[发明专利]一种多步攻击模式挖掘方法

权利要求书

1.一种多步攻击模式挖掘方法，其特征在于，包括：

A、从海量流量数据中基于敏感信息表筛选敏感信息流量，并根据杀伤链模型将敏感信息流量归一化为源IP地址、目的IP地址、源端口、目的端口、时间、杀伤链阶段以及区分标志七元组数据；

B、针对告警日志的误报和漏报性质，将从流量数据中筛选出的敏感信息流量和告警日志通过采用单特征IP地址的相似性进行聚类，根据攻击时间、攻击名称、IP地址对每个攻击簇进行内部合并，剔除杀伤链阶段大于3且小于该攻击簇到这条数据为止的最大杀伤链阶段的数据；过滤攻击行为不完整和仅有敏感信息流量组成的攻击簇；

C、攻击簇内每条数据依据属性重要性计算三位数指标(A-B-C)，其中A代表源IP和目的IP相似度，B代表该数据所处的杀伤链阶段，C代表源端口和目的端口所在集群的距离；针对每一个攻击簇，以三位数指标为纵坐标，攻击步骤为横坐标生成坐标点，得到攻击图模型其中N表示某类攻击的实际攻击过程步数，ABC代表多步攻击中每一个单步攻击的属性特征值；

D、对攻击图模型数值进行标准化，得到结果为0-N的标准化数值；根据攻击不同行为将多步攻击行为分为蠕虫式多步攻击和单目标式多步攻击， 同时分别初始化攻击模型；然后从攻击图模型到初始多步攻击模型图找出第一个对应的点，并接着在最大容错范围内去检查相应匹配的对应点；采用最小二乘法通过两个最大匹配区间计算两个模型图的转换概率值；并从中找出最小转换概率值ε_min和修正过的数据集作为最终多步攻击图模型；对转换概率值进行衡量，得到针对多步攻击进行评估的预测值。

2.根据权利要求1所述的一种多步攻击模式挖掘方法，其特征在于，步骤A进一步包括以下步骤：

A1、按照敏感信息表从海量数据中筛选敏感信息，提取的数据包含时间、IP信息、端口信息以及传输的内容主体msg信息字段；

A2、考虑多步攻击行为存在蠕虫传播性质，在原有的杀伤链模型上增加了横向传播阶段，另外通过敏感信息流量数据可以检测到只用IDS告警数据无法检测到的主机信息过程，增加了消除入侵证据阶段；

A3、将A1步筛选的敏感信息流量基于杀伤链模型进行数据归一化，选取的特征字段包括源IP地址(src_ip)、目的IP地址(dst_ip)、源端口(src_port)、目的端口(dst_port)、时间(time)、杀伤链阶段(killstep)以及区分标志(datatype)，最终获得归一化后的七 元组数据集合。