CN116684147A - 基于溯源图、POI与Dijkstra算法的攻击调查方法、设备及介质 - Google Patents

基于溯源图、POI与Dijkstra算法的攻击调查方法、设备及介质 Download PDF

Info

Publication number
CN116684147A
CN116684147A CN202310669195.8A CN202310669195A CN116684147A CN 116684147 A CN116684147 A CN 116684147A CN 202310669195 A CN202310669195 A CN 202310669195A CN 116684147 A CN116684147 A CN 116684147A
Authority
CN
China
Prior art keywords
graph
weight
traceability
poi
nodes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310669195.8A
Other languages
English (en)
Inventor
仇晶
肖千龙
陈荣融
胡铭浩
田志宏
殷丽华
苏申
倪晓雅
高成亮
郑东阳
陈俊君
邢家旭
汤菲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou University
Original Assignee
Guangzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou University filed Critical Guangzhou University
Priority to CN202310669195.8A priority Critical patent/CN116684147A/zh
Publication of CN116684147A publication Critical patent/CN116684147A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了一种基于溯源图、POI与Dijkstra算法的攻击调查方法、设备及介质,其中,方法包括:收集底层审计日志生成溯源图;将溯源图通过POI报警时间进行剪枝后,基于时间权值、聚集权值以及异常权值对计算剪枝后的溯源图的边权值;根据溯源图的边权值通过POI节点获取最短路径;选取最短路径中的权值最小的N个节点,记作Top‑N节点,通过Top‑N节点对溯源图进行剪枝;将生成的剪枝后的溯源图通过BFS算法从Top‑N节点出发进行遍历获取遍历图。本发明通过对边进行压缩成功解决了依赖***问题,并且在寻找攻击入口点的同时对攻击着最有可能的攻击路径进行了展示。解决了传统技术无法定位准确攻击路径和鲁棒性,可移植性较低的缺点。

Description

基于溯源图、POI与Dijkstra算法的攻击调查方法、设备及 介质
技术领域
本文件涉及溯源图技术领域,尤其涉及一种基于溯源图、POI与Dijkstra算法的攻击调查方法、设备及介质。
背景技术
近年来,日益猖獗的网络攻击活动造成了重大的损失,现代网络攻击有持续时间长、隐蔽性强、来源不明等特点,这些攻击往往利用多种类型的漏洞,分多阶段渗透到目标***中。面对更加复杂多样的网络安全风险,传统的基于特征库为主的被动防御手段显得捉襟见肘疲于应付,安全设备很难恢复攻击的全貌。
端点和流量监控设备能够以日志的形式收集网络范围内的全部信息,以评估攻击行为,从而更好地针对这些攻击并进行有效的调查、溯源和响应。然而,由于大量良性背景日志的干扰和日志语义的不连续性,完成攻击调查极其困难,溯源图的出现极大地缓解了这些问题。溯源图是***日志的图抽象,它将***执行表示为一个图,描述了***主体和对象之间的信息流,表达了***行为状态。溯源图具有强大的因果分析和语义表达能力,所有现有技术中大部分是基于溯源图来进行网络攻击调查。但是现有技术中在获取POI之后还原攻击场景还存在许多的问题。
例如2017年提出的SLEUTH十分依赖专家知识对规则进行补充并且机密性标签的制定需要根据企业的具体情况来进行设置,所以造成基于标签的攻击调查方法在鲁棒性和普适性上有所欠缺。此外基于标签的攻击调查方法不能很好的解决溯源图中依赖***问题,可能导致最后找到的入口点存在误差,2019年提出的Nodoze通过对溯源图结构进行学习从而判断***是否被攻击并且将结果反馈给安全人员。但是基于异常的攻击调查方法反馈的为一张完整的溯源图,无法帮助安全人员准确的定位攻击,需要消耗大量的人力来进行攻击路径的复原。
发明内容
本发明提供了一种基于溯源图、POI与Dijkstra算法的攻击调查方法、设备及介质,旨在解决上述问题。
本发明实施例提供了一种基于溯源图、POI与Dijkstra算法的攻击调查方法,包括:
S1、收集底层审计日志生成溯源图;
S2、将溯源图通过POI报警时间进行剪枝后,基于时间权值、聚集权值以及异常权值计算剪枝后的溯源图的边权值;
S3、根据溯源图的边权值通过POI节点获取最短路径;
S4、选取最短路径中的权值最小的N个节点,记作Top-N节点,通过Top-N节点对S1中生成的溯源图进行剪枝;
S5、将S4中生成的剪枝后的溯源图通过BFS算法从Top-N节点出发进行遍历获取遍历图。
本发明实施例提供了一种电子设备,包括:
处理器;以及,
被安排成存储计算机可执行指令的存储器,所述计算机可执行指令在被执行时使所述处理器执行如基于溯源图、POI与Dijkstra算法的攻击调查方法所述的步骤。
本发明实施例提供了一种存储介质,用于存储计算机可执行指令,所述计算机可执行指令在被执行时实现如基于溯源图、POI与Dijkstra算法的攻击调查方法所述的步骤。
通过采用本发明实施例将对象的时间戳以及事件比例作为参数结合的赋权方法,并且本发明通过对边进行压缩成功解决了依赖***问题,并且在寻找攻击入口点的同时对攻击着最有可能的攻击路径进行了展示。解决了传统技术无法定位准确攻击路径和鲁棒性,可移植性较低的缺点。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的基于溯源图、POI与Dijkstra算法的攻击调查方法的流程图;
图2为本发明实施例的具体实施步骤的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本说明书一个或多个实施例中的技术方案,下面将结合本说明书一个或多个实施例中的附图,对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明书一个或多个实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本文件的保护范围。
本发明提出了一种基于溯源图、POI与Dijkstra算法的攻击调查方法,具体而言,假设已经获取了POI,我们的方法将采集到的审计日志数据转化为一个溯源图,其中节点为***实体(例如,文件、进程和网络连接),边为***调用事件(例如,读取文件的进程)。在溯源图中边携带许多属性。其中TimeStamp属性表示事件发生的时间,out_degree,in_degree为边的主体节点的出度和入度,本发明提出了时间权值,聚集权值,异常权值三种权值时间权值:在直觉上,在相对同一时间出现的边更有可能是相关的。
聚集权值:在因果关系分析中,如果可以从节点v搜索到的源节点的数量为1(即,只有一个来自v的传入边),我们认为该边缘表示的依赖性对于v高度集中。所以通过聚集权值表示对上一节点的依赖程度。
异常权值:Freq表示在程序一段时间执行的历史记录中该事件发生了多少次,Frcqsrc_rel则表示在此溯源图中该事件发生了多少次。通过历史记录中的次数与当前事件执行的次数来比较该事件是否异常。
并且由于攻击者往往倾向于使用最少的步骤达到入侵目标计算机的目的,故此通过Dijkstra算法可以较为准确的还原攻击者在主机内的操作步骤。
方法实施例
本发明实施例提供了一种基于溯源图、POI与Dijkstra算法的攻击调查方法,图1为本发明实施例的基于溯源图、POI与Dijkstra算法的攻击调查方法的流程图,根据图1所示,本发明实施例的基于溯源图、POI与Dijkstra算法的攻击调查方法具体包括:
S1、收集底层审计日志生成溯源图;步骤S1具体包括:
利用已有的工具,对***底层审计日志进行收集例如:Windows***利用ETW进行日志收集,Linux***利用***审计日志收集工具Auditd收集***内核活动日志。
溯源图的生成包括:
1、判断事件类型
2、根据不同的事件类型,跳转对应的处理方法,同时获取事件主客体的唯一标识(UUID)
3、根据UUID判断实体是否存在,如果不存在,在节点集合中创建实体节点,接下来在边集合中创建主客体实体之间的边,否则直接创建主客体实体之间的边;
4、读取新的日志,重复1-3。
S2、述溯源图通过POI报警时间进行剪枝后,基于时间权值、聚集权值以及异常权值对计算剪枝后的溯源图的边权值;步骤S2具体包括:
S21、通过POI报警时间对所述溯源图进行剪枝,将溯源图中事件时间大于POI警报时间的边进行删除,并且将预设事件内反复产生的同一事件进行压缩剪枝;
S22、计算溯源图中时间权值、聚集权值以及异常权值;步骤S22具体包括:
通过公式1计算时间权值:
ai.Time_value=log101+(ai.TimeStamp-POI.TimeStamp) 公式1;
通过公式2计算聚集权值;
ai.Concentration_value=ai.out_degree÷ai.in_degree 公式2;
通过公式3计算异常权值:
ai.Abnormal_value=Freq(ai)÷Frcqsrc_rel(ai) 公式3;
其中,ai为属于父节点的所有边,ai.imeStamp为边ai的时间戳,POI.TimeStamp为POI时间戳,ai.ut_degree为ai的出度边数量,ai.n_degree为ai的入度边数量,Freq(ai)为ai在溯源图中一定时间窗口内出现的次数,Frcqsrc_rel(ai)为ai在历史溯源图中一定时间窗口内出现的次数
S23、将得到的时间权值、聚集权值以及异常权值进行相加求平均值得到平均权值后对平均权值后进行边权重标准化。步骤S23具体包括:
通过公式4进行进行边权重标准化:
ai.Standard_value=ai.Average_value÷∑a∈Aa.Average_value
公式4;
其中,ai.Average_value为边ai的时间权值聚集权值,和异常权值的平均值。
S3、根据溯源图的边权值通过POI节点获取最短路径;步骤S3具体包括:
将溯源图中两点之间的全部边权重加在时间戳最大的边上,并且将非最大时间戳的边在溯源图中删除;
从溯源图中的POI节点出发通过Dijkstra算法计算出溯源图中所有节点到POI节点的最小路径权值并且保留对应的路径最为最短路径。
S4、选取最短路径中的权值最小的N个节点,记作Top-N节点,通过所述Top-N节点对步骤S1中生成的溯源图进行剪枝;步骤S4具体包括:
将Top-N节点放回步骤S1生成的溯源图中,删去小于Top-N节点中最小时间戳的事件。
S5、将步骤S4中生成的剪枝后的溯源图通过BFS算法从Top-N节点出发进行遍历获取遍历图。步骤S5具体包括:
将剪枝后的溯源图中的两个节点间存在多条边进行删除,仅保留一条边,获取待遍历溯源图;
通过BFS算法从Top-N节点出发对所述待遍历溯源图进行遍历获取遍历图。图2所示为本发明实施例的具体实施步骤的示意图。此图示意了本方法通过原始的溯源图结合警报点(POI)进行分析,对溯源图进行权重计算求得可能的入口点并且通过入口点进行前向分析还原出一幅完整的攻击场景图的整体流程以及部分细节。
本发明技术方案的优点如下:
1、实现了从POI情报到攻击调查报告的转化
2、相比于传统的攻击调查报告,本发明可以通过图的形式使得安全人员更加方便进行分析,并且删除了大量的干扰情报有助于安全人员快速准确的确定攻击手段。
3、本发明提出了一种对溯源图边权值进行计算的方法,本方法不依赖于专家知识的介入,具有较强的鲁棒性和移植性。
4、本发明通过从POI出发寻找到可能的入口点,具有较高的准确率并且结合攻击路径图可以快速确认入侵手法。
5、本发明通过从可能的入口点出发进行BFS可以有效的发现许多警报***没有报警的入侵步骤。使得安全分析人员能够更具全面的掌握攻击者入侵的全貌。
通过采用本发明实施例具备如下有益效果:
1、本发明提出了时间权值,异常权值,聚集权值三种权值对审计日志中的事件进行权重计算,并且通过对三种权重的加权平均计算和标准化处理,最终在溯源图中完成了对所有边的权重计算。
2、本发明提出了一种先进的溯源图剪枝算法,在保证时序的关系下,对溯源图进行剪枝,并且通过权重计算和对同一事件信息进行压缩,大大缩小了溯源图的存储空间。
3、本发明提出了一种基于权值的搜索最短路径寻找报警点的方法,通过最具异常的路径来判断攻击的入口点,大大节省了分析POI的时间。
4、本发明提出了一种带限制的前向分析方法,通过距离阈值以及多可能入口点进行搜索,能够充分反应攻击者在计算机内的攻击过程和手法,并且展示出许多未产生POI的攻击。
装置实施例一
本发明实施例提供了一种电子设备,包括:
处理器;以及,
被安排成存储计算机可执行指令的存储器,所述计算机可执行指令在被执行时使所述处理器执行如上述方法实施例所述的步骤。
装置实施例二
本发明实施例提供了一种存储介质,用于存储计算机可执行指令,所述计算机可执行指令在被执行时实现如上述方法实施例所述的步骤。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (10)

1.一种基于溯源图、POI与Dijkstra算法的攻击调查方法,其特征在于,包括:
S1、收集底层审计日志生成溯源图;
S2、将所述溯源图通过POI报警时间进行剪枝后,基于时间权值、聚集权值以及异常权值计算剪枝后的溯源图的边权值;
S3、根据所述溯源图的边权值通过POI节点获取最短路径;
S4、选取所述最短路径中的权值最小的N个节点,记作Top-N节点,通过所述Top-N节点对S1中生成的溯源图进行剪枝;
S5、将S4中生成的剪枝后的溯源图通过BFS算法从Top-N节点出发进行遍历获取遍历图。
2.根据权利要求1所述的方法,其特征在于,所述S1具体包括:
判断所述底层审计日志中的事件类型;
根据不同的事件类型跳转对应的处理方法,同时获取事件中主客体的唯一标识;
根据所述唯一标识判断实体是否存在,如果不存在,在节点集合中创建实体节点,在边集合中创建主客体实体之间的边,若存在,则直接创建主客体实体之间的边。
3.根据权利要求1所述的方法,其特征在于,所述S2具体包括:
S21、通过POI报警时间对所述溯源图进行剪枝,将所述溯源图中事件时间大于POI警报时间的边进行删除,并且将预设事件内反复产生的同一事件进行压缩剪枝;
S22、计算溯源图中时间权值、聚集权值以及异常权值;
S23、将得到的时间权值、聚集权值以及异常权值进行相加求平均值得到平均权值后对所述平均权值后进行边权重标准化。
4.根据权利要求3中所述的方法,其特征在于,所述S22具体包括:
通过公式1计算时间权值:
ai.Time_value=log101+(ai.TimeStamp-POI.TimeStamp) 公式1;
通过公式2计算聚集权值;
ai.Concentration_value=ai.out_degree÷ai.in_degree 公式2;
通过公式3计算异常权值:
ai.Abnormal_value=Freq(ai)÷Frcqsrc_rel(ai) 公式3;
其中,ai为属于父节点的所有边,ai.imeStamp为边ai的时间戳,POI.TimeStamp为POI时间戳,ai.ut_degree为ai的出度边数量,ai.n_degree为ai的入度边数量,Freq(ai)为ai在溯源图中一定时间窗口内出现的次数,Frcqsrc_rel(ai)为ai在历史溯源图中一定时间窗口内出现的次数。
5.根据权利要求4所述的方法,其特征在于,所述S23具体包括:
通过公式4进行进行边权重标准化:
ai.Standard_value=ai.Average_value÷∑a∈Aa.Average_value
公式4;
其中,ai.Average_value为边ai的时间权值聚集权值,和异常权值的平均值。
6.根据权利要求1所述的方法,其特征在于,所述步骤S3具体包括:
将所述溯源图中两点之间的全部边权重加在时间戳最大的边上,并且将非最大时间戳的边在溯源图中删除;
从溯源图中的POI节点出发通过Dijkstra算法计算出溯源图中所有节点到POI节点的最小路径权值并且保留对应的路径最为最短路径。
7.根据权利要求1所述的方法,其特征在于,所述S4具体包括:
将所述Top-N节点放回步骤S1生成的溯源图中,删去小于Top-N节点中最小时间戳的事件。
8.根据权利要求1所述的方法,其特征在于,其特征在于,所述S5具体包括:
将剪枝后的溯源图中的两个节点间存在多条边进行删除,仅保留一条边,获取待遍历溯源图;
通过BFS算法从所述Top-N节点出发对所述待遍历溯源图进行遍历获取遍历图。
9.一种电子设备,包括:
处理器;以及,
被安排成存储计算机可执行指令的存储器,所述计算机可执行指令在被执行时使所述处理器执行如权利要求1-8所述的任意一项基于溯源图、POI与Dijkstra算法的攻击调查方法所述的步骤。
10.一种存储介质,用于存储计算机可执行指令,所述计算机可执行指令在被执行时实现如权利要求1-8所述的任意一项基于溯源图、POI与Dijkstra算法的攻击调查方法所述的步骤。
CN202310669195.8A 2023-06-06 2023-06-06 基于溯源图、POI与Dijkstra算法的攻击调查方法、设备及介质 Pending CN116684147A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310669195.8A CN116684147A (zh) 2023-06-06 2023-06-06 基于溯源图、POI与Dijkstra算法的攻击调查方法、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310669195.8A CN116684147A (zh) 2023-06-06 2023-06-06 基于溯源图、POI与Dijkstra算法的攻击调查方法、设备及介质

Publications (1)

Publication Number Publication Date
CN116684147A true CN116684147A (zh) 2023-09-01

Family

ID=87780576

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310669195.8A Pending CN116684147A (zh) 2023-06-06 2023-06-06 基于溯源图、POI与Dijkstra算法的攻击调查方法、设备及介质

Country Status (1)

Country Link
CN (1) CN116684147A (zh)

Similar Documents

Publication Publication Date Title
US11194906B2 (en) Automated threat alert triage via data provenance
CN112114995B (zh) 基于进程的终端异常分析方法、装置、设备及存储介质
US10171335B2 (en) Analysis of site speed performance anomalies caused by server-side issues
US20190228296A1 (en) Significant events identifier for outlier root cause investigation
US10263833B2 (en) Root cause investigation of site speed performance anomalies
US10915625B2 (en) Graph model for alert interpretation in enterprise security system
CN111078513B (zh) 日志处理方法、装置、设备、存储介质及日志告警***
CN114978568A (zh) 使用机器学习进行数据中心管理
CN114915479B (zh) 一种基于Web日志的Web攻击阶段分析方法及***
CN113162794A (zh) 下一步攻击事件预测方法及相关设备
US10504026B2 (en) Statistical detection of site speed performance anomalies
CN112800061A (zh) 一种数据存储方法、装置、服务器及存储介质
CN112287340B (zh) 用于终端攻击的取证溯源方法、装置、计算机设备
Mihailescu et al. Unveiling Threats: Leveraging User Behavior Analysis for Enhanced Cybersecurity
CN115146263B (zh) 用户账号的失陷检测方法、装置、电子设备及存储介质
CN116684147A (zh) 基于溯源图、POI与Dijkstra算法的攻击调查方法、设备及介质
Sievierinov et al. Analysis of correlation rules in Security information and event management systems
CN113032774B (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
CN116155519A (zh) 威胁告警信息处理方法、装置、计算机设备和存储介质
CN114186278A (zh) 数据库异常操作识别方法、装置与电子设备
CN112751863A (zh) 一种攻击行为分析方法及装置
AU2021101364A4 (en) An artificial intelligence based network security system
CN113055396B (zh) 一种跨终端溯源分析的方法、装置、***和存储介质
RU2781822C1 (ru) Система и способ автоматической оценки качества сигнатур сетевого трафика
US20230409421A1 (en) Anomaly detection in computer systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination