[发明专利]一种基于攻击链攻击规则挖掘的APT入侵检测方法

权利要求书

1.一种基于攻击链攻击规则挖掘的APT入侵检测方法，其特征在于：包括以下步骤：

S1.对样本数据进行预处理；

S2.采用分类算法对样本数据进行分类，识别出样本数据的应用类型；

S3.将分类后的数据进行合并，并将合并后的数据作为关联规则处理的事务；

S4.采用关联规则算法对合并后的数据进行攻击规则的挖掘，建立攻击规则库；

S5.对攻击规则进行分析，建立相应的解决方案集；

S6.将攻击规则库和解决方案集部署在入侵检测系统中，用于实时监测攻击。

2.根据权利要求1所述的基于攻击链攻击规则挖掘的APT入侵检测方法，其特征在于：所述的步骤S1具体步骤如下：

S11.手机网络中告警设备识别的异常流量的样本信息；

S12.对样本信息进行去除错误、冗余的流量数据操作；

S13.将数据格式进行规范化处理；

S14.处理后的数据存入数据库中。

3.根据权利要求1所述的基于攻击链攻击规则挖掘的APT入侵检测方法，其特征在于：所述的步骤S2具体步骤如下：

S21.采用决策树C4.5算法对规范化的流量数据进行分类；

S22.建立分类器、识别应用类型；

S23.测试分类器的性能，若分类器性能较差，则重复操作步骤S21～S23，提高分类器性能。

4.根据权利要求1所述的基于攻击链攻击规则挖掘的APT入侵检测方法，其特征在于：所述的步骤S3的具体如下：

将分类后的数据根据IP地址进行合并，并将合并后的数据存入数据库；所述的合并方式有三类，分别是：

(1)目的地址和源地址都是相同的数据流量；

(2)目的地址相同的流量数据；

(3)流量的源地址与另一流量目的地址相同的流量数据。

5.根据权利要求1所述的基于攻击链攻击规则挖掘的APT入侵检测方法，其特征在于：所述的步骤S4具体如下：

将合并后的数据作为棺咧规则算法处理的事务，使用Apriori算法对合并后的数据进行APT攻击规则的挖掘，并建立攻击规则库，工实时在线入侵检测系统使用。

6.根据权利要求1所述的基于攻击链攻击规则挖掘的APT入侵检测方法，其特征在于：所述的步骤S5具体如下：

基于步骤S4，对攻击规则进行分析，根据以下的情况进行分析：

(1)专家知识、历史经验等判断攻击规则涉及的攻击链阶段；

(2)根据攻击链各个阶段的特征分析攻击的破坏程度；

(3)攻击者下一步采取的措施以及上一阶段的攻击行为并进行溯源；

依据以上的分析，为每条攻击规则提供解决方案，建立解决方案集，供实时在线检测系统使用。

7.根据权利要求1所述的基于攻击链攻击规则挖掘的APT入侵检测方法，其特征在于：所述的步骤S6具体如下：

将攻击规则库和解决方案集部署在实时在线网络入侵检测系统中，实时监测APT攻击；若本攻击规则库未能匹配到可疑的攻击流量，则将可疑的攻击流量进行收集，返回步骤S1继续进行攻击规则的挖掘，保证攻击规则库的定时更新。