[发明专利]一种基于因果图的网络攻击路径识别方法

说明书

本发明提供了一种基于因果图的网络攻击路径识别方法，其特征在于，包括S1、提取信息系统日志，获取与网络攻击相关的日志信息；S2、依据日志信息，构建因果图；S3、用已知场景生成因果图，并生成攻击序列和非攻击序列；S4、对攻击序列和非攻击序列分别进行向量表征，生成攻击序列向量和非攻击序列向量；S5、基于攻击序列向量和非攻击序列向量，训练攻击序列识别模型；S6、采用步骤S1～S4，构建被测场景的因果图并生成行为序列向量，采用步骤S5攻击序列识别模型对被测场景中已知的被攻击实体的攻击路径识别。上述方法可以快速、高效、准确的完整复现整个攻击过程和路径。

技术领域

本发明涉及计算机技术领域，具体为一种基于因果图的网络攻击路径识别方法。

背景技术

近年来，随着深度学习技术的发展和成熟，其强大的数据分析能力及模型构建能力，已经在多个行业和领域证明能够有效实现产业赋能。同时，“安全+AI”的思路经过众多科研工作者和企业单位的推进后，已经证明具有较好的实用效果，将智能算法应用在网络安全领域中，其核心是跨越安全和智能的场景鸿沟，从数据表征、模型训练等多个方面进行融合。

研究者针对上述问题开展了大量新型攻击的检测及防御研究，Rivero等人提出了一种新的网络入侵检测推理阶段算法，将零样本学习引入到网络入侵检测中，采用基于决策树的算法提取规则，生成属性学习阶段的属性，利用距离公式计算不可见类与可见类之间的测地距离，对新型攻击进行检测。Li等人通过使用基于随机森林特征选择和DBSCAN聚类属性转换的结构，将数据集的特征转换成独热编码，通过属性的类间迁移学习来实现对未知攻击的识别。然而，上述的检测模型中对网络流量和日志数据进行特征进行提取和表征时，仅将其进行向量化，缺乏对特征之间关联关系及上下文环境的表达。

针对攻击路径分析，SLEUTH系统用于从审计日志中实时检测攻击和重建攻击。它使用一个基于主存的数据依赖模型，利用基于标签的攻击检测和重建技术，通过构建可视化的攻击步骤图来展示网络攻击的流程。Milajerdi等人提出了一种名为POIROT的网络攻击检测分析系统。该系统利用内核审计记录来检测攻击，该系统使用网络威胁情报的关联性来揭示网络攻击的攻击步骤。MIT的CSAIL实验室于公开他们的研究成果AI2，使用无监督学习配合有监督学习的方法，通过机器学习对海量的日志信息进行分析，识别出85％以上的攻击行为，并且误报率低于95％，基于该成果成立了PatternEx公司，作为盈利的产品面向市场进行推广。上述研究成果在进行路径识别时，主要采用了线性模型来识别攻击步骤，然而网络行为是一个复杂的图模型，且其中存在因果依赖关系，导致其中的关系表征缺失，造成路径识别的准确率较低。

发明内容

为了解决传统安全设备能够抵御大部分单一网络攻击，但是对于针对性的、复杂性的、未知的网络攻击及其变种的检测及分析方法尚不完备，无法完整复现整个攻击过程和路径的问题，本发明设计了一种基于因果图的网络攻击路径识别方法。

实现发明目的的技术方案如下：一种基于因果图的网络攻击路径识别方法，包括以下步骤：

S1、提取信息系统日志，获取与网络攻击相关的日志信息；

S2、依据日志信息，构建因果图；

S3、用已知场景生成因果图，并生成攻击序列和非攻击序列；

S4、对攻击序列和非攻击序列分别进行向量表征，生成攻击序列向量和非攻击序列向量；

S5、基于攻击序列向量和非攻击序列向量，训练攻击序列识别模型；

S6、采用步骤S1～S4，构建被测场景的因果图并生成行为序列向量，采用步骤S5攻击序列识别模型对被测场景中已知的被攻击实体的攻击路径识别。

进一步地，上述步骤S1中，提取信息系统日志，获取与网络攻击相关的日志信息，包括：

S11、在系统设备终端部署的日志生成器，获取系统日志文件；