[发明专利]基于双向长短时记忆网络的APT攻击溯源分析方法

说明书

本发明涉及一种基于双向长短时记忆网络的APT攻击溯源分析方法，包括以下步骤：步骤S1：构建溯源图，针对审计日志数据抽取系统操作事件构建溯源图并对溯源图进行图优化；步骤S2：提取序列，对优化后的溯源图提取攻击序列和非攻击序列；步骤S3：深度学习模型训练。步骤S4：攻击实体识别，由入侵检测系统提供真实的攻击症状实体，再由深度学习模型识别所有的攻击实体；步骤S5：攻击路径溯源。本发明针对日志类型的溯源数据，并通过图优化算法对依赖爆炸的溯源图进行处理，提取了攻击序列和非攻击序列，实现了对攻击实体的自动化识别，并在此基础上进行了攻击路径的溯源，能够准确的恢复出攻击路径。

技术领域

本发明涉及网络安全溯源领域，具体涉及基于基于双向长短时记忆网络的APT攻击溯源分析方法。

背景技术

APT攻击即高级可持续威胁攻击,也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。APT攻击溯源主要包括溯源攻击者、攻击组织和攻击路径。APT组织的攻击活动不是一个简单的攻击行为，它是由一个组织进行的高级威胁行动。现在针对APT攻击检测与溯源的研究，其中一个重要难点是没有公开数据集。针对同一个APT组织，不同安全公司发布了各自的报告，许多对APT组织画像的图形化网页也不断出现，但是还没有一个公开权威的APT数据集。

APT攻击溯源技术是网络防御体系中的重难点问题，需要多方面的技术检测、关联查找和相关威胁知识情报的支持。现在安全产业界，主要以“自动化手段+专家分析”的联合溯源方法，结合整个部门的力量对APT攻击事件进行分析，其攻击溯源典型过程是通过安全分析师对发生的攻击症状现象产生相应的假设，再使用工具和技术进行数据调查，识别溯源，再利用自动化的分析手段进行验证和发现，并以此往复。因此，需要进一步研究一种APT攻击溯源分析方法，以便能够较为准确的恢复出攻击路径。

发明内容

本发明要解决的技术问题是：提供一种基于双向长短时记忆网络的APT攻击溯源分析方法，能够较为准确的恢复出攻击路径。

本发明解决其技术问题所采用的技术方案是：一种基于双向长短时记忆网络的APT攻击溯源分析方法，包括以下步骤：

步骤S1：构建溯源图，针对审计日志数据抽取系统操作事件构建溯源图并对溯源图进行图优化；

步骤S2：提取序列，对优化后的溯源图提取攻击序列和非攻击序列；

步骤S3：深度学习模型训练，提取的攻击序列与非攻击序列转换成攻击溯源数字向量；针对生成的攻击溯源数字向量，采用深度学习模型进行训练；

步骤S4：攻击实体识别，由入侵检测系统提供真实的攻击症状实体，再由深度学习模型识别所有的攻击实体；

步骤S5：攻击路径溯源，所有的含有攻击实体的攻击事件形成攻击事件集合，攻击事件按时间戳排序形成攻击流程。

具体地，步骤S1中构建溯源图包括以下内容：

针对所使用的审计日志数据，抽取系统操作事件，根据事件内容构建溯源图；溯源图由节点组成，节点代表主体和对象，代表主体的节点和代表对象的节点统称为事件实体，代表主体的节点和代表对象的节点与边相连，边代表主体和对象之间的操作；

溯源图的图优化包括以下内容：

(1)删除了攻击节点和攻击症状节点不可达的节点和边；

(2)删除了同一主体和对象之间没有导致状态变化的重复动作的边；

(3)合并相同事件的不同主体和对象描述。

具体地，步骤S2中,

攻击序列提取方法包括：提取含有攻击实体的攻击事件，将攻击事件按时间顺序形成攻击序列；