攻击序列转换为一个有向图，挖掘各个类簇中不同攻击事件间的转移概率矩，进一步转换为带有概率的攻击场景图；

步骤2进一步包括：

步骤21：杀伤链模型包括“发现-定位-跟踪-瞄准-攻击-评估”，基于杀伤链将APT攻击分为信息收集阶段、入侵提权阶段、潜伏扩展阶段、信息窃取阶段；

步骤22：分析警报日志集合中所有攻击事件的行为特征和危害程度将其划分到四个阶段中，形成四类攻击事件，攻击事件在四个阶段呈现的特点是相对于前一阶段，后一阶段的攻击事件会是攻击者获得更高的权限。

进一步，模糊聚类中的多维度属性包括攻击事件、IP地址、时间戳。

步骤3进一步包括：

步骤31：IDS警报日志按照时间戳进行升序排序；