CN115664696A - 一种基于威胁狩猎的apt攻击主动防御方法 - Google Patents
一种基于威胁狩猎的apt攻击主动防御方法 Download PDFInfo
- Publication number
- CN115664696A CN115664696A CN202211052067.0A CN202211052067A CN115664696A CN 115664696 A CN115664696 A CN 115664696A CN 202211052067 A CN202211052067 A CN 202211052067A CN 115664696 A CN115664696 A CN 115664696A
- Authority
- CN
- China
- Prior art keywords
- threat
- ttp
- unknown
- hunting
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提出了一种基于威胁狩猎的APT攻击主动防御方法,通过将可疑数据与本地威胁数据库进行对比,对已知威胁进行阻断或防御;对本地不能判定的可能威胁,通过定位算法生成可疑数据链/图,随后构建TTP规则,与全球威胁数据库的TTP规则作对比,若结果为APT攻击,则对其进行阻断或防御,同时学习并丰富本地威胁数据库;若对比结果显示仍不能判别,则交由人工安全分析师,必要时进行红蓝对抗。整个流程贯穿威胁狩猎的思想,详细描述了如何基于威胁狩猎进行APT攻击主动防御。
Description
技术领域
本发明属于网络安全技术领域,涉及一种基于威胁狩猎的APT攻击主动防御方法。
背景技术
高级持续性威胁(APT)已经成为新型电力***中重要的威胁之一,表现出隐蔽性、潜伏性和长期纠缠性,传统的安全解决方案是,先部署安全防护设备,再根据报警信息进行分析和处置。这种方案的特点是能够较好地防御已知攻击,但是对未知威胁、甚至已经成功入侵并在***中驻留的攻击,缺乏有效的发现手段。因此,要想对APT攻击进行有效地检测与防御,只有将以往的被动响应转向主动发现,通过不断地学习攻击者的TTP和模式,主动查找、分析入侵痕迹,才能有效缩短攻击者的驻留时间,最大程度上降低攻击者对新型电力***的伤害。
近年来,威胁狩猎作为被国内外重点关注的工业安全检测防御手段,为本文的研究提供了思路。威胁狩猎是一个闭环的、持续性的主动防御过程。狩猎团队基于网络中的异常情况,以安全假设作为狩猎的起点,借助分析技术和工具平台展开调查,发现新的TTP和攻击模式。除触发事件响应外,威胁狩猎还会将新的TTP添加到分析平台或者安全管理平台中,对威胁数据库进行丰富。每一次的威胁狩猎活动都可以拓展防御机制的发现能力,进而使得威胁狩猎能够发现更广泛、更多样的攻击行为。能够有效对已知威胁和未知威胁采取防御手段,对新型电力***的安全保障具有重大意义。
APT是一种高级网络攻击,攻击者往往拥有高水平的专业知识和丰富的资源,通常会长时间潜伏,并反复对目标进行数据收集,通过保持高水平的交互来达到攻击目的。威胁狩猎则是安全攻防需求升级的产物,旨在攻击事件发生之前,提前发现威胁,化被动为主动,建立可重复使用的经验,形成威胁治理的闭环。
2011年,时任通用电气计算机事故响应小组(General Electric ComputerIncident Response Team,GE-CIRT)总监的Richard提出,需要使用一种基于主动检测和响应的创新方法来应对未知威胁,即威胁狩猎,该方法由安全专家组织成狩猎团队,通过数据与自动化分析来寻找攻击者的踪迹。2019年,SANS提出了一种正式的威胁狩猎模型,这为研究人员打开了新的大门。ZAHRA JADIDI等人提出了针对工业控制***的威胁狩猎框架,该框架提供了生成网络威胁情报的方案,并能够根据检测到的威胁操作更新安全设备。NetoA J H等人提出[4],通过自动假设和多标准决策来寻找网络威胁,实验结果表明这种半自动化的方法优于人工搜索。ABDUL BASIT AJMAL等人提出通过模拟对手来主动追捕威胁,这种方式可以为防御者提供一个攻击者的视角来看待***网络,通过网络欺骗的思想布置蜜罐将攻击者引诱到虚拟环境中,这样就可以将APT攻击行为与真实***进行隔离。这种方式的一个难点是如何让攻击者相信没有陷阱从而进入到虚拟环境中,然而能力强的攻击者很容易识破低级的蜜饵。间接引诱或许可以在一定程度上解决这个问题:间接引诱的初始环境就是真实统,真实性便是100%,当检测到由攻击者登陆或者对诱饵进行了其他操作,再将攻击者转移至虚拟环境。但这种方式的难点又在于及时检测到异常行为,以及如何“悄无声息”地实现攻击状态的转移。这两种方式在实际效果上都不太令人满意。
鉴于威胁狩猎这一领域的发展,目前国内还处于起步阶段,没有成熟的落地产业和威胁狩猎平台,本发明提出的基于威胁狩猎的APT攻击主动防御过程无需借助现有的威胁狩猎平台,即可对APT攻击进行主动防御。
现有技术如:一种基于图神经网络的高鲁棒性威胁狩猎***与方法。该发明用于在溯源图中狩猎已知的APT攻击行为,根据威胁情报中对攻击行为的描述构建查询图,然后使用查询图在溯源图中寻找匹配的子图,从而将溯源图上威胁狩猎问题转化为图匹配问题。
步骤如下:
步骤1、将主机的***行为数据收集并保存到***行为数据库中;
步骤2、溯源图构建步骤,使用不同粒度的***行为构建溯源图,所述***行为包括内核层,操作***层,应用层的行为;
步骤3、利用Locating算法初步筛选溯源图,得出可疑子图;
步骤4、查询图生成,根据威胁情报描述的攻击行为生成查询图,使用图神经网络模型为每个可疑子图计算其与查询图的匹配分数,分数超过阈值则发出告警。
现有技术的缺点为:该发明只考虑了对已知威胁进行溯源,没有办法解决未知威胁的狩猎;同时,没有考虑到APT攻击过程中攻防信息不对称,如果防御者不能有针对性地进行溯源与识别,就会造成资源的浪费;且数据取样局限于主机的***行为,量化取值的样本范围小,不够客观、准确。
发明内容
本发明针对现有技术中存在的问题,第一方面提供一种基于威胁狩猎的APT攻击主动防御方法:
对原始数据进行初筛,得到可疑数据;
将所述可疑数据与本地威胁库做对比;
将对比结果进行判断:是本地已知威胁或是本地未知威胁;
若是本地已知威胁,阻断其行为或其他形式的防御;
若是本地未知威胁,则对相关数据来源进行定位;
将本地未知威胁的TTP规则对全球威胁库的TTP规则对比;
将对比结果进行判断:是全球已知威胁或是全球未知威胁;
若是全球已知威胁,则对该攻击行为进行阻断或进行其他防御;
同时对该威胁进行学习;
丰富本地威胁数据库。
若是全球威胁库中的未知威胁,交由人工安全分析师进行处理或进行红蓝对抗。
在上述方案的基础上,所述对原始数据进行初筛,得到可疑数据具体为:
对于采集到的网络流量数据,对其进行预处理操作;
第一步,使用标签编码技术将分类变量的值编码为数值;
第二步,对网络流量中的协议进行哑变量编码,将字符串分类进行标签化及one-hot编码,最终形成二元特征;
第三步,对数值数据进行去除均值处理;
第四步,对方差进行归一化操作,具体公式如下:
其中,μ是所有样本数据的均值,σ是所有样本数据的标准差;
最后,进行粗粒度的筛选,得到可疑数据。
在上述方案的基础上,还包括下述步骤:
若是本地未知威胁,根据可疑数据链/图对相关数据来源进行定位;
构建TTP规则;
将本地未知威胁的TTP规则与全球威胁库的TTP规则作对比。
在上述方案的基础上,将所述本地未知威胁的TTP规则与全球威胁库的TTP规则作对比具体为:
用CATs算法将潜在未知威胁的TTP规则与全球威胁数据库的TTP规则进行对比匹配,若匹配分数大于设定阈值,则判断是全球已知威胁;阻断其行为或其他形式的防御;对该攻击行为进行学习;丰富本地威胁数据库;
若匹配分数小于设定阈值,则判断是全球未知威胁。
在上述方案的基础上,若是全球未知威胁,交由人工安全分析师进行处理和进行红蓝对抗。
第二方面,本发明提供一种电力***,运用上述方案的基于威胁狩猎的APT攻击主动防御方法。
本发明的有益效果:
本发明主要是面对新型电力***而提出的。基于威胁狩猎的APT攻击主动防御这一方法,既打破了以往被动防御面对攻防信息不对等的窘迫局面,还可以防御已知威胁和绝大多数未知威胁,并不断丰富本地威胁数据库,从而有效提高新型电力***的主动防御能力。
附图说明
本发明有如下附图:
图1基于威胁狩猎的APT攻击主动防御框架图
具体实施方式
以下结合图1对本发明作进一步详细说明。
通过将可疑数据与本地威胁数据库进行对比,对已知威胁进行阻断或防御;对本地不能判定的可能威胁,通过定位算法生成可疑数据链/图,随后构建TTP规则,与全球威胁数据库的TTP规则作对比,若结果为APT攻击,则对其进行阻断或防御,同时学习并丰富本地威胁数据库;若对比结果显示仍不能判别,则交由人工安全分析师,必要时进行红蓝对抗。
一、针对目前新型电力***的架构,通过分布式流量采集单元获取原始数据,采用FlexConvs(FLEXIBLE SIZE CONTINUOUS KERNEL CONVOLUTION)算法进行初筛,筛选出可疑数据。
对于采集到的网络流量数据,首先对其进行预处理操作。第一步,使用标签编码技术将分类变量的值编码为数值;第二步,对网络流量中的协议进行哑变量编码,将字符串分类进行标签化及one-hot编码,最终成成二元特征;第三步,对数值数据进行去除均值处理,便于最终的拟合;最后,对方差进行归一化操作,把所有的特征数值范围控制在[0,1]之内,以提升模型的收敛速度和精度,具体公式如下:
其中,μ是所有样本数据的均值,σ是所有样本数据的标准差。
预处理后的数据采用FlexConvs算法进行筛选,该算法具有更灵活的卷积操作,通过该方法可以以固定的参数代价,训练学习得到适合的卷积核尺寸。在不浪费计算机算力的前提现,为了最大限度划分出正常数据与可能存在威胁的数据,我们将进行粗粒度的筛选,得到可疑数据。
二、将可疑数据与本地威胁库做对比,根据对比结果采取针对性的应对方案。
采用CATs(Cost Aggregation with Transformers)算法将可疑数据与本地威胁库做对比,若匹配分数大于设定阈值,则认为是本地的已知威胁,对其攻击行为进行阻断或其他形式的防御;若匹配分数小于设定阈值,则进入下一环节。
采用TransVG++算法将潜在的未知威胁进行定位,生成可疑数据链/图,以便后续的TTP规则构建。
三、将本地未知的威胁TTP规则与全球威胁库的TTP规则作对比,根据对比结果采取针对性的应对方案。
利用开源的威胁情报平台,将所能获取到的威胁数据的集合称为“全球威胁数据库”,构建全球威胁数据库的TTP规则;同时,对步骤二中的潜在未知威胁构建TTP规则。采用CATs算法将潜在未知威胁的TTP规则与全球威胁数据库的TTP规则进行对比匹配,若匹配分数大于设定阈值,则认为是全球已知威胁,根据上一步骤的可疑数据链/图对相关数据来源进行定位,并阻断其行为或其他形式的防御,随后对该攻击行为进行学习,以丰富本地威胁数据库;若匹配分数小于设定阈值,则交由人工安全分析师进行处理,若有必要,需及时进行红蓝对抗。
如图1:
过程1:首先对原始数据进行初筛,得到可疑数据:通过FlexConvs算法可以以固定的参数代价,训练学习得到适合的卷积核尺寸。为了最大限度划分出正常数据与可能存在威胁的数据,我们将进行粗粒度的筛选,得到可疑数据。
过程2:将可疑数据与本地威胁库做对比:采用CATs(Cost Aggregation withTransformers)算法将可疑数据与本地威胁库做对比,若匹配分数大于设定阈值,则认为是本地已知威胁,对其攻击行为进行阻断或其他形式的防御;若匹配分数小于设定阈值,则进入下一环节。
过程3:将本地未知的威胁TTP规则与全球威胁库的TTP规则作对比:采用CATs算法将潜在未知威胁的TTP规则与全球威胁数据库的TTP规则进行对比匹配,若匹配分数大于设定阈值,则认为是全球已知威胁,根据上一步骤的可疑数据链/图对相关数据来源进行定位,并阻断其行为或其他形式的防御,随后对该攻击行为进行学习,以丰富本地威胁数据库;若匹配分数小于设定阈值,则交由人工安全分析师进行处理,若有必要,需及时进行红蓝对抗。
以上实施方式仅用于说明本发明专利,而并非对本发明专利的限制,有关技术领域的普通技术人员,在不脱离本发明专利的实质和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明专利的范畴,本发明专利的专利保护范围应由权利要求限定。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。
Claims (7)
1.一种基于威胁狩猎的APT攻击主动防御方法,其特征在于,包括下述步骤:
对原始数据进行初筛,得到可疑数据;
将所述可疑数据与本地威胁库做对比;
将对比结果进行判断:是本地已知威胁或是本地未知威胁;
若是本地已知威胁,阻断其行为或防御;
若是本地未知威胁,则对相关数据来源进行定位;
将本地未知威胁的TTP规则对全球威胁库的TTP规则对比;
将对比结果进行判断:是全球已知威胁或是全球未知威胁;
若是全球已知威胁,则对该攻击行为进行阻断或进行防御;
对该攻击行为进行学习;
丰富本地威胁数据库;
若是全球威胁库中的未知威胁,交由人工安全分析师进行处理或进行红蓝对抗。
2.如权利要求1所述一种基于威胁狩猎的APT攻击主动防御方法,其特征在于,所述对原始数据进行初筛,得到可疑数据具体为:
对于采集到的网络流量数据,对其进行预处理操作;
第一步,使用标签编码技术将分类变量的值编码为数值;
第二步,对网络流量中的协议进行哑变量编码,将字符串分类进行标签化及one-hot编码,最终形成二元特征;
第三步,对数值数据进行去除均值处理;
第四步,对方差进行归一化操作,具体公式如下:
其中,μ是所有样本数据的均值,σ是所有样本数据的标准差;
最后,进行粗粒度的筛选,得到可疑数据。
3.如权利要求1所述一种基于威胁狩猎的APT攻击主动防御方法,其特征在于,还包括下述步骤:
若是本地未知威胁,根据可疑数据链或图对数据来源进行定位;
构建TTP规则;
将本地未知威胁的TTP规则与全球威胁库的TTP规则作对比。
4.如权利要求3所述一种基于威胁狩猎的APT攻击主动防御方法,其特征在于,将所述本地未知威胁的TTP规则与全球威胁库的TTP规则作对比具体为:
用CATs算法将潜在未知威胁的TTP规则与全球威胁数据库的TTP规则进行对比匹配,若匹配分数大于设定阈值,则判断是已知威胁;阻断其行为或进行防御手段;
若匹配分数小于设定阈值,则判断是未知威胁。
5.如权利要求4所述一种基于威胁狩猎的APT攻击主动防御方法,其特征在于,若是本地未知威胁,但在全球威胁库已知,则阻断其行为或进行防御手段,同时学习该威胁及其应对方法以丰富本地威胁库。
6.如权利要求4所述一种基于威胁狩猎的APT攻击主动防御方法,其特征在于,若是全球威胁库中的未知威胁,交由人工安全分析师进行处理或进行红蓝对抗。
7.一种电力***,运用包括如权利要求1-6任意一项所述一种基于威胁狩猎的APT攻击主动防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211052067.0A CN115664696A (zh) | 2022-08-30 | 2022-08-30 | 一种基于威胁狩猎的apt攻击主动防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211052067.0A CN115664696A (zh) | 2022-08-30 | 2022-08-30 | 一种基于威胁狩猎的apt攻击主动防御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115664696A true CN115664696A (zh) | 2023-01-31 |
Family
ID=84984420
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211052067.0A Pending CN115664696A (zh) | 2022-08-30 | 2022-08-30 | 一种基于威胁狩猎的apt攻击主动防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115664696A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115834251A (zh) * | 2023-02-14 | 2023-03-21 | 国网江西省电力有限公司信息通信分公司 | 基于超图Transformer威胁狩猎模型建立方法 |
-
2022
- 2022-08-30 CN CN202211052067.0A patent/CN115664696A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115834251A (zh) * | 2023-02-14 | 2023-03-21 | 国网江西省电力有限公司信息通信分公司 | 基于超图Transformer威胁狩猎模型建立方法 |
| CN115834251B (zh) * | 2023-02-14 | 2023-09-29 | 国网江西省电力有限公司信息通信分公司 | 基于超图Transformer威胁狩猎模型建立方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10721249B2 (en) | Method for web application layer attack detection and defense based on behavior characteristic matching and analysis | |
| CN108718310B (zh) | 基于深度学习的多层次攻击特征提取及恶意行为识别方法 | |
| Xin et al. | Machine learning and deep learning methods for cybersecurity | |
| CN109522716A (zh) | 一种基于时序神经网络的网络入侵检测方法及装置 | |
| Sarwar et al. | Design of an advance intrusion detection system for IoT networks | |
| CN114491541B (zh) | 基于知识图谱路径分析的安全运营剧本自动化编排方法 | |
| Sezari et al. | Anomaly-based network intrusion detection model using deep learning in airports | |
| Elshafie et al. | Improving the performance of the snort intrusion detection using clonal selection | |
| CN115664696A (zh) | 一种基于威胁狩猎的apt攻击主动防御方法 | |
| Kajal et al. | A hybrid approach for cyber security: improved intrusion detection system using Ann-Svm | |
| Haricharan et al. | An enhanced network security using machine learning and behavioral analysis | |
| Al Tawil et al. | A feature selection algorithm for intrusion detection system based on moth flame optimization | |
| CN116192510B (zh) | 一种基于大数据的校园网络公共安全管理方法及*** | |
| Liu et al. | VulnerGAN: a backdoor attack through vulnerability amplification against machine learning-based network intrusion detection systems | |
| CN109951484A (zh) | 针对机器学习产品进行攻击的测试方法及*** | |
| Xu | Research on network intrusion detection method based on machine learning | |
| Osamor et al. | Deep learning-based hybrid model for efficient anomaly detection | |
| Tiwari et al. | Detecting and classifying incoming traffic in a secure cloud computing environment using machine learning and deep learning system | |
| Gaikwad et al. | One versus all classification in network intrusion detection using decision tree | |
| Shrivastava et al. | Cyber attack detection and classification based on machine learning technique using nsl kdd dataset | |
| CN115051833B (zh) | 一种基于终端进程的互通网络异常检测方法 | |
| Raju et al. | Network Intrusion Detection for IoT-Botnet Attacks Using ML Algorithms | |
| Wen et al. | Research on Automated Classification Method of Network Attacking Based on Gradient Boosting Decision Tree | |
| Majeed et al. | Propose hmnids hybrid multilevel network intrusion detection system | |
| Ahmed | Enhancement of network attack classification using particle swarm optimization and multi-layer perceptron |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |