CN115242487B - 一种基于元行为的apt攻击样本增强及检测方法 - Google Patents
一种基于元行为的apt攻击样本增强及检测方法 Download PDFInfo
- Publication number
- CN115242487B CN115242487B CN202210849732.2A CN202210849732A CN115242487B CN 115242487 B CN115242487 B CN 115242487B CN 202210849732 A CN202210849732 A CN 202210849732A CN 115242487 B CN115242487 B CN 115242487B
- Authority
- CN
- China
- Prior art keywords
- meta
- behavior
- log data
- data
- apt attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 24
- 238000012549 training Methods 0.000 claims abstract description 52
- 230000006399 behavior Effects 0.000 claims abstract description 46
- 238000000034 method Methods 0.000 claims abstract description 33
- 238000013515 script Methods 0.000 claims abstract description 22
- 230000008569 process Effects 0.000 claims abstract description 16
- 238000005516 engineering process Methods 0.000 claims abstract description 9
- 230000002708 enhancing effect Effects 0.000 claims abstract description 4
- 239000013598 vector Substances 0.000 claims description 15
- 238000004088 simulation Methods 0.000 claims description 8
- 230000004913 activation Effects 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 5
- 238000012546 transfer Methods 0.000 claims description 5
- 238000006243 chemical reaction Methods 0.000 claims description 4
- 210000002569 neuron Anatomy 0.000 claims description 3
- 238000012217 deletion Methods 0.000 abstract description 3
- 230000037430 deletion Effects 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 7
- 239000012634 fragment Substances 0.000 description 6
- 238000013528 artificial neural network Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于元行为的APT攻击样本增强及检测方法,包括:部署日志数据采集器;以ATT&CK框架中各个阶段的技术为分析基础,利用日志数据采集器采集APT攻击下的***级日志数据,以进程为单位分析***级日志数据中的动态行为特征,并根据动态行为特征定义元行为;根据元行为构建自动化脚本,运行自动化脚本并采集运行时产生的***级日志数据,将采集的***级日志数据作为正常样本集;将正常样本集作为训练集,利用训练集对孪生网络进行训练直至达到预设的训练结束条件;取训练至收敛的孪生网络对待分析的***级日志数据进行APT攻击检测。本发明实现针对APT攻击样本缺失问题而提供样本增强及APT攻击检测的方法。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种基于元行为的APT攻击样本增强及检测方法。
背景技术
目前,网络安全形势已进入崭新的时代,面向各种新的战场和市场,需要新的架构、新的方法来支撑应对越来越多艰巨的任务,而大力发展信息***安全检测和验证技术,特别是发展针对高级网络攻击的智能检测分析技术,实现信息***的安全可控,以寻求在网络空间对抗中的领先地位已迫在眉睫。
APT(Advanced Persistent Threat)攻击,即高级持续性威胁攻击,通常是指对政府、核心基础设施(如能源、运输、通讯)和重要行业(如军工、金融、医疗)所发动的攻击。APT攻击与传统的攻击模式相比,具有持续时间久、攻击链长、隐蔽性高、手段多样、危害性强等特征,可利用社会工程学、0-day漏洞、受感染的存储介质等多种方式进行攻击。此外,根据Trustwave数据显示,APT攻击从初步入侵到造成影响的平均潜伏时间为83天。
由于APT攻击的攻击对象多为企业、政府等对象,因此其涉及的攻击数据往往包含大量的敏感信息,因为此在研究的过程中很难拿到真实的攻击数据进行分析。与此同时,对于基于深度学习的APT进行检测方式而言,缺少足够的训练数据,往往会令训练的模型缺乏准确性。因此亟需一种能够生成合理的APT模拟攻击样本并对攻击进行有效检测的方法。
发明内容
本发明的目的在于提供一种基于元行为的APT攻击样本增强及检测方法,实现针对APT攻击样本缺失问题而提供样本增强及APT攻击检测的方法。
为实现上述目的,本发明所采取的技术方案为:
一种基于元行为的APT攻击样本增强及检测方法,所述基于元行为的APT攻击样本增强及检测方法,包括:
步骤1、部署日志数据采集器;
步骤2、以ATT&CK框架中各个阶段的技术为分析基础,利用日志数据采集器采集APT攻击下的***级日志数据,以进程为单位分析***级日志数据中的动态行为特征,并根据动态行为特征定义元行为;
步骤3、根据元行为构建自动化脚本,运行自动化脚本并采集运行时产生的***级日志数据,将采集的***级日志数据作为正常样本集;
步骤4、将所述正常样本集作为训练集,利用训练集对孪生网络进行训练直至达到预设的训练结束条件;
步骤5、取训练至收敛的孪生网络对待分析的***级日志数据进行APT攻击检测,包括:
步骤5.1、将实时采集的***日志数据输入孪生网络,得到该***日志数据所包含的元行为;
步骤5.2、将该***日志数据中识别得到的元行为进行组合,若组合结果符合ATT&CK框架中的攻击链,则检测结果为本次采集的***日志数据中包含APT攻击;否则本次采集的***日志数据中不包含APT攻击。
以下还提供了若干可选方式,但并不作为对上述总体方案的额外限定,仅仅是进一步的增补或优选,在没有技术或逻辑矛盾的前提下,各可选方式可单独针对上述总体方案进行组合,还可以是多个可选方式之间进行组合。
作为优选,所述元行为包括:下载执行、远程Shell、键盘记录、获取密码、远程摄像头、访问网址、计算机控制、***信息、录音、服务管理器、脚本执行、CD-Rom控制、枚举窗口、剪贴板管理、桌面任务栏管理、DDos、网络连接表、软件管理、显示器控制、语音转换、自启动管理、USB管理、搜索文件、文件传送。
作为优选,所述孪生网络的子网络为LSTM模型,所述LSTM模型的层数为2层且每层神经元个数为32个,所述LSTM模型最后的输出结构为拉伸层。
作为优选,利用训练集对孪生网络进行训练直至达到预设的训练结束条件,包括:
步骤4.1、将属于同一元行为的三个数据片段和一个属于不同元行为的数据片段组成一个训练组,并划分训练组为两个数据对,将两个数据片段属于同一元行为的数据对设置为正样本,两个数据片段属于不同元行为的数据对设置为负样本;
步骤4.2、取训练组,将两个数据对分别输入孪生网络的两个子网络,计算两个子网络输出的拉伸向量之间的距离,将计算得到的距离先后输入一个激活函数为RELU的全连接层,以及一个激活函数为Sigmoid的输出层,最终得到置信值;
步骤4.3、对比置信值和认证阈值,若置信值大于或等于认证阈值,则表示模型认证结果为包含该元行为;否则模型认证结果为不包含该行为;
步骤4.4、根据模型认证结果和设置为正样本或负样本的数据对调整孪生网络的模型参数,重复取训练组进行训练直至达到预设的训练结束条件。
作为优选,所述计算两个子网络输出的拉伸向量之间的距离,包括:
式中,D为计算得到的距离,为其中一个子网络输出的拉伸向量F1中的第j个元素,/>为另一个子网络输出的拉伸向量F2中的第j个元素,j=1,2,3,…,J,J是的拉伸向量的长度。
作为优选,所述将实时采集的***日志数据输入孪生网络,得到该***日志数据所包含的元行为,包括:
将实时采集的***日志数据放入孪生网络作为其中一个输入,并设置孪生网络另一个输入为各个单独包含一个元行为的数据集,将实时采集的***日志数据与不同元行为对应的数据集进行一一比较,若孪生网络针对当前数据集输出的对比置信值大于或等于认证阈值,则表示模型认证结果为实时采集的***日志数据包含该数据集对应的元行为。
作为优选,所述将该***日志数据中识别得到的元行为进行组合,包括:
将该***日志数据中识别得到的元行为进行排列组合,并将每次排列组合得到的结果与ATT&CK框架中的攻击链进行比对。
本发明提供的基于元行为的APT攻击样本增强及检测方法,与现有技术相比具有以下有益效果:
(1)由于缺乏优秀的APT攻击样本,现有的智能APT攻击检测方法往往缺乏足够的样本进行模型训练,无法获得优秀的训练结果。而本发明方法能够基于元行为对APT攻击样本进行增强,解决了优秀样本缺失的问题。
(2)本发明方法中所描述的元行为的定义的方式是从语义角度出发,不仅参考了ATT&CK框架的特点,还对采集到的模拟APT攻击时所生产的***日志进行了分析参考。因此该方法能更有效的从日志语义的角度实现对APT攻击的高效检测。
附图说明
图1为本发明的基于元行为的APT攻击样本增强及检测方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是在于限制本发明。
如图1所示,本实施例的基于元行为的APT攻击样本增强及检测方法,包括以下步骤:
步骤1、部署采集工具,获取应用数据集:在模拟主机上搭建Audit、Event Tracingfor Windows等日志采集工具(其中Linux平台使用SPADE,基于Audit开发,采集日志数据;Windows平台使用Event Tracing for Windows进行采集),并用主机模拟日常办公活动,从而收集数据集样本。
步骤2、以ATT&CK框架中各个阶段的技术为分析基础,采集APT攻击下的***级日志数据,以进程为单位分析***级日志数据中的动态行为特征,并根据动态行为特征定义元行为。
本实施例对ATT&CK框架中各个阶段的技术进行分析,在部署日志数据采集工具的模拟主机上复现攻击,并采集***日志数据。在***日志数据中,以进程为单位进行分析提取并定义元行为。
以ATT&CK框架里的初始阶段中的侦察和资源准备阶段为例,多用网络嗅探的手段进行。网络嗅探用的多是网络扫描的方式,例如nmap扫描目标主机端口,nmap扫描主机的原理是通过发送ICMP ECHO/TIMESTAMP/NETMASK报文、TCPSYN/ACK包、SCTP INIT/COOKIE-ECHO包等的方式来进行主机探测。攻击者在扫描了解被攻击主机的信息后,就可以进行下一步攻击阶段。在知道了被攻击者主机开放的端口后,可以针对对应端口进行攻击。比如攻击者如果知道被攻击者主机上运行了一个web服务,而通过扫描也发现了目标网段中有一个主机开启了80端口,即可认为扫描到的主机即为被攻击者的主机IP。接着攻击者即可用DirBuster等工具对目标网站进行扫描,从而知道该网站的所有子目录结构,以此来寻找该网站的信息与可能存在的攻击点。而在此过程中所使用的DirBuster工具扫描的原理也是通过爬虫根据字典(字典中包含常见的网址后缀信息)进行访问测试。
在模拟主机上模拟上述提到的所有网络嗅探使用的技术,对采集到的***日志数据进行分析,以进程为单位,从关键进程出发,分析其操作行为,以定义其动态行为特征为何种元行为。例如上述所对应的进程行为都可以被定义为网络连接表这一元行为。其在日志数据中的表现为一个进程与net建立了连接,与网络进行了多次的数据交互。
而到了ATT&CK框架中的执行阶段,此时攻击者已经收集了足够多目标网站的信息,可以选择利用目标网站存在的漏洞进行攻击。比如攻击者利用了SQL注入的方式进入目标网站的管理员后台。随后又利用网站存在的文件上传漏洞,借助管理员权限向网站上传一个webshell木马文件。当网站开始运行的时候,攻击者便可以利用蚁剑等工具去连接该文件,开启一个虚拟的webshell,从而获得web权限。随即攻击者便可以以web权限访问目标网站所在的服务器上的文件,进行进一步的信息收集。上述过程中,攻击者上传webshell的操作对应的进程操作可以被定义为文件传送这一元行为。
通过对受攻击下采集的***日志数据的分析,本实施例得到定义的元行为包括:下载执行、远程Shell、键盘记录、获取密码、远程摄像头、访问网址、计算机控制、***信息、录音、服务管理器、脚本执行、CD-Rom控制、枚举窗口、剪贴板管理、桌面任务栏管理、DDos、网络连接表、软件管理、显示器控制、语音转换、自启动管理、USB管理、搜索文件、文件传送。
本实施例对多个APT攻击样本以及ATT&CK框架进行分析,提取APT常用攻击中包含的数十个动态行为特征,如表1所示,虽然这些动态的元行为单独来看并不能认为是攻击,但它们却是构成一次APT攻击的重要组成部分。换句话说,一次APT攻击由多个元行为组合而成。因此,本实施例提及的动态行为特征定义为在APT攻击过程中存在的元行为。
表1根据动态行为特征定义的元行为
元行为 | 描述(即对应的动态行为特征) |
下载执行 | 下载文件并自动执行 |
远程Shell | 打开并远程执行命令 |
键盘记录 | 记录受害者键盘输入 |
获取密码 | 获取特定应用的密码(例如浏览器等) |
远程摄像头 | 远程打开并控制受害者摄像头 |
访问网址 | 强制受害者打开对应网站 |
计算机控制 | 远程打开或关闭受害者电脑 |
***信息 | 收集***信息(例如,计算机名称、语言) |
录音 | 获取受害者电脑的音频输入和输出 |
服务管理器 | 查询、暂停、创建和恢复***服务 |
脚本执行 | 在受害者电脑上编辑和执行脚本程序 |
CD-Rom控制 | 对CD-Rom执行弹出、读取、执行等操作 |
枚举窗口 | 收集受害者电脑上所有应用窗口信息 |
剪贴板管理 | 收集或者设置剪贴板的文本内容 |
桌面任务栏管理 | 在受害者电脑上显示或隐藏任务栏 |
DDos | 对指定目标发起分布式拒绝服务攻击 |
网络连接表 | 收集受害者电脑上所有网络连接数据 |
软件管理 | 安装、枚举、卸载受害者电脑上的软件 |
显示器控制 | 控制受害者显示器 |
语音转换 | 将一段话转换成语音并在受害者电脑上播放 |
自启动管理 | 添加或删除自启动程序 |
USB管理 | 启动或关闭键盘和鼠标的连接 |
搜索文件 | 在受害者电脑上搜索对应名称的文件 |
文件传送 | 从目标电脑上传或下载文件 |
需要说明的是,上述为本实施例提供的常见的元行为,在其他实施例中,还可以根据***日志数据定义更多或更细节的元行为。本实施例主要提出从***日志数据中提炼元行为的思路。
步骤3、根据元行为构建自动化脚本,运行自动化脚本并采集运行时产生的***级日志数据,将采集的***级日志数据作为正常样本集
根据元行为的特征设计自动化脚本,在采集的数据集的过程中运行这些自动化脚本,将这些元行为运行时对应的***日志数据加入到采集的数据集中。根据元行为设计自动化脚本,根据上述各元行为运行原理,利用shell或python编写自运行相同行为的自动化脚本,例如直接用shell脚本编写多端ssh连接脚本等等。
在主机模拟日常办公环境的同时,运行这部分自动化脚本,从而采集大量包含正常用户办公日志数据的元行为数据集,如记录正常操作的键盘记录、远程摄像头等对应的***日志的数据集,用正常***活动中的元行为数据来扩增训练所需数据集,所采集的数据集中不包含攻击,但是包含元行为。
步骤4、将正常样本集作为训练集,即步骤3中所生成的正常样本集,其“正常”与“攻击”相对,指的是不包含攻击,但是包含元行为的样本集作为训练集,利用训练集对孪生网络进行训练直至达到预设的训练结束条件。
在获取到相应数据量的样本数据后,本实施例采用孪生网络作为后续检测网络,以准确匹配***日志数据中所包含的元行为。
步骤4.1、构建一个孪生网络,利用得到的多个包含不同元行为的数据集对该网络进行训练。
构建孪生网络:孪生网络是基于两个神经网络耦合的框架。孪生网络的输入是两个样本。它的两个子网络每个均接受一个输入,然后输出一个映射在高层空间的对应表示。这两个表示之间的距离,比如说Eucldean distance,将会被计算来指代两个输入的相似度。孪生网络非常善于判断两个输入的相似程度。一个训练好的孪生神经网络将会最大化不同标签数据的表示差距,最小化相同标签数据的表示差距。
由于本实施例中的溯源图包含时间序列,因此选择LSTM模型作为孪生网络的子网络能够最大化的学习上下文相关的时间序列数据(Format As Time Series Data作为时间序列数据的格式)。因为网络结构在相同的任务中具有通用性,因此本实施例的LSTM模型设置层数仍为2层且每层神经元为32个,并且孪生网络的两个子网络共享权重。此时,为了结合孪生神经网络,LSTM神经网络的输出层进行了微调。原始的输出层(softmax)被修改为拉伸层(flattened layer),为了输出一个经过拉伸的向量以便进行之后的距离计算。同时孪生网络的作用是使得模型学习分辨两个输入的数据片段是否属于同一个元行为,以此来判断被检测数据集包含哪些元行为。
步骤4.2、训练孪生网络:利用步骤3得到的数据对孪生网络进行训练,得到最优的孪生网络。
步骤4.2.1、取步骤3中多个利用脚本得到的包含单个或多个元行为与正常用户行为的数据集作为训练数据,将属于同一元行为的三个数据片段和一个属于不同元行为的数据片段组成一个训练组,并划分训练组为两个数据对,将两个数据片段属于同一元行为的数据对设置为正样本,两个数据片段属于不同元行为的数据对设置为负样本。例如4个数据片段被划分为两个数据对p1和p2(即时间序列数据x1,x2),其中p1的标签为1,p2的标签为0。标签1表示两个数据片段属于同一个元行为,标签0则相反。
步骤4.2.2、取训练组,将两个数据对分别输入孪生网络的两个子网络,计算两个子网络输出的拉伸向量之间的距离,计算公式如下:
式中,D为计算得到的距离,为其中一个子网络输出的拉伸向量F1中的第j个元素,/>为另一个子网络输出的拉伸向量F2中的第j个元素,j=1,2,3,…,J,J是的拉伸向量的长度。
将计算得到的距离D先后输入一个激活函数为RELU的全连接层,以及一个激活函数为Sigmoid的输出层,最终得到置信值式中/>表示第i次迭代下输入孪生网络的时间序列数据x1,/>表示第i次迭代下输入孪生网络的时间序列数据x2,p表示第i次迭代下模型对输入时间序列数据x1和x2的相似程度进行度量的相似度函数,c是一个0到1之间的小数。
步骤4.2.3、对比置信值和认证阈值,若置信值大于或等于认证阈值,则表示模型认证结果为包含该元行为;否则模型认证结果为不包含该行为。
本实施例设置了一个认证阈值t(t在0到1之间,优选为0.5)来帮助认证。当c大于等于t时,认定为包含该元行为;否则,认定不包含该元行为。注意,t可以根据模型训练效果与实际使用场景进行调整。
步骤4.2.4、根据模型认证结果和设置为正样本或负样本的数据对调整孪生网络的模型参数,重复取训练组进行训练直至达到设定的训练结束条件。
设定的训练结束条件可以是最大的迭代次数,也可以是模型输出准确度。与常规的模型训练相同,本实施例也通过预测标签(模型认证结果)和实际标签(正负样本)调整模型参数,使用的损失函数时二分类交叉熵,同时为了解决样本不均衡问题,本实施例选择了孪生网络,可以多次迭代的输入数据对,且每次迭代输入数据对的正负样本为1:1,从而解决了样本不均衡问题,最终得到的孪生网络作为可迁移模型在后续的实时认证阶段使用。
步骤5、取训练至收敛的孪生网络对待分析的***级日志数据进行APT攻击检测,利用训练后的孪生网络模型对待分析的数据集进行分类、检测。
步骤5.1、将实时采集到***日志数据放入孪生网络,与定义好的元行为进行匹配,并记录其包含的元行为。将后续采集到的数据集放入训练完成的孪生网络。孪生网络的作用是使得模型能够学习分辨两个输入的数据片段是否包含同一个元行为。将需要分析的溯源图对应的***日志数据数据集放入孪生网络作为其中一个输入,并设置另一个输入为各个单独包含一个元行为的数据集,将实时采集的***日志数据与不同元行为对应的数据集进行一一比较若孪生网络针对当前数据集输出的对比置信值大于或等于认证阈值,则表示模型认证结果为包含该元行为。将被检测数据集与上述24个元行为一一进行认证比对,从而得出输入的溯源图中包含哪些元行为并记录。
步骤5.2、将该***日志数据中识别得到的元行为进行组合,若组合结果符合ATT&CK框架中的攻击链,则检测结果为本次采集的***日志数据中包含APT攻击;否则本次采集的***日志数据中不包含APT攻击。
本实施例将一次采集的***日志数据中包含的经孪生网络模型匹配确认的元行为进行整合,即对包含的元行为进行排列组合,并将每一次的组合结果与ATT&CK框架中的攻击链进行比对。如果一个数据集中包含的元行为能够顺利结合成一条符合ATT&CK框架的较完整的攻击链,则意味着已经该数据集中包含类似APT攻击的行为。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明的保护范围应以所附权利要求为准。
Claims (7)
1.一种基于元行为的APT攻击样本增强及检测方法,其特征在于,所述基于元行为的APT攻击样本增强及检测方法,包括:
步骤1、在模拟主机上搭建日志采集工具;
步骤2、以ATT&CK框架中各个阶段的技术为分析基础,利用日志数据采集器采集APT攻击下的***级日志数据,以进程为单位分析***级日志数据中的动态行为特征,并根据动态行为特征定义元行为,包括:
对ATT&CK框架中各个阶段的技术进行分析,在部署日志采集工具的模拟主机上复现APT攻击,并采集***级日志数据,在***级日志数据中,以进程为单位进行分析提取并定义元行为;
步骤3、根据元行为构建自动化脚本,运行自动化脚本并采集运行时产生的***级日志数据,将采集的***级日志数据作为正常样本集,包括:
根据元行为的特征构建自动化脚本,在模拟主机模拟日常办公环境的同时运行所构建的自动化脚本,从而采集大量包含正常用户办公日志数据的元行为数据集,作为正常样本集;
步骤4、将所述正常样本集作为训练集,利用训练集对孪生网络进行训练直至达到预设的训练结束条件;
步骤5、取训练至收敛的孪生网络对待分析的***级日志数据进行APT攻击检测,包括:
步骤5.1、将实时采集的***日志数据输入孪生网络,得到该***日志数据所包含的元行为;
步骤5.2、将该***日志数据中识别得到的元行为进行组合,若组合结果符合ATT&CK框架中的攻击链,则检测结果为本次采集的***日志数据中包含APT攻击;否则本次采集的***日志数据中不包含APT攻击。
2.如权利要求1所述的基于元行为的APT攻击样本增强及检测方法,其特征在于,所述元行为包括:下载执行、远程Shell、键盘记录、获取密码、远程摄像头、访问网址、计算机控制、***信息、录音、服务管理器、脚本执行、CD-Rom控制、枚举窗口、剪贴板管理、桌面任务栏管理、DDos、网络连接表、软件管理、显示器控制、语音转换、自启动管理、USB管理、搜索文件、文件传送。
3.如权利要求1所述的基于元行为的APT攻击样本增强及检测方法,其特征在于,所述孪生网络的子网络为LSTM模型,所述LSTM模型的层数为2层且每层神经元个数为32个,所述LSTM模型最后的输出结构为拉伸层。
4.如权利要求1所述的基于元行为的APT攻击样本增强及检测方法,其特征在于,利用训练集对孪生网络进行训练直至达到预设的训练结束条件,包括:
步骤4.1、将属于同一元行为的三个数据片段和一个属于不同元行为的数据片段组成一个训练组,并划分训练组为两个数据对,将两个数据片段属于同一元行为的数据对设置为正样本,两个数据片段属于不同元行为的数据对设置为负样本;
步骤4.2、取训练组,将两个数据对分别输入孪生网络的两个子网络,计算两个子网络输出的拉伸向量之间的距离,将计算得到的距离先后输入一个激活函数为RELU的全连接层,以及一个激活函数为Sigmoid的输出层,最终得到置信值;
步骤4.3、对比置信值和认证阈值,若置信值大于或等于认证阈值,则表示模型认证结果为包含该元行为;否则模型认证结果为不包含该行为;
步骤4.4、根据模型认证结果和设置为正样本或负样本的数据对调整孪生网络的模型参数,重复取训练组进行训练直至达到预设的训练结束条件。
5.如权利要求4所述的基于元行为的APT攻击样本增强及检测方法,其特征在于,所述计算两个子网络输出的拉伸向量之间的距离,包括:
;
式中,为计算得到的距离,/>为其中一个子网络输出的拉伸向量F1中的第j个元素,为另一个子网络输出的拉伸向量F2中的第j个元素,j=1,2,3,…,J,J是的拉伸向量的长度。
6.如权利要求1所述的基于元行为的APT攻击样本增强及检测方法,其特征在于,所述将实时采集的***日志数据输入孪生网络,得到该***日志数据所包含的元行为,包括:
将实时采集的***日志数据放入孪生网络作为其中一个输入,并设置孪生网络另一个输入为各个单独包含一个元行为的数据集,将实时采集的***日志数据与不同元行为对应的数据集进行一一比较,若孪生网络针对当前数据集输出的对比置信值大于或等于认证阈值,则表示模型认证结果为实时采集的***日志数据包含该数据集对应的元行为。
7.如权利要求1所述的基于元行为的APT攻击样本增强及检测方法,其特征在于,所述将该***日志数据中识别得到的元行为进行组合,包括:
将该***日志数据中识别得到的元行为进行排列组合,并将每次排列组合得到的结果与ATT&CK框架中的攻击链进行比对。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210849732.2A CN115242487B (zh) | 2022-07-19 | 2022-07-19 | 一种基于元行为的apt攻击样本增强及检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210849732.2A CN115242487B (zh) | 2022-07-19 | 2022-07-19 | 一种基于元行为的apt攻击样本增强及检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115242487A CN115242487A (zh) | 2022-10-25 |
CN115242487B true CN115242487B (zh) | 2024-04-05 |
Family
ID=83674308
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210849732.2A Active CN115242487B (zh) | 2022-07-19 | 2022-07-19 | 一种基于元行为的apt攻击样本增强及检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115242487B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115935245B (zh) * | 2023-03-10 | 2023-05-26 | 吉奥时空信息技术股份有限公司 | 一种政务热线案件自动分类分拨方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113612733A (zh) * | 2021-07-07 | 2021-11-05 | 浙江工业大学 | 一种基于孪生网络的少样本虚假数据注入攻击检测方法 |
CN113886821A (zh) * | 2021-09-01 | 2022-01-04 | 浙江大学 | 基于孪生网络的恶意进程识别方法、装置、电子设备及存储介质 |
CN114021118A (zh) * | 2021-10-14 | 2022-02-08 | 国网浙江省电力有限公司双创中心 | 基于超融合服务器***的多元行为检测方法、***及介质 |
CN114266342A (zh) * | 2021-12-21 | 2022-04-01 | 中国科学院信息工程研究所 | 一种基于孪生网络的内部威胁的检测方法及*** |
-
2022
- 2022-07-19 CN CN202210849732.2A patent/CN115242487B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113612733A (zh) * | 2021-07-07 | 2021-11-05 | 浙江工业大学 | 一种基于孪生网络的少样本虚假数据注入攻击检测方法 |
CN113886821A (zh) * | 2021-09-01 | 2022-01-04 | 浙江大学 | 基于孪生网络的恶意进程识别方法、装置、电子设备及存储介质 |
CN114021118A (zh) * | 2021-10-14 | 2022-02-08 | 国网浙江省电力有限公司双创中心 | 基于超融合服务器***的多元行为检测方法、***及介质 |
CN114266342A (zh) * | 2021-12-21 | 2022-04-01 | 中国科学院信息工程研究所 | 一种基于孪生网络的内部威胁的检测方法及*** |
Non-Patent Citations (3)
Title |
---|
A Practical Real-Time APT Detection System With High Accuracy and Efficiency;Chunlin Xiong;IEEE;20200103;全文 * |
基于LSTM自动编码机的工业***异常检测方法;沈潇军;电信科学;20200731;全文 * |
基于样本增强的网络恶意流量智能检测方法;陈铁明;通信学报;20200630;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115242487A (zh) | 2022-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107180192B (zh) | 基于多特征融合的安卓恶意应用程序检测方法和*** | |
CN111565205B (zh) | 网络攻击识别方法、装置、计算机设备和存储介质 | |
US11601462B2 (en) | Systems and methods of intelligent and directed dynamic application security testing | |
CN111709022B (zh) | 基于ap聚类与因果关系的混合报警关联方法 | |
CN112685738B (zh) | 一种基于多级投票机制的恶意混淆脚本静态检测方法 | |
CN111245784A (zh) | 多维度检测恶意域名的方法 | |
CN115242487B (zh) | 一种基于元行为的apt攻击样本增强及检测方法 | |
CN113225331A (zh) | 基于图神经网络的主机入侵安全检测方法、***及装置 | |
CN113194064A (zh) | 基于图卷积神经网络的webshell检测方法及装置 | |
Le et al. | Iot Botnet detection using system call graphs and one-class CNN classification | |
CN111049828B (zh) | 网络攻击检测及响应方法及*** | |
CN110619216B (zh) | 一种对抗性网络的恶意软件检测方法及*** | |
CN113946823A (zh) | 一种基于url基线偏离度分析的sql注入检测方法及装置 | |
CN114817925B (zh) | 基于多模态图特征的安卓恶意软件检测方法及*** | |
CN116702143A (zh) | 基于api特征的恶意软件智能检测方法 | |
CN116015861A (zh) | 一种数据检测方法、装置、电子设备及存储介质 | |
Nocera et al. | A user behavior analytics (uba)-based solution using lstm neural network to mitigate ddos attack in fog and cloud environment | |
CN111401067B (zh) | 一种蜜罐仿真数据的生成方法及装置 | |
Ani et al. | What makes an industrial control system security testbed credible and acceptable? Towards a design consideration framework | |
Sai Adhinesh Reddy et al. | Windows Malware Detection Using CNN and AlexNet Learning Models | |
CN110689074A (zh) | 一种基于模糊集特征熵值计算的特征选择方法 | |
Brogi et al. | Sharing and replaying attack scenarios with Moirai | |
KR102495329B1 (ko) | 높은 탐지율의 서비스백신 플랫폼 제공을 위해 lstm 방식을 이용한 악성코드 탐지 시스템 | |
CN118013527A (zh) | 模糊测试方法、装置、设备以及存储介质 | |
CN116846610A (zh) | 网络安全威胁检测方法、装置、设备和介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |