[发明专利]基于层次重启随机游走算法的网络攻击工具关系发现方法

说明书

本发明公开了一种基于层次重启随机游走算法的网络攻击工具关系发现方法，从多源数据中抽取攻击样本、攻击模式以及IOC，并构建关系矩阵，通过考虑代码样本、攻击过程以及属性之间的关系挖掘出潜在的网络攻击特征，使得抽取的数据更加全面具体，提高了对多源数据的利用率；利用重启游走算法将攻击样本关系矩阵、攻击模式关系矩阵以及IOC关系矩阵进行迭代计算，使得生成的相关性得分三元组保证了多源数据的完整性，降低数据损失，提高了网络攻击工具识别的准确度。通过网络攻击工具对之间的推理关系发现潜在的网络攻击工具，能够有效地对多个潜在的网络攻击工具进行处理，降低了人工成本，提高了网络攻击工具进行检测的全面性与准确性。

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于层次重启随机游走算法的网络攻击工具关系发现方法。

背景技术

网络因其信息传递的快速、廉价，在经济、教育、文化等社会方面发挥着越来越重要的作用，应用也越来越广泛。网络作为一场全新的技术革命，对社会各个领域产生了巨大的影响作用。然而，随着网络的发展，与之伴随的安全威胁和传统安全问题相互交织，导致网络空间安全问题日益错综复杂，我们面临着不断加大的网络安全风险，层出不穷的网络攻击事件。

而网络攻击事件所采用的网络攻击工具可以从两个层面来区分，一是理论攻击，二是技术攻击。所谓理论攻击，就是密码学意义上的攻击，只专注于攻击概念或攻击过程、算法，而不考虑具体的技术实现技术攻击与特定的网络协议、操作系统及应用程序相关，存在明显可操作的攻击步骤，攻击者可借用一定的分析手段和攻击工具来达到特定的攻击目的，一般而言，理论攻击是技术攻击的理论基础，几乎每种技术攻击都可以最终归结为某类理论攻击，例如对路由器路由表、服务器域名表的窜改就属于密码学上的完整性侵犯，攻击、序列号猜测攻击可归入密码学上的假冒攻击但理论攻击却未必能成为现实可行的技术攻击。例如差分密码分析已是一种较为成熟的对迭代分组密码的理论攻击方法，然而要将其变为技术攻击手段，切实破译某一特定密文，仍存在需要获取大量明文选择及大量专家干预的困难，即存在数据复杂性和处理复杂性。同样密码学意义上的理论攻击所涵盖的对某些加密算法的攻击、对签名算法的攻击、对密钥交换和认证协议的攻击也未必能举出确实有效的实现方法。因此，到目前为止，对网络攻击的分类主要着眼于技术层次，因为在这一层面上，攻击与特定的网络系统相关，存在明确可操作的步骤和可预期的结果。

因此，如何对网络攻击工具进行快速识别，进而对网络攻击事件进行有效防范处理，成为有效降低网络安全风险的关键环节。

发明内容

针对现有技术的不足，本发明旨在提供一种基于层次重启随机游走算法的网络攻击工具关系发现方法。

为了实现上述目的，本发明采用如下技术方案：

一种基于层次重启随机游走算法的网络攻击工具关系发现方法，具体过程为：

S1、构建网络攻击工具关系矩阵：从多源数据中抽取关于攻击样本、攻击模式和IOC的数据，并构建攻击样本关系矩阵、攻击模式关系矩阵和IOC关系矩阵；攻击样本是指有一定规模的、能对网络造成威胁的恶意代码样本；攻击模式是指抽象的执行恶意代码的攻击动作，即执行恶意代码的攻击过程；IOC是指在攻击过程中所产生的有指示性的值；

S2、计算层次推理概率：将得到的攻击样本关系矩阵、攻击模式关系矩阵和IOC关系矩阵作为初始概率分布矩阵，利用重启随机游走算法分别对三个矩阵进行游走，得到攻击样本关系矩阵、攻击模式关系矩阵、IOC关系矩阵三个层次的相关性得分矩阵；

S3、计算网络攻击工具关系推理概率：对得到的三个层次的相关性得分矩阵进行线性拟合，得到目标网络攻击工具对的关系推理概率Sr_attack；

S4、判断网络攻击工具对的关系：设置阈值为σ，根据阈值σ评判网络攻击工具对的推理关系结果，当Sr_attack＞σ时，则认为对应的攻击工具对之间具有推理关系。